「内部統制は整備したのに、なぜ不正は起きるのか?」—この問いは、多くの企業経営者や管理部門を悩ませ続けています。特に上場準備や上場後の企業にとって、内部統制報告制度(J-SOX)への対応は必須ですが、監査法人対応で形式的な指摘をクリアできても、現場の不正リスクが残るというジレンマに陥るケースは少なくありません。
私自身、長年にわたるIPO支援やCFOとしての経験を通じて、形式を整えるだけの「監査対策」としての統制が、いかに現場の不正を防ぐ上で無力であるかを痛感してきました。本記事でお伝えしたいのは、監査法人目線でなく、実際に現場の不正を防ぐための真の内部統制、すなわち「実効性のある統制」のポイントです。企業の成長を支える「守り」のノウハウとして、形式を打ち破り、因果関係に着目した現場目線のクリティカルシンキングを提供します。
「監査で指摘されない統制」が機能しない因果関係
なぜ、完璧に整備されたはずの内部統制が、いざというときに機能しないのでしょうか?そこには、統制活動が「監査対策」として上から降ろされ、現場の実態とかけ離れてしまうという、明確な因果関係が存在します。
形式的な文書化と実態の乖離
統制活動が現場の業務フローや実態と合致していない場合、統制は瞬く間に形骸化します。これは、現場が統制を「自分たちの業務を円滑に進めるためのもの」ではなく、「監査を乗り切るための儀式」と認識してしまうからです。誰も統制活動を意識しなければ、それは単なる紙の上のルールとなり、不正の温床となります。
不正のトライアングルと統制の穴
不正の発生には「動機」「機会」「正当化」の3要素が必要とされますが、内部統制が真に潰すべきは「機会」です。しかし、統制活動が特定部門や特定の金額の取引に集中しすぎると、かえって盲点となるエリアが生まれます。たとえば、少額の経費精算ルールや、購買プロセスの初期段階など、監査対象外になりやすい取引で不正が発生することがあります。形式的な統制は、全体のカバー率は謳っていても、肝心な特定取引での不正実行の機会を潰しきれていないのです。
IT統制の「裏口」とシステム利用者の盲点
IT統制においても、システム権限の適切な分離は基本です。しかし、管理者アカウントの運用ルールが曖昧であったり、マニュアルにはない例外的な操作経路が野放しになっていたりする場合、これが「裏口」となります。システム内部のログ改ざんや、権限の不正付与による不正が実行される機会を、形式的な統制文書は捉えられません。IT統制の文書整備と、システム担当者の運用実態が乖離する時に、この問題は顕在化します。
実効性を生むクリティカルシンキングに基づいた統制設計のポイント
機能する内部統制を設計するためには、監査法人の目線から離れ、不正実行者の思考に立って考えるクリティカルシンキングが必要です。形式的な「善意」に基づく統制ではなく、「性悪説」に立ち、**「どうすれば不正ができるか」**を逆向きに考えて統制を設計することが、ノウハウの核心です。
「性悪説」に基づいた逆向きの思考
不正な経理処理を完了させるためには、どの関門(承認者、システム)を、いつ(月末、期末)、どう迂回するかをシミュレーションします。この思考法を「逆算思考」として採用し、「監査で指摘されない形で不正を実行するには?」という問いから、統制上の抜け穴を特定し、そこを塞ぐ具体的なルールと仕組みを構築します。
統制活動の「連鎖」と「ダブルチェック」の再定義
形式的な「承認」は意味を持ちません。重要なのは、承認者が何をチェックすべきかのチェックリストを明確化することです。単なる金額確認ではなく、発注先、単価の妥当性、予算残高の3点を根拠資料に基づき確認するなど、チェック項目と根拠をセットで設計します。
さらに、不正は単独部門で完結しないことが多いため、異なる部門間(例:営業と経理、購買と検収)でのデータの突き合わせ、すなわちクロスチェックを必須化します。これにより、統制が単なる点ではなく、強固な「連鎖」となります。
エンゲージメントと倫理観の醸成(ソフトコントロール)
どれだけルールを緻密にしても、最後は「人」が運用します。統制は「ルール」ではなく「文化」であると現場に浸透させることが、CFOとしての重要な役割です。不正を通報できる風通しの良い組織作りと、定期的な倫理研修を通じて、人の心の隙間を埋める統制を機能させます。共感を持った環境整備こそが、最高のソフトコントロールとなり、不正のトライアングルの「正当化」の要素を打ち砕くのです。
監査法人対応の「クリティカルな質問」と現場の備え
IPO経験者としてお伝えしますが、監査法人への対応は、形式的な文書提出に終始すべきではありません。むしろ、監査人との対話を通じて、自社の統制の真の脆弱性を把握する機会と捉えるべきです。この時、オブラートに包まず、実効性を軸に論理的に対話することが、監査人からの信頼と、的確なアドバイスを引き出す鍵となります。
現場が答えるべき「核心的な質問」
監査人から以下の様な質問を受けた場合、単なる「はい、できています」で終わらせてはいけません。
- 「この統制が機能しなかった場合、どのような不正がどの程度発生するリスクがありますか?具体的な事例で説明してください。」
- 「担当者が変わった場合でも、同じレベルで統制は機能しますか?その保証はどこにありますか?」
これらの質問に対して、ロジカルかつデータに基づいて回答できるかどうかが、統制の属人性を排除できているか、そして実効性が伴っているかを測る試金石となります。監査法人への説明責任を果たすことは、後進に知識とスキルを引き継ぎ、組織の「独り立ち」を支援するCFOの重要な役目です。
まとめと読者へのメッセージ
内部統制は、単に監査をクリアするための「守り」のコストではなく、企業の持続的な成長、そして何より経営の透明性を確保するための「未来への投資」です。形式を満たすだけでは未来は予測できません。長期的視点を持ち、常にゼロベース思考で「どうすれば不正ができるか」を問い続け、統制を見直すことが重要です。
公認会計士に憧れた幼少期の夢から始まり、会計、FPの知識と心理学的な視点を持つ私だからこそ言えますが、統制はシステムやルールだけでなく、「人の心」の隙間を埋めることが最も難しい課題です。この課題に取り組むことが、企業の真の価値を高める道筋となります。
あなたが今日、この記事を読んで、明日から自社の内部統制について「形式的ではない、実効性のある見直し」を始めるきっかけを見つけられたなら、私は大変嬉しく思います。
X(https://x.com/takebyc)、Threads(https://www.threads.com/@takebyc)でぜひ教えてください。
あなたが最も着目した、あるいは「これは見落としていた」と感じた、現場目線の統制のポイントは上記記事のどこでしたか?話せる範囲でコメントをいただければ嬉しいです。