解説記事2007年02月05日 【シリーズ・内部統制の有効な構築に向けて②】 内部統制の基本を再考する(2007年2月5日号・№197)
巻頭特集
シリーズ・内部統制の有効な構築に向けて②
内部統制の基本を再考する
シティバンク、エヌ・エイ コンプライアンス本部ディレクター
立教大学大学院非専任講師 伊藤勝教
Ⅰ はじめに
内部統制システムとは、どんな組織の形態や規模、また事業の種類であっても、組織が事業を遂行するうえで依拠すべき仕組み・プロセスであり、そのシステム構築により事業目的達成の見込みが高まるとされる経営の枠組みである。
米国では、1990年代初めに提唱され(COSOの枠組み)、2002年のサーベンス・オクスリー法(SOX法)により財務報告に関連して上場企業への導入が義務付けられた。日本においても、新会社法のもと、内部統制システムの構築責任が大企業に求められ、またCOSOの枠組みは、金融商品取引法のもと、財務報告に係る内部統制の適正化のための制度の実施基準(企業会計審議会内部統制部会「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」参照。以下「実施基準」という)として、わが国の実情に適合させつつ、上場企業への導入が準備されている(以下、COSOおよび実施基準の内部統制の枠組みを総称して「統制モデル」という)。
金融商品取引法下、経営者は財務報告に係る内部統制について、自ら評価し、その結果を外部に向けて報告することが求められる。しかし、内部統制とは、もともと経営の枠組みであり、法令によって創設されたり、初めて求められたりするものではない。COSOについても、米国公認会計士協会などの主導のもと、経営の現場の意見を反映させながら、経営の枠組みとして望ましい姿を描いたものである。経営者や取締役など企業経営に携わる人たちがいわば自主的課題として取り組むべき体制である。
本稿はこの観点から、内部統制の意義を日常の社会生活のなかで再確認し、基本的な考え方と内容を法令や統制モデルの解説に終始することなく概観するものである。なお、本稿で述べる意見は筆者の個人的見解であるので予めお断りしておく。
Ⅱ 内部統制の姿
1 内部統制と社会の目
内部統制の語に「内部」とあるが、目は企業内部にばかり向けられるのではない。企業は自然や社会と向き合いながら存立する(図1参照)。事業機会は自然・社会のなかにあり、企業の活動は自然や社会に影響を与えている。
近時、企業活動がユーザー・消費者の生命と健康、財産の安全に対する脅威となる事件や、社会が寄せる期待レベルに反する例が相次いで報道される。これは、企業の統制能力低下の現れであり、内部統制の重要性が外部社会から再認識されたということであろう。企業の内部活動のあり様が、企業外部からみればあまりに不明瞭で、企業の提供する製品やサービスに安心できないという不信感である。
すなわち、企業は世間・社会からの信頼や自然を基盤にして成り立つのであり、企業の内部的統制能力は、社会からの信頼・期待に応える要でもある。企業活動の社会や自然との接点という意味で、内部統制の問題は、最近の「CSR」(企業の社会的責任)や企業レベルでの環境問題への取組みの高まり、「CS」(カスタマー・サティスファクション)活動、または積極的な事業機会追求のための「ブランド戦略」とも連続的につながるものである。
2 内部統制と企業存立基盤
内部統制の中核的要素となっているのが「リスク」であり、リスクへの取組みが「リスクマネジメント」である(後述Ⅲ2参照)。リスクは、「事業目的を阻害する要因」と定義され、したがってリスクの内容や大小は「事業目的」と関連する。
事業目的は、企業が毎年あるいは中長期にわたり、事業活動計画を立てその目標にするものである。事業計画の中心は売上など数字的目標で表され、事業年度終了時点で期初目標は終了し、また新たに挑戦目標が掲げられる。
しかし、当該企業の事業はあくまで継続し、事業リストラ時など内外の経営環境の変化時には「本来的事業分野への回帰」「餅屋は餅屋」が謳われ、企業の永続的・本源的事業が模索され、認識される。これが、企業の「存立基盤」や「存在意義」とされるものであり、社会や自然との係り合いのコンテクストのなかで認識され、「ミッション」とも呼ばれる。
事業目的の内容や数字的目標は経営判断に委ねられるが、実はこの存立基盤のうえに立てられるのである。不祥事件報道では「利益至上主義に走り、お客様第一、安全第一ということを忘れ……」などの謝罪を目にするが、当該企業の存立基盤に対する役職員と世間との間の認識ギャップが問題である。
社会の期待と向き合う経営や法令遵守姿勢は、企業の「レピュテーション・リスク」(風評リスク)と表裏一体であり、存立基盤とも直結する。消費者不買運動などが由緒ある名門企業の事業屋台をも揺るがすことにもなりかねないのである。法令遵守が内部統制の目的の1つとされる所以である。
Ⅲ 内部統制システムの内容Ⅲ 内部統制システムの内容
以下では、内部統制システムの基本的な構造とその作動プロセスを、自動車のメカニズムや運転操作と比較しながら考察する(図2参照)。
1 内部統制システムの装置と構造
自動車は、エンジン(駆動装置)、駆動伝達装置、制御装置(ハンドル、ブレーキなど)、計測表示装置(速度計など)からなる構造を持つ。各部品は役割・機能が明解であり、作動開始の時を待つ。運転者が点火キーを回すと、エンジンが始動する。各部品は有機的に機能を発揮し、自動車は発進し、ハンドルやブレーキにより方向と速度が制御され、計測表示装置にはスピードや自動車の調子が示される。
組織における内部統制システムは、自動車に似て、組織を動かし、制御し、また計測しモニターする装置であり、それを実際に動かすプロセスにほかならない。
これらの内部統制システムの装置(構造)と作動のプロセスをみてみよう。
(1)動力・制御装置
自動車では、人が運転マニュアルに定められた手続に従い、エンジンを始動すると部品が作動し、自動車が動く。すなわち、①人、②手続(プロセス)、③機械(システム)が自動車操縦の担い手であり、この3つが連動して発進する。
企業でも同様に、事業活動とその制御は、この3要素が有機的に組み合って実現する。人の要素について述べれば、人の手によりエンジンが点火され、自動車が作動を開始すると同様に、企業では、業務開始の命令により生産・サービス活動が始まる。
社長は事業目的の達成に向け、業務執行の命令権限が与えられ、役職員は命令に従い、各々与えられた職責(権限委譲と役割責任)に従って活動する。企業の運営・経営の基本構造は、役職員に対する執行権限の委譲、社長の命令伝達(命令指揮系統)であり、また、現場からはリスクの変化など諸情報が適時経営者に報告され、経営の舵取りがなされる体制が内部統制の装置の中心である。
一方、運転者に運行の指示を出し、目的地を指定するのは、マイカー運転者自身であったり、配送トラックの雇用者や荷主であったりする。企業においては、誰が社長に対して執行の権限を付与し、監視を行うかという権力の源泉問題であり、株主、取締役や取締役会など企業の統治(ガバナンス)の問題である(図3参照)。自動車には、どの運転者でも同じように自動車を操ることができるよう、操作方法を示した運転マニュアルがある。
企業でも、内部方針書、手続書やマニュアルを定め(暗黙の了解やルールもあるが)、役職員がそれに従い、同一基準で相互に依存しながら業務を運営することが、企業が統合的・有機的に機能するために必要となる。
自動車は操縦方法が比較的単純で、免許取得者であれば誰でも容易に運転できる半面、自動車が不調であれば動かなくなり、統制は機械システムに大きく依存している。
同様に、近時の企業活動は、商品の大量・高速の生産・販売と代金決済、高度に複雑化した商品の開発、大量の情報保存や処理など、コンピューターの利用なくしては考えられず、情報技術(IT)は事業活動、内部統制活動に重大な役割を担っている。一方で、システム・ネットワークを中心とした情報の管理やコンピューター・ウイルス問題などが生じ、情報技術の管理それ自体が統制の対象となる。実施基準では、ITへの対応を内部統制の基本要素として重視している。
(2)計測表示装置と財務報告等
自動車では、速度計、走行距離計、エンジン温度計、ナビゲーターなどが運行状況を示す。
企業においては、事業目的・目標と対比した現在の到達点、内外の経営環境、リスクの変化など現状を把握し、これに応じて経営方針や施策の変更・調整などを行う必要がある。
事業活動の成果を示す決算報告書などの財務諸表や「リスク評価」(後述2参照)の結果が、自動車の計測表示装置に相応する。財務報告は、企業内部にとって重要であるだけでなく、投資家の当該企業に対する投資選択決定の重要情報であり、その開示と透明性、正確性や信頼性が要請される。
