そもそも内部統制とは|サステナビリティ開示にも対応! VUCA時代の内部統制(第1回)
こんにちは、中央経済社note編集部会計実務担当です。
4月に連載した『収益認識の期末注記対策』(第1回、第2回、第3回)の著者・高田康行先生と新連載の企画相談を重ねること4か月…。
高田先生といえば、『収益認識のポジション・ペーパー作成実務』(中央経済社刊、書評1・書評2)をご執筆いただいたということで、収益認識会計の専門家といったイメージもあるかもしれませんが、弊社とのお付き合いは古く、2009年に『旬刊経理情報』(4月1日号)にご寄稿いただいた「2年目の内部統制」がデビュー(?)作です。この特集はその後連載も経て、『内部統制におけるキーコントロールの選定・評価実務』(中央経済社刊)として、1冊の本になりました。
当時、内部統制というと、(エンロン事件からの流れもあって)虚偽表示リスクみたいな問題に対応するといったイメージが強かったわけですが、10年の時を経て、感染症リスク、気候変動リスク、地政学リスクといった新たな事業リスクの関心が高まっています。それ以前に、当時の担当者がとっくに異動してしまって、内部統制なにそれ状態の会社さんもあるでしょう。
そんなわけで、内部統制の基本に立ち返り、10年で変わったこと変わっていないことを確認しつつ、新たなリスクにどう対峙していくか、といったところまで繙く連載をお願いしました。
なお、本連載の意見にわたる部分は、筆者の私見であり、所属する法人の公式見解ではありませんので、ご注意ください。
1 今、あらためて内部統制を考える意義
内部統制報告制度(以下「JSOX」といいます)が2009年3月期から導入されて10年以上経ちました。導入当初、「内部統制」という馴染みのない考え方にどのように対処するべきかと、多くの企業において喧々諤々と議論されていたことが、つい昨日のことのように思い出されます。しかし、10年ひと昔といわれるように、導入後、制度の安定運用に関心が移ってからは、どのように効率化するかが重視されて、そもそも自社の内部統制はどうあるべきかといった検討や、新しい取組みへのチャレンジを行わなくなった企業も少なくないと思います。10年経てば、担当者も世代交代するので、導入時の議論の成果ともいうべき自社の内部統制に関する根本的な考え方が十分引き継がれず、形式的な前例踏襲型の制度対応に陥っている場合も考えられます。
そうした筆者の推察は、内部統制報告書において会計不正の後で報告される「開示すべき重要な不備」や、その際によく聞かれる「形式的な対応への反省」といった言葉からもあながち間違いではないでしょう。
企業の外に目を転じると、この10数年の間には、コーポレートガバナンスやESG(Environment環境・Social社会・Governanceガバナンス)、SDGs(Sustainable Development Goals持続可能な開発目標)、それからサステナビリティ開示といった分野の関心が高まっており、内部統制の観点からみても、その基本的要素(※1)のうち最も重要といわれる「統制環境」との関係が深く、「統制環境」が改めて重要になってくると考えられます。
また、感染症リスクや地政学リスクについて、これまでも認識はされていたものの、リアリティをもってその重要性を理解していた人はそう多くはなかったと思われます。しかし、コロナ禍やロシアのウクライナ侵攻など、そうしたリスクが次々と実際に発現し、個人や組織に与える甚大な影響を我々は目の当たりにしました。そうしたリスクについては、どの程度事前に対応できるかという問題はありますが、少なくとも、基本的要素のうち「リスクの評価と対応」の重要性を切実なものとして実感しました。
さらに、企業会計においては、注記事項が非常に多い国際財務報告基準(IFRS)をベースとした会計基準が開発され、監査制度においては監査報告書上「監査上の主要な検討事項」(KAM:Key Audit Matters)が導入されるなど、ディスクロージャー(開示)の強化が図られています。これらは、JSOXの目的である財務報告の信頼性の確保と密接な関係があります。
(※1)「財務報告に係る内部統制の評価及び監査の基準」(いわゆる「内部統制基準」)では、内部統制を構成する6つの基本的要素として、①統制環境、②リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング(監視活動)、⑥IT(情報技術)への対応を挙げている。
このような企業内外の状況を踏まえると、あらためて、企業を取り巻くリスクに対するアプローチの根幹にある「内部統制」というものが何かを解説することは、多くの方々の今後の取組みの参考になるのではないかと考えました。
