81 内部統制とリスクマネジメント東京海上日動リスクコンサルティング ( 株 ) 所属リスクコンサルティング室情報グループ主任研究員長嶋潔 1. はじめに 2005 年 7 月 13 日企業会計審議会内部統制部会より財務報告に係る内部統制の評価及び監査の基準 ( 公開草案 ) が公表されたこ

Size: px

Start display at page:

Download "81 内部統制とリスクマネジメント東京海上日動リスクコンサルティング ( 株 ) 所属リスクコンサルティング室情報グループ主任研究員長嶋潔 1. はじめに 2005 年 7 月 13 日企業会計審議会内部統制部会より財務報告に係る内部統制の評価及び監査の基準 ( 公開草案 ) が公表されたこ"

ともひろひろもり
5 years ago
Views:

1 81 内部統制とリスクマネジメント東京海上日動リスクコンサルティング ( 株 ) 所属リスクコンサルティング室情報グループ主任研究員長嶋潔 1. はじめに 2005 年 7 月 13 日企業会計審議会内部統制部会より財務報告に係る内部統制の評価及び監査の基準 ( 公開草案 ) が公表されたこれは有価証券報告書虚偽記載などの企業の不祥事が発生していることを背景に我が国の企業に対して内部統制の充実を求める内容になっている既に米国ではエンロンやワールドコムの破綻などを契機にサーベインズ=オックスレイ法 ( 米国企業改革法 : 以下 SOX 法という ) が制定され (2002 年 ) 米国で上場する企業は企業内の内部統制について経営者がその評価結果を表明しまたその内容について外部監査を受けることが必要となっている内部統制とはどのようなものなのであろうか米国とわが国の制度動向をみながら内部統制やリスクマネジメントについて解説する 2. 米国の動向米国で作られた内部統制のフレームワークである COSO の内容や SOX 法などの法制度の動向について説明する (1) COSO 1 背景 1980 年代に米国において金融機関の破綻や企業不祥事が相次いだこの問題を解決するため米議会にトレッドウェイ委員会が組織されその委員会の支援組織委員会 (The Committee of Sponsoring Organizations of the Treadway Commission: 以下コソ COSO といいます ) が 1992 年に内部統制 - 総合的フレームワークという報告書を発表したこの報告書はその名の通り内部統制の総合的な枠組みを示しておりこの考え方はその後全世界に広まった例えば 1998 年に国際決済銀行 (B IS) が公表した銀行組織における内部管理体制のフレームワークも COSO をベースにしており結果として我が国の金融検査マニュアルにも大きな影響を与えている 2 概要 COSO は 3 つの目的と 5 つの構成要素から成り立っている内部統制の目的として挙げているのは以下の 3 つである 1 東京海上日動リスクコンサルティング株式会社 2005

2 業務の有効性と効率性の確保財務報告の正確性の確保規則法規等の遵守そして上記の目的の達成に関して合理的な保証を提供することを意図した事業体の取締役会経営者および他の構成員によって遂行されるプロセスを内部統制と定義づけている次にこの3つの目的を達成するための構成要素として以下の5つが挙げられる統制環境リスク評価統制活動情報と伝達内部監査 ( 監視活動 ) 内部統制の目的と構成要素の関係を図で示したものが図 1であり COSO キューブと言われている業務の効率化規則法規等遵守正確性事A内部監査統制環境情報と伝達統制活動リスク評価事業業単単位位B活活動動1図 1 務報告の2財各構成要素のポイントは以下のとおり統制環境組織の気風や文化を決定し組織内のすべての人々のコントロール ( 統制 ) に対する意識に影響を与える仕組みであり他の4つの構成要素の基礎になる非常に重要な構成要素であるそして統制環境の中でもっとも大事なのは経営者のリーダーシップといえるいわゆる社風や構成員のモチベーションは経営理念など経営者の考え方などによって大きく左右されるからであるリスク評価組織の目的を明確にし目的の達成を阻害するリスクを識別分析しリスクをいかに管理すべきかを決定するための基礎情報を提供する活動のことをいうリスク 2 東京海上日動リスクコンサルティング株式会社 2005

