PR

文・石井 恭子(日立総合計画研究所社会システム・イノベーショングループ 主任研究員)

 ここ数年、民間企業において粉飾決算の不祥事が相次いだことを契機として、コンプライアンス/内部統制に対する関心が高まってきました。コンプライアンスとは、法令順守のことを意味します。コンプライアンスを実現する手段の一つとして、内部統制が位置付けられます。内部統制とは、組織の内部で一人一人が違法行為や不正を図らずに業務を正しく遂行するように業務を適正化し、組織を統制していくための仕組みのことです。具体的には、業務ごとに基準やルールを定め、それに基づいて評価、活動、モニタリングを行うプロセスを指します。

 米国では、2002年に企業会計の改革と投資家の保護を目的としたいわゆるSOX(サーベンス・オクスリー)法(法律の解説はこちら)が成立しましたが、日本でも他国と足並みをそろえるべく法制度整備が進んでいます(注)。金融庁の企業会計審議会内部統制部会は、2006年11月に日本版SOX法(金融商品取引法の一部)の実施基準となる「財務報告に係る内部統制の評価および監査に関する実施基準(公開草案)」を公開しました。

(注)日本版SOX法は、2008年4月以降に始まる事業年度から適用開始。従って企業が対応に迫られるのは、最短で2009年3月期決算から。また米国のSOX法は、企業側からの「負担が重すぎる」という批判を受けて、監査基準を緩めるほか中小企業への適用を一部除外するなど、改正を実施する予定。2007年末に財務報告書を提出する企業から適用される見込み。

 このように、現在議論されているコンプライアンス/内部統制は、民間企業が中心となっています。しかし、行政部門でもさまざまな不祥事が生じていることから、民間企業向けのものであってもその考え方や内容は、行政部門にも応用が可能と言えます。最近では、独自に内部統制の取り組みを始めている地方自治体も登場しています。

 例えば、大阪市は、コンプライアンス体制強化のために2006年4月に「職員等の公正な職務の執行の確保に関する条例」を施行しました。条例の中に「公正な職務の執行の確保のための内部統制に関する規程」を設けて、それに基づいて市長を「最高内部統制責任者」、助役を「副最高内部統制責任者」、局長や区長などを「内部統制責任者」と位置付け、コンプライアンスを推進する上でのそれぞれの使命と責任を明らかにしました。

 また、市長からの局長などに対するコンプライアンス推進上の指示や、局長や区長相互間での情報共有を目的とした「内部統制連絡会議」を設置し、さらに職員の意識改革を促すための研修の実施やパンフレット作成にも取り組んでいます。今後は、政府や他の地方自治体でも、内部統制を取り入れる動きが活発化することが期待できます。

 内部統制の具体的な内容については、前出の「財務報告に係る内部統制の評価および監査に関する実施基準(公開草案)」が参考になります。特に、実施基準の中の「内部統制の基本的枠組み(案)」は、組織が内部統制に取り組む際の枠組みとして、4つの目的と6つの基本的要素を示しています。

 内部統制に取り組む4つの目的は、(1)業務の有効性及び効率性、(2)財務報告の信頼性、(3)事業活動に関わる法令等の遵守、(4)資産の保全です。6つの基本的要素は、(1)統制環境、(2)リスクの評価と対応、(3)統制活動、(4)情報と伝達、(5)モニタリング(監視活動)、(6)IT(情報技術)への対応です。これらの要素は、内部統制の目的を達成するために必要であり、内部統制の有効性の判断基準となります(表)

 公開された草案は、あくまでも一般論を述べており、個々の組織の取り組み方ついては、各組織が置かれた環境や特性などによって異なってきます。例えば、人命に関わる事業を実施している場合には、「(2)リスクの評価と対応」を詳細に実施する必要があります。また、内部統制に対する取り組みの成果を出すためには、組織内のトップを始めとしてすべての者が問題意識を共有している必要があるでしょう。

■表 内部統制の基本的枠組み
目的 業務の有効性及び効率性 事業活動の目的の達成のため、業務の有効性や効率性を高める
財務報告の信頼性 財務諸表や、財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保する
事業活動に関わる法令等の遵守 事業活動に関わる法令その他の規範の遵守を促進(コンプライアンス)
資産の保全 資産の取得、使用、処分が正当な手続や承認の下に行われるよう、資産の保全を図る
基本的要素 統制環境 組織の気風を決定し、統制に対する組織内のすべての者の意識に影響を与えるとともに、他の基本的要素の基礎をなす
リスクの評価と対応 (リスク評価)組織目標の達成に影響を与える事象のうち、組織目標の達成を阻害する要因をリスクとして識別、分析、評価するプロセス
(リスクへの対応)リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセス。リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転、受容などの適切な対応を選択
統制活動
  • 経営者の命令や指示が適切に実行されることを確保するために定められる方針や手続き
  • 統制活動には、権限や職責の付与、職務の分掌などの広範な方針や手続きが含まれる
  • 方針や手続きは、業務のプロセスに組み込まれるべきものであり、組織内のすべての者において遂行されることにより機能
情報と伝達
  • 必要な情報が識別、把握、処理され、組織内外や関係者相互に正しく伝えられることを確保すること
  • 組織内のすべての者が個々の職務の遂行に必要とする情報は、適時かつ適切に、識別、把握、処理、伝達されなければならない
  • 必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内のすべての者に共有されることが重要
モニタリング
(監視活動)
  • 内部統制が有効に機能していることを継続的に評価するプロセス
  • モニタリングにより、内部統制は常に監視、評価、是正されることになる
  • モニタリングには、業務に組み込まれて行われる日常的モニタリングと業務から独立した視点から実施される独立的評価がある
  • 両者は個別にまたは組み合わせて行われる場合がある
IT(情報技術)への対応
  • 組織目標を達成するために事前に適切な方針や手続きを定め、業務の実施の際に組織の内外のITに対し適切に対応
  • IT環境への対応とITの利用と統制からなる
  • ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合などには、内部統制の目的を達成するために不可欠の要素として内部統制の有効性に関する判断の基準となる
出典:企業会計審議会内部統制部会「内部統制の基本的枠組み(案)」

 基本的要素の中で特徴的なのが「ITへの対応」です。日本の内部統制の枠組みは、原則として米国のトレッドウェイ委員会支援組織委員会の内部統制の基本的枠組みに関する報告書に基づいていますが、米国の報告書にはない「ITへの対応」を追加しています。IT環境が飛躍的に進展したことに伴って企業組織にもITが浸透した現状に対応したものです。ITには、情報処理の有効性や効率性を高める効果があることから、これを内部統制に利用することにより、取り組みがより有効となることも意識しています。