ビジネス法務の部屋

今朝（1月18日）の日経朝刊「迫真」では「脱ハンコに挑む（1）『世界企業に押印は不要』」との見出しで、日立やＣＮＳの電子署名や電子スタンプが業務の効率性を飛躍的に向上させている状況が紹介されていました。社員による「ほんの少しの勇気」が社内を変える・・・。たしかに在宅勤務制度を導入する会社で「わざわざ押印のために出社する」「内部統制ルールの形式を整えるために押印をお願いする」ということが業務の効率性を阻害してしまう、というのであれば、電子署名、電子スタンプの活用は多くの企業でも検討されるべきだと思います。

ただし、ひとつ素朴な疑問が湧くのは、脱ハンコが浸透すると、決裁者としては先に誰が、どの範囲で承認したのか「見える化」されたシステムになるのでしょうか（すいません、実務がよくわかっていないので愚問かもしれませんが・・・）？たとえば根回し文化（「もう社長は先に承認しているの？」と質問する、根回しによって「〇〇部長、もう専務の承認はとってありますので」）が浸透している中で、誰が決裁したのか確認できない中で、各決裁権限者が自分の責任で承認ができるのでしょうか。

通常は社長が最後に決裁印を押すのですが、ときどき「社長案件」「至急案件」として先に社長印が押されるケースもありますね。そういった案件について「この案件は特別案件だなあ」と、トップ以外の役職員が忖度することはできるのでしょうか？また、正規の決裁権限者のリスクアプローチにより、案件によっては普通に「代印」が活用されることもありますが、そういった代印制度は一切許されず、すべて内部統制ルールに従った内容確認が必要になるのでしょうか。

さらに、決裁印が書面上ズラッと並ぶというのは、なにか事故が発生した際、もしくは不祥事が発覚した際、「私の責任ではありません。これは全体責任です」と言い逃れができる口実となり、そのことが迅速な意思決定を（巧妙に）担保しています。日経の上記記事でも示されているとおり、電子署名や電子スタンプによって「誰がどの範囲で責任を負う」といったことが明確になるのであれば、この「なんとなくみんなで責任を負う」という口実はなくなってしまうのでしょうか。

このあたりの暗黙のルールが修正されなければ、かえって意思決定に時間を要したり、（社長の意思を忖度して）決裁のやり直しが発生したり、上司の内容確認まで時間を要することになって、脱ハンコが業務の効率性を阻害することにならないのでしょうかね？ジョブ制が浸透している企業であれば問題ないと思いますが、メンバーシップ制が中心の企業組織においては、順番に押された印鑑が物語る「暗黙の意思決定システム」がむしろ業務の効率性を高めているところもあるような気がしております。

昨年頃から、私もクライアントとの間で業務委託契約書を締結する際は「電子署名」を活用することが多くなりましたので、とりわけ昨今の「対面が憚られる」ような状況では「優れモノ」だと認識しております。「契約書」をきれいに作るためではなく、「取引」を確実に執行するためのツールと考えれば、電子署名も電子スタンプも積極的に活用すべきと考えます。

ただ、これまで日本企業で使われていた決裁印の効用というものは、結構目に見えないところの労務慣行に支えられながら業務の効率性を高めてきたところもあるのではないかと。ゆえに、ある企業で業務の効率性を高めることに成功したからといって、他社でも同様に活用できるかどうかは、一度検討の余地があるように思います。

もし「脱ハンコ」を推進するのであれば、内部ルールや取引先との取引慣行を見直すことも大切ですが、その前に「決裁印をたくさん押した書類が有しているわが社の組織慣行の見直し」が先ではないでしょうか。これを言い出すのが難問かもしれません。

おかげさまで当ブログもいよいよ10年目に突入することになりました。最近は平均しますと更新は３日に１回程度ですが、これからも楽しい話題を提供していきたいと思っておりますので、どうかご愛顧のほどをよろしくお願いいたします<m(__)m>

さて３月２５日の日経朝刊記事に、「企業の経済不祥事、日本では内部者関与が８割」という見出しで、海外では内部者が関与する経済不祥事が全体の５割程度であるのに対して、日本ではなんと８割に及ぶということが報じられていました。海外では外部第三者からの攻撃が多いということの裏腹かとは思いますが、調査をしたPwC（プライスウォーターハウスクーパース）の担当者の方も述べておられるとおり、日本企業では内部関係者関与による犯罪への意識が十分でないことも理由のひとつかと思います。

毎度申し上げているとおり、日本では「不祥事は起きない。起こさないために何をすべきか」という出発点からコンプライアンス体制の構築を行う傾向にありますが、そろそろ「不祥事は起きる。起きたときどうするか」という出発点から体制構築を検討すべきだと思います。内部者への信頼度が高いことは決して悪いことではありませんが、あまりに「不祥事は起きない」と過信してしまいますと、実際に不祥事が発生した際に思考停止に陥り、早期発見が困難になります。先のPwCの調査結果でも、海外企業に比べて日本企業の不祥事被害額が極めて大きいのも、実際に不祥事が発生した場合の対応が遅すぎるところにも起因していると思います。

