　2005.12.8に企業会計審議会内部統制部会が取りまとめた「財務報告に係る内部統制の評価及び監査の基準案」において、COSO報告書のフレームワークとは違った内部統制のフレームワークが公表された。

　「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びＩＴ（情報技術）への対応の６つの基本的要素から構成される。」

　日本の実状にあった、最新の情報社会に適合した、あるいはコーポレートガバナンスに対応した内部統制を定義しようという意気込みの下に、COSOのフレームワークを改変されたものと考えられるが、このことが、J-SOXに対応しようとする企業の担当者やITベンダー達に少なからず混乱を巻き起こすことになった。

　特に、「ITへの対応」を基本的要素のひとつに掲げたことは、内部統制にはITコントロールという内部統制が別個にあるかのような、あるいはITコントロールこそが内部統制であるかのような誤解をもたらしている。

　内部統制部会の本来の純粋な意図から外れて一人歩きしている。と同時に、「財務報告に係る内部統制の評価及び監査の基準案」で、内部統制をこのように定義する必要があったのかどうかについて大いに疑問がある。以下、内部統制部会の打ち出した内部統制の三つの特徴について検討を加え、内部統制の意義について理解を深めていきたい。

　トレッドウェイ委員会が、資産の保全を内部統制の目的として検討しなかったかというとそうではない。それを定義の中に含めるべきであるという公開草案に対する意見に対して、「資産の保全という概念は、業務、財務報告および法規の遵守という内部統制の目的範疇のそれぞれに関係する側面を有していることを明らかにして」^*2最終報告書では、目的のひとつとして定義しなかった経緯がある。

　確かに、資産の保全は、他の三つの目的のいずれにも関係する側面がある。例えば、資産の無駄使いは業務の有効性や効率性に関わり、資産の紛失は財務報告の信頼性に関わり、資産の横流しは法規の遵守に関わる。

　これに対して、内部統制部会は、「・・・我が国においては、資産の取得、使用及び処分が正当な手続及び承認のもとに行われることが重要であることから、独立させて１つの目的として明示した。」と述べ、内部統制部会の部会長である八田進二教授は、監査役の役割を明示化するために、資産の保全を内部統制の目的に加えたと、次のように理由を述べている。「・・・監査役には業務調査権と財産調査権があります。このうち、財産調査権というのは、まさしく企業財産を保全することです。したがって、監査役の役割や内部統制とのかかわり方をより明確に示すために、目的を明示的に示しました。」^*3そして、このことでCOSOを国内化したとも誇っている。

　「資産の保全」の内容については、「経営者の受託責任」における「財産運用」の内容と関連づけて理解されるべきだと鳥羽至英教授も述べている。経営者が株主に負っている受託責任には、①財産運用責任、② 事業報告責任、③法規等遵守責任があるとされている。

　ここには、コーポレートガバナンスとの関連も考慮されているようだ。監査役制度は、日本独自の制度であって、米国のガバナンスの制度とは異なるため、監査役の役割を明示化することがCOSOの国内化につながるのであろう。

　そもそも、COSOのフレームワークがデファクトスタンダードになるまでは、日本での内部統制に関する定義（会計監査の世界で議論されていたのだが）には、たとえば次の様に、必ず資産の保全が含まれていた。

　「内部統制の目的は、適正な財務諸表を作成し、法規の遵守を図り、会社の資産を保全し、会社の事業活動を効率的に遂行することにある。」^*4

　資産の保全が内部統制の重要な目的のひとつであることは、日本においても米国においても変わりないことと思われる。ただ、理論的に突き詰めていくと、他の目的では包括できない三つの目的に集約されたというのが、COSOフレームワークでの真相ではないだろうか。業務の効率性を追求すると、財務報告の信頼性を疎かにする場合があり得るし、法規等の遵守を徹底すると、業務の効率性が低下する場合があり、財務報告の信頼性は法令遵守とは別の次元で達成されるものでもある。ことは左様に、この三者三様の目的にはトレードオフの関係があって、どれひとつ欠くことが出来ない。しかし、資産の保全という目的は、この三つの目的のいずれにも関係している。

　したがって、内部統制の目的に「資産の保全」を加えたことは、理論的には首肯しにくいが、目的の重要性に注目すれば首肯できる。例えば、情報処理の世界で初めに作られた基準は「情報システム安全対策基準」であったことを見ても、資産保全の重要性は自明である。また、理解のしやすさから見て、「資産の保全」は、有効性や信頼性よりも即物的で分かりよいという利点もある。

　内部統制部会は、「ＣＯＳＯ報告書公表後のＩＴ環境の飛躍的進展により、ＩＴが組織に浸透した現状に即して『ＩＴへの対応』を基本的要素の１つに加え」たとしている。^*5八田教授は「ＣＯＳＯの報告書が出た９０年代初めは、やっとIT環境がはじまった時代です。」今では、「ITを無視した内部統制議論では不十分だということ示したいために基本的要素に加えたのです。」^*6と述べ、「ＩＴへの対応」をCOSOの最新化と名付けている。

　なお、ＣＯＳＯ報告書の構成要素という用語を基本的要素としているのは、これらの要素は例示であることを明確にしたものである。すなわち、COSO報告書で言う「構成要素」が限定列挙であるのに対して、「財務報告に係る内部統制の評価及び監査の基準案」で、「ＩＴへの対応」を含め、列挙された統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びＩＴへの対応は、単なる例示であると注意を喚起している。

