日本版 SOX法への対応と課題

2007年 3月

早稲田大学大学院

（早稲田ビジネススクール）

小田彰宏

マークの意味 http://www.bunka.go.jp/jiyuriyo/

この論文は私の研究室に所属している大学院生の修士課程修了論文のうち、特に資料的価

値が高いと判断されるものを、公開資料としての趣旨に沿うよう修正改編のうえで、担当

教授の責任で公開するものです。内容等につき紹介がある場合は岩村に問い合わせくださ

い。（早稲田大学大学院／早稲田ビジネススクール教授・岩村充）

i

目次

はじめに ..................................................................................................................................... 1

第 1章 米 SOX法に関する考察 ................................................................................................. 3

第 1節 米 SOX法...................................................................................................................... 3 1.1.1 米国企業の不祥事 ........................................................................................................ 3 1.1.2 米 SOX法の誕生.......................................................................................................... 5 1.1.3 米 SOX法の対象企業 .................................................................................................. 6 1.1.4 コーポレートガバナンス上の改革 ............................................................................... 7 1.1.5 会計上の改革 ............................................................................................................. 10 1.1.6 監査上の改革 ............................................................................................................. 11

第 2節 内部統制とリスクマネジメント.................................................................................. 12 1.2.1 内部統制とリスクマネジメントの関係...................................................................... 12 1.2.2 リスクの定義 ............................................................................................................. 13 1.2.3 内部統制が生まれた背景 ........................................................................................... 16 1.2.4 COSOフレームワーク ............................................................................................... 17 1.2.5 COSOの ERMフレームワーク ................................................................................. 19 1.2.6 従来のリスクマネジメントと ERMの比較............................................................... 21

第 3節 米 SOX法が及ぼした影響 .......................................................................................... 23 1.3.1 他国への影響 ............................................................................................................. 23 1.3.2 格付けへの影響 .......................................................................................................... 24 1.3.3 米 SOX法の対象企業の状況...................................................................................... 25 1.3.4 米 SOX法の課題........................................................................................................ 28 1.3.5 米 SOX法がもたらす効果 ......................................................................................... 30

第 2章 日本版 SOX法に関する考察 ........................................................................................ 32

第 1節 日本版 SOX法 ............................................................................................................ 32 2.1.1 日本版 SOX法の誕生 ................................................................................................ 32 2.1.2 日本版 SOX法の定義 ................................................................................................ 35 2.1.3 金融商品取引法の規定 ............................................................................................... 40 2.1.4 日本版 SOX法と米 SOX法の比較 ............................................................................ 41

第 2節 会社法の内部統制 ....................................................................................................... 44 2.2.1 取締役の内部統制構築責任が明確化 ......................................................................... 44 2.2.2 金融商品取引法と会社法の比較 ................................................................................ 46 2.2.3 内部統制の限界 .......................................................................................................... 50

ii

第 3節 日本におけるコーポレートガバナンスの動向 ............................................................ 51 2.3.1 有価証券報告書での開示強化 .................................................................................... 51 2.3.2 コーポレートガバナンスの格付け ............................................................................. 52

第 4節 日本版 SOX法対応の現状 .......................................................................................... 54 2.4.1 企業の取り組み .......................................................................................................... 54 2.4.2 日本版 SOX法がもたらす効果 .................................................................................. 59

第 3章 ERMの導入の提言 ...................................................................................................... 63

第 1節 企業の競争力を強化する ERM................................................................................... 63 3.1.1 ERMの必要性 ............................................................................................................ 63 3.1.2 ERMの価値................................................................................................................ 65 3.1.3 ERMの課題................................................................................................................ 68 3.1.4 ERMの導入状況 ........................................................................................................ 69 3.1.5 ERMの導入の提言..................................................................................................... 71

第 2節 ERMの導入の実践 ..................................................................................................... 72 3.2.1 ERMの導入................................................................................................................ 72 3.2.2 内部環境..................................................................................................................... 74 3.2.3 目的の設定 ................................................................................................................. 77 3.2.4 事象の識別 ................................................................................................................. 79 3.2.5 リスクの評価 ............................................................................................................. 81 3.2.6 リスクへの対応 .......................................................................................................... 83 3.2.7 統制活動..................................................................................................................... 86 3.2.8 情報と伝達 ................................................................................................................. 86 3.2.9 モニタリング ............................................................................................................. 88

