JCGR 日本コーポレートガバナンス研究所

コラム

内部統制・内部監査に関するQ&A

《内部統制について》

Q01:現在、内部統制が重視されるのはなぜか

A01:そもそも内部統制の起源は、企業規模の増大とともに、企業内における①業務管理上のミス発生の増加および②従業員による故意の不正の増加等に対して管理の必要性が認識されるようになったことにあると言われていまう。仕事の担当者による自己チェックや周囲の担当者との間の相互チェックが始まりだったと言われています。分業や職務の分担は業務遂行の効率性に関心が置かれがちですが、自ずとお互いの職務遂行を見ることになりますから内部統制の観点からも重要です。効率性に重点を置きすぎると相互チェックに対する配慮が疎かになりがちであり、ミスや不正を見逃すことになりかねません。両者のバランスが重要です。

歴史的に観ると、企業の発展やビジネス環境の変化等により、ミスや不正の影響が飛躍的に大きくなるとともに内部統制の重要性が強く認識されるようになりました。①組織の大規模化、②取引形態の変化・多様化、③グローバル化、④情報システムの発展、⑤雇用環境の変化等々、内部統制が進化せざるを得ない変化は枚挙に限りがありません。

Q02:内部統制の二つの側面とはどういうものか?

A02:全社的な内部統制と部門ごとの業務プロセスに関する内部統制に分類するのが一般的です。前者は企業インフラに相当する部分で、企業文化、コーポレートガバナンス、リスクマネジメント、従業員の教育研修等々に関する規定などです。後者は、個々の職務の管理手続きに当たる部分で、日常が現場で行われている仕事の手続きなどです。

《内部監査について》

Q11:内部監査が企業の効率性に貢献するとはどういうことか?

A11:内部監査では、組織の方針や手続きを客観的にレビューすることで、「方針や手続きに記載されていることを実行しているか」、また、「これらのプロセスが固有のリスクを軽減する上で適切であるか」等を確認することができます。あるいは、ビジネス慣行や手順、ガバナンスプロセスの重複を発見し、合理化のための提案を行うことで、時間とコストの削減を実現します。また、プロセスを継続的に監視・レビューすることで、プロセスの効率性と有効性を向上させるための推奨事項を特定することができます。その結果、組織は人ではなくプロセスに依存するようになると言われています。

Q12:ITセキュリティなどセキュリティが経営問題として急浮上しているが、内部監査はどのように関わっているのか?

A12:現代の内部監査は、サイバーセキュリティ環境を精査します。例えば、すべてのデジタルデバイスを数え、それらがポリシーに沿って保護されているかどうかを検証します。また、デジタルシステムやネットワークの脆弱性を調査し、ギャップを解消するためのアドバイスを行います。

Q13:内部監査に関する誠実さ(integrity)とはどういうことか?

A13:21世紀に入り、エンロンなどの大企業が関与した不正事件の多発が大きな話題となりました。これが、有名なCOSOフレームワーク:ERM策定のきっかけとなりました。このスキャンダルの結果、エンロン社は倒産しました。人は必ずしも正直ではありません。また、「過ちは人なり」です。内部監査は、財務諸表の分析・精査および企業内の職務遂行の効率性とコンプライアンス等を検証しますが、従来は内部監査人の能力によってそれが行われました。したがって内部監査の合理性は内部監査人の人間性に依存してきました。その部分を内部監査の誠実性と言います。DXにより金額を始めとする数字だけでなく、テキストがデジタル化され、内部監査の人間的能力に依存する部分がシステムに置き換わられつつあります。将来は、ITシステムの正確性・安全性が、内部監査の「従来の誠実さ」に取って代わることになります。

Q14:COSOフレームワークとは?

A14:COSOフレームワークの「内部統制-統合的フレームワーク」では、「内部統制」を、「事業体の取締役会、経営陣、およびその他の人員によって実施され、業務、報告、およびコンプライアンスに関する目標の達成に関して合理的な保証を提供するように設計されたプロセス」と定義しています。ここには内部監査のすべてのアイデアが網羅されています。https://www.coso.org/SitePages/Home.aspx

Q15:内部監査がリスクを低減するとはどういうことか?

