＜ 内部統制と金融商品取引法（日本版SOX法）の取組について ＞

1. はじめに

世界市場を大きく揺るがした企業不祥事（エンロン事件、ワールドコム事件）の発生後、米国では、失われた信頼の回復と不祥事の再発防止のため、2002年7月に「企業改革法（サーベンス・オクスリー法：SOX法）」が成立しました。
日本国内においても、相次ぐ企業不祥事の発生を背景にして内部統制に関する法制度化の動きが加速し、今年5月に「新会社法」が施行、6月に「金融商品取引法」が成立しました。この法律は、米国SOX法にならい、国内の同様の法制度を検討し、内部統制の整備と内部統制報告書の提出を規定したことから日本版SOX法と呼ばれています（「日本版SOX法」という名称の法律はありません）。金融商品取引法は、米国SOX法404条関連の内部統制制度に相当する法規制を整備し、“財務報告の信頼性” を確保するための仕組みの整備を求めています。

2. 国内の動向

国内の内部統制に関する主な動向を見てみると、次のようになります。

3. 内部統制とは

内部統制とは、a.業務の有効性及び効率性、b.財務報告の信頼性、c.事業活動に関する法令等の遵守、d.資産の保全の目的が達成されていることの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいいます。
（⇒業務を遂行する中で発生するコンプライアンス違反、不正操作や誤謬といったリスクを低減するための組織的な仕組みのことです。）

内部統制を構成する基本的要素として、a.統制環境、b.リスクの評価と対応、c.統制活動、d.情報と伝達、e.モニタリング、f.ITへの対応があります。
またITについては、統制活動に対する役割によって、“IT業務処理統制” と “IT全般統制” に2つに分けて考えます。

4. 金融商品取引法（日本版SOX法）の内部統制のスキーム

金融商品取引法では、上場企業とその連結子会社に対して次の事項を求めています。

◎経営者が自社の内部統制を整備、その有効性を評価し、その結果（内部統制報告書）を公表する。
◎外部監査人が経営者の報告書を監査し、その結果（内部統制監査報告書）を公表する。

従って、これらの結果を公表するために内部統制を整備して、それを評価する必要があります。
対応の過程で最も時間を要する作業が文書化です。文書化では、「業務フロー図」、「業務記述書」、「リスクコントロールマトリクス（RCM）」を作成し、各業務プロセスに存在するリスクとそのリスクに対する統制活動を明確にします。この3種類の文書の関連性は強く、“3点セット” とも呼ばれます。
内部統制の整備の流れを次に示します。

5. 内部統制の整備における考慮点

内部統制の整備において、企業の経営トップが考慮すべき点を次に示します。

(1)　対応を前向きに捉え、費用をコストではなく、業務改革のための投資と考えることができるか。
内部統制の整備が、経営効率を高める業務改革の好機であると、前向きに捉えることができるか。
金融商品取引法では、最終的に内部統制報告書で “財務報告の信頼性” を示すことになりますが、内部統制の第一の目的は、“業務の有効性及び効率性” です。
整備に大きな体力、時間、コストがかかりますが、業務を見直し、文書化することで、手続や操作のミス、無理、無駄を排除することができます。業務の標準化や効率化が図れ、コンプライアンスに基づいた活動もできるため、企業価値の向上につなげることが可能です。仕方なく最低限のことだけを実施するという消極的な考え方ではなく、投資として位置付けることでその取組が大きく変わってきます。

(2)　プロジェクトの推進に経営トップが参画し、しっかりとした体制を整備できるか。
内部統制の整備を推進するには、体制の整備が大変重要です。経営トップがプロジェクトの先頭に立ち、内部統制の整備が企業価値の向上につながることを全ての部署、全ての社員に説明、納得させて、重要性を認識させなければなりません。
内部統制の基盤を成す組織文化・風土（統制環境）を作り出す上で、経営トップの姿勢、倫理観、それに基づく行動は、極めて大きな要素となります。
実効性ある内部統制環境を整備するためには経営トップが率先して継続的にプロジェクトに参画することが重要になるのです。

(3)　外部の専門家やITツールを上手に活用して対応することができるか。
内部統制の整備では、ITが極めて重要な役割を果たしますが、あくまでも道具の一つであり、ITツールを導入すれば解決するという訳ではないことを認識しなければなりません。
今までにあまり経験のない文書化作業には、ITツールを使用し、外部の専門家のアドバイスを有効に活用して対応することが効果的です。しかし専門家は、文書化の進め方には詳しくても、業務そのものに精通しているわけではありません。ITツールも個々の企業の業務特性に過不足なく作られてはいません。
外部の専門家やITツールを適材適所で使うことは、とても合理的で効果的ですが、あくまでも対応の主体は、各企業にあります。

(4)　法律の適用対象外企業でも対応が必要になる可能性がある。
金融商品取引法の内部統制報告書作成の対象企業は、上場会社とその連結子会社。新会社法の内部統制整備義務の対象は、資本金5億円以上もしくは負債2百億円以上の大会社です。しかしそれ以外の企業であっても、取引先の上場会社から協力を求められることは十分に考えられます。
取引記録が証拠として残るように個々の書面を提出する、業務委託内容に対する点検や内部監査の結果を提示する等、業務の可視化への協力が求められる可能性があります。

6. おわりに

2008年4月以降の新事業年度からの対応スタートに向け、先行して準備に取り組んでいる企業がある中、注目を集めた実施基準案が11月に公表されました。
内部統制の整備には、かなりの体力、時間、費用を投じる企業が多いと予想されますが、この対応が企業にとって真に意味のある、企業価値向上に大きく寄与するものにするために、経営トップが適切な判断と強力なリーダーシップを発揮し、各企業の身の丈に合った対応をすることが求められています。

□平井　哲生（ひらい　てつお）
中小企業診断士、ＩＴコーディネータ、システム監査技術者、情報セキュリティアドミニストレータ　他
大手金融グループの情報サービス会社に勤務。
情報セキュリティ監査、ISMS認証取得支援等、情報セキュリティを中心としたコンサルティング業務に従事。