これまで職務分掌、内部牽制、ダブルチェックなど、内部統制システムの構築は、不祥事予防対策として論じられることが多かったように思います。しかしノバルティスファーマ事件は不正予防型の内部統制では不正の未然防止だけでなく、早期発見すら困難だということを露呈しました。この教訓から、厚労省は研究活動における不正データ取締法の検討に入ったそうです。組織の自立的行動に期待できない状況なのでしょう。そこで対策とされているのは、組織の研究開発に関する届出、記録の保存、利益相反行為に対するガイドライン策定、データ改ざんへの罰則とのこと。

こういった新たな対策は、罰則制定以外は不祥事が発生したことを想定したうえでの内部統制システムの構築です。現場を縛る非効率的な体制整備ではないけども、不正に関与した者はかならず罰せられるということを周知徹底することで、間接的に内部者による不正を予防しようというシステムかと思います。ノバルティス社の件だけでなく、東芝社の技術情報流出事件や丸紅社の海外ＦＣＰＡ案件、さらに横浜銀行のＡＴＭ個人情報窃取事件などの内部者関与の経済不祥事についても、この「不祥事発生時を想定した内部統制システムの構築」の発想が求められるのではないでしょうか。

「不祥事が起きた時のことを考える」ことは、ほんとに経済不祥事が起きたときの企業の危機対応だけでなく、そもそも経済不祥事を未然に防止することにも役立つものと思います。不祥事対策は、予防と発見のバランスをどう確保するか・・・ということの試行錯誤の上に成り立つものと考えています。

大手監査法人に「冬の時代が到来」とのことで、トーマツさんに続き、あずさ監査法人さんでも助言業務において50名の人員削減を行う旨のニュースが出ておりました（たとえばこちら。日経新聞でも3日ほど前に報じられていました）。とりわけ企業の内部統制部門における助言業務の減少に伴う希望退職の募集だそうで、「内部統制に関する助言業務の特需が出尽くしたことによるもの」と報じられております。

日経や上記ニュースなどを読みますと、もはや内部統制報告制度の助言業務は不要になってしまったようにも思われますが、そうではなくて、今回の内部統制報告制度の改訂（内部統制基準、実施基準の改訂）により、最も助言が必要と思われる中小規模の上場会社については内部統制監査人による指導的機能が強化されたことによるものと思われます。効率的な内部統制報告制度のために、経営者による内部統制の評価方法をなるべく尊重することとともに、会計監査人自身が「効果的、効率的な内部統制構築のために適切な指摘を行うこと」が明記されました。

各上場企業とも、効率的な内部統制報告制度の運用が必要なことは、この2011年3月期において内部統制が有効とはいえないと評価した会社がわずか8社であったことから明らかではないかと。せっかく各企業の内部監査部門が独立的評価の実力をつけてきたわけですから、効率的な運用を目指して、それぞれ会計監査人とのコミュニケーション能力を発揮する必要があり、適宜適切に監査法人さんが助言機能を発揮すべきなのかむしろこれからではないでしょうか。内部統制報告制度について、独立したコンサルティング業務は減少しても、監査証明業務を担当する監査法人さんの助言への要請が減少したわけではないと思います。

4月16日、魚類販売の株式会社大水社（大証２部）が不適切な取引に関するお知らせ　と題するリリースを公表しており、元製品課長主導による架空循環取引が平成17年ころから行われていたことが発覚した、とのことであります。内部統制実務に詳しい方であればご存じかもしれませんが、同社は平成20年11月にも「業績に影響を与える事象の発生について」と題するリリースにて、同社元部長主導による架空循環取引が発覚し、過年度の決算訂正を行っております（ちなみに同社の平成21年3月期の内部統制報告書は「重要な欠陥あり」として有効ではない、との結論）。こうやって、ほぼ同様の事件が再び発覚したとなりますと、同社の内部統制についてはまったく改善されていないのではないか、との見方もできそうです。ただ、今回のリリースを読みますと、前回の不適切な取引の発覚と、今回のものとは、少し様相が異なることがわかります。

前回の架空循環取引に関する同社平成21年2月17日付報告書によりますと、同社の架空循環取引は、外部第三者（取引先）からの問い合わせによって不正が発覚したものでありますが、今回の事件は内部監査室による監査をきっかけとして不正が発覚しております。私がよく申し上げるところの「異常な兆候」を内部監査室が発見し、これを契機として社内調査委員会が発足し、本格的な調査の末、サバとサンマの取引における架空循環取引の事実を認定した、というものであります。「仕入代金の支払決済サイトが、取引先との合意ルールよりも短い事象が、不規則かつ頻繁に発生していた」ことを不審に思った内部監査室の報告が発覚の端緒となっており、帳合取引と架空循環取引との区別が容易ではない水産業界において、これは同社の自浄能力がうまく発揮された一例ではないかと思われます。

たしかに同社は、現時点でも大証より（内部管理態勢に問題あり、として）「特別注意市場銘柄」に指定されているわけですから、他社と比較しても十分な内部統制が整備・運用されているわけではないのかもしれません。また、前回の架空循環取引が発覚した時点で、なぜ今回の件についても調査で発見できなかったのか、といった批判も出てくるかもしれません。しかし平成21年3月に、大手の日本水産株式会社から経営支援を受けるようになり（具体的には過半数の取締役がニッスイさんから派遣されて、経営管理が開始されることになる）、また前回の事件における外部第三者委員会の指摘どおりに、内部監査室の実効性を高めたことで、たとえ架空循環取引が発生するリスクが社内に存在し、実際にそういった取引が発生したとしても、これを早期に発見する能力が以前よりも高まっている、と評価されても良いのではないでしょうか。

これは中小上場会社のように、内部統制の整備運用のために、人的にも物的にも多くの負担をねん出できないところにおいて、たとえ不正のリスク（不備）が社内に存在しているとしても、リスクが現実化した時点において早期に発見できるモニタリングが具備されていることによって内部統制の有効性・効率性が高まるような一例ではないかと考えます。こういった事件が発覚すれば、Ｊ－ＳＯＸ上ではふたたび「内部統制は有効とは言えない」といった評価を下さねばならないのかもしれませんが、本当に費用対効果に気を使いつつ財務報告の信頼性を高めるためには、不正（リスクと考えるならば「不備」）を早期に発見する体制作りこそ全社挙げて取り組むべきではないかと思います。早期に不正を発見できれば、「重要性」の観点から、過年度の決算訂正にまでは至らないで済むでしょうし、また報告を受けた経営者らにとって、不正を隠すのではなく公表するインセンティブが働くこととなります。

ただ、「早期に発見できるモニタリングが具備されている」ことの評価は意外とむずかしいのでありまして、セルフチェック部門や内部監査、監査役監査など、おかしいと気づいたときに、これを「おかしい」といえるだけの職場環境がなければ絵に描いた餅になってしまうおそれがあります。結局のところ、こういった職場環境は、担当役員や代表者自身が、不正リスクの低減に向けての意識を有しているか否か、にかかっているのが現実なのかもしれません。大水社の前記リリースによりますと、今後は社外に第三者委員会を設置して、詳細な事実関係の解明および再発防止策の検討などがなされる予定のようでありますが、委員の方々は、このあたりをどのように評価されるのか、今後の委員会報告書の内容に注目したいと思います。

３月23日のエントリー「郵便不正事件『証拠改竄－特捜検事の犯罪』を読んで」に対する酔狂さんとcpa-musicさんの議論を拝見し、興味を持ちましたので、酔狂さんの御質問をご紹介して私見を述べておきたいと思います。もちろん内部統制に詳しい専門家ということではなく、多少実務をかじった、あくまでも法律家的な立場からの意見です。酔狂さんのコメント部分から、ご質問部分を抜粋いたしますと、

酔狂さんは、たしか大手都銀（まだ銀行名が変わる前）の基幹店舗の支店長も歴任された方です。酔狂さんが問題にされておられるのは、支店長として社内ルールに反してでも、支店長の独断で取引先への融資を行うことは、社会の要請に応えることであって「正義にかなう」、しかし社内稟議を経ずに融資を実行したことに対して、社内で悪者になるのは独断で融資を行った支店長であり、これは内部統制ルールが社内では「正義」とされているからではないか、そもそも「社会の要請」と「会社のルール」はトレードオフの関係にあることも多いのではないか、これをどう考えるべきか、といったあたりを問題にされておられます。

うーーーん、私は内部統制と「正義」というものは、あまり関係ないのではないか・・・・と考えております。

内部統制というのは、そもそも「切り口をどこに持ってくるか」ということで、語る人によって異なりますね。金商法を念頭に置けば開示のための内部統制報告制度を想定するでしょうし、株主や会社債権者、取引相手方といった関係者の利害調整を念頭におけば会社法上の内部統制（経営の自由度が高められた平成17年改正会社法下における取締役の善管注意義務）を想定するでしょうし、また企業の業績向上を目指す経営者を念頭に置けば経営管理の一種としての内部統制が想定されます。それぞれの目的がありますので、その目的達成のためのプロセス全般を「内部統制」とみるわけで、それぞれの目的達成のために有意であれば社会的な価値があるものと考えています。

もちろん「社会の要請」に応えるための内部統制、という意味では私も酔狂さんの考え方に同調するのですが、そもそも社会の要請と正義というものが一致するのかどうかは、よくわからないと思います。「正義」という言葉が行為時に客観的な物差しにはなりにくく、たとえば上の例でいえば、取引先の緊急の要請に応えることは「正義である」といえるのは、それが後日事故にならなかったからであって、緊急融資が後日再生債務者管財人から否認されるような事態になってしまえば、「正義」とは言えなくなってくるのではないでしょうか。「ほらみろ、だから社内ルールに従わなかった君が悪かったんだ」と言われても仕方がないということも、ありうるのではないかと。こう考えますと、内部統制に反する行為をとったことが正義に適う場面も、またおかしなルールだと感じながらもルールに従うことが正義に適う場面もありうるように思います。民事事件の代理人をやっておりますと、正義などというものは「絶対的なもの」ではなく、配分的なものであったり、相対的なものであったりするように感じます。

