内部統制評価こと始め

J-SOX狂想曲

　あれは2008年だったと思う。実際には、その前から準備が進んでいたのだが、上場している会社と、その会社との連結決算に組み込まれる子会社等には「内部統制」の仕組みを構築して、それをきちんと運用していると評価（監査）されたことを報告することになったということで慌ただしくなっていた。
　内部統制って何かというと、wikipediaには次のようにまとめられている。

内部統制とは、組織の業務の適正を確保するための体制を構築していくシステムを指す。すなわち、組織がその目的を有効・効率的かつ適正に達成するために、その組織の内部において適用されるルールや業務プロセスを整備し運用すること、ないしその結果確立されたシステムをいう。

wikipedia

要するに、それぞれの職場で仕事がきちんと正しく回るようにルールを作ったり、チェックすることにしているはずだけど、ちゃんと出来ているよね、という話である。
　そして、自分たちだけで、ちゃんと出来ていると言うだけじゃ駄目なんだよね。会社の中で専門の部署の人たちによって、仕組みが出来ていることが確認されて経営者に報告されていること。それを含めて、公認会計士がまるっと全体を監査するからね。という話になったのであった。
　どうして、そういう話になったのかは後でふれるけれども、端的には金融商品取引法という法律の中で、内部統制評価報告制度というものが定められて、上場会社には株主（投資家）に対する説明というか開示が義務付けられたわけである。
　ともかく、その準備で忙しくなった。その法律を事実上つくった金融庁も、ドタバタしたように憶えているが、会社側では三点セットと呼ばれる書類を頑張って作りだした。内部統制がちゃんと出来ているかどうかを評価とか監査とかする前に、その職場の仕事では、どういうミスとか失敗がありえて（リスク）、どういう仕組みでそれに対応しているのか（コントロール＝統制）を目に見えるようにする必要があるという訳である。それが三点セットの業務フロー図、職務記述書、リスクコントロール・マトリクスという新たな書類であった。
　なんでもそうだけれど、新しい仕組みをつくる時は、相当の労力が必要であった。会社では、新たに内部統制評価報告制度に対応するための部署を設けて、そこに人を集めたものである。また、公認会計士、もっと正確に言うと、公認会計士さんたちが集まってつくっている監査法人でも人を増やす必要が出てきた。
　会社全体で対応しなければいけない事態ではあったけれど、この制度の仕組みとか、三点セットの意味や作り方を理解しているのは、新たに設けられた専門部署の人たちだけだった。だから、その人たちが、関係する職場ごとにヒアリングをして、三点セットをつくっていったのである。それは、制度が立ち上がって以降も、あまり変わっていないのではなかろうか。
　そして、三点セットで統制の仕組みを目で見える形にしたならば、その仕組みがちゃんと運用されていて機能しているか、を専門部署の人たちがテストをして確認する。例えば、製品の倉庫では、受け取った出荷指示書の指示にしたがって担当者が正しいモノを正しい数だけ揃えて出荷梱包作業に回すのだが、複数の人が紙の伝票に正しいことを確認したと判を押す仕組みがあるとする。すべての伝票をチェックすることはできないが、専門部署の人たちが統計的な手法で伝票をサンプリングして確認することが、この場合のテストとなる。
　他方で、監査法人は、そうした会社側の運用とテストがきちんと行われたかを総合的に監査する。当時、監査法人では仕事が急増したので、公認会計士の資格をまだ保有していない人たちも補助要員として、多く雇い入れて対応した（会計監査業務は行わないから可能）。しかし、新制度の立ち上げが終わって、監査法人にとっての繁忙が過ぎた後には、資格を持たない補助要員の人たちは整理されていった。憶測だが、おそらくハナから契約社員のような採用のされ方だったのではなかろうか。
　この立ち上げ段階では、企業の中で半ば遊休化していた管理職の再活用が図られ、監査法人はブームで実入りが多くなり、エラい先生の中には著書が売れて御殿が建った、などと噂された人も居た。日本の金融商品取引法にもとづく内部統制評価報告制度のことをJ-SOX（ジェイソックス）と呼ぶが、まさにJ-SOX狂想曲と言っても過言ではないブームだった。

