菅　信浩

＜編集部より＞
新年度に向けて新社会人となる方や、転職や異動で新しいことにチャレンジする方も多くなるこの季節。どのフィールドで活躍するにせよ、「会計人コースWeb」の読者であれば、ビジネスパーソンとして会計周りの必須知識は押さえておきたいところ。
そこで、今回は監査法人で内部統制の監査業務に携わり、転職後は大手総合商社で内部統制の構築や運用に携わってきた菅信浩氏に、今さらなかなか聞けない内部統制の基本を解説してもらいました。
既刊本『チェックリストでリスクが見える　内部統制構築ガイド』も好評ですので、より詳しく知りたい方はこちらもご参照ください♪

前回までは、内部統制の知識を身につけ実務を行う上で陥りがちな「落とし穴」と「内部統制が必要な理由」について考えてみました。今回は、内部統制の実務で実際に起こりうる「失敗ケース」にはどのようなものがあるかを紹介していきます。

ケース１　上場準備で整備した内部統制が崩壊

とある上場準備会社が上場の直前々期の後半にJSOXへの対応を開始し、大株主であるエクイティファンドに内部統制の整備に長けている公認会計士Aさんをコンサルタントとして紹介してもらいました。

Aさんは非常に優秀で、監査法人と協力しつつ瞬く間に上場に際して求められる規程を書き上げるとともに、JSOXで求められる業務処理記述書とRCM（リスクコントロールマトリックス）を整備し、直前期もAさんの監査法人へのうまい対応もあり、見事に上場を果たしました。

ところが、上場後に以下の問題が発覚してしまいました。

外部専門家はあくまでも外部の人

問題１．運用にかかる時間が増大し事業へ悪影響が…

Aさんは短期でJSOX体制を作る必要があったためにハードワークにより一人で内部統制の整備を達成しましたが、社内のヒアリングのための十分な時間が取れませんでした。

現場の実務に合わせた整備がなされておらず十分な趣旨説明もできていなかったことから、内部統制の運用にかかる作業時間が増大して事業拡大にかけられる時間を圧迫し、従業員から不満が噴出してしまいました…

問題２．過剰な整備でJSOX対応が過酷なものに…

監査法人からみて非の打ちどころがなく文句がないようにした結果、同じリスクに複数のキーコントロールを設定するなど、かなり保守的な設計となっていました。

キーコントロールが過度に設定された結果、JSOXで監査法人に提出しなければならない証憑も過剰となり、Aさんとの業務委託契約の終了後に突然指名されたJSOX担当者のBさんが対応に追われ、従業員からの不満を受け止めることも相まってBさんは心身ともに疲弊してしまいした…

どうすべきだったか

対策１．十分なヒアリング

外部専門家であるAさんは会社の業務とリソースを知りませんので、十分なヒアリングを行うべきでした。十分にヒアリングを行わないとその会社の業務にとって重要なリスクは何か、どのような内部統制であれば運用可能かが分かりません。

些末なリスクに対する内部統制を整備することはその運用コストに見合わないので無駄ですし、現場のリソースを理解していないと内部統制を整備しても現場の従業員が運用しきれないことがあります。

対策２．十分な趣旨説明

新たな内部統制が整備されても、現場の従業員が「なぜそれが必要なのか」を理解しないままでは適切な運用がされず、「無駄な作業だ」と不満を溜めることになります。

新たに内部統制を整備する場合は、その運用を担う従業員に対して、対応するリスクが何なのか、なぜその内部統制を整備・運用する必要があるのかを十分に説明しなければなりません。

対策３．キーマンとのコラボ

Aさんのような外部専門家は会社の業務とリソースを知りませんし、内部統制を実際に運用して守っていく従業員と継続してコミュニケーションをとっていくことはできませんので、会社内に内部統制の整備・運用をけん引していく人材が必要です。

Aさんだけがあるべき内部統制について語っても意味がなく、内部統制構築のためのキーマンになる人を探して一緒に考えるべきでした。この場合だとBさんだったのでしょう。

コンサルタントとしては、上場後もBさんが子会社内で内部統制の運用を主導してもらえるように「交通整理（タスクチームの立ち上げや組織作り）」や「権威付け（Bさんの発言を他の従業員が受け入れるように外部専門家として後押しする）」をすることが成功の秘訣ですね。

Ａさんは内部統制構築の成果を自分の手柄とせずBさんの功績として社内にアピールしてあげることでBさんもやる気になりますし、Aさんがいなくなった後も社内の権威としてうまく内部統制の運用を推進してくれることでしょう。

この対策１～３では「外部専門家としてどうすべきか」という視点で記載していますが、会社もこのような視点をもってうまく外部専門家を使いこなすことが大切です。

ケース２　新規に買収した子会社の内部統制の構築が頓挫

とある上場企業C社が新たなビジネス分野を開拓すべく、自社とは異なる事業を行うD社を買収しました。D社は光る技術を持っているものの内部統制は十分でないことから、入社以来C社のJSOXを担当してきた中堅Eさんに内部統制構築の責任者として白羽の矢が立ちました。

Eさんは内部統制の専門家としての自負もあり、この社命を受けD社に意気揚々と出向し、内部統制構築に着手しましたが…

親会社ルールとJSOXの知識で十分ですか？

問題１．運用されない内部統制…

Eさんは上場企業C社の内部統制はJSOXの監査も受けており完璧だと思い、D社にも親会社と同じルールを適用することにしました。

その結果、そもそも規模が小さいD社ではそもそも同じ運用ができるだけのリソースもなく、現場では「こんなルールは実現不可能だよね」と制定されたルールとは違う運用がなされるようになり、後日行われた親会社からの内部監査で指摘され怒られることに…

