ACL ビタミンメール（メールマガジン）に掲載しているコラムをご紹介しています。コラムの筆者は、日本マネジメント総合研究所 理事であり、今話題の講師として人気の 戸村　智憲 様より寄稿いただいております。内部統制を題材にさまざまな切り口でみなさまのちょっとした疑問やヒントをコラム形式でお答えしております。ぜひご覧ください。

■執筆者

日本マネジメント総合研究所　理事長
岡山大学大学院非常勤講師　公認不正検査士　　戸村　智憲 氏
http://www.jmri.jp

『経営偽装：不祥事対策への警鐘を鳴らす 20の視座』(拙著)からの問題提起

内部統制のこれまでの研究成果・集大成が、今の J-SOX 程度のものなのか？

内部統制はこれまで米国を中心に研究が重ねられてきたのは、皆様が既にご存知の通りです。その結実として、日本でも日本版 SOX 法（金融商品取引法における内部統制）の対応がなされてきています。しかし、これまでの研究成果が、財務報告におけるごく限られた不祥事対策としてのみしか機能していない現実は、果たして、延々と不正対策の権威・先達の集大成と言えるほど、現場において機能しているのでしょうか。また、内部統制の現場を見てきた中で、重要な欠陥がたかだか２％程度しか出ていないのは、本当に誠実に、かつ、経営の実態として妥当な現状なのでしょうか。既存の内部統制研究や企業での対応は、むしろ、現場の業務活動の効率性・効果性を低下させ、企業活動の円滑な遂行を妨げ、過剰なリスク対応のために企業収益を圧迫する重荷になっているのが現状です。

また、財務報告に絞られた不祥事対策だけでは不十分で、業務の適正執行やコンプライアンスや資産の保全（ここでは、ヒト・モノ・カネ・情報(知財を含む)等の保全とします）において、より広範な対応が必要不可欠であるのは明白です。そこで、これまでに論じられ対策が取られてきた従来型の内部統制を見つめ直し、新たな経営環境・経営課題に向けて、内部統制が経営の「環境適応システム」のひとつとして更なる発展するよう、現行の内部統制システムの問題点に警鐘を鳴らすものとなるように試みた書籍を執筆いたしまいた。ここでは、その触りの部分だけですが、少しだけ筆者の思いや考えを同書で述べたようなことからお伝えさせていただければと思います。

自社の「憲法」たる社是や経営理念の形骸化

昨今の偽装問題を引き起こした企業では、多くの場合、会社案内や自社ホームページにおいて、大変清らかな社是や経営理念やミッション（企業の社会的使命）を掲げています。例えば、「我が社は最高の製品・サービスをお客様に提供します」といったものや、「法令を守り清く正しい経営をします」といったものなど、様々な美辞麗句が並べたてられることが多く見られます。しかし、そういった企業の経営陣や現場の実際のところは、社是や経営理念やミッションはあくまでも会社の壁に掲げられた、立派な額に毛筆で書かれた自社の社会的な体裁を整えるためだけの調度品程度の意味合いにしか受け止められていないことに、筆者は非常に違和感を持っています。

そもそも、「社是」は書いて字のごとく、自社が是とするものと非とするものを分ける企業の意思決定を左右する「憲法」のようなものであるはずです。経営理念もミッションも、本来、経営活動を行う際に犯してはならないものとして機能するはずのものであるのは当たり前のことです。しかし、偽装問題や不祥事を起こした企業では、ことごとく社是・経営理念・ミッションが軽んじられ、違法な利益至上主義を追求している惨状が白日の下にさらけ出されています。例えば、建築基準を偽装してあたかも最高の製品（建築物）を施主に提供しているかのように装った施工業者は、建築基準法を犯し、社是・経営理念・ミッションを犯し、顧客を欺いていました。

また、自社の食品を「高級な飛騨牛」であると装った企業では、法令違反をはじめ、業界の規制や社是・経営理念・ミッションを犯して問題となったことは周知の事実です。こういった企業は、あたかも自社が清廉な社是・経営理念・ミッションを掲げて高潔な経営に見せかけていながら、その実、中身が伴っていないため、社会的に良い企業としての経営を偽装しているといえる状態なのです。景品表示法では「優良誤認」という問題点が指摘されますが、社是をはじめとするミッション・ステートメントにおいて、清らかで公正で社会的正義を追求する企業であるとホームページや会社案内で声高に叫ぶ企業は、言ってみれば、「優良企業誤認」を消費者や取引先等に与える「違法」な企業だ、というように筆者は感じているのです。

そこで、同書では、このように、法令をはじめ、社是・経営理念・ミッション等に背いたり、実態として自社の活動を良く見せかけていたりする経営システム( IT 面も非 IT 面も含む)になっている企業や経営陣の行いを「経営偽装」と呼んでいます。

J-SOX 対策に次いで IFRS へ向かう企業が、依然として、サービス残業を行っている・・・

各企業での内部統制対応を見ると、J-SOX の空虚な文書を作って、同じく空虚な監査意見を得て、「我が社の内部統制はすべてにおいて適正なのだ」と思いこんでいる経営陣が異常なくらい多くいます。内部統制は、本来、J-SOX だけのものではなく、法令遵守を含めたものであり、J-SOX 対応をとりあえず終えた企業でも、判例や新会社法上の広範な内部統制対応・リスクマネジメントが不十分な企業が山のように多く見うけられます。しかし、そのような企業が、もれなくと言って良いほど、「次は IFRS だ」と言って、足下を固められていないままに新たなテーマに飛びついているのは、企業として本当に正しい姿勢でしょうか。また、J-SOX だけの狭義の内部統制対応が終わったことで、広義の内部統制があたかも万全であると「経営偽装」し、その実、サービス残業を強いているような経営実態が、果たして妥当なことだと言えるのでしょうか。

筆者は、2010年2月19日(金)に、(社)日本経営協会さま主催で監査法人のトーマツさんとデロイトトーマツコンサルティングの方と共に、IFRSセミナーで登壇して IFRS について指導します。（セミナー詳細はこちら）ただ、筆者は、このようなセミナーでも、よくある IFRS の逐条解説を IFRS の真髄であるかのようにもっともらしくお話しするのではなく、あくまでも内部統制の一部として(まさしく、IFRS：国際会計基準、厳密には、国際財務報告基準という、内部統制の財務報告の健全性を高める目的に合致)、また、よく陥りがちなポイントについて警鐘を鳴らしつつお話しするようにしています。（もちろん、新規テーマへの学習意欲や向上心は良いのです。見過ごされたり、置き去りにされたりしがちな大切な問題から目をそむけてはいけないということです。）

また、判例や新会社法等に基づく内部統制についても、継続してその重要性を訴えかけると共に企業での指導にあたっております。最近は、福祉介護や医療系の団体・企業の方にも、内部統制の指導を深めていたり、自治体や学校法人などにも内部統制の重要性をお伝えしたりしているところです。その際、福祉介護系の中堅中小規模の方々は、Pマーク(個人情報保護の観点からは、法令遵守の内部統制の目的に合致)についてのご興味が高くなってきている反面、労働基準法・労働契約法に基づくサービス残業は、従業員が受け入れて当たり前だ、といった経営トップや施設長の方々も多くいます。確かに、Pマークをとったり J-SOX 対応であれば適正意見を監査法人から得たりすることは、パッと見て「優良企業だ」と思いこませる上で、都合良くアピールしやすいのかもしれません。

