‘日本版SOX’

日本版SOX法の導入は、上場企業であれば中小、中堅会社も超一流の会社と同じように行えばいいのでしょうか?

 

日本には約4,000の上場企業が存在しますが、そのうちの3分の1はミッドサイズの中小、中堅会社であり、これらの新興市場の会社が超一流の会社と全く同じように日本版SOX法を導入した場合には、大半がコストを負担できないと思われます。なぜなら、問題が山積していて全速力で走っているような状況であり、日本版SOX法に対応する人的資源も、割り当てる予算も制限されてしまうからです。したがって、最小限のコストで最大の効果を上げることが重要となります。

企業にとって、内部統制はなぜ重要なのですか?

 

日本の会社にはルールが少なく、「俺がルールだ」というオーナー会社が多数見受けられますが、日本版SOX法に対応するには、まず、内部統制というのはどういうことかを認識する必要があります。内部統制とは、ルールにのっとって組織が適正にコントロールされているか否かをチェックする仕組みのことです。

上場企業にとって内部統制が重要であるのは、「時価総額の向上」とコインの表裏の関係にある「CSR(企業の社会的責任)の向上」を実践しておかなければ、企業の突然死が起こり得るからです。 時価総額と内部統制はコインの裏表だと考えることができ、時価総額経営を攻めの経営だとすると、内部統制は守りの経営だといえます。スポーツにおいても、試合に勝つには攻守のバランスが大切です。

内部統制は、金融商品取引法に規定されたから行うというのではなく、新会社法においても規定されたように、経営者や経営に欠かせない制度だと考えることが重要です。

日本版SOX法における文書化の重要性について教えてください。

 

日本版SOX法においては文書化が重要です。文書化というのは、「共通言語」を作ることです。ISOを導入している会社は考え方が同じですので理解しやすいと思われます。日本版SOX法の「実施基準」は、ある意味でISOの「規格要求事項」に該当します。

やみくもに文書化すると、保存文書が膨大になってしまい、どこに文書が保管されているのか不明になりかねません。同じ価値観を持たせて、それをグローバル基準に合わせ、そういうものを集積したベストプラクティス(最適事例)が文書化であるといえます。

 

日本版SOX法はいわばアメリカからの輸入商品ですが、アメリカにはアメリカ人は少なく、会社には英語を話せない従業員も存在します。したがって、共通言語を話すには、文書化が欠かせません。

一方、日本の会社では、日本語を話す人だけが存在することが多く、アメリカにおける文書化とは基本が同じであれば方法には違いがあってもいいのではないのでしょうか。これまでの日本のカルチャーとは異なることに取り組まなければならないという大変さがある上に、アメリカのものをそのまま直訳してもうまくいかない面もあるでしょう。そのようなことを考慮すると、文書化は最小限でできると思われます。

 

文書化は、日本のカルチャーにはありませんが、とても重要であるということは歴史が証明してくれます。幕末の薩長連盟の成立が明治維新につながったのですが、水と油の関係であった薩摩藩と長州藩による薩長連盟が坂本竜馬の立会いの下でうまくいったのは、文書化したからであり、もし口頭であったならうまくいかなかっただろうといわれています。

現代のようなグローバルな時代においては、文書化の重要性は増しています。例えば、移転価格税制についても、海外子会社との取引価格の税金であることから海外との交渉ごとが絡んできますので、文書化しなければ後になってトラブルが発生するのは避けられないということになります。

内部統制の目的については、全て同時にその達成を目指せばいいのでしょうか?

 

Q.内部統制の目的については、全て同時にその達成を目指せばいいのでしょうか?

 

A.内部統制は範囲がとても広く、新会社法内部統制も、金融商品取引法(日本版SOX法)の内部統制も、いずれも重要です。しかし、同時に全てを行うことは難しく、とりわけ中小、中堅企業にとっては不可能に近いといえます。それゆえ、第一に両方の違いを認識することが、実務上、とても大切です。

会社法には、四つの基準、四つのカテゴリー、四つの目的があります。その四つとは、法令順守、業務の有効性と効率性、資産の保全財務報告の信頼性です。一方、金融商品取引法については、財務報告の信頼性のみです。したがって、新興市場や中小、中堅の上場企業にとっては、財務報告の信頼性を確実なものにしてから順次ほかの三つを達成していくのが、実務的でコストも抑えられるので適していると思われます。

上場企業は「有価証券報告書」を提出する分に関して「内部統制報告書」を確実に提出しなければなりません。財務報告の信頼性を第一に押さえる必要があると考えるのです。

日本版SOX法に熱心な会社であることは、IR戦略上も重要なのですか?

