‘内部統制’
企業にとって、内部統制はなぜ重要なのですか?
日本の会社にはルールが少なく、「俺がルールだ」というオーナー会社が多数見受けられますが、日本版SOX法に対応するには、まず、内部統制というのはどういうことかを認識する必要があります。内部統制とは、ルールにのっとって組織が適正にコントロールされているか否かをチェックする仕組みのことです。
上場企業にとって内部統制が重要であるのは、「時価総額の向上」とコインの表裏の関係にある「CSR(企業の社会的責任)の向上」を実践しておかなければ、企業の突然死が起こり得るからです。 時価総額と内部統制はコインの裏表だと考えることができ、時価総額経営を攻めの経営だとすると、内部統制は守りの経営だといえます。スポーツにおいても、試合に勝つには攻守のバランスが大切です。
内部統制は、金融商品取引法に規定されたから行うというのではなく、新会社法においても規定されたように、経営者や経営に欠かせない制度だと考えることが重要です。
内部統制のシステムは、企業経営の透明性に重要な関わりがあるのですか?
内部統制の前提として、会社がまず考えなければならないのが「透明性」です。透明性は企業経営にとって不可欠であり、ガラス張りの経営をしなければならない時代になっています。そして、透明性を担保するキーファクターが内部統制のシステムであるといえます。 では、ルールをチェックするため、適正にコントロールされているか否かをチェックするとしたら、なぜそのようなことをディスクロージャー(公表)する必要があるのかという疑問が生じます。それは、 経営者には、株主からの受託責任があり、企業を取り巻く利害関係者に対して説明を行う責任があるからです。未上場会社で、株主が1人だけであって株主と経営者が同一であるという場合には、説明責任は全くなく、ガバナンスの必要性もありません。しかし、上場会社については、多くの外部株主が存在します。経営者は、この外部株主に対する説明責任を負っていて、これをアカウンタビリティーと呼びます。なお、アカウンタビリティーというのは、アカウンティング(説明)とレスポンシビリティー(責任)を組み合わせた言葉です。経営受託した人々は、ステークホルダー(利害関係者)に対して、受託した責任を負いつつ、アカウンタビリティーを実行することになります。それを担保するためには、内部統制のシステムと運用が必要です。企業経営を車で例えると、透明性とアカウンタビリティーはシャーシーとエンジンの関係であり、それを担保するのは優れた内部統制システムの構築と運用であると考えることができます。
内部統制をすることは経営者が自身を守ることにもつながると聞きましたが、それはなぜでしょうか?
Q.内部統制をすることは経営者が自身を守ることにもつながると聞きましたが、それはなぜでしょうか?
A.経営の結果がどうなったかということより、経営を判断する過程できちんとした手続きをとっていたか否かということが、その経営者の責任になるという考え方を、経営判断の原則といいます。司法の判断においても支持されている考え方であるようです。例えば、役員会にかけることなく、勝手に経営者が行って多額の利益が出たとしても、内部統制違反になります。一方、適正に内部統制を行い、所定の手続きをとって損をしたとしても、本人の責任にはならないということになります。
したがって、「内部統制をきちんと行うこと」自体が、経営者を守ることにもなるといえます。特にオーナー企業にとっては、自身を守るためにも内部統制が必要であると考えることが重要です。
アメリカでは性悪説に立って経営しているのに対し、日本には性善説が根付いています。「うちにいるのはいい従業員ばかりで、従業員を信頼している。必要ないので、一文にもならない内部統制はできない」という経営者は少なくありません。
実際にそうかもしれませんし、性善説に立つ方が何もしなくていいのでコストを抑えられます。1980年代まではとてもいいとされていた仕組みが、1990年代に入ってリストラによって崩壊しました。会社が終身雇用を採用していたときには従業員の会社への帰属意識が強く、忠誠心も高かったのですが、人材が流動化した現在においてはこのような崩壊は必然といえるでしょう。
また、日本には、あうんの呼吸というものがあり、恥の文化が存在します。アメリカとはカルチャーが違いますので、経営者がしっかりした覚悟を持って行わなければ、頭だけはアメリカの性善説、体は日本の性善説という、どっちつかずの状況になる危険性があります。「頭では分かっていても、なかなかおなかに落ちてこない」のが人間の属性ですが、ケガをする前にできるだけ早く実行に移すことが重要です。
内部統制の目的については、全て同時にその達成を目指せばいいのでしょうか?