3 マネジメントの枠組みの中でもリスク評価が重要であるがのリスク評価も同じものを指しているといえる COSO 統制活動リスクに対処するために必要な活動のこと経営者の命令や指示が適切に実行されることを確保するために方針や手続きを定めることなどで現場における具体的な管理手続きなどもこれにあたる情報と伝達情報に目的との整合性適時性正確性可用性信頼性を確保し組織内外における情報伝達手段を確立した上で情報伝達を実行することをいう内部統制が実行されるためには必要な情報が社内のトップから従業員に従業員からトップにまた社外から社内へ適切に伝達する仕組みが必要である最近コンプライアンス違反に関する内部通報の仕組みを導入する企業も増えてきているがこれもまさにこの情報と伝達の仕組みの一つである内部監査( 監視活動 ) 組織において内部統制が実行されていることを監視確認または評価する活動のこと日常的な管理活動に組み込まれた日常的モニタリングと主に内部監査部門が行う独立評価の2つがある (2) ERM(Enterprise Risk Management) さて 1992 年に COSO が公表されて以降社会そのものも大きく変化してきたそれに伴い企業を取り巻くリスク環境も変化しリスクを特定分析し管理することつまりリスクマネジメントの重要性が高まってきているそのため COSO を発展継承する形で開発され 2004 年に公表されたのがERM(COSOⅡともいわれている ) であるこれは組織的全社的なリスクのマネジメントの枠組でありリスクマネジメントは戦略の策定および組織の全体に適用されるプロセスであることから目的に戦略を構成要素に目標設定事業の特定およびリスクへの対応が追加されているまた COSO では財務報告の正確性が目的であったが ERMでは単に報告の正確性としその範囲が広がっているまたリスクマネジメントの要素を取り入れているため統制環境も内部環境と言い換えている ERMにおいても COSO と基本的枠組みは変わっていないしかし ERMは COSO の内部統制から発展して組織的全社的なリスクマネジメントの枠組みを確立することで企業価値の向上を図ることを目的とし内部統制をリスクマネジメント体制構築の前提要素としていることからリスクマネジメントを広義に捉え組織経営運営そのもののあり方に近い概念のものになっている 3 東京海上日動リスクコンサルティング株式会社 2005

4 (3) SOX 法 1 背景米国では 2001 年 12 月に大手エネルギー会社エンロンが倒産するとその後ワールドコムなど大企業の会計不祥事が相次いで発覚するという事態に陥った大手会計監査法人であるアーサーアンダーセンがこうした不祥事に係わっていたことも明らかになり 90 年近く続いた老舗の監査法人は幕を閉じた米国ではこの事態を重くみて情報開示の正確性や投資家保護を目的に2002 年 7 月にSOX 法を制定した 2 概要 SOX 法は米国で上場している企業に対して財務諸表および内部統制の開示の厳格化や監査法人の規制を求めるなど非常に厳しい内容となっているなかでも特徴的なのはその第 302 条と第 404 条である第 302 条では財務報告への企業責任として開示した財務報告の内容やそのための内部統制手続きについて CEOおよびCFOが全面的に責任を負うことを4 半期毎に宣誓することが義務づけられている第 402 条では内部統制の経営者評価として経営者には自社の財務報告に関して適切な内部統制の枠組みと手続きを構築維持しそれを毎年評価する ( 経営者評価という ) ことを外部監査人には内部統制の有効性に関する直接報告を ( ダイレクトリポーティングという ) 義務づけているダイレクトリポーティングは監査人自らが内部統制の有効性に関してチェック項目を用意し経営者評価の結果についてもう一度一から監査し直すといったものであるこのため米国の上場企業でも監査コストの負担が大きくなることについて問題があるとの指摘がある日本の企業でも米国で上場している企業は 2006 年 7 月 15 日以降に訪れる決算期末よりこの第 404 条の適用を受けるよって3 月決算の企業については年 3 月期の決算期より対応することが求められている 3. 日本の制度動向日本においても内部統制やリスクマネジメント等に関する制度整備が進みつつある (1) ディスクロージャー制度等の改定平成 15 年 4 月 1 日にディスクロージャー制度関連の内閣布令ガイドラインの一部が改正されたおもな改正点はコーポレートガバナンスに関する情報と事業等のリスクに関する情報の取扱いについてである 1 コーポレートガバナンスに関する情報有価証券報告書および有価証券届出書の提出会社の状況にコーポレートガバナンスに関する情報の項目が新設されたこれにより内部統制システムの整備の状況リスク管理体制の整備の状況会社の機関の内容役員報酬の内容監査報酬の内 4 東京海上日動リスクコンサルティング株式会社 2005