ただし、この連載は、内部統制概念の教科書的な解説を目的としたものではありません。制度導入時に筆者らが執筆した『内部統制におけるキーコントロールの選定・評価実務』(中央経済社、2010年)の中の「経営者に宛てた18のコラム」を引用して、そこで述べた内部統制の本質的な考え方が10年経っても変わっていないことを確認しつつも、この10年で変わったことが何であるかについても、補足するような解説にしたいと思います。なお、本連載の『 』書きは、同書からの抜粋です。
『内部統制は、所定の目的を達成するために組織を動かしていく仕組みであり、組織の運営責任者である経営者の視点に立って体系づけられています。したがって、内部統制の本質を理解するためには、コントロールを受ける側ではなく、経営者の視点で内部統制を考察すべきではないでしょうか。
また、経営者自身による不正は、内部統制で予防・発見できない場合が多いといわれます。何よりも経営者に内部統制の重要性をわかっていただけないと、経営者不正を防ぐことはできません。』
このような趣旨で、本連載は、「経営者」の視点で、内部統制基準等を参考にしながら、主に内部統制の基本的要素をザックリと解説していきます。そして、企業を取り巻く現在の環境変化がJSOXに与える影響についても適宜補足します。本連載を、効率化一辺倒の対応からの脱却や新しい対応への取組みのきっかけにしていただければ幸いです。
2 統制とControl
『「内部統制」とは、何でしょうか。私は、日本語の語感から得られるイメージは、その本質の理解を妨げていると感じています。「統制」を国語辞典で引くと「国家などが一定の計画や方針に従って指導・制限すること。物資の統制。言論を統制する。」(大辞泉)とあり、「統制」からは「当局の行う取締り」というイメージが感じ取れます。
しかしながら、「内部統制」の本質は、そのようなイメージとは異なります。「内部統制」は、欧米から持ち込まれたInternal controlが邦訳されたものです。Controlの語源は、「Controle(16世紀フランス:勘定帳簿)contra-(反対に)rol-(転がす。Roll)」であり、「帳簿を反対方向に回す。」「(遡って)調査する。照合する。」です。その語源が「勘定帳簿」にあるのは、「Internal control(内部統制)」の概念が、公認会計士の会計監査から出てきたという事実に無関係ではないかもしれません。
14世紀にイギリスではじまった会計監査においては、監査対象が小規模な企業であったため、企業が行ったすべての取引を検討対象とする「精査」が可能でした。しかし、産業革命以降、企業規模が飛躍的に拡大したため、人的および時間的な限界から「精査」を実施することが不可能になりました。そこで、19世紀後半のアメリカの公認会計士たちは、組織に内在する企業自身をcontrolするための仕組みが信頼できるものであることを検証したうえで、サンプリング(抜取検査)によって決算書の妥当性を確かめる「試査」という監査手法を確立したのです。
つまり、会計監査を効率的に実施する目的から、もともと企業の中に存在した仕組みにスポットライトを当て、それが「Internal control(内部統制)」と名付けられたのです。』
3 組織を存続させていくための仕組み
『複数の人々が集まって組織を形成するのは、一定の目的を達成するためです。組織を有効、かつ、効率的に運用するためには、目的を明確にする必要があります。また、組織を存続させていくためには、目的達成を妨げる要因(リスク)を継続的に分析し、そのリスクに対策を立てることが必要です。少なくとも、組織体制(業務分掌・職務分掌)を明確にし、組織運営のための手続を定める必要があるでしょう。そして、その組織体制において、定めた手続を実施し、その実施状況を組織全体に伝達することも重要です。加えて、その実施結果を評価することも重要で、改善等が必要な点や新たなリスクが発見されれば、その後の組織体制および手続の構築に反映していくべきです。なお、近年ではIT(情報技術)の発達に伴い、ITをどの程度利用するかも検討されることでしょう。
これらの仕組みは、合理的な組織の中には当然に存在します。そもそも組織の中に存在するこのような仕組みに、一定の目的のため(最初の目的は、会計監査の効率化でした)、理論構成し体系化されたものが、「内部統制」なのです。「内部統制」は、組織として存続するためには、その中に当然あるはずのものです。
ただし、「内部統制」は存在するが有効でないため、重要な問題が発生し苦難に直面している組織はたくさんあるように思われます。』