内部統制モデルにおいて、財務報告の信頼性を内部統制の目的の1つとして掲げるのは、企業存立の基盤でもあり企業を動かす力の源泉でもある株主・投資家の利益を重視せしめる必要があるからである。
リスク評価の結果をインデックス化し、その変動をフォローすると、「リスク・インディケーター」として、ほぼリアルタイムにリスク状況を把握することが可能である。顧客の苦情についても、事業活動を外部の「ミラー」に映し出すものとして、内部統制に関する重要な経営情報となる。
(3)モニタリング(監視)の装置
1人で自動車を運転する場合と異なり、企業では、内部監査、監査役監査、外部監査など業務活動を客観的に監視する機能は、内部統制の重要な柱である。運転中、後部座席の家族から「スピードの出しすぎ!」と声をかけられた経験は誰でもあるだろう。
当事者外なら、客観的に意見もいいやすい。しかし、せっかくの家族の声も無視されたらおしまいである。会社法では、監査の実効性を高めるため、監査役の監査活動と結果報告における独立性の規定をおく(会社法381条等)。また、企業自身による統制の監視は、仮に統制の間隙を衝いたミスが発生しても、第三者による社会への告発、行政官庁による指摘などが発生する前に、自主的に問題を発見して解決する余地を生み、「自浄」作用の重要なステップとなる。適切な問題解決と再発防止策の実施、場合によっては自主的な外部公表により、「小難」でおさまるかもしれない。金融商品取引法下では、実施基準と相俟って、財務報告に係る内部統制について外部監査制度が実施される。
一方、近時の不祥事件報道とその発覚の背景には、当該企業の内部関係者による通報が多見された。昨年施行された公益通報者保護法は、企業内部に存在する違法・不正などの内部者関係者による外部通報に関して、当該者の保護を図りつつ、まず企業に問題を直視させるプロセスを制度化したものであり、これも自浄作用に繋がる。
2 内部統制の作動プロセス
統制モデルの目的とされる「業務の有効性、効率性」とは、①事業目的が設定され、②その目的遂行に向けて、権限と役割・責任が明確な企業組織が、経営陣による命令の伝達と指揮監督のもとに動員され、役職員、方針・手続、情報技術などのシステムが有機的に機能することである。
また、③遂行状況をチェックするリスク評価を行い、④その結果に対し、経営者によりリスク選好を踏まえたアクション(是正措置)が講ぜられ、⑤リスク評価の結果や、内外の事業変化など、効果的、適時な情報が経営陣に報告されるとともに、⑥事業遂行状況が客観的にモニターされ、経営の監視が適切になされることである。
この一連のプロセスが、内部統制の作動プロセスである(図4参照)。ここでは、このプロセスのうち、日本ではまだ目新しいステップである③リスク評価の概要を説明する。
また、様々なリスク事象を大づかみに分類し、このリスク分類に従ってすべての業務を捉えることは、同一の尺度でグループ会社を含めた全社的・組織横断的なリスク評価ができる有力なツールであるので、これについても触れる。
(1)リスク評価
リスクは、「事業目的を阻害する要因」と定義される。したがって、リスクの内容や大小は「事業目的」と関連する。金銭的損失などネガティブなものばかりでなく、事業機会を逃すこともリスクである。実施基準では、金銭的損失を与えるリスクのみを対象としている。これは、財務報告に対する影響の観点を考慮したものと思われる。
リスク評価は、原則として全組織部門に対し、統一様式の表に基づき実施すべきものである。各部門ごとに、当該部門の主要業務(部門の目的)、各業務における阻害要因(主要リスク)、リスク度の大小を判定し、リスクを分類し(後述(2)参照)、リスクに対する統制の内容を記述する。
統制にもかかわらずリスクが残ると評価すれば、対応策の是正措置とその実施(統制活動)が必要である。リスクの大小は、リスクが業務に与える程度と発生頻度から評価する。
部門すべてから集められたリスク評価結果は、経営者に報告され、経営者は業務現場のリスクの全体像を把握する。経営者は、企業価値を最大に高めるべく、収益機会、経営資源コスト、リスクのバランスのなかで、どのリスクをどの程度とるか、リスク管理の基本方針に照らして経営判断し(リスク選好)、これに従って経営資源を是正措置に投下する(統制活動)。
このプロセスは、リスクマネジメントの一環でもある。ただし、経営判断は、法令遵守や企業存立基盤の枠内でなされるべきものである。
