エンロン事件をきっかけに、米国では企業の内部統制強化を狙って、ごく短期間でSOX法が導入されましたが、ここにきて制度運用の問題が顕在化し、見直しが始まっています。その経緯と、米国での反省を踏まえた日本の動向を解説します。

 米国のSEC(証券取引監視委員会)は、昨年4月と今年5月に、内部統制監査の制度運用に関する有識者会議とも言うべき「ラウンドテーブル・ミーティング」を開催しています。

 米国政府は、エンロン・ショックに揺れる証券市場の信頼回復のため、非常に急いで米国SOX法を導入しました。その結果、制度開始からの2年間、当初想定された制度設計と相当乖離した米国SOX法の運用が繰り広げられました。昨年の第1回ラウンドテーブル・ミーティングでは、産業界から「内部統制監査のコストとベネフィットは完全に逆転している」とまで激しい批判をSECは受けています。

 実際、企業がリスクを軽減するための手続き(統制手続き)である「コントロール」を、1つの会社で4万も抽出し、それをすべて重要なコントロール(キーコントロール)と判断して、すべてテストを実施している、という極端な事例がSECによって公表されています。しかし、米国SOX法でも本来は、事業上のリスクをベースに、バランスの取れた内部統制の構築を図るという考え方(トップダウン・リスクアプローチ)を採用していたようです。常識的にも、一企業に4万件ものコントロールを想定する、というようなことは、そもそもありえません。

2006年のラウンドテーブル・ミーティング

 このような状況を踏まえて、SECはラウンドテーブル・ミーティング終了後の5月17日に、米国での内部統制監査制度の運用実態をトップダウン・リスクアプローチに向けてシフトさせることを意図した、と思われる緊急リリースを発表しました。このリリースで発表された内容のうち、特に日本にも影響を与えそうな注目すべきものは次の3点です。

(1) 企業経営者向けの内部統制評価に関するガイダンスの公表
(2) PCAOB監査基準2号の改訂
(3) 中小公開企業に対する内部統制監査適用の決定

 一番目の経営者向けのガイダンスに関していえば、昨年12月に金融庁から公表された基準案と実施基準検討項目では、それぞれ「財務報告に係る内部統制の評価及び報告」として個別に章立てされています。しかし、前回お話したように、米国ではPCAOBの監査基準しか公表されていません。これでは、内部統制の構築に関して第一義的な責任を負っている経営者、企業サイドへの情報が不十分なことは明らかです。

 SECは、このような情報の不足がトップダウン・リスクアプローチの普及を妨げる一因ではないか、と判断し、経営者向けガイダンスの作成に踏み切ったものと考えられます。また、二番目の監査基準の改訂も、より積極的に、トップダウン・リスクアプローチへの準拠を打ち出そうとするものです。

トップダウン・リスクアプローチとリスク分析


図1虚偽表示リスク
[画像のクリックで拡大表示]

 トップダウン・リスクアプローチは、内部統制の構築に当たって、経営者による事業運営上のリスク判断を軸に、内部統制の構築維持に関する経営資源を配分(ウェイト付け)しようとするものです。ここで言うリスクとは、もっぱら財務諸表上の虚偽記載のことです。法令順守のような観点ではありません。粉飾など意図的な決算数値の操作はもちろん、無意識および不作為による決算数値の誤りなども含んでいることに注意してください(図1)。

 リスクは、その「発生可能性」と、事態が発生した場合の「影響度(主に影響金額)」という2つの要素から構成されます。これらの要素を総合してリスクとしての大小を判断します(図2)。発生可能性が高く影響度も大きなものを、ハイリスクと考えるわけです。


図2リスクマップ
[画像のクリックで拡大表示]

 最大のリスクは、「日常的に発生して、発生すると企業が倒産するほどの損害を与えるもの」です。中程度のリスクとしては、「日常的に発生するが影響金額は小さいもの」、あるいはその反対に、「ほとんど発生しないが、影響金額は相当に大きいもの」という2つの類型があります。「ほとんど発生せず、影響金額もわずか」という類型もありますが、これは無視できるものかもしれません。

 

コーポレート・ガバナンスと内部統制

 企業内で最もリスクが高い領域は、ディーリングなどの金融財務に関する取引か、あるいは損益取引を二重計上してしまったなどといった、経理部が行う決算作業での処理誤りだと思われるかもしれません。実際、このような事例には、国内外で枚挙の暇がありません。1人のディーラーの損失隠しが証券会社を倒産へと追い込んだ事件を覚えている読者も多いでしょう。

