そんななか、永井氏が提言するのが、従来からのさまざまな取り組みを"広義の内部統制"としてとらえ、それらを整理/統合していくアプローチだ。永井氏は、企業における統制環境の現状について、次のような見解を示す。

「企業はこれまで、法規制や社会的要請にしたがって、山のようなマネジメントシステムを構築してきた。たとえば、ISO9000、ISO14000、ISMS、個人情報保護法、ISO27000、コンプライアンス、J-SOX、……これらはすべて内部統制と言えるものだが、実際にはそうみなされることは少なかった」

その結果、何が起こったか。求められる対応ごとに、品質管理室、環境室、情報セキュリティ推進室、コンプライアンス委員会など統制側の組織が次々と設けられ、被統制側となる現場の負荷が高まる一方、実効性がほとんど伴わないというケースが数多く見られるようになったわけだ。

永井氏は、内部統制についても、このままでは、実効性がそれほど伴わず、現場にとってはきわめて迷惑な、新たな規制になりかねないとし、エンタープライズリスクマネジメント(ERM)の視点から統制全体のあり方を見直すことが必要だと説く。言うまでもないが、これは、あらたにERM推進室を作り、リスクマネジメントを全社的に拡大するという意味ではない。

「内部統制はコスト増にしかならない、という声もあるが、シェアード化を進めることでコストは下がるはず。今こそ現場視点でのリスクマネジメントを推し進めるべきだ」(永井氏)

「ERMの正しいあり方は、これまでのさまざまな統制および統制組織を統合(内部統制統合)し、現場視点でのリスクマネジメントを進めることにある。現場にとって負荷が高まる統制や評価作業は見直す必要がある。同様に、経営陣が対症療法的な対策をとらなければないないような体制も見直す必要がある。これらは、少し見方を変えるだけで実行できることだ」

たとえば、J-SOX対応においては、法対応を主目的にすればコスト増につながることは明白だが、業務プロセスを共通化しシェアード化を進めることを目的にすれば、長期的にトータルコストの削減や業務のスピード向上につなげることもできる。実際、米国SOX法対応で標準化を進めた企業が管理コストを半分以下に削減したとの実例も報告されるようになっているという。

「経営への具体的な効果を示されても動かないという経営者はまずいない。効果の検証や提言など、社内外から地道に働きかけていくことで、組織的な取り組みにしていくことが求められる」

After J-SOX研究会では、現場視点でのリスクマネジメントについて、網羅的かつ一般企業にあったリスクモデルや、企業価値の向上 に結びつくアプローチを研究し、具体的なメッセージとして発信することに力を入れている。また、現在は、内部統制対応でリスクコントロールマトリックスなどを作成したことで、従来の統制環境を統合したリスクマネジメントの素地ができつつある時期とも重なる。「今こそ、After J-SOXを見据え、持続可能かつ現場視点での内部統制さらにはERMを整備すべきとき」というわけだ。