ビジネス法務の部屋

先週の日経新聞特集記事「点検・内部統制元年」を、たいへん遅くなりましたが（上）（下）ともきちんと読ませていただきました。費用負担が重くのしかかっている・・・といったイメージをどこの企業もお持ちではないかと思います。そんななかで、中堅上場企業である大阪のニイタカ社の内部統制責任者であるＳ氏（ときどき拙ブログにもコメントをされる方ですが）によりますと、ニイタカ社の内部統制にかけた関連費用はＳ氏の人件費のみ、ということだそうであります。このＳ氏とは、もうかれこれ２年ほど研究会でご一緒しておりますので、この「関連費用は私の人件費だけ」というのがウソ偽りのない真実であることは私自身がよく知るところであります。ただ、このＳ氏の内部統制システム構築にかける情熱はちょっと他の人ではまねのできないものであります。新聞にもあるように、現場担当者や現場監督者が業務プロセスの整備・運用、そして自己点検による評価方法に至るまで、十分に理解するまで徹底的にレクチャーを行い、不備が生じればすぐに内部統制プロセスをくりかえし改定し、逐次外部監査人を呼んで改良点の説明を行い、外部監査人のほうが「もう堪忍して」と音を上げるまで徹底的に協議を繰り返す・・・ということであります。しかし（前にも書きましたが）、私がこのＳ氏をみていて、おそらくニイタカ社では内部統制は有効と評価されるものとは思いますが、全社あげて内部統制の整備はＳ氏にまかせっきりになっているものと推察され、もしＳ氏が（たとえば）ヘッドハンティングによって別の会社で内部統制構築を手掛ける、という事態になってしまうと目もあてられないことになってしまうのではないか、といった一抹の不安を抱かずにはおられません。いわゆる「内部統制リスク」というやつですよね。誰かの個人プレイにまかせっきりになってしまいますと、その個人がいなくなってしまうと、社内で誰も内部統制の改良ができなくなってしまうということは大きなリスクです。そう考えますと、この「内部統制リスク」を低減させるためには、内部統制プロジェクトチームのような組織的対応の必要性や、後継のためにできるだけ文書化しておく、といった費用負担を要する対応もある程度は必要なのではないか・・・と思ったりもしております。内部統制はいよいよ２年目を迎えるわけですが、その性質上永続的に制度を見直すことが求められるわけですから、企業としての制度対応も、それなりに人材育成やシステム改良のノウハウを個人プレイに頼ることなく、企業として検討していかなければならないと思います。

そして内部統制２年目といえば、旬刊経理情報の4月1日号では「２年目の内部統制」が特集されておりまして、たいへん興味深く拝見させていただきました。この特集のなかで、解説者の方が、トップダウンのリスク・アプローチが、１年目において業務プロセスの評価範囲や方法の決定のためにはよく議論されたようだが、これまで統制上の要点の選定のためにはほとんど議論されてこなかったのではないか？といった疑問を呈しておられ、これは私もまったく同感であります。これは日本取締役協会や日本監査役協会での報告でも「問題提起として」述べさせていただきましたが、本当にリスク・アプローチが統制上の要点の選定のために活用されるのであれば、そこには経営者の関与は不可欠なはずですが、これまで議論されてこなかったのは、まさに十分に経営者の関与が問題にされてこなかったからだと思います。わずか１年半の間に、リスク・アプローチ監査についてはナナボシ判決が、そして経営者のリスク・アプローチについては日本システム技術判決が、それぞれ財務報告における重大な虚偽表示リスクに関わる裁判事例として出ております。ナナボシ事件判決では、監査人による監査の手法が経営者による不正リスクと対応していなかった点が指摘されており、また日本システム技術判決においては、従業員による不正リスクと経営者の構築した内部統制システムが対応していなかったことが指摘されているわけであります。これは裁判所の考える「重大な虚偽表示リスク」とは何か？それは何を評価した結果なのか？リスク低減措置はどこまで要求されるのか？といったあたりを検討するには好材料であります。実施基準を前提とする「統制上の要点」と、裁判所が問題とする「リスクと統制との対応関係」は厳密には別物であるとしても、「あなたの会社はワンマン会社だし、取引先との付き合いも長いので経営者不正の可能性が高い」などとは、決して監査法人さんは言わないわけですが、裁判所ははっきりと、不正リスクのひとつであり、平時から配慮すべきリスクである、と指摘するわけであります。したがいまして、平時から経営者リスクや組織に内在するリスクを堂々と宣言できるのは経営者以外にはいないのであります。そこがズバッといえないのであれば、統制上の要点がきちんと選定されるはずもないわけでして、お題目のように「経営者の関与が不可欠」といってみても、実際にそこに目をつぶっていては、おそらく「内部統制リスク」は軽減されることはないものと考えております。