Q.内部統制の目的については、全て同時にその達成を目指せばいいのでしょうか?
A.内部統制は範囲がとても広く、新会社法の内部統制も、金融商品取引法(日本版SOX法)の内部統制も、いずれも重要です。しかし、同時に全てを行うことは難しく、とりわけ中小、中堅企業にとっては不可能に近いといえます。それゆえ、第一に両方の違いを認識することが、実務上、とても大切です。
新会社法には、四つの基準、四つのカテゴリー、四つの目的があります。その四つとは、法令順守、業務の有効性と効率性、資産の保全、財務報告の信頼性です。一方、金融商品取引法については、財務報告の信頼性のみです。したがって、新興市場や中小、中堅の上場企業にとっては、財務報告の信頼性を確実なものにしてから順次ほかの三つを達成していくのが、実務的でコストも抑えられるので適していると思われます。
上場企業は「有価証券報告書」を提出する分に関して「内部統制報告書」を確実に提出しなければなりません。財務報告の信頼性を第一に押さえる必要があると考えるのです。
日本版SOX法に熱心な会社であることは、IR戦略上も重要なのですか?
Q.日本版SOX法に熱心な会社であることは、IR戦略上も重要なのですか?
A.あらゆる分野で格付けがなされる時代となっていますので、日本版SOX法の会社格付けランキングが、発表される日もそう遠くはないかもしれません。
会社の内容や業績が重要であることはいうまでもありませんが、格付けで上位となる会社はIRや時価総額に影響するのではないかと思われます。例えば、環境報告書というものがあり、強制ではないのに作成する大きな理由は、環境報告書を作成していることで環境に熱心な会社とみなされ、環境格付けが上がることにあるのではないでしょうか。
ISOについても同様ですが、国内だけならすぐにあの会社と分かるものの、世界から日本の企業を評価する際には、格付けが高い会社であるか否かというような判断方法をします。したがって、IR戦略において、日本版SOX法に熱心な会社であることは不可欠です。
また、経営者が自ら、内部統制は本当に重要であり、内部統制によって自身の責任も免責される場合があるということを認識してその気にならなければ、日本版SOX法の成功はないといっても過言ではありません。上場している会社についても、経営者が日本版SOX法を全く理解していない会社が多数存在しています。「お金にならないから、できるだけやりたくない」、「売上げが上がらないものに、どうしてこんなにお金をかけなければならないのか」という考えの社長もいます。このような社長の下では、内部統制のセクション等が取り組もうといくらいっても限界があるでしょう。
企業会計審議会の内部統制部会の部会長である八田進二先生も、このことについて「大切なのは経営者が経営とは何かを考え、かつ信頼し得るディスクロージャーを担保すること」、「文書化すること自体が本来の目的ではありません」と述べています。八田先生も大変苦労したそうです。勉強会の参加者がほぼ担当者のみであり、経営者が参加しないとのことでした。しかし、経営者が何でも「オールマイティーにできる」ことが、内部統制の一番の限界点です。「何か事件が発生すると、これまでは必ず経営者の首が飛んできた。メディアはそれで留飲が下がるかもしれない。直接は事件に関連していない有能な経営者を失うことは社会的な損失です」。
内部統制の仕組みが整っていなければ、経営者が責任をとらなければならないのはいかなる場合で、とらなくていいのはいかなる場合であるかということが、はっきりしません。内部統制があることは、経営者にとっては「経営責任も正確に明確化できる」ということです。内部統制がなければ、日本では、経営者は記者会見で謝罪して辞めるということになってしまいます。本来なら辞めなくてもいい場合もあり、担当者の些細なミスで頭を下げて辞めているのも不条理です。内部統制が自身を守ることにつながると、とりわけ新興市場の中小、中堅のオーナー企業の経営者は認識する必要があります。
内部統制とは何かについて教えてください。
Q.内部統制とは何かについて教えてください。
