これから8回にわたって,日本版SOX法を中心とする各種法律を軸に,法務や法的責任の観点から内部統制について解説していく。今回は,そもそも内部統制は何を目的とし,どんな構成要素から成り立っているのか,について述べる。
 ▲図1 内部統制に関連する法律 [画像のクリックで拡大表示] |
さる2006年3月13日,従来から企業関係者の間で大きな話題となっていた米国企業改革法(Sarbanes Oxley Act of 2002)の日本版,いわゆる「日本版SOX法」が,「金融商品取引法」の一部(同法24条の2,193条の2第2項)という形で条文化され,国会に法案提出された。
現時点では,金融商品取引法は成立しておらず,その内容も必ずしも確定してない(注)。そのため,同法における内部統制の具体的な内容を解説することはできないが,今後は監督官庁,企業関係者,法律家,会計士といった関係者の間で議論され,実務に定着していくことになろう。
その一方で,既に2006年5月1日から施行されている「会社法」は,大会社(最終事業年度の貸借対照表上の資本金の額が5億円以上または負債の合計額が200億円以上の株式会社 会社法2条6号)に対し,内部統制構築の義務を課している(同法348条4項,362条5項)。また,2005年4月1日施行の「個人情報保護法」や2006年4月1日施行の「公益通報者保護法」では,内部統制という言葉は使用されていないものの,その内容において重複・関連するものを含んでいる。加えて知的財産権保護の観点からは,内部統制システムを構築するにあたって,「不正競争防止法」の営業秘密の要件を充足するよう配慮することが有益である。
このように,内部統制を明示的に規定する法律や,内容において重複・関連する法律は既に存在している(図1)。また金融商品取引法に関しても,昨年12月に金融庁の企業会計審議会内部統制部会で「財務報告に係る内部統制の評価及び監査の基準のあり方について」と題する基準案(以下「基準案」)が報告された。さらに,東証規則をはじめ,自主規制機関においても内部統制にかかわる規制がなされている。以上のことを考え併せれば,日本版SOX法を含む内部統制に関する現場の動きは,日を追うごとに加速しているといえる。
このような状況からすれば,今から内部統制についての理解を深め,他の法制や経営上の概念との関係について整理しておくことは有用と思われる。そこで本稿では8回にわたり,法務や法的責任の観点から,内部統制に関して現段階で必要と思われる知識について解説していく。
まず,第1回の本稿では,(1)そもそも内部統制とはどのような概念なのか,(2)内部統制にはどのような目的があり,どんな構成要素から成り立っているのか,(3)内部統制に関係する法制度として日本にはどのような法律があるのか,といった内部統制の概要について説明することとする。そして次回以降で,会社法や金融商品取引法における内部統制の内容,関連法規の解説,内部統制にかかわる実務の最新の動向について述べていく。
なお,内部統制に関しては筆者のような法律家だけでなく,会計士,官公庁,企業関係者など様々な立場から論じられており,その内容も多岐にわたっている。従来の法律家の論考の多くは,内部統制を構築するのにあたり,取締役会でどのようにその内容を決定するか,または決定した内容を株主総会やIRにおいてどのように説明するか,といった点に主眼が置かれている。
本稿では,当サイトの性質上,少し視点を変えて,内部統制システムを構築する立場にあるシステム部門や担当取締役,または,システムの構築・運営を受託するIT企業の技術者や経営幹部といった,システム構築・運営の「現場」に携わる方々に対して,実際にシステムを構築するにあたり最低限知っておいて頂きたい内部統制の概要やその経緯,現行の法制度などをわかりやすく説明したいと考えている。
そもそも内部統制とは?