 

Q.日本版SOX法に熱心な会社であることは、IR戦略上も重要なのですか?

 

A.あらゆる分野で格付けがなされる時代となっていますので、日本版SOX法の会社格付けランキングが、発表される日もそう遠くはないかもしれません。

会社の内容や業績が重要であることはいうまでもありませんが、格付けで上位となる会社はIRや時価総額に影響するのではないかと思われます。例えば、環境報告書というものがあり、強制ではないのに作成する大きな理由は、環境報告書を作成していることで環境に熱心な会社とみなされ、環境格付けが上がることにあるのではないでしょうか。

ISOについても同様ですが、国内だけならすぐにあの会社と分かるものの、世界から日本の企業を評価する際には、格付けが高い会社であるか否かというような判断方法をします。したがって、IR戦略において、日本版SOX法に熱心な会社であることは不可欠です。

 

また、経営者が自ら、内部統制は本当に重要であり、内部統制によって自身の責任も免責される場合があるということを認識してその気にならなければ、日本版SOX法の成功はないといっても過言ではありません。上場している会社についても、経営者が日本版SOX法を全く理解していない会社が多数存在しています。「お金にならないから、できるだけやりたくない」、「売上げが上がらないものに、どうしてこんなにお金をかけなければならないのか」という考えの社長もいます。このような社長の下では、内部統制のセクション等が取り組もうといくらいっても限界があるでしょう。

企業会計審議会の内部統制部会の部会長である八田進二先生も、このことについて「大切なのは経営者が経営とは何かを考え、かつ信頼し得るディスクロージャーを担保すること」、「文書化すること自体が本来の目的ではありません」と述べています。八田先生も大変苦労したそうです。勉強会の参加者がほぼ担当者のみであり、経営者が参加しないとのことでした。しかし、経営者が何でも「オールマイティーにできる」ことが、内部統制の一番の限界点です。「何か事件が発生すると、これまでは必ず経営者の首が飛んできた。メディアはそれで留飲が下がるかもしれない。直接は事件に関連していない有能な経営者を失うことは社会的な損失です」。

内部統制の仕組みが整っていなければ、経営者が責任をとらなければならないのはいかなる場合で、とらなくていいのはいかなる場合であるかということが、はっきりしません。内部統制があることは、経営者にとっては「経営責任も正確に明確化できる」ということです。内部統制がなければ、日本では、経営者は記者会見で謝罪して辞めるということになってしまいます。本来なら辞めなくてもいい場合もあり、担当者の些細なミスで頭を下げて辞めているのも不条理です。内部統制が自身を守ることにつながると、とりわけ新興市場の中小、中堅のオーナー企業の経営者は認識する必要があります。

内部統制の構成要素について教えてください。

 

Q.内部統制の構成要素について教えてください。

A.アメリカのトレッドウェイ組織委員会の委員長であるトレッドウェイがまとめ、公表された内部統制のフレームワークに係るレポートが存在します。そのレポートで提示されたフレームワークがCOSOフレームワークであり、COSOフレームワークは内部統制の目的として、業務効率、財務報告の信頼性、法令遵守の三つを掲げています。そして、その目的達成のための構成要素として五つを挙げています。

構成要素については、2005年12月に企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査の基準案」(以下「内部統制基準案」といいます)では、「内部統制の基本的要素とは、内部統制の目的を達成するために必要とされる内部統制の構成部分」とされていて、構成要素として六つが記されています。日本版SOX法に対応するには、内部統制の目的を達成するためにこれらの構成要素の構築をしっかりと行い、これらを有効に実践していくことが大切です。

内部統制基準案における内部統制モデルは、目的三つと構成要素五つである「COSOの内部統制のフレームワーク」を日本的にアレンジしたものです。その内部統制モデルでは、目的として、業務の有効性と効率性、財務報告の信頼性、事業活動に関わる法令等の遵守、資産の保全という四つが記され、構成要素として、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング、IT(情報技術)への対応が記されています。なお、COSOフレームワークにおいては、「ITへの対応」というのは構成要素に含まれていません。

文書化するのは、内部統制の目的のうち財務報告の信頼性に係る部分です。日本版SOX法は、この部分のみを抜き出して、文書化して評価しようというものです。ただし、財務報告に関わる部分については、業務効率や法令遵守が関わる場合があり、また、資産の保全に係る部分も含まれることから、これらを含めて財務報告に関わる内部統制の全てを文書化しようということが、内部統制基準案の内容といえます。

 