なおリスク・アプローチと法的責任（「重要な欠陥」ではございません）との関係については、リスクアプローチ監査については会計上の重要性の原則と、そしてトップダウンのリスクアプローチについては経営者による経営判断原則との関係がつぎに議論されるところだと思いますが、その点はまた別途検討してみたいと思います。

最近、何名かの方に同じ質問を受けたのでありますが、金融商品取引法上の内部統制報告制度（いわゆるＪ－ＳＯＸ）がインダイレクト・レポーティングを採用しているがゆえに、運用テストにあたっていろいろな問題にぶつかっている担当者の方もいらっしゃるようであります。私自身も一緒に考えておりますが、明解な答えはまだみつかっておりません。

経営者は一般に公正妥当と認められる経営者評価の基準にしたがって、自社の財務報告に関する内部統制の有効性を評価し、これを報告するわけでありますが、内部統制監査人（いわゆる監査法人）はこの報告内容が適正であるかどうか、一般に公正妥当と認められる内部統制監査の基準にしたがって監査をすることになります。そして、外部監査人が経営者評価報告を適正と表明するかどうかは、原則として経営者自身による評価根拠と、評価の過程を斟酌して判断するものであり、みずから評価根拠を入手ものではないとされております。（インダイレクト・レポーティング）しかしながら、実際のところ、全社的内部統制の有効性にせよ、業務プロセス、決算財務報告プロセスにせよ、経営者が直接評価することもできないわけで、そこで実際には内部監査人や経理部等の評価自体が経営者評価の根拠となるわけであります。外部監査人（監査法人）による監査にしても、ダイレクトレポーティングが採用されていないわけですから、評価根拠としては、内部監査人による評価や監査役による評価に依拠する場面も多くなるものと思料いたします。

さて、そうなりますと、内部統制報告制度にとりましては、期中における監査法人、監査役、内部監査人等の連携協調は非常に重要な役割を担うことになりますが、社内におけるモニタリング機能をどこまで及ぼすべきか、という現実の問題が生じることになりそうであります。たとえば、人事部の人事評価に関する記録は内部監査人（経営者直結）が閲覧しなければならないのか、監査役による取締役会や取締役の評価調書（監査役会議事録等）は内部監査人に閲覧させなければならないのか、内部通報制度の具体的な事件記録は閲覧の対象となるのか、コンプライアンス委員会やリスクマネジメント委員会のように社外委員が多数含まれている議事録の内容も閲覧の対象になるのか等、様々な場面が想定されます。これらにつきまして、たとえば高度の守秘義務を負う監査法人さんにおいて、直接閲覧することであれば（つまりダイレクトレポーティング）、それほど大きな問題は生じないものと思いますが、社内の内部監査室や監査役が閲覧して、全社的内部統制の有効性評価の参考とするのであれば、おそらく社内で抵抗される方々もいらっしゃるのではないでしょうか。たしかに、実施基準によりますと、Ⅰ内部統制の基本的枠組み４の（４）におきまして「内部監査人がその業務を遂行するには、内部監査の対象となる組織内の他の部署からの制約を受けることなく、客観性を維持できる状況になければならない」とされておりまして、いかなる内部文書も（内部監査人の独立的な立場上）自由に閲覧できるような状況が期待されているのかもしれませんが、現実問題としましては、内部監査人は経営者直轄の組織に属することからみて、各部署における意思形成過程に萎縮的効果を与えてしまう恐れがあるのも事実であります。（そもそも、財務諸表監査に伴う内部統制監査として、監査法人さんが評価対象とする範囲ものであれば、ダイレクトレポーティングの対象と考えることもできそうでありますが、さきほど挙げた問題点は、そういった対象となるものでもありませんので、新たに施行される内部統制報告制度における評価項目のみに関連するものだと思われます。）たとえば、以下に掲げるような評価項目は、内部監査人（といいますか、評価する人）が、その評価にあたって、各部署の保存記録等を閲覧すべきではないか、と思われる根拠となる項目であります。（ご参考まで）

