内部統制報告制度の初年度は及第点?
公認会計士 情報システム監査人
丸山 満彦氏
セッションの冒頭、デロイト トーマツ リスクサービスの丸山満彦氏は、同社が2009年3月を決算期とする2670社の内部統制報告書と内部統制監査報告書の情報を収集し、分析した結果を紹介した。内部統制報告書の評価結果で「有効でない」とされたのは2.1%で56社あったが、米国の初年度16%と比較すれば、まずまずの成績だと言える。しかもその大半が、米国では適応免除された中小規模の会社だった。
指摘された重要な欠陥の内訳では、決算・財務報告プロセス関連がトップであり、人的問題が続いている。この傾向は、米国と同様だ。一方、ITの欠陥の指摘は1社だけだった。
今だからこそ確認したい内部統制の目的
丸山氏は、内部統制報告制度に対応する作業を実施し、初年度監査を終えて一段落した今こそ、内部統制と報告制度について再確認する絶好のタイミングだと語る。初年度は目前の膨大な作業に追われたために手段が目的化し、本当の目的を見失っている可能性が高いからだ。
丸山氏は、内部統制は「内部」と「統制」の二つに分けて考えると理解しやすいと提案する。内部とは組織内部による自主的なものであり、統制はコントロール、つまり目標達成を支援するためのプロセスということになる。内部の反対は外部であり、たとえば法令など、行政機関による強制的なものを指す。
企業における目標には、企業価値に係わる法令遵守だけでなく、業務の有効性を高めることも当然含まれる。そのため内部統制の強化は、経営改善につながるものでなくてはならない。丸山氏は「本来の目的、目標の把握があいまいでは、無駄な統制作業をすることになる」と強調する。内部統制報告制度に従うことは必要だが、それで会社の経営が非効率になり、株主に迷惑がかかるのは本末転倒だ。
内部統制はマネジメントプロセスの一部を構成するものであり、単体で独立したものではない。その中でCOSOが決めた5つの構成要素、統制環境、リスク評価、統制活動、情報と伝達、モニタリングの中で、丸山氏は統制環境がもっとも重要だと指摘する。企業による不正に一番影響する要素だからだ。