5 容等のコーポレートガバナンスに関する事項を具体的かつわかりやすく記載することになった 2 リスク情報の開示有価証券報告書および有価証券届出書の事業の状況に事業等のリスクの項目が新設されたこれにより事業の状況経理の状況等に関する事項のうち財政状態経営成績およびキャッシュフローの状況の異常な変動特定の取引先製品技術等への依存特有の法的規制取引慣行経営方針重要な訴訟事件等の発生役員大株主関係会社等に関する重要事項等投資者の判断に重要な影響を及ぼす可能性のある事項を一括して具体的にわかりやすくかつ簡潔に記載することになった (2) 新会社法 2005 年 6 月に新会社法が成立した同法の施行は 2006 年 5 月頃と見込まれているがこの法律では大会社 ( 資本金 5 億円以上あるいは負債総額 200 億円以上 ) は内部統制システムの構築の基本方針と営業( 事業 ) 報告書での開示が義務づけられている従来の商法でも委員会等設置会社に対してリスクマネジメントやコンプライアンス業務の効率性等に関して内部統制システムの基本方針の決定を義務づけていたしかし日本の大半の企業は監査役設置会社でありこの監査役設置会社に対してはこうした規定は明文化されておらずバランスを欠いていたといえる新会社法ではその是正が行われている新会社法では法令や定款等に対するコンプライアンスや業務の適正性確保のための内部統制の整備に関わる事項を取締役会の専決事項とし大会社では取締役の職務の執行が法令や定款に適合することなど会社の業務の適性を確保するための体制内部統制システムの構築の基本方針を決定することを義務づけるとともに株主総会における取締役の解任決議の要件についてこれまでの特別決議から普通決議に緩和することとしている 2005 年 11 月 29 日には株式会社の業務の適性を確保する体制に関する法務省令案が公表された同案は体制の整備に際しての取締役の責務各会社において決議等の対象となる体制の内容事業報告における開示業務の適性を確保するための体制に関する監査役等による監査について必要となる事項を定める内容となっている 4. 日本版 SOX 法 ( 公開草案 ) (1) 背景有価証券報告書の虚偽記載事件を契機として金融庁が有価証券報告書等の一斉点検を求めた結果多くの企業で有価証券報告書が訂正されたその結果東京証券取引所は 2004 年 12 月上場企業の代表者に会社情報の適時開示に真摯な姿勢で臨む旨を宣誓させることとしたさらに金融庁では企業会計審議会に内部統制部会を設置しその成果として財務 5 東京海上日動リスクコンサルティング株式会社 2005

6 報告に係る内部統制の評価および監査の基準 ( 公開草案 ) を 2005 年 7 月 13 日に公表したこの公開草案が日本版 SOX 法といわれているものである (2) 概要公開草案では内部統制の基本的枠組みの中で以下のような内部統制の4つの目的と6つの基本的要素を示した目的業務の有効性および効率性財務報告の信頼性事業活動に関わる法令等の遵守資産の保全基本的要素統制環境リスクの評価と対応統制活動情報と伝達モニタリング( 監視活動 ) ITの利用この基本的枠組みは COSOのフレームワークに準拠しつつ一部調整が図られたものといえる具体的には目的に資産の保全が基本的要素として ITの利用が追加されており COSOではリスクの評価だったものがリスクの評価と対応となっている資産の保全とは資産の取得使用および処分が正当な手続きおよび承認のもとに行われるよう資産の保全を図ることである資産の保全が追加されたのは監査役が与えられている業務調査権そして財産調査権という権限を十分に行使してもらうためといわれているなお内部統制の目的としての資産の保全という考え方自体はかなり以前からあり 1970 年日本会計研究学会の財務諸表監査における内部統制組織の研究では内部統制は資産管理 ( 資産を保全する内部統制 ) 会計管理および業務管理からなるとしている ITの利用については昨今の企業活動が ITの依存度をきわめて高めていることを踏まえて内部統制においてもその不可欠な要素として ITの利用が追加されたリスクの評価と対応については公開草案は COSOをベースにしているが既に公表されていた COSOⅡともいうべきERMの影響もあるともいえ内部統制にリスクマネジメントの要素を取り入れていることを明確にしているリスクの評価とは企業の目的の達成を阻害する要因をリスクとしそのリスクの性質に応じてリスクの大きさを発生可能性頻度等の分析と組織の目標への影響とを評価することであるリスクの対応とは評価されたリスクについてその回避受容低減又は移転等適切な対応を選択することとしている 6 東京海上日動リスクコンサルティング株式会社 2005