一方、なかなか表に現れないサービス残業問題や内部通報者への報復やセクハラ・パワハラなどへの対策は、大手企業になればなるほど、とかく隠ぺいされてしまいます。内部統制の実態として妥当でなくても、コツコツと「陰徳を積む」ような内部統制対応がなされないまま、J-SOX ショーや IFRS ショーといった舞台の上だけで部分的に良いパフォーマンスを演じて、ひたすら「経営偽装」に励もうとする企業が多いことは、大変残念なことです。

このように、見せかけだけは「優良な企業」を装う「経営偽装」に対し、今までは書籍として述べられてこなかった、一歩踏み込んだ指摘や問題提起や対応策などについて、拙著において述べていくことに致しました。内部統制という観点からだけでなく、CSR における経営偽装や、新たに東証が本年春より要求する「独立役員」の設置で注目のコーポレート・ガバナンスについても、一石を投じられればと思っております。

もしよろしければ、下記の拙著をご一読いただき、率直なご意見・ご感想などを筆者（info@jmri.jp）にお寄せいただければ幸いです。各企業が地道であっても誠実で、「優良企業」を装うことなく実態として優良な企業になられることを、筆者は切に願っております。

上記の書籍ご案内
　書名：『経営偽装：不祥事対策への警鐘を鳴らす　20の視座』
　著者：戸村智憲
　出版社：税務経理協会（2010年1月刊行）

IT 統制は「クラウド統制」へ：「ハイブリッド型クラウド」によるかしこい内部統制対策

山積する IT 統制への監査指摘に対応するには、適宜、クラウドを有効活用するしかない

J-SOX における監査対応において、一部の相当優良な企業を除き、多くの企業で IT 統制上の監査指摘が出てきています。その全てに効率的に対応するには、部分的には人海戦術で対応できなくはありませんが、IT 機能の向上なくして効率的な内部統制の充実はあり得ません。従来の IT ベンダーの見積もりを取れば、J-SOX 監査における IT 統制の監査指摘事項を全て対応する際、初期費用だけで数千万円～数億円かかる企業は少数派ではないでしょう。

しかし、従来の従来の重厚長大型のシステム構築で IT 統制対応をしようとすると、初期費用もメンテナンス費用も、運用保守の IT 要員の確保も、企業経営を非常に圧迫する重荷となります。また、オンプレミス（自社内での IT 資産保有）での対応では、自社が改ざんや恣意的な操作を行えるため、新たな厳しい監査指摘が出される可能性が高いと言えるでしょう。その一方、従来からのパッケージソフトを用いた対応を全て許容しないのは、手軽で成熟された高機能を持つ IT 統制対応ツールを使えなくなるのは不便ですし何でもかんでもクラウド化が良いとは言えない現状があります。そこで筆者は、最大限にクラウドを活用しつつ既存のパッケージソフトや IT 環境を活かして内部統制を充実させる「クラウド統制」を日本初で提唱しました。これまで業務委託先は、IT 統制上、自社以外にも J-SOX における内部統制対応を強いる厄介もの扱いと言えました。しかし、クラウド統制では、18号監査報告書か SAS70 レポートを出せる業務委託先に、これまでオンプレミスで対応していた IT 資産・運用保守をシフトし、「改ざんリスク・恣意性なき第三者」として逆手にとる、逆転の発想で低コストの IT 統制を加速させるのです。また、クラウド統制は、IT 資産をオンプレミスで「持つ」経営から、IT 資産を賢く「借りて使う」経営へ向けて、戦略・業務活動の効率性・有効性を高める手法として有意義です。

例えば、IT 全般統制でも BCM（事業継続性マネジメント）でも求められるバックアップについては、クラウド統制では、自社で物理的に2拠点にデータを分散して保存しなくても良くなります。また、クラウド統制では、自然とクラウド・サービスの提供側が、データを改ざんリスクも恣意性もなく分散保存する形態になるため、監査で指摘されるIT統制対応コストを低コストで満たせるようになります。

更に、クラウド統制で活用する拡張性が高くスイッチングコストが低いクラウド・サービスは、オンプレミスで IT 資産（ハードウェアやソフトウェアなど）を買い取りロックインされる IT 資産ではないので、気に入らなければ別のクラウドに乗り換えやすいというメリットを被監査企業にもたらします。

クラウドへの不安は杞憂

しかし、読者の皆様の中には、データをクラウド上、即ち、外部の第三者（委託先）に預ける不安を感じる方が多いかもしれません。一見して、オンプレミスでデータ管理を完結する方が安全に思えるかもしれませんが、自社内でデータ管理を行うことは本当に安全だと言えるのでしょうか。ここで皆様に質問です。皆様はご自身の財産をどう管理していらっしゃいますか。タンス預金ですか。それとも、銀行に預けますか。自宅（オンプレミス）で全財産を持っていると、火事や盗難のリスク等に常に怯えていることになります。また、皆様が銀行と同等の頑丈な金庫を持ち、屈強で信頼できる警備員を自費で雇い続け、日々、セキュアにおカネを管理するのは現実的には無理でしょう。自宅でタンス預金をしていると、札束が火事で焼けたり泥棒に盗まれたりした際、皆様は全財産を一気に失うことになります。

一方、近くの ATM から、皆さんのおカネを銀行に預けらどうでしょうか。ATM からセキュアなデータ通信でおカネが皆様の口座がある A 支店に計上され、個々人が買うより遥かに頑丈な金庫で現金が保管されます。 また、銀行は、皆様が自宅で一人一人が買える以上に遥かに頑丈で安全な金庫があり、監視カメラもあれば、特別に訓練された警備員が、銀行強盗対策や火災対応を行って皆様の資産を万全に管理します。更に、A 支店で火事や銀行強盗があっておカネが無くなっても、A 支店から Z 支店まで含めた銀行全体として、皆様のおカネは満額が保全されます。銀行と言う多数の支店の集まり、即ち、全体（クラウド）として、皆様の財産が守られているのです。銀行のシステムは、皆様が毎回バージョンアップ費用を払わなくても、銀行側がセキュアな管理システムを整備・更新・保守してくれるのです。

つまり、皆様の大事な財産を預けている銀行は、構造的には昔からある「銀行というクラウド」のようなものなのです。これと同じようなことが、皆様の企業におけるデータ管理にも当てはまります。

皆様は以下の問いにどうお答えになるでしょうか。

①自社内のサーバはどれくらい堅牢でしょうか。
②自社内のサーバルームに、入退室カードを勝手に貸し借りして出入りすることはないですか。
③各企業にいる IT 要員は、クラウド提供企業で特別に訓練され、多数の企業のデータ処理を経験する
　熟練人材より優秀ですか。

恐らく、上記のたった 3問の問いかけだけをとっても、IT 統制対応を行って実際に運用状況をテストされた多くの企業は、データを自社内より、むしろクラウドに預けた方が安全だと結論づけられるはずです。 また、18号監査報告書や SAS70 レポートを取得しているクラウド上ならば、これまでおカネも人手もかけてやってきた自社内での膨大な IT 統制対応がほとんど不要になります。J-SOX 対象企業は、クラウド統制へのシフトによって、運用保守でのバッチ処理も不要になり、場合によっては、ソフトウェアの開発と運用保守の職務分離問題も自然と解決するようになるでしょう。

J-SOX 監査において、そのようなクラウドは、リスク管理上、ある意味でフリーパス状態となり、各企業が IT 統制対応の手間もコストも一気に削減できるようになるのです。

