中小企業の戦略的情報システム構築術（4）：内部統制のステップ

　ものには順序というものがある。順序を間違えると、なるものもならない。かといって、手順ばかり考えていると本質を見失う。ところが、順序や本質を無視していても、ものを楽しむことはできるから世の中は難しい。いずれにしても、何を優先するかで結果は違ってくることに間違いは無いようだ。

　内部統制の枠組みには「組織統制」、「業務処理統制」、「IT統制｣の3つがある。中小企業の多くはこれらの中から比較的「IT統制｣を先に構築したいと考えがちである。それは、内部統制が組み込まれているコンピュータシステムさえ導入すれば「組織統制」や「業務処理統制」も一緒に解決できそうな気がしているからだろう。

　しかし、IT統制といってもITだけではなく、組織や業務処理を含めた統制の構築が重要なことは前回の「内部統制のガイドライン」で述べたところだ。特に中小企業の目的は、「企業体質の強化」と「社会的価値の創造」にあるから、「IT統制｣は後回しにして、「組織統制」と「業務処理統制」の構築を優先したほうがよいことになる。

　また、中堅企業は「組織統制」から、小企業は「業務処理統制」から着手するのがスムーズな順序だと言える。しかし、スムーズな順序よりも自社にとって何が大事なのかを見据えた手順の方がより重要になることもある。検討した結果によっては「IT統制｣から着手する企業があってもそれはそれで悪い選択にはならないのである。


　どの統制から着手するにもしても、中小企業が確実に内部統制を構築するためには次の5つのステップの順序がお勧めだ。


　マーケティングにベンチマーキングという手法がある。ベンチマーキングとは、ビジネスプロセスの非効率な部分を改善するための経営改善手法である。他分野における最も優れた実践事例（ベストプラクティス）を分析し、それを指標（ベンチマーク）にして、自社の活動を測定・評価をした上で変革を進めていこうというものだ。簡単に言うと、人のよいところを真似しようということである。

　内部統制構築にもこのベンチマーキングの考え方は有効だ。この場合、ベストプラクティスはガイダンスが指し示してくれているので、これをベンチマークにして改革に着手すればよいことになる。

　それには1.の「ガイドラインの読み込み」は欠かせない作業である。その目的は、ベストプラクティスは何かということを明らかにすることだ。また、ガイドラインをよく読むことで企業が求める近未来像が確実に見えてくることも重要である。

　次に、ベンチマーキングには自社の統制レベルの客観的な測定・評価が必要だ。それが、2.の「スコアリング」による内部統制レベルの評価である。スコアリングについては本連載の初回「ITレベルの格付け」に述べたが、「組織統制」、「業務処理統制」、「IT統制｣の3つに対しての自社評価を点数で把握しておきたい。これを自社で行うのが難しければ、コンサルティング会社や公的機関からのウェブサイトを参考にされたらよいであろう。

　1.と2.で内部統制の目標と対象が明らかになると、次はいよいよ内部統制構築の着手である。その最初にとりかかるのは、3.の「業務プロセスの文書化」(業務マニュアルの可視化)だ。これは内部統制の3点セットと呼ばれる「業務フロー図」、「リスクコントロールマトリクス」、「業務記述書」からなる文書群の作成である。

　大企業は日本版SOX法が求めているこの文書を整備するのに昨年は大変苦労したに違いない。しかし、中小企業では大企業と同じような文書を作成しなくてもよいので気が楽だ。大企業ではその整備が必須条件だが、中小企業は整備したいマネジメントから始めればよく、その質は誰からも問われない点は第2回「日本版SOX法を味方につける 」を参考にしてもらいたい。

　これを作成するにはマイクロソフトのVisioが便利である。内部統制テンプレートというツールがあり、Excelなどとの連携ができる。このようなツールを用い、業務プロセスを可視化していければ内部統制は確実に進むものだ。