むしろ問題は、内部統制ルールを厳格に運用するあまり、内部統制を構築して得ようとしている企業価値（有意な目的の達成）をかえって毀損してしまうような事態にあるのではないでしょうか。たとえば内部統制報告制度（Ｊ－ＳＯＸ）を運用するにあたって、財務報告内部統制の構築は、株主から負託された金銭を用いて行うわけですから、費用対効果に反することは許されないはずです。しかし、作業の確実な実行にばかり気を取られてルール遵守だけに配慮していると、とんでもない人的・物的資源の浪費につながる可能性があります。酔狂さんが指摘されておられるように、形式的にはルールに反していても、現場がフレキシブルに対応したほうが、取引先からは喜ばれ、社会の要請に応えることができることにもなります。そして現場のルール違反が社会の要請に反しているような運用があれば、これを「異常」として検出できる仕組みのほうに力点を置くシステムのほうが費用対効果という面からみても得策ではないかと思います。私はこれも内部統制のひとつだと考えています。

もし内部統制と正義の関連性を考えるとするならば、それは運用する側の倫理の問題ではないでしょうか。私は負の部分も正の部分もあると思いますし、内部統制システムを経営や法制度のなかで運用する者の心の問題ではないか、と考えますが、いかがなものでしょうか。

話は変わりますが、「郵便不正事件」といえば、4月10日の情熱大陸で弘中弁護士が出演されておりまして、「事件のつかみ」の鋭さに感嘆いたしました。事件の核心に迫っていくモチベーションを高めることや、裁判官を「なるほど」と説得させるためには、「事件のつかみ」がたいへん重要であることは私も同業者として理解しているところですが、弘中氏の「事件のつかみ」がインタビューのなかでうまく表現されており、たいへん参考になりました。これはまた興味深いので別のエントリーにてご紹介したいと思います。

ある事情により、先週金曜日から本日（月曜日）まで休みもとらず、ひたすら「不適切な会計処理の発覚」に伴う社外調査委員会報告書を約５０本ほど、読みふけっておりました。（正確には、すべてが純粋な「社外調査委員会報告」ではなく、取引所提出用の「改善報告書」や弁護士が支援している「社内調査委員会報告」も含まれております）時期的には証券取引所の改善報告書縦覧期間分ですから、だいたい平成１７年から最近までの分ということになります。もともとこういった報告書を読むのは好きなほうですが、さすがに一日平均１２～１３本となりますと、ヘロヘロになってきます。

この５０本は、いわゆる経営者主導（経営者関与）型の会計不正（粉飾、違法配当）事案は含まれておらず、経理担当職員や営業社員等による資金流用事件を選択しております。つまり内部統制の限界事例ではなく、いわゆる典型的な内部統制欠乏型事例というものです。（したがいまして、社外委員の再発防止策として、ほとんどに内部統制システムの充実・・・と出てきます）取引所による指導などもあってか、平成１７，１８年当時よりも最近の報告書は格段に内容が充実しております。以前はインダイレクトレポーティング型（社内調査委員会報告書に対する検証を主たる目的とするもの）が多かったのでありますが、最近は社内調査とは別に社外調査委員が何度となくヒアリングを行って、独自に事実調査などを詳細に行うもの（ダイレクトレポーティング型）が増えているのが事実であります。内部統制というと、いわゆる「日本システム技術事件」が有名でありますが、こうやって日本システム技術社の改善報告書を改めて読んでおりますと、多くの会社が日本システム技術社と同等の内部統制レベルであることが理解できます。（たまたま株主から損害賠償請求訴訟を提起されなかっただけ、ということですね）

また平成１７年ころからの報告書を読みながら「どっかで聞いたことがある会社だな」と考えておりましたところ、今年の内部統制報告書におきまして「重要な欠陥あり」と公表している会社が（やっぱり）多いんですね。この１年に会計不祥事が発覚した会社だけでなく、過去数年内にそういった会計不祥事が発覚した会社も、やはり開示体制に不十分なところを残しつつ事業を継続していることがよくわかります。（そう簡単には財務報告の信頼性が確保される体制にはならない、ということなんでしょうか。）先日ご紹介した日経シンポでもこの第三者委員会の在り方が話題になっておりましたが、なるほどこうやっていろんな報告書に接しますと、プリンシプルベースによる市場規制のなかでの第三者委員会の在り方のようなものも、おぼろげながら理解できるところであります。

さて、すでに何度かこのブログでもご紹介いたしました「内部統制ラウンドテーブル」でありますが、いよいよ来週（１１月５日）となりました。予想以上の反響でありまして、ラウンドテーブルの傍聴券２００枚のところ、すでに３００名以上の申し込みがあるため抽選で傍聴券が配布されるそうであります。以前ブログでご紹介した際には、まだ報告者やオブザーバーの名前が決定しておりませんでしたが、（どういうわけか）私自身も法律家代表（いや、ブロガー代表？）として、このテーブルに参加させていただくことになっております。皆様方を高揚させるような意見なのか、それとも落胆させてしまう意見なのかはわかりませんが、私なりに２年目に向けた内部統制報告制度の課題について考えていることをそのまま素直に述べるつもりであります。コメントをいただいた「答えは風の中」さんや「いたさん」「tonchanさん」のご意見、そして「とも先生（池永朝昭弁護士）」から示唆いただいた見解なども参考にさせていただくつもりであります。

