内部統制をホンキで考える

皆様のところでは内部統制は十分にやっていますでしょうか。
「内部統制、ちゃんと業務フローを制定して、サインやハンコをやっているから、もし何か問題が発生しても、誰が犯人かすぐわかるようにしているよ」
こんな声が聞こえてくる日本社会ですが、そもそも間違っているように思えます。

はい、日本は昔からハンコ文化。ハンコを押すということの重みは解っているので、ハンコを押す＝内部統制できていますという感じかもしれません。

そもそも内部統制は、6つの基本的要素から構成されます。

1. 統制環境　（その会社の文化）

2. リスクの評価と対応

3. 統制活動（具体的な手続き）

4. 情報と伝達

5. モニタリング　（内部統制の有効性を継続的に評価するプロセス）

6. ICTへの対応

内部統制として、統制活動だけが対象になっていませんか？社内で不正を起こすことは、致し方ないところがあります。だって人間だもの。不正を0にすることが、できるに越したことはないですが、不正を放置することが問題を大きくしてしまうわけです。
人を疑う仕組みではなく、人に罪を作らせない仕組みにするべきで、それにはノウハウ、文化（規約）、でチェックを行い、早期に課題を見つけ出す必要があります。しかしながら、このあたりの人力でのチェックには限界があります。
つまり、リスクの評価・情報と伝達。モニタリングをICTで行うと、勝手にICTへの対応が成立するのです。

では、どうやってやるか。

リスクの評価は、極力ルール化して自動判断としたほうが良いでしょう。ここは法制度や会計技術に照らし合わせたチェックが主かと思います。毎年の施行にあわせてルールを変えていかなければならず、ロジックの改変に強いルールエンジンが得意とする領域です。
情報と伝達は、ビジネスプロセスそのものです。今どきのビジネスプロセスツールは、決められたフローを山程書く必要がなく、アドホックにプロセスを必要なときに必要な分だけ実行できるようになっています。

モニタリングとは、社内規定に違反しているかどうかをチェックするものであり、リアルタイムでチェックしても良いくらいのものです。悪いこととはいたちごっこになりますので、不正が発見され次第、ロジックを追加して知識（文化）としていつでも実行できるようにしておくべきです。社内の文化、つまり社内規定が元になるので、イベントドリブンな仕組みとルールエンジンを組み合わせると良いと思います。

ルールエンジンやらビジネスプロセスツールなど、ICTの用語を使いましたが、不明であれば是非お問い合わせください。

繰り返しになりますが、内部統制は犯人探しの仕組みではなく、人に罪を負わせないようにする仕組みなのです。そのためには常にモニタリングする必要があり、まさにICT化による効果が絶大な分野になります。経理部門とIT部門との相互協力で実現できるものです。

（参考文献：会計の基本：岩谷誠治著、日本実業出版社）