第三次産業革命
2006年 7月 5日 (水)
日本型企業統治に適した内部統制を考える
講師:前川 徹
所属:国際大学GLOCOM主幹研究員、株式会社富士通総研経済研究所
日時:2006年7月5日(水) 午後2時~午後5時
終了しました
- 概要:
最近、企業の中では「内部統制」が重要な関心事の一つになって いる。この背景には、金融庁の企業会計審議会 内部統制部会が 2005年12月に公表した「財務報告に係る内部統制の評価及び 監査の基準のあり方について」をベースに法制化が進められて いることや、大会社に対して内部統制システムの構築の基本方針 の決定と開示を求める新会社法が2006年5月から施行となっている ことがある。
こうした中、あちこちで内部統制に関するセミナーや講演会が開催 され、内部統制構築支援サービスやコンサルティング、関連ツール・ ソフトウェアの広告を多く目にするようになってきた。また、実際に 一部の企業は内部統制の整備を始め、あるいはその準備作業を 行っている。
もちろん、内部統制は企業にとって必要不可欠なものであるが、 内部統制に対する現在の取組みには問題はないのだろうか。 内部統制に関するCOSOフレームワークをみると、内部統制の 目的の一つは「業務効率の向上」にある。仮に、内部統制の実施 によってコストが増大し、企業のパフォーマンスが悪化すれば、 それは本来の目的に沿った内部統制ではないことになる。 内部統制の本来の趣旨を考えれば、内部統制は、財務報告の 信頼性やコンプライアンスが向上すると同時に、業務の有効性 や効率性も向上するものでなければならない。
このセミナーでは、日本における内部統制に関する動きを総括する とともに、本来の内部統制のあり方をCOSOのフレームワークを 参照しつつ検討し、日本型企業統治にあった内部統制を考えて みたい。 - 講師プロフィール:
1955年生まれ 1978年 3月、名古屋工業大学情報工学科卒、同年に通産省に入省、 機械情報産業局情報政策企画室長、JETRO New York センター 産業用電子機器部長、情報処理振興事業協会(IPA)セキュリティ センター所長(兼、技術センター所長)、早稲田大学 大学院 国際 情報通信研究科客員教授を経て2003年9月から現職(富士通総研 経済研究所 主任研究員)。
国際大学グローバルコミュニケーションセンター主幹研究員などを 兼務。主な著書として『ソフトウェア最前線』(アスペクト)などがある。
- 報告:
7月5日のIECP研究会は、前川徹GLOCOM主幹研究員を講師に「日本型企業統治に適した内部統制を考える」と題して開催された。
本年5月、大会社について内部統制システム構築の義務化を定めた新会社法が施行された。また、6月には日本版SOX法として注目された金融商品取引法が成立し、上場企業に対し2008年4月1日以降に始まる事業年度から適用されることになった。これら内部統制の法制化を受けて、多くの企業で内部統制システムの構築作業が始まっている。しかし、いまだ実施基準(ガイドライン)が公開されていないという事情もあり、前川氏によると「ほとんどのコンサルタントが指導している内部統制システム構築手順は、米国におけるSOX法対応のアプローチをそのままもってきたもの」だという。
すでにSOX法が施行されている米国では、法遵守にコストがかかりすぎる(1社平均約5億円)という問題が指摘されている。内部統制の事実上の国際標準とされるCOSOフレームワークをみると、内部統制の目的の一つに「業務の効率性」があげられており、内部統制の実施によってコストが増大し、企業のパフォーマンスが悪化するとすれば、それは本来の目的に沿ったものではないということになる。内部統制に対する現在の取り組みに問題はないのだろうか。米国SOX法と日本版との相違点や日本型企業統治の特性を踏まえた内部統制を考えるべきではないか。これが今回の研究会における前川氏の問題提起であった。
■COSOフレームワーク
前川氏の講演は、内部統制をめぐる動き、SOX法の概要と問題点、COSOフレームワーク、日本版SOX法成立の経緯、日本企業の対応状況等を整理したうえで、あらためて内部統制のあるべき姿を考えてみようというものであった。
まず、内部統制を考えるうえではずせないのがCOSOフレームワークである。前川氏によると、COSO(the Committee of Sponsoring Organization of the Treadway Commission:トレッドウェイ委員会組織委員会)とは、ビジネス倫理や内部統制のガバナンスを通じて財務報告の質を向上させることを目標に活動している民間団体で、米国公認会計士協会、内部監査人協会、財務担当経営者協会、経営管理士協会、アメリカ会計学会などを母体として設立された。このCOSOが1992年に公表したレポートが「内部統制の統合的枠組み」、いわゆるCOSOフレームワークで、2004年のERM(Enterprise Risk Management)フレームワーク(注1)と区別するためにIC(Internal Control – Integrated)フレームワークとよばれることもある。