オンプレミス＋クラウドによるハイブリッドな内部統制対応

皆様の企業内では、既にオンプレミスで既存の IT 資産（ソフトやハードや各種システム）があると思います。なかなか、一気に全てをクラウドでリプレースできない悩みがあるでしょう。そんな時は、何も一気に全てをクラウド化しなくても、オンプレミスとクラウドを併用する、筆者提唱の「ハイブリッド型クラウド」が賢い対応です。筆者のクラウド統制による IT 統制強化には、以下の３つの類型があります。

クラウド統制Ⅰ：既存のオンプレミスの IT 環境に、IT 統制で監査法人から指摘される対応をする際のリスク管理
　　　　　　　　ツール（例：ログ管理ツール）で、クラウドがオンプレミスを統制する方法です。

クラウド統制Ⅱ：既にクラウドを利用している企業で、クラウド上のデータやシステムを、クラウド上のリスク管理
　　　　　　　　ツールで統制する方法です（クラウドがクラウドを統制）。

クラウド統制Ⅲ：クラウド上にあるデータやシステムを、オンプレミスにあるリスク管理ツールで統制する方法です。

どれを選択するかは、各企業で IT 資産の棚卸しをして、どれがクラウド活用によって低コスト化・省力化しやすいかを整理して決めれば良いでしょう。また、監査法人の指摘によって、新たな IT 統制強化を強いられる際、その指摘をクリアするのにちょうど良いクラウドがあれば、各企業がそれを利用して低コストで監査対応をすれば良いのです。また、クラウド活用にあたっては、機能比較を延々と行う方もいらっしゃるようです。しかし、機能比較を延々と行っていても、その間に、クラウドは更にバージョンアップしており、時間の無駄になりそうです。クラウドの良いところは短期間・低コストでスモールスタートできるところですから、不要なら、投資費用が少ない内にいつでもクラウド活用をやめれば良いでしょう。まずはできるところからクラウド化していくことが賢い IT 統制対応となります。

従来の IT ベンダーやSIは、一旦購入したが最後、ロックインされて各企業が使いにくい IT 資産を我慢して使い続けなければならないこともあったでしょう。しかし、クラウドなら、いらないクラウドは即座にやめて、もっと自社に合った良いクラウドに乗り換えれば良いのです。又、拡張性もさることながら、「そんなにいらないや」と思えば、「縮小性」や「撤退の容易性」が高いのもクラウドの良さです。

逆に言えば、クラウド・サービスの提供者側にとっては、スイッチングコストが低いため、常に良いものを提供し続けなければ淘汰されて行くことになります。それゆえ、ユーザ側にとっては、従来のパッケージソフトやシステム構築よりも、ずっと洗練された IT 環境を手に入れやすいと言えるでしょう。

クラウド損益分岐点

素朴な疑問として、「クラウドは万能なのか」という疑問をお持ちの方がいらっしゃるかもしれません。現時点では、基幹システムに関して言えば、昨今、急きょクラウド対応化が進んできていますが、基幹システムに関するクラウドの成熟度はまだまだ発展途上です。また、クラウド間でのデータ移行に手間暇が必要になるケースもあり、クラウドは万能であるとは言い切れません。

クラウドを導入したものの、ID 数での従量制のため、毎年多くのID 追加費用が従来型のシステムより高くつき、クラウド化をやめて元に戻す企業もありました。あるクラウドが月額定額制か、それとも、ID 数による従量制か等につき、「クラウド損益分岐点」を検討する必要があります。クラウド化において、コスト比較シミュレーションをしておくと良いでしょう。但し、このコスト算定が曲者で、単にキャッシュとしての投資額以外に、従来型のシステムの保守運用にあたる人件費やダウンタイムの機会損失など、隠れたコスト（Hidden Costs）も管理会計の観点から検討しておく必要があります。

IT 担当者様の悩みである保守運用の雑多な処理に、優秀で高給の IT 要員を充てているのは、あまりにも無駄ですし、人件費の固定費化が収益を圧迫してしまいます。又、過酷な労働環境にある IT 要員の方々が、サービス残業で仕事をしていたり、うつ病や労災問題に直面したりするなら、労務リスクが膨張しますし、生産性も下がります。この問題をないがしろにする経営は、人をモノとして扱う経営姿勢として望ましくありません。これも、クラウド統制へのシフトで、各企業が労務リスクを軽減して解決すべき問題です。何も、クラウド統制は、J-SOX のみに有効なのではなく、新会社法や判例による実質的な内部統制対応要求においても有効です。

J-SOX 非対象の中堅中小企業や病院・非営利機関等は、これまで、資金に余裕のある大手企業だけにしか整備できなかった高度でセキュアなIT環境を、クラウドによって、安価で身の丈に合わせて導入できるようになりました。筆者は、クラウド統制の実践を、「IT 奴隷解放宣言」と位置付けています。ここでダイジェスト的にご紹介しました内容は、筆者がクラウド統制をまとめる書籍として執筆中です。また、「J-SOX クラウドパーク構想」を独自提唱し、IT 業界内に各企業が低負担で内部統制を向上できるように呼び掛けています。
（詳細は、www.jmri.jp の「概要/理事長ご紹介」のページ下部リンク先の PDF をご参照ください）

過去に軸足を置いた内部統制のための内部統制から、経営環境の変化に環境適応するための内部統制へとシフトできるよう、クラウド統制や様々な提言を今後も続けて参ります。是非、皆様からのご意見・ご感想などをお寄せください（info@jmri.jp）。共同研究や協業も大歓迎です。皆様が、健全なクラウド活用で競争力向上を志向する環境適応型の内部統制を強化されますことを祈っております。

「内部統制」は「内部自治」と訳すべきだったのではないか？

恐るべき取締役・経営陣という名の弊害

筆者は、これまで警鐘を鳴らし、恐れていた事態が現実化しているワンシーンを目の当たりにしました。筆者は、上場各社を中心とした取締役レベルの方々や某大学の教授などが集う、ある団体の有識者の会員として、そこで開催されている内部統制研究会に参画しています。そこでは、筆者がこれまで声高に叫んでいた内部統制の理解を経営陣に広めるべきという話からは、ややかけ離れた実態が垣間見られました。ある意味で非常にショックを受け、ある意味で「警鐘という名の予言」が的中してしまっていることへの異質な安堵感を覚えたというのが正解かもしれません。そこで見た光景とは、一体どのようなものだったかについて少しお話ししてみようと思います。

「訴えられなければそれで良い、あとは部下に任せた」という姿勢

その会では、日本でも有数の経営陣が集う場となっているのですが、2009年も折り返し地点に差しかかろうかという時期にあって、依然として内部統制の理解が低レベルにとどまっている様子が垣間見られたのでした。弁護士事務所のトップ弁護士さんが、講義をされた会でのことでした。弁護士さんだけあって、確かに、判例解釈や条文の説明、取締役の法的責任についての一般論は優れた魅力的なお話しでした。各参加者様（取締役・経営陣などハイレベルな方々）は、どんなことをしたら訴えられるか、いくら賠償請求されるか、といったことを、しきりにメモしては感心した表情を浮かべていました。