「内部統制」とは,英語の“Internal Control”を直訳したものであり,もともと米国において生じた概念である。日本でも,内部統制という用語は古くから,主に会計監査用語として使われてきたが,昨今のように業務の有効性や効率化を含めた,経営環境全般にわたる概念として使われるようになったのは,米国で1992年に発表されたいわゆるCOSO報告書の考え方が導入されてからである。このCOSO報告書で提唱された内部統制システムは,全世界において構築すべき内部統制のモデルとなっている。
日本でも,日本公認会計士協会 銀行監査等特別委員会報告1号~2号(1996年7月25日~1999年4月30日)の「内部統制の有効性の評価」「資産の自己査定の内部統制の検証」などに,COSOの内部統制の考え方が取り入れられた。また,2003年6月には経済産業省から日本版COSOと称される「リスク新時代の内部統制——リスクマネジメントと一体として機能する内部統制の指針——」が公表された(なお,経産省は2005年8月にも「コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組について——構築及び開示のための指針——」を公表している)。
内部統制に関する報告書として最も新しいのは,昨年12月に金融庁の企業会計審議会内部統制部会が作成した前述の基準案である。これは米国のCOSO報告書をベースにしながら,日本における企業経営の特徴や最近の国際会計基準などの動向を踏まえて,とりまとめたものだ。
これだけは覚えておきたい内部統制の目的と構成要素
 ▲図2 内部統制の4つの目的 [画像のクリックで拡大表示] |
米国のCOSO報告書では,内部統制システムを「取締役会,経営者及び従業員全員によって実施される手続きであり,(1)業務の有効性と効率性,(2)財務報告の信頼性,(3)関連法規の遵守,という3つの目的の達成のために,“合理的な保証”を提供するように設定された一つのプロセス」という形で定義している。これを受けて日本の基準案では,(1)~(3)の目的は同様にとらえているが,さらに (4)「資産の保全」が日本固有の内部統制の目的とされるべきものとして追加されている。つまり,(1)~(4)の4つが,現段階では内部統制の目的とされている(図2)。
これらの目的を達成するための基本的要素として,COSO報告書では,(1)統制環境,(2)リスクの評価と対応,(3)統制活動,(4)情報と伝達,(5)モニタリングを掲げている。そして基準案では,これら5つの基本要素に(6)「ITへの対応」を加えた6つを,内部統制の基本的要素としている(図3)。
 ▲図3 内部統制の6つの構成要素 [画像のクリックで拡大表示] |
個々の基本的要素を説明すると,まず(1)統制環境とは,組織の気風を決定し,他の基本要素の基礎をなす基盤を指す。具体的に言うと,誠実性,倫理観,経営者の意向,姿勢,経営方針及び経営戦略,組織構造及び慣行といった,まさに目に見えない”環境”がその内容となる。システムとは直接関係しないため軽視されがちであるが,システムを運用するのは人であり,いかに精緻なシステムを構築したとしてもその統制環境が悪ければ,内部統制は有効に機能しないことを考えれば,内部統制の最も重要な要素であり,他の基本的要素の根幹をなすものといえる。
その他の要素の具体的内容を,基準案をもとに説明すると以下のようになる。
(2)リスクの評価と対応:リスクを識別・分析・評価し,リスクへの適切な対応を行う過程。
(3)統制活動:経営者の指示・命令が適切に実行されることを確保するための方針と手続き。具体的には権限及び職責の付与,職務の分掌を指す。
(4)情報と伝達:必要な情報を識別・把握・処理し,組織内外及び関係者相互に正しく伝えること。
(5)モニタリング:内部統制が有効に機能していることを継続的に評価するプロセス。
(6)ITへの対応:組織目標を達成するために予め適切な方針及び手続きを定めて適切に対応すること。
これら6つの基本的要素の概念を直ちに正確に理解することは,定義自体がかならずしもはっきりしないこともあり,難しいかもしれない。これは,内部統制という概念が,米国をはじめとする世界の各企業が,不正を防止するために試行錯誤してきた取り組みの一部を抽出したものであり,必ずしも法律学や会計学における形而上的な概念を出発点としたものでないことからすれば,むしろ当然といえる。ある有力な会社法の学者も,内部統制を法律的に整理することは非常に難しいと率直に述べている。
システムの現場に携わる方々は,まず「4つの目的,6つの構成要素」をしっかりと頭に入れ,それらの内容を大雑把でもよいから理解することが重要だ。そのうえで,実際に内部統制システムを構築していくのにあたり,自ら考え,試行錯誤することにより,“体”で理解していくことが望ましい。
なお,基準案は,会計監査に従事していない者にとっても理解可能な程度にわかりやすく詳細に記載されている。是非一度ご自身で目を通すことをお薦めする。
(注) 金融商品取引法は6月7日午前、参議院本会議において賛成多数で可決、成立した。
(次回へ)
|
