日本版SOX法・徹底解析

日本の内部統制報告制度が初年度を終えた。そもそも日本の同制度はどのような内容で、どう運営されてきたのか。今後のIFRS適用にも影響を与える日本の内部統制報告制度の現状の総括と制度の定着、継続的な改善を探る

http://www.atmarkit.co.jp/im/fa/serial/jsox/01/01.html

日本の内部統制報告制度（いわゆるJ-SOX）は2009年3月度の決算で大半の上場企業が最初の年度を終え、1つの踊り場を迎えた。この内部統制報告制度、制度の面や実務の面、さらにはITの面でユーザー企業に多大な影響をもたらしたわけだが、制度の趣旨にかんがみて企業側の対応は期待された姿になったのだろうか？ 内部統制報告制度の次のステージに向けて、現状の総括と今後の展望を俯瞰（ふかん）する。

日本の内部統制報告制度の概要と特徴、歴史

　日本の内部統制報告制度の柱は、大きく金融商品取引法（金商法）・会社法・東証など取引所による規制の3つに分かれる。ここでは金融商品取引法と会社法について触れる。

金融商品取引法における内部統制報告制度

　企業の会計不祥事に端を発した内部統制報告制度の整備は、米国で先行して2004年より実施されたサーベインス・オックスリー法（通称SOX法）の適用を機に一気に加速した。日本においても2006年6月に旧証券取引法一部が改正され、金融商品取引法（金商法）が施行されたことで、金融庁を中心に新たな制度の構築が進んだ。

　2007年1月31日に金融庁の企業会計審議会が公開した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」（金融庁の公表資料）が、実質的に日本の内部統制報告制度の拠り所として広く認められるようになった。いわゆる「内部統制基準」「内部統制実施基準」の制定である。

　そこでは「財務報告に係る内部統制」すなわち、決算書類を作り上げるプロセスにおける「重要な欠陥」がないかどうかに焦点が当てられた。

　「内部統制基準」の特徴は、内部統制のフレームワークとして広く認知されている「COSOフレームワーク」に大胆な改訂を加えたことにある。COSOフレームワークとは、1992年に米国のトレッドウェイ委員会組織委員会（COSO）が策定した内部統制のフレームワークであり、実質的な標準として広く利用されている。

　具体的には、次のような改訂を加えた。

「国際化」を目指して……「資産の保全」という目的を追加

「最新化」を目指して……「ITへの対応」という基本的要素を追加

　そして、金融商品取引法における内部統制報告制度においては、具体的には次の2つの文書が成果物とされる。

「内部統制報告書」（経営者が自社の内部統制について評価した結果について表明する文書）

「内部統制監査報告書」（経営者が評価した内部統制報告書の内容について、重要な虚偽がないかどうか監査した結果を外部監査人が表明する文書）

会社法における内部統制報告制度

　一方の会社法では、業務執行者（代表取締役、取締役）に対する善良な管理者としての注意義務（善管注意義務）の一環として、内部統制の整備義務が課されるようになった。具体的には、大会社（資本金5億円以上、負債200億円以上）において取締役会が内部統制の体制整備について「決定」することを義務付けており、ここでの内部統制は財務報告に限定せず、会社業務全般が対象となる。

初年度における設定主体の対応

　関係者の期待に応える形で満を持してリリースされた金融庁の「内部統制実施基準」であるが、実際の導入の過程は困難を極めた。

　金融商品取引法に基づく制度そのものは企業側に多大な負担をかけないようにとの実務的配慮から策定されたのだが、内部統制の導入そのものが多大な時間や工数をかけるという想定のもと、ITベンダやコンサルティング会社など各社がこの商機を狙って多くの内部導入支援サービスや関連製品をリリースした。実際に先行する米国では1社当たりの導入金額が数億円という統計が出ており、企業側としても相応の予算確保が迫られるとの風潮が広がり、導入サービス・製品にとっては追い風となった。

　その結果、企業側のユーザーは混乱した。

「ここまで手間をかけて導入する必要があるのか？」

「どこまで対応すれば完了したことになるのか？」

　これらに対する答えは1つではない。内部統制の考え方自体が継続的な改善を求めていくものであることもあり、初年度からパーフェクトな対応ができるわけではないのだ。ゴールの感覚も各社にとってばらつきがあり、結果として過剰な対応（後述）を迫られる企業も多く見受けられた。

