ビジネス法務の部屋

すいません、昨日書き忘れたことだけ補足しておきます。とくに「具体的提言」というほどのこともありませんが、内部統制報告制度が施行されて、最近はいわゆる「評価マニュアル」の指南書がずいぶんと出版されてきましたし、私が知るかぎりでも、今後もいくつかの評価マニュアル書が出版される予定であります。そういった「評価マニュアル」は、これまで以上にＩＴ全般統制の評価や、業務プロセスの評価内容（評価手続きの具体例）が詳細であり、（おそらくこれまでの監査法人さんの内部統制評価方式を基本としたものだと思いますが）各企業の内部統制担当者の方には実践的で有益なものだと理解しております。

しかしながら、こういった評価マニュアルを拝読していて新たに疑問が生じるのでありますが、もし評価手続きについての理解不足が経営者（実際には現場担当者）にある場合、これはおそらく、一般に公正妥当と認められる経営者評価の基準に準拠して内部統制評価が行われていないとして、内部統制監査人としては「不適正意見」を出すことになると思います。（会計士協会の「実務上の取り扱い」においては、「不適正意見」を出す場合の例として、監査人が重要な欠陥を特定しているにもかかわらず、経営者がこれを記載しない場合と、内部統制の評価範囲、評価手続き、評価結果について、著しく不適切な記述がある場合があげられておりますので、おそらく経営者評価の基準に合致しない（内部統制評価の理解不足）場合は、この評価手続きについて著しく不適切な記述がある、ということに該当するのではないでしょうか）

評価マニュアルや、実施基準等の意見書を十分理解し、また監査法人さんとの十分な意見交換を行う企業であれば問題は発生しないでしょうが、最近の評価マニュアルを拝読していて「本当にこれだけの評価手順を経営者（実際には現場プロジェクトチームや内部監査人）が理解できるのだろうか？」と皆様は疑問を抱かれませんでしょうか？最近は、内部統制報告制度においての大きな課題が「重要な欠陥」の判定にあることは間違いないでしょうが、それと並んで、もっと広い意味で経営者が「一般に公正妥当と認められる経営者評価の基準に準拠して評価しているのかどうか」という点についても大きな問題になるのではないでしょうか。そもそも、「重要な欠陥」の判断基準が問題となるのは、その前提として、経営者は一般に公正妥当と認められる経営者評価の基準に準拠して評価手続きを行い、きちんと不備を指摘しているわけですよね。でも、そんなに簡単に会社と監査人とで合意に達するような不備って見つかる（評価できる）ものなのでしょうか？「経営者が財務報告の信頼性に重要な影響を及ぼす内部統制を統制上の要点として識別すること」って、素人に簡単に理解できることなのでしょうか？この点、ダイレクトレポーティングが採用されず、経営者評価報告書が監査対象となるわけですから、なおさら監査人としては、経営者報告書の「評価基準への準拠性」とそれを前提とした「有効性」への配慮が必要になるのではないかと思います。もうすこしわかりやすく言えば、「なにが不備がわからない、不備がみつけられない」という「評価基準の理解不足」のレベルの話と、「不備は基準どおりに正確にみつけることはできるけれども、その重要性判断に監査人と意見の食い違いがある」というレベルの話とでは大きな差があり、いま世間で問題となっている「重要な欠陥」の判断基準の問題は後者のレベルではないかと思うのであります。

金融庁の方々は「重要な欠陥があれば、そのまま開示すればいいじゃないですか。あとは説明義務を果たせば合格点です」とおっしゃいますが、そもそも一般に公正妥当な経営者評価の基準に準拠していれば重要な欠陥でもなんでもない（たとえば代替統制がきちんとあったりして）のに、理解不足のために重要な欠陥だと錯覚して報告書を提出しているケースとか、どう考えたらいいのでしょうか。これでは「合格点」もあったものではないですよね。内部統制監査人が適正に指導していただけるとは限らないでしょうし。アメリカのように８割の中小の上場企業に制度の施行が猶予されるのであればいいのですが、ヨーイドンで一斉に始まったＪ－ＳＯＸの場合、こういった問題点についてもどなたか解説していただけるとありがたいのですが。「重要な欠陥」よりも先に、「重要な理解不足」をどう考えるか、という問題が横たわっているように思うのでありますが。

