トーマツグループは日本におけるデロイト トウシュ トーマツ リミテッド(英国の法令に基づく保証有限責任会社)のメンバーファームおよびそれらの関係会社(有限責任監査法人トーマツ、デロイト トーマツ コンサルティング株式会社、デロイト トーマツ ファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む)の総称です。詳細はwww.tohmatsu.com/deloitteをご覧ください。
内部統制報告制度への対応後のリスクマネジメント
内部統制報告制度対応として財務報告におけるリスクの評価を実施した企業は多いはずですが、不確実性の時代においては制度対応で培った知見を全社的なリスクマネジメントへ展開することにより経営に資する取り組みとすることが重要です。
内部統制報告制度の対応後の(ERM)全社的リスクマネジメント体制構築
トーマツでは制度対応のための内部統制評価を全社的リスクマネジメント評価へ発展させ、企業の直面する様々なリスクを単に避けるのではなく、賢く管理することを目的としたリスクマネジメント体制の導入、確立を支援し、リスクインテリジェントな企業への変革をサポートいたします。
このためのアプローチとして、制度対応として構築したリスクマネジメント/ガバナンス体制の診断、現状の内部統制の仕組を活用した全社的リスクマネジメント体制の構築の支援をいたします。具体的なリスク評価についてはDeloitteの方法論にもとづいて行います。
内部統制評価の仕組みを利用した(ERM)全社的リスクマネジメント構築の際のポイント
上場企業においては、内部統制報告制度対応初年度を終え財務報告に係るリスクについてはひと通りの評価体制が構築されました。今後も制度対応として、重要な拠点の業務プロセス及び「原則すべての事業拠点について」の全社的な内部統制、「全社的な観点から評価することが適切な」決算財務報告プロセスの評価が継続的に行われます。文書化から評価まで、制度対応にかなりの工数をかけている企業がほとんであり、その仕組みを活用しERM(全社的リスクマネジメント)へ発展させ、単なる制度対応で終わらず企業にとって有意義な取り組みとして運用することが期待されています。しかし、内部統制報告制度は財務報告に特化した制度であるため、その評価の仕組みをERMへ発展させるにあたっては留意すべきポイントがあると思われます。以下に、内部統制の評価で達成できたこと(できなかったこと)、ERMへの展開の際に検討すべきことを整理しました。
内部統制報告制度対応で達成できたこと(できなかったこと)
・財務報告の虚偽記載につながるリスクを評価しているが、コンプライアンスや事業リスク等については直接の評価の対象となっていない。
・全社的な内部統制の評価項目として「リスクの評価と対応」について評価を行っているが、リスクマネジメント委員会の開催議事録の確認等にとどまっている場合が多く形式的な評価となっている。
・多くの企業で、売上、売掛金、棚卸資産に係る業務プロセスの評価を行っているが、本社の部門でも購買や人事などが評価対象となっていない可能性がある。
・「原則すべての事業拠点について」の全社的な内部統制、「全社的な観点から評価することが適切な」決算財務報告プロセスの評価を行っているが、その範囲外に事業上はハイリスクなグループ会社があっても対象外となっている可能性がある。
上記をふまえ、ERM(全社的リスクマネジメント)の構築、運用方法を検討する際にはJ-SOXの仕組みやノウハウをできるだけ活用し、効率的に仕組みを構築することが望まれます。具体的には、以下が考えられます。
① 文書化ノウハウの活用
財務報告リスク以外のリスクと関連付けて業務プロセスを整理し文書化
② リスク情報の収集/報告ルートの効率的な構築
全社的な内部統制や決算財務報告プロセスの評価を通して築いたネットワークを利用したリスク情報の収集/報告ルートの効率的な構築
③ プロジェクト管理ノウハウの活用
新しい取り組みに関する関係者への説明会、スムーズな運用開始等を含むプロジェクト管理
上記のような仕組みやノウハウを一から構築するには莫大な時間を要するため、これらの仕組みやノウハウを有効活用しERM(全社的リスクマネジメント)を構築することは企業にとって大きなメリットがあるはずです。内部統制の評価を単なる制度対応で終わらせず企業経営に真に貢献する取り組みへ発展させるために、これを利用してERM(全社的リスクマネジメント)へ展開させることは今後、取り組むべき経営課題といえます。