企業の不祥事、経営問題が発生するたびに、内部統制・コーポレートガバナンス不備・欠如等がメディアで度々報道されています。
一方、それを抑制・改善するためにルール・制度の改善・強化も進められています。
このような中、本記事では「企業がうまく機能するために必要な行動を体系化したもの」といわれている内部統制について説明します。
「内部統制」とは、企業が目的を有効・効率的かつ適正に達成するために、その組織の内部で適用されるルールや業務プロセスを整備し、運用することを意味する言葉です。
それでは、内部統制という仕組みはどのような経緯を経て始まり、浸透したのでしょうか。
内部統制が導入される前、「信頼性が高く適切に管理・統治されている」と信じられていた大企業において、虚偽記載や粉飾決算などが相次いで発生し、不正や誤りを防止する仕組みが十分でない企業が多いことが判明しました。
そこで、当時既に改革を進めていたアメリカの例を参考に、2006年5月施行の「会社法」において、すべての大企業に内部統制の基本方針を決定し開示することを義務付けました。
さらに、企業経営の健全化を促し開示情報の正確性を企業に担保させるため、2006年6月の「金融商品取引法」成立に際し、「内部統制制度(J-SOX法)」が規定されました。前述の会社法とあわせ、これらによって日本でも内部統制制度がスタートしたといえるでしょう。
「J-SOX法」は、アメリカの「SOX法(アメリカ企業改革法)」を参考とし構築されています。2001年~2002年のアメリカにおいても、大企業の粉飾決算による破綻や倒産が相次いで発生し、「企業の財務情報の透明性と正確性」が強く求められるようになりました。それを確実に実現するために「内部統制の仕組み」が注目を集め、その結果、2002年にSOX法が制定されたという経緯があります。
J-SOX法は当初、膨大な作業時間を要することもあり、スムーズに導入が進んだとはいえませんでした。しかしその後は、ダイレクト・レポーティングとよばれる企業の負担を低下させる取り組みが進んだり、企業側も内部統制の重要性への理解が進んだりしたことで、日本の企業社会においても、内部統制制度がかなり浸透してきているといえます。
コーポレートガバナンス(企業統治)は、「株主」「取締役会」、さらに「顧客」「従業員」「取引先」などを含むステークホルダーとの関係を踏まえた上で、企業が透明・公正かつ迅速・果敢な意思決定を行う仕組みを意味します。
内部統制もコーポレートガバナンスも、健全な企業経営を営むためにつくられた仕組みであり、不祥事の防止や適切な情報開示などの共通目的を持っています。
しかし、内部統制は「経営者が、従業員や業務の適切性・効率性などを管理する制度」であり、コーポレートガバナンスは「株主、取締役会などが経営者を管理し、不正・暴走などを防ぐ制度」であるという違いがあります。
その特徴を踏まえれば、適切な内部統制の確立なくしてコーポレートガバナンスの構築は難しいともいえるでしょう。
「内部統制報告制度(J-SOX法)」は前述の通り、2006年6月に金融商品取引法が成立した際に規定された制度です。
この制度では、経営者に対し、財務報告に係る内部統制を構築する責任や、その有効性を自ら評価し、外部に対しても結果を報告することを求めています。
内部統制報告制度では、下記のような義務が定められています。なお、対象は子会社や関連会社も含む全ての上場企業で、未提出や虚偽記載などの違反があった場合は罰則規定が適用されます。
・事業年度ごとの財務諸表や連結財務諸表などの財務計算書の作成
・有価証券報告書とあわせ、公認会計士や監査法人などからの監査を受けた「内部統制報告書」の内閣総理大臣への提出
内部統制の強化が必要な理由は、経営者が企業の管理や運営を適切に行うことでトラブルを防止し、最終的には企業価値を向上させることにあります。
以下の4つの目的は、組織の目的を達成する上で必要なことを整理した内容です。それぞれが相互に関連しあっているので、いずれかが重要とはいえないということは認識しておく必要があるでしょう。
企業が自ら設定した目的を達成するためには、要する時間・人員・コストなどの経営資源が合理的かつ無駄なく使用されていることが求められ、それを見極めるために内部統制が機能します。
組織外の企業や金融機関にとって、財務報告(金融商品取引法上の開示書類に記載される財務諸表や、それに重大な影響を与えうる情報)は、その企業が信頼に値するかどうかを見極める上で欠かせない重要な情報です。財務報告に不正や虚偽があれば、それだけで企業の信頼が大きく損なわれます。
したがって、内部統制を通じて財務報告に不正や虚偽がないかどうか欠かさずに確認することが、社外への信頼性の維持につながります。
自社の従業員が法令や規範の遵守をおこたったり、社会規範を無視した行動を取ったりすれば、自社の社会的信用が失墜してしまいかねません。