たしかに、全社的内部統制に関する４２の評価項目は、重要な判断指針ではありますが、すべての上場企業でチェックリストのように利用する必要はなく、むしろ各企業においてどの項目を重視してチェックすべきか、合理的な説明がつくのであれば、項目に軽重をつけてもいいと思いますし、省略できる評価項目もあってかまわないのではないでしょうか。全社的内部統制の有効性評価のための４２項目の活用につきましても「メリハリ」の問題でありまして、重大なリスクが存在する可能性があれば文書の閲覧も必要でしょうし、そうでなければ、委員会メンバーや監査役等へのヒアリングだけでもチェック可能ではないかと考えております。人事評価調書にせよ、内部通報処理報告書にせよ、文書化（記録および保存）することは当然だと思われますが、その内容まで精査しなければ全社的内部統制の有効性が評価しえないような場合以外にまで、内容の検討が必要性はないものと考えております。また、内容検討の必要性がある場合でも、たとえば評価を外部に委託したり、コンプライアンス委員会に評価を委ねるなど、代替手段も考えられるのではないかと思います。

ただ、リスクマネジメント委員会やコンプライアンス委員会の議事録等につきましては、全社的内部統制の有効性を評価する根拠という理由以外にも、業務プロセスの評価範囲を決定したり、評価方法の簡素化を検討するための根拠理由が示される場合もありそうですし、また財務報告に係る内部統制システムの改善をはかるためのヒントも記載されている可能性もありますので、すくなくとも内部監査人は閲覧のうえ内容を精査する必要性があるかもしれません。以上、いろいろと検討してきましたが、まだこのあたりは私も検討中のところでありまして、また有益なご意見ございましたら、よろしくお願いいたします。

日曜日（５月２７日）の日経朝刊では、ある監査法人さんの（４月時点での）レポートとしまして、「内部統制（金融商品取引法上の内部統制報告制度）の導入準備」について、上場会社の７割強が、「これから整備」といった状況にあることが報じられておりました。概要は以下のとおりであります。

（なお、太陽ＡＳＧ監査法人さんの実施した調査アンケートについて、その回答項目をみますと、「整備完了」「整備は５割程度」「整備を始めた」「現状把握を終えた」「整備方針を決めた」「プロジェクトを設置した」「プロジェクトはまだない」と並んでおりまして、そのなかから選択することになっていたようであります。ご参考まで。）