７月５日の日本内部統制研究学会での基調報告以来、ずいぶんと多くの方々に取材や講演のご依頼をいただき、また実際に内部統制のコンサルティング業務に従事されていらっしゃる方ともお話する機会が増えました。四半期決算報告もほぼ終了して、そろそろ会社と監査法人さんが真剣に「統制環境」や「評価範囲」について検討される時期かとは思いますが、最近漠然とではありますが、内部統制報告制度の運用について、つらつらと考えていることを「具体的な提言」としてまとめてみることにしました。最近は内部統制報告制度（もしくはアフターＪ－ＳＯＸ）に対して法律家の視点から、どのような意見が求められているのか、ある程度わきまえているつもりでありますが、やっぱり越権的にツッコミを入れたくなるのも事実であります。失笑を招くこと必至でありますが、ご一読いただければ幸いです。

１　中小規模企業の特性は大企業には応用できないのか？

ご存じのとおり、６月２４日に金融庁より追加公表された「内部統制報告制度に関するＱ＆Ａ」では、合計６問が「中小規模企業の内部統制」に関するものであります。また、Ｑ２０にもあるように、意見書前文において「中小規模企業については、その規模の特性に応じた工夫」がなされるべき、とされています。しかしながら、どの程度のものが「中小規模」なのかは実施基準でも明らかにされておりません。せっかくＱ＆Ａで６問も割かれているわけですし、もうすこし中小規模企業における特性についての議論があってもいいと思います。また、せっかくこういった「特性」が示されているわけですから、大企業においても「事業拠点」とか「評価範囲」が決定された場合には、たとえば支店単位、事業部単位での業務プロセスの評価などは、中小規模企業基準による整備、運用を基準としてもいいのではないでしょうか。（たとえば先のＱ＆Ａ３９問の注意書きには「事業規模が小規模でない企業であっても、比較的簡素な組織構造を有している場合には、これに該当する場合がある」として、柔軟な対応を認めているように思われます）問題は経営者による関与と支店、事業部責任者による関与の差でありますが、そこは全社的内部統制の評価や全社的な決算財務報告プロセスの評価によってカバーできるのではないかと思います。グループ企業の場合、選定された事業拠点としての子会社などは、こういった比較的簡素化された組織の特性といったものを工夫されているのでしょうか？２年目以降の業務プロセス評価については、内部統制プロジェクトチームから内部監査部へと移行するケースも多いようですが、「数に限りのある」内部監査部員が評価作業を行うにあたっても、こういった中小規模基準の考え方を導入することに一理あるように思います。

２　企業は「重要な欠陥」ガイドラインを公表すべきではないか？

最近の内部統制報告制度の議論は「重要な欠陥」の判断基準に集中しているようであります。（最新号の「週刊経営財務」２８８０号にも、重要な欠陥に関するアンケート結果とその分析報告が掲載されていますね）たしかに企業にとっても、また監査人にとっても悩ましい問題でありますが、いまの議論を聞いておりまして、どこまで客観的な評価がなされ、またどこまで同一レベルの監査人の監査がなされるのかは不透明でありまして、投資家にとっても本当に有益な企業情報の開示がなされるのかどうかは心もとない雰囲気であります。そこでいっそのこと、企業としましては「何をもって不備とするのか、そして何をもって重要な欠陥とみるのか」といったガイドラインを投資家向けに公表してしまったほうがいいのではないでしょうか？投資家にとっては、監査人が「不適正意見」を出してくれれば理解できるではないか、とも考えられますが、内部統制監査報告書のひな形を見て思いますのは、内部統制監査において「不適正意見」を出す、ということは経営者の評価が虚偽であり、刑事罰の構成要件にも該当するような場面でないと出しにくいのではないかと思われ、結局のところ、「意見は表明できない」で終わってしまう懸念があります。そうしますと、経営者は内部統制は有効としているが、監査人は意見を表明しないということで、投資家にとってはさっぱりわからない。せめて、抽象的なものであってもかまわないので、「重要な欠陥ガイドライン」を示していただければ、と思うのでありますが、いかがなものでしょうか。せっかく上場企業が４０００社もあるわけですから、「重要な欠陥ガイドライン」の言葉が悪ければ、たとえば「当社の内部統制評価における指針」とか「今後改善を要する重大な課題について」といったリリースを行う企業が少しくらい出てきてもよさそうに思えますが。