しかし、内部統制という仕組みづくりについてのお話しに差しかかったあたりで、急に、雄弁な弁護士さんは、愛想笑いが多くなりあまりにも及び腰で弱々しいトーンになってしまいました。又、各参加者の方々も、急に会場の温度が6度くらい下がったような雰囲気を漂わせていました。質疑応答の場でも、出てくる質問は、筆者が1年半くらい前に講義の場で受けた質問内容が問われるという、時代遅れの質問ばかりでした。 そこで筆者が肌で感じ取れたことが2つありました。要するに、某大学の教授も務め、日経新聞にも寄稿されるようなエースの弁護士さんでも、実務に根差した内部統制の話をするには力不足であるということ。そして、もうひとつは、経営トップ層の最大の関心は、自社を良くするための内部統制という仕組みづくりというより、いかに自分が訴えられないで過ごし、あとは部下に丸投げして自らは「内部統制に関わらないもの」とか「内部統制は部下がやる経理関連の雑務」といったような誤解に基づいたものでした。

よく、駆け込み寺のように筆者にご相談に来られた方々が、「ウチの会社のトップは、内部統制を理解しようともしないし、下から説明しても言うことを聞かないので、先生が外からガツンと言って聞かせてくれませんか？」ということは、いまだに内部統制担当者の方々の悩みであり得るのだと思いました。おそらく、多くの経営トップは、おカネを儲けること、訴訟されないこと、あるプロセスの結果として出てくる財務諸表を見てはもっともらしく口出しをすることの３つ以外に興味はないのかもしれません。

熱狂と冷却のはざまで・・・

筆者は、上記のような会に見られた非常に違和感のある熱狂と冷却のはざまで、大きな失望にさいなまれていました。以前、某大学の権威といえるような教授がお話しになっていましたが、企業のトップレベルによる不正・不祥事をなくすことを目的に内部統制は発展してきたという昔話は、果たして日本で内部統制を普及啓発されてきた中で、本当に経営トップ層に根付かせることが実現できたのか、非常に疑問に思いました。今の多くの経営陣を見ていると、トップ層が自律的に不祥事を防ぐ姿勢を、コーポレート・ガバナンスと連携して身につけているようには見えないのです。

以前、その某教授いわく、「私が実務を知らないと批判している人々は、内部統制の歴史を知らないのであります」とのこと。反論の根拠として、「COSOと略して説明している本はありますが、間違いなのであります。COSOは正確にはCOSOs(複数形)であり、5つの団体が集まってできたものであることを知らないのであります。」ということを自信満々に披露していました。あまりにも些細な論拠で反論されているご様子を見て、筆者は、重箱の隅をつつくことが内部統制の本質と言いたいのかと考えさせられてしまいました。又、COSOsの理念・エッセンスを伝える際に、その反論の論拠がどれだけ内部統制実務に与える影響に差があるのか、どれくらい重要度が高いのか、かなりいぶかしく思いました。日本における内部統制は重点的なリスクに重点的に対応するのである、という理念を掲げられた方とは思えないほど、些細なリスクを針小棒大に公衆の面前で披露されるお姿に失望感を覚えました。

どれだけ歴史を知っていようとも、どれだけ権威づけられた昔話を披露されようとも、歴史に学び現代の実務に活かす視点がなければ、批判する方もされる方も不毛な議論に終始しているようにしか見えないのは筆者だけでしょうか。又、その某教授は、以前に「金融庁ではワタクシは多勢に無勢、私の正しい内部統制の主張が退けられたのであります。」といった言い訳をされていましたが、権威の方の意見が通らないというのは、自ら恥をさらしているようにしか見えませんでした。他の委員を説得できない部会長、主張を通すことのできない学者、実務を知らないといわれたことを根に持ってここぞとばかりに些細な歴史の残像を反論の根拠にする権威者、こういった姿はその某教授を応援したいと思ってきた筆者としては残念というか、失望した次第です。

最高学府で教える側も、経営陣という学ぶ側・学ぼうとしない側も、又、いたずらに批評家を決め込むひねた実務家も、全体で「内部統制の機能不全パンデミック」を引き起こす負のスパイラルを加速させているように思えるのです。そして、「誰が得をしたか？」と問えば、学問の片隅でマニアとされていたものの権威を大幅にUPできて他人を批判する側に回り始めたその某教授とその某大学一派、報酬を値上げできた監査法人やコンサルタント、ソフトを売って儲けられたITベンダーといったところでしょうか。チャーチルいわく、「もっともよい組み合わせは力と慈悲であり、もっとも悪い組み合わせは弱さと争いである。」とのこと。力を持つ者が、内部統制に悩みさまよう「内部統制"難民"」に慈悲をもたらす日は、いまだ遠いように思えます。

「内部統制」ではなく「内部自治」と訳すべきだったように思う

最後に、内部統制について述べておきたいことがございます。Internal Controlは、直訳として「内部統制」と訳されましたが、むしろ、Internal Governanceたる「内部自治」と訳しておくべきだったと思っております。現在、多くの企業で内部統制と企業統治は別物と考えられる傾向があります。株主を中心としたステークホルダーに対し、経営陣は水平方向のチェックアンドバランスとしてのコーポレート・ガバナンスには興味があるようです。自社内の垂直方向のチェックアンドバランスたる内部統制において、経営陣が主体的な意識を持つと共に、コーポレート・ガバナンスと内部統制の社内外のハブとなるためには、それらを包含した内部自治という考え方の方がしっくりくると思います。内部統制は各社の経営理念や社是から決まり（規程類）を作り、それに沿って健全に儲け続ける仕組み（内部統制）を構築・運用・改善していくわけです。

町内会の自治会であれば、「町の内部統制」たる住民が暮らしやすく幸せになる手続きや仕組みや決まりごとを町内会長が中心となって、法令に沿って町の自治として主体的な意思決定を行っていますよね。そこには、住民代表としての当事者意識と住民主権の意識が底流に流れています。企業において、経営陣によって当事者意識のない内部統制が丸投げされている様や、部下が内部統制という重荷を押し付けられ、一般社員（非正規社員含む）が内部統制という十字架に張り付けられたような思いをしてしまっている様は、自治とは程遠い、内部統制という「植民地」経営のように見えてしまうのは筆者だけでしょうか。

「内部統制に自治がない」、「法令対応だけの内部統制になっている」、といったことは、内部統制「難民」を生み、法令による企業の内部統制「植民地化」が進むだけのものであるかもしれません。経営陣も従業員も、内部の自治として内部統制を論じられるようにならなければ、経営トップ層の不正もなくならなければ、従業員のやらされ感もなくなりません。「独裁経営」における内部統制は、独裁国家における「自由意思による選挙」や「自由意思による民権」のようなフィクションに過ぎません。経営陣と従業員が参画する経営における自治がない限り、「内部統制の奴隷解放宣言」は出されないでしょう。経営陣・従業員の双方が自社の自治として、「内部統制と呼ばれていること」について見つめ直せるようにならなければならないと考えています。

内部統制についてよく「知る」ということ、つまり、「知る」に通じる「識る（しる）」とは、漢字として「統治する」という意味を持つのです。まずは、内部統制と呼ばれるものについての理解を広める必要があります。その上で、筆者が指導させて頂く際に常に念頭に置いているフレーズ「『知る』から『わかる』へ、『わかる』から『できる』へ」へと、変遷しなければならないと考えます。つまり、内部統制そのものについてよく知り、腑に落ちて理解して内部統制と呼ばれる内容を実践できるようにし、その過程で「内部統制の自治」について理解し論じあえるようにしなければならないと思っているのです。そのために、筆者としては、私費を投じた研究会や出版等を通じ、実務と学術のかけ橋として、又、経営陣と従業員の通訳・仲介者として、全体最適に向けてこれからも働きかけを続けて行きたいと考えている次第です。