こういったアンケートは昨年後半あたりから、大手の監査法人さんのほうで何度か実施されてきたわけでありますが、「約７割が未だ準備に着手していない」といった結果報告内容につきましては、あまり変化がないようにも思われます。どなたかが、コメントでも書かれておられましたが、こういった調査結果を読みますと、アメリカでもＰＣＡＯＢ基準２号が廃止され、基準５号が適用される（将来的に）ということでもありますので、日本における実務対応についても今後慎重に各社において判断したほうがいいのかもしれませんね。（試験運用の段階・・・ということではありますが）ところで、このブログにおきましても、現状把握に関する問題点や、現場レベルにおける内部統制整備に関する問題点などを具体的に指摘して議論されてみては・・・といったご要望も承っておりますし、私もそういったエントリーの話題を検討したいと考えております。（有益なコメントをたくさんつけていただけそうですし）ただ、そういった議論をする前に、このアンケート調査の結果を踏まえて確認しておかなければならないと思いますのは、上場企業の社長さんは、自社の内部統制報告制度の整備運用についてはどの程度、積極的に取り組んでおられるのか・・・といったことにも留意すべきではないか・・・というたいへん基本的なことであります。また、とりわけこのブログを閲覧されていらっしゃる皆様方には、内部統制報告制度のための現状把握、システム整備の必要性をどのように社長さんに説得されたのか、といった点を教えていただければ、と思います。社長さんがグループ企業全体の内部統制整備に関して、どのような方針でどのように進めていくのか、そのあたりの確認というのはどうやってされているのでしょうかね。それとも、そんなことは無視して、現場レベルでコンサルタントさんと担当者で進めている、ということなのでしょうか。私自身も、もうそろそろ抽象的な内部統制理論の是非よりも、具体的な整備レベルでのお話をしたいと考えているところではありますが、社内で一番重要なリスクがわかっていらっしゃる（と思われる）代表取締役さんの目の届かないレベルの話をしても意味がないと思われます。そこで、さきほどのアンケート調査などにおきましても、セミナーに参加された上場企業の担当者の意識と、その企業のトップの意識とでは食い違いが生じていないのかどうか、そのあたりにたいへん関心を抱くところです。（経営トップの方々によるアンケート結果報告、というものもリアルタイムにあればおもしろいと思います）いま整備されつつある内部統制システム（あるいはその補強といった作業）は社長に認識され、社長が重大と認識しているリスクをどう管理することに役立つのか、そのあたりの説明がつかなければ、「それはおかしいのではないか」といったトップの問題意識すら生まれてきませんよね。以前、このブログでも少し話題となりましたが、経営者による業務プロセスの有効性評価のためのサンプリング手法というものも、あれは経営者（および役員一同）にわかるものでなければいけないのでは・・・といった問題意識から採り上げさせていただきましたが、あの議論の際にも、そもそも正規分布の法則の適用が妥当なものなのかどうかとか、サンプルを抽出する母集団が均一であることを前提とできない場合はどうしたらいいのか、など、当該企業の経営者でなければ正しい認識が下せない前提条件がいくらでもあろうかと思います。

「何のために、そのようなシステム構築が必要なのか」そういった疑問が社長さんから出てくるのが最も健全な姿なのではないでしょうか。少なくとも内部統制報告制度によって「会計不祥事については、『社長は知らなかった』では済まなくなる」ようなものを目指すのであれば、社長さんの関与の度合いといったものがとても重要になるものと思います。私のような社外監査役の立場の者は、そういった現場レベルでの進捗を認識しつつ、その重要性を社長に翻訳するのが大きな役目ではないかと思って、そのように活動しているのが現状であります。