　そして導入初年度の準備も終わろうという2009年3月に金融庁が公表した「内部統制報告制度に関する11の誤解」（金融庁の公表資料） は、このように押し上げられた熱気や期待に冷水を浴びせることになる。

　この資料にある「特別な文書化は必要でなく、既存の文書を適宜利用可能」「すべての業務プロセスを評価するのではなく、重要性の観点から対象範囲の絞り込みが可能」といった説明は制度の趣旨を再度周知する内容にとどまるものだが、それでも内部統制整備に追われる企業にとってはインパクトが大きいものとなった。

　「なぜこのタイミングで出すのか」「もっと早く出してほしかった」という関係者の批判も浴びながらも、内部統制導入初年度は沈静化に向かった。そして多くの企業が初年度の内部統制監査に直面することとなった。

内部統制対応1年目の総括

3月決算企業における評価結果

　レキシコム総合研究所のまとめた「内部統制報告書」の詳細分析によれば、初年度における内部統制報告書（企業側が自社の内部統制について評価した結果を表明する文書）における傾向は以下のようになっている。

　3月決算において内部統制報告書を提出した2670社のうち、自社の内部統制について

「有効である」と表明した会社：2605社

「有効である」と表明しなかった会社：65社

　となった。

　また、「有効である」と表明しなかった会社の内訳は

「重要な欠陥が存在する」：56社

「評価を実施することができずに意見不表明とした」：9社

　だった。

　「重要な欠陥」として識別されたプロセスは「決算・財務報告プロセス」から発生したものがもっとも多く（42件、61.8%）、その原因として「検討・承認手続の不備」を挙げる企業が40％を超えたのが特徴的である。

　「取引に際し、また会計仕訳の計上に際し、十分な検討や承認手続が実施されないまま処理が実行された結果、会計処理を修正するに至ったとするケースが多い」と、同レポートでは述べている。

　また「組織体制上の不備」として、人員数の不足や専門的知識・経験を有する者がいないなど、人員に関する問題も多く見受けられた。

企業の対応状況とその結果から分かること

　また、金融庁の公式発表資料としては、2009年7月7日に「平成21年3月決算会社に係る内部統制報告書の提出状況について」（金融庁の公表資料） が公表されている。ここでは「重要な欠陥」に関する具体例が挙げられており、例えば「決算・財務報告プロセス」においては以下の例示がある。

子会社の繰延税金資産の回収可能性の判断の適用を誤り、さらに、それに対する牽制が十分機能しなかった

当期の決算作業についての決算手順書等が整備、運用されていない。連結決算のために必要となる情報の収集に不足がみられる。開示資料の作成に際し、責任者による査閲等が実施されていない。

　それ以外の「重要な業務プロセス」においては以下の例示がある。

営業部門において、適正な売上計上に必要な契約内容の確認及び承認手続の運用が不十分であったため、当期の売上高について重要な修正を行うことになった

輸入原材料仕入プロセス及び在庫管理プロセスの一部において、適正な仕入計上及び在庫計上に必要な承認手続の運用が不十分であったため、当期の買掛金及び棚卸資産について重要な修正を行うことになった

　一連の公表資料、および筆者の周囲から入ってくる関係者の情報からみられる全体的な傾向として、内部統制報告制度の趣旨に合致する形で現行業務プロセスの不備をある程度あぶり出すことができたものととらえることができる。

　その中でも特に決算書の不備に直結しやすい「決算・財務報告プロセス」の不備については企業側が積極的に開示する姿勢がみられたこと、またそれ以外の業務プロセスについては時間的・要員的制約から十分な評価に至らなかったことが推察される。

制度と実務の乖離（かいり）

　重大な欠陥を表明する企業が散見されたものの、全体的には多くの企業が大きな混乱なく内部統制初年度を通過することができたように見える。一方で、そのために費やされたユーザー側の導入工数は多大なものとなった。