　内部統制部会の報告では、このように慎重に言葉を選んで使っているが、「基本的要素」と「構成要素」の違いを十分理解しないまま（あるいは、その違いが分かりにくいこともあって）、「ＩＴへの対応」が独立した「構成要素」であるかのように誤解され喧伝されている嫌いがある。IT業界では、ビジネス機会の到来とばかりに「IT統制」という用語までが生まれ、内部統制とは別に、あたかも「IT統制」というものがあるかのように一人歩きしている。

　しかし、ここは、「財務報告に係る内部統制の評価及び監査の基準案」が意図していることを理解し、その範囲を超えて拡大解釈しないことが望まれる。参考に、内部統制部会の委員である堀江正之教授の解説を引用しておく。

　「・・・COSO報告書が出てから１５年近くが経過し、ITへの注意を喚起する、特に目立たせるという意図で『ITへの対応』としたのが正しい理解です。また、ほかの構成要素に密接に関連するITの活用は、内部統制のベースになるものです。ITで特別なことをするというわけではなく、他の要素と一体となる、つまりプラス１ではないということを理解してほしいと思います。」^*8として、COSOキューブにならった図の中で、ITへの対応を他の５つの構成要素に接するように図示して、ITへの対応は他の要素に密接に隣接すると注記している。

　後述するが、筆者は、COSOのフレームワークを立方体ではなく三角柱で表現した方が理解しやすいと考えている。その場合、「ITへの対応」は、「情報と伝達」の中で考慮するのがよいと考える。

　「財務報告に係る内部統制の評価及び監査の基準案」の三点目の特徴は、内部統制の基本的要素に「リスクの評価と対応」として、リスク対応を加えたことである。

　「・・・ＣＯＳＯでは「リスクの評価」までしか明示していません。リスクを評価した後でどのような措置をとるかといった「リスクの対応」についてはＣＯＳＯでは考えていません。それは、経営者の意思決定の問題であって、内部統制の枠組みのなかで議論する問題ではないということから、リスクを評価した後の対応については取り入れなかったのです。」と八田教授は述べる。

　「・・・リスクを評価することはもちろん、リスクに対してどのような対応策を講じるか、あるいは、そうしたリスクを実際の戦略のなかでどのように生かしていくかといった対応も内部統制の範囲内だと考えています。」^*10として基本的要素（1-3に述べたとおり、本来は構成要素と呼ぶ方がよい）に加えた理由を説明している。

　ただし、この説明では、なぜ内部統制（コントロール）の領域にリスク対応というマネジメントを含める必要があるかの理由は分からないままである。

　内部統制概念を、リスクマネジメントの部分で拡張することに、どの様なメリットがあるのか？　コーポレートガバナンスを論じるときにマネジメントを外すわけにはいかないが、マネジメントとコントロールは別の次元の話であって、同じレベル（内部統制の構成要素の中）で論じると混乱を招くように思われる。

　内部統制の構成要素の第一番目に「統制環境」がある。これはある意味でマネジメントの領域の話である。経営方針であるとか企業風土というのは、経営者が示し導いていくものであるからだ。「統制環境」は、内部統制を構築する場合に、あらかじめ存在するべき環境をいうのであって、他の四つの構成要素とは違い、内部統制を運用する構成員が決定権を持たないものと言える。

　「リスクへの対応」は、その意味では、「統制環境」に類似していると言えなくもない。少なくとも、統制環境と同様に、内部統制の運用を任される構成員が、その要否を判断し決定する領域ではない。「統制環境」は内部統制の構築し運用するための土台であって、「統制環境」に不備があると、内部統制が瓦解してしまうほどの重要性を持つものである。

　コントロールとマネジメントを明確に区分することは、内部統制を理解する上で、誤解や混乱を回避できて有用なことである。内部統制の構成要素の中に「リスク対応」を持ち込むことは、その意味で望ましくない。

　内部統制が議論される場面は一様でない。内部統制はひとつの視点からだけ議論され利用されるものでもない。このことが内部統制を分かりにくくしている要因となっている。

　内部統制は、歴史上は、試査を支えるものとして会計監査の世界で議論され始めたものであり、実務上は、業務の有効性を支えるものとしてマネジメントの世界で利用されていたものであり、今では、コーポレートガバナンスを担保するものとしての利用が議論されてもいる。様々な視点から、内部統制を議論することがあることを、まず理解しておく必要があるだろう。

　また、SOX法で利用される内部統制、金融商品取引法で利用される内部統制、会社法で利用される内部統制は、同一ではない。利用目的が異なり、利用される背景も異なっているため、内部統制の意味するところも微妙に違っている。この点にも留意して内部統制を議論しないと、混乱を招いてしまうことになる。

*1「内部統制の統合的枠組み理論篇」　トレッドウェイ委員会組織委員会（COSO：the Committee of Sponsoring Organization of the Treadway Commission）1992.9

*9「『ITへの対応』がこのような関係になるとなると、基本的要素という言葉を使わないほうがよいですね。『内部統制は５つの構成要素からなる』とするほうがわかりやすいです。そうすると財務報告に係る内部統制の評価をする際に、５つの構成要素それぞれについての有効性を評価すればよいことになります。そのひとつに重要な欠陥があれば他の構成要素が有効であっても内部統制は有効ではないという枠組みを維持できますね。『ITへの対応』は５つの構成要素の有効性評価をする際の留意点という位置づけになりますね」　公認会計士丸山満彦 2006.07.25 ﾌﾞﾛｸﾞ