昨今、企業等の不祥事が発生した場合、必ずと言っていいほどその組織の内部統制の整備・運用状況に問題はなかったか注目されます。
今や組織運営において重大な課題となっている「内部統制」ですが、そのように捉えられるようになったのには、契機となった不祥事やそれに伴う法改正等が背景にあります。
この記事では、日本での内部統制の法律上の位置付けの変化や、日本より先に内部統制の概念を発展させてきたアメリカでの内部統制に関連する制度等の変遷について、簡単にまとめました。
日本における内部統制の変遷
日本において、内部統制を法律として明文化したものとして、会社法に基づく内部統制と、金融商品取引法に基づく内部統制があります。
それぞれの法制度における内部統制の導入や、内部統制の意義の移り変わり等について以下にまとめました。
会社法
会社法は、比較的新しく制定された法律です。
明治時代に制定された商法等のうち、会社に関係する部分がまとめられたものが会社法で、2006年5月1日に施行されました。
会社法施行当時の内部統制
新たに制定された会社法の362条において、内部統制について以下のように規定されました。
また、2006年2月に公表された会社法施行規則では、上記引用に記された「業務の適正を確保するために必要なものとして法務省令で定める体制」について、以下のように定められました。
どこにも「内部統制」って書いてないけど?
まず留意点として、会社法では「内部統制」という言葉は出てきません。
会社法における内部統制については「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制」というように表現されています。
これらの規定の要点をまとめると、以下のようなものになります。
- 「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制」の整備は取締役会の専決事項であり、取締役会全体で責任を負うものである
- 取締役会で決定する「業務の適正を確保するために必要なものとして法務省令で定める体制」として5項目掲げられている
- 監査役会設置会社では、監査役監査の実効性を確保する体制として4項目掲げられている
これらの規定を見ると、会社法における内部統制とは、コーポレート・ガバナンスの観点から体制整備されることが求められています。
2015年の会社法改正
2015年5月1日に改正会社法が施行され、内部統制に関する規定については以下の改正が行われました。
また、同じく会社法施行規則100条において以下のように改正されました。
つまりどんなふうに改正されたの?
この改正内容の要点をまとめると、以下のようなものになります。
- 「当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制」について、子会社の業務の適正を確保するための体制が4項目例示された
- 監査役会設置会社の監査役に報告する体制の強化が図られた
- 監査役会設置会社の監査役監査の実効性を確保する体制の強化が図られた
※なお、監査等委員会設置会社および指名委員会等設置会社にも内部統制に関する同様の規定があります。
これらの改正点によると、企業集団としての内部統制の構築責任と、監査役等の役割強化を含めたコーポレート・ガバナンスの確実な実効性がより明確に求められるようになったことが見て取れます。
内部統制構築義務の認知の拡がり
少し時間をさかのぼります。
内部統制の法制度化については、会社法制定以前の商法において、委員会等設置会社に対して取締役会が内部統制の基本方針の決定を行わなければならないとすでに定められていました。
しかし、日本企業の多くは監査役設置会社であり、それらに対してはこのような規定はありませんでした。
この商法への内部統制導入のきっかけになったとされるのが「大和銀行事件」です。
大和銀行事件ってなに?
【大和銀行事件のあらまし】 大和銀行ニューヨーク支店のトレーダーがアメリカ国債の不正取引により巨額損失を生じさせ、1995年にトレーダー本人の大和銀行上層部への告白により発覚。その後大和銀行が事件を隠蔽したとアメリカ政府からみなされたことで多額の罰金を支払い、アメリカから撤退することになった。日本においても株主代表訴訟が提起され、取締役および監査役の損害賠償責任(総額7億7500万ドル)が認められた。
2000年に下されたこの訴訟の判決において、取締役等にはリスク管理体制(=内部統制)を構築する責任があり、それを怠ることは取締役等として善管注意義務を果たしていないものとみなされてました。
罰金や損害賠償額が巨額だったこともあり、この事件は重く受け止められ、内部統制についての方針等の決定に関する規定が2002年に商法に導入されました。
その後にも発生した数々の企業不祥事に対する株主代表訴訟等において、取締役等の内部統制構築責任が認められる判決が相次ぎ、司法的な判断において、経営者には内部統制の構築等に対して責任があることが社会的に認知されていきました。
内部統制報告制度(J-SOX)
内部統制に関連する法例として、会社法の他に金融商品取引法があります。
金融・資本市場の利用者保護や利便性の向上等を図る目的で大幅に改正された証券取引法が2006年6月に国会で可決・成立しました。
その後、証券取引法から名称を改められた「金融商品取引法」が2007年9月30日に施行され、2008年4月1日以後に開始する事業年度から適用されました。
この金融商品取引法施行の際に、上場会社による開示の充実を目指し、内部統制報告書の提出および監査法人等の監査(=内部統制報告制度)が義務付けられました。
また、それまでは任意だった経営者の「確認書」においても、上場会社で提出が義務化され、財務報告等の開示情報の信頼性については経営者に最終責任あることを改めて明確にしました。
※経営者の「確認書」とは、有価証券報告書等の開示書類の記載内容が適正であることを会社の代表者自身が確認したことを外部に示すための文書のことです。
金融商品取引法の内部統制の導入
日本の内部統制報告制度は、アメリカのサーベンス・オクスリー法(SOX法)にちなんで「J-SOX」と呼ばれています。
アメリカのSOX法の制定はエンロン事件をはじめとする不正な財務報告問題が発端となっていますが、日本の内部統制報告制度の導入については、2004年の西武鉄道事件から端を発する有価証券報告書の虚偽記載問題が大きな影響を与えました。
【西部鉄道事件のあらまし】 西武鉄道が有価証券報告書の「株式の状況」欄において、上位10者の大株主が保有する持株比率の記載を偽ることによって、上場廃止基準に抵触する事実を隠ぺいした事件。当事件発覚後、同様の虚偽記載が多くの企業でも見つかり、さらに金融庁による開示内容の自主点検要請により、600社以上の公開企業が訂正報告書を提出するという異常な事態となった。
この出来事により、金融庁は2004年12月に「ディスクロージャー制度の信頼性確保に向けた対応(第二弾)」を公表し、開示制度の整備への対応策のひとつとして、「財務報告に係る内部統制の有効性に関する経営者による評価と公認会計士等による監査」が示されました。
この流れを受けて、2005年より企業会計審議会の内部統制部会において、財務報告に係る内部統制の有効性に関する経営者の評価基準及び公認会計士等による検証基準の策定について審議が重ねられました。
その結果、2007年2月15日に「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」が公表されました。
そして、金融商品取引法により導入される内部統制報告制度の適用時期と合わせ、2008年4月1日以後開始する事業年度から「財務報告に係る内部統制の評価及び監査の基準」および「財務報告に係る内部統制の評価及び監査に関する実施基準」が適用されました。
2011年の内部統制基準および実施基準の改訂
内部統制報告制度が導入されて数年がたち、実際に制度を実施した上場企業等、特に資源の制約がある中堅・中小上場企業から、内部統制基準および実施基準の簡素化・明確化等の要望が多く寄せられました。
また、2010年6月に閣議決定された「新成長戦略~『元気な日本』復活のシナリオ~」においても、中堅・中小企業に係る会計基準・内部統制報告制度の見直しについて記載されました。
これらを受けて、内部統制基準および実施基準が改正され、2011年4月1日以後開始する事業年度から適用されることとなりました。
こっちの改訂内容はどうなものだったの?