テーマ：緊急レポート：「J-SOX 偽装」の大流行
　　　　　J-SOX 対象企業・監査法人＆コンサルティング会社・金融庁、それぞれの問題

J-SOX 対策は対応初年度ということもあり、確かに混迷を極めているために手探りで進めざるを得ない面はありえます。しかし、あまりにも多くの企業や、指導側である監査法人のアドバイザリー・サービス要員及びコンサルタントや、金融庁に J-SOX 本来のあり方から大きく乖離して、もはや「J-SOX 偽装」と呼んだ方が良いほどの残念な状況が各地で散見されるのは残念です。正確には、J-SOX 偽装状態であることすらわからず、「ウチのどこが悪いんだ？」と内部統制の全身麻酔にかかっているかのような人も多いように思われます。そこで、今回は２つの J-SOX 偽装と金融庁の問題点について緊急レポートとしてお話しいたします。

J-SOX 対象企業のJ-SOX 偽装

J-SOX 対象企業の中には、ある意味で、指導される側の被害者のような面もありますが、残念ながら自主的な(勝手で曲解した)判断で内部統制における偽装状態を招いています。例えば、内部統制の構築を担当する内部統制推進チームが、「自分で構築した内部統制を自分で評価する」というような独立性・客観性を保てていない状態で運用テスト・有効性評価を行ってしまっている企業が多くあります。中には監査部や監査役が内部統制推進チームに混じって内部統制の構築に積極的な関与をしながらも、自分たちはあくまでも独立した部署にいると勘違いして運用テスト・有効性評価を行い、監査法人には内部監査部が独立的に評価した旨伝えているところもあるのです。飛騨牛の偽装表示事件ではないですが、自分たちで独立性・客観性を持った第三者審査機関(内部統制構築とは別部隊)のお墨付きがある「内部統制有効」のラベルを偽装してペタッと貼って、内部統制に関する書類を監査法人に「出荷」しているような偽装状態であると言っても過言ではありません。また、運用テストにおいて、自社にとって都合が悪いと思えるものでも問題点が出てくれば、当然ながらテスト結果にはあるがままに正直に正確な結果を正式に記入して再テストや是正をするのが正統な流れですよね。しかし、ある企業では「テストは無かった事にして別のサンプル・対象でやり直そう」として、無作為抽出のサンプル抽出ではなく恣意的なサンプル抽出をしたり、テスト結果を自社にとって「都合の良い記述に書き換えるということをやって何か問題があるんですか？それが賢い内部統制対応ではないのですか？」という姿勢であったりする企業担当者もいます。筆者が「魔のモンテカルロメソッド」と呼んでいるサンプル抽出の在り方としては、ある企業で実際に行われていたものですが、あるサンプル抽出を無作為に行ったところ、そのままでは不備になる複数のエラーが発見されたため、抽出してきたサンプルを元の書類の山に戻し、不備がない状態になるまで、また別のサンプルをその山から抽出し直し続けるということもありました。整備状況の評価としてウォークスルーを面倒だし手間がかかるからやらなかったため、「運用テストまで問題に気づかなかっただけだからこれくらいはいいじゃないか」という安易な対応をとる企業も出てきました。中には、1回目の仮想監査(ドライラン)における監査法人からの指摘事項に対して、お金がかかるからと一切対応・改善しなかった企業では、2回目のドライランで監査法人がドライランを途中で打ち切ってさじを投げたケースもあるのです。この企業の内部統制責任者は、1日やそこらの J-SOX 対策セミナーに出席していたのですが、「あのセミナーでは監査法人が指摘したことに触れていなかったので、そこまでやら無くても良いということである」と断言する次第。短期間の公開型セミナーという限られた情報発信しかできない場で触れられなかった指摘事項イコール触れられなかったのだから J-SOX 対策としてやらなくても良い、という曲解を根拠にして、指摘事項には対応せず、「ウチの部署では他社ほどコストをかけずに済ませています」ということを経営陣に報告し、経営陣に実情を知らせることなくほめられて喜んでいるような内部統制担当の部長もいました。これでまっとうな内部統制が構築・運用・評価できるのかと非常に危惧しております。

監査法人＆コンサルティング会社の J-SOX 偽装

アドバイザリー・サービスの監査人にしても、コンサルティング会社の内部統制コンサルタントにしても、多くの企業がほとんど満足できていないようです。その不満は、やたらと細かいリスクをあげつらうように指摘する一方で、その対策について助言を求めると「わかりません」といった対応しかできない「解決策なき傍観者的な批判家」型のアドバイザー＆コンサルタントが引き起こす「指導者・助言者への信頼感の破壊」と言って良いでしょう。ある企業のアドバイザリー・サービス担当の公認会計士とのやりとりを議事録にとってもらった結果、企業側に過大な要求と監査対応コストを提示する割に、その議事録には企業側からの質問に対して「わかりません」という回答ばかりが並んでいました。これで何がアドバイザリー・サービスなのか、筆者にはまったく理解不能です。一方の内部統制コンサルタントはといえば、こちらも解決策を持ち合わせていない状態です。更に、解決策を持ち合わせていないだけでなく、解決策らしき IT ツールを導入させる者に至っては、J-SOX コンサルティング偽装のような行動をとる者もいるのです。いずれも、書き込んでいくとそれらしく J-SOX 対応をしているように見える、見掛け倒しのフォーマット類の紙爆弾だけは膨大に持って企業にやってくる始末。筆者からすれば、監査法人のアドバイザリー・サービスも内部統制コンサルタントも、フォーマットにかかる書類代だけだったらいくらなのか聞きたくなるぐらいです。つまり、「ろくに内部統制の指導をできもしないのだったら、書類代だけ払うからとっとと出て行け。あとは自分でやった方がずっとましだ」という感情すら抱きたくなるのは、果たして筆者だけでしょうか。更に悪いことに、監査法人の身勝手な J-SOX 偽装が起ころうとしています。ある監査法人は、内部統制の構築において、IT 統制で9分野を全てチェックしなければ監査には一切パスさせないといいながら、いざ、本番監査に向けて協議をしていると、こちらとしては忙しいから9分野の中で1分野だけはチェックすることにします、という監査法人側の都合だけで企業側にいい加減な監査サービスを行いつつあります。また、驚くべきことに、ある別の監査法人に至っては、ある企業において、「御社の初年度の IT 統制は、どれだけやっても最初からバツをつけます」と公言してはばからないケースもあるのです。何の根拠をもって IT 統制をいくらがんばって挽回しても初年度はIT統制対応の有無・成否に関わらず監査意見として不適合を出せるのか、著者には全く理解できません。これはあくまでも著者の私見に基づく「邪推」程度のものとしてのお話しとして書いておきますが、次の3点についての疑義を抱いてしまいます：①その監査人が IT 統制をろくに理解していないから監査のしようがないし無限低適正意見や限定付適正意見を出して訴訟リスクを負うのがイヤだという身勝手な監査法人の論理、②その監査法人が薦めた IT コンサルタント(紹介料としてリベートをもらえるはずだった)を雇わなかったことへの意趣返し、③その監査人がその企業が初年度 IT 統制で重要な欠陥を指摘する一方で、インサイダー取引を目論んでいるのではないかという「空想」。これら3つのポイントは、残念ながら、どの3大監査法人から中堅・中小の監査法人のいずれでも起こる可能性を否定しきれない現状にあると考えられます 。