おわりに ................................................................................................................................... 90

参考文献 ......................................................................................................................................I

索引 .......................................................................................................................................... VI

iii

図表目次

図表 1 エンロンとワールドコムの破たん ....................................................................................5 図表 2 米 SOX法の主要条項 ..........................................................................................................6 図表 3 404条の要約........................................................................................................................10 図表 4 COBIT for SOXと COSO・COBITの関係 .......................................................................10 図表 5 監査業務と非監査業務の同時提供禁止、上は米国、下は日本 ..................................12 図表 6 一般的なリスクの種類 ......................................................................................................15 図表 7 リスクの定義（COSOの ERM）.....................................................................................15 図表 8 リスクの分類......................................................................................................................16 図表 9 COSOフレームワーク公表までの経緯 ...........................................................................17 図表 10 内部統制の統合的枠組み ................................................................................................19 図表 11 COSOの ERMと COSOフレームワークの比較 ..........................................................20 図表 12 COSOの ERM ...................................................................................................................21 図表 13 従来型のリスクマネジメントと ERMの比較..............................................................23 図表 14 各国の内部統制の評価基準及び検証基準 ....................................................................24 図表 15 「重大な欠陥の開示」と「格付けの見直し」 ............................................................25 図表 16 1年目 SEC円卓会議（2005年 4月 13日）（上）、2年目同会議（2006年 5月 10日）

（下）........................................................................................................................................26 図表 17 内部統制の運用面についての意識欠如 ........................................................................27 図表 18 重要な欠陥及び重大な不備 582件の内訳（2004年） ...............................................27 図表 19 経営者向けガイダンスの 7つの分野（2005年 5月 16日に SECが発表） ............29 図表 20 西武鉄道とカネボウの会計不祥事 ................................................................................34 図表 21上場企業のディスクロージャーを巡る主な問題（2003年 11月～2004年 11月） 34 図表 22 日本版 SOX法の進展 ......................................................................................................34 図表 23 日本版 SOX法の（広義の）定義 ..................................................................................37 図表 24日本版 SOX法対応で文書化する文書の例 ...................................................................37 図表 25 日本版 SOX法対応の進め方（例） ..............................................................................37 図表 26 日本版 SOX法の評価及び監査の流れ ..........................................................................39 図表 27 金融商品取引法の主な規定（日本版 SOX法に関する部分のみ要約）...................40 図表 28 日米 SOX法の比較..........................................................................................................43 図表 29 公認会計士等による検証の水準とコスト負担の考慮 ................................................44 図表 30 内部統制の不備の区分 ....................................................................................................44 図表 31 日本の内部統制議論の進展 ............................................................................................46 図表 32 大和銀行巨額損失事件（上）と神戸製鋼所総会屋利益供与事件（下）.................46

iv

図表 33 会社法の主な規定（内部統制に関する部分のみ要約） ............................................48 図表 34 監査役監査基準（第 21条 1項） ..................................................................................48 図表 35 日本版 SOX法と会社法の内部統制の比較 ..................................................................50 図表 36 内部統制の限界................................................................................................................51 図表 37 有価証券報告書での開示強化 ........................................................................................52 図表 38 コーポレートガバナンスの格付け ................................................................................53 図表 39 米国非上場日本企業における SOX 法または日本版 SOX 法対応の責任者・リーダ

ーと、企業の同法への対応姿勢との関係 ............................................................................55 図表 40 SOX法対応で特に難しい事項（複数回答） ................................................................57 図表 41 コンプライアンスのためのロードマップ ....................................................................58 図表 42 ERMの必要性 ...................................................................................................................65 図表 43 ERMの価値 .......................................................................................................................65 図表 44相関係数と相関関係の強さ .............................................................................................67 図表 45 ERMのロードマップ .......................................................................................................71 図表 46 COSOフレームワークの構成要素（上）、COSOの ERMの構成要素（下）..........73 図表 47 事象を識別する手法 ........................................................................................................81 図表 48 リスクの評価の手法 ........................................................................................................83 図表 49 リスクの評価の体系化 ....................................................................................................83 図表 50 リスク統合への 3つのステップ ....................................................................................84 図表 51 リスク処理手段................................................................................................................85 図表 52 リスクの影響度及び発生可能性によるリスクの分類と最適な処理方法.................86

