ABO:会計士平林亮子の経営カウンセリングルーム

■ITシステムに関する誤解
　これまで見てきたように、内部統制は経営者が適切な企業経営のために整備・運用しなければならないものです。そして、日本版SOX法の施行に伴い、その見直しが必要になることは間違いないでしょう。

　しかし、その見直しについては、いくつかの誤解があるようです。

　まず、日本版SOX法の施行は「新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」ということ。もちろん、それが必要な場合もあるでしょう。また、これを良い機会ととらえてシステムの見直しをすることも有用かもしれません。しかし、必ずしもITシステムの入れ替えを迫られているわけではないのです。

■企業の負担に対する誤解
　また、内部統制を整備することが、企業内での負担を増やすとは限らないということも挙げられます。「書類の枚数が増える」「チェックが厳しくなる」といったたいへんな面ばかりクローズアップされがちですが、内部統制の目的の1つは「業務の有効性および効率性」の確保です。逆に、無駄な作業は省くこともありえるのです。
　さらに、内部統制の構成要素には「情報と伝達」があります。これは、企業内の情報を上手に共有し、必要な情報が適時適切に伝達される仕組みを意味しています。そう考えると、業務プロセスが簡略化され、企業内の風通しがよくなることも十分に考えられるのです。内部統制は、企業のリスクに応じて、それぞれの企業の状況に応じて整備されるものなのです。

■中小企業も例外ではない
　最後に、内部統制は中小企業にも無関係な話ではないということ。しつこいようですが、内部統制は適切な企業経営のための仕組みです。組織の大小で必要性の有無が決まるわけではないのです。
　もちろん、大きな組織と小さな組織では、具体的な内部統制の内容は異なります。また日本版SOX法は、いわゆる上場企業を規制するものですから、中小企業では内部統制の評価と報告を義務付けられないこともあるでしょう。しかし、中小企業であればその規模に合わせた内部統制を整備することが重要なのです。
　内部統制の整備に伴う業務プロセスの再構築は、組織の中に大きな摩擦を生じさせる可能性も高くなります。しかし、経営者や内部統制の整備担当者は、その摩擦を乗り越えてほしいものです。内部統制は、法律うんぬんという以前に、企業にあるべきシステムなのですから。
　そう考えると、すべての企業が社会的存在意義や社会的責任の見直しと、ビジョンを描き出すのに、日本版SOX法は良いきっかけになるのではないでしょうか。

■リスクアプローチという考え方
　財務報告の信頼性という観点から考えると、リスクは具体的には財務諸表（決算書）の、（意図的な粉飾を含む）誤りという形で表れます。そして、財務諸表に関するリスク評価は、正に私たち公認会計士の専門分野です。
　公認会計士が監査をする際、財務諸表に誤りが生じるリスクを「重要な虚偽表示のリスク」と名付けて評価し、そのリスクの程度に応じて財務諸表をチェックしていきます。そして、リスクの高い項目はより重点的にチェックし、低い項目は相応にチェックするという「リスクアプローチ」という手法を用いて監査を実施しています。

■財務諸表項目に内在するリスク
　そこで、会計士が実施する財務諸表監査におけるリスク把握について、経営者の内部統制の構築にも有用だと思われる2つのポイントを取りあげてみましょう。
　1つ目は、財務諸表の内容からどのようにリスクを把握するのかというポイントです。財務諸表には、一般的にどのような企業でもリスクが高くなりがちな項目（勘定科目）と、その企業特有の状況からリスクが高くなりがちな項目があります。そこで、企業全体のリスク（倒産リスクなど）も踏まえたうえで、それらの項目の存在に注目し、重点的にチェックします。
　一般的にリスクが高くなるものとしては、たとえば「現金」は横領される可能性が高い、「売掛金」は貸倒れる可能性や架空計上の可能性が高い、といったことが挙げられます。
　また、企業特有の状況の場合、たとえば商社は在庫（財務諸表では「商品」や「棚卸資産」）を抱えて倒産するリスクは少ないですが、小売業ではそれらがリスクの高い項目となりがちです。
　このように財務諸表の項目や企業の状況によって、リスクを判断することができるのです。実際、財務諸表を一目見て危ない点を見抜けるベテラン会計士もたくさんいます。