主な改訂内容は以下のとおりです。
- 企業が独自で創意工夫を行った内部統制の評価手法を活かした監査人の対応の確保(監査人が画一的な手法を強制しない旨を明記)
- 内部統制の整備・運用方法についての簡素化・明確化(全社的な内部統制の評価範囲の明確化(95%基準)、業務プロセスに係る内部統制の評価範囲の絞り込み(2/3基準)、評価の簡素化(前年度の評価結果の利用)等)
- 「重要な欠陥」(改訂後は「開示すべき重要な不備」)の判断基準等の明確化
- 中堅・中小企業に対する簡素化・明確化(業務プロセスの評価手続の合理化、代替手続の容認、評価手続等に係る記録・保存の簡素化・明確化)
- 「重要な欠陥」という用語の「開示すべき重要な不備」への見直し
また、中堅・中小上場企業の内部統制報告実務を支援するため、2011年3月に「内部統制報告制度に関する事例集~中堅・中小上場企業における効率的な内部統制報告実務に向けて~」が公表されました。
2020年の内部統制基準および実施基準の改訂
財務諸表監査において監査報告書の記載区分等が改訂されたことに伴い、内部統制監査報告書についても改訂の必要が生じました。
そのため、企業会計審議会で審議が行われ、2019年12月「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」が公表され、2020年3月31日以後終了する事業年度から適用されることとなりました。
その改訂内容は以下のとおりです。
現行の我が国の財務報告に係る内部統制の評価及び監査の基準では、内部統制監査報告書には、内部統制監査の対象、経営者の責任、監査人の責任、監査人の意見を区分した上で記載することが求められている。
この点に関して、以下の通り改訂を行うこととする。
●監査人の意見を内部統制監査報告書の冒頭に記載することとし、記載順序を変更するとともに、新たに意見の根拠区分を設ける
●経営者の責任を経営者及び監査役等(監査役、監査役会、監査等委員会又は監査委員会をいう。)の責任に変更し、監査役等の財務報告に係る内部統制に関する責任を記載する
2024年の内部統制基準および実施基準の改訂に向けて
2008年4月1日以後開始する事業年度から適用された内部統制基準および実施基準は、一定の期間を経て、企業の健全な組織運営に寄与するものとして広く認識されるようになりました。
しかし、内部統制報告制度の認知が拡がりをみせても、経営者による内部統制の評価範囲外で開示すべき重要な不備が明らかになる事例や、内部統制の有効性の評価が訂正される際に十分な理由の開示がされない事例が後を絶たない状況が続いています。
そのため、2022年10月より企業会計審議会の内部統制部会において、改訂に向けての審議が開始され、2024年4月に改訂基準が公表されました。
この改訂基準は2024年4月1日以後開始する事業年度より適用されます。
アメリカにおける内部統制の変遷
日本の内部統制の法制度化には、アメリカにおける内部統制に関連する制度が影響を与えています。
そのなかでも特に注目すべきものとして主に「SOX法」と「COSOの内部統制フレームワーク」があります。
これらの制度成立へ至る内部統制の位置付けの変化について簡単にまとめました。
財務諸表監査における内部統制の位置付け
アメリカで財務諸表監査は、1933年に制定された連邦証券法によって義務付けられたことに始まります。
この法律により、企業は証券取引委員会(SEC)に財務諸表を提出し、独立した監査人による監査を受けることが求められました。
この頃の監査手法を「内部統制アプローチ」といい、経営者の誠実性を前提にして企業の内部統制の有効性を評価し、試査によって財務報告の信頼性を検討するものでした。
1970年代に入って多くの企業で不況による粉飾決算が発覚したことを受けて、監査基準書が見直され、監査人の監査手法が「内部統制アプローチ」から「リスク・アプローチ」に変わりました。
「リスク・アプローチ」とは、財務報告の虚偽記載リスクが高い箇所に集中して監査手続きをとる手法です。
たとえリスク・アプローチであっても、内部統制の有効性の重要性が減じることはありませんでした。
なぜなら内部統制の不備がある箇所で虚偽記載リスクの発生可能性が高まるためです。
FCPA(海外不正支払防止法ーForeign Corrupt Practice Act of 1977)
1970年代にニクソン政権下で起こったウォーターゲート事件がきっかけとなり、腐敗防止のために整備された法律のひとつがFCPA(海外不正支払防止法)です。
FCPAは、アメリカ企業が海外でビジネスを行う際に、外国公務員に対して賄賂や贈収賄を行うことを禁止するもので、贈収賄禁止条項事項(Anti-Bribery Provision)と会計条項(Accounting Provisions)から成ります。
会計条項では公正な会計記録を維持するための内部管理制度を整備することが求められ、この法令の中で内部統制は、賄賂や贈収賄などの不正行為を早期に発見し、是正する重要な役割を担うものであると認識されました。
SOX法(上場企業会計改革および投資家保護法ーPublic Company Accounting Reform and Investor Protection Act of 2002)
前述のとおり、日本の内部統制報告制度は、アメリカのSOX法にちなんで「J-SOX」と呼ばれています。
アメリカのSOX法ってなに?