1

はじめに

わが国では、2006 年 6 月に金融商品取引法が成立した。金融商品取引法の中で「財務報

告に係る内部統制」に関する条文を指して、通称「日本版 SOX法」と呼ばれている。日本

版 SOX法は、2008年 4月 1日以降に開始する事業年度から適用されることになり、当該企

業には「財務報告に係る内部統制」の構築が義務づけられる。

米国では、2002年 7月に日本版 SOX法の基となった通称「米 SOX法」が成立した。米

SOX 法は、2001 年から 2002 年にかけて起きたエンロンやワールドコムなどの巨額粉飾決

算事件を受けて制定された。米 SOX 法の 404 条において、日本版 SOX 法と同様に「財務

報告に係る内部統制」の構築が義務づけられている。

米国で米 SOX法が成立したことを契機に、2003年にイギリスやフランスをはじめとする

各国で企業に内部統制を求める法律や指針が発表された。日本では、金融庁の内部統制部

会から 2005年 12月に「基準案」、2006年 11月に「実施基準（公開草案）」（2007年 1月に

最終確定予定）が公表された。この「基準案」の答申の趣旨は、金融商品取引法の一部に

盛り込まれた（つまり、日本版 SOX法として取り込まれた）。「実施基準（公開草案）」は、

内部統制の基本的な枠組みを示したもので、財務報告に係る内部統制を構築するための実

務的な指針となるものである。

米国では、米 SOX 法が施行されると、米 SOX 法対策の負担が重すぎるとの批判が強く

適用基準が緩和される方向にある。一方で、米 SOX法は、投資家保護に効果があり有用で

あるといった米 SOX法を支持する意見も出始めている。日本でも日本版 SOX法に対して、

米国にみられるように否定派と支持派の二極化の傾向にある。

このように、日本や米国をはじめとする世の中は、企業や当局を中心に SOX法に対する

議論が盛んに行われており、ただならぬ様相を呈している。

本論文の目的は、昨今の変化の激しい環境下に置かれている日本企業に対して、日本版

SOX法への取り組みの在り方を示し、方法論を提言することにある。提言内容については、

理想と現状に隔たりが出ないように、日本版 SOX 法への企業の対応状況を踏まえた上で、

実践が可能なものになるように心掛けた。

第 3章の提言に至るまでの本論文の構成は次のようになっている。

第 1 章では、日本版 SOX 法の先進事例として米 SOX 法について考察する。ここでは、

米 SOX 法の条文より、企業に義務づけられている内容を整理する。その後、米 SOX 法に

取り組んでいる企業の現状を把握する。これにより、米 SOX法対策によって「効果が上が

った点」と「取り組みに対する課題」を把握できる。これは、日本版 SOX法の対象企業に

とっての有用な参考情報となる。

第 2 章では、日本版 SOX 法について考察する。ここでは、日本版 SOX 法（金融商品取

引法）の条文より、企業に義務づけられている内容を整理する。また、日本版 SOX法と同

2

様に内部統制が義務づけられている会社法についての条文も整理する。その後、日本版 SOX

法に取り組んでいる企業の現状を把握する。これらのことは、日本企業の現状を踏まえた

上での提言（第 3章）をするために把握しておく必要がある。

第 3章では、日本版 SOX法への取り組みの在り方を示し、方法論を提言する。第 1章と

第 2 章によって、日米の SOX 法を考察した上で行き着いた提言は、ERM（Enterprise Risk

Management：全社的リスクマネジメント）の導入であった。方法論としては、COSOの ERM

（1.2.5）を使用し、それに基づいて体系化した。

企業は、時間の経過とともに競争力を強化することが求められているが、それを実現で