　導入工数が大きくなった原因の最たるものは業務プロセスの「評価範囲」に起因する。「内部統制実施基準」では、販売や購買などの「決算・財務報告プロセス以外の重要な業務プロセス」について、合理的な判断基準による評価範囲の絞り込みを認めている。この点が広く理解されていたとは言い難い面があり、また初年度対応であることから保守的に判断してすべてのプロセスに作業範囲を設定して対応を推進した企業が多く、結果として「全体的には重要でない業務プロセス」についても文書化が行われ、評価のために工数を割かれる結果になってしまった。

　文書化については、業務フロー・業務記述書・リスクコントロールマトリクス（RCM）のいわゆる3点セットを完全な形式で作成することを求めすぎたことで工数を大きくしてしまった側面がある。制度の趣旨からは評価に必要な証拠力を備えていれば必ずしも3点セットである必要はなかったのだが、このあたりの誤解は根深く、最後までいわゆる「3点セット至上主義」にとらわれてしまった企業は多い。

　監査する側においては、外部監査人としても対応初年度であることから、時間的制約および優先度の観点から「決算・財務報告プロセス」を重視し、それ以外のプロセスについては限定的に監査範囲を設定し、場合によっては監査しないというケースも多かったようだ。極度に厳格な対応とならないよう配慮する一方で、保守的かつ厳格に監査を行うこともあるなど、監査の現場によってばらつきがあり、方針は必ずしも統一していないのが実態である。

　とにもかくにも、企業側では多くの準備作業を費やし、監査サイドとの調整にも必要以上に神経質に対処しつつ、内部統制対応初年度は完了した。

　制度の趣旨に照らして、果たして今の状況は適切な対応がとられていると考えるべきだろうか？ 次回はこれらの現状を踏まえた今後の方向性について考察する。

筆者プロフィール

原 幹 （はら かん）

株式会社クレタ・アソシエイツ 代表取締役

公認会計士・公認情報システム監査人(CISA)

井上斉藤英和監査法人（現あずさ監査法人）にて会計監査や連結会計業務のコンサルティングに従事。ITコンサルティング会社数社を経て、2007年に会計/ITコンサルティング会社のクレタ・アソシエイツを設立。

「経営に貢献するITとは？」というテーマをそのキャリアの中で一貫して追求し、公認会計士としての専門的知識および会計／IT領域の豊富な経験を生かし、多くの業務改善プロジェクトに従事する。翻訳書およびメディアでの連載実績多数

要約

　日本の内部統制報告制度は2009年3月度の決算で大半の上場企業が最初の年度を終え、1つの踊り場を迎えた。内部統制報告制度の次のステージに向けて、現状の総括と今後の展望を俯瞰（ふかん）する。

　日本の内部統制報告制度の柱は、大きく金融商品取引法（金商法）・会社法・東証による規制の3つに分かれる。ここでは金融商品取引法と会社法について触れる。

　企業の会計不祥事に端を発した内部統制報告制度の整備は、米国で先行して2004年より実施されたサーベインス・オックスリー法（通称SOX法）の適用を機に一気に加速した。日本においても2006年6月に旧証券取引法一部が改正され、金融商品取引法（金商法）が施行されたことで、金融庁を中心に新たな制度の構築が進んだ。

　2007年1月31日に金融庁の企業会計審議会が公開した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」が、実質的に日本の内部統制報告制度の拠り所として広く認められるようになった。いわゆる「内部統制基準」「内部統制実施基準」の制定である。

　そこでは「財務報告に係る内部統制」すなわち、決算書類を作り上げるプロセスにおける「重要な欠陥」がないかどうかに焦点が当てられた。

　一連の公表資料、および筆者の周囲から入ってくる関係者の情報からみられる全体的な傾向として、内部統制報告制度の趣旨に合致する形で現行業務プロセスの不備をある程度あぶり出すことができたものととらえることができる。

　その中でも特に決算書の不備に直結しやすい「決算・財務報告プロセス」の不備については企業側が積極的に開示する姿勢がみられたこと、またそれ以外の業務プロセスについては時間的・要員的制約から十分な評価に至らなかったことが推察される。

　重大な欠陥を表明する企業が散見されたものの、全体的には多くの企業が大きな混乱なく内部統制初年度を通過することができたように見える。一方で、そのために費やされたユーザー側の導入工数は多大なものとなった。