先週の日経新聞特集記事「点検・内部統制元年」を、たいへん遅くなりましたが（上）（下）ともきちんと読ませていただきました。費用負担が重くのしかかっている・・・といったイメージをどこの企業もお持ちではないかと思います。そんななかで、中堅上場企業である大阪のニイタカ社の内部統制責任者であるＳ氏（ときどき拙ブログにもコメントをされる方ですが）によりますと、ニイタカ社の内部統制にかけた関連費用はＳ氏の人件費のみ、ということだそうであります。このＳ氏とは、もうかれこれ２年ほど研究会でご一緒しておりますので、この「関連費用は私の人件費だけ」というのがウソ偽りのない真実であることは私自身がよく知るところであります。ただ、このＳ氏の内部統制システム構築にかける情熱はちょっと他の人ではまねのできないものであります。新聞にもあるように、現場担当者や現場監督者が業務プロセスの整備・運用、そして自己点検による評価方法に至るまで、十分に理解するまで徹底的にレクチャーを行い、不備が生じればすぐに内部統制プロセスをくりかえし改定し、逐次外部監査人を呼んで改良点の説明を行い、外部監査人のほうが「もう堪忍して」と音を上げるまで徹底的に協議を繰り返す・・・ということであります。しかし（前にも書きましたが）、私がこのＳ氏をみていて、おそらくニイタカ社では内部統制は有効と評価されるものとは思いますが、全社あげて内部統制の整備はＳ氏にまかせっきりになっているものと推察され、もしＳ氏が（たとえば）ヘッドハンティングによって別の会社で内部統制構築を手掛ける、という事態になってしまうと目もあてられないことになってしまうのではないか、といった一抹の不安を抱かずにはおられません。いわゆる「内部統制リスク」というやつですよね。誰かの個人プレイにまかせっきりになってしまいますと、その個人がいなくなってしまうと、社内で誰も内部統制の改良ができなくなってしまうということは大きなリスクです。そう考えますと、この「内部統制リスク」を低減させるためには、内部統制プロジェクトチームのような組織的対応の必要性や、後継のためにできるだけ文書化しておく、といった費用負担を要する対応もある程度は必要なのではないか・・・と思ったりもしております。内部統制はいよいよ２年目を迎えるわけですが、その性質上永続的に制度を見直すことが求められるわけですから、企業としての制度対応も、それなりに人材育成やシステム改良のノウハウを個人プレイに頼ることなく、企業として検討していかなければならないと思います。

そして内部統制２年目といえば、旬刊経理情報の4月1日号では「２年目の内部統制」が特集されておりまして、たいへん興味深く拝見させていただきました。この特集のなかで、解説者の方が、トップダウンのリスク・アプローチが、１年目において業務プロセスの評価範囲や方法の決定のためにはよく議論されたようだが、これまで統制上の要点の選定のためにはほとんど議論されてこなかったのではないか？といった疑問を呈しておられ、これは私もまったく同感であります。これは日本取締役協会や日本監査役協会での報告でも「問題提起として」述べさせていただきましたが、本当にリスク・アプローチが統制上の要点の選定のために活用されるのであれば、そこには経営者の関与は不可欠なはずですが、これまで議論されてこなかったのは、まさに十分に経営者の関与が問題にされてこなかったからだと思います。わずか１年半の間に、リスク・アプローチ監査についてはナナボシ判決が、そして経営者のリスク・アプローチについては日本システム技術判決が、それぞれ財務報告における重大な虚偽表示リスクに関わる裁判事例として出ております。ナナボシ事件判決では、監査人による監査の手法が経営者による不正リスクと対応していなかった点が指摘されており、また日本システム技術判決においては、従業員による不正リスクと経営者の構築した内部統制システムが対応していなかったことが指摘されているわけであります。これは裁判所の考える「重大な虚偽表示リスク」とは何か？それは何を評価した結果なのか？リスク低減措置はどこまで要求されるのか？といったあたりを検討するには好材料であります。実施基準を前提とする「統制上の要点」と、裁判所が問題とする「リスクと統制との対応関係」は厳密には別物であるとしても、「あなたの会社はワンマン会社だし、取引先との付き合いも長いので経営者不正の可能性が高い」などとは、決して監査法人さんは言わないわけですが、裁判所ははっきりと、不正リスクのひとつであり、平時から配慮すべきリスクである、と指摘するわけであります。したがいまして、平時から経営者リスクや組織に内在するリスクを堂々と宣言できるのは経営者以外にはいないのであります。そこがズバッといえないのであれば、統制上の要点がきちんと選定されるはずもないわけでして、お題目のように「経営者の関与が不可欠」といってみても、実際にそこに目をつぶっていては、おそらく「内部統制リスク」は軽減されることはないものと考えております。