(2)リスクの分類
リスクは、天災や政治的・社会的リスク(法規制、テロなど)、技術上のリスク(技術革新など)、また、信用リスク、市場リスク(金利・通貨・価格変動)、流動性リスク(急激な市場の収縮)など外部に起因するリスクや、業務プロセスリスク(操作ミスなど)、ITリスク(セキュリティ、システム開発など)などの内部に起因するリスクに分類される。
これらのリスクは損害額算定が可能であろうが、レピュテーション・リスク(風評リスク)や法令遵守に関するコンプライアンス・リスクは、企業の存立基盤に係るリスクであるために損失額が膨大であったり、特定できない場合がある。事業機会との関連では、商品設計やマーケティング戦略に対するリスクが挙げられよう。これらのリスクは機会の損失であり、利益計上の機会が失われる。商品設計費などの実際の経費よりも、経営情報として、収益期待値に与える影響を把握することが重要となる。
リスクを分類する意味は、リスク評価において、組織部門の業務内容の差異にかかわらず、共通の評価観点とリスク度の判定基準に基づき、グループ企業を含む全部門のリスク像を横断的・総合的に捉えることが可能となることである。経営者は、リスク分類の切り口により、業務間やグループ会社間の関連性を把握することができ、高い視座から全社的対応(たとえば、親会社の増資検討や子会社への資源再配分など)のための基礎情報としてリスク評価の結果を活用できる。
なお、企業内のリスクの分布が一目でわかるように、リスクの種類と大小を、青・黄・赤の色彩とその濃淡で示した表(リスクマップ)が経営情報としてよく使われる。また、リスク分類は、各部門の作業過程で、リスク項目に漏れがないかといったチェックの機会を提供する。
内部統制の評価対象は、子会社などにも及んでおり、特に共通の評価観点とリスク度の判定基準の適用が必須である。
Ⅳ おわりに
いかにハイテク装置を備えた自動車であっても、安全運転は結局、運転者次第である。
企業の内部統制システムも、組織図や方針手続書や社内メールをそろえ、リスク評価を精緻に実施しても、それだけで達成できるものではなく、経営者から従業員1人ひとりに至るまで、同じ方向に、同じ歩調で前進しなければ作動しない。
統制モデルにおいて、組織の価値観や気風、経営者の意向や姿勢が内部統制の基本的要素の1つ「統制環境」として採り上げられているのは、内部統制において、「心」を持った人としての組織構成員が重要な役割を果たすからである。
人は、それぞれが独自の個人的価値観を有し、価値の実現を志向する(自己実現)。それがやる気、モチベーションの重要な要素であろう。一方、人は自分が帰属する集団との係り合いのなかで自己を位置付け、他集団や自然からの脅威に対して、小異を捨て結束するとされる。
そうであれば、企業組織のなかで成員が結束し、共有する価値観とは、当該企業自体が、帰属する社会のなかで期待され位置付けられるもの、すなわち、企業の存在意義や価値から生まれるものであろう。
また、その価値は、個々の従業員が上司からの指示も届かない非常事態発生時、まず思い起こし、実行を期待されているものであり、その事態に直面したとき、その価値が試される。これはまた、日常の業務活動のなかで繰り返し言われ続け、志向されるべき価値であり、行動基準である。
世界的自動車メーカーであるトヨタ自動車の工場内には、標語に「4S」が掲げられているという。4つのSとは、「整理、整頓、清潔、清掃」である。極めて簡潔でわかりやすく、それでいて工場内の環境整備だけでなく、心の整備・清掃をも訴えかけてくるようである。
(いとう・かつのり)
伊藤勝教(いとう・かつのり)
1974年東京大学法学部卒業、富士銀行入行。英国Oxford大学への派遣留学、ニューヨーク現地法人、プロジェクト金融部、業務監査部ロンドン駐在、2002年シティトラスト信託銀行シニアコンプライアンスオフィサーを経て、2006年より現職。2004年より立教大学大学院非専任講師。主な著作に『インターナル・コントロール――内部統制システム構築の手引き――』(2001年、商事法務研究会)、「インターナル・コントロール」NBL719号3頁。
シリーズ・内部統制の有効な構築に向けて②
内部統制の基本を再考する
シティバンク、エヌ・エイ コンプライアンス本部ディレクター
立教大学大学院非専任講師 伊藤勝教
Ⅰ はじめに