A15:内部監査では、企業に特定されたすべてのリスクを検討し、リスクを軽減する方法が適切に機能しているかどうかを分析します。機能していない場合は、その問題を解決するために何をすべきかが監査報告書に記載されます。

Q16:内部監査はどのようにコンプライアンスの向上するのか?

A16:内部監査では、組織が準拠すべき法律、規制、業界標準をチェックし、実際に準拠しているかどうかを判断します。コンプライアンス違反があった場合、内部監査人はその問題を解決する方法を提案します。

Q17:内部監査はどのようにコントロール(内部統制)を評価するのか?

A17:内部監査が有益なのは、効率性と業務の有効性を評価することで、組織の統制環境を改善するからです。なお、統制環境とは、内部監査基準(内部監査協会)によると、「組織の気風を決定し、組織内のすべての者の統制に関する意識に影響を与えるとともに、他の基本的要素の基礎・基盤となるものです。」コントロール(内部統制)の評価とは統制環境を評価することにあります。

 

《内部監査の倫理コード》

Q31:IIAの倫理コードについてもう少し説明して欲しい。

A31:米国のThe Institute of Internal Audiorsは Rules of Conductとして次のように詳述しています。

1.誠実さ
内部監査人は
1.1. 誠実さ(Integrity)、勤勉さ、および責任をもって業務を遂行しなければならない
1.2. 法律を遵守し、法律および職業上期待される開示を行わなければならない
1.3. 意図して違法行為の当事者となったり、内部監査の職業や組織の信用を損なう行為をしてはならない
1.4. 組織の合法的かつ倫理的な目的を尊重し、これに貢献しなければならない
2.客観性
内部監査人は
2.1. 内部監査人は、公平な評価を損なう可能性のある、または損なうと推定される活動または関係に関与してはならない。
                ここでいう関与には、組織の利益と対立する可能性のある活動参加することが含まれる
2.2. 専門家としての判断を損なう可能性があるもの、または損なうと推定されるものは受け取ってはならない
2.3. 開示しなければ監査対象の活動に関する報告を歪める可能性のある、自分が知っているすべての重要な事実は開示しなければならない
3.守秘義務
内部監査人は
3.1. 職務上知り得た情報の使用および保護に慎重でなければならない
3.2. 個人的な利益のために、法律に反したり、組織の合法的かつ倫理的な目的に悪影響を及ぼしたりするような方法で、情報を使用してはならない
4. コンピテンシー
内部監査人は
4.1. 必要な知識、技能および経験を有する業務にのみ従事するものとする
4.2. 「内部監査の専門的実践のための国際基準」に従って内部監査の業務を実践するものとする。
4.3. 熟練度、業務の有効性と質を継続的に向上させなければならない

  https://na.theiia.org/standards-guidance/mandatory-guidance/Pages/Code-of-Ethics.aspx

《内部監査:日米の実務》

Q51:CEOが任命する内部監査人が、CEOを監視するガバナンスのプロセスを検討・評価を米国で行われているとのことですが、少し無理が有る様見受けられ、また何故監査委員会がガバナンスのプロセスを検討・評価しないのかの疑問もあります。この点について、説明お願いします。

A51:ガバナンスの体制・あり方等はコーポレートガバナンスガイドラインで指名委員会が定めます。指名委員会はガイドラインに基づき毎年の報告(自己評価)決めます。ガイドラインに従って、ガバナンスの実務を行うのはマネジメントです。マネジメントのガバナンスの実践を監査するのが内部監査です。

Q52:日本では、上場会社に対する金商法の内部統制とソフトローのコーポレートガバナンス・コードがありますが、その他に全ての株式会社に適用される会社法がガバナンス・内部統制体制の整備(構築並びに運用)を定め、取締役会設置会社には監査役の設置を義務付け、公開(取締役会の承認無しで株式譲渡が可能)大会社(資本金5億円以上又は負債総額が200億円以上)に対しては、監査役会(監査役3人以上、内社外監査役が過半数)の設置並びに社外会計監査人の設置が義務付けられています。結果として、監査役が就任している会社数は100万社を超えるとも言われています。
米国においては、上場会社はSECの規定によりガバナンス・内部統制体制の整備が定められ、上場会社以外の株式会社のガバナンス・内部統制体制の整備は州法が適用されると理解しますが、州法の内容について、州法の代表格であるデラウエア州法をベースに説明をお願いします。

