貞金

実際にIT化しようとしますと、自分たちが作ったものを担当部署外の人間によってテストする必要があり、ここが非常に重要なフェーズになると思います。そのおおよその流れが図5となります。そしてテスト結果に不備があれば改善が必要かどうか検討する。改善といっても、人間系、機械系など、さまざまです。そういった中でいかに変化に対応できるか。これを明日すぐにでも適用できるよう持っていかなければなりません。この点がいつも私が提唱しているBPM（Business Process Management）になるわけです。継続的な改善をいかに迅速に上流行程で検討できるかという手法を持ち込まなければいけないと考えています（図5参照）。

図5　内部統制への対応はBPMのステップでもある

最後は報告パターンです。結局は「当社の内部統制は有効である」「一部の手続きは実施できなかったけれど、当社の内部統制は有効である」「重要な欠陥があるため、当社の内部統制は有効でない」「重要な手続きが実行できなかったので、当社の内部統制は有効であるか判断できない」という、4つの分類になるでしょう。こういう分類・分析によって、自分たちの隠し立てのない姿を世の中にどう公表していくかということを経営者が判断しなければならないわけです。

SOX法から見ると、いわゆるリスクに対するコントロールに注目しています。コントロールにおいて、現場でチェックしている実証とプロセスを可視化しているか、そして実証のチェックとプロセスを系統的に組織的に実施しているかの2点です。これが、唯一のSOX法への対応の姿勢になっているわけです。もう一つ、ビジネスプロセスとリスクの可視化という、統制を実施するための「器」が、ここにきて整備されつつあります。そういったものを取り入れて迅速に対応していけばよいと思います。