金融庁の J-SOX における問題点

さて、よく現場で不満を持たれがちなのは監査法人とコンサルタントですが、最近になって金融庁も J-SOX 偽装に加担している面が鮮明になっています。その一端が、投資家保護を「錦の御旗」にして導入した J-SOX において、「内部統制報告書で重要な欠陥や不備という記述があると、あまり内部統制に理解の無い投資家はすぐにそれが粉飾決算を意味すると誤解してしまいかねない」といういい加減な理由で、内部統制報告書は即時開示しなくて良い、というおかしな見解・方針を出してしまった点にあるのです。そもそも、誤解が大きな問題を引き起こすのであれば、それだけ国民や一般投資家に重大な影響があるということですから、一般個人投資家を含めた内部統制啓発キャンペーンを行っておくようなことが必要であったはずです。しかし、金融庁がそんなことはほとんど行っていないと言っても過言ではありません。裁判員制度では、啓発キャンペーンや啓発チラシや啓発ポスターを張り出したり(さいばインコちゃんというキャラクターまで登場しましたよね)して、より多くの方々に裁判員制度の理解を進めてきたわけですが、内部統制報告制度では、そのようなものはほとんど見たことがありません。大した努力もせず、あたかも一般庶民には内部統制という金融庁エリートが格闘して理解しきれないでいる崇高なものはわからなくて当然である、というような勝手な都合をベースに、いい加減な判断で内部統制報告内容を即時開示を求めなくするような、投資家の判断に必要でかつ非常に重要な内部統制に関する情報を、わざわざ遅れて開示してもいいということによって、当初の「投資家保護の錦の御旗」を汚してしまったのは残念な問題点です。J-SOX に関する批判の矛先を監査法人だけに押し付け、金融庁への批判を和らげたいだけの日和見行政は、J-SOX 偽装に値するものと大いに「賞賛」したいと思う次第です。更に、各企業における J-SOX 偽装状態を招きかねない「内部統制に関する11の誤解」や「追加 Q&A 集」に至っては、内部統制における大前提の部分を書かず、一見すると簡単に対応すればいいだけであると思わせ込むような実態に即さない不十分な文書を出し、各企業の内部統制担当者を更なる混迷に突き落として J-SOX 偽装状態を招きそうな状況をもたらした愚行の歴史があります。政治家の常套文句として「前向きに検討します」とか「善処します」などというものがありますが、金融庁の上記の書類では、「～に応じて適切に対処する」というような文言や言い逃れに近い表現が踊っています。企業側としては、「だから、その適切って何なんだよ？」と憤慨するのも無理はありませんよね。

J-SOX 偽装パンデミック時代を生きる・・・

パンデミックとは、鳥インフルエンザ対策にとりかかっている企業・研究者であればおなじみですが、「感染症の大流行」というような意味を持ちます。「J-SOX 偽装菌」も、どこで発生したかは別として、各地で大流行している中で多くは自覚症状がなく感染力が非常に強いという問題点があります。US-SOX 経験者という免疫を体得したと自負するコンサルタント達ですら、US-SOX 病とでも言えるようなリスクの網羅性にあまりにも偏りすぎた対応をして、企業を混乱に陥れてしてきました。読者様においては、優秀でなくても、手作り感のあふれていて見てくれが悪いものであっても、自社でより健全でより良識あるアドバイスや解決策への導きを得て、まっとうな J-SOX ・内部統制対策を進めていただきたいと願っています。

テーマ：内部統制の PDCA サイクル

全国の企業におけるJ-SOX・内部統制の課題

J-SOX・内部統制・ERM(エンタープライズ・リスク・マネジメント)などの相談会やコンサルティングや社内研修を全国各地の大手～中堅上場企業で行っている中で、どうも、多くの優秀な役員～社員の方々で、専門用語や文書化3点セットや内部統制の有効性評価（テスト）などの書類を整える知識やスキルを身につける方々がほとんどで、それらをもって、日常業務でどう指導教育し、内部統制のPDCAサイクルを回すかについて十分に検討していないか、もしくは、内部統制のPDCAサイクルが重要であるということすら理解できていない方々が圧倒的に多くいるような状況です。非常に残念な企業様の取り組みが多く見受けられます。これには、おそらく、内部統制コンサルタントや監査法人のアドバイザリーサービス担当者の方々が、企業様の役員～一般社員まで内部統制を自ら読み解ける力・活用できる力を養う指導をして来ていないという問題があります。多くのコンサルタントやアドバイザリーサービスの方々は、フォーマットの提供とフォーマットの作成方法の指導に終始しているようです。これでは、2年目以降、各企業様が主体的に内部統制を運用・改善することなど、夢のまた夢で、単なる法令クリアのための文書作成業務を膨大なお金を投入して行っているだけの、無味乾燥な種類作成業務のようなものでしかありません。

内部統制におけるPDCAサイクル～日本版COSOモデル風味～

何も、特別なことではなく、もうこの時期であれば何度も聞いたし知っているよという、日本版COSOモデルを「知っている」から日本版COSOモデルを「している」（活用・実践している）に変えるだけです。日本版COSOモデルの構成要素を上から順にやるという当たり前のことを当たり前にすればいいわけです。まず、①「統制環境」として、「不正を許さぬ風土づくり」をしますよね。具体的には、規程類・ルールづくりと内部統制を読み解き活用できる力をつける教育（内部統制リテラシー教育）によって、企業様における善悪・何をして良くて何をしてはいけないかの基準を明確にし、その内容を定期的な教育と日々の指導で徹底するだけです。それが、統制環境が「他の基本的構成要素の基礎となるもの」たるゆえんになります。もちろん、そのためには、社是・経営理念という、各社様が是とするもの・非とするもののステートメントに立ち返る必要があるわけです（本当にミッション経営が浸透して実践できていれば、細かな文書類を膨大に作らなくても、そもそも、内部統制上の大きな問題は起こらないはずですが・・・）。次に、②リスクの評価と対応によって、どのようなリスクがどれくらいの重要性があり、重点的なリスクにどう対応するのかというポリシーを策定するわけです。ここまでがPDCAサイクルで言うP（プラン）の部分です。ちなみに、J-SOX対応では、このP{プラン}で策定・整備構築する規程類や文書化3点セットなどが適切かどうかについて、ウォークスルーにて確認して行きます。その後、実際に③統制活動(ハンコひとつ押すのも申請―承認の統制行為の実践)と④情報と伝達(簡単に言えば、内部統制のホウ・レン・ソウ(報告・連絡・相談)で、内部通報制度もここにあたります)を実践するわけです。これら2つの構成要素がPDCAサイクルではD{Do}にあたります。

内部統制の見せる化

そして、適切なP(プラン}に沿ってD{Do：実践・運用}されているかをC{チェック}する⑤モニタリングがあります。このモニタリングは、各上場企業様が佳境に入っているJ-SOXにおける内部統制の有効性評価（テスト）が相当します。要するに、語弊を恐れずに噛み砕いて言えば、「計画通りにちゃんと本当に実践・運用できているのか？」ということを確認するという単純な話です。モニタリングの際に、発見的統制であれば、J-SOXの全般統制でも善管注意義務の上でも重要なポイントはたった8文字にまとめられます。そのモニタリングにおける重要な8文字とは、問題や事件や事故などの「早期発見・早期是正」です。ITであれば、ログ管理を徹底する必要があります{ログの取りっぱなしではなく、その記録から内部統制の意志決定をするための情報活用をする、RI：リスクインテリジェンスを進めます。そのツールとして、ACLや筆者が監修しました(株)アシストの「監査れポータル」などがあります}。非ITであれば、帳票で突き合わせを行うことになります。ここで、重要なのは、キーとなる8文字にもあるように、問題を発見してそのまま放置するという不作為による作為を招かぬよう、問題の改善が必須だということです。つまり、モニタリングでは、C{チェック}とA{アクション}として、問題発見と同時に問題の改善を行う必要があるということです。いくら内部統制の整備構築と運用をやっていても、本当にできているかという確認をして企業の健全性を社内外に示す「内部統制の見せる化」ができなければ、単なる自己満足の文書づくり、内部統制ごっこでしかありません。ちなみに、「見せる化」という言葉も言葉だけが踊っているようですので、筆者はこう定義しております。“「見える化」＋説明責任(アカウンタビリティー)＝「見せる化」”です。最後の⑥ITへの対応は、ITにおいても同様の内部統制のPDCAサイクルを回しつつ、この要素に含まれる2つの側面を満たすべく取り組むことになります。1つ目の側面は、IT自体が健全であること。そして、2つ目の側面は、そのITを用いて内部統制を強化することです。