A.内部統制とは、一般的に、経営目標が達成されているという合理的な保証を得るため、役職員全てにより業務が適切に遂行されるプロセスのことです。重要なのは、経営目標を達成するためということです。会社はさまざまな経営目標を掲げると思われますが、内部統制というのは、設定した経営目標が達成されているという合理的な保証を得るために、各々の役職員や従業員が業務を適切に遂行するプロセスであるといえます。
経営目標については、例えばROEを10%以上にする、売上高を30%増やす、利益を上げる、企業価値を上げる、純資産を増やすというようなことが挙げられます。このほか、コンプライアンスの遵守というのも、コンプライアンス違反により会社の存続が危うくなったというケースが近年では見受けられますので、重要な経営目標になり得ます。また、正しい財務諸表の作成も、財務諸表の虚偽表示という企業不祥事が起こったというケースがありますので、経営目標となります。そして、従業員の不正の未然防止、新聞等で会社の資産を従業員が使い込む事件が報じられていますので、会社の資産の保全という観点からも、不正への対応も経営目標となります。
以上の経営目標は、次に掲げる四つに大別することができます。
・業務の有効性と効率性
・コンプライアンス(法令遵守)
・財務報告の信頼性を確保すること
・会社の資産を保全すること
内部統制の構成要素について教えてください。
Q.内部統制の構成要素について教えてください。
A.アメリカのトレッドウェイ組織委員会の委員長であるトレッドウェイがまとめ、公表された内部統制のフレームワークに係るレポートが存在します。そのレポートで提示されたフレームワークがCOSOフレームワークであり、COSOフレームワークは内部統制の目的として、業務効率、財務報告の信頼性、法令遵守の三つを掲げています。そして、その目的達成のための構成要素として五つを挙げています。
構成要素については、2005年12月に企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査の基準案」(以下「内部統制基準案」といいます)では、「内部統制の基本的要素とは、内部統制の目的を達成するために必要とされる内部統制の構成部分」とされていて、構成要素として六つが記されています。日本版SOX法に対応するには、内部統制の目的を達成するためにこれらの構成要素の構築をしっかりと行い、これらを有効に実践していくことが大切です。
内部統制基準案における内部統制モデルは、目的三つと構成要素五つである「COSOの内部統制のフレームワーク」を日本的にアレンジしたものです。その内部統制モデルでは、目的として、業務の有効性と効率性、財務報告の信頼性、事業活動に関わる法令等の遵守、資産の保全という四つが記され、構成要素として、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング、IT(情報技術)への対応が記されています。なお、COSOフレームワークにおいては、「ITへの対応」というのは構成要素に含まれていません。
文書化するのは、内部統制の目的のうち財務報告の信頼性に係る部分です。日本版SOX法は、この部分のみを抜き出して、文書化して評価しようというものです。ただし、財務報告に関わる部分については、業務効率や法令遵守が関わる場合があり、また、資産の保全に係る部分も含まれることから、これらを含めて財務報告に関わる内部統制の全てを文書化しようということが、内部統制基準案の内容といえます。
上記の構成要素六つについて、具体的に述べます。
統制環境とは、組織の気風を決め、組織内のあらゆる者の統制に対する意識に影響を及ぼすもののことであり、経営者の意向や姿勢、経営方針、行動理念等が挙げられます。例えば、経営者が状況を認識することなく予算を押し付けたり、その押し付けられた予算を達成することにより従業員を評価したりするような組織になっているか否かというようなことが、統制環境といえます。統制環境は内部統制に極めて大きな影響を及ぼすことから、しっかり整備を行う必要があります。