（8月24日深夜　追記あります）

いよいよ東京では「２００６内部統制ソリューション展」が始まりましたね（８月23日、24日東京国際フォーラム　日経ＢＰ社）。私も実はそのゴールドスポンサーさんが主催されている「内部統制が会社を変える！」の基調講演を８月に２回させていただいております。そんな立場でありながら、非常に恐縮な話なのですが、私もcritical-accountingさんと同様、「日経情報ストラテジー９月号」の「日本版ＳＯＸ法８つの誤解」という特集記事を読みまして、とりわけ「費用対効果」に関する問題点につきましては、非常に納得した次第であります。（といいますか、私の大阪での講演をお聞きになられた方はご承知のとおり、この「誤解」というところは、ほとんど私の講演内容と同趣旨の指摘ばかりだと思います。まぁ八田教授もこの特集で登場されているわけですから、八田先生のお話や基本書をもとに内部統制を考えてきた者にとりましては当然といえば当然かもしれませんが・・・）ただ、内部統制をＩＴソリューションのビジネスチャンスと捉える企業の方々にとりましても、今後の「日本版ＳＯＸ法（金融商品取引法およびその実施規則や実施基準）」と「平成18年度情報基盤強化税制」の動向をキッチリ押さえておきませんと、あとでややこしい問題に巻き込まれてしまうのではないか、といった懸念がありますので、たいへんタイムリーな話題（警鐘？）だと思いました。

日本版ＳＯＸ法、つまり内部統制報告実務（監査証明実務を含む）を策定、導入する責任ある立場の方々にとって、日本の上場企業（規模にかかわらず）にこれを均一に適用させるためには「費用対効果」というものは避けて通れない問題だと思います。ちょうど１年前の２００５年８月２６日のエントリーにおきまして、この内部統制の費用対効果の問題をこのブログで採り上げました。そもそも日米の企業文化において「業務内容を文書化」することの意義に大きな差があることを訴訟におけるディスカバリー制度を具体例にして説明させていただき、日本の企業ではアメリカほどの文書化が根付くことはないのではないかと問題を提起させていただきましたが、そのアメリカにおきましても、（これも既にブログで紹介いたしましたが）最近、中小の上場企業向けの「統制環境」評価において「なるべく費用がかからないような工夫」が議論されるようになってきました。（このあたりの話題は７月頃の週刊経営財務が詳しいと思います）日本の上場企業のなかで、（アメリカと異なり）「よーいドン！」で一社残らず内部統制報告実務が始まるわけですから、社員３０人の公開企業でも経営者が評価可能な統制システムであれば「ＯＫ」なわけです。いくら「攻めの内部統制」と謳ってみましても、統制システムに関する開示情報が企業価値を計るモノサシとしての役目でも果たさない限りは、おそらく費用対効果といった見地からは疑問が出てきてしまうわけです。

いろいろと考えてみますと、「法が強制する最低限度のシステム」をクリアすることが目的であれば、その最低ラインを各上場企業が知りたいわけですから、各社統一された基準を適用することにも一理あるかもしれません。しかしながら、「これは最低ラインをクリアすることだけが目的ではありません。こういった作業は業務の効率化を進めることに役立つのです」といわれて、普通にその説明を納得できるでしょうか。「攻めの内部統制（効率化によって他社に差をつける）」につきましては、特別に国家が統制システムの内容を基準として定める必要はないわけでして、古来優秀な中小企業の社長さん達が個人的なノウハウとして持っていた「わが社の秘伝」、つまり個々の企業に合った内部統制システムを模索すればいいわけであります。

投資者保護に必要なレベルの「財務報告の信頼性を確保するための内部統制報告実務」というものが「守りの内部統制」であるならば、システム整備によって他社に差をつける業務効率性を生み出す可能性、というものは「攻めの内部統制」と名づけられてしかるべきと思います。ただし「基準」というものが必要なのは実は守りのほうだけであって、攻めのほうにつきましては、むしろ基準があること（国家がシステムの仕組みを決めること）とは矛盾するのではないでしょうか。ただ、このあたりを巧妙に統一して説明することを可能にしてくれるのがＣＯＳＯフレームワークにも登場してくる「統制環境」というたいへん便利な概念ではないか・・・と思ったりしております。私は、今後の内部統制に関するいろいろな議論のなかで、キーワードとして十分使い方に注意すべきなのは、この「統制環境」という用語と「全社的な内部統制」そして「内部統制の限界」という用語であろう、と推測しております。