昔から存在している内部統制

　さて、上で挙げた製品倉庫の出荷伝票について言うと、一人だけで出荷指示書にもとづいて棚から製品をピックアップして、出荷梱包作業に回してしまうと誤出荷という事故が起きる恐れが高くなる。それを防ぐために、ある担当者が、棚から製品をピックアップしたら、それを別の人が出荷指示書ともう一度照合して確認を行う。そうして出荷伝票には二人の人間が確認を行ったという証跡が残るので、出荷梱包を行う係の人は、製品と伝票を受け取ったら伝票に二人の人間が判を押したことを確認してから梱包作業にかかるという具合である。
　つまり、内部統制の評価報告を行う必要があるような大きな会社だったら、もともと作業のミスや事故あるいは不正が起きにくくなる工夫をして、内部統制の仕組みをもっているものである。それは、証券取引所でも上場審査を行う場合に昔から確認していることでもあった。例えば、経理業務であったら現金を直接扱う人と現金の帳簿をつける人は別々にするとか、購買業務であったら、購入依頼を行う人、取引先に注文を出す人、納品を確認する人は別々にするなどの仕組みである。
　今は仕事がIT化されていて紙の伝票があまりないという会社もあるだろうし、その場合の内部統制のテストはまた違う手法を用いることになる。さはさりながら、上の例で挙げたような工夫つまり、仕事を分けて、担当者を複数置いて要所々々で確認をして証跡を残しながら仕事を進めることはJ-SOXの前から広く行われてきたことである。上述したように「職務分離」と「相互牽制」は内部統制の基本中の基本である。
　だからJ-SOXと言っても、統制そのものについては、ことさら新しいことを行うわけではなくて、新しいのは内部統制がきちんと出来ていることを会社の外に向かって示して、主に株主に安心してもらおうという評価制度のところである。どうして、そういうことになってしまったのか？
　それは、米国で発覚した企業による大型の不正会計事件がきっかけだったのである。これは21世紀初頭に、エンロンというエネルギーの大手企業、ワールドコムという通信の大手企業が偽りの会計報告をしていたことがバレた大スキャンダルであった。詳細は省くが経営成績が思わしくなかったのに実態を粉飾した決算を行い報告していたために露見した後は、株主は大損をしたし、それらの企業はなくなってしまい、おまけに粉飾に関わったとして米国の代表的な監査法人の一つもなくなってしまった。
　立て続けに出来した大型の不正によって、米国では株式市場の信頼性が損なわれる事態にまで陥ったので、不正会計を防止するためとしてSOX法（Sarbanes-Oxley Act of 2002）を立法して企業の内部統制についての監査報告制度を新たに設けたのである。折から、日本では会計ビッグバン＝会計基準の国際標準化の真っ最中であり、金融庁主導で政府も米国に追随する動きとなった。
　J-SOXという呼称の由来はこうした経緯にある（JはもちろんJapanのJ ）。J-SOXには、前述の三点セットがあったり、本家のSOX法と比べて企業の負担を軽くする配慮があるなど相違点もあるが、COSOフレームワークというリスクコントロールの考え方など基本的な概念をSOX法と共有している。
　ここで一つ注意しておきたいのは、金融商品取引法が規定するJ-SOXというのは、あくまで内部統制の中で、財務報告の信頼性つまり決算が公明正大であることの裏づけの面についての話だということである。内部統制は、他にも会社のコンプライアンスの面や、財産の保全の面や、戦略に沿って仕事そのものを正しい方向で効率的にすすめていることの裏づけとしても考えることができるのであり、会社法で規定しているのはそういう広義の内部統制である（ただし、内部統制という言葉は直接用いていない）。

「J-SOXは事務屋のISO」

　私が会計ビッグバンの時期に出向していた子会社でもJ-SOXを導入することになった時に経営者が発した名言がこれであった。経営者は、準備に相応の工数を要するものだから、心して取り組むようにという趣旨で言ったのだが、今思うと妙に含蓄がある言葉である。ISOとはもちろん、品質保証のISO9001を筆頭に日本企業にも馴染み深い国際的な認証制度である。最近は環境のISO14001も重視されているが、これらの認証を取得した企業は品質保証や環境負荷に関してPDCAのマネジメント・サイクルを回して自己評価する仕組みを持っているとお墨付きをもらったことになる。
　私が先の経営者の言について妙に含蓄を感じるのは、ISO認証を取得したはずの大手メーカーが品質管理上の不正を長年に渡って組織ぐるみで行っていた事例が複数露見しているからである。ここで具体的な企業名を出すことは控えるが、過去十数年の間に報道された企業不正の事例は呆れるほど多かった。おそらく人的リソースなのか、業務プロセスの変化なのか、実態はよくわからないが日本の大企業において何か変化の節目があったのではないだろうか。
　それはさておき、ISOの認証制度とJ-SOXの評価報告制度には似ている点がたしかにあり、認証なり監査なりをパスしたからと言って、不正が行われている心配はないと言い切れるものではない点も同様である。そもそも、「内部統制の限界」ということが学問的にもはっきり言われているのである。前述したような「職務分離」や「相互牽制」といった基本的な内部統制の仕組みが構築されていたとしても、内部統制の仕組みを無効化してしまうケースが２つあるとされている。一つは「経営者の暴走」でもう一つは「共謀」である。
　せっかく現場の内部統制の仕組みが出来ていても経営者が職権を乱用する場合には、上意下達で仕組みが働かない状態におかれることがありうる。また、現金を扱う人と帳簿をつける人が裏で共通の利害で繋がって共謀した場合も統制の仕組みは働かなくなる。難しい本を読まなくても想像がつく話である。
　だから、内部統制評価報告制度にも自ずから限界はある。2014年になるが著名な経営学者の加護野忠男氏がJ-SOXの問題点について書かれている。https://bizgate.nikkei.com/article/DGXMZO3115447030052018000000
日本企業が長期雇用のメンバーシップ制であるからとか、性悪説にもとづく統制の仕組みは経営を劣化させるとか、加護野氏の所論の前提にも疑問点はあるが、やはり経営者の暴走に対して内部統制には限界があるし、日本では大きな不正をはたらく経営者は少数なのに多くの企業に負担を強いる制度に疑問を呈しておられる点はうなずけるところがある。
　それでも、内部統制を推進し維持向上させる立場にいた人間から見ると、財務報告に限定されているとは言え、リスクと統制を可視化した意義は大きく、おそらく後戻りはできないのだろうと思う。反面、そういう立場にない現業部門から見れば、仕事の仕組みそのものは変わっていないのにテストなどという余計な仕事が増えたと感じる人がほとんどだろう。また、財務報告の信頼性以外の領域の内部統制については経営者または管理職のアートの世界であり、テスト以前に言語化や可視化することすら難しいのではなかろうか。