内部統制システムとは、どんな組織の形態や規模、また事業の種類であっても、組織が事業を遂行するうえで依拠すべき仕組み・プロセスであり、そのシステム構築により事業目的達成の見込みが高まるとされる経営の枠組みである。
米国では、1990年代初めに提唱され(COSOの枠組み)、2002年のサーベンス・オクスリー法(SOX法)により財務報告に関連して上場企業への導入が義務付けられた。日本においても、新会社法のもと、内部統制システムの構築責任が大企業に求められ、またCOSOの枠組みは、金融商品取引法のもと、財務報告に係る内部統制の適正化のための制度の実施基準(企業会計審議会内部統制部会「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」参照。以下「実施基準」という)として、わが国の実情に適合させつつ、上場企業への導入が準備されている(以下、COSOおよび実施基準の内部統制の枠組みを総称して「統制モデル」という)。
金融商品取引法下、経営者は財務報告に係る内部統制について、自ら評価し、その結果を外部に向けて報告することが求められる。しかし、内部統制とは、もともと経営の枠組みであり、法令によって創設されたり、初めて求められたりするものではない。COSOについても、米国公認会計士協会などの主導のもと、経営の現場の意見を反映させながら、経営の枠組みとして望ましい姿を描いたものである。経営者や取締役など企業経営に携わる人たちがいわば自主的課題として取り組むべき体制である。
本稿はこの観点から、内部統制の意義を日常の社会生活のなかで再確認し、基本的な考え方と内容を法令や統制モデルの解説に終始することなく概観するものである。なお、本稿で述べる意見は筆者の個人的見解であるので予めお断りしておく。
Ⅱ 内部統制の姿
1 内部統制と社会の目
内部統制の語に「内部」とあるが、目は企業内部にばかり向けられるのではない。企業は自然や社会と向き合いながら存立する(図1参照)。事業機会は自然・社会のなかにあり、企業の活動は自然や社会に影響を与えている。
近時、企業活動がユーザー・消費者の生命と健康、財産の安全に対する脅威となる事件や、社会が寄せる期待レベルに反する例が相次いで報道される。これは、企業の統制能力低下の現れであり、内部統制の重要性が外部社会から再認識されたということであろう。企業の内部活動のあり様が、企業外部からみればあまりに不明瞭で、企業の提供する製品やサービスに安心できないという不信感である。
すなわち、企業は世間・社会からの信頼や自然を基盤にして成り立つのであり、企業の内部的統制能力は、社会からの信頼・期待に応える要でもある。企業活動の社会や自然との接点という意味で、内部統制の問題は、最近の「CSR」(企業の社会的責任)や企業レベルでの環境問題への取組みの高まり、「CS」(カスタマー・サティスファクション)活動、または積極的な事業機会追求のための「ブランド戦略」とも連続的につながるものである。
2 内部統制と企業存立基盤
内部統制の中核的要素となっているのが「リスク」であり、リスクへの取組みが「リスクマネジメント」である(後述Ⅲ2参照)。リスクは、「事業目的を阻害する要因」と定義され、したがってリスクの内容や大小は「事業目的」と関連する。
事業目的は、企業が毎年あるいは中長期にわたり、事業活動計画を立てその目標にするものである。事業計画の中心は売上など数字的目標で表され、事業年度終了時点で期初目標は終了し、また新たに挑戦目標が掲げられる。
しかし、当該企業の事業はあくまで継続し、事業リストラ時など内外の経営環境の変化時には「本来的事業分野への回帰」「餅屋は餅屋」が謳われ、企業の永続的・本源的事業が模索され、認識される。これが、企業の「存立基盤」や「存在意義」とされるものであり、社会や自然との係り合いのコンテクストのなかで認識され、「ミッション」とも呼ばれる。
事業目的の内容や数字的目標は経営判断に委ねられるが、実はこの存立基盤のうえに立てられるのである。不祥事件報道では「利益至上主義に走り、お客様第一、安全第一ということを忘れ……」などの謝罪を目にするが、当該企業の存立基盤に対する役職員と世間との間の認識ギャップが問題である。
社会の期待と向き合う経営や法令遵守姿勢は、企業の「レピュテーション・リスク」(風評リスク)と表裏一体であり、存立基盤とも直結する。消費者不買運動などが由緒ある名門企業の事業屋台をも揺るがすことにもなりかねないのである。法令遵守が内部統制の目的の1つとされる所以である。