（8月24日追記）

内部統制関連の情報ですが、どうも内部統制部会による実施基準の公開草案の提出時期がまたまた遅れるようですね。といいますか、ずいぶんと簡略化される実施基準になる、という噂があるようです。このあたりは、会社法における内部統制と金融商品取引法における内部統制報告実務との融合ということを原因とするのか、それとも金融庁における国際会計基準への対応を急務とみてのことなのか、アメリカにおけるＳＯＸ法実務の混乱に起因するものなのかはよくわかりませんが。いずれにしましても、今後、この内部統制報告実務に関する最新情報にはくれぐれもご留意ください。

ＳＯＸ(サーベインズ・オクスリー)法発祥の地であるアメリカにおきましても、内部統制システム構築に要する費用があまりにも高額になりすぎている、ということで見直し論が高まりつつあります。また、日本におきましても、上場企業の代表者が内部統制システムを適正に構築した旨の誓約をしなければならない、ということで、そのシステム構築の外注費や構築状況の監査報酬など、運用における費用問題などが近時議論されています。

そもそも、システムを導入したからっといって業務の効率化を図ることは可能であっても、それ以外の目的、たとえばコンプライアンス経営の執行や、資産保全、財務の信頼性確保などが目に見えて効果が高まり、企業の高収入につながる、というわけではありませんので、企業経営者からは「これだけの費用をかけて、効果はあるのか」と疑問を呈されるのも無理はありません。私も内部統制システムの構築というものは、ちょうど法治国家における「司法の独立」のように、いわば株式会社形態を採用する営利団体の「社会インフラ」であると考えておりますので、これがなければすぐに企業が立ち行かなくなる、というものではありませんが、やはり企業の内外から、こういったシステム構築の目的達成のために企業の内外から信頼を得るためにはどうしても必要なものである、と説明いたします。

なお、この点につきまして、アメリカの場合には「社会的インフラ」という抽象的な説明以上に、費用対効果を説明しやすい理由もあります。それは訴訟社会ならではの理由でして、いわゆるディスカバリー制度とも結びついているようです。ご承知のとおり、アメリカの民事訴訟では、実際の裁判手続きにまで至る訴訟事件はごくわずかでありまして、ほとんどがディスカバリー段階で和解終結（取下げを含む）するケースが多いようです。相手方が企業の場合、こちらの代理人弁護士は、その企業が保有する裁判必要文書を事前に開示するよう求めることができ、また企業自身も自発的に証拠を開示することが可能です。こういったケースで、相手方企業は「明確な社内の文書管理規定があるかどうか」「その管理規定に基づいた文書を相手方の指示どおりに編纂して提出できるかどうか」「提出文書に虚偽、もしくは過失による誤謬がないか」の判断によって、文書の信用性に大きな影響を受けます。もし内部統制システムが機能せず、文書管理がずさんだったりしますと、訴訟上のペナルティを受けることになります。（たとえば証拠としての提出を禁止されるとか、もっと厳しい場合には抗弁権放棄が擬制されたりします）。また、文書管理方法が悪いケースなどは、自身企業によって相手方指示の文書提出までの費用を負担しなければなりません。

こういったケースが現実のものですと、民事紛争となった時点での多額の費用負担よりも、日常における文書管理上の費用負担のほうがはるかに安くつく、という判断には至りやすいと思われます。

「内部統制システム構築」そのものが訴訟における費用負担と直ちに結びつかない日本の場合には、やはりまだまだアメリカほどのインセンティブが理解されにくいことが予想されます。昨日のエントリーでも若干触れましたが、日本の場合にも、企業に対する規制法規によって「システムを構築しなければならない」とうたうだけでははく、実際に取締役の法的責任問題のなかで「システム構築に尽力してきた企業にアドバンテージが発生する」といった解釈基準を盛り込む、という検討をしていかなければ、内部統制システム構築が会社におけるインフラとして有効に機能していかないように思われます。