日本版SOX法が成立し、日本企業は内部統制の整備を急いでいる。米国SOX法に関する情報が広がり、コストの増大を恐れる企業も多い。日本版SOX法の趣旨を踏まえ、コストを抑える工夫について提言する。
経営監査コンサルタント 吉田 邦雄弦巻ナレッジネットワーク代表 眞田 光昭
上場企業に財務報告の信頼性に係かかる内部統制を義務付ける「金融商品取引法(日本版SOX法、J-SOX)」は、2008年4月以降に開始する事業年度から適用される。内部統制の構築は、経営者が真摯しんしに取り組まなければならない緊急かつ重要なテーマである。
しかし、内部統制を正しく理解しないまま準備を進めると、過剰に対応したり、的外れの自己満足に陥ったりしがちで、大変危険である。米SOX法(サーベンス・オクスレー法、企業改革法)適用会社の事例にも学びつつ、企業体質の改善や企業価値の向上に結びつけ、「戦略的かつ主体的」に取り組んでいく必要がある。
金融庁企業会計審議会内部統制部会が策定した「基準案」(正式名称は「財務報告に係る内部統制の評価及び監査の基準案」)は、米SOX法が、目的に照らして非効率な内容で、企業や会計監査法人に負担をかけ過ぎた反省を踏まえたものになっている。日本独自の考えを盛り込み、負担を軽減した内容を目指している。
■バスに乗り遅れてはならない?
最近、J-SOXに関するセミナーが花盛りで、参加者に対して繰り返しメッセージが発せられる。内部統制は義務であり、限られた期間内に準備しなければならない。バスに乗り遅れてはならない…と。
しかしながら、本稿執筆時にはJ-SOXの実務指針となる「実施基準」はまだ確定・発表されていない。発表されたとしても、詳細を各企業の自主的判断に委ねるような内容であるならば、企業の多くはどのように具体的な作業を進めればよいか、困惑してしまうと思われる。
今、日本企業の現場では何が起きているのか。具体的な実施基準が明確にならないまま、J-SOX対応を迫られている状況で、担当する監査法人の指導を仰ぐ。監査法人は、「実施基準」発表前はアドバイスしにくいと言いつつ、負担が重い米SOX法や米PCAOB(公開企業会計監視委員会)の監査基準を示唆しているのが実態ではないだろうか。
 図1●米国SOX法の問題点(米SEC・PCAOBが2006年5月10日に開催した「ラウンドテーブル」の内容を基に筆者作成) [画像のクリックで拡大表示] |
「ある製品分野の売り上げ計上の業務プロセスを記述するためだけに、十数枚に及ぶ細かい説明文を求められる」「1年に1回もない例外的な業務まで洗い出して文書化する羽目になっている」といった悲鳴が企業のあちこちから聞こえてくる。
一方の米当局は、SOX法の2年間の運用実績に基づき、膨大なコスト消費とこれに起因する様々な問題点を認識し(図1)、軌道修正しようとしている。この状況で、米SOX法の過剰な負担をそのまま日本企業に適用するのは問題がある。J-SOXの実施基準は、米国の反省点を踏まえたものとなるはずだからだ。
不況から立ち直り、ようやく回復軌道に乗った日本企業が、コンプライアンス(法令順守)コストの極小化を考えるのは至極当然だ。さらにJ-SOX対応を、財務報告の信頼性向上のためだけではなく、業務改革実現と企業価値向上策の一環としてとらえたいと考えるのが自然である。このような状況下では、J-SOX対応活動に「費用対効果」が見込めなければ、活動自体が先細りになってしまうだろう。
日本企業の経営者が、効率の悪い米SOX法を無批判に踏襲することは、長期間にわたる経営資源の消耗・浪費にもつながり、会社法における取締役の「善管注意義務違反」にもなりかねない。
■J-SOX対応のあるべき姿は?