上記の構成要素六つについて、具体的に述べます。

統制環境とは、組織の気風を決め、組織内のあらゆる者の統制に対する意識に影響を及ぼすもののことであり、経営者の意向や姿勢、経営方針、行動理念等が挙げられます。例えば、経営者が状況を認識することなく予算を押し付けたり、その押し付けられた予算を達成することにより従業員を評価したりするような組織になっているか否かというようなことが、統制環境といえます。統制環境は内部統制に極めて大きな影響を及ぼすことから、しっかり整備を行う必要があります。

次に、リスク評価と対応については、企業にはいろいろなリスクがありますので、そのようなリスクをある程度分類した上で、対応を検討することも極めて大切です。

情報と伝達については、経営者が従業員に対して行う上から下への情報伝達や、従業員が実情を報告する下から上への情報伝達、外部の利害関係者から企業への情報伝達があります。各種情報を企業が取捨選択して必要な情報が適切に伝わる体制が構築されていることが重要です。

また、統制活動は、経営者の命令や指示が適切に実行されることを確保するための体制です。ある職員に対して権限を付与し、その職員が他の職員の行った取引をきちんと承認している等、職員相互の牽制機能を働かせる活動が含まれています。統制活動の部分を文書化するというのが、基本的に日本版SOX法における内部統制評価の核心部分といえます。

そして、モニタリングについては、その内容は二つに大別できます。一つ目は日常的モニタリング(予算管理等)であり、パフォーマンスのレビューも行って予算と実績の比較、分析をし、業績の把握を行います。二つ目は独立的モニタリングであり、社内的には利害関係のない内部監査室等が監査をし、経営者にその監査結果の報告を行う仕組み等が挙げられます。

最後に、IT(情報技術)への対応については、現在の企業ではITを前提とする情報処理がほとんどであることから、ITに対してセキュリティー管理を適切に行っていることや、プログラム開発を行う際に手順が決定していること等が、その主な内容です。

内部統制とは、以上の六つの構成要素を築いていきましょうということをいいます。築いた内部統制のうち財務報告に関わる部分を抜き出して経営者が評価するのが、日本版SOX法ということになります。会社は、前述の内部統制モデルのうち財務報告に関わる部分のみを文書化して評価します。

日本版SOX法における内部統制制度の概要を教えてください。

 

Q.日本版SOX法における内部統制制度の概要を教えてください。

A.会社法において定められている内部統制システムに関しては、大会社であれば取締役会でその構築方針を決定する必要があります。「損失の危機の管理に関する規程その他の体制」(会社法施行規則第100条第1項第2号)は、リスク評価と対応に当てはまり、債権者保護という会社法の趣旨から極めて大切です。また、「取締役の職務の執行が効率的に行われることを確保するための体制」(会社法施行規則第100条第1項第3号)については、「取締役」と定められていますが基本的には業務効率の部分といえます。そして、「使用人の職務の執行が法令及び定款に適合することを確保するための体制」(会社法施行規則第100条第1項第4号)については、コンプライアンスに該当します。最後に、「当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制」(会社法施行規則第100条第1項第5号)は、財務報告資産の保全等の広範囲の内部統制に該当します。

したがって、いわゆるCSOキュービック全体が会社法で定められているといえます。そこから財務報告の部分を抜き出したものが日本版SOX法です。

内部統制に関しては、有価証券報告書に係る適正性の確認書が、内閣府令や東証で要請されていました。さらに、金融商品取引法で、財務報告に係る内部統制の有効性を評価した結果を外部に報告する、日本版SOX法の制度が導入されました。日本版SOX法は、金融商品取引法の中で定められていて、同法における「開示制度の整備・強化等」の部分です。その目的は、財務計算に関する書類その他の情報の適正性を確保するための体制の評価制度の整備です。

日本版SOX法の具体的な内容については、構成としては次の三つとなっています。

内部統制の基本的枠組み

財務報告に係る内部統制の評価と報告

財務報告に係る内部統制の監査

そして、制度スキームとしては、次の五つとなっています。

財務報告に係る内部統制の構築

財務報告に係る内部統制の有効性の(経営者による)自己評価

財務報告に係る内部統制報告書の(経営者による)作成と公表

・外部監査人による監査の実施

財務報告に係る内部統制監査報告書の作成と公表

日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?

 

Q.日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?

