第18回 内部統制
企業の業務が適正に行われることを確保するために構築する社内の仕組みである。
正式な内部統制の法律的な定義は「基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される」とされているが、もう少しかみ砕かなければ、一般には理解しにくい。
基本的には企業内部の業務の流れを適正化するための仕組みである。現在では業務の流れの多くが情報システムの中で処理されるので、情報システムが適正に構築され、運用されているかも、重要な監視ポイントである。
金融機関では1990年代から不正防止のため内部統制の国際標準ができ、日本の金融機関もこれに基づいて徐々に厳しい内部統制の体制をしいてきた。金融機関では社員の不適切な活動によって巨額の損失を発生させる、などの事件が頻発し、内部統制の必要性が切実だった。「適正な業務遂行」の中には「法律的に正しく」活動しているか、という「法令順守(コンプライアンス)」も含まれている。「コンプライアンス上問題がある」という議論があるが、これも内部統制違反かどうかの検討で、内部統制という言葉を使わなくても、実際の業務活動の現場では、内部統制の仕組みに基づいて動いていることが多い。個人情報の保護も重要な内部統制の対象である。セクハラやパワハラの防止や防止対策も内部統制の対象になっている。
日本で、一般企業にまで内部統制システムが義務付けられたのは、2000年代中盤である。
その検討が進んでいるうちに、米国で内部統制の義務化が一気に進んだ。内部統制の仕組み作りは企業にとっては負担が大きいので、相当の抵抗があったが、米国で進展したことで日本での法制化も前進した面がある。米国で進展したのは、急速に成長した有力企業が突然、粉飾決算が発覚して一挙に倒産したのがきっかけである。米国では従業員が老後の対策として自社株を購入している例が多いが、この倒産によって、従業員は職を失い、将来のための資金も失うというダブルパンチとなって社会問題化した。
突然の倒産や粉飾決算は、不正を許す企業体質を放置していたことが問題であるとして、上下両院で、サーベインズ議員とオクスレイ議員が別々に、株主保護のための内部統制を大企業に義務付ける法案を提出した。内容に多少の差異があったようだが、それを一本化して両議員の頭文字をとって、SOX法(サーベインズ・オクスレイ法)と名付けられ、成立した。日本では細かい中身は違うが、株主保護のための内部統制という点では共通しているので「日本版SOX法」として検討され、新たにできた「会社法」に盛り込まれ、新設された「金融商品取引法」の中に上場企業について「内部統制報告書」の提出が義務付けられた。
米国を中心に進められた内部統制の議論は、巨大企業の突然の倒産によって株主が多大な損失を被ったということが大きく影響したので、「株主保護」という色彩が強い。日本でも「株主保護」が重要な視点の一つになっていて、個人情報保護についても、個人情報を流出すると多額の損害補償が発生する、とか、信用落として企業価値を下落させる、という論法もあるが、「企業の社会的責任」という受け止め方の方が優勢である。このため、内部統制が意識するのは、従業員、経営者、取引先、地域社会など、米国よりは幅広い。
財産形成手段として株を購入する個人株主が多い米国社会と必ずしも株式市場に依存していない日本社会との違いだろう。
「内部統制報告書」はCEO(最高経営責任者)またはCFO(最高財務責任者)が報告書に誤りがないことを証明してサインする。この報告書に誤りがあると、厳しい罰則が課せられるので、米国では一時、CFOを辞任する事例が相次ぐ、という珍現象も起きたくらいである。米国では実際に刑務所に入ったCFOが出たと言われるが、日本ではその事例は聞かない。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
正式な内部統制の法律的な定義は「基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される」とされているが、もう少しかみ砕かなければ、一般には理解しにくい。
基本的には企業内部の業務の流れを適正化するための仕組みである。現在では業務の流れの多くが情報システムの中で処理されるので、情報システムが適正に構築され、運用されているかも、重要な監視ポイントである。
金融機関では1990年代から不正防止のため内部統制の国際標準ができ、日本の金融機関もこれに基づいて徐々に厳しい内部統制の体制をしいてきた。金融機関では社員の不適切な活動によって巨額の損失を発生させる、などの事件が頻発し、内部統制の必要性が切実だった。「適正な業務遂行」の中には「法律的に正しく」活動しているか、という「法令順守(コンプライアンス)」も含まれている。「コンプライアンス上問題がある」という議論があるが、これも内部統制違反かどうかの検討で、内部統制という言葉を使わなくても、実際の業務活動の現場では、内部統制の仕組みに基づいて動いていることが多い。個人情報の保護も重要な内部統制の対象である。セクハラやパワハラの防止や防止対策も内部統制の対象になっている。
日本で、一般企業にまで内部統制システムが義務付けられたのは、2000年代中盤である。
その検討が進んでいるうちに、米国で内部統制の義務化が一気に進んだ。内部統制の仕組み作りは企業にとっては負担が大きいので、相当の抵抗があったが、米国で進展したことで日本での法制化も前進した面がある。米国で進展したのは、急速に成長した有力企業が突然、粉飾決算が発覚して一挙に倒産したのがきっかけである。米国では従業員が老後の対策として自社株を購入している例が多いが、この倒産によって、従業員は職を失い、将来のための資金も失うというダブルパンチとなって社会問題化した。
突然の倒産や粉飾決算は、不正を許す企業体質を放置していたことが問題であるとして、上下両院で、サーベインズ議員とオクスレイ議員が別々に、株主保護のための内部統制を大企業に義務付ける法案を提出した。内容に多少の差異があったようだが、それを一本化して両議員の頭文字をとって、SOX法(サーベインズ・オクスレイ法)と名付けられ、成立した。日本では細かい中身は違うが、株主保護のための内部統制という点では共通しているので「日本版SOX法」として検討され、新たにできた「会社法」に盛り込まれ、新設された「金融商品取引法」の中に上場企業について「内部統制報告書」の提出が義務付けられた。
米国を中心に進められた内部統制の議論は、巨大企業の突然の倒産によって株主が多大な損失を被ったということが大きく影響したので、「株主保護」という色彩が強い。日本でも「株主保護」が重要な視点の一つになっていて、個人情報保護についても、個人情報を流出すると多額の損害補償が発生する、とか、信用落として企業価値を下落させる、という論法もあるが、「企業の社会的責任」という受け止め方の方が優勢である。このため、内部統制が意識するのは、従業員、経営者、取引先、地域社会など、米国よりは幅広い。
財産形成手段として株を購入する個人株主が多い米国社会と必ずしも株式市場に依存していない日本社会との違いだろう。
「内部統制報告書」はCEO(最高経営責任者)またはCFO(最高財務責任者)が報告書に誤りがないことを証明してサインする。この報告書に誤りがあると、厳しい罰則が課せられるので、米国では一時、CFOを辞任する事例が相次ぐ、という珍現象も起きたくらいである。米国では実際に刑務所に入ったCFOが出たと言われるが、日本ではその事例は聞かない。
【筆者=JAPiCO理事長 中島洋】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization