内部統制とは何？

解釈すれば、内部統制とは、目的ではなく、「業務の有効性と効率性」「財務報告の信頼性」「関連法規の遵守」に対する合理的な保証を提供する手段であるとなります。

つまり、投資家保護の観点から、虚偽報告を排除し、財務報告の信頼性を確保するために、日常業務プロセスを効率的に行い、有効な成果をあげるとです。

これは、効率的な経営管理システム（ITのシステムという意味ではない)を構築することではないでしょうか。

効率的な経営管理システムを構築するためには、どうしてもITの支援がなければ実現できません。多額の費用をかけてシステムを導入し、さらに、多くの人材を内部監査へ移動させることが求められるのかもしれません。

SOX法対応のためにアメリカの企業が負担した費用を思い出してください。多額の対応費用のために、アメリカの企業はため息をついています。

内部統制の基本要素に、ITを盛り込んでいる。
システム導入に多額の費用がかかる。
本年度から始まった「産業競争力のための情報基盤強化税制」で、導入費用（ハード、OS、DB、アプリケーション、ファイアーウォールが対象)の10%を税額控除する。

既に外堀が埋められているような気がします。深読みでしょうか？

ちなみにこの税制は、パッケージ導入だけではなく、自社開発も含まれるそうですが、パッケージ導入にかかわるコンサル費用が対象になるかどうかは、確認していません。

では、効率的な経営管理システムを構築するには、何をすべきでしょうか。

IT導入を考える以前に、

業務フローのベストプラクティスを考える。
業務を標準化する。
現場担当者、管理者、さらに経営層の責任と義務を明確にする。

そして、業務を文書化する。

ここまでは、従来から行っている基幹システム導入と同じです。しかし、新たに、その業務に架空取引などの不正な取引が入るリスクを洗い出し、リスク対応を考えることが必要になります。

さらに、経営成果をモニタリングするプロセスと、業務遂行自体をモニタリングするプロセスを構築しなければなりません。

業務遂行自体をモニタリングする。これは、プロジェクトマネジメントのxxxマネジメント計画を作成することと同じです。

誰が業務の責任を持ち遂行し、誰に報告するか。
報告された現象がどのような状態になれば、対応策を誰が検討し、決定するか。
そして、その対応策を誰が責任を持って実施するか。
そのプロセス自体が適正に行われているかをモニタリングする。

内部監査は、最後のプロセス自体が適正に行われているかどうかをモニタリングすることであり、内部統制のすべてではありません。

以上のように考えれば、内部統制は、日頃から現場で意識的に行わなければならない活動であると捉えることができます。