一方で、安全基準を満たした商品やサービスを誠実に提供することで、企業の社会的信用は上がり、業績や株価上昇のきっかけにもなり得ます。組織の存続・成長のためにも、内部統制による法令遵守の徹底が必要です。
企業が持つ有形の資産や知的財産、また顧客情報などの無形の資産などあらゆる資産が、健全に取得され、保全・運用されているかの確認も、内部統制の目的といえるでしょう。
基本的要素とは、前章で述べた内部統制の4つの目的を達成するために必要とされる内部統制の構成部分を指し、これは内部統制の有効性の判断基準です。
なお、4つの目標と6つの基本的要素を組み合わせたものが内部統制の基本的枠組みです(これを「COSOフレームワーク」と呼ぶ場合もあります)。
統制環境とは、企業の気風を決める基礎のことであり、これは残り5つの構成要素に影響を与える、最も重要な基本的要素です。
具体的には、経営者の意向や姿勢、経営方針や戦略、人的資源に対する方針と管理、評価基準や制度、などが統制環境にあたります。
経営目的を達成する過程で障害となる要因をリスクとして認識した上で分析・評価を行い、当該リスクへの対応を選択するプロセスです。
例えば、市場や相場の変動リスク、天災などの自然災害リスク、などを指します。
統制活動は日々の業務に内部統制を導入する上で最も重要なもので、経営者の命令および指示の適切な実行を確保するために定める方針や手続のことです。
例えば、部門や役職ごとに適切な権限や職責が移譲されているか、業務手順や規程がマニュアル化されているか、リスクを軽減する統制活動の方針と手続きが定められているか、などが統制活動にあたります。
業務を適切かつ迅速に行うには、必要な情報を組織内外に正しく伝達する必要があります。「情報と伝達」の要素で求められるのは、必要な情報が識別・把握・処理され、組織内外や関係者相互に正しく伝達できることが確保されている状況です。
具体的には、一連の会計システムが構築されているか、会計情報を適時かつ適切に組織内外の関係者に報告するシステムが確保されているか、などです。
内部統制が確実かつ有効に機能しているかを継続的に調査・監視し、その結果を評価するプロセスについての要素が「モニタリング」です。
モニタリングは、通常業務に組込まれて行われる日常的モニタリングと、経営者や取締役会等の通常業務からは独立した視点を持つ組織が、適宜に内部統制が機能しているか確認するために行う独立的評価の2種類があります。
具体的には、内部統制を整備・運用する部門があり、十分な人員、権限、予算が与えられているか(日常的モニタリング)、経営者は定期的に内部統制が機能していることを調査・評価しているか(独立的評価)、などがモニタリングの要素にあたります。
目標に対して作成した適切な方針や手続を定め、それを踏まえ業務の実施においてIT対応を適切に行っているかが求められる要素です。ITへの対応では「IT環境への対応」と「ITの利用および統制」の2つに分けられます。
例えば、業務に必要なシステムの導入、ウイルス対策、セキュリティ対策は適切に行われているか(IT環境への対応)、社内ネットワークの整備、グループウエア、ワークフローシステムの導入等適切なIT活用の環境構築ができているか(ITの利用および統制)、などです。
目的や基本的要素を満たす内部統制を設置したら、次に現状把握を進めることになりますが、その際に欠かせないのが、以下で説明する「内部統制の3点セット」です。
このプロセスを通じて、リスクポイントを見極め、現状をどのように把握できているか、どのような視点や対応が不足しているかなどを確認します。
フローチャートは業務のプロセスを図式にし、可視化させたものです。あらゆる業務の流れを可視化して取引と会計処理の流れを整理することで、内部統制に問題はないか、業務のどの部分にリスクがあるのかなどをチェックしやすくなります。
業務記述書は、あらゆる業務内容を文章にして記述したものです。
例えば、「商品の受注→発送→売上計上→請求→入金確認」など、一連の流れに沿って、それぞれの段階で行う作業を書き出すと、業務の各工程における内容や担当者の理解度、リスクなどを把握できます。
業務記述書は、「誰が・何を・どのように」を明確に記述することで、リスクが可視化され、修正もしやすくなります。
リスクコントロールマトリックス(RCM)は、業務内容ごとのリスクとその対応を一覧化し、実際にリスクコントロールができているかを確認するための表です。
フローチャートや業務記述書で業務内容のリスクを把握し対応方法を見通した上で、内部統制がどの程度リスクを軽減させているのかをRCMで把握します。どのようなリスク対応を行っているかも明記することで、適切なリスクマネジメントができているかどうかも判断できます。
なお、これらの3点セットを作成する際の基本的な作業の流れは以下の通りです。
1.フローチャート、業務記述書を作成した後、リスクの対応策を検討する
2.検討した結果をもとに、あらためてフローチャートや業務記述書の修正を行う