きると期待されるのが ERM である。日本版 SOX 法だけで企業の競争力を生むのは難しい

ため、日本版 SOX法対応と併せて ERMを導入していくことが、企業には求められる。

ERM は米国の金融機関や一部の事業会社で導入事例があるが、日本での導入事例、特に

事業会社での例はほとんどない。しかし、筆者は、COSO の ERM は、日本版 SOX 法の対

策としても取り入れることができると考えている。「SOX法の義務付けは実はCOSOのERM

の部分集合」と言われているとおり、日本版 SOX法対応によって、地盤は形成されるから

導入のハードルは決して高くないだろう。日本版 SOX 法が法制度化された今だからこそ、

ERMの導入のチャンスがあるとも考えられる。

3

第1章 米 SOX法に関する考察

第1節 米 SOX法

この節では、米 SOX法について整理する。米 SOX法の正式名称は、Sarbanes－Oxley Act

であり、米国企業改革法とも呼ばれている。第 2章で日本版 SOX法について取り上げるが、

それと併せて米 SOX 法を理解しておくことは意義があるだろう。なぜなら、日本版 SOX

法は米 SOX法を参考につくられており、米 SOX法であっても日本版 SOX法であっても法

の本来の目的は変わらないからである。米 SOX法の要件（内部統制）に沿って法を捉える

ことで、日本版 SOX法についても中心を捉えることができると考えられる。

1.1.1 米国企業の不祥事

2001年 12月、米国最大規模のエネルギー会社であったエンロンが破たんした。資産規模

は 633億ドル、負債総額は 160億ドルであった。その翌年の 2002年 7月には、米長距離通

信 2 位のワールドコム（現 MCI）が、破たんした。資産規模は 1,070 億ドル、負債総額は

410億ドルに達した1。ワールドコムは、資産規模では過去最大の企業倒産となった（図表 1）。

両社の破たんの原因は粉飾決算であり、米国の市場経済と資本市場の信頼性を根本的に

揺るがす大事件であった。さらに、エンロンケースでは、粉飾決算のみならず経営陣のモ

ラルハザード（倫理の欠如）やコンプライアンス（法令遵守）、企業のコーポレートガバナ

ンス（企業統治）などの問題も浮上した。

ディスクロージャー（情報開示）やコンプライアンス、コーポレートガバナンスが世界

一厳しいと言われている米国で、エンロンやワールドコムなどにみられる違反が起きたの

は、主に次のようなことが原因として挙げられる。

第 1 は、法的な規制が厳しいと言われている米国だが、財務報告2の内容が会計、監査、

コーポレートガバナンスという観点で不備があったことである。さらに、会計基準や監査

基準は企業活動の後追いという性質を持っており、そうした対応だけでは財務報告の信頼

性を担保することが難しくなっていた。事実、米国では 2001 年 12 月のエンロン社の破た

んから、2002 年の 7 月にかけてのワールドコム社の破たんに至るまでの期間に、それ以外

にも優良と言われていた企業の不正な財務報告の問題が顕在化した3。

監査の不備という観点では、監査法人大手のアンダーセンが利益率の高いコンサルティ

1 「ワールドコム破産法申請、負債総額は４１０億ドル、資産規模、米最大の破たん。」，『日本経済新聞』，2002年 7月 22日，夕刊，p.1 2 財務報告とは、金融商品取引法上の開示書類（有価証券報告書及び有価証券届出書）に記載される財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報をいう（企業会計審議会内部統制部会 2005，p.4） 3 総務企画局企業開示参事官室（2005），『企業会計審議会 第１回内部統制部会会議録』，金融庁，p.17