不正のトライアングルと内部告発

　ここで不正が起こる条件についてふれたい。かつて米国に犯罪学者のクレッシーという人がいて、人が組織で不正をはたらくのは、つぎの３つの条件が揃った場合だ、ということを理論化した。それを「不正のトライアングル（三角形）」と呼ぶのだが、①動機（プレッシャーまたはインセンティブ）、②正当化、③機会の３つが不正行為を構成する要素として観察できるとされていて非常に納得性が高い。私も企業での不正事案を分析する時に、この３つを考える。
　①の動機だが、例えば会社からノルマを課されてプレッシャーを強く感じてしまい架空の商談をでっちあげるとか、反対にボーナスや昇進のチャンスというインセンティブのために同じことをすることもありえる。つまり、プレッシャーとインセンティブの２つの要因が考えられるが、いずれにせよ、動機が不正行為の出発点である。
　②の正当化だが、無理な目標を課してプレッシャーを与える上司や会社の方がおかしいとか、会社の自分への評価が不当で、本来自分はこのくらいの報酬やポジションを与えられて当然なのだ、などと不正行為を正当化して考えることである。
　③の機会だが、これは裏返すと内部統制に隙があるということである。例えばだが、継続して取引がある顧客については注文書を精査しない慣行があったり、受注を管理する独立した部署がない場合を想定できる。
　昔から、上司たるもの部下とコミュニケーションをよく取るようにと言われるのは、リスク管理の面もあるのだ（もちろん、それが全てではない）。急に身につけるものや遊び方が派手になったら、特に気をつけて探りを入れろということはよく聞いた。もちろん、地味な担当者が社外の異性に貢ぐために不正を行う場合もあるので難しい。
　それに、動機や正当化は不正を行う当人の内面の問題であり会社がコントロールできるものではない。会社が直接、コントロールできるのは、内部統制の仕組みだけである。だから、内部統制の仕組みに隙をつくらないことが大切なのである。
　それでも前述したように内部統制には限界がある。従業員どうしが共謀して不正をはたらく場合は、通常は規模が小さいのでまだしもだが、経営者が暴走した場合は、時には会社全体の命運や全従業員の将来を左右するほど影響が大きい場合がある。こういう場合はどうなのかと疑問が湧くだろう。
　世の中にはISOやJ-SOXをすりぬけて会社の中で権限をもつ人物が内部統制を無効化して起こした不正事件はごろごろある。そうした事案が発覚したきっかけは主に２つあると私は思っている。一つは税務調査である。調査官の権限は国家権力を背負っているから強大であり、その会社だけではなくて取引先にも関連した調査を行うことができる。いわゆる反面調査であり、架空売上を計上するような不正はそうして露見したケースがある。
　もう一つは「内部告発」である。経営者など権限の大きな人物による不正であっても、むしろ、だからこそかも知れないが、大型の不正事案が露見するきっかけは内部告発によることが実は非常に多い。統制の仕組みとは別次元の話にはなってしまうのだが、企業統治（ガバナンス）の一環として、内部告発のパスを設置して告発者を保護する仕組みを用意しておくことは必要である。あくまで個人的な感想だが不正が露見するきっかけとして内部告発はむしろ王道のように思えるくらいである。