SOX法は、2002年にアメリカ合衆国で制定された法律で、法案を提出した議員の名前にちなんだ通称Sarbanes-Oxley Actの略になります。
SOX法の制定は、エンロン社の粉飾決算が発端となって巻き起こった財務報告の信頼性に対する不安が、資本市場に大きな影響を与えたことがきっかけとなっています。
【エンロン事件のあらまし】 エンロン社は、電力や天然ガスの販売や取引を手がけるエネルギー企業で、当時アメリカの最大手企業の一つだったが、財務報告を意図的に改ざんし、会計上の利益を大幅に水増ししていたことが発覚。これにより、エンロン社の株価は急落したため、多くの株主や従業員が大きな損害を被り、また、同社の債務や負債も明らかになり、2001年12月に倒産した。 この事件の発覚後、アメリカの株式市場では財務報告の信頼性に対する不安が高まる中、大手通信企業であるワールドコムが巨額の会計不正を行っていたことが明らかになり、エンロンと同様に株価が急落し、2002年に倒産。アメリカ史上最大の企業倒産となった。
SOX法は、監査の強化や、コーポレート・ガバナンス、証券取引委員会への報告、不正行為の禁止等、財務報告の信頼性の向上を図る内容になっており、内部統制の評価と結果報告に関連する規定も含まれることになりました。
しかし、内部統制報告規定の遵守は企業にとって多大なコストがかかるという指摘があり、一定の条件を満たす小規模企業に対して負担軽減となる特例措置が設けられました。
また、2012年に成立したJOBS法(新興企業推進法ーJumpstart Our Business Startups Act)では、新興成長企業においてIPO後5年間、SOX法に基づくに内部統制監査証明義務が免除されることとなりました。
COSOの内部統制フレームワーク
COSOは、Committee of Sponsoring Organizations of the Treadway Commission(トレッドウェイ委員会後援団体委員会)の略語で、アメリカの上場企業で発生した不正行為や経営不祥事に対する調査を行い、その原因を探るために1985年に設立されました。
COSOが1990年代に公表した内部統制フレームワークは、企業の内部統制に関する一般的な枠組みを提供することを目的としました。
SOX法で規定された内部統制の評価は、基本的にはこのフレームワークに準拠することとなり、COSOの内部統制フレームワークは世界的にもデファクト・スタンダードとなっています。
また、日本の内部統制報告制度における内部統制の基本的枠組みについても、このフレームワークを参考にして策定されました。
ただし、まったく同じではなく、いくつか相違点がありました。
※「資産の保全」が内部統制報告制度(J-SOX)にあってCOSOフレームワークにないのには、アメリカでは別に「資産の保全」に対応している法制度としてFCPAがあるためという見方があります。
COSOの内部統制フレームワークは2013年に全面改訂され、新たに以下のような構成が示されています。
- 3つの目的:「業務」「報告」「コンプライアンス」
- 5つの構成要素:「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング活動」
- 17の原則
- 87の着眼点
各構成要素に対して、17の原則と87の着眼点を提示し、組織が実際に内部統制を評価するためのより具体的な指針と実践的な観点を提供しています。
この新たなフレームワークの他の特徴としては、
- 旧フレームワークにおいて内部統制の目的のひとつであった「財務報告」が「報告」と定義され、内部統制が単に財務報告に限定されるものではなく、組織の目的全体を支援するための重要なツールであることが示された
- 旧フレームワークにおいて構成要素のひとつであった「モニタリング」が「モニタリング活動」と定義され、内部監査が内部統制を支援する重要な役割を果たしていることが強調された
- 原則8において不正リスクの評価について明確に示され、不正リスクに対する内部統制の構築の必要性が示された
などが挙げられます。