4

ング業務を失いたくないばかりに、簿外金融取引による巨額債務の監査を甘くしたと言わ

れるように、利益相反の懸念が挙げられる。東京清和弁護士事務所の高畑満弁護士は、利

益相反について「多様な業務を一つの会社で手がけるようになると、ある専門職が他の専

門職に影響力を行使し、各自の自主性が損なわれ、顧客にとって利益相反の状況が起こる

危険もある4」と述べている。たとえば、会計監査は株主のために行うもの、コンサルティ

ングは顧客（エンロン）のために行うものとみた場合、アンダーセンのように監査人が会

計監査業務とコンサルティング業務を顧客に同時に提供してしまうと、株主と顧客の利害

関係が衝突してしまう可能性がある。そうした行為があれば、顧客と監査人が癒着し、株

主が不利な立場に置かれる事態もありうる。

第 2 は、外部機関が機能不全であったことである。エンロンは破たん直前まで優良企業

とされていたが、突然のように破たん5した。つまり、資本市場で、投資家の視点から企業

をチェックする機能を期待されている証券アナリストや格付け会社も、エンロンの業績悪

化・会計操作を破たんの直前まで見誤っていたことになる。

また、行政の関与は、監査業界を取り仕切る AICPA（American Institute of Certified Public

Accountants：米国公認会計士協会）の自主規制主導という名の下に限定的であった6。自主

規制の下で AICPAは、監査人7の独立性を担保する監査基準の強化や監査法人相互間の品質

管理（ピアレビュー）などを十分に指導、実施できていなかった。

第 3は、「自己奉仕的バイアス」の影響が監査を歪めたことである。自己奉仕的バイアス

とは、「客観的な態度で、公平を期そうという時ですら、欲求は情報を解釈する方法に強力

な影響を及ぼす8」と定義される。これは心理学の実験で証明されており、いかに精練潔白

で、知識とキャリアに優れた監査人でも、このバイアスから逃れられないことが判明した。

これをエンロンのケースに置き換えると、監査法人のアンダーセンは顧客が受け入れるよ

うな監査内容にしたいために、費用に対応する勘定科目や、売上の発生日を顧客の都合に

合わせてデータを解釈するようになり、無意識のうちに粉飾決算を犯してしまったという

ことになる。

4 「弁護士、税理士…――士（サムライ）ビジネス、組織戦へ（日曜版）」，『日本経済新聞』，2002年 3月31日，朝刊，p.17 5 「崩れる日本型間接金融――銀行株安、構造転換迫る（スクランブル）」，『日経金融新聞』，2001年 12月21日，p.20 6「青山学院大学教授八田進二氏――登録制まず自主規制で（監査法人改革を聞く）」，『日経金融新聞』，2006年 6月 8日，p.3 7 監査人とは財務諸表監査の監査人を指す。財務諸表監査の監査人とは、主に、公認会計士もしくは監査法人が該当する。 8 Max H.Bazeman・George Loewenstein・Don A.Moore（2005）「『自己奉仕的バイアス』の影響が監査を歪める善意を歪める 善意の会計士が不正監査を犯す理由」，『Harvard business review』，ダイヤモンド社，第 30巻 10号 (通号 205)，p.92

5

図表 1 エンロンとワールドコムの破たん 企業名 不正の発表時期 規模（単位：ドル） 不正の内容 判決結果

エンロン 2001年12月資産規模：633億負債総額：160億

約10億ドル利益を水増しする粉飾決算で連邦破産法11条を申請。会計監査を担当していた会計事務所の米アーサー・アンダーセンは2002年3月に起訴され、8月に廃業

元CFO（最高財務責任者）など起訴。現在、公判中

ワールドコム2002年6月同7月に破産

資産規模：1,070億負債総額：410億

約38億ドル利益を水増しする粉飾決算で連邦破産法11条を申請。回線使用料などの販管費用を設備投資として計上していた。元CEO（最高経営責任者）などが起訴される

元CEOは禁固25年、4億2,800万ドルの損害賠償

出所：日経コンピュータ他編 2006，p.45を加筆、修正

1.1.2 米 SOX法の誕生

米国で不祥事が相次いだ後の 2002年 7月、米国で SOX法が成立した。米 SOX法はエン

ロン、ワールドコムなど連続発生した不祥事の発生原因を分析し、再発を防止するために

制定された。不祥事を分析した結果、コーポレートガバナンスやディスクロージャー制度、

監査法人の監査人としての独立性（監査制度）、会計処理基準の整備など、資本市場の信頼

性を支えている諸制度が機能していなかったことが明らかになった。

米 SOX 法は、11 章からなり、主要な条項で分類すると、「①コーポレートガバナンス上

の改革」「②会計上の改革」「③監査上の改革」の 3点に分けることができる。米 SOX法は、

この 3 つを改革することで、企業のディスクロージャーの正確性と信用（いわゆる財務報

告の信頼性の確保）を回復させようと考えた。

6

図表 2 米 SOX法の主要条項

ｺｰﾎﾟﾚｰﾄｶﾞﾊﾞﾅﾝｽ上の改革 会計上の改革 監査上の改革1 第404条　内部統制に関する経営者の評価経営者（CEOとCFO）による内部統制の有効性評価報告書の提出と監査の義務づけ