次に、リスク評価と対応については、企業にはいろいろなリスクがありますので、そのようなリスクをある程度分類した上で、対応を検討することも極めて大切です。
情報と伝達については、経営者が従業員に対して行う上から下への情報伝達や、従業員が実情を報告する下から上への情報伝達、外部の利害関係者から企業への情報伝達があります。各種情報を企業が取捨選択して必要な情報が適切に伝わる体制が構築されていることが重要です。
また、統制活動は、経営者の命令や指示が適切に実行されることを確保するための体制です。ある職員に対して権限を付与し、その職員が他の職員の行った取引をきちんと承認している等、職員相互の牽制機能を働かせる活動が含まれています。統制活動の部分を文書化するというのが、基本的に日本版SOX法における内部統制評価の核心部分といえます。
そして、モニタリングについては、その内容は二つに大別できます。一つ目は日常的モニタリング(予算管理等)であり、パフォーマンスのレビューも行って予算と実績の比較、分析をし、業績の把握を行います。二つ目は独立的モニタリングであり、社内的には利害関係のない内部監査室等が監査をし、経営者にその監査結果の報告を行う仕組み等が挙げられます。
最後に、IT(情報技術)への対応については、現在の企業ではITを前提とする情報処理がほとんどであることから、ITに対してセキュリティー管理を適切に行っていることや、プログラム開発を行う際に手順が決定していること等が、その主な内容です。
内部統制とは、以上の六つの構成要素を築いていきましょうということをいいます。築いた内部統制のうち財務報告に関わる部分を抜き出して経営者が評価するのが、日本版SOX法ということになります。会社は、前述の内部統制モデルのうち財務報告に関わる部分のみを文書化して評価します。
日本版SOX法における内部統制制度の概要を教えてください。
Q.日本版SOX法における内部統制制度の概要を教えてください。
A.会社法において定められている内部統制システムに関しては、大会社であれば取締役会でその構築方針を決定する必要があります。「損失の危機の管理に関する規程その他の体制」(会社法施行規則第100条第1項第2号)は、リスク評価と対応に当てはまり、債権者保護という会社法の趣旨から極めて大切です。また、「取締役の職務の執行が効率的に行われることを確保するための体制」(会社法施行規則第100条第1項第3号)については、「取締役」と定められていますが基本的には業務効率の部分といえます。そして、「使用人の職務の執行が法令及び定款に適合することを確保するための体制」(会社法施行規則第100条第1項第4号)については、コンプライアンスに該当します。最後に、「当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制」(会社法施行規則第100条第1項第5号)は、財務報告や資産の保全等の広範囲の内部統制に該当します。
したがって、いわゆるCSOキュービック全体が会社法で定められているといえます。そこから財務報告の部分を抜き出したものが日本版SOX法です。
内部統制に関しては、有価証券報告書に係る適正性の確認書が、内閣府令や東証で要請されていました。さらに、金融商品取引法で、財務報告に係る内部統制の有効性を評価した結果を外部に報告する、日本版SOX法の制度が導入されました。日本版SOX法は、金融商品取引法の中で定められていて、同法における「開示制度の整備・強化等」の部分です。その目的は、財務計算に関する書類その他の情報の適正性を確保するための体制の評価制度の整備です。
日本版SOX法の具体的な内容については、構成としては次の三つとなっています。
・内部統制の基本的枠組み
そして、制度スキームとしては、次の五つとなっています。
・外部監査人による監査の実施
日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?
Q.日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?
