ABO:会計士平林亮子の経営カウンセリングルーム

■内部統制はリスクへの対応である
　日本版SOX法において評価や報告が求められているのは、財務報告の信頼性を確保するための内部統制です。ただし経営者は、その企業にあった内部統制を整備する必要があります。
　企業にあった内部統制を整備するためのポイントは、企業の「リスク」にあります。基準案によれば、リスクとは「組織目標の達成を阻害する要因」を指します。具体的には「天災、盗難、市場競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報および高度な経営判断に関わる情報の流失または漏洩といった組織の中で生ずる内部的要因など、さまざまなもの」が挙げられています。一方、「組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない」とされています。
　企業は、究極的には倒産するリスクを負っており、それをブレークダウンして考えていくと、「業績の悪化」「粉飾決算」「従業員の横領」から「業務上のミス」まで、さまざまなリスクを抱える存在です。そして、そのリスクを評価し対応することが求められているというわけです。

■経営者の業務＝リスク管理
　リスクの内容や、どのくらいのリスクがあるかは、企業によって異なります。つまり経営者は、それらのリスクを見極める必要があるのです。リスクを管理することは、経営者にとっての重要な任務の1つ。経営者は、リスクを予測して回避したり、リスクに遭遇したときに適切に対処することが必要です。そのために、内部統制を整備することになるわけです。単なるリスクの把握にとどまらず、日本版SOX法を機に経営者が企業の社会的な存在意義や責任、企業のビジョンを描き出すことで、それを達成できるような内部統制を整備することが大切です。
　ところで、そういった経営者の態度や考え方自体も、「統制環境」と呼ばれる内部統制の構成要素となり、企業のシステム全体に影響を与えるものになります。また、経営者の責任において整備された内部統制は、企業内の「すべての者により業務の過程で遂行される」もので、正規の従業員のみならず、短期・臨時雇用の従業員も内部統制を遂行することになります。そのため、経営者は企業全体に内部統制を浸透させ、適切に運用させる責任も負うことになるのです。

■2つのリスクを把握し対応する
　なお、基準案によれば経営者は、組織全体の目標の達成を阻害するリスクである「全社的なリスク」と、売上・仕入業務といった組織の各業務プロセスにおける目標の達成を阻害する「業務プロセスのリスク」について、識別・評価・対応していかなければならないとされています。特に、財務報告の信頼性に関わる部分については、財務諸表（決算書）に重要な不正や誤りがないように対処していくことが求められています。ここでいう「重要な」とは、連結税引前利益の5％程度の金額が目安とされています。

　このようなリスクの把握により、企業に合った内部統制の整備が可能になるのです。次回は、決算書の観点から見た、リスクと内部統制について考えていきます。

■内部統制の評価と報告、監査
　前回、11月上旬に日本版SOX法に関連する内部統制の実施基準案が公表されたことをお伝えしました。こうした文書が公表されるのは今回がはじめてではありませんが、日本版SOX法は大きく2つの点で、これまでの内部統制に対する経営者の姿勢に変革をもたらすものと考えられます。
　1つは、内部統制の評価と報告、そして監査が法律により義務づけられたことでもたらされるものです。日本版SOX法により、経営者は内部統制（財務報告の信頼性を確保するための内部統制）が有効であるかどうかを評価し、報告することが義務づけられました。これにより経営者は「当社の内部統制は有効です」という内容を記した「内部統制報告書」という文書を公表しなければなりません。このような評価と報告は、企業内部だけではなく、外部に委託している業務や、子会社についても対象となる可能性があることにも注意する必要があります。
　そして、経営者の公表する「内部統制報告書」は、公認会計士の監査を受け、内部統制の評価をきちんと実施したかについてのチェックを受けなければなりません。そのため、今まであいまいになっていた規定や仕組みを含め、業務プロセスの全面的な見直しが必要になることは明らかです。今後は、業務プロセスをフローチャートや文書としてまとめ、それに応じた内部統制の内容などを明文化する必要が出てくるでしょう。

■ITへの対応
　もう1つは、内部統制の構成要素として新たに「ITへの対応」が盛り込またことです。内部統制は、基準案では「統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）およびIT（情報技術）への対応の6つの基本的要素から構成される」と定義されています。従来は、ITを除いた5つの要素で構成されるものと定義されていました。また、余談ですが「ITを基本要素として明示すべきかどうかについてはかなり議論になった」そうです（基準の作成に関わった大学教授のお話）。
　ITに関しては、具体的には「IT環境への対応」「ITの利用」「ITの統制」という3つの観点からの対応が求められています。社会や市場、業界として、ITがどこまで浸透し利用されているのかを把握し（IT環境への対応）、それぞれの企業がそれぞれのITの利用方法を規定し（ITの利用）、ITによって内部統制を担保する仕組みを整える（ITの統制）ことが求められてます。
　このうち「ITの統制」として、システムの保守・運用・管理やシステムへのアクセス管理、入力情報の修正権限の厳格化などが求められており、これが「どこまで管理しなければいけないのか」「システムの全面的入れ替えが必要なのか」と多くの担当者を悩ませる結果となっているようです。
　しかしながら、基準案によれば「（上記のような管理は）手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる」のであり、「新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」としている点には留意しておくといいでしょう。ITに限らず、内部統制は一律に規定されるようなものではなく、それぞれの企業にあった形で整備すべきものなのです。
　次回は、「それぞれの企業にあった形」とはどういうことかについて考えていくことにいたします。