なおリスク・アプローチと法的責任（「重要な欠陥」ではございません）との関係については、リスクアプローチ監査については会計上の重要性の原則と、そしてトップダウンのリスクアプローチについては経営者による経営判断原則との関係がつぎに議論されるところだと思いますが、その点はまた別途検討してみたいと思います。

最近、何名かの方に同じ質問を受けたのでありますが、金融商品取引法上の内部統制報告制度（いわゆるＪ－ＳＯＸ）がインダイレクト・レポーティングを採用しているがゆえに、運用テストにあたっていろいろな問題にぶつかっている担当者の方もいらっしゃるようであります。私自身も一緒に考えておりますが、明解な答えはまだみつかっておりません。

経営者は一般に公正妥当と認められる経営者評価の基準にしたがって、自社の財務報告に関する内部統制の有効性を評価し、これを報告するわけでありますが、内部統制監査人（いわゆる監査法人）はこの報告内容が適正であるかどうか、一般に公正妥当と認められる内部統制監査の基準にしたがって監査をすることになります。そして、外部監査人が経営者評価報告を適正と表明するかどうかは、原則として経営者自身による評価根拠と、評価の過程を斟酌して判断するものであり、みずから評価根拠を入手ものではないとされております。（インダイレクト・レポーティング）しかしながら、実際のところ、全社的内部統制の有効性にせよ、業務プロセス、決算財務報告プロセスにせよ、経営者が直接評価することもできないわけで、そこで実際には内部監査人や経理部等の評価自体が経営者評価の根拠となるわけであります。外部監査人（監査法人）による監査にしても、ダイレクトレポーティングが採用されていないわけですから、評価根拠としては、内部監査人による評価や監査役による評価に依拠する場面も多くなるものと思料いたします。

さて、そうなりますと、内部統制報告制度にとりましては、期中における監査法人、監査役、内部監査人等の連携協調は非常に重要な役割を担うことになりますが、社内におけるモニタリング機能をどこまで及ぼすべきか、という現実の問題が生じることになりそうであります。たとえば、人事部の人事評価に関する記録は内部監査人（経営者直結）が閲覧しなければならないのか、監査役による取締役会や取締役の評価調書（監査役会議事録等）は内部監査人に閲覧させなければならないのか、内部通報制度の具体的な事件記録は閲覧の対象となるのか、コンプライアンス委員会やリスクマネジメント委員会のように社外委員が多数含まれている議事録の内容も閲覧の対象になるのか等、様々な場面が想定されます。これらにつきまして、たとえば高度の守秘義務を負う監査法人さんにおいて、直接閲覧することであれば（つまりダイレクトレポーティング）、それほど大きな問題は生じないものと思いますが、社内の内部監査室や監査役が閲覧して、全社的内部統制の有効性評価の参考とするのであれば、おそらく社内で抵抗される方々もいらっしゃるのではないでしょうか。たしかに、実施基準によりますと、Ⅰ内部統制の基本的枠組み４の（４）におきまして「内部監査人がその業務を遂行するには、内部監査の対象となる組織内の他の部署からの制約を受けることなく、客観性を維持できる状況になければならない」とされておりまして、いかなる内部文書も（内部監査人の独立的な立場上）自由に閲覧できるような状況が期待されているのかもしれませんが、現実問題としましては、内部監査人は経営者直轄の組織に属することからみて、各部署における意思形成過程に萎縮的効果を与えてしまう恐れがあるのも事実であります。（そもそも、財務諸表監査に伴う内部統制監査として、監査法人さんが評価対象とする範囲ものであれば、ダイレクトレポーティングの対象と考えることもできそうでありますが、さきほど挙げた問題点は、そういった対象となるものでもありませんので、新たに施行される内部統制報告制度における評価項目のみに関連するものだと思われます。）たとえば、以下に掲げるような評価項目は、内部監査人（といいますか、評価する人）が、その評価にあたって、各部署の保存記録等を閲覧すべきではないか、と思われる根拠となる項目であります。（ご参考まで）

たしかに、全社的内部統制に関する４２の評価項目は、重要な判断指針ではありますが、すべての上場企業でチェックリストのように利用する必要はなく、むしろ各企業においてどの項目を重視してチェックすべきか、合理的な説明がつくのであれば、項目に軽重をつけてもいいと思いますし、省略できる評価項目もあってかまわないのではないでしょうか。全社的内部統制の有効性評価のための４２項目の活用につきましても「メリハリ」の問題でありまして、重大なリスクが存在する可能性があれば文書の閲覧も必要でしょうし、そうでなければ、委員会メンバーや監査役等へのヒアリングだけでもチェック可能ではないかと考えております。人事評価調書にせよ、内部通報処理報告書にせよ、文書化（記録および保存）することは当然だと思われますが、その内容まで精査しなければ全社的内部統制の有効性が評価しえないような場合以外にまで、内容の検討が必要性はないものと考えております。また、内容検討の必要性がある場合でも、たとえば評価を外部に委託したり、コンプライアンス委員会に評価を委ねるなど、代替手段も考えられるのではないかと思います。