A52:米国会社法では、内部統制全般に関する定めはないようです。ただし、2000年代初頭に発生した大企業による不正会計問題への対応として、米国議会が制定したSOX法(2002年施行)では、財務報告に係る内部統制システムについて種々のルールを定め、会計業務への監視の強化およびコーポレートガバナンスへの規制強化を目指しています。

SOX法は、CEOとCFOとが、財務報告にかかる内部統制システムの構築・維持に関して有する責任ならびに内部統制システムの有効性について行った評価を含む、内部統制報告書を年次報告書と一緒に提出することを求めています。

こうした、執行役の活動の分野に関しては、伝統的に各州法が規制する分野ですが、取締役、株主等に関する事項と異なり、各州の会社法が実際に規制する内容がほとんどなく、その規則は取締役会に委ねられているとのことです。

経営陣は、事業年度終了時点での内部統制システムの有効性および財務状況の報告に関する内部統制システムに重大な影響を与え得る変更を評価し、[重要な欠陥」を発見した場合には 開示しなければなりません。

財務報告にかかる内部統制システムとは、「財務報告の信頼性」およびGAAPに準拠した財務諸表の作成を合理的に保証する過程であって、CEO・CFO等の監督下で設計され、取締役会、経営陣、その他の従業員により達成されるもの」と定義されている。

内部統制報告書は、①経営陣が内部統制システムの有効性の評価に用いる枠組み、②経営陣による内部統制システムの有効性に関する評価の内容、および、③経営陣の自己評価に対して会計事務所から検証報告書が発行されたことを記載するものであることを要する、とされています。経営陣による自己評価では、財務報告にかかる内部統制システムに「重要な欠陥」が存在する場合、経営陣は、内部統制システムが有効である結論づけることはできません。

③の内部統制報告書に記載する経営陣による自己評価に対しては、その証券発行体の会計監査を行った会計事務所が、PCAOBの策定する基準に沿って検証した上、監査報告書で報告するものとされています。なお、会計事務所は、内部統制システムの「重要な欠陥」や不備の有無を判断されることとされています。証券発行体の財務報告にかかる内部統制システムに「重要な欠陥」が存在する場合には、会計事務所は、不適正意見を表明しなければなりません。 (以上、カーティス・J・ミルハウプト編『米国会社法』有斐閣 2009年より抜粋。 (若杉敬明)

Q53:我が国における内部監査部門の職務・独立に関する規律について、先生はどのように評価されておられるでしょうか。米国では、今回のレジメ(38頁)によると、(会社法や証券取引法ではないにしろ)NYSE上場会社に対しては、同規則に基づき、内部監査部門設置が義務付けられ、また、監査委員会の職務として、内部監査人の独立性と職務遂行状況を確認することにより、内部監査部門の職務内容と独立に一定の規律付けがなされていると思いました(そして、一定の開示がなされると記憶しています)。

一方で、我が国では、内部監査部門を直接的に規律する法令はないと思います。有価証券報告書や東証コーポレートガバナンス報告書においても、基本的に監査の「状況」の開示に留まり、(保証やコンサルティングのような)一定の監査内容や独立性が求められるものとなってはいません。また、国際内部監査協会(IIA)の規定も、我が国企業を拘束するものではありません。なお、近時、行政当局が監査部門の在り方について報告書を公表していますが(※)、ソフトローとしての規範性を有するものかは疑問です。

(一要素の単純比較により制度の当否を判断することはできないと思いますが、)先生は、上記の我が国の制度整備状況について、その重要性を含め、どのようにお考えでしょうか。(また、この状況につき、機関投資家がどのように認識しているのか興味もあるところです)

・金融庁「金融機関の内部監査の高度化に向けた現状と課題」(2019年6月)
https;//www.fsa.go.jp/news/30/naibukannsa_report5.pdf
・経産省「グループガバナンスシステムに関する実務指針」2019年6月(特に77頁以降の3ラインディフェンス)
https://www.meti.go.jp/policy/economy/keiei_innovation/keizaihousei/pdf/ggs/