■継続企業の前提についての判断
　2つ目は、企業が継続して事業を行なうことが可能か（継続企業の前提）を判断する際、会計士は財務諸表のどこを見るのかというポイントです。財務諸表監査において、公認会計士は、その企業が事業を継続できるかを判断する必要があります。具体的には、企業の経営者にそれを判断してもらい、経営者の判断を会計士がチェックすることになります。
　企業が継続できるかどうかは、さまざまな観点から判断しますが、財務諸表も判断材料の1つになります。そして、たとえば営業活動によるキャッシュフローが継続的にマイナスである、売上高や営業利益が著しく減少している、といった状況があれば、企業の継続に重要な影響を与える、つまり倒産の前兆かもしれないと疑うことになります。
　前回のブログで解説したとおり、内部統制の基準案で経営者には「全体的なリスク」と「業務プロセスのリスク」の評価と対応が求められています。必ずしも会計士のリスクの視点と一致するものではありませんが、今回解説した2つのポイントが1つの参考になるでしょう。

　次回はSOX法関連の話題の最後として、内部統制に対する2つの誤解について紹介します。

■内部統制はリスクへの対応である
　日本版SOX法において評価や報告が求められているのは、財務報告の信頼性を確保するための内部統制です。ただし経営者は、その企業にあった内部統制を整備する必要があります。
　企業にあった内部統制を整備するためのポイントは、企業の「リスク」にあります。基準案によれば、リスクとは「組織目標の達成を阻害する要因」を指します。具体的には「天災、盗難、市場競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報および高度な経営判断に関わる情報の流失または漏洩といった組織の中で生ずる内部的要因など、さまざまなもの」が挙げられています。一方、「組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない」とされています。
　企業は、究極的には倒産するリスクを負っており、それをブレークダウンして考えていくと、「業績の悪化」「粉飾決算」「従業員の横領」から「業務上のミス」まで、さまざまなリスクを抱える存在です。そして、そのリスクを評価し対応することが求められているというわけです。

■経営者の業務＝リスク管理
　リスクの内容や、どのくらいのリスクがあるかは、企業によって異なります。つまり経営者は、それらのリスクを見極める必要があるのです。リスクを管理することは、経営者にとっての重要な任務の1つ。経営者は、リスクを予測して回避したり、リスクに遭遇したときに適切に対処することが必要です。そのために、内部統制を整備することになるわけです。単なるリスクの把握にとどまらず、日本版SOX法を機に経営者が企業の社会的な存在意義や責任、企業のビジョンを描き出すことで、それを達成できるような内部統制を整備することが大切です。
　ところで、そういった経営者の態度や考え方自体も、「統制環境」と呼ばれる内部統制の構成要素となり、企業のシステム全体に影響を与えるものになります。また、経営者の責任において整備された内部統制は、企業内の「すべての者により業務の過程で遂行される」もので、正規の従業員のみならず、短期・臨時雇用の従業員も内部統制を遂行することになります。そのため、経営者は企業全体に内部統制を浸透させ、適切に運用させる責任も負うことになるのです。

■2つのリスクを把握し対応する
　なお、基準案によれば経営者は、組織全体の目標の達成を阻害するリスクである「全社的なリスク」と、売上・仕入業務といった組織の各業務プロセスにおける目標の達成を阻害する「業務プロセスのリスク」について、識別・評価・対応していかなければならないとされています。特に、財務報告の信頼性に関わる部分については、財務諸表（決算書）に重要な不正や誤りがないように対処していくことが求められています。ここでいう「重要な」とは、連結税引前利益の5％程度の金額が目安とされています。