第302条　財務報告に関する企業の責任経営者による年次・四半期報告の正確性に対する宣誓書の提出

第1章　公開会社会計監視委員会（PCAOB)上場企業の監査を監視する公開会社会計監視委員会（PCAOB）の創設

2 第407条　監査委員会の財務専門家の開示監査委員会（または監査役会）のメンバーに最低1人の財務専門家を含むこと

第401条　定期報告書における開示オフバランス取引、契約上の義務の開示

第201条　禁止される非監査行動監査業務と非監査業務（コンサルなど）の同時提供禁止

3 第906条　財務報告書に関する企業の責任罰則規定の強化（故意の違反の際には、500万ドル以下の罰金または20年以下の禁固刑、あるいはその双方

第409条　発行者による即時開示財政状況や営業上の重大な変化に関する最新の情報を速やかに公開する義務

第203条　監査パートナーの交替監査担当責任者の継続監査期間の短縮（7年→5年）

4 第301条　株式公開会社の監査委員会監査委員会を構成する社外取締役は、当該企業およびその子会社の関係者ではなく、かつ当該企業から社外取締役としての報酬以外の報酬を受け取ってはならない

5 第402条　利益相反規定の強化取締役と執行役に対する個人ローン提供の禁止

出所：（2006）「Part4 米国企業改革法の教訓」，『週刊ダイヤモンド』，ダイヤモンド社，第 94巻 23号

（通号 4134），p.47を加筆、修正

1.1.3 米 SOX法の対象企業

米 SOX法は、基本的には SEC9に登録した米国内外すべての企業（以下、SEC登録企業）

に適用される10。SOX 法の実施をどのような形で行うかは、SEC によって判断されること

になっている。

米 SOX法制定と同時に、SECは多くの新規則（以下、SEC規則）を採択し、ニューヨー

ク証券取引所やナスダックをはじめとする主な証券取引所は上場企業の統制基準に修正を

加えることとなった（ガイ・P.ランダー 2006，p.5）。

米 SOX 法が施行されると、米国では SOX 法対策の負担が重すぎるとの批判が強く、適

9 SEC（Securities and Exchange Commission：米国証券取引委員会）は、1934年に設立された連邦政府機関で、投資家保護のために、証券取引法規を管理している。日本では、証券取引等監視委員会がこれにあた

る機能を有している。 10 「基本的に」としているのは、証券取引所またはナスダックに持分証券（株式会社の普通株式）を上場している会社のみ適用される条項があるからである。しかし、多くの条項は SEC登録会社が対象となる（ガイ・P.ランダー 2006，p.10）。