A53:内部監査についてあるサイトのホームページは次のように述べている。「内部監査は、業務の効率化・有効性の確認を行い、その効果として不正の未然防止・事後の速やかな発見を可能にするために、社内に管理体制を設け業務監査を行う組織的機能であす。すなわち、会社の業務を法令、社内規程、日本内部監査協会の内部監査基準に基づき、会社組織が経営目標を達成するために活動しているのか適正に合理的に経済的に運営されているか、業務とは独立した立場で客観的に検証、評価した上、改善のために社長様に提案を行います。」

ここに、「日本内部監査協会の内部監査基準に基づき」とあるが、これはまさに法律に基づき担保された機能ではないということである。ただし、東証の上場ガイドブックのⅢ 上場審査の内容(有価証券上場規程第 207 条第 1項各号及び第 210 条第1項本文関係)の「3 企業のコーポレート・ガバナンス及び内部管理体制の有効性 (規程第 207 条第1項第3号)」は次のように基準を定めている。

(1)新規上場申請者の企業グループの役員の適正な職務の執行を確保するための体制が、次 のa及びbに掲げる事項その他の事項から、適切に整備、運用されている状況にあると 認められること。 a 新規上場申請者の企業グループの役員の職務の執行に対する有効な牽制及び監査が 実施できる機関設計及び役員構成であること。この場合における上場審査は、規程 第 436 条の2から第 439 条までの規定に定める事項の遵守状況を勘案して行うもの とする。 b 新規上場申請者の企業グループにおいて、企業の継続及び効率的な経営の為に役員の職務の執行に対する牽制及び監査が実施され、有効に機能していること。 (ガイドラインⅡ 4.(1))

(2)新規上場申請者及びその企業グループが経営活動を有効に行うため、その内部管理体制 が、次のa及びbに掲げる事項その他の事項から、適切に整備、運用されている状況に あると認められること。

 a 新規上場申請者の企業グループの経営活動の効率性及び内部牽制機能を確保するに 当たって必要な経営管理組織(社内諸規則を含む。以下同じ。)が、適切に整備、運用されている状況にあること。

 b 新規上場申請者の企業グループの内部監査体制が、適切に整備、運用されている状 況にあること。 (ガイドラインⅡ 4.(2))

(3)新規上場申請者の企業グループの経営活動の安定かつ継続的な遂行及び適切な内部管理 体制の維持のために必要な人員が確保されている状況にあると認められること。 (ガイドラインⅡ 4.(3))

(4)新規上場申請者の企業グループがその実態に即した会計処理基準を採用し、かつ、必要 な会計組織が、適切に整備、運用されている状況にあると認められること。 (ガイドラインⅡ 4.(4))

(5)新規上場申請者の企業グループにおいて、その経営活動その他の事項に関する法令等を 遵守するための有効な体制が、適切に整備、運用され、また、最近において重大な法令 違反を犯しておらず、今後においても重大な法令違反となるおそれのある行為を行って いない状況にあると認められること。 (ガイドラインⅡ 4.(5))

法律で定められているわけではなく取引所の上場規程であるという意味では、日本もアメリカも同様である。違いは、経営トップの内部監査に対する、重要性・必要性の認識の違いであろうと考えている。

江戸時代に遡ると、大目付は諸大名の監察を行う幕府の役職であり、目付は幕臣の監察にあたる役であったという。まさに、徳川幕府は強力な内部監査体制を敷いていたわけである。最近の政府の仕草を見ていると内部監査が形骸化しているように見える。株式会社においても同様なのではないかと思う。政府も企業も規則を作れば役人や従業員はそれを守ると思っているかのようである。日本は性善説が前提の社会であるという指摘もある。かつてはそうであったかも知れないが、日本人を囲む環境が変わり日本人もダーウィンの進化説に従い変わっているように思う。なお、政府の監査については次のような論文が見つかった。【参考文献】高木麻美「国の行政機関における内部統制~行政機関内部におけるモニタリング機能再構築の意義と課題~」『季刊 政策・経営研究』2010 vol.4(若杉 敬明)