7 (3) その他の特徴その他にもいくつか特徴があるがトップダウン型のリスクアプローチの活用とダイレクトリポーティングの不採用の2つについて説明する 1 トップダウン型のリスクアプローチの活用経営者は内部統制の有効性の評価にあたって財務報告に係る重大な虚偽の表示につながるリスクに着眼し必要な範囲で業務プロセスに係る内部統制を評価するリスクの大きさに基づいてメリハリをつけてチェックし評価することをリスクアプローチといっておりここでもリスクマネジメントの要素が取り入れられているのがわかる 2 ダイレクトリポーティングの不採用米国で採用されているダイレクトリポーティングは公開草案では不採用になっているこの結果監査人は経営者が実施した内部統制の評価についてのみ監査を実施すればよいことになる米国のSOX 法の導入では監査コストの増大が企業にとって大きな負担になっているといわれているがその原因のひとつがダイレクトリポーティングであった日本においてはその費用対効果の観点から不採用になっている ( 注 )2005 年 12 月 8 日には公開草案に対するパブリックコメントの結果を反映した財務報告に係る内部統制の評価及び監査の基準のあり方について ( 以下基準案という ) が公表されている基準案と公開草案ではその基本的考え方に大きな違いはないしかし公開草案の IT の利用は基準案では ITへの対応となっている ITへの対応とは IT 環境への対応 ITの利用及び統制からなるとしているので基準案においては ITの位置づけがより重視された内容になっているこのほか基準案で変更追記されている点は以下とおり公開草案では明示していなかった内部統制の目的に資産の保全を追加している理由を我が国においては資産の取得使用及び処分が正当な手続き及び承認のもとに行われることが重要であることから独立して1つの目的として明示したとしているまた ITへの対応の追加の理由を COSO 報告書公表後の IT 環境の飛躍的発展により ITが組織に浸透した現状に即して ITへの対応を基本的要素の1つに加えているとしている COSO 報告書の構成要素を指す用語を ( 基準案において ) 基本的要素としているのはこれらの要素は例示であることを明確にしたものであるとしている 5. 今後の対応のあり方これまで制度的にも企業における内部統制の構築が必要となってきていることを説明してきたが企業の今後の対応のあり方はどうあるべきなのであろうか筆者の考えは以下の通りである (1) 内部統制構築への積極的な姿勢と取り組み内部統制の構築には監査コストの増大や対応するシステム投資 ( ある調査会社の調査結果では2009 年までに日本版 SOX 法対応のIT 投資総額が7000 億円になるとされている ) など一定程度の負担が伴うことは否定できないであろう事実米国 7 東京海上日動リスクコンサルティング株式会社 2005

