内部統制報告制度の実効性について考える。
　2023年4月に公開されたいわゆる「実施基準」の冒頭に、内部統制報告制度の実効性に関する懸念が指摘されているとある。たとえば、内部統制報告書に記載する「開示すべき重要な不備」が内部統制評価の範囲外から識別される事例が少なくないという。
　内部統制評価の範囲の決め方は実施基準にあり、事業拠点を売上高の大きい順に並べて、上位から累計で連結売上高の2/3を占めるまでを重要は事業拠点とする考え方が例示され、さらに重要性の大きい業務プロセスがあれば評価対象に追加することとしている。この、「他に重要性の大きい業務プロセス」を洗い出すのが、本社にいる内部監査人には難しい。リスクの実態が各拠点でしかわからないものもある。したがって、全拠点の幹部に、虚偽記載リスクを理解させ、「重要性の大きい業務プロセス」の識別に協力してもらう必要がある。
　それは、実は単純な話だ。重要な虚偽記載リスクにつながる事項はたいてい予算化されている。その項目に関する業務上の誤りや予算管理上のごまかし、失敗の隠ぺい・先送りが虚偽記載につながる。製造原価予算や建設工事の積算予算も含む。それらの誤りやごまかしなどのリスクは、各拠点の幹部は知っている。それらが、単なる倫理上の問題ではなく、財務報告の虚偽記載（犯罪になる場合もある行為）につながることを周知すればよい。特に、生産量や在庫量のごまかしは、金額的な影響が直接見えないので注意喚起したい。
　一方、子会社のある業務にリスクがあることに気付いても、内部統制評価の範囲に加えたくない理由がある。それを評価範囲に加えると、その業務を担う子会社の全社統制評価とIT統制評価が自動的に評価範囲に加わり、負担が大きく増えるのだ。それはなるべく抑えたいところだ。そういう場合は、評価範囲に加える業務のリスクに応じて全社統制評価とIT統制評価を簡素化し、負担軽減を検討することができる。
　内部統制評価範囲を決めるとき、実施基準にある「連結売上高の2/3」、「売上高・売掛金・棚卸資産につながる業務処理」を機械的に当てはめる例もあるようだが、それは間違いだ。たとえば装置産業の製造業なら固定資産が大きな製造子会社の固定資産管理プロセスを、付加価値が大きい製造業なら原材料購買プロセスや在庫管理プロセスを追加する。その結果、売上高のカバー率は2/3をはるかに超えてしまうかもしれないが、それでよい。
　内部統制評価が形骸化したケースがある。内部統制評価をしてはいるが、三点セット（業務フロー、業務記述書、RCM）は実態と一致しておらず、不備があっても指摘せず、というようなケースだ。三点セットの維持管理には各業務の担当部署の協力が不可欠だ。毎年当事者が点検すれば、負担はそれほど大きくないうえに、その部署の管理者や担当者にとっては、内部統制整備が自分事になる。あるいは、評価で不備を見つけたら、素直に指摘して、期末までに改善すればよい。そうすれば、内部統制報告制度が形骸化することは予防できる。
　三点セットの維持管理に各業務の担当部署の協力が得られ、彼らに点検してもらうと、部署によって固有の修正が生じ、三点セットに組み込まれる。そのとき、キーコントロールの手順を共通にしておかないと、運用状況評価の負担が重くなる。さらに、情報システムを共通にしておかないと、IT業務処理統制評価も重くなる。情報システムを全社共通にしたとしても、部署固有の機能を追加すると、評価を個別にしなければならなくなるので、よほどの理由がなければ避けるべきだ。
　内部統制報告制度への対応を、他への影響をさせないで整備・運用するのは、楽をしているようでできていない。取締役会を含む全社的内部統制や各部署の管理者を含む財務報告虚偽記載リスクに関する教育、業務の標準化、そしてITを含めて考えることにより、最も合理的に実効性を担保できる。
（ブログ 2024/12/16～2024/12/22）