制度開始から半年、日本型内部統制の実質を理解する

更新日: 2008/10/17
公開日: 2008/10/07

通知

金融商品取引法の下での内部統制報告制度が適用になり、約半年が経過した。そのための指針として、一連の内部統制関連基準が金融庁より公表されているが、実際の現場ではこうした基準の精神とはかけ離れた対応もなされているようだ。そこで金融庁は「内部統制報告制度に関するＱ＆Ａ」および「内部統制報告制度に関する11の誤解」を公表した。青山学院大学大学院会計プロフェッション研究科教授の八田進二氏による講演は、日本と先行する米国の現状を確認した上で、日本型内部統制についての正しい制度対応について考察する内容となった。

通知

Page 1

内部統制報告制度への誤解

青山学院大学大学院会計プロフェッション研究科教授八田進二氏

　日本における内部統制制度作りに深くコミットした青山大学大学院教授の八田進二氏による講演は、「内部統制報告制度について、さまざまな誤解が蔓延している」現状を踏まえ、基本の確認からスタートした。

　内部統制の制度というのは、日本では初めての経験だ。誤解が蔓延するのは無理がない面もある。たとえば、未だ内部統制とは記録に残すこと、文書化することだと考えられている部分がある。確かに経営者には立証責任、説明責任がある。さらにそこに外部監査が入るため、エビデンスとして残さなくてはならない。ただそれは、会計帳簿を残すのと、全く同じだ。何も従来と全く違った文書を、ここから作り直さなくてはならないという、ゼロからの旅立ちを求めているのではない。あるものを使い、足りないものを対応すればいいのだ。

　金融商品取引法で評価対象として求めているのは、あくまでも財務報告に係わる内部統制部分に関しての評価を、報告書として提出することだ。重点を置くのは、財務報告の信頼性を担保するための仕組み、プロセスになる。

　評価項目の定義は、1992年にCOSOが公表した報告書をベースに行われている。ただ、16年前と現在では、IT環境が天と地ほど違う。そこで日本では内部統制の要素の中に、ITへの対応を入れた。ただそれは「ITを使え」ということではない。ITを適切に理解し、自分の組織環境に見合った形で対応しなければならない。

リスクアプローチで効率的に重要な欠陥を見極める

　金融庁は昨年10月1日、制度を正しく理解してもらうためのQ&Aを公表した。ところが、それでも誤解が収まらないため、本年3月11日、「内部統制報告制度に対する11の誤解」という文書を公開した。その内容について八田教授は「至極当然のことがただ書いてある。目新しいと思った人は今まで正しい理解をしていなかっただけ」と指摘した。さらに6月24日には、それでも周知が不足している現状を受けて47のQ&Aが追加されている。

　加えられた説明には二つのポイントがある。一つは米国でも問題になっている中小レベルの企業における対応だ。組織が簡素で事業の形態も非常にシンプル、あるいは財産や人的資源などのリソースが脆弱な企業はどうすべきか。実は、小さいなりのやり方があることが、すでに実施基準等に明示されている。

　二つ目のポイントは、内部統制の判定における重要な欠陥に関する説明だ。ここで再度確認しておきたいのは、求められているのは財務計算に関する書類、その他の適正性を確保するための体制整備だということだ。虚偽記載につながる重要なリスクを見逃してはならない。残ってしまった場合には、重要な欠陥となりうる可能性がある。

　混乱した米国の事例から、日本でも議論されているのが、「重要な欠陥をどこまで開示すべきか」という問題だ。ただそれは、「開示に意味があるのではなく、是正して無くしていくこと」を基本に考えれば、適切な結論に至るはずだ。
経営者はコントロールすべきリスクを、金額、質、誤る危険性の高さなどから絞り込むみ、重点的に評価する。このリスクアプローチという考え方を十分に理解した上で適用し、重要な欠陥を、限られた資源、時間、コストで効率的に見極めることが必要だ。

制度運用に際しての課題

　八田教授は今後課題になることとして以下の四つを挙げた。一つは内部統制の有効活用、あるいは有効性を評価したことを、より経営に役立たせることだ。たとえば、ERMの有効な活用を模索する必要がある。二つ目は経営者側と監査人側、それぞれの判断に存在する温度差だ。よく話し合い、すりあわせる必要がある。

　そして三つ目はITの統合だ。日本の企業では要所や部門ごとに縦割りのIT化が進んでいる。今後は横断的に、事業業態にかなったITの活用方法を各社各様考えるべきだ。中小レベルの企業の場合はパッケージソフトの導入で十分であり、個々の業務プロセスのチェックよりも、ITにかかる全般統制における評価の方で事足りる。

　そして最後がモニタリングの効率的実施方法だ。内部統制には整備と運用という二つの視点がある。整備は決めた約束事であり、あるべき姿の通り動いているかが運用だ。運用部分を考えると、内部統制は毎年変わる。内部統制の運用審査は我々の健康診断とよく似ている。去年健康だったから今年は大丈夫という保証はない。継続的なモニタリングが必要であり、亀のように歩き続けなくてはいけない。

　どんなに内部統制に対応しても、経営者不正も従業員不正も100％防ぐことはできない。基準や制度整備というのはあくまで約束事であり、これに魂を吹き込んでいくのは人だ。せっかくコストをかけて対応するのであれば、ベネフィットが得られる対応をすべきだ。まさにこれが経営管理者としての役割であり、経営管理の手法の一環として、内部統制対応をすることが求められている。

　そして最後に監査人に対して八田教授は「これまで腰が引けていた部分があったのは確かだが、プロとして毅然たる態度を持って専門判断をしてほしい」と語りかけ、セッションを終了した。

この記事は参考になりましたか？

印刷用を表示

IT Compliance Reviewスペシャル連載記事一覧: コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（後編）

PCI DSS最前線～全米が注目するセキュリティガイドラインを俯瞰する（後編）

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（前編）

もっと読む

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事