コラム「研究員のココロ」
まずは全社的統制の現状把握を
~日本版SOX対応(財務報告に係る内部統制の有効性評価)~
2006年11月20日 小坂真
いわゆる日本版SOX法、財務報告に係る内部統制の有効性評価の義務化にあたり、対象企業の関心が高まってきている。対象企業は、同法の対応にあたり、何から着手をすべきであろうか。実際に日本版SOX法への対応支援を行っているコンサルティングの現場から、感じているところを述べたい。
・金融商品取引法による内部統制報告書の義務化
2006年6月に成立した金融商品取引法は、上場会社に対し、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要な体制について評価した報告書(内部統制報告書)を有価証券報告書と併せて内閣総理大臣に提出することを義務づけ、また、内部統制報告書には、公認会計士又は監査法人の監査を受けなければならないこととした。
適用開始時期は、「平成20年4月1日以後に開始する事業年度」であり、もっとも早い企業で、2009年(平成21年)3月期の本決算から上場企業およびその連結子会社を対象に適用となる。
本法律の成立に先立ち、金融庁の企業会計審議会内部統制部会は2005年12月に「財務報告に係る内部統制の評価及び監査の基準のあり方について」を発表、具体的な適用にあたっての「実施基準」も策定することとされたが、実施基準は現段階で、未だ公表されていない。
・適用企業の懸念
本法律の適用企業の現段階での不安は2点に集約される。
ひとつは文書化の問題である。
本制度の前例といえる米国のサーベイン・オックスリー法(略してSOX法と呼ばれる)への対応にあたっては、業務フローの可視化、リスク・コントロールの洗い出し等広範囲な文書化が必要とされた。現代の企業集団は事業別、機能別に複数の事業子会社に分業化されており、多角化・分業の度合いが高いほど、文書化の負担が増大し、相当の作業量が必要となることが懸念されている。
もうひとつは、IT統制への対応である。
内部統制のフレームワークとしては、米国のトレッドウエイ委員会組織委員会が策定したCOSOの内部統制フレームワークが有名であり、既述の「財務報告に係る内部統制の評価および監査の基準のあり方について」においても、それに準じた内容となっているが、当該「日本版」においては、内部統制の重要な要素として「ITへの対応」があらたに明確に位置づけられ、その重要性が再認識されている。
「ITへの対応」が強調されたところから、IT業界からはセキュリティ管理、ドキュメント管理、ログ管理等を強化するための各種製品の導入の必要性を説く動きが過熱しており、このこともまた、特にITの活用が必ずしも十分でないと認識にしている企業の不安を大きくしている。
具体的指針として期待されている「実施基準」の公表が待たれている中、近時、特に適用年度までの時間的制約を懸念する企業は、企業内プロジェクトチームをすでに組成し、同対応に着手している。
文書化や、業務プロセス統制の評価のレベルはどこまでの深さのものになるのか、あるいは強調された「ITへの対応」とはどういった内容・範囲のものなのかが不透明な現段階で、企業はどこから手をつけていくか苦慮している状況にある。
・全社的な内部統制の状況にまず着目せよ
既述の「財務報告に係る内部統制の評価および監査の基準のあり方について」では、「経営者は、内部統制の評価にあたって、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制(以下「全社的な内部統制」という。)の評価を行ったうえで、その結果を踏まえて業務プロセスに組み込まれ一体となって遂行される内部統制(以下「業務プロセスに係る内部統制」という。)を評価しなければならない」とされている。
さらに、全社的な内部統制の評価にあたっては、「経営者は、全社的な内部統制の整備および運用状況、ならびに、その状況が業務プロセスに係る内部統制に及ぼす影響の程度を評価する。その際、経営者は、組織の内外で発生するリスク等を十分に評価するとともに、財務報告自体に重要な影響を及ぼす事項を十分に検討する。例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等がこれに該当する」とされている。
しかしながら、米SOX法の経験からか、企業の関心事は「全社的な内部統制」よりも「業務プロセスに係る内部統制」に、内部統制の構成要素でいうと、「統制環境」よりも「統制活動」に重きが置かれすぎる懸念を筆者は感じている。
内部統制は「プロセス」であるが、プロセスとは単なる「手続き」(プロシージャー)を意味するのではなく、明確な「方針」(=ポリシー)と一体となりはじめて有効に機能するものである。実際、企業の各種の管理規程を拝見すると、「何々すべき」という手続のみが記載され、制定時に議論された「なぜそれをなすべきか」というポリシーが想起できないものも多くあるように感じる。
「財務報告に係る内部統制」は、財務諸表に関連する取引の記録と財務諸表の作成、開示にかかる統制であり、その業務上の性質から、多分に「手続き的」な色彩が強いことは否めないが、その背景にある事業のリスク、組織の風土、企業理念や組織体制のガバナンス等、全社的な統制の強度が、業務プロセスの統制の有効性、ひいては内部統制全体の有効性の根幹となっていることを忘れてはいけない。
日本版SOX法の対応にあたって、企業がまずなすべきことは、有効性の評価範囲に連結子会社が何社対象になるかを試算することではなく、自社のグループにおける全社的な経営管理の枠組み、すなわち、組織構造、経営管理にあたっての基本的なポリシー(方針)と経営管理のために現在行われている諸活動を洗い出し、自社グループの全社的内部統制の状況をまず把握することにあると考える。
内部統制は、「明文化された手続」「活動の記録」が存在せずとも、公式、非公式を問わず、企業活動の中に存在するものである。ただし、企業が「その有効性を評価する」にあたっては、「一般に公正妥当とされている内部統制の評価のフレームワーク」にしたがって、「第三者に説明可能な形の可視化が必要とされる」という、本制度の本質を見誤らない対応を期待したい。