３　アフターＪ－ＳＯＸも含めて、いまこそ「内部統制の限界論」を検討しては？

Ｊ－ＳＯＸは財務報告の信頼性確保を目的とした制度であり、せっかくこの制度対応によって内部統制を理解した企業としては、本当の目的である業務の有効性、効率性向上のための内部統制（全社的リスクマネジメント）で企業価値を向上させましょう・・・といった考え方も、ここ１カ月ほど、いろいろな方からお聞きしました。（ご批判も含めて。しかし、この考え方からすると、Ｊ－ＳＯＸで学んだ企業が対象ですから、アフターＪ－ＳＯＸというのは上場企業だけが対象なのでしょうか？それとも上場企業と非上場の企業を区別しておられるのでしょうか？）しかしながら、「Ｊ－ＳＯＸ」も「アフターＪ－ＳＯＸ」も、おそらく今後は世間の「期待ギャップ」に悩まされることになるのは間違いないところであります。内部監査人が「適正意見」を出した企業が粉飾決算として捜査対象となった場合、おそらく世間の方は「なんだ、あんなに騒いだ内部統制制度で監査人までオッケーって言ってたのに、これじゃ企業にとってはどぶに金捨てたのと同じやん」、「アフターＪ－ＳＯＸって言って、騒いでいたのに、やっぱり商品の偽装やってるじゃん。だめだこりゃ・・・」と言われることは想像に難くありません。こういった世間のご批判に対して、合理的な説明がつかなければ、内部統制なる概念はおそらく地に落ちていくに違いないと思います。世間の「期待ギャップ」に対して合理的な説明を行うためには、その効用を「見える化」するか、リスクマネジメントなる概念を理解していただくか、あるいは最初から「限界があること」をきちんと世間に認識していただく方法を研究する以外にはないと考えております。内部統制システムを適正に整備運用することによるプラス面（企業価値向上）を「見える化」することが至難の業である以上、すくなくとも「内部統制の限界論」についてきちんと研究し、一般の方々にもわかりやすく説明できることを検討すべきであります。それこそが、唯一、内部統制の有効性を維持して企業価値の向上に恒常的に役立てていける道ではないかと思っております。

以上の提言のうち、ひとつぐらいは、まともにご検討していただける企業さんがいらっしゃれば幸いです。

taka-pooさんのご指摘によって、蛇の目ミシン工業事件最高裁判決の全文を読んでみました。原審は「外形的には（被上告人である取締役ら）には善管注意義務違反が認められるが、取締役らの置かれた状況からは義務を履行できうような期待可能性が認められなかったので、過失はない」として取締役らの責任を否定していたのですが、最高裁は、「期待可能性はあった」として過失を否定し、取締役らの責任を認めています。なお、この最高裁判例を読んだかぎりでは、原審（高裁）の判断構造（善管忠義義務違反と帰責事由は異なる、といった構造）をそのまま踏襲しているのか、それとも伝統的な商法上の通説である善管注意義務違反＝過失、という考え方に立脚しているのか、いまひとつわかりにくいのですが、明確な分類をしているものではありませんので、いちおう伝統的な見解による判断だと（私は）認識しました。つまり善管注意義務の存否については、これを評価事実とみて、いろいろな事情を総合的に考慮したうえで結局のところ、取締役らには善管注意義務違反が認められると締めくくっているものだと考えております。

