“なるほどこれが「内部統制」か！”を読んで

いわゆる“内部統制”とは　何か。法律関係に疎い理系出身者には　手出しし難いテーマと思い込んで　今まで　そーっとしていました。
ですが　私の勤務先でも世の習いか、“内部統制準備室”なるものができて、さて我が業務に今後どのような影響が及ぶのか　“予防処置”しておく必要を感じ、この本を読んだのです。副題が“ミドルマネジメントのためのERM（統合的リスク管理）事始め”であり、さらに この本の“はじめに”には次のような記述もありました。“本書は、自分自身の行動の座標軸として使えるように、内部統制の知識をまとめたものです。” まさに 私が読む目的と合致するものと思って読んだものです。

さらに著者は次のように理解することが重要だと言っています。
“ポイント1．内部統制は簡単なことだ” “ポイント2．誰もが、すでにやっている内部統制” “ポイント3.内部統制の限界を理解し、自分は何ができるか考える”

かくして読み終えた時の 第一印象としては ISOマネジメントも当然のごとく内部統制の一つであり、しかも恐らく それ以外の“統制”に比べて、際立って厳密なシステムの下にあるマネジメント手法の一つではないかと思いました。
内部統制の考え方の歴史から始まって、とにかく 初学者には有効な分かり易い本であることは確かです。

COSOキューブとは、1992年に米国のトレッドウェイ委員会組織委員会(COSO：the Committee of Sponsoring Organization of the Treadway Commission）が発表した、内部統制の基本的な枠組みを示した図のことで、三つの目的(・業務の有効性と効率性　・財務報告の信頼性　・コンプライアンス)と五つの構成要素(・統制環境　・リスクの評価　・統制活動　・情報と伝達　・監視活動)が基本です。



キィ・ワードは“いったい何ができれば(管理)体制が整備されたことになるのか”であり、それに対する回答はなかなかなかったが、“以下ができると体制が整備されたことになります。”と　次の項目を挙げています。
“ルールが存在する。／ルールが周知徹底される。／ルールが定着する。／ルールの定着を監視する。／ルール違反へ対処する。”（IBMコンサルティング マネジメントコンサルタント近藤利昭氏による、とあり。）
これは、“ルール＝文書化”と考えれば、中小企業ではなかなか理解してもらえないルールやその文書化の重要性について語られているとも考えられます。そしてISOマネジメントは　このルールの徹底のための　具体的なマネジメント・システムであると言えます。

文書の整備が体制整備の証として認識されており、その“ツールとしては、「業務の流れ図」(フローチャート)、「業務記述書」(業務に応じた)、「リスクと統制の対応表」が代表的なものである”といわゆる文書3点セットを示しています。その記述のかなり後ろに“フローチャートと簡単にいいますが、日本のサラリーマンでフローチャートが読める人は100人中5人。書ける人は1人に満たないでしょう。”とあるのに　私は仰天しました。これホンマ？！もし、本当ならばプロセス・アプローチやシステム・アプローチの人々の理解は どうなるのだろう、と。ほとんど絶望ではないか、と思った次第です。
“業務記述書” とは、自分の業績を述べるための陳述書のような印象ですが、業務実施のための“手順書”のことのようです。
それにしても、“リスクと統制の対応表　Risk Control Matrix”に登場する“統制上の要点・アサーション”は分かり難い。字義は容易なのですが、内容は直ぐには腑に落ちないような感じです。これには 金融・経理・財務関係者の特有のコンセプトが入っている印象です。具体的には次の項目です。①実在性(架空取引がないか)　②網羅性(計上すべき項目が意図的に抜けていないか)　③権利と義務の帰属(資産と負債の帰属の適切性)　④評価の妥当性(資産等の適切な評価)　⑤期間配分の適切性　⑥表示の妥当性
要するに　実態を正確に帳簿に反映させており、意図的不正がないこと　だと思いました。

さらに、内部統制の限界も語られており、これは あらゆる経営手法の適用時に必ず問題となる 経営者側の負の側面です。（以下は平成17年7月の金融庁企業会計審議会“財務報告に係る内部統制の評価及び監査の基準の公表について”からの引用と思われる）