 

A.内部統制の有効性の自己評価については、第一に評価範囲を決める必要があります。財務報告に係る内部統制の全部を文書化するのは、費用面からも困難です。したがって、重要な事業拠点を定める等して、全社的な内部統制の評価を行った上で、その結果により評価対象を限定します。ただ、決算・財務報告プロセスに関しては、全ての事業拠点で評価を行う必要があります。その後、選んだ事業拠点における重要な業務プロセスに係る内部統制を評価し、それ以外のリスクを抱えた重要な財務諸表項目に至るプロセスに関しても評価します。評価を終えたら、それが全体として有効か否かについて経営者が判断をします。そして、内部統制報告書の作成を行います。

 

基本的に文書化するのは、業務プロセスに係る内部統制と、全社レベルの内部統制です。

業務プロセスに係る内部統制というのは、例えば販売担当者が受注して商品を出荷し、出荷したものを売上げに計上するためにシステムに入力をした後で、結果が正しいか否かを確認する等の、それぞれの職場で一般的に行われている財務報告に影響を及ぼす業務活動であり、これが核心部分です。

一方、全社レベルの内部統制は、上記の業務プロセスレベルの内部統制に影響を及ぼすものであり、二つに大別できます。一つ目は組織風土等に係る全社的な内部統制であり、二つ目はITに係る全般統制です。ITに係る部分は全社的な内部統制と性質が異なりますので、これらの二つを区分しています。

全社的な内部統制については、統制環境がその主要な構成要素であり、具体的には経営理念、行動憲章、社内諸規程、運用マニュアル、全社レベルの予算管理等です。全社レベルで諸規程を作成して遵守する体制や、内部通報制度等も含まれます。不正に気付いた際に、上司ではなく外部の顧問弁護士等に報告できることも、全社的な内部統制といえます。

一方、ITに係る全般統制は、ITを利用した業務プロセスを有効に機能させるために必要となる統制活動(ソフトウェア開発・変更・運用管理、情報セキュリティー)です。例えば、新規にシステムを構築する際に、その企画段階からきちんと統制がとれた体制となっていることや、部署が替わっても前の部署の売上げをそのまま入力できてしまうと財務諸表が正しく作成されない可能性もありますので、パスワードによる管理をして限られた者のみが入力できるように管理すること等が、ITに係る全般統制です。

また、前述した業務プロセスに係る内部統制については、次のようなものがこれに該当します。

・職務分掌(請求書を発行する部署と入金部署を区分しているか)

・取引承認体制(100万円以上の取引は部長だけに実行する権限が付与されていて、部長の承認がなければその取引を実行できないシステムになっているか等)

・財務会計システムへの入力確認(100円入力したものがきちんと100円の売上げとして計上されていることを確認するコントロールがあるか等)

・該当部門の予算実績差異分析(ある事業部の当月の予算に対して実績が未達であった場合に、ある理由でその差異が分析されるので正しいのだという差異分析がなされているか等)

財務報告に係る内部統制は、業務プロセスに係る内部統制、全社的な内部統制、ITに係る全般統制の三つによって構成されていることから、基本的にはこれら全てを行う必要があります。日本版SOX法の具体的な実務は、このような統制を文書化していくことです。

内部統制を文書化する手順について教えてください。

 

Q.内部統制を文書化する手順について教えてください。

 

A.内部統制を文書化していくのが日本版SOX法の具体的な実務ということになりますが、その進め方については、第一に全社的な内部統制の評価を行い、評価対象とする事業拠点を選びます。そして、選んだ事業拠点等に関して業務処理統制の評価を行います。業務処理統制を評価するには、多くの工数を要しますので、費用が多額となります。全社レベルの内部統制は一度行えばその後は適正に運用されているかをチェックし、変更がなければそれで済みますが、業務処理統制に関しては、取引のタイプが異なってコントロールが違えば、その取引ごとに評価するのが基本となります。したがって、どのように取引を区分するか、いかなるコントロールがあるかということを把握し、それを文書化するかが、極めて大変な作業といえます。業務処理統制の評価を行った後に、そこに不備があった場合にはそれを是正します。そうしないと、財務報告が誤るリスクが十分に軽減されないということになるからです。そして是正後に内部統制報告書を作成し、その報告書の過程を会計監査人が監査します。会計監査人から、これは少し弱いのではないですかという話があった場合には、次期以降に改善活動を行います。

内部統制の文書化の手順については、上記に述べた全社的な内部統制の評価から改善活動の実施までの過程を繰り返していくということになります。なお、全社レベル統制の文書化にはIT全般統制の文書化が含まれ、業務処理レベル統制の文書化にはITアプリケーション統制の文書化も含まれます。

ただし、最後に監査人から、これは少し問題があるのではないか、内部統制上不備といえるのではないかという話があっても、その場ですぐに対応するのは困難です。したがって、例えば全社レベル統制はこのように行い、業務処理統制はこのような方法でこのように文書化しますが、それでいいでしょうかというような確認をとりつつ文書化を進めていくということが、極めて大切です。

業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?

