企業経営に関し最近とくに関心が高まっているのが「内部統制システムの構築」です。
「内部統制」が脚光を浴びているのは日本国内だけではありません。エンロン事件を起こしたアメリカにおいて、内部統制に関する諸制度が先行し(企業改革法=サーベインズ・オクスリー法)、日本ではそれを追う形で進展しています。
度重なる企業不祥事がなぜ防げないのかという重い課題がその背中を押しています。
委員会等設置会社においてはすでに一定の義務が課せられており、平成18年の新会社法の施行の後はその範囲や内容が拡げられることになります。
そんな中、過日12月8日、金融庁・企業会計審議会から「財務報告に係る内部統制の評価及び監査の基準案」が発表されました(インターネットからも取れます)。
この報告書は、タイトルにあるように、「財務報告に係る内部統制」が中心です。財務報告はコーポレートガバナンスやディスクロージャーの中心的内容でもあり、内部統制システムの主たるテーマです。
しかし、本報告書はその前提となる「内部統制の基本的枠組み」についても記述されており、ここでは、その部分のみを紹介し、コメントします。
まず、同報告書では、「内部統制」の定義を次のように述べています。
内部統制とは、「業務の有効性・効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング(監視活動)」、「IT(情報技術)への対応」の6つの基本的要素から構成される。
この記述は、有名な「COSO報告書」の表現を踏襲し、それを日本流に少し変更を加えたものです。
「COSO報告書」とは、アメリカの「COSO(トレッドウェイ委員会支援組織委員会)」が1992年に発表したもので、これが内部統制システムの議論の出発点になり、現在この問題を議論する際のほぼグローバル・スタンダードになっています。
上記のうち、「4つの目的」については説明の必要はないと思われますが、4つ目の「資産の保全」(資産の取得・使用・処分が正当な手続と承認のもとに行われること)はCOSO報告書にはなかったものです。日本においてはとくに重要であるとの委員会の認識に基づいています。
「6つの基本的要素」(COSO報告書では「構成要素」といい、かつ5つですが)については概略次のように説明されています。
「統制環境」とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素への対応に影響を及ぼす基盤であり、例えば、誠実性・倫理観、経営者の意向・姿勢、経営方針・経営戦略、取締役会・監査役(監査委員会)の有する機能、組織構造・慣行、権限・職責、人的資源に対する方針・管理等である。
「リスクの評価と対応」について、「リスク評価」とは、目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。
また「リスクへの対応」とは、リスクの評価を受けて、そのリスクへの適切な対応(回避、低減、移転、受容等)を選択するプロセスをいう。
「統制活動」とは、経営者の命令・指示が適切に行われることを確保するために定める方針と手続をいう。権限や職責の付与、職務の分掌等の方針も含まれる。
「情報と伝達」とは、必要な情報が適時かつ適切に識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること。その情報を必要とする組織内で共有されることが重要である。
「モニタリング」とは、内部統制が有効に機能していることを継続的に評価するプロセス。これにより内部統制は常に監視、評価及び是正される。業務に組み込まれて行われる日常的モニタリングと、業務から独立した視点から行われる(経営者・取締役会・監査役、内部監査などを通じての)独立的評価があり、両者は個別にまたは組み合わせて行われる。評価の結果や問題点を報告する仕組みを整備する必要もある。
「ITへの対応」は、「IT環境への対応」と「ITの利用及び統制」からなり、「IT環境への対応」とは、予め適切な方針と手続を定め、それを踏まえた適切な対応を行うこと。「ITの利用及び統制」とは、他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること。
以上が、「内部統制」の定義に関する報告書の概要ですが、同報告書は、これに続いて、内部統制には次のような限界があることを指摘しています。
1 内部統制は、判断の誤り、不注意、複数の担当者の共謀によって機能しなくなる場合がある。
2 当初想定していなかった組織内外の環境の変化や非定型な取引等には必ずしも対応しない。
3 内部統制の整備・運用には費用と便益との比較衡量が求められる。
4 経営者が不当な目的のために内部統制を無視ないし無効ならしめることがある。
さらに、同報告書は、内部統制に関係する者の役割と責任について説明しています。
まず、「経営者」は、組織のすべての活動について最終的な責任を有しており、その一環として、取締役会が決定した基本方針に基づき内部統制を整備・運用する役割と責任がある。その責任を果たすための手段として、社内組織を通じて内部統制の整備・運用(モニタリングを含む)を行う。経営者は、組織内のいずれの者よりも、統制環境に係る諸要因及びその他の内部統制の基本的要素に影響を与える組織の気風の決定に大きな影響力を有している。
「取締役会」は内部統制の整備・運用に係る基本方針を決定する。経営者による内部統制の整備・運用に対して監督責任を有する。取締役会の状況それ自体内部統制の重要な一部であり、統制環境の一部である。
「監査役・監査委員会」は、取締役・執行役の職務の執行に対する監査の一環として、独立した立場から、内部統制の整備・運用状況を監視、検証する役割と責任を有している。
「内部監査人」は、モニタリングの一環として、内部統制の整備・運用状況を検討、評価し、必要に応じてその改善を促す職務を担っている。
「組織内のその他の者」は、自らの業務との関連において、有効な内部統制の整備・運用に一定の役割を担っている。内部統制は組織内のすべての者によって遂行されるプロセスである。