ただ、リスクマネジメント委員会やコンプライアンス委員会の議事録等につきましては、全社的内部統制の有効性を評価する根拠という理由以外にも、業務プロセスの評価範囲を決定したり、評価方法の簡素化を検討するための根拠理由が示される場合もありそうですし、また財務報告に係る内部統制システムの改善をはかるためのヒントも記載されている可能性もありますので、すくなくとも内部監査人は閲覧のうえ内容を精査する必要性があるかもしれません。以上、いろいろと検討してきましたが、まだこのあたりは私も検討中のところでありまして、また有益なご意見ございましたら、よろしくお願いいたします。

日曜日（５月２７日）の日経朝刊では、ある監査法人さんの（４月時点での）レポートとしまして、「内部統制（金融商品取引法上の内部統制報告制度）の導入準備」について、上場会社の７割強が、「これから整備」といった状況にあることが報じられておりました。概要は以下のとおりであります。

（なお、太陽ＡＳＧ監査法人さんの実施した調査アンケートについて、その回答項目をみますと、「整備完了」「整備は５割程度」「整備を始めた」「現状把握を終えた」「整備方針を決めた」「プロジェクトを設置した」「プロジェクトはまだない」と並んでおりまして、そのなかから選択することになっていたようであります。ご参考まで。）

こういったアンケートは昨年後半あたりから、大手の監査法人さんのほうで何度か実施されてきたわけでありますが、「約７割が未だ準備に着手していない」といった結果報告内容につきましては、あまり変化がないようにも思われます。どなたかが、コメントでも書かれておられましたが、こういった調査結果を読みますと、アメリカでもＰＣＡＯＢ基準２号が廃止され、基準５号が適用される（将来的に）ということでもありますので、日本における実務対応についても今後慎重に各社において判断したほうがいいのかもしれませんね。（試験運用の段階・・・ということではありますが）ところで、このブログにおきましても、現状把握に関する問題点や、現場レベルにおける内部統制整備に関する問題点などを具体的に指摘して議論されてみては・・・といったご要望も承っておりますし、私もそういったエントリーの話題を検討したいと考えております。（有益なコメントをたくさんつけていただけそうですし）ただ、そういった議論をする前に、このアンケート調査の結果を踏まえて確認しておかなければならないと思いますのは、上場企業の社長さんは、自社の内部統制報告制度の整備運用についてはどの程度、積極的に取り組んでおられるのか・・・といったことにも留意すべきではないか・・・というたいへん基本的なことであります。また、とりわけこのブログを閲覧されていらっしゃる皆様方には、内部統制報告制度のための現状把握、システム整備の必要性をどのように社長さんに説得されたのか、といった点を教えていただければ、と思います。社長さんがグループ企業全体の内部統制整備に関して、どのような方針でどのように進めていくのか、そのあたりの確認というのはどうやってされているのでしょうかね。それとも、そんなことは無視して、現場レベルでコンサルタントさんと担当者で進めている、ということなのでしょうか。私自身も、もうそろそろ抽象的な内部統制理論の是非よりも、具体的な整備レベルでのお話をしたいと考えているところではありますが、社内で一番重要なリスクがわかっていらっしゃる（と思われる）代表取締役さんの目の届かないレベルの話をしても意味がないと思われます。そこで、さきほどのアンケート調査などにおきましても、セミナーに参加された上場企業の担当者の意識と、その企業のトップの意識とでは食い違いが生じていないのかどうか、そのあたりにたいへん関心を抱くところです。（経営トップの方々によるアンケート結果報告、というものもリアルタイムにあればおもしろいと思います）いま整備されつつある内部統制システム（あるいはその補強といった作業）は社長に認識され、社長が重大と認識しているリスクをどう管理することに役立つのか、そのあたりの説明がつかなければ、「それはおかしいのではないか」といったトップの問題意識すら生まれてきませんよね。以前、このブログでも少し話題となりましたが、経営者による業務プロセスの有効性評価のためのサンプリング手法というものも、あれは経営者（および役員一同）にわかるものでなければいけないのでは・・・といった問題意識から採り上げさせていただきましたが、あの議論の際にも、そもそも正規分布の法則の適用が妥当なものなのかどうかとか、サンプルを抽出する母集団が均一であることを前提とできない場合はどうしたらいいのか、など、当該企業の経営者でなければ正しい認識が下せない前提条件がいくらでもあろうかと思います。

「何のために、そのようなシステム構築が必要なのか」そういった疑問が社長さんから出てくるのが最も健全な姿なのではないでしょうか。少なくとも内部統制報告制度によって「会計不祥事については、『社長は知らなかった』では済まなくなる」ようなものを目指すのであれば、社長さんの関与の度合いといったものがとても重要になるものと思います。私のような社外監査役の立場の者は、そういった現場レベルでの進捗を認識しつつ、その重要性を社長に翻訳するのが大きな役目ではないかと思って、そのように活動しているのが現状であります。

