3分でわかる内部統制入門(後編)

企業がコーポレートガバナンス重視の経営を実現する上で、欠かすことのできないプロセスである「内部統制」。前回のインタビューでは、内部統制とは何か、なぜ内部統制という考え方が重要視されるようなったのかという点について話を伺いました。 今回は、後編として、日本版SOX法の概要領域や、日本版SOX法対応で想定される内部統制整備の手順などについてお話ししていきます。 →前編はこちら

長谷川守邦
日立システム
内部統制ビジネス推進センタ
長谷川守邦

財務報告にかかる内部統制が対象に

―早速ですが、日本版SOX法のポイントについて教えてください。
その前に、内部統制という考え方について再度、おさらいしておきたいと思います。

<背景>
●企業価値の向上一辺倒の考え方だけでなく、企業のあり方を問う「コーポレートガバナンス(企業統治)」という考え方が重視されるようになってきた。
●きっかけは、2001年に起こった、米国のエンロン社の不正な経理操作の事件。
●儲かりさえすれば、ルールを破っても仕方がないという考え方は、資本市場への不信、ひいては株主や消費者にとっての不利益につながる。

<どういうもの>
●企業などの「内部」において、業務が正しく遂行され、組織が健全かつ有効・効率的に運営されるよう「統制」すること。
●ポイントは次の4点。
 ・コーポレートガバナンス(企業統治)の実現手段
 ・企業価値を向上する手段
 ・企業の不祥事を防止する手段
 ・経営者の責任において、全従業員が実施するプロセス
●つまり、内部統制とは、何か特別なことではなく、企業が従来から行ってきた経営プロセスそのもの。

―日本版SOX法とは、経営者にこうした「内部統制の整備」を求める法律ですね?
そうですね。日本版SOX法では、以下の2点の義務化が検討されているというのがポイントです。

●経営者は、財務報告に係る内部統制の有効性を評価し、「内部統制報告書」を提出すること
●監査人は、経営者による「内部統制報告書」に対する意見を「内部統制監査報告書」として作成し、財務諸表監査における監査報告書とあわせて記載すること

そして、これもすでに述べましたが、これらは2009年3月期において監査実施・報告を予定しています。

―では、日本版SOX法における内部統制の考え方について教えてください。
日本版SOX法は、財務報告にかかる内部統制が対象になると考えられています。そして、先にも述べましたが、「経営者による自己評価」と「監査人による内部統制監査」の2点が義務化されるわけですね。

■日本版SOX法の概要領域
060529_1.jpg
財務諸表は、経営活動の結果です(画像をクリックすると拡大します)

ご覧の通り、3つの階層に分かれている、色がかかっている部分が内部統制の領域です。「結果としての財務数値」だけ見ていたのでは、財務報告は信頼できない。つまり、企業活動全体を統制することにより、結果としての財務数値を保証するという考え方に立脚しています。

―では、図でいうところの「全社的内部統制」とはどういうものでしょう。
全体方針と運用方式です。経営層のレイヤーともいうべきでしょうか。例えば、次のような観点での統制が考えられます。
 ・会計方針及び財務方針
 ・組織の構築及び運用に関する経営判断
 ・経営レベルにおける意思決定のプロセス

―なるほど。では次の「業務処理統制」というのは?
経営層の下のレイヤーは、企業活動における「業務プロセス」に関する内部統制です。
 ・財務報告の信頼性に重要な影響を及ぼす業務プロセスのリスクに対して、適切な統制を設定する
 ・また、そうした統制が適切に機能しているか評価する
 ・個々のアプリケーション・システムにおいて、承認された取引がすべて正確に処理され、記録されることを確保する

ということがポイントです。

―最後の「IT全般統制」は?
業務プロセスにおける個々のアプリケーション・システムを支える、IT基盤に対する統制ですね。
 ・プログラム開発・変更管理
 ・システム運用基準
 ・セキュリティ基準

といったことですね。

特にITに関しては、日本版SOX法では、「ITへの対応」が新たに構成要素として追加されました。米国SOX法に比べて「適切な企業活動を行うために ITが果たすべき役割」がよりクローズアップされています。

■日本版SOX法の理論的フレームワーク(日本版COSOフレームワーク)
060529_3.jpg
「ITへの対応」ということが明記されています(画像をクリックすると拡大します)

IT全体を見渡せるパートナー選びが大事

―一般的に、こうした日本版SOXに対応した内部統制を整備するにはどうしたらよいのでしょう。
一般的には、診断・計画〜実施〜評価というPDCA(Plan Do Check Action)サイクルを構築することです。下の図を見てください。

■内部統制整備の一般的手順
060529_2.jpg
内部統制の整備は、PDCAサイクルの構築がカギです(画像をクリックすると拡大します)

最終的には上図のようなPDCAサイクルを構築して、毎年毎年継続して改善していく仕組みを作っていきます。SOX法を契機として、まず内部統制を整備しようとするならば、まずは、文書化、運用評価、報告のプロセスをすることになります。「課題の改善」については、運用評価で発見された内部統制の不備を改善していくプロセスですので、どの程度まで「課題の改善」を行うのかは、その企業の内部統制の成熟度や、企業の事情によって異なります。

―実際にはIT製品を導入しながら、こうしたサイクルを整備するわけですが。
そうですね。ただ、内部統制は単に製品を導入して解決するものではないと思うんですね。IT全体を見渡して、内部統制の視点で最適なシステムを導入できるようなパートナーを選ぶことが大事になってくると思います。

―最後に、日立システムの内部統制に対する考え方を聞かせてください。
はい。日立システムの考える内部統制は以下の4点です。

●社会・株主への責任
●企業価値向上のための投資
●PDCAの経営基盤
●ITの利用

「社会・株主への責任」とは、公開企業として株主から経営を任されている企業においては、内部統制を整備することによって、企業の透明性を確保し、法令を遵守していくことが、当然の責務であるということです。

また、内部統制の整備は、それだけにはとどまらず、「企業価値向上のための投資」であると考えることができます。実は、内部統制を整備すると、業務のリスクを抑制したり、業務プロセスの無駄な部分を発見して、改善するための基盤が整備されるという大きなメリットがあるのです。ですから、単に日本版SOX法に対応するという後ろ向きのコストを、将来への「投資」と捉える姿勢が大切だと思います。

内部統制は、経理や監査の人間だけが行うものではなくて、「経営陣から社員まで、企業風土や運営プロセスをPDCAサイクルで改善していく改善プロセス、企業経営そのものである」と考えていることを指します。

最後の「ITの利用」の意味は、「ITを利用することで、強固で効率的な内部統制基盤の構築が可能」ということで、これはシステムインテグレータとして当然対応していく部分です。

―4月1日付で「内部統制ビジネス推進センタ」を設立しましたね。
専任、兼任合わせて30名体制の専門組織になります。日立システムは、システムインテグレータとしての豊富な実績を活用し、日本版SOX法への対応をサポートします。

それだけではなく、私たちはむしろ、SOX法をきっかけとして実施する内部統制の整備を通じて、業務の有効性・効率性を向上してお客様の企業価値を向上していただくことが、真の顧客価値向上であると考えています。

関連キーワード:

CSR

コーポレートガバナンス

企業の社会的責任

内部統制

日本版SOX法

  • セキュリティかるたトラックバックでの応募
  • カテゴリートップへ
  • 【く】来るなら来い ファイアウォールで きっちり遮断