 

Q.業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?

 

A.全社レベル統制と業務処理統制を文書化していくのが日本版SOX法の具体的な実務といえますが、そのうちの業務処理統制の文書化に当たって何を評価すればいいのかについて以下に述べます。

評価には2種類のものがあります。一つ目は整備状況の評価です。整備状況というのは、いわゆるデザインであり、例えばAさんがBさんの行ったことをチェックしている場合、チェックを行うことで本当に誤りが是正されるか否かということと、チェックを行う体制がつくられているか否かということです。二つ目は運用状況の評価です。デザインについては、優れた内部統制の仕組みができたとしても、現実にそれを行っているか否かということが、運用状況の評価といえます。

整備状況の評価によって財務報告が誤るリスクが十分に軽減されているか否かを確認した後、現実に運用できているか否かを再び確認します。運用状況の評価については、具体的にはいわゆるテスティングを行うことになります。例えば、Aさんが自身の入力した結果についてプルーフを必ず出してチェックしているというコントロールがある場合、月のプルーフから10件を選んで本当にチェックが行われたか否かを確認します。

性善説に経てばここまでで済みます。我が社の社員は皆まじめで、やったといえば必ずやっていますので、心配ありませんということになります。しかし、日本版SOX法の制度では、それでは済みません。やっているのなら、その証拠を見せてもらわなければ信用できないという考え方に基づき、その後のテスティングをして評価することによって初めて内部統制を評価したということになります。極めて疑い深いということができ、アメリカ的な考え方がそのまま導入されています。

 

業務処理統制を文書化する目的は、財務報告に係る内部統制を文書化して評価することです。したがって、財務諸表が誤るリスクは何かということを第一に特定します。例えば、売上金額(数量×単価)が正確に計上されない可能性があるということを一つのリスクとして考えます。企業においては人が作業を行って実務が成立していることから、リスクが存在しないことはほぼないと思われます。それゆえ、誤るリスクはどこに存在するのかということになり、そのリスクを特定するのが第一段階です。正確に計上されない可能性があるというのがリスクであると考えるのです。

続いて、コントロールとしてそのリスクに対して何をしているかについては、仮に、売上情報の入力担当者は入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているとします。この場合、正確に計上されない可能性があるというリスクは、このようなコントロールをすることで軽減されているといえるでしょう。

例えば、1個100円のもの10個で売上金額1,000円ですが、この金額が正しく計上されずに入力担当者が1個110円と間違えて入力するかもしれないというリスクがあります。だれが入力しても間違いが起こる可能性があるでしょう。しかし、入力担当者が入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているのであれば、このリスクは軽減されると考えます。コントロール(そのリスクを軽減するために行うチェックの仕組み)でリスクは十分に軽減されているか否かを把握するのがデザインの評価、整備状況の評価です。

整備状況の評価については、コントロールが十分リスクを軽減しているかということのほかに、コントロールを明確にするという目的から、コントロールをする頻度や実施者等が明確になっているかということ、すなわち、いかなる頻度でだれがいかなる証跡を残して行うかということ等が定まったコントロールになっているか否かが重要です。このリスクとコントロールの関係をドキュメンテーションしましょうというのが、整備状況の評価といえます。

監査法人ともさまざまな話をし、いかなるコントロールをしていれば問題がないかについて相談をしつつ、コントロールが十分であることを確認できたら、続いて運用のテストをします。内部統制のデザインはいいとしても、現実にそのコントロール手続きをしているのかを確認するのが、運用のテストです。このテストは、一定のサンプルサイズを決定した上で行います。例えば、売上金額の計上を誤るリスクを軽減するコントロールのテストとして、2014年3月に計上した売上金額につきプルーフをランダムに25件抽出し、出荷日、売り先、売上数量、単価等に関して、入力担当者が入力に用いた証憑と照合しているか否かを確認します。

そして、エラーがない場合には評価終了となります。一方、エラーがある場合には改善活動の立案と実施という流れになります。コントロールを行う担当者に正しく実施させるために、決められた通りに必ずやってくれるように担当者に伝えたり、担当者が能力の限界でできないということであればほかのコントロールを考えるか人を追加で配置してそのコントロールを実施してもらうようにしたりします。このようなことが繰り返され、最終的にほかのコントロールを実施すると決まった場合には、そのコントロールのテスティングを開始し、エラーがなければ評価終了となります。

以上で、基本的に、業務処理統制の部分の整備状況の評価と運用状況の評価が終了することになります。

« Older Entries
Copyright© 2014 会社法と内部統制 All Rights Reserved.