ということで、今更ながら内部統制の基本である日本版COSOモデルのお話しをこの時期にしているのも、筆者が繰り返し各地・各メディアで述べております「当たり前のことを当たり前にする」ことの重要性について、今一度、原点回帰して頂けるよう、各企業様や専門家の方々に促すためでございました。基本を大切にすること、そして、基本ができるまで繰り返し教育・指導することの重要性を感じている次第でございます。

テーマ：内部統制うんぬんより、「実際に意識して実践できているか」が問題です

昨今の偽装問題や各種不祥事は、基本的に内部統制がどこまで浸透していたか、あるいは、経営者としては全社に、部門長としては自部門に、各社員(非正規社員含む)としては上長への垂直型のチェックアンドバランス(「内部統制のホウ・レン・ソウ」や内部通報や内部告発など)として、どこまで浸透させていたかどうかの問題です。コンプライアンスや業務活動の有効性・効率性などの実効性を高めるための仕組みが内部統制ですが、どうも、内部統制研修やセミナーを受けた方々が、教室で学ぶ知識として内部統制のあり方を学ぶものの、健全な内部統制を身近なところから意識的して実践しようとする方々が少ないように見受けられます。あるエコロジーを訴える CM では、「“知っている”から“している”へ」というフレーズを用いて端的に、知識を持っているだけでなく、その学んだ知識を実践に移す必要を説いています。営業部の部長さんや各営業担当者さんと話していると、「内部統制って、内部統制推進室の仕事でしょ？」という方々も多く見られます。しかし、他部署任せの内部統制なんてありえません。会社としての内部統制の総責任者は社長であり、各部門における内部統制の部門責任者は各部門長(営業部長も購買管理部長も含みます)であり、内部統制の担当者は各社員(非正規社員含む)であり、便宜上、内部統制推進の旗振り役として内部統制推進室のようなものがある、という当たり前の事に関しては、3点セットを上手く作成できる人や規程類をサクサク策定できる人や細かな知識を覚えていると自負している人の多くが理解し実践できていない落とし穴のようです。大事なのは、社長・役員や各部門長や各社員(非正規社員含む)が意識して実践しているかどうか。

CSA (Control Self-Assessment) を検討される企業様でも、ワークショップ型であれば自社でうまくファシリテートできるか不安な方も多くいらっしゃいます。欧米の論調では、CSA はワークショップ型がいい、というような記述が多いですが、私は日本企業の日本人の多い環境では、あまり積極的に同意しにくいように思います。というのも、なかなか自社内で面と向かって欧米人のようにズバッと自部門の問題や対応策を主張できる方が少ないように見受けられるからです。実際に、ある企業様での従業員意識調査を担当した際は、内部通報が0件であったのにも関わらず、第三者の実施した意識調査の自由記述欄には、内部通報がびっしりと寄せられていたというケースがありました。そんな現場の現実を見るにつけ、日本での CSA は第三者調査をからませた質問書型の方がより本音ベースで物事を進めやすいように思いました。

そこで、日本初の日本版 COSO モデル完全準拠の内部統制意識調査を開発・監修しました。私が指摘ばかりして解決策を持たない胡散臭い内部統制論者ではないことを自ら証明するためにも、又、「じゃあ、どうすれば良いのか示してみろ！」とツッコミを入れられる方に「これですよ。ハイ。」とお示しできるものとしても、日本版 COSO モデルの4目的×6要素＝24マスのマトリクスで、どの目的のどのマスが赤・青・黄色(信号色で問題点を明示：赤が問題点)なのかを示せて、しかも、内部統制の意識面と行動面からの質問項目から、自社の内部統制の浸透度・実践度を24マス全てで定量的に示せるツールを作りました。(株)日本経営協会総合研究所から「ICサーベイ(商標出願済)」としてリリースしており、毎日新聞(2008年6月6日 P.12)や日刊工業新聞 (2008年6月18日 P.27)や週刊エコノミスト(2008年7月1日特大号 P.75)でも取り上げられましたので、ご存知の方もいらっしゃるかと思います。これまで、「仏作って魂入れず」の内部統制にいかに魂を込めるかと言う点を、研修やセミナーや執筆の面からアプローチしておりましたが、これからは、全社的にサーベイと調査結果からのピンポイントでの提言・改善策提示によって、ダイナミックなアプローチが可能となりました。自由記述欄では、内部通報の定期的な回収機能を果たすようにしており、なかなか、勇気を持って自分から内部通報しにくい方々にも、IC サーベイを契機に通報し組織の自浄作用を高められるように配慮しました。要するに、意識面と行動面の調査から、内部統制を自社としてどれだけ意識して実践できているかを知り、足りないところをどう補うか(どこから何をどのようにどこまで着手すればいいかを悩み続けて途方に暮れることの無いように)について、明確に示せるものをベースに内部統制の浸透を図ることが大切だと思っています。

テーマ：「内部統制リテラシー」を高めよう！

内部統制は地獄だ！

南は九州から東京を含めて北は仙台まで、大手・中堅・新興市場上場企業など多数の企業を指導してきましたが、内部統制強化を機に、現場の職員の方々からは「職場が窮屈になった」とか、「新たに面倒な手続きが増えたし、これまでやってきた事ができなくなったりして融通がきかなくなって、もう内部統制地獄のようなものだ」というような声をよく耳にします。確かに、ろくに内部統制教育を受ける事もなく、ただ、「あれやっちゃダメ、これやっちゃダメ」と日常作業が制限され、やたらと手続きに必要なドキュメントが山のように増えていては、現場としては、何か積極的に行動を起こしたら怒られるから言われた事・決められた事だけやっておこう、という内部統制強化を契機とした「内部統制の指示待ち人間」が増えても仕方ないのかもしれません。職場には「やらされ感」ばかりが地獄の業火のように蔓延して、内部統制強化によるモチベーション低下が起こっているのです。

しかし、内部統制は本当に地獄なのでしょうか？逆に、内部統制の一切ない職場は天国なのでしょうか？

例えば、IT 統制が一切なく、社員の給与管理システムからは外部の人間か内部の社員かわからないけど、勝手に自分の給料を盗み取られ、入退室管理すらないため、社員の個人情報を扱う電算室に外部・内部の人に関わらず勝手に入り込まれて情報が垂れ流しにされ、上司である自分が承認していない取引を部下が勝手に決済して大損しても結局は上司である自分の管理責任として左遷され、希望していない部署への配置転換が自分の承諾なく勝手に人事担当者に行なわれてしまうような、そんな内部統制のない職場が、本当に天国でしょうか。