さて、最近は会社法における内部統制システム構築（体制整備）義務ということもいろんなところで議論されておりますし、それはこれまでの取締役の善管注意義務のひとつにすぎない、とも言われておりますが、それでは企業会計審議会主導の内部統制理論で言われているところの「内部統制限界論」といった論点は、果たして会社法のなかではどういった位置づけになるんでしょうか？ここのところは、たとえば会社法立法担当者でいらっしゃる葉玉さんのブログにおいて「会社法の内部統制は企業会計審議会で議論されているものとは残念ながら無関係といわざるを得ない」と明言されておられますし、また企業会計審議会内部統制部会長の八田教授にお聞きしても「会社法で議論されているものとは直接の関係はない、すくなくとも法務省関係者が審議に加わっていたものではない」とおっしゃっておられますので、ＣＯＳＯフレームワークを直接のモデルとしている企業会計審議会主導の「内部統制」には限界論が妥当しても、会社法における内部統制（体制整備）にはまったく妥当しない議論なのかもしれません。

先日、青山学院での八田先生のご講演でも「内部統制の限界」というものはハッキリと存在するとされていました。これは日本版ＳＯＸ法が施行される場合であっても、ダイレクトレポーティングが採用されず（つまり会計監査人が評価するのは、その企業トップの作成する報告書そのものであって、独自にその企業の内部統制構築の状況を調査報告するものではない）、また内部統制システム構築による目的達成（コンプライアンスの充実、財務情報の信頼性確保、業務の有効性効率性向上）を阻害する「限界」があることと併せ考えますと、実際に評価を担当する会計監査人の法的責任を、かなり広い範囲で回避できるからではないでしょうか。ちなみに、一般に「内部統制の限界」といわれておりますのは、いくら厳格な文書化をはかって内部統制システムを構築したとしても、人為的な「うっかりミス」のような誤謬を回避することはできませんし、また経営者がまったく内部統制システムを無視したり、取締役すべてが共謀して不祥事に走る場合には、それ以外の第三者には内部統制システムが有効に機能しているかどうかはわかりません。また統制環境を整備するのに、その企業の売上と比較してあまりにも多大なコストがかかるような場合でも、その費用対効果の観点から統制システム構築を断念することも「内部統制の限界論」の実例として掲げられております。「どんなに立派なシステムを構築したってミスは起こる」というところから出発しますと、こういった限界論は認めざるをえないように私も思います。

ただ、これを会社法の議論のなかに取り込むことは可能なのかどうか、これからの議論の進展に待たなければいけないと思われます。しかし、たとえば取締役の善管注意義務の内容として内部統制システム構築義務があったかどうかを判断する際に、蛇の目ミシン工業事件の判断過程のように、（たとえば取締役の監視義務の可否を問う場合などを例にとりますと）システムの現状からみれば経営者の不祥事を防止するためのシステム構築義務違反だが、経営者トップが業務担当取締役と共謀して隠密裏に違法活動を継続していたような事例において、それは内部統制限界の典型であるから過失（監視義務違反）があるとまではいえない、といった論理展開が可能なのでしょうか。どうもすんなりとこの「内部統制限界論」を会社法適用場面において利用することには躊躇せざるを得ないように思われます。もしこれを広く認めるのであれば、最終的には「過失なし」とされる場面が増えてくるでしょうし、取締役、監査役にとりましては歓迎すべき立場かもしれませんが、情報の信頼性確保を目的としてみた場合と、職務の適正確保を目的としてみた場合とでは、おのずと内部統制システムが機能不全に陥る要因も変わってくると思います。そのあたりから、会社法における内部統制と証券取引法（金融商品取引法）で議論されるものとの差異があることが明らかになってくるのではないでしょうか。