（8月24日深夜　追記あります）

いよいよ東京では「２００６内部統制ソリューション展」が始まりましたね（８月23日、24日東京国際フォーラム　日経ＢＰ社）。私も実はそのゴールドスポンサーさんが主催されている「内部統制が会社を変える！」の基調講演を８月に２回させていただいております。そんな立場でありながら、非常に恐縮な話なのですが、私もcritical-accountingさんと同様、「日経情報ストラテジー９月号」の「日本版ＳＯＸ法８つの誤解」という特集記事を読みまして、とりわけ「費用対効果」に関する問題点につきましては、非常に納得した次第であります。（といいますか、私の大阪での講演をお聞きになられた方はご承知のとおり、この「誤解」というところは、ほとんど私の講演内容と同趣旨の指摘ばかりだと思います。まぁ八田教授もこの特集で登場されているわけですから、八田先生のお話や基本書をもとに内部統制を考えてきた者にとりましては当然といえば当然かもしれませんが・・・）ただ、内部統制をＩＴソリューションのビジネスチャンスと捉える企業の方々にとりましても、今後の「日本版ＳＯＸ法（金融商品取引法およびその実施規則や実施基準）」と「平成18年度情報基盤強化税制」の動向をキッチリ押さえておきませんと、あとでややこしい問題に巻き込まれてしまうのではないか、といった懸念がありますので、たいへんタイムリーな話題（警鐘？）だと思いました。

日本版ＳＯＸ法、つまり内部統制報告実務（監査証明実務を含む）を策定、導入する責任ある立場の方々にとって、日本の上場企業（規模にかかわらず）にこれを均一に適用させるためには「費用対効果」というものは避けて通れない問題だと思います。ちょうど１年前の２００５年８月２６日のエントリーにおきまして、この内部統制の費用対効果の問題をこのブログで採り上げました。そもそも日米の企業文化において「業務内容を文書化」することの意義に大きな差があることを訴訟におけるディスカバリー制度を具体例にして説明させていただき、日本の企業ではアメリカほどの文書化が根付くことはないのではないかと問題を提起させていただきましたが、そのアメリカにおきましても、（これも既にブログで紹介いたしましたが）最近、中小の上場企業向けの「統制環境」評価において「なるべく費用がかからないような工夫」が議論されるようになってきました。（このあたりの話題は７月頃の週刊経営財務が詳しいと思います）日本の上場企業のなかで、（アメリカと異なり）「よーいドン！」で一社残らず内部統制報告実務が始まるわけですから、社員３０人の公開企業でも経営者が評価可能な統制システムであれば「ＯＫ」なわけです。いくら「攻めの内部統制」と謳ってみましても、統制システムに関する開示情報が企業価値を計るモノサシとしての役目でも果たさない限りは、おそらく費用対効果といった見地からは疑問が出てきてしまうわけです。

いろいろと考えてみますと、「法が強制する最低限度のシステム」をクリアすることが目的であれば、その最低ラインを各上場企業が知りたいわけですから、各社統一された基準を適用することにも一理あるかもしれません。しかしながら、「これは最低ラインをクリアすることだけが目的ではありません。こういった作業は業務の効率化を進めることに役立つのです」といわれて、普通にその説明を納得できるでしょうか。「攻めの内部統制（効率化によって他社に差をつける）」につきましては、特別に国家が統制システムの内容を基準として定める必要はないわけでして、古来優秀な中小企業の社長さん達が個人的なノウハウとして持っていた「わが社の秘伝」、つまり個々の企業に合った内部統制システムを模索すればいいわけであります。

投資者保護に必要なレベルの「財務報告の信頼性を確保するための内部統制報告実務」というものが「守りの内部統制」であるならば、システム整備によって他社に差をつける業務効率性を生み出す可能性、というものは「攻めの内部統制」と名づけられてしかるべきと思います。ただし「基準」というものが必要なのは実は守りのほうだけであって、攻めのほうにつきましては、むしろ基準があること（国家がシステムの仕組みを決めること）とは矛盾するのではないでしょうか。ただ、このあたりを巧妙に統一して説明することを可能にしてくれるのがＣＯＳＯフレームワークにも登場してくる「統制環境」というたいへん便利な概念ではないか・・・と思ったりしております。私は、今後の内部統制に関するいろいろな議論のなかで、キーワードとして十分使い方に注意すべきなのは、この「統制環境」という用語と「全社的な内部統制」そして「内部統制の限界」という用語であろう、と推測しております。

（8月24日追記）

内部統制関連の情報ですが、どうも内部統制部会による実施基準の公開草案の提出時期がまたまた遅れるようですね。といいますか、ずいぶんと簡略化される実施基準になる、という噂があるようです。このあたりは、会社法における内部統制と金融商品取引法における内部統制報告実務との融合ということを原因とするのか、それとも金融庁における国際会計基準への対応を急務とみてのことなのか、アメリカにおけるＳＯＸ法実務の混乱に起因するものなのかはよくわかりませんが。いずれにしましても、今後、この内部統制報告実務に関する最新情報にはくれぐれもご留意ください。