8 では SOX 法の対応の負担が大きすぎるとして上場を取りやめるといった動きもあるしかし内部統制の第一の目的は業務の有効性および効率性であることを忘れてはいけない業務の有効性や効率性を高めることで組織のパフォーマンスを高め企業価値を向上させることにつなげていくものであるよって規制だからしかたなくやるのではなく企業は内部統制を構築し有効かつ効率的で透明性の高い活動によりステークホルダーからの評価を高め企業価値を向上させることを認識して積極的に取り組むべきであろう (2) 内部統制 ( 等 ) の限界一方内部統制を構築する主体の経営者や規制やルールを策定する立場の人たちが留意しなくていけないのが内部統制の限界である公開草案でも内部統制の限界があり絶対的なものではないとしている内部統制の限界とは内部統制が機能しない場合がある ( 公開草案では経営者の不正行為など4つの限界を示している ) ことである内部統制を有効に機能させるためにもその限界を内部統制を構築する立場の人間も規制やルールを策定し取り締まる立場の人間も理解しておく必要があるこのほかにもいくつか別の種類の限界がある COSOや公開草案が示しているのは内部統制の枠組みである枠組みは内部統制の構築に不可欠でありそれが無くては内部統制の構築はできないしかしあくまでも枠組みであり中身が伴わなくては不十分である今後の規制ルール整備に関しても筆者が懸念するのは一律で硬直的な規制ルールの整備と企業側の形式的な対応である内部統制の基本要素のうち最も基礎となるのは図 1にも示したように統制環境であるがこれは経営者のリーダーシップや経営理念などの上に整備されるこうしたリーダーシップや経営理念は一律な規制によって成り立ちうるものではない内部統制は企業自らが取り組むべき問題であり本来必要なのは企業が率先して優れた内部統制を構築しその内容を消費者や投資家などのステークホルダーが評価できる社会的な仕組みといえるだろうよって今後の規制のあり方についてはより企業の自主性を重んじたルールづくりが必要と考える一方企業においては単に形式的な対応ではなく内部統制構築に積極的に取り組みその内容をステークホルダーにわかりやすく効果的に明示することで企業価値の向上につなげていくという姿勢が重要であると考える 6. 最後に昨今有価証券報告書の虚偽記載大規模鉄道事故公的組織の談合マンションの耐震強度偽装問題など企業の不祥事が多く発生しており企業を取り巻くリスク環境も大きく変わってきている一方 CSR コーポレートガバナンスリスクマネジメント内部統制経営品質コンプライアンスといった経営者に求められる経営上の課題 ( キーワード ) が増えてきている今企業および経営者に問われているのは企業のあり方とその存在意義そのものではないだろうかかつてのように本音と建て前を使い分け清濁あわせのむことが処世術だった時代は終わった企業はその本来の存在意義や目的を明確化しその目的を達成するため 8 東京海上日動リスクコンサルティング株式会社 2005

9 に活動することで存続しえる今後企業は高邁な経営理念をうち立て従業員の高いモチベーションのもとそれを愚直に実現していくことそしてそれをステークホルダーに明示し企業価値を高めていくことが求められているこのような状況下企業は経営トップが経営状態やリスクを正確に把握し統制していることつまり内部統制やリスクマネジメントが企業活動に不可欠であることを認識し積極的に取り組むことで企業価値の向上につなげていくよう期待されている ( 第 81 号 2005 年 12 月発行 ) 9 東京海上日動リスクコンサルティング株式会社 2005

[ 指針 ] 1. 組織体および組織体集団におけるガバナンスプロセスの改善に向けた評価組織体の機関設計については株式会社にあっては株主総会の専決事項であり業務運営組織の決定は取締役会等の専決事項であるまた組織体集団をどのように形成するかも親会社の取締役会等の専決事項であるしたがってこ

[ 指針 ] 1. 組織体および組織体集団におけるガバナンスプロセスの改善に向けた評価組織体の機関設計については株式会社にあっては株主総会の専決事項であり業務運営組織の決定は取締役会等の専決事項であるまた組織体集団をどのように形成するかも親会社の取締役会等の専決事項であるしたがってこ実務指針 6.1 ガバナンスプロセス平成 29( 2017) 年 5 月公表 [ 根拠とする内部監査基準 ] 第 6 章内部監査の対象範囲第 1 節ガバナンスプロセス 6.1.1 内部監査部門はガバナンスプロセスの有効性を評価しその改善に貢献しなければならない (1) 内部監査部門は以下の視点からガバナンスプロセスの改善に向けた評価をしなければならない 1 組織体として対処すべき課題の把握と共有