内部統制(internal control)
企業が公表する財務諸表の信頼性確保、事業経営の有効性と効率性の向上および事業経営にかかわる法令の順守を促すために、不正やミスを発生させず、組織が健全かつ有効・効率的に運営されるよう各業務で基準や手続きを定め、それに基づいて管理・監視を行う企業内部に設けられる仕組みをさす。
内部統制のコンセプトは、1992年及び94年にアメリカのトレッドウェイ委員会組織委員会(通称COSO)による報告書「内部統制の統合的枠組み」で提示された概念で、世界的に普及している。COSO報告書によれば、内部統制は、(1)統制環境、(2)リスク評価機能、(3)統制活動、(4)情報・伝達機能、(5)監視活動の5つ要素から構成されている。
事実上の世界標準であるCOSOレポートによると、内部統制は「(1)業務の有効性・効率性、(2)財務報告の信頼性、(3)事業活動に関わる法令等の順守、の3つの目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者およびそのほかの職員によって遂行される1つのプロセス」と定義されている。特に、法令順守はコンプライアンスと呼ばれ、企業の存亡に関わる重要課題として認識されている。
会計統制に限らず、(1)事業活動全般にその概念が広がっていること、(2)有効性は取締役会および経営者が統制目的に関する合理的な保証を得られるかによって判断されること、(3)組織内のあらゆる人間により遂行されることなどが今日の内部統制の特徴といえる。1980年代以降の企業不祥事の増加とそれに対する社会の反応は、経営者、企業、資本市場、それぞれの立場から、内部統制がより重要であることを明確にした。経営者の立場からは、リスク管理体制の構築は経営者の責任であり、これに違反した場合には多額の賠償責任が発生し、内部統制の欠陥により発生した不祥事が企業の存亡に直接関わることが明確になった。また、資本市場の立場からは、投資の意思決定の根拠となる財務報告の信頼性を何らかの形で担保する必要性が生じてきた。
このような背景を受けて、日本においても、金融庁を中心として議論が深められ、金融庁「金融検査マニュアル」(1999年)、金融庁 企業会計審議会「改訂監査基準」(2002年)、日本公認会計士協会監査基準委員会の監査基準委員会報告書「統制リスクの評価」(2002年)、経済産業省 リスク管理・内部統制に関する研究会「リスクマネジメントと一体となって機能する内部統制の指針」(2003年)なども直接的、間接的影響を受けている。内部統制の考え方は固定的なものではなく、時代の流れや企業の理念によって新しい目的や要素を加えることが、各企業が真に追求すべき内部統制を規定する枠組みとなる。
2005年12月に金融庁の企業会計審議会内部統制部会から「財務報告に係る内部統制の評価及び監査の基準のあり方について」が公表されたが、そのなかでまずポイントになるのは「財務報告」に限定された内部統制だという点です。あくまでも財務諸表を作成するための内部統制が前提となっており、これがIT統制を評価するときに大事なポイントになる。
COSOは内部統制の確立に不可欠な要素(構成要素)として、「統制環境」「リスク評価」「統制活動」「情報と伝達」「監視活動」を挙げているが、内部統制部会では「ITへの対応」を加え、6つの構成要素としている。ここで誤解しないでいただきたいのは、もともとCOSO報告書の公開草案では構成要素は9つ示されていた。そのなかに情報システムも入っており、それが後に「情報と伝達」に整理された。いまや、ITなくして企業の事業活動は成り立たない。もし、今後、内部統制絡みで事故が起こるとすれば、ITが深く関わってくることは間違いないといわれている。COSO報告書が出てから16年近くが経過し、ITへの注意を喚起する、特に目立たせるという意図で「ITへの対応」としたというのが正しい理解であろう。また、他の構成要素に密接に関連するITの活用は、内部統制のベースになる。ITで特別なことをするというわけではなく、「他の要素と一体となる」、つまり、プラス1ではないということを理解することが重要である。
したがって、内部統制はITをベースに組み立てるのが基本になる。すでにSOX法が施行されている米国では、内部統制の重大な欠陥がいくつか報告されているが、そのなかでもITのコントロールの遅れが問題となっている。今後は、IT統制、内部統制における情報セキュリティ対策の強化がますます重要になってくる。