A.内部統制の有効性の自己評価については、第一に評価範囲を決める必要があります。財務報告に係る内部統制の全部を文書化するのは、費用面からも困難です。したがって、重要な事業拠点を定める等して、全社的な内部統制の評価を行った上で、その結果により評価対象を限定します。ただ、決算・財務報告プロセスに関しては、全ての事業拠点で評価を行う必要があります。その後、選んだ事業拠点における重要な業務プロセスに係る内部統制を評価し、それ以外のリスクを抱えた重要な財務諸表項目に至るプロセスに関しても評価します。評価を終えたら、それが全体として有効か否かについて経営者が判断をします。そして、内部統制報告書の作成を行います。
基本的に文書化するのは、業務プロセスに係る内部統制と、全社レベルの内部統制です。
業務プロセスに係る内部統制というのは、例えば販売担当者が受注して商品を出荷し、出荷したものを売上げに計上するためにシステムに入力をした後で、結果が正しいか否かを確認する等の、それぞれの職場で一般的に行われている財務報告に影響を及ぼす業務活動であり、これが核心部分です。
一方、全社レベルの内部統制は、上記の業務プロセスレベルの内部統制に影響を及ぼすものであり、二つに大別できます。一つ目は組織風土等に係る全社的な内部統制であり、二つ目はITに係る全般統制です。ITに係る部分は全社的な内部統制と性質が異なりますので、これらの二つを区分しています。
全社的な内部統制については、統制環境がその主要な構成要素であり、具体的には経営理念、行動憲章、社内諸規程、運用マニュアル、全社レベルの予算管理等です。全社レベルで諸規程を作成して遵守する体制や、内部通報制度等も含まれます。不正に気付いた際に、上司ではなく外部の顧問弁護士等に報告できることも、全社的な内部統制といえます。
一方、ITに係る全般統制は、ITを利用した業務プロセスを有効に機能させるために必要となる統制活動(ソフトウェア開発・変更・運用管理、情報セキュリティー)です。例えば、新規にシステムを構築する際に、その企画段階からきちんと統制がとれた体制となっていることや、部署が替わっても前の部署の売上げをそのまま入力できてしまうと財務諸表が正しく作成されない可能性もありますので、パスワードによる管理をして限られた者のみが入力できるように管理すること等が、ITに係る全般統制です。
また、前述した業務プロセスに係る内部統制については、次のようなものがこれに該当します。
・職務分掌(請求書を発行する部署と入金部署を区分しているか)
・取引承認体制(100万円以上の取引は部長だけに実行する権限が付与されていて、部長の承認がなければその取引を実行できないシステムになっているか等)
・財務会計システムへの入力確認(100円入力したものがきちんと100円の売上げとして計上されていることを確認するコントロールがあるか等)
・該当部門の予算実績差異分析(ある事業部の当月の予算に対して実績が未達であった場合に、ある理由でその差異が分析されるので正しいのだという差異分析がなされているか等)
財務報告に係る内部統制は、業務プロセスに係る内部統制、全社的な内部統制、ITに係る全般統制の三つによって構成されていることから、基本的にはこれら全てを行う必要があります。日本版SOX法の具体的な実務は、このような統制を文書化していくことです。
内部統制を文書化する手順について教えてください。
Q.内部統制を文書化する手順について教えてください。
A.内部統制を文書化していくのが日本版SOX法の具体的な実務ということになりますが、その進め方については、第一に全社的な内部統制の評価を行い、評価対象とする事業拠点を選びます。そして、選んだ事業拠点等に関して業務処理統制の評価を行います。業務処理統制を評価するには、多くの工数を要しますので、費用が多額となります。全社レベルの内部統制は一度行えばその後は適正に運用されているかをチェックし、変更がなければそれで済みますが、業務処理統制に関しては、取引のタイプが異なってコントロールが違えば、その取引ごとに評価するのが基本となります。したがって、どのように取引を区分するか、いかなるコントロールがあるかということを把握し、それを文書化するかが、極めて大変な作業といえます。業務処理統制の評価を行った後に、そこに不備があった場合にはそれを是正します。そうしないと、財務報告が誤るリスクが十分に軽減されないということになるからです。そして是正後に内部統制報告書を作成し、その報告書の過程を会計監査人が監査します。会計監査人から、これは少し弱いのではないですかという話があった場合には、次期以降に改善活動を行います。
内部統制の文書化の手順については、上記に述べた全社的な内部統制の評価から改善活動の実施までの過程を繰り返していくということになります。なお、全社レベル統制の文書化にはIT全般統制の文書化が含まれ、業務処理レベル統制の文書化にはITアプリケーション統制の文書化も含まれます。
ただし、最後に監査人から、これは少し問題があるのではないか、内部統制上不備といえるのではないかという話があっても、その場ですぐに対応するのは困難です。したがって、例えば全社レベル統制はこのように行い、業務処理統制はこのような方法でこのように文書化しますが、それでいいでしょうかというような確認をとりつつ文書化を進めていくということが、極めて大切です。
« Older Entries