“内部統制は、次のような固有の限界を有するため、その目的の達成にとって絶対的なものではないが、各基本要素が有機的に結びつき、一体となって機能することで、その目的を合理的な範囲で達成しようとするものである。
(1)内部統制は、判断の誤り、不注意、複数の担当者による共謀によって有効に機能しなくなる場合がある。
(2)内部統制は、当初想定していなかった組織内外の環境の変化や非定型的な取引等には、必ずしも対応しない場合がある。
(3)内部統制の整備及び運用に際しては、費用と便益との比較衡量が求められる。
(4)経営者が不当な目的の為に内部統制を無視ないし無効ならしめることがある。”

要するに 経営者がマイナス思考や私利私欲に走れば あらゆるマネジメント手法は　その目的を逸脱するということであり、また 経営者の意志が明確でなければ 何事も始まらないのだ、ということに尽きると 強く確信したのです。そして 私が毎週コメントいたしております “ISOを活かす”の事例に登場する経営者の 意志の不明確さ、他人任せの精神構造の何と多いことか、と嘆息せざるを得ないのが日本の企業の現状でしょうか。
また、内部統制に限界があるなら、それは外部統制に従うことになるのですが、外部統制に引っかかる（企業を含む）組織の活動は 既にその組織を存亡の危機に陥れるものであることを認識するべきなのでしょう。逆に言えば、そう ならないための内部統制なのであり、その意義は そこにあるのでしょう。内向きだけの統制ではなく向社会性の重要性も ここで再認識しました。

著者は日本版“SOX法” はITの概念が入っているから本家米国版より新しい考え方だと政府側は主張しているが、ITは業務のベースになる要素なので、それが重要な問題ではなく、むしろERM(Enterprise Risk Management)の概念が入っていないから“すでに時代遅れだ”と言っています。“ERMとは全社的なリスクを統合して管理する方法”と言っています。そしてこのERMのプロセスを回していくのにPDCAの概念が必要だと述べています。ここで、ISOマネジメントに言及しています。日本はこの面での管理技術は得意だろうからERMにも十分に取組めるし、世界に挑む勝機はここにあるだろうとまで言っていますが、これは　いささか大げさな印象です。

ジャック・ウェルチは戦略構築の要点として、次のことを言っていると紹介しています。
①競争する市場はどんな状況か？　②最近、競争相手は何をしているか？　③私たちは最近、何をしたのか？　④夜眠れなくなるような出来事あるいは起こりそうな変化があるとすれば何だろう？　⑤それらのことを全て勘案して、私たちは勝つためにどう行動すればいいのだ？
このうちの④こそリスク・マネジメントへの切り口であり、リスク対策には“回避，軽減，移転，受容”の4つがあると指摘しています。経営者が　具体的にどれを選択するかは、戦略的に重要で成長を目指すビジネスには　リスクを“受容”しようとし、安定を志向するビジネスについては、不必要なリスクを“回避”“軽減”するべきであろう、と言っています。

また　ピーター・ドラッカーはトップ・マネジメントの役割について　次を挙げているとも紹介しています。
①事業の目的を考える　②基準を設定する　③組織を作り上げ、それを維持する　④渉外　⑤儀礼的役割　⑥重大な危機に際して自ら出動する
そして、リスク・マネジメントに関係するのは②と③であり、“ERMの理想を企業内に高く掲げ”、“ERMを担当する部署をつくり、その水準を高めていくこと” が　経営者のするべき行動であると指摘しています。

しかし、結局のところ“内部統制”とは 金融・経理・財務関係者を読者と想定しているようです。したがって 私には縁遠い内容だったと、いうことになるのでしょうか。そんなことはこの本の出版社の名称（社・金融財政事情研究会）を見れば当然のことだったのですが・・・・。ならば　単に“内部統制”と呼ぶべきものではないのではないかと思うのです。
しかし、いずれにせよ 著者・水島氏が 終始指摘していたのは、“主体的に考え、対処すること”の重要性であり、金融・経理・財務関係者でなくてもERMを取り込んで行くことの大切さであるように思ったのです。