「内部統制報告制度に関する11の誤解」を誤解せぬよう読んでみたITIL Managerの視点から(1/4 ページ)

3月11日に金融庁が発表した「内部統制報告制度に関する11の誤解」という文書を基に、どこまでやれば内部統制として「必要かつ十分」なのかを読み解いてみた。

» 2008年04月08日 08時00分 公開
[谷誠之,ITmedia]

 本題に入る前に、前回記事のおさらいをしておきたい。内部統制に必要な6つの基本要素は、次の通りである。

  • 統制環境
  • リスクの評価と対応
  • 統制活動
  • 情報と伝達
  • モニタリング
  • ITへの対応

 この6つの基本要素を踏まえた内部統制をするためには、「組織」「プロセス」「ツール」が必要不可欠である、と解いた。この上で、3月11日に金融庁が発表した「『内部統制報告制度に関する11の誤解』等の公表について」というコメントがどのように役に立つのか(あるいは役に立たないのか……)を読み解きたい。

1.米国SOX法と同じか

[誤解] 米国の企業改革法(SOX法)のような制度が導入される。

[実際] 米国におけるSOX法に対する批判を踏まえて、制度を設計。

(具体例)

・トップダウン型のリスク・アプローチ

重大な虚偽記載につながるリスクに着眼して、必要な範囲で内部統制を整備・評価(評価する範囲の絞込みに工夫)。

・内部統制の不備の区分の簡素化

内部統制の不備を「重要な欠陥」と「不備」の2つに簡素化(米国では3つに区分)。


内部統制報告制度に関する11の誤解(リンク先はpdfファイル)より

 米国におけるSOX法は、主に投資家を保護することを目的として、財務報告の厳格化を求めた法律である。やはり、特に重要なのが内部統制の条項である。「米国におけるSOX法に対する批判」というのは、おそらくここの部分を指している。SOX法は財務統制に関する報告だけを義務付けているが、実際にはその財務データの根拠となるすべてのデータが適正でなければならない。

 さらに、そのデータの根拠となるITシステム(具体的にはプログラム)も適正であることを保証しなければならず、結果的には膨大な量の文書やプロセス整備を余儀なくされたのだ。またそれに伴って、会計士や監査人の負担も相当なものになったらしい。

 日本版SOX法はこれをふまえてより簡素な制度にしている、ということらしい。簡素にしている例が、具体例として挙げられているが、これが「簡素にしている例だ」と言えるだろうか?

 そもそも、ここに挙げられているものは「企業会計審議会」が平成17年7月に発表した「財務報告に係る内部統制の評価及び監査の基準(公開草案)の公表について」(リンク先はpdfファイル)からの引用だと思われる。

 同書によると、「トップダウン型のリスク・アプローチ」とは、まず連結ベースで全社的な内部統制の評価を行い、その上で重大な虚偽の表示につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価する、としている。また「内部統制の不備の区分」に関しては、米国では財務報告に関する不備を「重要な欠陥」「重大な不備」「軽微な不備」の3つに区分したことによって混乱を招いたのに対し、日本では「重要な欠陥」と「不備」との2つに区分する、としている。つまりこれは、財務統制に関する簡素化の具体例であり、内部統制そのものの簡素化を述べたものではない、ということになる。

 筆者としては、具体例として上記を引用すること自体がおかしい、と指摘せざるを得ない。具体例が悪いのではない。引用が悪いのだ。日本版SOX法は元々金融商品取引法の一部であるが、実際には会社法やその他の政令などとも融合して、より広く、浅い分野での統制をうたっていることは間違いない(少なくとも筆者はそう解釈している)。

 実際、内部統制の基本要素にも挙げられている通り、企業が内部統制をするにあたってIT統制は避けられない。IT統制において「重大な虚偽記載につながるリスク」を洗い出すためには、確かにトップダウン的に「ビジネスとITとの整合性」を突き詰める必要がある。トップダウン型のリスク・アプローチは非常に重要である。ビジネスを円滑に遂行するに当たり、ITのどこに不備があるかを発見したり、ITの不備に対して虚偽の記載がなされるリスクを事前に発見したりするためには、おのずと全社的な取り組みが必要になる。

 これはどちらかというと組織論的な内容であり、企業は血を流して改善に取り組まなければならない部分である。トップダウンだから簡単だ、ということには決してならないだろう。むしろトップの意識改革、それにともなう企業風土の改革こそが重要であるため、トップダウン型のリスク・アプローチを実現するためには茨の道であることは間違いない。

評価できる点

 一方、内部統制の不備の区分を2つにしたということは、ある程度評価できる。乱暴に言えば、不備の度合いを「ゴメンなさいで済むか、済まないか」の2種類にした、ということである。「重要な欠陥」そのものは、「財務報告に重要な影響を及ぼす可能性のある内部統制の不備をいう」と定義されている。ただし、何をもって「財務報告に重要な影響を及ぼす」とみなすかがあいまいだ。もっともここは、あえてあいまいさを残したのだな、とも思う。脱税が見つかった場合だって、そのほとんどは「申告漏れでした、ごめんなさい」と追徴課税で済ませてしまっているのだから。内部統制の不備が見つかっても、そのほとんどは「ごめんなさい、なんとかします」で済ませてしまえるのではないだろうか。ただし、社会的な信用を失うことは間違いないだろうが……。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