問題２．必要な内部統制が整備されてない…

D社は自社商品の海外進出を狙って輸出取引を始めましたが、C社は国内事業のみを行う会社でした。Eさんは親会社であるC社と同じルールを適用しただけだったので、貿易関連のルールの整備が不十分でした。

その結果、輸出手続について必要な法的要件を満たしていないことが発覚し、危うく外為法違反で摘発されるところでした…

問題３．マルウェアへの感染…

D社にはITエンジニアもおらず、パソコンに少し詳しい経理部長がパソコンやサーバー、通信環境の整備などのITまわりの管理を行っていました。

ある日、営業部の従業員が自宅で作業するために個人のUSBメモリを会社のパソコンに指してデータを取り出したところ、ランサムウェアに感染し、そのパソコンはおろかサーバー内の共有データまで開けなくなってしまいました…

慌てて親会社の情報システム部に助けを仰ぎ最新のウイルス対策ソフトをインストールしたことでなんとかランサムウェアを駆除することができたこと、D社は該当PCとサーバーでは個人情報等を扱うことが限定的であったため重要な情報流出もないと考えられたことから、ギリギリ深刻な事態を回避することができました。しかし、場合によってはD社は大損害を被るところでした。

どうすべきだったか

対策１．D社に見合った内部統制の整備

潤沢にリソースがある親会社のルールをそのまま子会社に適用しても、実際には人手が足りなくて運用できないことが良くあります。D社の業務を理解しそのリスクとリソースに応じた内部統制を整備すべきでした。

また、Eさんが会社に存在するリスクを理解したうえで「なぜその内部統制が必要なのか」を現場に説明できていれば、ルールが無視されることもなかったかもしれませんね。

対策２．会社に存在するリスクと必要な内部統制の網羅的な把握

EさんはJSOXの業務を通じて身につけた得意分野である財務報告目的の内部統制の整備を行うことはできましたが、会社に必要な内部統制を網羅的に検討することができていませんでした。

JSOXの知識だけでなく広く内部統制に対する知識を有する者を派遣するか、内部統制の網羅性をチェックできるチェックリストなどのツールを用いて、D社に必要な内部統制を網羅的に確認する必要がありました。

対策３．ITセキュリティも重要な内部統制

大きな会社には情報システム部のようなIT環境に責任を持つ部署があり、従業員はパソコン等を安心して不自由なく使うことが可能となっています。他方で、内容があまりに専門的であるがゆえにその重要性が理解されず軽視されがちです。

内部統制の構築を担う者が直接的にITセキュリティの知識を有し対策を構築ないし指示できることが理想ですが、そうでなくてもITセキュリティが重要な内部統制であることを認識し、ITセキュリティに詳しいエンジニアを雇用したり、ITセキュリティ対策を外注する等の対策を取るべきでした。

また、そのうえで、ITセキュリティのために必要な基本動作を、定期的な社内研修や注意喚起メール等により分かりやすく周知することも大切です。

まとめ

会社はリスクに備える仕組みとして内部統制を整備・運用する必要があります。

ルールを形式的に適用するのではなく「会社にとってのリスクがどの程度あるか」「会社のリソースに応じて他にやり方はないのか」をよく調査して内部統制を構築することが重要です。

また、公認会計士も含め、財務報告目的のリスクと内部統制は十分に理解している人が多いですが、財務報告目的以外のビジネスリスクと内部統制についても考えなければなりません。

特に近年はIT環境への外部的な攻撃（マルウェア、不正アクセス等）や内部的な行動（情報漏洩等）による損害が多く報告されており急激にリスクが高まっているので、内部統制を考える上ではITセキュリティについても一定のリテラシーが求められます。

上記のような問題に対処するために、網羅的かつ具体的に会社にあるリスクと必要な内部統制を把握したい方は、拙著『チェックリストでリスクが見える　内部統制構築ガイド』（中央経済社）を手に取っていただけるとうれしいです。

また、その前段階として、会社にはどのような業務があるのかを網羅的に理解したい方は、拙著『業務をまるごと見える化する　経理・財務のフローチャート40』（中央経済社）もお勧めです。

本連載と拙著が皆様の業務の参考となれば幸いです。

（上記のケースはフィクションです。実在の人物や団体などとは関係ありません）

【執筆者紹介】
菅　信浩（すが・のぶひろ）
上場準備中の不動産デベロッパー（現在は東証プライム上場）にて営業経験を積んだのち、当該会社の上場を契機に公認会計士を目指す。合格後に朝日監査法人（現有限責任あずさ監査法人）へ入所し、100社超の監査業務、IPO支援、JSOXアドバイザリー等を担当。その後、大手総合商社へ転職後、数多くのM&AやPMI、内部統制構築に携わり、現在は台湾の海外子会社にCAOとして駐在。著書に、『チェックリストでリスクが見える　内部統制構築ガイド』、『業務をまるごと見える化する　経理・財務のフローチャート40』（いずれも中央経済社刊）。

◆バックナンバー
【第２回】内部統制が必要な理由

【第１回】内部統制の実務に関する「落とし穴」