全般統制が有効に整備・運用されていることを前提として、今回内部統制の基本である業務処理統制について考えていきます。
業務処理統制とは、販売活動、購買活動などの日々の業務に結びついた統制活動になります。
では実際に、有効な業務処理統制を構築するには、どういうことを考え、対応していけば良いのでしょうか。
人事/総務
有効な内部統制の構築の手順や方法を初心者にもわかりやすく解説
- テーマ
- 内部統制の構築
- 監修
- リスク管理室補佐
販売活動を例に
まずは、販売活動が現状、どのような流れで行われているのかを把握します。
販売活動であれば、大きくわけて、受注、出荷、入金、といった流れになるかと思いますが、それぞれの場面で誰がどのような業務をしているか、その業務を行う際にはどのような書類、どのようなデータを用いているか。そのフローを確認しながら、それぞれの場面における業務がどのようなものであるかを記述していきます。
これをきちんとできるようになると、3点セットと呼ばれるうちの、フローチャート、業務記述書は作成できたことになります。ここで最も大事なことですが、それぞれの場面でどのようなリスクがあるか、評価します。
受注であれば、受注を漏らしたり、内容を誤ってしまったりといったことがリスクとしてあげられます。
出荷についても、誤った出荷を行ってしまうことも考えられます。このリスクを評価するところが最も大切で、ここできちんとリスクを洗い出しておかないと、それを防ぐ方法を考えようとすることもなくなってしまいます。リスクを洗いだすことができたら、それを防ぐためにどのような方法をとればいいかを考えます。受注を例にとれば、誤った受注がリスクであれば、それを防ぐために、受注の処理をした人と別の人が、先方からの注文内容が書かれた書類と当社の受注した内容をまとめたものを照合して、承認する。
あまり難しく考えないで、まずはミスのないように、正しい処理を行えるように、と考えていくと、リスクへの対応が見えてきます。どんな仕事でも、やはり一人で行う業務というのはミスが発生する可能性が高いので、別の人のチェックをいれる、というのは、有効な内部統制を構築するうえでよくみられる統制方法です。
業務におけるリスクとリスクを防ぐための対応をまとめたものが、3点セットの最後のひとつ、リスク・コントロール・マトリクスです。
有効な内部統制を構築するためには、3点セットが必要だ、だから3点セットを作らなければ、と考えると、すごく難しく感じてしまいますが、順を追って業務の流れを確認し、その中で発生しそうなミスをなくそうと考えて進めていけば、自ずとできていきます。
3点セットができた、ということは、業務フローを把握し、その中でどこにリスクがあるか、そしてそのリスクを軽減させるためにはどうすればよいかを検討した結果、と言えます。
整備評価・運用評価
有効な内部統制を構築するために、定期的に内部統制の整備・運用方法を検証する必要があります。整備されている、ということは、先ほどの例でいうと、受注したときは必ず別の人の承認を得る、というルールが確立されていること、それが浸透していることになります。運用されている、ということは、実際にそのルールに従って、ミスなく行われている、ということです。
一度有効に整備されたことが確認できたからと言って、その後全く整備状況を確認しなくても良いかというと、そうではありません。それは、業務の拡大や、取引方法の変更により、業務に変更が生じる場合や、多様化が生まれる場合があるからです。そうなると、リスクの内容も変わってきますし、そのリスクへの対応も変わってきます。
逆に、リスクが減るような変化もありえます。例えば、受注について、それまではFAXでの受注としていたが、システムの導入により、webで受注し、その受注内容は、そのまま出荷指示のデータとなる、ということであれば、それまでの受注内容を間違える、といったリスクとその対応はITの信頼性によって担保されることになります。
このように、定期的に整備状況・運用状況を確かめることによって、より有効な内部統制が構築されていくことになります。
内部統制の限界
内部統制を有効なものにするために考えてきましたが、内部統制にも限界はあります。
先ほどの例で示したように、内部統制は定型的な取引を前提としています。それは業務を効率化することを考えると、定型化することによって、スピードアップ、ミスの減少と言ったメリットが生まれるため、自然と業務を定型化することになるからです。
しかし、実際はどうしても非定型的な取引は発生します。この時、前提としたリスクへの対応が、有効に機能しなくなることがあります。
例えば、必ず受注時には別の人の承認を得ることとしていたが、部長が急ぎの案件をもってきて、一人で受注から出荷までの手続をせざるをえなかった、など。
このように、常に全ての取引が定型的なものとは限らず、前提としない非定型的な取引が発生した場合には、内部統制が有効に機能しない場合があります。
また、内部統制を構築する際には、費用対効果が求められます。チェックする人数は多い方がミスは減りますが、だからといって3人や4人でチェックしていたのでは時間がかかりすぎて効率的ではありませんし、そこまで時間と人員を割くわけにはいきません。費用対効果を考慮した結果、担当者と、別の人のチェックで対応しようと決めたとして、もちろん人間なので、担当者も、別の人も見逃す可能性もあります。
さらに、複数人で共謀された場合には、機能しなくなることがあります。例えば、担当者とチェックする立場の人が共謀してしまうと、その時点で内部統制が機能しなくなります。不正をしようと考えた時点ですでに内部統制が有効に機能しなくなるリスクが高まるわけですが、それを防ぐためには、全社レベルで、不正を行わないような風土づくり、通報制度、外部の監査等といった統制の強化が必要になります。もう一度、全般統制を見直すことになります。
有効な内部統制を構築するためには、全般統制においても、業務処理統制においても、外部環境、内部環境の変化に敏感に対応しながら、常にリスクの見直しを行い、そのリスクの対応を行い続けることが最も大切であると考えられます。
