「内部統制は経営者の能力が問われる」八田教授セッション：RSA Conference Japan 2007 REPORT（1/2 ページ）

4月26日、「RSA Conference Japan 2007」のマネージメントトラックで、金融庁企業会計審議会・内部統制部会の部会長を務める八田進二・青山学院大学大学院教授が、「わが国内部統制報告制度の概要と課題」と題して講演を行った。

[岡田靖，ITmedia]

　青山学院大学大学院 会計プロフェッション研究科 教授の八田進二氏は、金融庁企業会計審議会・内部統制部会の部会長を務め、いわゆる「日本版SOX法」、金融証券取引法に関する内部統制実施基準のとりまとめに活躍した。

　今回のRSA Conference Japan 2007では、八田氏は「わが国内部統制報告制度の概要と課題」と題した2時間枠のスペシャルセッションで熱弁を振るった。事前インタビューとも重複する部分が多いので、ここでは八田氏が語った中から、経営者やIT関係者などへ向けたメッセージを中心にお伝えする。

青山学院大学大学院 会計プロフェッション研究科 八田進二教授

「COSOの綴りさえも……」

　本セッションで特に重要なメッセージは、経営者に向けたものと言えるだろう。八田氏は、「主人公は経営者」と語った。そして、経営者自身が明確な目的意識を持ち、強力なリーダーシップを持って取り組むことが、内部統制の構築や運用に不可欠だという考えを、繰り返し強調した。

　「内部統制報告制度や、内部統制のスピリットは経営者にこそ理解してもらわないといけない。この実施基準に関しては、行間まで読んでいただきたい。部下に任せっぱなしにしたり、コンサルタントなどの第三者に投げっぱなしにしていては、主人公不在の内部統制となってしまう」

　金融商品取引法の成立から実施基準の公開までの間に、「JSOX」あるいは「日本版SOX法」にまつわる情報が数多く飛び交った。八田氏は、その中には誤解も多いと指摘する。

日本の内部統制報告制度に関する3つの誤解

　まず米SOX法404条について。日本の金融商品取引法は、SOX法と同じような経緯から作られ、同じような目的を持った法律だが、まったく同じものではない。具体的な実施基準も、後に触れるように相違点は少なからず存在する。次いで文書化については、「内部統制実施基準の中に、『文書化』という文字はない。『記録と保存』としている。大量の文書を作るなんて必要はない」と語った。そして「制度の対応に間に合わない」とする意見については、「2008年4月以降の事業年度から適用されるので、2007年度は準備をしっかりしてほしい」と説明した。

　また、「誤解」としては挙げられなかったが、それに近い対応として、ITに関する記述からITベンダーなどが過剰とも言える反応をしている点にも触れた。これは、事前インタビュー記事にもあるように、現状の企業経営に欠かせない要素として含めたというのが真相であり、なにがなんでもITで解決することを求めたのではないとした。

　それから、「COSOの綴り」についてのコメントが興味深いので紹介しよう。COSO（トレッドウェイ委員会組織委員会）とは、「the Committee of Sponsoring Organizations of the Treadway Commission」の略だ。

　「COSOは複数の組織から構成された経緯があるので、Organizationsが正しい。なのに、100冊はあろうかという『JSOX本』の中にも、Organizationとしている資料が少なくない。どこかで間違えた資料を引き写ししていたのでしょう」

　実際、Webで検索してみても、「Organization」の綴りは少なくない。安易な資料の引き写しが横行している事実に、我々メディア側の人間としては反省せざるを得ない。ちなみに、「最も役に立つ資料は何かと問われれば、内部統制部会の議事録を挙げたい」とのこと。

　このように、内部統制に関する情報が錯綜していることを踏まえ、八田氏はその情報に惑わされている経営者を「右往左往している側にも問題がある」と指摘した。内部統制実施基準は、八田氏らが日本の経営者に向けたメッセージなのである。

「主人公は経営者」

　「この制度は、会計不祥事をきっかけにして、トップにメスを入れなければ、という考えで作られたもの。トップといっても1人で仕事をしているわけではない。何万人もの従業員が働く企業もある。その末端の不正に対し『聞いていない』『知らない』と責任を逃れようとする経営者が多かった。その『ないないづくし』を改めよう、という考えで作られたのが米国の企業改革法（サーベインズ・オクスリー法：SOX法）。経営者は、きちんと会社の末端の状況まで知ることのできるようなシステムを作るべきだ、という考えがあるのです。企業が問題を起こした場合、トップの首を取らなければ済ませられないような時代ですから、責任を明確にしたというわけです」

　日本の金融商品取引法も、同じような考え方から登場した。しかし、日米の内部統制に関する制度を比較すると、その実施基準が策定されるまでの経緯が大きく異なる。

内部統制制度改革の日米比較表

　米国では、まず内部統制の枠組みとして、SOX法以前からあったCOSOのフレームワークが採用された。次いでSEC（証券取引委員会）がSOX法の成立を受けて経営者評価のための規則を作り、さらにPCAOB（公開会社会計監視委員会）が内部統制監査についての基準を作った。PCAOBは、SOX法に関連して、会計事務所が行う監査業務の品質を監視するために設立された民間団体で、主に監査人の立場に立っている。

　「主人公は経営者のはずなのに、まず証券取引委員会、そして監査人と、外部の人たちがそれぞれの立場で、自分たちの都合の良いように作っている。しかも別々の団体が作業をしたため、後出しで基準を厳しくしていったような形になっていった。その結果、手段が目的化してしまい、重厚長大な米国型内部統制基準ができたのです」

　結局、米国では全公開企業の2割ほど、大規模早期適用企業とされた企業のみがSOX法の対象として内部統制開示を行っているのみという現状だ。残る8割、中小規模の企業については、そこまでの対応が難しいとして、適用が延期され続けている。

　そして日本では、米国の失敗を繰り返さぬよう、金融庁が内部統制実施基準の全体をとりまとめることとなった。単一の組織、しかも民間でない団体が主体となることで、関係者の利害にひきずられるのを避ける狙いがあると八田氏は言う。