内部統制は「SOXなどのコンプライアンス対応が仕事です」と捉えると、その本質を間違える機能である。US-SOXやJ-SOX、内部監査などのフレームワークとして知られるCOSOモデルルを理解するとわかるのだが、内部統制とは経営におけるリスク管理機能である。

COSOの日本語↓

従って、財務報告に係る内部統制にだけ焦点を当てていれば、あるべき機能を果たしているとは言えない。経理財務にはビジネスリーダーと共同する「実行者」でありながらも、客観的立場でビジネスを俯瞰する立場にあるため、規制や財務的なリスクの限らず、ビジネスリスクに関する感度も必要だ。

具体的には下記のようなリスクが対象になるが、全部のリスクをカバーするとなると相当のリソースが必要になるため、自社にとって優先順位の高いリスクを特定し、管理施策を打っていくことが現実的である。

出元：Protiviti Business Risk Model