COSOフレームワーク(ICフレームワーク)によると、内部統制とは次に示す「三つの目的を達成するために、企業内のすべての者によって遂行される、五つの要素からなるプロセス」であり、三つの目的と五つの要素の関係はキューブの形に図式化されて説明されている。
◇COSOフレームワーク(講演資料より)
[目的]
(1)業務の有効性・効率性
(2)財務報告の信頼性
(3)関連法規の遵守
[要素]
(1)統制環境
(2)リスク評価
(3)統制活動
(4)情報と伝達
(5)モニタリング
■SOX法とその問題点
米国では2001年12月に総合エネルギー会社のエンロンが、02年7月に長距離通信会社のワールドコムが不正会計疑惑により破綻、その直後に議会で可決成立したのがSOX法である。 SOX法は、正式名称をPublic Company Accounting Reform and Investor Protection Act of 2002といい、法案を連名で提出したポール・サーベンス(Paul Sarbanes)上院議員とマイケル・G・オクスリー(Michael G. Oxley)下院議員の名前から、「サーベンス・オクスリー法」あるいは「SOX法」とよばれている。前川氏によると、もともとサーベンス上院議員(民主党)とオクスリー下院議員(共和党)によって別々に提出されていた法案を合体させたもので、そのため用語などに整合性のとれていない部分がみられるそうである。
全11章69の条文で構成され、うち内部統制関係は302条と404条、罰則については906条に定められている。
◇302条
上場企業のCEOとCFOに対して、年次報告書、四半期報告書において、財務報告書を自らレビューしたこと、財務報告書の正確性・完全性・適切な表現・開示の統制と手順に責任をもつこと等を宣誓することを要求。
◇404条
SEC(米国証券取引委員会)に対して、登録企業の年次報告書に「内部統制報告書」を記載することを義務づける規定を制定するよう要求。また、監査を行う監査法人に対して、内部統制報告書に記述された内部統制の仕組みの有効性評価に対する監査及び報告(ダイレクト・レポーティング)を義務づけている。
◇906条(罰則)
・SEC提出書類に虚偽が見つかった場合、CEOとCFOは個人として責任が問われる。
・開示内容が不適切であることを知っていた場合には、100万ドル以下の罰金及び/または10年以下の懲役。故意に虚偽記載をした場合には、500万ドル以下の罰金及び/または20年以下の懲役。
SOX法の対象となるのはSEC登録の全企業で、企業の規模や内外資の別に順次適用が始まっている。時価総額7,500万ドル以上の大企業(外資を除く)については04年11月15日以降の決算期から適用され、上場企業の財務報告に関する信頼性が向上したとされる一方で、いくつか問題点も指摘されている。その最たるものが内部統制に要するコストの増大で、その額は社内・社外・外部監査を合わせて1社平均約436万ドル(講演資料による)とされる。前川氏によると、コストを増大させている要因の一つに、404条の外部監査法人によるダイレクト・レポーティングがある。これは、経営者による内部統制の有効性評価とは別に、監査法人がもう一度有効性評価を行って報告せよというもので、コストがかかりすぎるという批判から日本版では求められていないものだそうである。
もう一点、日本版との大きな違いが罰則の厳しさである。906条によれば、故意の虚偽記載に対しては最高で罰金500万ドル及び/または懲役20年が課せられるわけで、日本版ではこれほど厳しい罰則は設けられていない(虚偽記載に対し5年以下の懲役及び/または500万円の罰金)。これについて前川氏は、「日本ではもともと経済犯に対する罰則が緩いために、バランスをとったのではないかと言われている」とコメントしていた。
■新会社法と金融商品取引法
日本でも04年に西武鉄道の有価証券報告書不実記載、05年にカネボウの粉飾決算など、大企業による不正会計・情報隠蔽が相次いで明らかになり、SOX法導入のきっかけになったといわれている。
しかし前川氏によると、00年9月の大和銀行株主代表訴訟の大阪地裁判決において、すでに経営トップの内部統制構築・維持責任が言及されている。これは、大和銀行ニューヨーク支店の元行員が不正取引により約11億ドルの損失を出したことに対する取締役の管理責任が問われた裁判で、判決では「取締役はリスク管理体制及び法令遵守体制を構築すべき義務を負う」として、取締役の責任を認めている。また、02年4月の神戸製鋼所株主代表訴訟の神戸地裁の所見でも、内部統制構築に対する経営トップの責任が明確に述べられている。
