内部統制は、J-SOX対応が必須ではありません。内部統制自身は、どんな会社にも何らかの形で存在するものです。その統制のレベルを引き上げることは、とても意味のあることで、J-SOX対応のレベルに達しなくとも、その会社にあったレベル、必要なレベルというものが存在し、そのレベルに到達できるように計画し、実行し、運用することが重要だと思うのです。
　
　プライバシーマークがそうであったように、いつしか”貴社の内部統制の状況を証明・説明してください。このレベルに達していないと取引できません。”と言われてしまうことも遅からずやってくるのではないでしょうか。
　
　もちろん、内部統制の内容は仕組みは社外秘なのでこと細かく説明することはないでしょうが、何らかの方法で証明・説明しなければならないかもしれません。
　
　中小企業にとって、内部統制は厄介なものです。経営者自身が自らの首を絞めることにつながりかねないからです。中小企業の場合、経営者の権限が強くワンマンで強引に引っ張っている傾向があります。このこと自体が、内部統制のターゲットとされてしまうからです。
　
　小生のところにも中小企業様から内部統制について相談をされる方が少なくありません。内部統制に対してどう取り組んでいったら良いのか、どう現実的に進めていけばよいのか．．．と。多くのコンサルティング会社では、内部統制を額面通りに進めてしまうことになってしまうというのです。
　
　しかし、J-SOX法は、上場企業を対象にしています。非上場企業で、上場企業の子会社でも関連会社でもない会社に、J-SOX法のレベルの内部統制を求めるのは理想であって現時的ではないというのが実感。もちろん、やるべきだと思いますが、理想論と現実論をごっちゃにしてしまうと意味のない統制になってしまいます。
　
　では、中小企業の方からの相談に小生はどう答えているか．．．　まずは、自分自身を知ることから始めましょう答えています。
　
　何をどうしたいか、何をしなければならないかということを検討する前に、自分自身の会社がどうなっていて、どこに問題があり、どこにリスクがあるか、どの部分は統制が働いていて、どの部分は統制が利いていないかと知らなければ、全ては、”やらせれた感”になってしまうのです。
　
　まずは、自らを知る。その上で、どう統制計画を立てていけばいいかを一緒になって考えていく。経営者の都合もあるでしょう、予算の都合もあるでしょう。第三者から見てどうして統制を組み入れたい部分もあります。体外的に何とかしなければならない部分もあります。これらを見える化することで、経営者が納得した内部統制の計画が立てらるのです。
　
　この自己評価（特に、RCM：リスクコントロールマトリックス　やリスク一覧表などの文書）は、その企業にとって財産になります。経営者や社員が知らなかったリスクも表現されるはずだからです。その上で、リスクに大きさの想定や対応優先度を付けることで、次に何をすればよいか（中小企業の場合は、”しなければならない”ではない！）が分かってくるのです。
　
　中小企業の場合、まずはリスク分析。これが、最初の内部統制第一歩です。