最近、雑誌の特集やセミナーなどで、「内部統制」や「日本版SOX法」という言葉を目にし、気になっている人もいるでしょう。簡単に言うと、まず「内部統制」とは組織が健全に運営されるようにルールを定め管理することを意味し、内部統制を企業に義務づける法律がいわゆる「日本版SOX法」になります。さらに、内部統制とは、企業経営における4つの目的(1.業務の有効性及び効率性、2.財務報告の信頼性、3.事業活動に関わる法令等の遵守、4.資産の保全)を達成するためのプロセスであると定義されています。従って、4つの目的それぞれにおいて内部統制へ対応させるのが望ましいのですが、幸いにも日本版SOX法で内部統制への対応が義務づけられているのは、「2.財務報告の信頼性」のみです。
ちなみに、この日本版SOX法というのは俗称であり、正式な法律名ではありません。2006年6月に成立した「金融商品取引法」の中で規定されている「内部統制の義務づけ」に関する部分を、便宜上、日本版SOX法と呼んでいます。

内部統制への対応の必要性については、5月から新たに施行された「会社法」でも触れられていますが、日本版SOX法のようにその状況報告が義務づけられているわけではありません。つまり、日本版SOX法の対象となる企業は、内部統制への対応を必ず行わねばならないというわけです。
日本版SOX法の対象企業は、上場会社と上場会社の連結決算の対象となる子会社および関連会社です。正確な適用範囲は、年内に政府から発表される見込みの「実施基準」などに明示される予定です。対象企業には、2009年の3月以後の決算から内部統制に関する報告書の作成と監査が義務づけられます。それらの詳細についても、今後発表される実施基準などに明記されるはずです。
米国株式市場に上場する企業は、2004年から施行された米国のSOX法への対応を迫られ、対応しました。米国のSOX法に対応経験のある企業の場合は、日本での法制に対応することも比較的簡単かもしれませんが、内部統制に初めて対応する企業は、かなりの労力を覚悟しなければなりません。すでに対応に向けてプロジェクトを開始している大企業もいくつか見られますが、中堅企業の多くはまだというのが所感です。企業の規模にかかわらず、内部統制への対応には年単位の時間がかかりますので、2005年12月に公表された｢財務報告に係る内部統制の評価及び監査の基準のあり方について｣などをもとに、今から準備を進めていく必要があります。

日本版SOX法への対応について、中堅企業の準備が大企業に比べて遅れる傾向にあるのは、やはり、中堅企業におけるリソースの問題があるようです。一般的に中堅企業では予算や人材を十分に確保できないこともあり、内部統制への対応にもなかなか着手できないことがあります。しかし、日本版SOX法への対応が必要な企業に該当するかどうかは、必ずしも大企業や中堅や中小などの事業規模に関係するわけではありません。中堅企業であっても、日本版SOX法の対象となる企業であれば、間違いなく2009年の3月以後の決算から報告書の作成と監査が義務づけられるのです。
そこで、中堅企業にとっては、いかにして限られたリソースをうまく使って効率的に内部統制への対応を行うかということを検討することになります。
なかなか難しい問題ですが、大企業に比べて内部統制の範囲が事業規模に相応して小さいという点や、経営者の意思が組織に浸透しやすいなどの利点もあり、経営者の心構えによっては非常にスムーズに対応を進めることができると思われます。
この日本版SOX法対応のためにどの程度の人員をあてる必要があるか?　ITを活用した効率的な内部統制の進め方などについて、順々にお話していきたいと思います。

内部統制に対応するには具体的にどのような作業が必要なのかを説明したいと思います。まず財務報告に関する内部統制のみへの対応と言っても、経理部だけが対象となるのではありません。最終的に経理部に関係してくる部署、たとえば売り上げが発生する営業部や、仕入れを行う購買部など、さまざまな金銭を扱う部門すべてに対応が求められます。このため、製造業や販売業など、業種によって行うべき内部統制の内容や対象部署は異なってきます。対応すべき範囲は業種によって異なりますが、やるべきことは企業の規模や業種に関係なく共通しています。
内部統制への対応フローを大まかに説明すると、文書化、評価、監査の3つのプロセスとなります。