Ⅲ 内部統制システムの内容Ⅲ 内部統制システムの内容
以下では、内部統制システムの基本的な構造とその作動プロセスを、自動車のメカニズムや運転操作と比較しながら考察する(図2参照)。
1 内部統制システムの装置と構造
自動車は、エンジン(駆動装置)、駆動伝達装置、制御装置(ハンドル、ブレーキなど)、計測表示装置(速度計など)からなる構造を持つ。各部品は役割・機能が明解であり、作動開始の時を待つ。運転者が点火キーを回すと、エンジンが始動する。各部品は有機的に機能を発揮し、自動車は発進し、ハンドルやブレーキにより方向と速度が制御され、計測表示装置にはスピードや自動車の調子が示される。
組織における内部統制システムは、自動車に似て、組織を動かし、制御し、また計測しモニターする装置であり、それを実際に動かすプロセスにほかならない。
これらの内部統制システムの装置(構造)と作動のプロセスをみてみよう。
(1)動力・制御装置
自動車では、人が運転マニュアルに定められた手続に従い、エンジンを始動すると部品が作動し、自動車が動く。すなわち、①人、②手続(プロセス)、③機械(システム)が自動車操縦の担い手であり、この3つが連動して発進する。
企業でも同様に、事業活動とその制御は、この3要素が有機的に組み合って実現する。人の要素について述べれば、人の手によりエンジンが点火され、自動車が作動を開始すると同様に、企業では、業務開始の命令により生産・サービス活動が始まる。
社長は事業目的の達成に向け、業務執行の命令権限が与えられ、役職員は命令に従い、各々与えられた職責(権限委譲と役割責任)に従って活動する。企業の運営・経営の基本構造は、役職員に対する執行権限の委譲、社長の命令伝達(命令指揮系統)であり、また、現場からはリスクの変化など諸情報が適時経営者に報告され、経営の舵取りがなされる体制が内部統制の装置の中心である。
一方、運転者に運行の指示を出し、目的地を指定するのは、マイカー運転者自身であったり、配送トラックの雇用者や荷主であったりする。企業においては、誰が社長に対して執行の権限を付与し、監視を行うかという権力の源泉問題であり、株主、取締役や取締役会など企業の統治(ガバナンス)の問題である(図3参照)。自動車には、どの運転者でも同じように自動車を操ることができるよう、操作方法を示した運転マニュアルがある。
企業でも、内部方針書、手続書やマニュアルを定め(暗黙の了解やルールもあるが)、役職員がそれに従い、同一基準で相互に依存しながら業務を運営することが、企業が統合的・有機的に機能するために必要となる。
自動車は操縦方法が比較的単純で、免許取得者であれば誰でも容易に運転できる半面、自動車が不調であれば動かなくなり、統制は機械システムに大きく依存している。
同様に、近時の企業活動は、商品の大量・高速の生産・販売と代金決済、高度に複雑化した商品の開発、大量の情報保存や処理など、コンピューターの利用なくしては考えられず、情報技術(IT)は事業活動、内部統制活動に重大な役割を担っている。一方で、システム・ネットワークを中心とした情報の管理やコンピューター・ウイルス問題などが生じ、情報技術の管理それ自体が統制の対象となる。実施基準では、ITへの対応を内部統制の基本要素として重視している。
(2)計測表示装置と財務報告等
自動車では、速度計、走行距離計、エンジン温度計、ナビゲーターなどが運行状況を示す。
企業においては、事業目的・目標と対比した現在の到達点、内外の経営環境、リスクの変化など現状を把握し、これに応じて経営方針や施策の変更・調整などを行う必要がある。
事業活動の成果を示す決算報告書などの財務諸表や「リスク評価」(後述2参照)の結果が、自動車の計測表示装置に相応する。財務報告は、企業内部にとって重要であるだけでなく、投資家の当該企業に対する投資選択決定の重要情報であり、その開示と透明性、正確性や信頼性が要請される。
内部統制モデルにおいて、財務報告の信頼性を内部統制の目的の1つとして掲げるのは、企業存立の基盤でもあり企業を動かす力の源泉でもある株主・投資家の利益を重視せしめる必要があるからである。
リスク評価の結果をインデックス化し、その変動をフォローすると、「リスク・インディケーター」として、ほぼリアルタイムにリスク状況を把握することが可能である。顧客の苦情についても、事業活動を外部の「ミラー」に映し出すものとして、内部統制に関する重要な経営情報となる。
