2008年に法制化が予定されている日本版SOX法が話題となっている。現在、「財務報告に係る内部統制の評価及び監査の基準」と題した草案が公開されている段階だ。同法の対策セミナーがあちこちで開催され、ほとんどの会場が満席になるほど企業人の関心も高まっている。こうしたセミナーなどでの一番の関心が高いのが「内部統制」だ。今回は内部統制対策ついて考えてみよう。
内部統制のデファクトスタンダードとしては、1992年に米国トレッドウェイ委員会組織委員会が公表した「Internal Control - Integrated Framework」、通称COSOレポートがある。COSOレポートでは、内部統制を次のように定義している。
内部統制は「効果的で効率的な業務活動」「財務会計報告書の信頼性」「コンプライアンス」といった異なる目的の達成について「合理的な保証」の提供を狙ったものであり、企業に属する全員が実施しなければならないプロセスである。
つまり、目的達成について正確性と正当性を保証することを求めている。その保証を提供(開示)するために、企業の事業活動に係わるすべての人が取り組まなければならないプロセスが内部統制なのだ。では、日本版SOX法の草案にはどう書かれているのか見てみよう。内部統制の目的が別掲されて分かりにくいため、合成して示す。
内部統制とは、基本的に、一定の目的(「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に係わる法令等の遵守」「資産の保全」の4つ)の達成のために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいう。
草案の内部統制の定義が、COSOレポートの定義とよく似ていることがまず分かる。ただ、COSOレポートでは、その目的として「合理的な保証」を謳っているが、日本版SOX法の草案では目的が曖昧で、かえって分かりづらくなっている。そこであえて説明を書き加えると、日本版SOX法は経営者に対して内部統制の有効性に関する評価と、その結果の文書化を要請している。ただ、報告した結果について経営者が最終的な責任を負うのであれば、合理的な保証を提供するためのプロセスであると明示した方がよいのではないだろうか。
さて、日本版SOX法が要請する内部統制の定義について、もう少し見てみよう。先に述べたように内部統制の目的は4つある。言葉を足して説明すると、1つが、業務の有効性及び効率性を高めること。2つめが、財務諸表(財務諸表に影響を及ぼす可能性のある情報を含む)の信頼性を確保すること。3つめが、事業活動に関する法令やその他の規範を遵守すること。4つめが、資産の取得、使用、処分等が、正当な手続きと承認のもとで行なわれるよう資産を保全すること。これらが内部統制の目的となる。
また、草案には、内部統制は次の6つの基本要素から成ると記述されている。その基本要素は、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITの利用」だ。
ピンとこないので、これらも順に補足説明しよう。「統制環境」とは、組織に属するすべての人の統制に関する意識合わせができている環境のこと。この環境が他の基本要素の基礎となる。「リスクの評価と対応」とは、事業目標の達成に影響するあらゆるリスクを洗い出し、それらを分析・評価して、リスクに対応するプロセスのこと。「統制活動」とは、経営者の命令や指示が適切に実行されるようにする方針や手続きのこと。「情報と伝達」とは、内部統制に必要な情報が必要な人に適切に伝わること。「モニタリング」とは、内部統制が有効に機能しているかを継続的に監視し、評価するプロセスのこと。「ITの利用」とは、上記の基本要素が有効かつ効果的に機能するよう、業務に組み込まれたITを活用することだ。内部統制は、これらの6つの基本要素が揃う必要がある。
内部統制の目的と基本要素は分かった。では次に、具体的に何をやったらいいのかを考えていこう。
 |
|---|
| COSOの内部統制の枠組みを参考に、日本版SOXの内部統制の枠組みを示した。目的の「資産の保全」と基本要素の「ITの利用」が、COSOの枠組みに追加されている。それ以外は基本的に変わらない。「ITの利用」の層を縦にして、他の5つの基本要素を統合する形で考えることもできる。(画像クリックで拡大) |
内部統制について、どのように取り組むべきかを考えていく前に、読者の会社では現状、内部統制が有効に機能しているだろうか。
まず、内部統制の仕組みやリスクを抑える仕組みが実装されているだろうか。仕組みが実装されているなら、それは適切に運用されているだろうか。実装と運用の2つの観点から現状をチェックしてみる必要があるだろう。内部統制の評価は、基本要素ごとに評価することもできるし、事業部門を単位とした全社的スキームの視点で評価することも、業務を単位としたプロセスレベルで評価することも必要だろう。ただ、多くの企業は現在の状態を評価し、内部統制の設計からの出発になるはずだ。
そもそも日本版SOX法の狙いはディスクロージャーの一大改革にあり、財務報告の完全性と正確性の確保にある。経営者は、財務報告で開示される数字や情報が、正確かつ適正なものであることを、自らの責任で評価したことを宣誓した上で開示する。つまり、財務報告書に上がってきた数字に、不正や不確実性が入り込んでいないことを証明できなければならない。そのための仕組みづくりに、どう取り組むべきなのだろうか。
内部統制について、「IT環境の整備に関する全般統制の領域、業務処理統制の領域、さらに文書作成・共有およびリスク管理の領域で、それぞれの対策が必要です」と指摘するのは、マイクロソフトのインフォメーションワーカービジネス事業部 製品マーケティンググループ マネージャである細井智氏だ。
1つがユーザーIDの不正使用や過不足ある権限設定、プログラムの修正漏れなどが発生しないようにするIT環境における全般統制の領域。2つめが、各業務において手順が守られ、正しい責任者による承認が行なわれる状態にあり、また意思決定の際の準拠事項が文書化されて、必要なときにいつでも利用できる状態にする業務処理統制の領域。そして3つめが、業務プロセスを可視化し、業務内容とそこに内在するリスクをすべての人が理解できるよう文書化して、リスクの状態をモニタリングすることで財務上の問題が発生しないようリスク管理する領域だ。(図2)
 |
|---|
| 内部統制には、大きく分けてIT基盤における全般統制、実際業務における業務処理統制、文書作成・共有ならびにリスク管理の3つの領域がある。(画像クリックで拡大) |
「多くの人が、まず対応すべきだと考える日本版SOX法に関する課題は、文書作成・共有およびリスク管理の領域に集まるでしょう。もちろん、3つの領域でしっかり対策しないと内部統制にはならないのですが、プロセスの可視化やリスクマネジメントといったところに、最初に手をつけることになるでしょう(細井氏)」
内部統制に関する企業の取り組みについて細井氏は、いきなり全般統制から入る企業は少ないと見る。たしかに社内のプロセスはどうなっているか、現状の分析から始めるのが現実的だ。内部統制において、最も工数(コスト)がかかると考えられるのが、プロセスの可視化と業務フローの作成といった内部統制関連の文書化だ。
そこで、まずプロセスを可視化して、業務フローを作成するのにVisioを用い、作成した文書(監査報告書)のバージョン管理や再利用はSharePoint Portal Serverを利用し、内部統制プロジェクトの継続的な管理をProject ServerやProjectで行なう。さらにBusiness Scorecard Managerを使えば、内部統制の達成度合いを把握できると、細井氏はアドバイスする。
「これらのOffice製品を使ったソリューションは、私どもが5年ほど前から言い続けてきてきたことであり、たまたま内部統制対応にも合致しています。コンプライアンスや内部統制といった取り組みには、マイクロソフトの製品群を連携させることで対応することができるのです」
次に、プロセスの可視化と業務フローの作成を、どやって効率化するかを考えてみよう。
 |
|---|
 |
||||
 |
 |
 |
 |
 |
 |
||||
次ページ
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】