ビズサプリグループの三木です。
先日、ある報告書を取りまとめていくための会合に出席していたところ、報告書の草案として「内部統制(ガバナンス)」という表現が出てきました。内部統制とガバナンスは別なのでこの表現は修正となったのですが、実はその原稿を作成したのは公認会計士でした。
専門家なのだからもう少し勉強して欲しいと感じる一方で、ふだん馴染みがない人にとっては区別が難しいのかなとも改めて感じました。そこで今回は、今さらながら内部統制やガバナンス、その他混同されやすい関連用語について整理してみたいと思います。
その中で内部統制とガバナンスの違いは、次回により深く掘り下げていきます。(分かりやすさのために簡略な表現にしている箇所があります。ご容赦ください)
1.内部統制とは
内部統制とは、「事業活動にかかわる従業員すべてが遵守すべき社内ルールや仕組み」です。
例えば、決裁権限規程に基づく承認や、予算によるコスト管理などはその代表的なものです。大雑把に言えば社内をきちんと管理する仕組みと言って差し支えありません。
内部統制で有名なのは4つの目的と6つの構成要素から構成されるという説明です。これは金融庁が「財務報告に係る内部統制の評価及び監査の基準」の中で行っている説明で、多少の日本向けアレンジはしているものの、概ね海外諸国と同じ定義となっています。これについては検索すると解説がたくさん出てくるので、興味ある方は探してみてください。
内部統制でよく出てくるのが内部統制報告制度(J-SOX)です。上場企業は「財務報告に係る」内部統制を自らチェックし、更に外部の監査法人による監査を受ける義務があり、この仕組みをJ-SOXと言います。
気を付けたいのは、J-SOXはあくまでも財務報告に係る内部統制だけに焦点を当てていることです。例えば品質検査の改ざん防止の内部統制は、内部統制ではあってもJ-SOXの対象ではありません。ネット記事などではJ-SOXのことを内部統制と呼んでいるケースもありますが、あくまでもJ-SOXは財務報告、すなわち決算情報につながる部分の内部統制だけが対象ですので、内部統制の一部分にすぎません。
実は内部統制には単純なチェックのようなものだけでなく、組織構造だとかコミュニケーションの良し悪しといった高度な内容も含まれています。また、金融商品取引法と会社法で内部統制を別々に定義していて、少々ややこしさがあります。これらについては次回に掘り下げます。
2.コーポレート・ガバナンスとは
コーポレートガバナンス・コードによれば、コーポレート・ガバナンス(以下、ガバナンスと略します)とは「会社が、株主をはじめ顧客・ 従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組み」を指します。
「仕組み」である点は内部統制と共通ですが、ガバナンスでは「株主をはじめ顧客・ 従業員・地域社会等の立場を踏まえた上で」といった利害調整が要素として加わっていることと、「透明・公正かつ迅速・果断」といった経営に関わる業務品質の要素が強調されています。
内部統制とガバナンスは以下のような違いがあり、ガバナンスのほうがより上の階層で、透明性の確保や、リスクテイクを促すことによる企業価値の向上に主眼に置いています。
主役:内部統制は主に従業員が主役、ガバナンスは主に役員や機関(取締役会や監査役会など)が主役
対象:内部統制は主に従業員の不正や誤処理を防ぐ仕組み、ガバナンスは経営者の不正や暴走を防ぐ守りだけでなく、攻めの面も重要視
目的:内部統制は報告や法令遵守などの目的を達する、ガバナンスは株主や従業員、地域住民などの利害関係者のためのもの
3.リスクマネジメントとは
リスクマネジメントとは、読んで字のごとくリスクを管理する活動のことです。
事業活動では、風水害、テロや戦争などの外部の事件、サイバー攻撃、経済状況の変化、従業員が事件に巻き込まれるor事件を起こす、風評など、様々なリスクがあります。
営業、生産、出荷といった事業活動を行いつつリスクに備えることも経営のひとつであり、リスクマネジメントとは経営のうちのリスク対応部分を切り出したものと言えます。
具体的には、リスクの識別、リスクの大きさの評価、リスクへの対応方法の検討(予防する、保険をかける、被害軽減策を講じる、諦める・・・)、対応策の実行といった内容になります。
これらを一覧表を作って管理している会社もあれば、日常の経営の中で自然と行われていることもあるでしょう。
内部統制とリスクマネジメント、あるいはガバナンスとリスクマネジメントでは、重複部分があります。例えば「不良品をお客様に出荷してしまい重要顧客を失う」というリスクの管理のために厳重な製品検査という内部統制を構築する、「役員の利益相反取引」というリスクの管理のために役員が関わる取引の実行には取締役会決議を求める、といった具合です。
ただし、保険をかけて損害をカバーするというリスク対応も考えられます。そうした対応は内部統制とは少し異なりますが、リスク管理委員会の設置の世にリスクを評価し対応を考える仕組み自体は内部統制であり、境目が判然としないところもあります。
リスクマネジメントは「リスクをどう管理するか」という切り口で経営や業務遂行を切り出したもので、それが内部統制やガバナンスと重なることもあれば重ならないこともある、と言えるでしょう。
4.コンプライアンスとは
コンプライアンスは法令遵守と訳され、会社経営において法令などのルールにいかに準拠するかを指し示す言葉です。
会社経営において法令違反は大きなリスクであり、その意味ではコンプライアンス活動はリスクマネジメントの一部です。ただし、リスクマネジメントの一部と言い切るにはコンプライアンスは範囲、重要度、専門性が高いため、別の用語として独立して使われることが多いです。
もちろん法令を遵守するための活動は内部統制やガバナンスとも重なります。
コンプライアンスは法令遵守、すなわちルールを守ることが第一の意味なのですが、どこまでが範囲に含まれるのかが文脈により異なる場合があり、注意が必要です。
・法律や省令などを範囲とする
・規程や細則などの社内ルールも範囲とする
・業界の慣習なども範囲とする
・倫理や社会的規範も範囲とする
倫理や社会的規範についてはコンプライアンスに含んで議論されていることもありますが、エシックスという別の言葉で議論されることもあります。
文:三木 孝則(ビズサプリCEO 公認会計士)
株式会社ビズサプリ メルマガバックナンバー(vol.171 2023.4.26)より転載
三木 孝則
株式会社ビズサプリ CEO 公認会計士
学歴:1998年 東京大学経済学部経営学科卒業
職歴:1997年10月より青山監査法人に5年勤務。多様な業種(製造業、サービス業、ホテル業、保険業等)における財務諸表監査(日本基準、米国基準、IAS(現IFRS)等)を経験する。
その他、システム監査やデューデリジェンスにも従事。 その後、2003年1月から監査法人トーマツに転職し、エンタープライズリスクサービス部にて7年9カ月勤務。国内外の企業の内部監査や内部統制の導入コンサルティングやコソーシング、リスクマネジメント、システムに関わる業務改善等に主任として従事。また、一連のテーマに関する社内外のセミナー講師や機関紙の執筆等に関わる。専門家としてのコンサルテーションのみならず、複雑な環境下でのプロジェクトマネジメントや改善策の導入支援に強みを持つ。
2010年10月より独立し、株式会社ビズサプリを設立。IFRS導入支援やIPO支援等のコンサルティングを展開しつつ、現在に至る。
資格:公認会計士、公認内部監査人(CIA)、公認情報システム監査人(CISA)、TOEIC900点
著書:•統制環境読本(翔泳社)•IFRS決算書分析術(阪急コミュニケーションズ)•ビジネスモデル分析術(阪急コミュニケーションズ)
