1.はじめに
いわゆる日本版SOX法、金融商品取引法における内部統制報告制度が2008年4月以降の事業年度から適用開始となる。本番まで1年を切った今、多くの上場企業で対応準備に追われていることと思う。日本版SOX法対応のために必要な膨大な労力とコストに嘆く企業も多いと思うが、本稿では単なる法対応ではなく、企業価値を向上させる手段としての内部統制を考えてみたい。
2.守りの内部統制から攻めの内部統制へ
日本版SOX法における内部統制のフレームワークとして、2007年2月15日に金融庁企業会計審議会は、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」(以下、「意見書」という)を公表した。この意見書の中で、内部統制は以下のように定義されている。
図1は、内部統制の4つの目的と6つの基本的要素の関係を示したものである。これを見てもわかるとおり、本来内部統制は業務の有効性・効率性も含む幅広い概念である。しかし、日本版SOX法では財務報告の信頼性を担保することが主な目的となっていることから、特に「財務報告に係る内部統制」を評価と監査の対象としている。
図1:日本版SOX法における内部統制の概念
(金融庁企業会計審議会 第5回内部統制部会配布資料3 「参考図表」を元に筆者作成)
財務報告の適正性を保証するということは、簡単に言えばミスや不正を防ぐ仕組みを作るということである。ミスや不正の防止というと、守りの姿勢と捉えがちになる。個人情報保護法が施行された際も、情報セキュリティ投資は守りの、後ろ向きの投資と捉えられていたケースが多かった。内部統制にかかるコストも、守りのコストと捉える向きが多いのではないだろうか。
日本版SOX法適用の本番実施まで時間的な余裕が無いことを鑑みて、当初は財務報告にフォーカスした内部統制の整備を進めざるを得ないのは、多くの企業に共通した事情であるだろう。しかし、先行して内部統制構築を進めている企業の中には、業務改善の好機として積極的に取り組んでいる企業もある。業務プロセスの文書化を通じて、業務の標準化、定型化、業務マニュアルの整備、手順の浸透などを図り、業務プロセスを見直して業務改善を目指すのである。
財務報告の信頼性の観点からミスを防ぐことは、ミスによって発生する無用なコストを削減することに繋がる。さらに踏み込んで、業務の有効性と効率性を実現するための業務改善に取り組む、すなわち攻めの内部統制を目指すということである。
3.業務改善から「経営戦略力」向上へ
日本版SOX法への対応では、企業は業務プロセスにおける内部統制の状況を可視化するために、業務フロー、業務記述書、リスク・コントロール・マトリックス等を作成する。文書化3点セットと呼ばれるこれらの内部統制文書の作成は、非常に手間のかかる作業である。法施行までの時間的な制約から、当初は必要最低限の文書化を行うこととして3点セットで記述するのは重要な業務プロセスに絞り込み、かつ、財務報告の虚偽表示につながるリスクだけを対象とする、このような企業も多いだろう。
業務改善までを視野に入れた場合は、3点セットを作成する際に、業務の流れを見直すとともに、対処するリスクを財務以外のビジネスリスクにも拡大するのである。しかし、日本版SOX法対応は毎期行わなければならない作業である。有価証券報告書とともに、内部統制報告書を毎期作成し、提出する。単に業務の文書化をするだけで終わりではなく、内部統制が有効に機能していることを経営者が評価して、報告書に取りまとめなければならないのである。
筆者は、毎年度継続して実施しなければならないこの作業が、一過性の業務改善だけで終わってしまうのは「もったいない」と考えている。内部統制をリスクマネジメントと捉えれば、全社的なリスクマネジメントの枠組みの中で経営戦略の策定、実行、評価、修正というPDCAサイクルを確立させることも可能となるのではないだろうか。
図2は、内部統制の国際標準となっているCOSOフレームワークを提示したトレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of the Treadway Commission:略称COSO)が、2004年9月に公表したCOSO ERMと呼ばれる全社的リスクマネジメントのフレームワークである。
図2:COSO ERMの概念
(トレッドウェイ委員会組織委員会(著)、八田進二(監訳)、中央青山監査法人(訳)、「全社的リスクマネジメント フレームワーク篇」、東洋経済新報社 、2006年 を元に筆者作成)
この図を見ると、ERM(Enterprise Risk Management)の目的に「戦略目標」が追加されているのがわかる。リスクマネジメントの活動においては、経営戦略への適合も重要な目的の一つだからである。COSO ERMは、財務報告にかかる内部統制もその概念に含む非常に広範囲のフレームワークとなっている。そこで筆者は、ERMの考え方を取り入れて、財務報告に係る内部統制から一歩進んだ、「経営戦略力」向上のための内部統制の確立を目指すことを提案したい。
筆者が所属する経営革新クラスターでは、経営戦略の策定・実行のプロセス全体における企業の総合的な力を「経営戦略力」というコンセプトで示している。「経営戦略力」とは、「経営戦略を策定し、実行し、その結果を評価し、必要に応じて修正する一連のプロセスを通じた、企業全体の総合的な実力」と定義している。「経営戦略力」が高い企業とは、「経営戦略レベルにおけるマネジメント・サイクル(PDCAサイクル)が機能している企業」と考えるのである。
「経営戦略力」を向上させるためには、「経営戦略の策定・実行・評価・修正」の各プロセスの達成水準を、それぞれ高度化させることが重要である。そのための経営管理体制として、内部統制の枠組みを活用できると考えているのである。図3は、日本版SOX法のフレームワークに「戦略への適合」という目標を加え、基本的要素にPDCAのAに該当する「不備の是正」を加えた、新たなフレームワークである。財務報告にとどまらない内部統制という意味から、「財務報告の信頼性」は財務以外の報告を含めるために「報告の信頼性」としている。
図3 筆者の提案する「経営戦略力」向上のためのフレームワーク
経営戦略レベルのPDCAを有効に機能させ、「経営戦略の策定・実行・評価・修正」のすべてのプロセスを通じて「経営戦略力」向上を実現すること、これが業務改善を超える内部統制の有効な活用であると考えるのである。
4.おわりに
日本版SOX法の対応支援を通じて感じることは、「何のため(誰のため)に内部統制の報告をするのか」ということである。法の趣旨は、財務報告の信頼性を担保することであり、株主・投資家に企業価値を認めていただくために必要なことであると考える。しかし、外部監査を受けなければならないため、監査法人を満足させるための内部統制になってしまう傾向がある。
日本版SOX法対応が必要な上場企業及びそのグループ企業各社においては、法対応のための短期的なプロジェクトとしてではなく、「経営戦略力」を高めて企業価値を向上させるための長期的な取組みとして捉え、推進していくことを提案し、本稿の結びとさせていただきたい。
(参考文献)
- 石綿勇、鈴木英夫、藤田芳夫(著)、「図解日本版SOX法」、同友館、2006年
- トレッドウェイ委員会組織委員会(著)、八田進二(監訳)、中央青山監査法人(訳)、「全社的リスクマネジメント フレームワーク篇」、東洋経済新報社、2006年
- 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」、金融庁企業会計審議会、2007年
- 金融庁企業会計審議会、第1回~第16回内部統制部会 配布資料及び議事録