内部統制は、お金儲けのための戦略遂行において、コインの裏表の関係にある戦略遂行の阻害要因（リスク）を適切に管理して、社員同士がお互いにより安心して健全かつ効率的により多くの儲けをあげるために強化するものです。また、内部統制を整備・構築・運用する事は、内部統制強化により整えられた仕組み・プロセスに従っていれば、自然とお互いに身の潔白を証明し合えるという事なのです。内部統制の良い面が全く見つめられていないのは、私は内部統制を何かルールや専門用語を覚えさせられる力ばかり求められてしまう傾向が強いからなのではないかと思います。その「覚えて妄信的に従う力」を養うのではなく、覚えるよりも、「必要なものは参照しつつ内部統制を読み解き活用する力」、即ち、私の造語である「内部統制リテラシー」を養う事が大切なのではないかと思います。内部統制リテラシーが備わってはじめて、内部統制が「やらされ感」から「納得感」に変わり、各自が自律的に的確な判断の下、日常作業が今までより健全かつスムーズに行なわれるようになるのです。

このような考えから、私は、内部統制リテラシーを誰でも気負わずに養って頂けるよう、『リスク過敏の内部統制は、こう変える！』（著：戸村智憲、出版文化社、2008年4月発売）と題した本を記しました。本来の良い内部統制の観点で職場の周りの物事を読み解く力を養うために、「内部統制メガネ」で周りを見つめなおしてみるコーナーも設けております。初心者から上級者まで、楽しくかつ深く内部統制の真髄を学んで頂ける本に仕上がりましたので、お手にとっていただければ幸甚です。

テーマ：「7文字式内部統制」で内部統制の肝を理解する

各地で内部統制セミナーが実施されてきたが、その多くがハウ・ツーものであるような気がして、筆者は一線を画する形で現場の方々にも理解してもらいやすいセミナーを手がけてきました。昨今の内部統制が崩壊している事によって起こる不祥事を分析してみた結果、内部統制の肝はたった7文字に集約されると見抜き、各地のコンサルティングや講演等でお話ししております。

では、その7文字とは何か。3つの「正」の頭文字と「適時適切」の4文字に集約されます。「正直に、正確に、正式に」対応する事を「適時適切に」行なうこの7文字に尽きます。正直に対応しない例としては、赤福や船場吉兆のような偽装表示があります。又、正確に対応しないという例としては、湯沸かし器の安全装置を不正に切断し、あたかも正確に機能する製品として修理対応した企業があります。更に、正式に対応しない例としては、原子力発電所の従業員が、官公庁のガイドラインや社内マニュアルを無視して、「これくらい正式な対応ではないが省いても大丈夫だ」として核関連物質をバケツで移し変え、結果として臨界事故を起こし、その従業員も被爆したというケースがあります。又、適時適切に対応しない例としては、ある事故が起こったら官公庁が指定する期日内に報告するとした決まりがあるのに、適時性を無視して、期限にあえて遅れて報告するような企業群(情報操作にあたる)や、ミサワホーム九州のように、適時適切な会計ではなく、売上を前倒しで計上する等、不正会計処理のケースがあります。

このような7文字の内、1文字でも欠けると大きな問題を引き起こします。しかし、この7文字を全部兼ね備えると却って企業価値が向上します。その例としては、松下電器産業の有名なテレビ CM で、「松下電器産業は FF 式暖房機を探しています････」というものがあります。この CM が画期的だったのは、「我が社はこのような失敗をしました」と言う事を、企業自らがお金を払ってしかも、ゴールデンタイムと呼ばれる CM 料の高い時間帯に流したという「正直な」対応であり、又、「正確に」 FF 式暖房機（どの暖房機かわからなければ対処のしようがありません）のこのような煙突の出たタイプのものが一酸化炭素中毒事故を起こしますという、どの型番・どういったリスクと言う点を正確に示しており、更には、「正式に」公共電波での CM やホームページやお客様窓口や記者会見などの場で対応している点です。もちろん、このような CM を真夏に流すのではなく、「適時適切に」暖房機が使用され始める前の絶妙なタイミングで CM 告知しているという点にもあります。松下電器産業は、このような「7文字式内部統制」で内部統制の戦略的な先手を打つ対応によって、却って顧客からの信頼性を高めました。つまり、「松下電器産業の商品を買えばもし何か問題があっても、正直に正確に正式に対応を適時適切にしてもらえるから安心だ。パロマと違い、ウソをついたり情報開示が遅れるなんて事はないしね････」というようになるわけです。

「内部統制とは、かくかくしかじか････」と御託を並べるよりも、もっと平易な言葉に置き換えて、7文字式内部統制の理解と実践を始めていく方が、各従業員において手軽に内部統制の判断軸ができていいのではないかと思っております。

テーマ：「日本版 SOX 法」仏作って魂入れずの企業群

多くの J-SOX 対応企業を指導させて頂いておりますが、企業の多くが文書化３点セットにばかり目を奪われ、形式だけ整えておけば大丈夫、というような姿勢が散見されます。職務分掌が大事と言われれば、とりあえず担当者を２人そろえて形式上は職務分掌できているようにしている企業も多いようです。しかし、本来、もっと大事なのは、企業の不正を許さぬ風土の醸成や、職務分掌した担当者間で共謀が行われないように働きかけるため等の施策としての、全社における全社員(非正規社員含む)への内部統制教育の徹底なのは言うまでもありません。

なかなか、企業内の内部統制プロジェクトチームや内部統制推進室が全社教育を推進できるほどの余力がないようです。研修担当の人事部門を巻き込んだ対応が必要とされているように思われます。このところ、やっと、人事部門からコンプライアンス研修をして欲しいというような依頼が増えてきましたが、その内容としては、お話しを聞いていくと内部統制教育を望まれていらっしゃる事がわかります。これも、首都圏でのお話しで、地方企業ではまだまだ内部統制研修の重要性を理解するミドル層・トップ層が少ないのは残念な事です。小職としましては、各地での講演活動や執筆活動等を通じても、教育の重要性に再度ご注目頂けるよう、又、 J-SOX の地域間情報格差・対応能力格差の是正に向けて、日々、努めております。

IT面においては、例えば、ログ管理も形骸化してしまっている企業が多いです。ログすらまともに取っていない企業も地方に多くありますが、ログを取っている企業でも、単にログの取りっ放しにしているのは問題です。ログから「内部統制の意思決定」に必要な情報を分析し、「内部統制のBI(ビジネス・インテリジェンス)」としてログを最大限に活用する必要があります。又、その他のデータ監査等(このあたりは ACL の出番ですね)により、IT が単なる「モノ」から、縦横無尽に機能する「有機的な連合体」となるようにフル活用する事が重要です。そうして、はじめて IT が「魂無き仏像」から脱却できるのです。

「企業は人なり」とよく申しますが、その「人」の「心」が不正を起こす源である以上、仏作って魂入れず型の J-SOX 対策から、「魂」を込めるための教育を重視しなければなりません。その教育も、専門用語の解説にけ暮れるというようなものではなく、身の回りをとりまく既に行っている内部統制行為(ハンコ１つも内部統制！)を整理・体系的理解を進め、日常業務に根ざし、血の通った、現場の従業員にもわかりやすい教育展開が不可欠です。業務のひとつひとつを「正直に、正確に、正式に」対応する事の重要性や、「内部統制のホウ・レン・ソウ」が大事である事など、専門用語抜きに内部統制を語れるように留意する事が肝要です。