4 ESG、SDG's、そしてVUCA時代の内部統制
JSOX導入後、前述の企業内外の状況に関連して、わが国では、2015年にコーポレートガバナンス・コード(東京証券取引所、2018年と2021年に改訂)、2018年に監査・保証実務委員会研究報告第32号「内部統制報告制度の運用の実効性の確保について」(日本公認会計士協会)が公表されています。
また、わが国の内部統制基準が手本とした1992年発行のCOSO(※2) 内部統制フレームワークについても、2004年にCOSO ERM(Enterprise Risk Management、2017年に第2版)、2013年に内部統制フレームワークの改訂版、2018年にCOSO ESGが発行されています。なお、2022年3月には国際サステナビリティ基準審議会(ISSB)が、IFRSサステナビリティ開示基準に関する2つの公開草案(サステナビリティ関連財務情報の開示に関する全般的要求事項、および気候関連情報の開示に関する要求事項)を公表しています。これらは内部統制と直接または間接的に関係するため、内部統制に与える影響や組織変革を検討する必要が出てくると思われます。
さらに、本質に遡って考えると、内部統制は、組織を存続させていくために、別の言い方をすると、組織の持続可能性(サステナビリティ)を高めるために、その中に当然あるはずのものです。ESG、SDGs、そしてVUCA(Volatility変動性・Uncertainty不確実性・Complexity複雑性・Ambiguity曖昧性)といった用語が、組織存続のための重要なキーワードとされる現在、たとえ法律や基準の定めがなくても、主体的・自律的にそれらの新たな考え方に適応して組織を変革することが内部統制の本質なのでしょう。
組織変革の際には、内部統制の6つの基本的要素(①統制環境、②リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング、⑥ITへの対応)をフレームワークとして用いて整理・検討すると、効果的かつ効率的であると思われますので、本連載では重点的に解説したいと思います。
また、注記事項を多く含む新たな会計基準の導入や、今後の重要なトピックであるサステナビリティ関連の財務情報開示等は、JSOXの財務報告に係る内部統制の対象となるでしょう。したがって、今後JSOX上、内部統制が有効であるとの判断を継続していくためには、そのような新たなトピックに対応するための取組みが必要になると思われます。そうした取組みを行っていく際にも役立つような内容にしていきたいと思います。
(※2) COSO(The Committee of Sponsoring Organizations of the Treadway Commission トレッドウェイ委員会組織委員会):アメリカにおいて、1970年代以降の粉飾決算の多発を受けて、1985年にアメリカ公認会計士協会(AICPA)は、アメリカ会計学会、財務担当経営者協会、内部監査人協会、全米会計人協会に働きかけ、「不正な財務報告全米委員会(The National Commission on Fraudulent Financial Reporting)」(委員長J.C.Treadway, Jr.の名前を付してトレッドウェイ委員会)を組織した。トレッドウェイ委員会は、内部統制の重要性を指摘し、特にその評価に関する基準の設定を勧告したことから、内部統制のフレームワークを提示することを目的として、組織委員会を組織した。この組織の略称がCOSOといわれる。
次回は内部統制の歴史を繙きつつ、内部統制と関係が深い制度等についてもう少し詳しく解説します。
筆者略歴
高田 康行(たかた・やすゆき)
公認会計士。会計に加え、内部統制・コーポレートガバナンスと開示が専門分野。2022年2月にMazars有限責任監査法人に入所し、主に上場企業に対する監査業務に従事するとともにナレッジ・コミュニケーション推進室で活動している。主な著書に『収益認識のポジション・ペーパー作成実務 開示、内部統制等への活用』(2021年7月)、『内部統制におけるキーコントロールの選定・評価実務』(共著、2010年6月)がある。
法人紹介
Mazars有限責任監査法人
グローバルに展開する日系上場企業への監査を主な得意分野とする、国内Top20規模の中堅監査法人。世界中に44,000人以上の構成員を有するMazars のワン・ファーム・コンセプトのもと、90か国以上にわたる広範かつ強固なパートナーシップに基づき、グローバル対応能力に長けた経験豊富なプロフェッショナルが、シームレス、かつ、深度のある監査・保証業務を提供している。