3.修正したものをRCMに落とし込む
内部統制を行う上で、企業内の各部門や役職の果たす役割には、以下のような違いがあります。
経営者は、組織の代表であり、業務を執行する権限を持つとともに、取締役会による基本方針の決定を受け、組織の内部統制を整備および運用する役割と責任を負っています。
また、企業の代表として有価証券報告書を提出する立場にあるため、開示書類の信頼性にかかる最終的な責任を負わなければなりません。
内部統制報告制度においても、企業の代表が内部統制報告書を提出することになっているため、財務報告にかかる内部統制の整備および運用について、適正に評価・報告することが求められます。
したがって、経営者はその責任を果たすために、社内組織を通じて内部統制の整備や運用を行う必要があります。
さらに、経営者の内部統制に対する態度は、組織内のいずれの者よりも、統制環境など、内部統制の基本的要素に大きな影響を与えます。
経営者の内部統制に対する役割と責任は、制度への責任だけではなく、内部統制の構築そのものに大きく影響するといえるでしょう。
取締役会は、組織の業務執行に関する意思決定機関であり、内部統制の基本方針を決定します。また、経営者の職務執行に関する監督機関でもあり、経営者の選定や解職の権限を持つため、経営者がしっかりと内部統制の整備や運用を行っているかをチェックする責任もあります。
取締役会の内部統制に関する責任は、会社法上で明文化されているため、もしこの義務を履行していない場合には、企業に対する任務を怠っているとして、責任が追及される可能性があります。
監査役、監査委員会などは、取締役などの職務の執行を監査する責任があり、独立した立場から、内部統制の整備や運用の状況を監視、検証する責任があります。
監査役などは、会計監査を含む業務監査を行うとされますが、財務報告の信頼性確保にかかる内部統制だけでなく、内部統制全体が適切に整備・運用されているかを監査する義務があります。
内部監査人は、内部統制の整備および運用状況を調査、検討、評価し、その結果を組織内の適切な者に報告し、改善をうながす職務を担っています。経営者の直属として設置されることが多く、内部統制の独立評価において重要な役割を担っています。
内部監査人が監査の対象となる業務や部署などから独立した立場にないと適切な監査が実施できないため、経営者は、内部監査人の身分などについて、監査対象の業務や部署に対して直接の権限や責任を負わない状況を確保する必要があります。
また、経営者への適切な報告体制の構築も必要な上、内部監査人の業務そのものが内部統制であるため、モニタリング体制だけでなく、情報と伝達の要素が求められる立ち位置です。
内部統制を強化する4つの目的の1つである「財務報告の信頼性」において、財務部門の役割は重要であり、不正や虚偽などのない信頼性の高い財務報告が求められます。
また適切な資金の処理プロセス(入金・出金・資金管理・調達など)の構築も求められます。
人事部門は従業員など人的資源に関連し、多くの役割(採用・勤怠管理・給与計算・人件費処理・労務管理など)を担っています。それに伴い、就業規則や給与規程など、多くの社内規程や法令などにしたがって業務を行っています。
そのため、業務遂行においては法令遵守が求められており、人事部門の内部統制構築に対する役割は大きいといえます。
組織内のそのほかの者も、自らの業務との関連において、内部統制の整備および運用に一定の役割を担っています。取締役会や経営者が決定した具体的な統制活動は、会社内部の全員が適切に遂行することで内部統制の目的が達成されます。
また、日常的なモニタリングを通じて、より有効な内部統制への改善が行われます。
このため、対外的な最終責任は経営者が持つとしても、企業の組織の構成員全員が有効な内部統制の整備や運用に、与えられた職責の中で責任があるといえるでしょう。
現在の企業社会では、「コンプライアンス」「リスクマネジメント」「内部統制」「コーポレートガバナンス」などの経営管理や企業統治に関連するルールが強化されてきています。
しかし一方で、企業におけるコンプライアンス意識の欠如、不十分なリスク管理、内部統制の不備、コーポレートガバナンスの機能低下などを原因とする不祥事が発生しているのも事実です。
立派なルールや仕組みを作っても、従業員一人ひとり、そして企業経営者が自らの責任と役割を十分認識した上で真摯に取り組まなければ実効性は厳しいといえます。仕組みが機能しない、または形骸化してしまうことのないよう注意しながら仕組みの構築や運営に取り組むようにしましょう。
木下忠夫(株式会社クリエイティブ 代表取締役)経営コンサルタント。
中堅の各種業種において経営管理体制・内部統制の構築、IPOの準備、資金調達、助成金申請、海外事業展開などの業務支援を行なう。経営環境の変化が速くなるなか、今後成長が見込まれる会社の支援を得意としている。