企業の内部不正に関するニュースが増えております。企業の内部不正といえば、従来はオリンパスや東芝で発生した不正会計や、社内の顧客情報や機密情報の漏えいを指すことが多かったのですが、最近では三菱自動車の燃費データ不正や旭化成建材のマンション施工データ不正など、その対象は拡大し、多様化しております。特にデータ不正に関しては、数値をちょっと操作するだけで実行できるため、今後も至る所で発生する可能性が高いと考えられます。

こうした事件の原因の一つとして、内部統制の不備を挙げる意見が数多く聞かれますが、上場企業の方と話をすると、「我社は毎年内部統制の監査を行い、内部統制報告書を提出して監査法人に確認してもらっているから問題ない」という主張が大多数です。しかし、その論理ならば上記に挙げた企業も同じです。もちろん、オリンパスや東芝の様に監査法人のチェック機能が十分に働かなかったこともありますが、そもそも内部不正を起こしたのは企業側の人間です。つまり、十分な内部統制が働いていないという意見はある意味正しいと考えられます。以上の内容は矛盾していないでしょうか。

内部統制と内部統制報告制度との違い

実際のところ、上記で述べた話については関連性があるかもしれませんが、矛盾した内容ではありません。それは、内部統制と、いわゆるJ-SOXと呼ばれる内部統制報告制度の対象が異なるからです。
内部統制のフレームワークとして代表的なものは、COSO(トレッドウェイ委員会組織委員会、Committee of Sponsoring Organizations of Treadway Commission)が提示した、いわゆる「COSOキューブ」です。「COSOキューブ」は内部統制の目的として、以下の3項目が定義されています。

  • Operation(業務活動):業務の有効性と効率性
  • Reporting(報告):財務/非財務報告の信頼性
  • Compliance(法令遵守):関連法規の遵守

それでは、金融商品取引法で規定されている内部統制報告制度、いわゆるJ-SOXの対象はどうなっているでしょうか。金融商品取引法では、第24条で有価証券報告書の提出について記載されております。内部統制報告書については、以下の様に記載されています。

(財務計算に関する書類その他の情報の適正性を確保するための体制の評価)
第二十四条の四の四  第二十四条第一項の規定による有価証券報告書を提出しなければならない会社(第二十三条の三第四項の規定により当該有価証券報告書を提出した会社を含む。次項において同じ。)のうち、第二十四条第一項第一号に掲げる有価証券の発行者である会社その他の政令で定めるものは、内閣府令で定めるところにより、事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書(以下「内部統制報告書」という。)を有価証券報告書(同条第八項の規定により同項に規定する有価証券報告書等に代えて外国会社報告書を提出する場合にあつては、当該外国会社報告書)と併せて内閣総理大臣に提出しなければならない。
(文字の強調は筆者による)

すなわち、金融商品取引法で定める内部統制報告制度の対象は、「COSOキューブ」で言えばReporting(報告)のうち財務報告に関わる部分、及び関連する業務や法制度を対象としていると考えられます。「COSOキューブ」と内部統制報告制度の対象をイメージ化したのが以下の図です。(日本の内部統制報告制度では内部統制の目的として「資産の保全」、内部統制の構成要素として「ITへの対応」が追加されているが、ここでは省略します)

COSOキューブとJ-SOX対象

COSOキューブとJ-SOX対象

以上から、内部統制報告制度に基づく内部統制監査の対象は、企業として具備すべき内部統制の一部であり、これをもって企業全体の内部統制が整備運用されているとは言い切れないことが理解できると思います。

COSOフレームワーク改訂による「Reporting」対象の拡大

COSOによるフレームワークは1992年に発表されたのですが、その時点での「Reporting」の対象は財務報告、しかもBS / PLやキャッシュフロー計算書等の外部向けの財務報告が中心でした。
その後、企業における業務の多角化やグローバル化と、これに伴う組織構造の複雑化によって、業務管理の単位が細分化された中で、経営者が企業内部の状況を把握し、意思決定を行うには財務情報だけでは不足してきました。また、財務情報に表れない企業の内部不正も増加してきました。また、外部の投資家たちの視点で考えると、様々な環境が目まぐるしく変化し、不安定な状況の中で、公開されている財務情報だけでは捉えきれない、企業の持続可能性に関する情報を求めており、投資活動に反映しようとしています。
以上の様な理由を背景に、2013年にCOSOフレームワークは改訂され、「Reporting」は非財務報告に関する領域もカバーすることとなりました。

企業に求められる内部統制

内部統制とは、企業や組織の経営者、管理者、その他構成員によって実行され、業務・報告・法令遵守に関する目的を達成に関して合理的な保証を提供するためにデザインされた一連のプロセスのことです。まず気を付けなければならないことは、内部統制の整備は企業が本来自主的に行うべきことだと理解することです。法令遵守の一環として考えている方もいらっしゃるようですが、法律によって「やらされる」ものでも、監査法人にチェックを受けるために行うことではないのです。
内部統制の整備を行うことで、企業や組織内部の不正行為は予防され、検知され、迅速に対処されます。以前ご紹介した「不正のトライアングル」では、内部不正は当事者が「動機・プレッシャー」を抱え、「機会」を認識し、「正当化」する理由を考えつくという3要素が成立した場合に発生します。このうち、「動機・プレッシャー」「正当化」については主観的な要素が強いため、完全にコントロールすることは困難です。よって残された「機会」に対して、リスクを評価し、統制活動を行い、モニタリングを実施することで不正行為を起こさない様、また、仮に不正行為が発生しても早期に収拾できる様にすることが可能となります。

「不正のトライアングル」と内部統制

「不正のトライアングル」と内部統制

意図的に行われる内部不正は、内部統制の不備、特に「不正のトライアングル」で示される「機会」の隙を突いて行われます。一度行われた内部不正の行為は繰り返し実施され、常習化します。これに伴い、被害は加速度的に拡大します。企業や組織の保有するリソースには限りがあるので、すべての活動に対して内部統制を整備することは難しいですが、事業の重要性や業務量、影響範囲等に対応してポイントを絞り込み、メリハリをつけて整備することで、最適化することも可能です。

また、業務多忙を理由に内部統制の整備が進められないといった声もあります。特にIT部門では実業務と離れていることが多いため、その傾向が強く見られます。しかし、内部統制が整備されていない業務では、そもそも業務の可視化が行われていない可能性が高く、結果として内部統制だけでなく、業務の効率化や改善もできない状況にあります。「COSOキューブ」の目的の一つである「Operation(業務)」は、業務の効率化も含む内容です。

内部統制については企業活動全体に不可欠な要素ですが、財務諸表関連の領域を超えて取り組む企業はどのくらいあるでしょうか。経営トップや事業等の管理者は内部統制の本来の内容を理解し、積極的に取り組むことが必要であると考えます。

上記内容に関するご相談やお問い合わせについては、「お問い合せ」のページからご連絡ください。

デルタエッジコンサルタントでは、内部不正を防止し、業務の適正性や効率性を向上させるため、
・業務プロセスの可視化と課題の提示、及び改善提案
・業務上のリスク評価と改善提案
・情報保全や品質維持、等を目的とした内部統制監査
等のコンサルティングサービスやアドバイザリサービスを提供しております。

●業務改善についてはこちらをご覧ください。
==>「コンサルティングサービス-業務改善」

●内部統制についてはこちらをご覧ください。
==>「コンサルティングサービス-リスク管理」

また、上記に関わる研修やトレーニングのサービスも提供しております。
興味や関心がございましたら、ぜひご連絡ください。

お問い合わせ