「実施基準」が確定されず、制度の全体像が明確でない現時点で、「バスに乗り遅れるな」とせかされる企業は一体何をすべきか。具体的な内部統制整備のポイントを提言したい。
1. 「基準案」の順守
J-SOXについて、「実施基準」確定前の現段階において順守すべきルールは、金融庁内部統制部会が昨年12月に発表した「基準案」のみである。「基準案」に示された、内部統制の構成要素、分類の仕方、関係者の関係態様、内部統制評価のステップなどは、十分に留意すべきだ。
基本に立ち返って「財務報告に係る内部統制」の本来の目的は何か、じっくり考えてみるのが正しい行動である。細部にこだわるのではなく、自社の業務における「不正や重大誤謬ごびゅうについての高リスク領域」に絞って対応を考えることが重要だ。
J-SOXの目的は財務報告の信頼性確保にあり、内部統制報告書において重要な虚偽の表示がない、あるいは重要な欠陥につながるような不正や法令違反がないことを期待している。であれば、業務の細部にまで内部統制を張りめぐらすのではなく、「不正や重大誤謬についての高リスク領域」にフォーカスすれば、その目的の大部分を達成できるのではないか。
 図2●日本企業がJ-SOX対策でやるべきこと [画像のクリックで拡大表示] |
2. 全社的な内部統制重視
「基準案」は、内部統制を「全社的な内部統制」と、「業務プロセスに係る内部統制」の2つに分類している(図2)。
このうち、全社的な経営判断、経営者の意思決定プロセス、経営者の倫理観といった「全社的な内部統制」を軽視してはならない。
米SOX法制定の契機となったエンロン、ワールドコムの事件、J-SOXの契機となったカネボウ、西武鉄道の事件、さらには、ライブドアや村上ファンドの事件のいずれにも共通することは何か。これらは、経営者を先頭とする企業内部に原因があった。
従って、細かな業務プロセス以上に、全社的な内部統制、特に経営者領域を重視すべきだ。この領域は比較的負担が小さく、効果は大きいと期待される。
全社的な内部統制に対する評価の段階では、経営者領域に重点を置いて、「経営陣が社内でよく企業倫理に関する発言をしているか」「経営者・取締役会は内部監査部門から定期的に報告を受けているか」といった「質問状」を作成して評価する方法が合理的だろう。
この領域の内部統制整備は、経営陣の資質や倫理観などにかかわるため、困難を伴うのも事実である。だからといって、経営者領域よりも、末端の業務プロセスで一語一句の文書化に精力を注ぐ、米SOX法実務でしばしばみられる“まと外れ的運用”を踏襲してはならない。
具体的なガイドラインとしては、日本の会社法が求める内部統制のほか、中堅・中小企業においては、米国のCOSO(トレッドウェイ委員会組織委員会)が公表した「小規模会社財務統制報告ガイダンス」(最終版)が参考になる。
この趣旨は以下のようなものだ。小規模会社では、経営陣が事業を熟知しているので、日々の活動の中で正しい質問を発し、予想値からのかい離を識別し、不正や重大誤謬ごびゅうの発見に役立てることができる。また、経営陣は重要な書類を自らレビューすることで、財務諸表における不正や重大誤謬を発見できる―。
こうした手続きは、既に多くの小規模会社で実施され、実際に財務報告の信頼性に役立っているわけだから、これを有効な内部統制の要素として受け入れるべきだろう。小規模会社では組織の柔軟性を維持することが生命線である。ガチガチに文書化することで組織そのものを殺してしまってはならない。
3. 文書化負担の軽減
一方の「業務プロセスに係る内部統制」の領域では、全社的な内部統制の評価結果を踏まえ、評価対象となる内部統制の範囲内にある販売や購買などの具体的な業務プロセスを分析する。そのうえで、財務報告の信頼性に重要な影響を及ぼす「統制上の要点」を選定し、この領域で内部統制の6つの「基本的要素」が機能しているかを評価することが求められている。
このなかで、内部統制の整備(文書化など)の費用を圧縮するには、対象範囲を、財務報告の信頼性向上につながるものに限定するべきだ。
 図3●内部統制関連文書の例 [画像のクリックで拡大表示] |
例えば、主要業務プロセスを中心に「業務フロー図(フローチャート)」と「RCM(リスク・コントロール・マトリクス)表」のみを文書化の対象とすることが考えられる(図3)。米SOX法対応実務においてよく作成される「説明文(業務記述書)」と「職務分離表」は文書化の対象とせず、あくまで参考程度にとどめるものとしたい。
文書化が完了すれば、内部統制の運用(評価・テスト)を毎年実施しなければならない。ここでも、財務報告の信頼性向上につながるものに限定し、「不正や重大誤謬についての高リスク領域」に絞って評価を実施するべきだ。また、評価費用圧縮のためには、運用テストの標準化や自動化が不可欠であろう。
一般に日本企業では、これまでに社内規程、組織図などは比較的整備されている。「不正や重大誤謬についての高リスク領域」に着目するならば、業務プロセスのどこにリスクがあり、これをどのようにコントロールするかが重要である。このためには、業務フロー図と、この業務にかかわるリスク・コントロール手段をまとめたRCM表が役に立つ。これらは「外部監査人のため」よりも「経営者のため」に、その実行責任を果たすうえで有用な文書化といえる。
文書化の具体的な中身については、「実施基準」が確定すれば、これに従えばよい。しかし、「実施基準」が確定する前の段階で、どのレベルの文書化が必要かは判断しにくい。
外部監査人(監査法人)の立場からは、内部統制の状況について十分な証拠を入手するために、できるだけ多くの文書化を求めるのは理解できる。しかし、企業側から見れば、本来は企業自身の内部統制整備・運用にかかわる実行責任がきちんと果たせていれば、それで十分だろう。
■経営者の意思が重要
いずれにせよ、内部統制を構築するうえで最も重要な点は、経営者の明確な意思である。
J-SOX対応のための作業について、現場は日常業務とは別の追加的な業務、それも過重業務ととらえがちである。従って、経営者は内部統制の目的を「財務報告の信頼性向上」のみにとどまらず、業務改革の実現であり企業価値向上策の一環としてとらえる好機であることを、役員・管理者・社員全階層に説明し、納得が得られるように粘り強く働きかけるべきだ。このような経営者のリーダーシップや経営姿勢なくして、内部統制整備は成功しない。
さらなるJ-SOXの実効化に向けては、日本経団連などの経済団体、日本監査役協会、日本公認会計士協会、日本内部監査協会など、関連諸団体の代表メンバーから構成される、米国のCOSOに当たるような「日本版トレッドウェイ委員会」の創設を提言したい。我が国において、企業不祥事防止や経営者不正防止に焦点を当てた新たな枠組み作りを切に願うものである。
|
|
-->