この「経営トップには内部統制システムを構築・維持する責任がある」という考え方を法制化したのが、新会社法と金融商品取引法である。
いわゆる新会社法とは、従来、商法の条文と有限会社法とに分かれていた会社関係の規程を統合して新しくできた「会社法」のことで、05年6月成立、本年5月より施行された。この会社法において、大会社(資本金5億円以上または負債総額200億円以上の株式会社、非上場企業を含む)について内部統制システム構築が義務化されたが、実は、この法律の条文に「内部統制」という言葉は用いられていない。
会社法第362条第4項第6号に、大会社について取締役会が決定すべき事項の一つとして次のように書かれている。
六 取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制の整備
ここでいう体制が、すなわち内部統制システムで、大会社の取締役会にはこういった体制構築の基本方針を決定すること、その概要を事業報告書に記載すること、監査及び監査委員会はその内容を監査し、それが相当でない場合には理由をつけて監査報告に記載することが定められている。
もう一つの「金融商品取引法」は、本年6月7日に成立した。それまで金融商品ごとに別々の法律で規制されていた金融商品の取引を包括的に規制する目的で、証券取引法を抜本的に改正し、他の投資関連法令と統合して名称も改めたものである(国会に上程される前は「投資サービス法」と仮称されていた)。この中に内部統制について定めた条文がいくつかあり、これが日本版SOX法といわれる部分にあたる。 金融商品取引法が定める内部統制の評価・報告および監査の概要は講演資料に詳しいが、米国SOX法での問題点がいくつか改善されていることがわかる。たとえば、経営者による内部統制の評価の範囲は全業務プロセスではなく、「財務諸表、財務報告の基礎となる取引、事業・業務、主要な業務プロセス」であり、また、決定方法と根拠を示せば「評価の範囲は、財務報告の信頼性に及ぼす影響の重要性を考慮して合理的に決定してよい」としている。また、監査人が行う「内部統制監査」と財務諸表監査は同一の監査人によって一体として実施し、「監査の対象は、経営者が実施した財務報告に係る内部統制の有効性評価結果」であるとして、ダイレクト・レポーティングは要求されていない。
ここで、日本版における内部統制基準については、05年1月に金融庁の企業会計審議会に内部統制部会が設置され、日本の実情に合った内部統制のあり方が審議されてきた。昨年7月に基準草案が公開され、一部修正のうえ、12月に「財務報告に係る内部統制の評価及び監査の基準案」(注2)が公表されている。これをみると、前述のCOSOフレームワークをベースに、目標に「資産の保全」を、要素に「ITへの対応」を加えたものとなっている。
◇基準案の概要―基本的枠組み(講演資料より)
[目的]
(1)業務の有効性・効率性
(2)財務報告の信頼性
(3)関連法令等の遵守
(4)資産の保全
[要素]
(1)統制環境
(2)リスク評価と対応
(3)統制活動
(4)情報と伝達
(5)モニタリング
(6)ITへの対応
以上から、米国SOX法との違いを整理すると次のようになる。
・内部統制の目的に「資産の保全」を追加。
・内部統制の目的を実現するための構成要素に「ITの利用」を追加。
・トップダウン型のリスクアプローチを採用。
・監査人による「ダイレクト・レポーティング」を採用していない。
・外部監査との一体的実施、報告書の一体的作成。
・罰則規定が米国SOX法に比べてきわめて弱い。
また、日本と米国では企業の機関設計が大きく異なる。すなわち、一般に米国企業においては取締役員の半数以上が社外取締役で、その取締役会がCEOを選任し、その下に業務執行にあたる執行役員がいる。これに対し、日本では、代表取締役を含む取締役員のほとんどが社内取締役で、同時に業務執行にもあたっており、これを株主総会で別に選任された社外の監査役が監督する、という構成になっていることが多い。内部統制を考えるうえでは、この会社経営の監督機構の違いも考慮すべきだと前川氏は述べた。
■日本企業の対応状況
野村総合研究所が日本企業に対して実施した「企業改革法(SOX法)への対応に関するアンケート」(05年12月実施)の結果(注3)によると、上場企業の6割以上が何らかの対応を始めている。対応の中身を見ると、「社外のサービス提供者(監査法人、コンサルなど)に相談した」61.9%、「プロジェクトを立ち上げた」31%、「具体的な作業を実際に開始した」23%などとなっているが、調査実施から半年経っており、対応はより具体的になっていると推測される。前川氏によると、日本企業が始めている作業は次の通りである。
・対象範囲の決定とリスクの洗い出し
・内部統制の文書化:「3点セット」の作成
・コントロールの業務への適用
・普及啓発、教育活動
・内部監査