Q55:監査の世界も効率性が重視され、日本では監査役等(監査役・監査委員・監査等委員)と外部監査人及び内部監査人との連携による監査(三様監査)が重視され、内部監査においても、事業本部内の管理部門(第一線)と管理本部(経営企画部・経理部・財務部・リスクマネジメント部・法務部・人事総務部・IT推進部等)(第二線)と内部監査部(第三線)のツリーライン・デフェンスの連携による効率的監査を志向しているケースがみられる。これは、監査役会等の構成人員がスタッフを含めて10名内外、内部監査部の構成人員も数十名と限定され、その何十倍の経営資源を持つ管理本部や事業本部の管理部門との連携強化が不可欠とされ、又重複監査を避けるため、監査役監査は経営陣の業務執行の監査の一環として、取締役会の監督機能(ガバナンス機能)の監査・経営陣の内部統制環境の監査・外部監査人の監査の方法と結果の監査を、外部監査人は会計監査を、内部監査部は業務執行部門の監査を中心に実施しているのが現状と理解しています。
米国における監査の実態について、以下の点の解説をお願いします。

Q55-1:三様監査は監査委員会を中心とした連携により、実施されているのでしょうか。

A55-1:米国の監査委員会委員(監査委員)は日本の監査役・監査委員とは異なり、監査は行わない。ただし、財務諸表のレビューを行う(それゆえ会計・財務に関する知識が監査委員の要件となっている)。日本の監査役・監査委員が行う職務は内部監査人が行う。しかし、監査委員会は、内部監査人、独立監査人(外部会計監査人)と連携を取っており(それが職責です)、その意味では日本の三様監査に近いことが行われていると言える。第8回コーポレートガバナンス研究会のブログ-その1―のNYSEの監査委員会スタンダードの303A.07(b)-Eを見てください。【参考文献】森田佳宏『アメリカにおける内部監査と外部監査の連携』現代監査 No.26(2016.3)

Q55-2::スリーライン・デフェンスの連携監査は、第一線・第二線の協力による業務執行部門の監査に重心があるのか、又は第一線・第二線の管理機能の監査に重心が有るのでしょうか

A55-2:内部監査のThree Defense Linesにおける各ラインの役割分担は次のようになっているようである。

第1のディフェンスライン:リスクオーナーとしてのリスクコントロール
        ・日々の業務においてリスクの特定および統制手続きを行う
        ・業務の方針や手続きの設計およびその維持改善を行う
        ・リスク事情から生じた結果に対する責任を負う
        ・主たる部門:業務執行部門 ⇒報告先:CEO CFO

   第2のディフェンスライン:リスクに対する監視を行う
        ・業務執行部門から独立した立場で、リスクおよびその管理状況の監視を行う
        ・リスク管理上のアドバイス
        ・リスク管理フレームワークの設計およびその維持・改善
        ・主たる部門:リスク管理部門・コンプライアンス部門

            ⇒ 報告先:CRO、CCO、リスク委員会(取締役会)

      第3ディフェンスライン:合理的な保証を提供する
        ・業務執行部門、リスク管理部門等から独立した立場から、
          リスク管理機能および内部統制システムについて
          取締役会(監査委員会)に対して合理的な保証を与える
        ・主たる部門:内部監査部門 ⇒ 主たる報告先:取締役会(監査委員会)

Q55-3:任命権を持つCEOの業務執行の監査を内部監査部門が担うとされておりますが、「言うは易し、行うは難し」と思いますが、有効な監査が実施されているのでしょうか。

A55-3:その難しいことを行ってもらうために監査委員会は「内部監査人・外部監査人の独立性の検証」(プレゼン資料P.38)という職責を課されている。また、IIAの「内部監査基準」は、内部監査人の独立性確保の方策についてさまざまな示唆を与えている(プレゼン資料P.24-27)。

Q55-4:また、監査委員会も当然CEOの業務執行の監査を行うと思われますが、敢えて重複監査を行っているのでしょうか。

A55-4: 監査委員会は監査の実務(監査に関する執行)は行わない。(上記 A02-1

 

page top

サインイン

新規登録

パスワードをリセット

ユーザー名またはメールアドレスを入力してください。新規パスワードを発行するためのリンクをメールで送ります。