2006年5月1日より新会社法が施行されました。これに対応して上場会社では「内部統制システム」対応を続々と表明しています。「内部統制システム構築の基本方針発表」「取締役会の意志決定の証拠となる記録保管規定の策定」「リスク管理規定の策定」など様々な対応が試みられています。ただし、ほとんどは「方針や手続き」といった枠組みの設定の段階で具体的な中身まで詰まっていないところが大半のようです。
しかし、「新会社法」に続いて、2008年3月に新会社法、証券取引法の改正に伴う「財務報告に係わる内部統制の評価及び監査の基準」(日本版企業改革法/SOX法)が施行される見込みです。
2009年の3月期決算以降の企業報告はこれに従って行うことが求められます。
この基準は上場会社とその連結決算対象会社に適用されます。今上場企業は自らも対応準備するとともに、関係会社にも対応体制を整えるように働きかけています。
ところが、「基準」は具体性がないため、いざ具体的にどうやるのかとなると手探りの状態におかれているのが現状です。
そのため、会計監査法人やコンピューターソフト会社が中心となってセミナーを開き、多数の参加者を集めています。
ところが、セミナーの内容は、企業改革法の概念の説明(これはこれで大切ですが)で終わったり、方法論といってもごく一部要素しかカバーしていないので参加者も対応に苦慮している方が多いのも事実です。具体論にはいると会計監査法人は「財務報告」に偏ったり、IT会社は「文書管理システム」「統合会計システム」「アクセス権管理」といった内部統制の一部に係わる情報処理システムの紹介に終わったりで全体像が見えないのです。
それはそうでしょう。
日本版企業改革法の骨格となるはずの「財務報告に係わる内部統制の評価及び監査の基準案」は「財務報告」の名が冠されてはいても、求めるものは「内部統制」そのものを対象にしています。
基準案は「財務報告に係わる内部統制」(財務報告の信頼性を確保するための内部統制)を中心としていますが、基準案そのものは「内部統制の評価の範囲の決定には金額的及び質的影響の重要性の観点から検討し決定する」と言明しています。その中には「主要な業務プロセス」が入っています。
経営者は「財務報告全体に重要な影響を及ぼす全社的内部統制の評価」を行った上で「業務プロセスに組み込まれ一体となって遂行される業務プロセスに関わる内部統制」を評価しなければならないとされていますが、業務プロセスにおける内部統制を財務報告に係わるものと、有効性に関わるものと切り分けられるでしょうか。
品質問題、法的問題などの事故を起こせば財務諸表、財務報告に大きな狂いを発生させます。
監査法人はこれまで極端に言えば伝票や帳面を鉛筆なめなめチェックする「紙の上の監査」をやってきました。しかし実際には「不正会計処理」の前に、「伝票操作」の前に行われる運用、やること=プロセスに統制を欠けなければ財務報告の信頼性も何もあったものではありません。監査法人にはプロセスの正当性の監査の経験はないのです。
もっぱら「財務報告」の監査を業務としてきた「会計監査人」は、「財務報告」や「資産の保全」は分かっても肝心の「業務活動」の実体は知りません。
いきおい、「監査人」「監査法人」の提唱する「内部監査体制」は「財務報告の信頼性」を中心としたものになっています。
監査法人の言う通り、金融庁「基準」を最小限満たすことを優先させる対応を取ったとして、結局、業務上の統制不備と見なされる問題が起こったとき、評価範囲の決定が間違っていたと、経営者は責任を問われることになるでしょう。
本来の「内部統制」の目的の最初には「業務の有効性と効率性」か挙げられ、次に「財務報告の信頼性」、「(事業活動に関わる)法令の遵守」そして「資産の保全」と続いています。
企業活動の最終成果は利益や売上高という財務諸表にまとめられますが、最終成果は企業の現場の活動の結果にすぎません。
成果を保証するためには業務を統制しなければなりません。「業務が有効である」ことが達成されて初めて予算達成が図られるのではないでしょうか。
内部統制は「数字合わせ」ではありません。
結果としての「財務報告」や「法令順守」を求めるだけでなく、報告そのものの信頼性確保への取り組み、法令順守への取り組みなど結果に至るプロセスをしっかりと築く責任があります。
また、IT企業は「コンピュータによる情報システム」、例えば「ERP=基幹業務(統合会計)情報システム」の必要性や「COBIT for SOX=企業改革法対応情報システム成熟度評価」といったコンピュータ対応を提唱しています。別のIT企業は「文書管理システム」をSOX法対応システムとして売り込んでいます。
情報システムは業務活動に伴って発生するデータの処理で、経営活動のひとつのツールであってこれで経営活動に伴う内部統制をカバーすることはできません。人に対する統制の仕組みの限界をITでカバーできるものではありません。
また、「内部規定」のような文書の山を築けとは「金融庁の基準」は一言も言っていませんし、会計報告に伴う「内部統制報告書」などの開示用の書式を整えたり、「内部発生データ」の一元管理を効率的に進めるだけ良いとも言っていません。
形だけとにかく対応するに終わると、内部統制の先進国である米国で報告されるようにコスト(億単位の金がかかり、その割に費用が効果をはるかに上回る)ばかりかかってしまい、内部統制によるメリットより業務活動を阻害する弊害の方が表に出てしまうという危険が高まります。
「内部統制」は有効に使えば、企業リスクを低減することもできます。業務の「ムリ、ムダ、ムラ」を発見することもできます。
そのためには、SOX法のために屋上屋を重ねるのではなく、多くの企業がすでに導入しているISO認証などのマネジメントシステムを生かし、意味のあるものにすることが最短であり、有効です。(実際のISO認証済み企業でもISO規格対応に終始して形だけの企業もあり、経営に生かすようにと見直しの気運が高まっています。)
「ISOマネジメントシステム」を構築して活用している企業は「財務報告統制システム」を別に作るのではなく既存のシステムと統合した「統合マネジメントシステム」を目指すべきでしょう。
ISOマネジメントシステムは共通して、「業務」を洗い、会社の「基本方針」に照らしてその業務の「リスク、影響」を評価し、改善のための「目標/実施計画」若しくは「日常管理策/手順」を設定し、その運用状況を「内部監査」し、全体を経営者が評価するという仕組みです。
更にこれを実効あるものにするために社内外のコミュニケーションを明確にすると共に、従業員を教育、動機付けする仕組みを含んでいます。
これは「統制環境」を整え、「リスクを評価」し、「情報の伝達」を円滑にした上で活動を実施する。そして「監視活動」を行うという米国の企業改革法(日本の投資サービス法のお手本)の基準となった「トレッドウェィ委員会報告=COSO」の考え方と合致しています。
最近のコメント