トレンドウオッチvol.1「内部統制」
2009年から施行といわれている企業の遵守事項「内部統制」日本でも、2006年5月施行の「新会社法」や、2009年度の会計から施行といわれている「金融商品取引法」などで企業の遵守事項として「内部統制」という言葉が頻繁に使われるようになってきました。
ソリューションコラム
- 2011年03月17日公開
1.日本版SOX法と内部統制
2009年から施行といわれている企業の遵守事項「内部統制」
今日、情報開示(ディスクロージャー)や法令遵守(コンプライアンス)、企業の社会的責任(CSR)など、企業経営に対する社会的な姿勢が求められつつあります。
米国では、エンロンやワールドコムなどの巨額な粉飾決算事件により、企業の内部統制の重要性が認識され、通称SOX法(企業改革法)が緊急制定されました。
SOX法によって、経営者には、財務報告に係る内部統制の有効性を評価した【内部統制報告書の作成および監査人による監査が義務付け】られることとなりました。
日本でも、2006年5月施行の「新会社法」や、2009年度の会計から施行といわれている「金融商品取引法」などで企業の遵守事項として「内部統制」という言葉が頻繁に使われるようになってきました。 特に、「金融商品取引法」における内部統制は、前述の米国SOX法にならって、
- 「企業の経営者による財務報告の信頼性の宣言」
- 「有効性証明のための内部統制の実現とその評価」
について義務付けるよう述べられています。
「金融商品取引法」では、国内の上場企業およびその連結子会社が対象とされており、およそ4,000社もの企業がその対策を求められることになります。
このように、企業の経営者にとって「内部統制の構築」は対岸の出来事ではなく、自らの経営課題として捉えられることが重要であるとともに、これからは、企業の価値を向上するものとしてポジティブに捉えるべきものでもあると言えます。
日本版SOX法といわれる「金融商品取引法」に盛り込まれている内部統制の枠組みは、2005年12月に金融庁から提出された報告書「財務報告に係る内部統制の評価及び監査の基準のあり方について」の中で詳しく述べられています。
「金融商品取引法」の求める「内部統制」とはどのようなものでしょうか。
財務報告に係る内部統制の評価及び監査の基準のあり方について の中では以下のように定義されています。
- 1. 業務の有効性及び効率性
- 2. 財務報告の信頼性
- 3. 事業活動に関わる法令などの遵守
- 4. 資産の保全
そして、上記4つの目的を達成するための構成要素として
- 1. 統制環境
- 2. リスクの評価と対応
- 3. 統制活動
- 4. 情報と伝達
- 5. モニタリング(監視活動)
- 6. IT(情報技術)への対応
があげられています。
これらの目的、および要素は米国SOX法のフレームワークの標準となっているCOSO(トレッドウェイ委員会支援組織委員会)報告書を参考にしていますが、日本の実情を加味して、目的の「資産の保全」と構成要素「IT(情報技術)への対応」が独自の項目として追加されています。
2.企業にとっての内部統制とは
内部統制の実現のために、企業は何をしなければならないのでしょうか。
「金融商品取引法」の内部統制が企業の経営者に求めるものは、「財務計算に関する書類の適正性の確保」と「適正性を確保するために必要な内部統制の構築・運用」です。
ここで言う、「内部統制の構築・運用」とは社内に内部統制の仕組みを構築するだけではなく、その仕組みが従業員全員に正しく理解され、継続的に機能していくことを求めています。
したがって、内部統制の仕組みは1度構築したら完了ではなく、永続的に管理・監視していくプロセスである必要があります。(図1)
<図1>
ここで、視点を変えて、企業の内部はどのようになっているかを考えてみようかと思います。
企業活動では、いくつかの業務プロセスが連続することによって全体が成り立っています。
内部統制ではこの業務プロセスが正しく規定され、また不正無く正しく実行される仕組みと、状態を求めています。
今日の日本の企業では、日常の業務の全てまたは一部をITによって実現しており(図2)、企業活動においてITは切り離せないものとなっています。
したがって、企業で内部統制を実現するためには、ITの統制も意識していく必要があります。
そのため、金融庁企業改革推進委員会が提出した草案では構成要素に 「IT(情報技術)への対応」 をいう項目が加えられています。
また、多くの企業では、財務計算にかかわる処理に何らかの形でITを利用しています。
その点でも、ITに対する対策は欠かすことができません。
<図2>
3.内部統制を支援するITソリューション
金融商品取引法が求める内部統制は業務プロセスとITを組み合わせて実現されるといえます。 具体的には、望ましくない事態の発生を防止する「不正を防止する仕組み」と、望ましくない事態を発見する「異常を発見する仕組み」をITで支援し、業務プロセスに埋め込むことが必要になると考えます。(図3)
<図3>
そうした不正を防止する仕組みとしては、職務分離、ユーザー認証、アクセス管理、業務プロセス承認などがあります。また、異常を発見する仕組みにはフォレンジック、プロセスモニタリングなどがあげられます。
繰り返しになりますが、「金融商品取引法」が求める内部統制の構築には、企業活動の多くがIT化されている現在、内部統制の構築にもITを利用することは自然な方向と言えます。
ただ、対処療法的にITを導入するのではなく、企業ごとに各プロセスを見直し、効率的に改善を図っていくことが企業の競争力を高めつつ内部統制構築を成功させる条件だと言えます。
米国で内部統制への取り組みを行った企業のアンケートによると、内部統制の取り組みによって得られた副産物として、「業務の効率化」「生産性の向上」があげられています。
内部統制への取り組みは、コンプライアンス対応という義務の意識ではなく、生産性の向上という真の企業価値の向上のための取り組みとして前向きに捉えるべきであると考えています。
NTTソフトウェアは、今までに培った企業システム構築の実績と、最適な製品・サービスの提供により、IT内部統制によるお客様の企業価値や競争力向上を強力に支援していきます。(表1)
<表1>
内部統制強化ポイント | ITによる支援 | 当社ソリューション |
---|---|---|
経営思想に準じた システム構築 | エンタープライズアーキテクチャ | EAコンサルティング |
業務プロセスの標準化 | 業務統合システム(ERP) | N-SOSAS for EBS Fin |
業務プロセスのコントロール | BPM(Business Process Management) ワークフロー | webMethods BPM |
業務プロセスの監視 | BAM(Business Activity Management) | BAM |
情報の改ざんの防止 | 暗号化・電子署名 | CipherCraftシリーズ |
システムへのアクセス制御 | アイデンティティ・マネジメント | CSLGuard |
権限の分掌 | ACTCenter | |
情報の監視 | 情報流通のモニタリング | NiKSUN NetDetector |
経営指数のモニタリング | InfoCabina |