7

用基準が緩和される方向にある11。その 1つに、企業規模によって対象の時期をずらすとい

った緩和措置が取られている。米国の大企業12は 2004 年 11 月 15 日以降の決算から適用さ

れた。さらに、米国外の早期適用の対象企業は 2006 年 7 月 15 日以降の決算から、米国の

中小企業や米国外の非早期適用企業は 2007 年 7 月 15 日以降の決算から、それぞれ適用さ

れる予定である13。

1.1.4 コーポレートガバナンス上の改革

一連の米 SOX法に関連する改革によって、コーポレートガバナンスは、市場重視型では

なく規制重視型へと変わった。米 SOX法のコーポレートガバナンス上の改革は、図表 2の

とおり、監査委員会および経営者、取締役会に焦点が絞られている。ここでは、まずコー

ポレートガバナンスの歴史や定義について整理し、その後に米 SOX法のコーポレートガバ

ナンス上の改革について詳細を述べる。

① コーポレートガバナンスの定義

コーポレートガバナンスに関して、国際的に初めて総括的な提案を行ったのはイギリス

のキャドベリー委員会報告書（1992年）であると言われている14。つまり、コーポレートガ

バナンスの考えは、米 SOX 法が制定された 2002 年より以前に存在していたことになる。

コーポレートガバナンスは、イギリスで始まって以来、時代とともに変化しており、国ご

とにも定義が若干異なることから、世界での恒常的な定義は存在しない。

コーポレートガバナンスの現状と方向性に関する限り、最も信頼できる機関の 1 つであ

る OECD15は、2004年にコーポレートガバナンスについて、次のような定義づけを行ってい

る（一部のみ抜粋）。

コーポレート・ガバナンスは、会社経営陣、取締役会、株主及び、ステークホルダー

（利害関係者）間の一連の関係に関わるものである。コーポレート・ガバナンスは、

会社の目標を設定し、その目標の達成するための手段や会社業績を監視するための手

段を決定する仕組みを提供するものである。良いコーポレート・ガバナンスは、取締

役会や経営陣に、会社や株主の利益となる目標を追求するインセンティブを与え、有

効な監視を促進するものであるべきである（OECD 2004，p.11）。

11 「契約交渉の外部委託増える――ＳＯＸ法対策で透明化（シグナル発見）」，『日本経済新聞』，2006年 12月 18日，朝刊，p.15 12 米国国内の大企業は「発行済み株式時価総額 7,500万ドル以上の大手企業」、米国の中小企業は「発行済み株式時価総額 7,500万ドル未満の大企業」と定義される。 13 2006「Chapter２ 内部統制の構築に挑んだ日米企業の苦闘 米国編：初期対応に右往左往した米国企業 ３年目を迎えて第２フェーズへ」，『日経ビジネス』，日経 BP社，通号 1335 ，pp.49-50 14 「日本大学教授今福愛志氏――受益者の利益監視必要（年金スコープ）」，『日経金融新聞』，2001年 8月10日，p.10 15 OECD（Organisation for Economic Co-operation and Development：経済協力開発機構）は、民主主義と市場経済を原則とする加盟三十カ国によって成り立つ組織であり、比較可能なデータ、分析、予測を提供する

機関である。

8

一方、日本では 2005年に、経済産業省がコーポレートガバナンスとは「企業経営を規律

するための仕組み」（企業行動の開示・評価に関する研究会 2005，p.4）と定義している。

そのための取り組みとして、「①企業風土による規律」「②企業経営者を監督または監視・

検証する仕組」などが必要とされている（企業行動の開示・評価に関する研究会 2005，

pp.29-30）。最近の日本では、「企業は一体誰が支配・監督していくか」という議論とともに

コーポレートガバナンスの問題が取り上げられることから、コーポレートガバナンスとは、

後者（②）に関する意味が強い傾向にある。

OECDと経済産業省のコーポレートガバナンスを比べると、基本的に意味しているところ

は同じであり、両者とも企業統治の重要性とその仕組みづくりについて述べられている。

② 米 SOX法におけるコーポレートガバナンス上の改革

①によって、コーポレートガバナンスの定義について整理した。以下に、米 SOX法の改

革の 1 つであるコーポレートガバナンス上の改革について、図表 2 に基づいて詳細を述べ

る。

第 1 は、内部統制の有効性評価報告書の提出と監査の義務付け（404 条）である。なお、

内部統制を義務づけた 404 条は図表 3 のとおり、コーポレートガバナンスを超えた広い概

念を扱っているが、ここではコーポレートガバナンス上の改革の一環として取り上げるこ

ととした。

404条では、従来の財務諸表監査に加えて、財務報告に係る内部統制そのものに対する監

査を求めた。404 条が企業に与える影響は大きく、概して米 SOX 法への対応とは、404 条

対応のことを指すと言っても過言ではない。404 条によって内部統制を義務化することで、

最終成果物（決算書）に至るまでのプロセスが信頼できるようになる。これによって、最

終成果物は信頼できるが途中経過が分からないというようなことは許されなくなる。

この財務報告に係る内部統制を構築するには、COSO16の示したフレームワーク（以下、

COSOフレームワーク17）が事実上、世界標準として使用されている。しかし、IT統制18な

どには COSOフレームワークだけで構築することは困難なため、ITIL19や COBIT20などのフ

16 COSO（The Committee of Sponsoring Organizations of the Treadway Commission：トレッドウェイ委員会組織委員会）は、不正防止と内部統制に関する具体的な活動を行った委員会。COSOについての詳細は、1.2.3を参照のこと。 17 COSOは 1992年に「内部統制に関する統合的な枠組み」（通称 COSOモデル、COSOフレームワークと呼ばれる）を公表した。この報告書が内部統制のフレームワークとして、その後、世界で広く利用されて

