―内部統制の目的―
実際に内部統制を強化しようとする場合、米国で1992年に発表されたCOSOと呼ばれるフレームワークが多くの企業の指針となります。COSOでは内部統制は以下の3つの目的を達成するための社内のプロセスとされています。
@業務経営にかかわる法律を社会倫理を含めしっかりと守るため(コンプライアンス)
A財務報告書の信頼性を担保するため(財務報告書の信頼性)
B事業経営をスムーズに、かつ効率的に働かせるため(業務の有効性、効率性)
以上の3点に加えて、日本では「資産の保全」も付け加わりました。
この定義はやや難解ですが、要するに内部統制は「社内業務を適切に行うための仕組み」と理解するとよいでしょう。
―内部統制の5大基本要素―
また、COSOでは以下の5つを内部統制を行ううえでの基本要素と定めています。
@統制環境
経営者の基本的な経営姿勢や倫理観、理念、方針を指します。社風や慣行なども含まれます。経営者は、会社において大きな影響力を持ち、それが内部統制にも影響を及ぼすために、経営トップの倫理観や誠実性が重要になります。この5つの基本要素の中でも一番の基本となります。
Aリスク評価
企業が事業運営上どのようなリスクに直面するかを評価し、リスクに対して必要なコントロールを定めます。内部統制とは企業に存在するリスクを据え、それに対してマネージすることといっても過言ではありません。リスクは、発生頻度と損失額の大きさの組み合わせによって相対評価します。上の例でも述べましたがリスク評価無くして統制はありません。
B統制活動
経営者の命令や指示が適切に実行されることを確保するために定める方針、および手続きなどです。現場レベルにおける具体的な管理手続きなどがあげられます。
C情報と伝達
内部統制を有効に機能させる為に、情報はスムーズにそして適切に伝えられなければなりません。内部統制が適切に行われるための潤滑油の点検が必要になります。利害関係者に対して説明責任を果たしているか、情報はタイムリーであるか、情報伝達はスムーズであるか、などを確認する必要があります。
Dモニタリング
内部統制には、内部統制が常に作動しているかどうかをモニターする仕組みが必要です。内部監査が実施されているか、外部からの情報(カスタマーからのクレームなど)をモニタリングに活用しているか、などを確認する必要があります。以上に加え、日本では「ITへの対応」も基本要素のひとつとして加わりました。「ITへの対応」については「内部統制とIT環境」で詳しく説明します。
―COSO使用上の注意点―
COSOを使用するに当たって一つ注意するべき点は、COSOを利用することは良いスタートポイントとはなるけれども、業種
や業態の違いや危機意識の違いなどからそのまま適用するのは難しいということです。このため、初期設計の段階でCOSOを参照にするのは良いですが、その後は企業が持つ独自の経験や外部の専門家に頼らなければならない場合もあります。このCOSOの限界を認識しつつ、内部統制の状況をフレームワークを参考に合理的に保証できるレベルまで押し上げることが必要です。
―SOX法と内部統制―
主にリスクマネージメントの観点から内部統制は重要なプロセスであると説明しましたが、近年多発する企業による不祥事(粉飾決算、有価証券報告書の虚偽記載、架空売上計上事件など)により制定されたサーベンズ
オクスリー法(SOX法)によって内部統制は再び注目を集めています。
SOX法404条により経営者は自ら財務報告にかかわる内部統制についてその評価を表明し、その内容について外部監査を受けることが求められているのです。
これによって内部統制の強化は避けられない状況となってきました。404条をクリアーするためには内部統制に関する理解を組織内で深め、内部統制プログラムを整備する費用を見込まなければならず、多くの労力とコストが必要となりますが、その一方で内部統制により経営の透明度を高めそれが企業価値を増大することにもなるといえます。したがって、内部統制強化について真剣に取り組む姿勢が今後重要になってくるものと思われます。
