経営者視点の内部統制　第1回　内部統制とは？

2008年4月以降にはじまる決算期から、全上場企業に日本版SOX法（J-SOX）が適用されることになります。

上場を間近に控えた経営者の方々にとりましては、大きな関心事であるには違いありませんが、文書化であるとかITのツールであるとか方法論ばかりが先行し、なかなか事の本質が見えてこない、のではないでしょうか？

6回の連載となる本シリーズでは、日々の経営との関わりの中で、内部統制、J-SOXをどう捉えていくべきか、という問題意識に立って説明いたします。

会社法、日本版SOX法（金融商品取引法の内部統制に関する項目）の成立によって、内部統制という言葉を随分耳にするようになりました。

ところで、そもそも内部統制とは何でしょうか？

勉強家の経営者の方なら、内部統制のフレームワークのデファクト・スタンダードであるCOSOフレームワーク*の立方体を思い浮かべるに違いありません。

COSOでは、次のように内部統制を定義付けています。

内部統制は、会社の取締役会、経営者、その他の従業員によって遂行される1つのプロセスであり、

1. 業務の有効性・効率性
2. 財務報告の信頼性
3. 法令の遵守

といった目的の達成に関して合理的保証を提供するために設計される。

しかしながら、この定義は分かったようで今ひとつ掴みきれない、というのが本音かと思います。

しかも、同フレームワークが、内部統制を「経営目的を達成するために積極的に取り組むべきで

あるもの」と位置づけているに至っては、益々掴みどころがなくなるのではないでしょうか。

これは、多くの方が、内部統制は文書化など手間とコストばかりかかるもの、会社の利益と

結びつかない余計なもの、という後ろ向きのイメージを持っていることに起因します。

本稿では、「内部統制は経営目的を達成するために積極的に取り組むべきもの」という視点から

出発し、COSOのフレームワークに辿りつくプロセスを通して、内部統制の概念を説明していきたいと

思います。

* COSOフレームワーク：米国公認会計士協会（AICPA）、内部監査人協会（IIA）など

米国の5つの団体によって設立されたトレッドウェイ委員会が、1992年に発表した

”Internal Control- Integrated Framework”の通称

まずは、内部統制を字面のまま、できる限りわかり易く定義し直すことから始めましょう。

「内部統制」とは、会社「内部」でリスクを「統制」（コントロール）するシステムである。

次に、そもそも論として、会社の目的（経営目的）は何でしょう？

会社にはそれぞれ独自のミッション（使命）を抱えておりますが、どの会社も「持続的に発展していくこと」が最終目的であると捉えていいかと思います。そして、会社を持続的に発展させるためには、不確実性に対応していく必要があります。

不確実性には二つの側面があります。一つはプラスの側面、つまり企業価値を高めるものであり、これを（事業）機会といいます。もう一つが企業価値を喪失させるマイナスの側面で、これがリスクにあたります。

つまり、「会社を持続的に発展させるためには、一方で事業機会に果敢にチャレンジし、他方でリスクをコントロールしていく必要がある」と言い換えることができそうです。

そして、リスクの中でも企業「内部」にあるものをコントロールする仕組みが、内部統制ということになります。

ここで今一度、COSOフレームワークに戻ってみたいと思います。

COSOでは、

1. 業務の有効性・効率性
2. 財務報告の信頼性
3. 法令の遵守

の3つを内部統制の目的としていますが、これらは「企業の持続的発展」という最終目的（経営目的）を遂行する上での3つの基準、と捉えると分かり易くなります。内部統制、つまり企業内部のリスクをコントロールしていく仕組みが、これら3つの基準を満たせない場合は、企業の持続的発展も難しくなっていきます。

即ち、業務の有効性・効率性が確保されない場合は、業績の悪化を招くという意味で、持続的発展を阻害しますし、財務報告の信頼性が欠ける場合、例えばライブドアやカネボウなどで起きた粉飾決算は、企業の存亡に関わる致命傷に繋がります。また、法令の遵守がされない場合は、営業停止などの処分を受けるとともに、イメージダウンによる長期的な低迷に企業が見舞われることは、食肉偽装、耐震強度偽装などの偽装事件を例に挙げれば明らかです。

したがって、内部統制は、業務の有効性・効率性、財務報告の信頼性、法令の遵守という基準を達成することにより、企業の持続的発展を支えていく必要不可欠なインフラともいえるものなのです。

ところで、内部統制は、経営目的を達成するために積極的に取り組む必要があることには違いありませんが、これだけでは十分ではありません。下図を見てもらうと一目瞭然ですが、会社の持続的発展という経営目的の達成のためには、内部統制の他に、外部リスクを統制する仕組みや、事業機会に取り組んでいく仕組みを作る必要があるからです。

内部統制は、経営目的を達成するための必要条件であっても、十分条件ではない、という点を

認識しておく必要があるでしょう。そして、この事実認識をベースに、先述のCOSOフレームワークを

作ったトレッドウェイ委員会が、監査法人のPwCと共に開発した企業の総合的リスク管理モデルが

ERM(Enterprise Risk Management)と呼ばれるものです。

ERMでは、内部統制の3つの目的に加え、戦略という軸が盛り込まれています。戦略は企業外部の

事象に依存するものであり、会社の統制の範囲外であることは言うまでもありません。

以上で、内部統制が経営者の方にとって、少しでも身近な概念になっていただけたなら幸いです。

最後に、内部統制と似たような概念であるコーポレートガバナンスについても見てみましょう。

これら2つの概念は、誰が何（誰）を統治（管理）するのかという視点で対比すると、違いが明確になります。

コーポレートガバナンスは企業統治と訳されますが、株主、取締役会、（更には顧客、従業員、取引先などまでを含める場合もある）といったステークホルダーによる、経営者の暴走を防ぐための統治（管理）機構です。

これに対し、内部統制は、（COSOフレームワークによると）社内の人間が全て関わるプロセスですが、責任者は経営者です。したがって、経営者による会社内部のリスク管理と捉えることができます。

ところで、経営者が内部統制の（整備、運用）責任者であるという側面が、内部統制のひとつの限界を形づくります。つまり、経営者による内部統制の無視や、内部統制の弱点を悪用することが起こりうる、

という事実です。不二家、赤福、NOVA、ニチアス、、、と最近起きた不祥事を挙げるだけで十分でしょう。

そして、こうした内部統制の限界を支えるものとして、優れたコーポレートガバナンスというのが必要に

なっているのです。

次回は、「J-SOXと会社法」について述べさせていただきます。