■内部統制はリスクへの対応である
　日本版SOX法において評価や報告が求められているのは、財務報告の信頼性を確保するための内部統制です。ただし経営者は、その企業にあった内部統制を整備する必要があります。
　企業にあった内部統制を整備するためのポイントは、企業の「リスク」にあります。基準案によれば、リスクとは「組織目標の達成を阻害する要因」を指します。具体的には「天災、盗難、市場競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報および高度な経営判断に関わる情報の流失または漏洩といった組織の中で生ずる内部的要因など、さまざまなもの」が挙げられています。一方、「組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない」とされています。
　企業は、究極的には倒産するリスクを負っており、それをブレークダウンして考えていくと、「業績の悪化」「粉飾決算」「従業員の横領」から「業務上のミス」まで、さまざまなリスクを抱える存在です。そして、そのリスクを評価し対応することが求められているというわけです。

■経営者の業務＝リスク管理
　リスクの内容や、どのくらいのリスクがあるかは、企業によって異なります。つまり経営者は、それらのリスクを見極める必要があるのです。リスクを管理することは、経営者にとっての重要な任務の1つ。経営者は、リスクを予測して回避したり、リスクに遭遇したときに適切に対処することが必要です。そのために、内部統制を整備することになるわけです。単なるリスクの把握にとどまらず、日本版SOX法を機に経営者が企業の社会的な存在意義や責任、企業のビジョンを描き出すことで、それを達成できるような内部統制を整備することが大切です。
　ところで、そういった経営者の態度や考え方自体も、「統制環境」と呼ばれる内部統制の構成要素となり、企業のシステム全体に影響を与えるものになります。また、経営者の責任において整備された内部統制は、企業内の「すべての者により業務の過程で遂行される」もので、正規の従業員のみならず、短期・臨時雇用の従業員も内部統制を遂行することになります。そのため、経営者は企業全体に内部統制を浸透させ、適切に運用させる責任も負うことになるのです。

■2つのリスクを把握し対応する
　なお、基準案によれば経営者は、組織全体の目標の達成を阻害するリスクである「全社的なリスク」と、売上・仕入業務といった組織の各業務プロセスにおける目標の達成を阻害する「業務プロセスのリスク」について、識別・評価・対応していかなければならないとされています。特に、財務報告の信頼性に関わる部分については、財務諸表（決算書）に重要な不正や誤りがないように対処していくことが求められています。ここでいう「重要な」とは、連結税引前利益の5％程度の金額が目安とされています。

　このようなリスクの把握により、企業に合った内部統制の整備が可能になるのです。次回は、決算書の観点から見た、リスクと内部統制について考えていきます。