‘リスク評価’
内部統制の構成要素について教えてください。
Q.内部統制の構成要素について教えてください。
A.アメリカのトレッドウェイ組織委員会の委員長であるトレッドウェイがまとめ、公表された内部統制のフレームワークに係るレポートが存在します。そのレポートで提示されたフレームワークがCOSOフレームワークであり、COSOフレームワークは内部統制の目的として、業務効率、財務報告の信頼性、法令遵守の三つを掲げています。そして、その目的達成のための構成要素として五つを挙げています。
構成要素については、2005年12月に企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査の基準案」(以下「内部統制基準案」といいます)では、「内部統制の基本的要素とは、内部統制の目的を達成するために必要とされる内部統制の構成部分」とされていて、構成要素として六つが記されています。日本版SOX法に対応するには、内部統制の目的を達成するためにこれらの構成要素の構築をしっかりと行い、これらを有効に実践していくことが大切です。
内部統制基準案における内部統制モデルは、目的三つと構成要素五つである「COSOの内部統制のフレームワーク」を日本的にアレンジしたものです。その内部統制モデルでは、目的として、業務の有効性と効率性、財務報告の信頼性、事業活動に関わる法令等の遵守、資産の保全という四つが記され、構成要素として、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング、IT(情報技術)への対応が記されています。なお、COSOフレームワークにおいては、「ITへの対応」というのは構成要素に含まれていません。
文書化するのは、内部統制の目的のうち財務報告の信頼性に係る部分です。日本版SOX法は、この部分のみを抜き出して、文書化して評価しようというものです。ただし、財務報告に関わる部分については、業務効率や法令遵守が関わる場合があり、また、資産の保全に係る部分も含まれることから、これらを含めて財務報告に関わる内部統制の全てを文書化しようということが、内部統制基準案の内容といえます。
上記の構成要素六つについて、具体的に述べます。
統制環境とは、組織の気風を決め、組織内のあらゆる者の統制に対する意識に影響を及ぼすもののことであり、経営者の意向や姿勢、経営方針、行動理念等が挙げられます。例えば、経営者が状況を認識することなく予算を押し付けたり、その押し付けられた予算を達成することにより従業員を評価したりするような組織になっているか否かというようなことが、統制環境といえます。統制環境は内部統制に極めて大きな影響を及ぼすことから、しっかり整備を行う必要があります。
次に、リスク評価と対応については、企業にはいろいろなリスクがありますので、そのようなリスクをある程度分類した上で、対応を検討することも極めて大切です。
情報と伝達については、経営者が従業員に対して行う上から下への情報伝達や、従業員が実情を報告する下から上への情報伝達、外部の利害関係者から企業への情報伝達があります。各種情報を企業が取捨選択して必要な情報が適切に伝わる体制が構築されていることが重要です。
また、統制活動は、経営者の命令や指示が適切に実行されることを確保するための体制です。ある職員に対して権限を付与し、その職員が他の職員の行った取引をきちんと承認している等、職員相互の牽制機能を働かせる活動が含まれています。統制活動の部分を文書化するというのが、基本的に日本版SOX法における内部統制評価の核心部分といえます。
そして、モニタリングについては、その内容は二つに大別できます。一つ目は日常的モニタリング(予算管理等)であり、パフォーマンスのレビューも行って予算と実績の比較、分析をし、業績の把握を行います。二つ目は独立的モニタリングであり、社内的には利害関係のない内部監査室等が監査をし、経営者にその監査結果の報告を行う仕組み等が挙げられます。
最後に、IT(情報技術)への対応については、現在の企業ではITを前提とする情報処理がほとんどであることから、ITに対してセキュリティー管理を適切に行っていることや、プログラム開発を行う際に手順が決定していること等が、その主な内容です。
内部統制とは、以上の六つの構成要素を築いていきましょうということをいいます。築いた内部統制のうち財務報告に関わる部分を抜き出して経営者が評価するのが、日本版SOX法ということになります。会社は、前述の内部統制モデルのうち財務報告に関わる部分のみを文書化して評価します。
日本版SOX法における内部統制制度の概要を教えてください。
Q.日本版SOX法における内部統制制度の概要を教えてください。
A.会社法において定められている内部統制システムに関しては、大会社であれば取締役会でその構築方針を決定する必要があります。「損失の危機の管理に関する規程その他の体制」(会社法施行規則第100条第1項第2号)は、リスク評価と対応に当てはまり、債権者保護という会社法の趣旨から極めて大切です。また、「取締役の職務の執行が効率的に行われることを確保するための体制」(会社法施行規則第100条第1項第3号)については、「取締役」と定められていますが基本的には業務効率の部分といえます。そして、「使用人の職務の執行が法令及び定款に適合することを確保するための体制」(会社法施行規則第100条第1項第4号)については、コンプライアンスに該当します。最後に、「当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制」(会社法施行規則第100条第1項第5号)は、財務報告や資産の保全等の広範囲の内部統制に該当します。
したがって、いわゆるCSOキュービック全体が会社法で定められているといえます。そこから財務報告の部分を抜き出したものが日本版SOX法です。
内部統制に関しては、有価証券報告書に係る適正性の確認書が、内閣府令や東証で要請されていました。さらに、金融商品取引法で、財務報告に係る内部統制の有効性を評価した結果を外部に報告する、日本版SOX法の制度が導入されました。日本版SOX法は、金融商品取引法の中で定められていて、同法における「開示制度の整備・強化等」の部分です。その目的は、財務計算に関する書類その他の情報の適正性を確保するための体制の評価制度の整備です。
日本版SOX法の具体的な内容については、構成としては次の三つとなっています。
・内部統制の基本的枠組み
そして、制度スキームとしては、次の五つとなっています。
・外部監査人による監査の実施
内部統制報告制度では、内部統制の四つの目的のうちで財務報告の信頼性の確保を果たすための内部統制について定められているのですか?
内部統制というのは、基本的に、業務の有効性と効率性、事業活動に関わる法令等の遵守、財務報告の信頼性の確保、資産の保全という四つの目的が果たされているとの合理的な保証を得るために、業務に組み込まれ、組織内のあらゆる人により遂行されるプロセスのことであり、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング(監視活動)、IT(情報技術)への対応という六つの基礎的要素から構成されます。
上記の内部統制の四つの目的は、各々固有の目的ではありますが、相互に密接に関連しているのであって、それぞれが独立して存在するわけではありません。つまり、内部統制は業務に組み込まれ、組織内のあらゆる人により遂行されるプロセスです。どれか一つの目的を果たすために構築された内部統制についても、別の目的のために構築された内部統制と共通の体制となったり、互いに補完しあったりすることもあります。
金融商品取引法における内部統制報告制度は、財務報告の信頼性を確保するための内部統制を「財務報告に係る内部統制」と定義付け、これを経営者による評価と報告、監査人による監査を通じて子築しようとするものです。財務報告の信頼性以外の目的については、それを果たすための内部統制の整備や構築を直接求めてはいません。しかしながら、財務報告は組織の業務全般に係る財務情報を集約したものであって、組織の業務全体と密接不可分の関係にあります。それゆえ、経営者が財務報告に係る内部統制を有効にかつ効率的に構築しようとするならば、各目的の関連性を認識してから、内部統制を整備・運用する必要があります。
また、内部統制については、あらゆる組織に画一的なものが存在しているわけではありません。各々の組織を取り巻く環境や事業の特性等に応じて、内部統制をどのように整備して運用するのかが違ってきます。ゆえに、経営者を始めとする組織内のあらゆる人が、内部統制の機能や役割を効率的に果たすことができるよう工夫していくこととなります。