　このようなリスクの把握により、企業に合った内部統制の整備が可能になるのです。次回は、決算書の観点から見た、リスクと内部統制について考えていきます。

■内部統制の評価と報告、監査
　前回、11月上旬に日本版SOX法に関連する内部統制の実施基準案が公表されたことをお伝えしました。こうした文書が公表されるのは今回がはじめてではありませんが、日本版SOX法は大きく2つの点で、これまでの内部統制に対する経営者の姿勢に変革をもたらすものと考えられます。
　1つは、内部統制の評価と報告、そして監査が法律により義務づけられたことでもたらされるものです。日本版SOX法により、経営者は内部統制（財務報告の信頼性を確保するための内部統制）が有効であるかどうかを評価し、報告することが義務づけられました。これにより経営者は「当社の内部統制は有効です」という内容を記した「内部統制報告書」という文書を公表しなければなりません。このような評価と報告は、企業内部だけではなく、外部に委託している業務や、子会社についても対象となる可能性があることにも注意する必要があります。
　そして、経営者の公表する「内部統制報告書」は、公認会計士の監査を受け、内部統制の評価をきちんと実施したかについてのチェックを受けなければなりません。そのため、今まであいまいになっていた規定や仕組みを含め、業務プロセスの全面的な見直しが必要になることは明らかです。今後は、業務プロセスをフローチャートや文書としてまとめ、それに応じた内部統制の内容などを明文化する必要が出てくるでしょう。

■ITへの対応
　もう1つは、内部統制の構成要素として新たに「ITへの対応」が盛り込またことです。内部統制は、基準案では「統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）およびIT（情報技術）への対応の6つの基本的要素から構成される」と定義されています。従来は、ITを除いた5つの要素で構成されるものと定義されていました。また、余談ですが「ITを基本要素として明示すべきかどうかについてはかなり議論になった」そうです（基準の作成に関わった大学教授のお話）。
　ITに関しては、具体的には「IT環境への対応」「ITの利用」「ITの統制」という3つの観点からの対応が求められています。社会や市場、業界として、ITがどこまで浸透し利用されているのかを把握し（IT環境への対応）、それぞれの企業がそれぞれのITの利用方法を規定し（ITの利用）、ITによって内部統制を担保する仕組みを整える（ITの統制）ことが求められてます。
　このうち「ITの統制」として、システムの保守・運用・管理やシステムへのアクセス管理、入力情報の修正権限の厳格化などが求められており、これが「どこまで管理しなければいけないのか」「システムの全面的入れ替えが必要なのか」と多くの担当者を悩ませる結果となっているようです。
　しかしながら、基準案によれば「（上記のような管理は）手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる」のであり、「新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」としている点には留意しておくといいでしょう。ITに限らず、内部統制は一律に規定されるようなものではなく、それぞれの企業にあった形で整備すべきものなのです。
　次回は、「それぞれの企業にあった形」とはどういうことかについて考えていくことにいたします。

　ビジネスパーソンであれば「日本版SOX法」という言葉を目にしたことのない人はいないでしょう。日本版SOX法とは、企業の内部統制の評価と報告を義務付けた法律全般、およびその周辺文書を指す名称です。ただし「日本版SOX法」という法律は、現時点では存在していません。2009年3月期（2008年4月からはじまる年度と考えて差し支えありません）から適用される金融商品取引法を指す場合もあれば、それに加えて、内部統制の評価と報告方法をまとめた一連の基準まで含めた総称として使われることもあります。
　いずれにしても、今後企業は内部統制を実施し、社会に公表できるだけのレベルを保つことが法律上求められているのです。そして2006年11月上旬、この日本版SOX法に関連する重要な文書である、内部統制の実施基準案が公表されました。

■内部統制とは何か
　内部統制というと、日本版SOX法によって導入された新しい概念のように思われている方もいるかもしれませんが、実は言葉も概念も古くからあります。最新の基準案によれば、内部統制とは「業務の有効性および効率性、財務報告の信頼性、事業活動に関わる法令などの遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス」です。
　これを簡単に言えば、内部統制とは「企業を適切かつ効率よく、法律も守ってムダのないように経営するための企業内の仕組み」のことなのです。すなわち「従業員が会社の金庫のお金を横領しないように、社長が金庫の鍵を管理する」という仕組みも、「100万円以上は社長決済」というルールも、すべて立派な内部統制なのです。
　そう考えると、内部統制とは、法律によって強制されたから整備するようなものではなく、経営者自らが適切な経営のために整備するべき仕組みと言えます。企業経営の本質から必然的に整備されるべきもので、決して今になって必要になったものではないのです。

■見直しを迫られた内部統制
　実際、上場企業であれば内部統制がまったく存在しない企業などありえないでしょう。それにも関わらず、粉飾決算などの不祥事が生じているのも事実。そのため、今回このような法整備がなされるに至ったというわけです。今後、日本版SOX法により企業の内部統制が見直され、多くの企業で業務の再構築が実施されるものと考えられます。次回は、日本版SOX法によって企業にどのような変化が起こるのかについて考えてみたいと思います。