コラム「研究員のココロ」

ビジネスモデルの視点を入れた内部統制(日本版SOX法対応）の効率化のススメ

2008年03月31日　大井大輔

１．日本版SOX法で求められる内部統制とは？

　新聞紙面に『内部統制』という言葉が溢れているが、そもそも内部統制とはどのような意味なのだろうか。三省堂・デイリー新語辞典には、「企業などの内部において、財務諸表の信頼性の確保、事業経営の有効性と効率性の向上、および事業経営にかかわる法規の遵守を促し、不正やミス・エラー、違法行為などが事前に防止されるよう、基準や手続きを業務ごとに定め、それに基づいて管理・監視を行うこと。インターナル・コントロール。」と記載されている。
　日本版SOX法（金融商品取引法の内部統制に関する規定）は、上記に記載した内部統制すべてを求めていると勘違いされることが多い。日本版SOX法では、あくまでも財務報告に係る内部統制の整備・運用が求められており、その有効性については、株主（監査法人）に説明できることが重要である。そのために、例えば、業務フローや業務記述書、リスク・コントロールマトリックスといった文書化の作業も進めている。だからといって、闇雲に文書化の作業を進めても内部統制が充実されるわけでもないし、監査法人の理解を得られるものができあがるとは限らない。
　日本版SOX法で企業が取り組むべきは、大きくは下記の２点である。

１）上場企業として誤った財務報告が行われないように内部統制を整備・運用すること
２）自社の内部統制が正しく整備・運用していることを監査法人に理解してもらうこと

２．監査法人に理解してもらい、有効かつ効率的な内部統制を整備・運用するには？

　まず、監査法人に自社の財務報告に係る内部統制の有効性を説明する前に、自社を取り巻く業界特性やビジネスモデルにおいて、どのような財務報告上のリスクがあるのかを説明することが先決である。それは、自社における財務報告上のリスクは業界特性やビジネスモデル等の外部要因と自社の内部統制の程度によって決定され、下記のように考えられるためである。

〔自社における財務報告上のリスク〕＝
〔業界特性やビジネスモデル上の財務報告における固有リスク〕－〔自社の財務報告に係る内部統制の有効性〕

　従って、監査法人にはまず業界特性やビジネスモデル上の財務報告における固有リスクを説明したうえで、自社の財務報告に係る内部統制について説明を行い、自社における財務報告上のリスクが十分に低減できることを理解してもらうことが望ましい。
　例えば、金融業や不動産業は関連する法律の整備が進んでおり、契約書による契約締結が慣例になっており、契約が正しく行われているかは比較的容易に確認できる。一方で、契約の多くは電話や口頭で行われ、書面等の証跡が残らず、第三者に正しく契約が行われていることを示すことが困難な業界もある。後者における内部統制では、契約書が得られなくても、取引先と正しく取引が行われたかどうかをしっかりと管理・監視できる仕組みの整備が鍵になる。自社でのチェックにおいて、現状の内部統制ではリスクに十分な対応ができていないことが分かれば、新たに内部統制の構築が必要となる。
　従って、有効かつ効率的な内部統制を整備・運用するには、

１）自社のビジネスモデル（業界特性含む）における固有リスクの検討
２）固有リスクに対応するためのあるべき内部統制の検討
３）自社の内部統制の現状把握
４）あるべき内部統制と現状とのギャップを把握し、必要な内部統制の整備・運用の検討

　のステップが望まれる。上記のステップ、つまり、いきなり現状の活動を文書化している企業においては、あるべき内部統制とのギャップが把握できないために必要な内部統制を構築できず、有効な内部統制が構築できない、監査法人に十分理解してもらえない、また、無駄の多い文書化作業になっていることが懸念される。

３．ビジネスモデルにおける内部統制の違いについて

　ビジネスモデルの分かりやすい対比として、例えば建築業、FA（ファクトリーオートメーション）や金型製造業などのように多様な顧客ニーズを満たす受注生産型（一品一様ビジネス）と、自社商品在庫を有する製造業に代表される計画生産型（汎用品ビジネス）とを例に取り上げ内部統制構築の違いを見てみよう。
　まず全社的内部統制の観点では、受注生産型は多様な顧客ニーズにすばやく柔軟に対応するために、現場担当者に権限が委譲されていることが多い。そのため、権限委譲された人間に説明責任（アカウンタビリティ）を課し、モラールの向上を図ることが内部統制上有効である。一方、計画生産型は顧客からのオーダーを正しく処理することが重要で、システムやマニュアル等を整備し、現場担当者にはその手続きを徹底させることが有効である。このように、内部統制のスタイルがビジネスモデルによって大きく異なることが分かる。
　また、業務プロセス統制の観点では、受注生産型は、完成段階になって最終的な債権・債務が確定することが多いために会計基準は検収（完成）基準になることが多い。つまり、受注段階で契約することは当然であるが、その際には売上金額や支払条件は確定せず、検収を行い請求段階になって初めて確定する。こうしたビジネスモデルであれば、財務報告上の会計データの正確性を担保するには、検収段階での統制が最も有効である。一方、計画生産型は、その情報システムの特徴として、受注段階で商品単価と数量を正しくシステムに登録すれば、受注データが作成され、そのデータが、システム上で連携し、出荷データとなり、出荷処理後売上データとなるケースが多い。そのため、受注段階で、どの顧客からいつ、どの商品をいくらで、いくつ（数量）注文されたかの統制が有効となる。つまり、計画生産型は、出荷段階、請求段階での統制よりも特に受注段階で、顧客の注文をいかにして正しくシステムに登録することができるかが重要である。無論、出荷基準であることから、出荷段階で正しいタイミングで売上計上されることも重要である。このように、業務プロセスのレベルにおいてもビジネスモデルによって統制をかけるポイントは大きく異なる。

【図表】受注生産型と計画生産型のビジネスモデルにおける内部統制の違い

４．ビジネスモデル視点での内部統制整備・運用及び有効性評価のメリット

　以上のようにビジネスモデルの視点を導入して内部統制を整備・運用することによって、

１）単なる文書化に留まらず、実のある内部統制が構築できる
２）監査法人に説明しやすいために、監査法人との協議をスムーズに進めることができる
３）重要な内部統制が明確になり、効率的な整備・運用ができる

といった多くのメリットを享受できる。ここに示したビジネスモデルの視点からの内部統制の整備・運用は、内部統制の構築に多くの経営資源を投下できない中堅企業には特に有効である。
　単一ビジネスモデルの企業であれば、内部統制の整備・運用に、よりメリハリをつけることができるだろうし、一方、複数ビジネスモデルを有する企業であっても、ビジネスモデルごとに検討することで、構築すべき内部統制がより明確になり、日本版SOX法対応のための文書化の作業も効率的に進めることができるだろう。また、既に文書化を終えた企業においても、自社の内部統制の有効性を評価する際に、ビジネスモデル上の固有リスクを現在の内部統制で十分に対応できているかどうかを検討してみてはどうか。