前回に引き続き、日本版SOX法についてお話します。日本版SOX法とは、内部統制に関する報告を義務付けるものであり、従来以上にしっかりとした内部統制が求められます。内部統制の目的としては、以下の4つがあげられています。
・業務の有効性・効率性
・財務報告の信頼性
・法令等の遵守
・資産の保全
これらの目的を達成する構成要素として、下記の6つがあげられています。
(1) 統制環境
(2) リスクの評価と対応
(3) 統制活動
(4) 情報と伝達
(5) モニタリング
(6) ITへの対応
この6番目「ITへの対応」は、日本版オリジナルで米国版にはなかったものですが、ITなくして内部統制の実現は困難であるという意味だそうです。
前回、例に挙げた「作成・審査・承認に対する3ハンコ」の話ですが、責任を明
確にする上で必要不可欠なものです。しかし、日本には中間管理職を含む関係者(ステークスホルダー)が多く介在し、ピラミッド型の組織を形成しており、ハンコを3つにすることが困難な状態にあります。トヨタのような先進的な企業では、フラット型といわれる階層の少ない組織を実現していますが、一般的な企業ではまだまだです。
そこで、ここでITを用います。つまり、作成文書のワークフローを作成・審査・承認の流れと並行して閲覧用の流れをつくり、随時相応レベルの相手に指示、助言を行える仕組みを作れば、責任の明確さと組織階層を両立させることが可能になります。
具体的には、作成者から審査者へ移る間に、その中間に位置する社員は、修正があれば作成者に指示を、補足であれば審査者に助言できる仕組みを設けます。 ITであれば、これらをそのまま記録することが可能ですから、作成者・審査者が自分の意思以外で変更した理由が明確になります。 もちろん、長期的には、 3人(作成者・審査者・承認者)以外は閲覧のみで済むようなフラットな体制作りが必要でしょう。そのステップに移行するためにも、本来の流れと補足の流れにきちんと分離し、業務の流れに急激な変化を与えることなく内部統制ができる仕組みをITで行う必要があるのです。
目的のひとつである「財務報告の信頼性」にも、ITは有効です。手書き或いはシステム間の転記がある場合は、そこに人間の錯誤や意図的な介入が出てきます。しかし、ITでデータ連携を自動化すれば、介入や錯誤はなくなり、信頼性向上が図れます。(もちろん、システム自体の信頼性は別の形で証明する必要があります。)昨今見直されているERPは、信頼性を確保した上で業務最適化を図れるツールとして重要性を帯びてくるでしょう。
建設業においても、現場から支店、支店から本社への情報の流れに対して適切な統制を図るべきです。中小建設業でのIT化は、まだまだ過渡期だといわれていますが、上記のように内部統制を意識したIT化を図ることが、最終的には業務効率化につながっていきます。
とはいえ、もっとも重要なのは、現状の業務手順をそのままIT化するのではなく、業務手順をきちんと見直し、部分最適でない全体最適(木だけでなく森を見る)を行ったうえでIT化を行うことです。ISO事例の二の舞にならないようにしましょう。