• まず、主な社内のルールや業務プロセスを明文化することにより、評価すべきポイントを明らかにします。
• 次に文書に基づき業務が適切に行われているかを経営者が評価します。不具合がある場合は文書を改訂し、再評価を行ったりします。
• その後、経営者は内部統制が有効であることについて「内部統制報告書」を提出することで報告します。そして、監査人がこの報告書について監査し「内部統制監査報告書｣を提出します。

という流れとなります。企業が提出した「内部統制報告書｣が、監査によって有効でないとされた場合は、企業が内部統制報告書に関して虚偽の報告をしたことになり、有価証券報告書の虚偽記載と同様に、重い罰則が課せられます。そこで実際には監査で有効でないとわかった時点で、企業は「内部統制が有効ではない」という内部統制報告書を提出することになります。
内部統制報告書の提出を企業に義務づけることで、これまで外部には公開されなかった問題も明らかになってきます。すでにSOX法が実施されている米国の例では、格付け会社などの評価も高く優良企業として知られていた企業が、10項目以上の欠陥が内部統制報告書で明らかになったというケースもあります。
日本の場合、5月に施行された会社法でも内部統制は義務づけられていますが、問題があった場合でも、公表する必要はありません。しかし、日本版SOX法の場合は、内部統制が適正でないことを発表せざるを得なくなります。そして、企業自らが有効でない内部統制報告書を提出することは、財務に関する管理が悪いため、今後決算を間違う危険があるということを対外的に示すことを意味します。それは、株主や取引先からの信用喪失につながる大きなリスクとなります。
市場での信用喪失を無視し、毎年“内部統制が有効でない”という報告を出し続けるとどうなるかと言いますと、実は米国ではこれについての罰則がありません。しかし、日本では、東京証券取引所の場合3年間内部統制の不適正を報告した企業を上場廃止にするということを検討中のようです。

実は米国でSOX法の対象となっている企業は、株式の時価総額が7,500万ドル以上の3,900社で、これは上場企業の半数程度でしかありません。一方、日本の場合は、すべての上場会社が対象とされています。ここで問題となってくるのが、内部統制監査と財務諸表監査を行う「監査人」(公認会計士など) の存在です。米国の公認会計士は30万人ですが、日本の場合は2万人しかいません。さらに米国の場合は、企業の経理部長や社長が公認会計士であることも珍しくありません。しかし、日本の場合、公認会計士の大多数は監査法人に属しています。
公認会計士が多い米国でさえ、SOX法への対応に多大な労力とコストが必要となりました。それを考えると日本の場合は、さらに困難になることが予想されます。公認会計士が足りないため、対応ができない、あるいは間に合わないなどという企業も出てくる可能性があるのです。このため、総資産額順などによる段階的な導入を採用する可能性もあると思います。
ある調査では、60％の企業が内部統制に対応していると回答したようですが、私の感触では、内部統制対応のためにコンサルタントや監査法人などに依頼している企業は、10～20％程度ではないかと思っています。対応していると回答した企業の多くは、対応について検討し始めたという段階なのではないかと思います。実際に対応を始めたこの10～20％の企業は、売り上げが5000億円や1兆円などといった大企業だろうと思います。その他の多くの企業では、内部統制への対応に関して、その重要性をまだ認識していないのが現状でしょう。

企業に内部統制を求める動きは米国以外の諸外国でも見られ、イギリスやフランス、カナダ、韓国などでも、内部統制への対応が求められています。米国企業では、対象となる3,900社がすでにSOX法へ対応し、各企業内の管理体制は改善されたようです。一方、日本の場合はこれからです。期限はまだ先だと、対応を先延ばしにしていたのでは、その企業は国際社会から取り残されてしまう可能性もあります。
内部統制への対応には1、2年は必要です。たとえ段階導入になったとしても、残された時間はわずかしかありません。対象となる可能性のある企業は、今すぐに行動する必要があります。後編では内部統制への対応のために企業がすべきことや、ITの活用方法についてご説明したいと思います。

(2006年10月17日掲載)

• ※ 掲載日以降、最新情報ではない場合があります。あらかじめご了承ください。