“守り”の内部統制から“攻め”の内部統制へ：SOX法コンサルタントの憂い（7）（1/2 ページ）

「内部統制」といっても、金融商品取引法や会社法などによって、それぞれ定義が違う。これらの中で最低ラインを実施する“守りの内部統制”と、会社が会社のために行う“攻めの内部制”がある。今回はこれらの違いについて説明する。

経営者が決める内部統制の範囲

　ひと言で「内部統制」といっても、金融商品取引法が定める「財務報告に係る内部統制」や、会社法が定めるさまざまな内容の内部統制、そして広く世界標準となっているCOSOの「内部統制の統合的枠組み」で示されている「内部統制の目的」というように、その範囲は多岐にわたる。

　金融商品取引法が定める「財務報告に係る内部統制」（いわゆる日本版SOX法）では、米国SOX法（サーベンス・オクスリー法）が“厳格過ぎる”と批判され、施行後に何度もその監査基準を改訂した経験から、わが国ではいわゆる「実施基準」が企業会計審議会により設定された。これにより、内部統制の評価の範囲を、決算以外の業務プロセスでは売り上げ、売掛金、棚卸資産関係のプロセスと、特定のリスク取り引きなどに縮小するなど制度面でのサポートもあり、その対象とする範囲は極めて限定的である。

　これに対し、会社法およびその政令により定められた内部統制では、法令および定款の順守、情報の保存・管理、損失の危険の管理、そして業務の効率性などを含む広い範囲を対象としている。

　日本版SOX法では、単に内部統制が設定されているだけでは要件に足りず、内部統制を経営者が評価し、内部統制報告書を行政に提出・公表しなければならない。加えて、この内部統制報告書を監査法人が監査し、その意見をもらう必要がある。

　他方の会社法では、内部統制システムの方針を取締役会の専管事項としていること以外は、何も定められていない。間口は広いが奥行きは浅いのである。

　従って、会社法の範疇（はんちゅう）でいえば、会社の内部統制の範囲をどう決めるかは取締役会の仕事であるし、日本版SOX法の範疇でいえば、その内部統制の評価の範囲の決定は、経営者（代表取締役あるいは代表執行役）ということになろう。

内部統制の実態は？

　しかしながら、実態はどうであろうか？ 会社法上の内部統制システムは、一部の大企業を除いて、取締役会の決議があればいい方で、ほとんどの会社は何もしていないのではないだろうか？

　大手金融機関の破たんに代表される失われた10年。これにより、金融不安を引き起こすなど日本経済は大打撃を受けた。この間、多数の企業倒産や従業員の解雇（リストラ）、金融機関の統廃合などが相次いだ。その間に起きた有価証券不実記載事件や粉飾決算事件を背景に、金融庁は危機感を抱き、少なくとも「財務報告に関しては不正や虚偽記載を防止できるような内部統制の構築・評価制度が必要」として、日本版SOX法を立法化したのだろう。

　この間、事業会社も猛烈な合理化と事業統廃合そして海外戦略を実行し、一部の大手企業では「委員会設置会社」に移行するなど、ガバナンスにも配慮してきている。一方、中小の上場企業では、日本版SOX法にも“全く対応の準備すらしていない”というケースも多く、ガバナンスやコンプライアンス上の格差は広がる一方である。

　従って、金融庁から見れば、日本版SOX法は「少なくとも、上場会社はこのくらいはやってください」という最低ラインを示したものである。すなわち、「守りの内部統制」なのである。

　企業会計審議会の委員などが講演するセミナーなどで出る質問は、「これはやらなければならないか？」という最低ラインの境界を尋ねるものが多いのは、そういう状況をよく表している。金融庁が10月に発表したQ＆Aもそれに答えるものである。

「攻めの内部統制」とは？

　これに対し、「攻めの内部統制」とは何だろうか？

　それは、簡単にいえば「会社が会社のために行う内部統制」のことである。日本版SOX法の要件を超えて、会社がその目的を達成するために必要だと考えることを、内部統制として業務プロセスに組み込むことである。

　ここであらためて考えたいことは、「いま準備している内部統制は、いったい誰のためのものか？」ということである。

　もちろん、会社が株主などのステークホルダーへの財務報告や、開示情報の信頼性を確保するものであることはいうまでもないが、それだけではない。経営者が重要と考えるさまざまなリスクに対応する体制が整っている必要もあるし、社員が安心して働ける環境を整備する意味合いもある。

　そのために必要な、“最小限の内部統制の整備”からスタートするべきであろう。1〜2年ですべてができないとしたら、長期計画でやるという選択も考えられる。すなわち、「会社による会社のための内部統制作り」という観点が不可欠なのである。

　従って、プロジェクトの最初の段階で、会社が整備すべき内部統制の全容とその整備計画を明らかにすることが重要である。

　これなくしては、経営者はこれからやろうとしていることを明確に社員に発表することが困難となり、社員から見ると「単に日本版SOX法に対応するだけの意味合いしか感じられない」ということにもなりかねない。これだと負担感だけが増して、改革としての意味合いがない。どれだけ「前向きか」により、攻めの内部統制にもなるし、守りの内部統制にもなるのである。