・継続的改善
この中で、特に前川氏が言及したのは3点セットの作成である。3点セットとは次の三つの文書をいう。
・業務記述書(業務内容、手順、リスク、コントロールなどを記述)
・業務フローチャート(手順やコントロールを図式化したもの)
・リスク・コントロール・マトリックス(RCM:リスクとコントロールのマトリックス表)
これらの文書は各担当部門が作成するが、いきなり任されてもわからないので、まずプロジェクトチームがフォーマットと記述例を作成する。このときRCMについては、アサーション(注4)とそれを揺るがす可能性のあるリスクを書き込む。説明会を実施して、これを各部門に渡し、各部門では、[現状プロセスの確認]→[プロセスの変更の検討]→[リスク評価とその対応]→[文書化]→[文書の確認と登録]と作業を進める。前川氏によると、この文書化に至る準備作業がかなり大変なために、3点セットの作成自体が目的になってしまっているきらいがあるのではないかという。
■理想的な内部統制を考えるために
以上のようにSOX法、新会社法、金融商品取引法、日本企業の対応状況等を整理したうえで、前川氏は現在の内部統制について次のような疑問をあげた。
(1)内部統制システムによって経営者の不正を防止できるのか。
(2)新会社法や金融商品取引法で経営者の不正を防止できるのか。
(3)経営者に対する罰則の強化や内部告発の仕組みの方が有効ではないか。
(4)内部統制の目的をどこに置くのか。内部統制全般(会社法)なのか、財務報告に係る内部統制(金融商品取引法)なのか。
(5)内部統制にコストがかかる。そのために生産性が落ちはしないか。
(6)内部統制が形骸化しないか。3点セットの作成自体が目標になったり、あまりに厳格な規定のためにルール破りが当たり前になったりはしないか。
(7)プロジェクトチームは解散することが多い。誰がPDCAサイクル(継続的な改善)を回していくのか?
(8)経営者の認識
・本当に自分の問題として認識しているのか?
・誰かに任せればよいと思っていないか?
・文書化すればよいと思っていないか?
(9)内部統制システムは、新規に構築するものなのか。どの会社にも内部統制はあるはずで、その内部統制が十分に機能しているのかどうか、内部統制システムが文書化されているのかが問題。
(10)内部統制は経営者の当然の義務であり責任だということが自覚できているのか。
では、内部統制とはどうあるべきものなのだろうか。最後に前川氏は次のようなポイントをあげ、これらを満たすような統合的な管理のシステムをつくり、それが企業の競争力の源泉となる、そういうものが理想的ではないだろうかと述べた。
・維持できない内部統制システムは意味がない。
・企業の経営効率、業務効率を向上させるものであるべき。
・ITを最大限利用しつつITを弱みにしない。
・ITを利用しても柔軟に業務を処理できること。
・ISMS(情報セキュリティマネジメントシステム)、個人情報保護、コンプライアンス、CSR(Corporate Social Responsibility)、ERM(Enterprise Risk Management)など、すべてを含む統合的なシステム。
研究会の後半では質疑応答が行われ、日本版SOX法に革命的な視点はあるのか、日本で内部告発の仕組みは有効なのか、官庁や公共団体についても内部統制を行うべきではないか、リスクアプローチのトップダウン型とボトムアップ型の違い、SOX法のメリット、日本版で要素にITへの対応が加えられた理由、3点セットの作成実務などについて意見が出された。
【注】
注1
企業のリスク管理の観点からICフレームワークを補完・拡張したもの。四つの目的と八つの要素からなり、ICフレームワークと比べると、目的に「戦略」が加わり、要素に「目的設定」が加わって「リスク評価」が「事象の識別」「リスク評価」「リスク対応」に細分化されている。
注2 『財務報告に係る内部統制の評価及び監査の基準のあり方について』(企業会計審議会内部統制部会、2005年12月8日)
http://www.fsa.go.jp/news/newsj/17/singi/f-20051208-2.html
注3
http://www.nri.co.jp/souhatsu/chitekishisan/feature_list001.html
特集「“SOX法”を超えて」SOX法に関する日本企業の課題と対応方策
注4
前川氏によると「開示された財務諸表項目が正しいことを支える要素」を意味する。講演資料にPCAOB(公開企業会計監督委員会)の監査基準第2号における例示があげられている。
(レポート/濱田美智子)
- 講師:前川 徹
- 所属:国際大学GLOCOM主幹研究員、株式会社富士通総研経済研究所
- 日時:
2006年7月5日(水) 午後2時~午後5時
終了しました - 場所:国際大学グローバルコミュニケーションセンター