前回は、内部統制導入にめぐる誤解(および方向性)として
「業務記述書に現状業務をそのまま記述するより、業務フローをまず表現してそこから改善機会を検討するのが効果的」
という内容をお伝えした。
今回は「業務において識別すべきリスク」にまつわる誤解についてお伝えしたい。
「なんでもかんでもリスク」の誤解
内部統制報告制度は
「財務報告リスクを合理的に低減させるための制度」
といわれている。具体的にはどのようなものを指すのだろうか?
典型的なところでは
「経理規程が整備されていないため正しい決算書を作る組織的ルールが存在しない」
(全社的な統制のケース)
「見積や予測をともなう特殊な会計処理について、合理的な判断基準によるためのルールが存在しない」
(決算・財務プロセス統制のケース)
「会計システムの保守運用が適切な手続にもとづいて行われない」
(IT全般統制のケース)
などがあげられよう。
では、このようなケースはいかがだろうか?
「商品を配送トラックが間違えた場所に送ってしまう」
「会社のオフィスに不審人物が入ってくる」
「決算作業中に本社で大地震が起きて業務が停止する」
上記は、筆者が内部統制構築支援に携わる過程で散見された「リスクを過剰に識別してしまった誤解」の実例である。これらは広い意味での業務リスクに該当するが、「財務報告」という目的との因果関係や、発生確率といった観点から考えると必ずしも「財務報告リスク」としてとらえなくてよいものといえる。
ちなみに、とある会社さんでは
「不審人物が入ってきて決算書データを盗むかもしれないからこれは財務報告リスクではないでしょうか」
と問われたことがあり、筆者は反応に困ってしまった・・・いろいろな考え方があるものだ。
上記は極端なケースだが、このような「リスク過剰」の考え方で文書化に取り組むと、後の作業が大変だ。なんでもとにかく仕事を進めるステップのひとつひとつでチェックを徹底したり、財務報告と関係ないリスクに対して不必要なコントロールを設計してしまったりと、デメリットばかり出てきてしまう。
費用対効果の面からも、リスクを過剰に識別してしまうとそれに対するコントロールも過剰にならざるをえず、結果としてコストに見合わない内部統制を構築してしまう罠に陥ってしまう。
内部統制報告制度が「業務効率の向上」を一つの目的としている趣旨にも逆らうものとなり、このような対応は好ましくない。
「決算書の数値」から逆引きで考え、全体感を押さえよう
では、「やりすぎず」「ほどほどに」かつ「適切に」リスクを識別するためにはどうすればよいか?
再度「財務報告リスク」という考え方に立ち返って考えてみたい。
最終的には「正しい決算書情報を作成できるかどうか」がポイントになるので、そこから逆引きで考えよう。
「決算書の数値が間違ったものになる」
↓
「特定の勘定科目の数値が間違ったものになる」
↓
「特定の勘定科目の数値を作るプロセスとリスクを特定する」
とたどることで、リスクの識別にあたっては
「特定の勘定科目の数字を作るうえで重大な影響があるかどうか」
というモノサシをもってあたることをすすめたい。
たとえば
「決算書の数値が間違ったものになる」
↓
「製品在庫の金額が実際の残高と大きく違うものになる」
↓
「在庫修正のプロセスで、(入力のチェックを行っていないため)
入力データが間違ったものになる」(在庫データが間違うのは影響が重大)
といった具合。
リスクの数についても、ひとつひとつの業務プロセスすべてにリスクがあると考えるのではなく、そのプロセス全体を俯瞰して
「特定の勘定科目の数字を作るうえで重大な影響があるかどうか」
という観点でリスクを抽出する。
このように「全体感」を押さえてリスクを識別することで、コントロールの設計もポイントを押さえて進めることが可能になる。とかく細かにリスクを識別しがちな文書化の作業では、細かい部分に入り込みすぎず、重要なリスクに着目して作業するのがポイントとなる。
良くも悪くも
「ほどほどに手間をかけて」
内部統制を構築するように努めてみてはいかがだろう?