(3)モニタリング(監視)の装置
1人で自動車を運転する場合と異なり、企業では、内部監査、監査役監査、外部監査など業務活動を客観的に監視する機能は、内部統制の重要な柱である。運転中、後部座席の家族から「スピードの出しすぎ!」と声をかけられた経験は誰でもあるだろう。
当事者外なら、客観的に意見もいいやすい。しかし、せっかくの家族の声も無視されたらおしまいである。会社法では、監査の実効性を高めるため、監査役の監査活動と結果報告における独立性の規定をおく(会社法381条等)。また、企業自身による統制の監視は、仮に統制の間隙を衝いたミスが発生しても、第三者による社会への告発、行政官庁による指摘などが発生する前に、自主的に問題を発見して解決する余地を生み、「自浄」作用の重要なステップとなる。適切な問題解決と再発防止策の実施、場合によっては自主的な外部公表により、「小難」でおさまるかもしれない。金融商品取引法下では、実施基準と相俟って、財務報告に係る内部統制について外部監査制度が実施される。
一方、近時の不祥事件報道とその発覚の背景には、当該企業の内部関係者による通報が多見された。昨年施行された公益通報者保護法は、企業内部に存在する違法・不正などの内部者関係者による外部通報に関して、当該者の保護を図りつつ、まず企業に問題を直視させるプロセスを制度化したものであり、これも自浄作用に繋がる。
2 内部統制の作動プロセス
統制モデルの目的とされる「業務の有効性、効率性」とは、①事業目的が設定され、②その目的遂行に向けて、権限と役割・責任が明確な企業組織が、経営陣による命令の伝達と指揮監督のもとに動員され、役職員、方針・手続、情報技術などのシステムが有機的に機能することである。
また、③遂行状況をチェックするリスク評価を行い、④その結果に対し、経営者によりリスク選好を踏まえたアクション(是正措置)が講ぜられ、⑤リスク評価の結果や、内外の事業変化など、効果的、適時な情報が経営陣に報告されるとともに、⑥事業遂行状況が客観的にモニターされ、経営の監視が適切になされることである。
この一連のプロセスが、内部統制の作動プロセスである(図4参照)。ここでは、このプロセスのうち、日本ではまだ目新しいステップである③リスク評価の概要を説明する。
また、様々なリスク事象を大づかみに分類し、このリスク分類に従ってすべての業務を捉えることは、同一の尺度でグループ会社を含めた全社的・組織横断的なリスク評価ができる有力なツールであるので、これについても触れる。
(1)リスク評価
リスクは、「事業目的を阻害する要因」と定義される。したがって、リスクの内容や大小は「事業目的」と関連する。金銭的損失などネガティブなものばかりでなく、事業機会を逃すこともリスクである。実施基準では、金銭的損失を与えるリスクのみを対象としている。これは、財務報告に対する影響の観点を考慮したものと思われる。
リスク評価は、原則として全組織部門に対し、統一様式の表に基づき実施すべきものである。各部門ごとに、当該部門の主要業務(部門の目的)、各業務における阻害要因(主要リスク)、リスク度の大小を判定し、リスクを分類し(後述(2)参照)、リスクに対する統制の内容を記述する。
統制にもかかわらずリスクが残ると評価すれば、対応策の是正措置とその実施(統制活動)が必要である。リスクの大小は、リスクが業務に与える程度と発生頻度から評価する。
部門すべてから集められたリスク評価結果は、経営者に報告され、経営者は業務現場のリスクの全体像を把握する。経営者は、企業価値を最大に高めるべく、収益機会、経営資源コスト、リスクのバランスのなかで、どのリスクをどの程度とるか、リスク管理の基本方針に照らして経営判断し(リスク選好)、これに従って経営資源を是正措置に投下する(統制活動)。
このプロセスは、リスクマネジメントの一環でもある。ただし、経営判断は、法令遵守や企業存立基盤の枠内でなされるべきものである。
(2)リスクの分類
リスクは、天災や政治的・社会的リスク(法規制、テロなど)、技術上のリスク(技術革新など)、また、信用リスク、市場リスク(金利・通貨・価格変動)、流動性リスク(急激な市場の収縮)など外部に起因するリスクや、業務プロセスリスク(操作ミスなど)、ITリスク(セキュリティ、システム開発など)などの内部に起因するリスクに分類される。