 しかし、実はそれ以上に大きなリスクが存在します。CEO(最高経営責任者)やCFO(最高財務責任者)、あるいは取締役会など、コーポレート・ガバナンスに関連するトップ・マネジメントの領域です。カネボウやライブドア、あるいはエンロンなどの事件は、まさにこれに該当します。

 コーポレート・ガバナンスのレベルになると、内部統制にも限界があります。最高権力者であるトップが行う不正を正すのは、並大抵の仕組みでは歯が立ちません。内部統制は万能でなく、内部統制を出し抜こうとするものに対しては常に限界を持っています。この点を十分配慮して内部統制は設計されるべきです。

 このような限界を前提にしつつ、内部統制を“重点配備”し、それら内部統制の機能状況を常に“監視”しながら、財務上の数値の信頼性を確保・保証することが求められています。一定の限界を前提にした保証は、監査論という学問領域では「合理的保証」と呼ばれています(ちなみに、その反意語は「絶対的保証」です)。

標準チェックリスト方式採用の弊害

 先にお話したように、米国SOX法も2002年の施行当初から、制度運用としてはトップダウン・リスクアプローチが前提とされていたようです。しかし、実際に行われた内部統制の構築方法は、リスク判断などを基本としない標準チェックリスト方式による画一的な構築法が主流となってしまいました。連結ベースという、元々広範な対象を、画一的なチェックリストを用いて網羅的に点検しようとする訳です。その当然の結果として、「内部統制構築に関するコストとベネフィットは逆転している」という先のラウンドテーブル・ミーティングでの批判に行き着いたわけです。

 さらに、このような批判の流れから、中小規模の公開企業への内部統制監査は免除すべきだ、という意見が昨年ことから大きくなって来ました。事実、中小公開企業のなかには、米国SOX法対応コストの過重を理由に、非公開に転じる企業も現れました。

 しかし、先にお話したSECの方針として、このような動きを完全に制するかのような判断が下されました。SECは、内部統制の維持構築に関する義務は、公開企業である限り規模の大小を問わず同水準であることを宣言したわけです。

 こうした米国SOX法による負担が重くなる一方で、COSO(ドレッドウェイ委員会組織委員会)は昨年、中小公開企業へのケアとして、中小公開企業向け内部統制構築ガイドライン(公開草案)を公表しました。これはすでに今年1月に意見の受け付けを終えて、現在審議中の段階にあります。このガイドラインでは、中小公開企業がコストをかけずに大企業と同等水準の内部統制の構築を目指そうとする際の26の指針が示されています。なお、COSOは、内部統制の国際標準というにふさわしいCOSOフレームワークを作成した民間組織です。これは皆さんご存知でしょう。

 

国内の中小公開企業に対する内部統制監査


図3根拠法規と公式資料の現状
[画像のクリックで拡大表示]

 米国では中小公開企業への米国SOX法適用が検討されていますが、方向性に関しては、日本国内においても同じようです(図3)。実施基準の作成責任者である橋本尚青山学院大学教授は、日経金融新聞の取材に対して、「日本ではトップダウン・リスクアプローチが採用され、内部統制構築負荷は米国に比べ相当程度軽減されることが予想されることから、中小公開企業への規制猶予は無いのではないか」と回答しています。

 以上のように、現在米国では、内部統制監査制度に関して大きな転換を図ろうとしています。その方向性は、日本の基準案とも同様であり、偶然とは言え、あたかも両者は連動しながら制度設計しているようにも見えます。

 5月6日には当サイトで、実施基準の公表延期に関する報道がありました。先の米国SECの動きも微妙に影響しているものと推測されます。

 翌5月7日には、「金融商品取引法」が参議院を通過成立しました。根拠となる法律が成立したにもかかわらず、実務上の指針である実施基準の発表が延期になると、企業は五里霧中のまま、内部統制構築準備に突入せざるをえなくなります。これもまた批判が集まりそうな情勢です。

 さて次回は、内部統制監査と財務諸表監査という2つの監査についてお話ししたいと思います。

次回へ

深見 浩一郎(ふかみ こういちろう)
深見公認会計士事務所/コンサルティング・ネットワークITAS代表。大手都市銀行を経て,国内大手監査法人マネジメントコンサルティング室長,外資系コンサルティング会社ERP担当マネージング・ダイレクター等を経て,現職。一昨年から公認会計士,システム監査技術者,システム・コンサルタントによるネットワークITASを創設。内部統制構築,IT統制整備に関するコンサルティング・サービス,メソドロジーの教育研修を展開。