これらのリスクは損害額算定が可能であろうが、レピュテーション・リスク(風評リスク)や法令遵守に関するコンプライアンス・リスクは、企業の存立基盤に係るリスクであるために損失額が膨大であったり、特定できない場合がある。事業機会との関連では、商品設計やマーケティング戦略に対するリスクが挙げられよう。これらのリスクは機会の損失であり、利益計上の機会が失われる。商品設計費などの実際の経費よりも、経営情報として、収益期待値に与える影響を把握することが重要となる。
リスクを分類する意味は、リスク評価において、組織部門の業務内容の差異にかかわらず、共通の評価観点とリスク度の判定基準に基づき、グループ企業を含む全部門のリスク像を横断的・総合的に捉えることが可能となることである。経営者は、リスク分類の切り口により、業務間やグループ会社間の関連性を把握することができ、高い視座から全社的対応(たとえば、親会社の増資検討や子会社への資源再配分など)のための基礎情報としてリスク評価の結果を活用できる。
なお、企業内のリスクの分布が一目でわかるように、リスクの種類と大小を、青・黄・赤の色彩とその濃淡で示した表(リスクマップ)が経営情報としてよく使われる。また、リスク分類は、各部門の作業過程で、リスク項目に漏れがないかといったチェックの機会を提供する。
内部統制の評価対象は、子会社などにも及んでおり、特に共通の評価観点とリスク度の判定基準の適用が必須である。
Ⅳ おわりに
いかにハイテク装置を備えた自動車であっても、安全運転は結局、運転者次第である。
企業の内部統制システムも、組織図や方針手続書や社内メールをそろえ、リスク評価を精緻に実施しても、それだけで達成できるものではなく、経営者から従業員1人ひとりに至るまで、同じ方向に、同じ歩調で前進しなければ作動しない。
統制モデルにおいて、組織の価値観や気風、経営者の意向や姿勢が内部統制の基本的要素の1つ「統制環境」として採り上げられているのは、内部統制において、「心」を持った人としての組織構成員が重要な役割を果たすからである。
人は、それぞれが独自の個人的価値観を有し、価値の実現を志向する(自己実現)。それがやる気、モチベーションの重要な要素であろう。一方、人は自分が帰属する集団との係り合いのなかで自己を位置付け、他集団や自然からの脅威に対して、小異を捨て結束するとされる。
そうであれば、企業組織のなかで成員が結束し、共有する価値観とは、当該企業自体が、帰属する社会のなかで期待され位置付けられるもの、すなわち、企業の存在意義や価値から生まれるものであろう。
また、その価値は、個々の従業員が上司からの指示も届かない非常事態発生時、まず思い起こし、実行を期待されているものであり、その事態に直面したとき、その価値が試される。これはまた、日常の業務活動のなかで繰り返し言われ続け、志向されるべき価値であり、行動基準である。
世界的自動車メーカーであるトヨタ自動車の工場内には、標語に「4S」が掲げられているという。4つのSとは、「整理、整頓、清潔、清掃」である。極めて簡潔でわかりやすく、それでいて工場内の環境整備だけでなく、心の整備・清掃をも訴えかけてくるようである。
(いとう・かつのり)
伊藤勝教(いとう・かつのり)
1974年東京大学法学部卒業、富士銀行入行。英国Oxford大学への派遣留学、ニューヨーク現地法人、プロジェクト金融部、業務監査部ロンドン駐在、2002年シティトラスト信託銀行シニアコンプライアンスオフィサーを経て、2006年より現職。2004年より立教大学大学院非専任講師。主な著作に『インターナル・コントロール――内部統制システム構築の手引き――』(2001年、商事法務研究会)、「インターナル・コントロール」NBL719号3頁。
当ページの閲覧には、週刊T&Amasterの年間購読、
及び新日本法規WEB会員のご登録が必要です。
週刊T&Amaster 年間購読
新日本法規WEB会員
試読申し込みをいただくと、「【電子版】T&Amaster最新号1冊」と当データベースが2週間無料でお試しいただけます。
人気記事
人気商品
-
-
団体向け研修会開催を
ご検討の方へ弁護士会、税理士会、法人会ほか団体の研修会をご検討の際は、是非、新日本法規にご相談ください。講師をはじめ、事業に合わせて最適な研修会を企画・提案いたします。
研修会開催支援サービス -
Copyright (C) 2019
SHINNIPPON-HOKI PUBLISHING CO.,LTD.