いる。 18 IT統制とは、内部統制を最大限に支援する ITシステム、インフラ、運用を構築し、継続的に機能させていくことである。 19 ITIL（Information Technology Infrastructure Library）とは、情報システムの運用管理に関するベストプラクティス（最善策）を体系的にまとめたガイドライン。1980年代に英国商務省（Office of Government Commerce）が策定。 20 COBIT（Control Objectives for Information and related Technology）は、米 ISACF（ Information Systems Auditors and Control Foundation：情報システムコントロール協会）が提唱する ITガバナンスの成熟度を測るフレームワークのこと。

9

レームワークを併用することも可能である。2003年には、米 ITガバナンス協会と米情報シ

ステムコントロール協会の「COBIT for SOX」の第 1版が公表されている。これは、COBIT

を、COSO フレームワークとひも付けて整理したものである。図表 4 に、COBIT for SOX

と COSOフレームワーク、COBITの相関関係を示しておく。

第 2 は、監査委員会（または監査役会）のメンバーに最低 1 人の財務専門家を含むこと

（407条）である。監査委員会のメンバーに財務専門家の就任を要件としたのは、近年の複

雑化する企業会計原則の内容を熟知する上で、企業にとってディスクロージャーの正確性

と信用性を確保するには、CFO（Chief Finance Officer：最高財務責任者）や監査法人と互角

に議論できる財務専門家が必要だという認識によるものである。また、法の適用を監査委

員会に限定しているのは、監査委員会が株式会社のガバナンスシステムの元締めであるこ

とから、不正の温床の根源を断つという視点からである。

第 3は罰則規定の強化（906条）である。米 SOX法は、罰則規定が大幅に強化され、違

反に対しては厳しい罰則が課されることとなった。906条では、経営者（CEOと CFO）に対し、財務諸表を含む報告書が取引所法の報告要件を

十分に満たしていること、財政状態と経営成績がすべての重要な時点において公正に開示

されていることを宣誓するように要求している。経営者は、財務報告の内容が虚偽と知り

ながら故意に違反した場合は、20 年以下の禁固刑、500 万ドル以下の罰金、あるいはその

両方の刑事罰が課される。

第 4は、監査委員会を構成する取締役の独立性の確保（301条）についてである。301条

は、監査委員会は独立した21取締役のみによって構成され、監査委員会は財務報告および監

査に関しての強力な権限を持つように規定した。従来から米国では、過半数の独立した取

締役による取締役会の編成や、報酬委員会、指名委員会、監査委員会によるガバナンスの

仕組みが確立され、有効に機能しているものと信じられてきた。しかし、エンロン事件等

の一連の企業財務に関する不祥事を受け、独立性の要件を強化するとともに、監査委員会

を独立した取締役のみで編成し、かつその監査委員会に強力な権限を付与することにより、

再びコーポレートガバナンスにに対する株式市場の信頼を回復させようとの意図がある。

21 ここで言う独立とは、各取締役は当該企業またはその子会社の関係者であってはならず、かつ取締役としての地位に基づき受領する報酬以外は、いかなるコンサルティング料、顧問料、またはその他の報酬を

当該企業からは受け取ることができないということを意味する。

10

図表 3 404条の要約

経営者（CEOとCFO） 監査人財務報告の信頼性を確保するための内部統制が有効に機能していることを確認する。

監査人は経営者による内部統制に関する評価を調査したうえで、内部統制の有効性に関する意見を内部統制報告書に記載する。

内部統制が適切な仕組みに準拠して整備・運用されており、当該内部統制に重大な欠陥がないことする。企業は財務報告に係る内部統制に関する経営者の評価と、監査人による証明を年次報告書に添付する。

出所：ITGovernance Institute 2004，p.14を加筆、修正

図表 4 COBIT for SOXと COSO・COBITの関係

フレームワーク 用途COSOフレームワーク

企業経営や業務全般に係る内部統制を構築する際に使う。

COBITCOSOフレームワークの考えを受け、情報システムの統制項目を示したもの。情報システムネットワークの統制に使う。

COBIT for SOXSOX法への遵守を目的として、財務報告に係る内部統制に必要な情報システムの統制項目を示したもの。財務報告に係る内部統制を実施する際に使う。

出所：リックテレコム編集 2006，p39を基に作成

1.1.5 会計上の改革

ここでは、米 SOX法の改革の 1つである会計上の改革について、図表 2に基づいて詳細

を述べる。

第 1は、経営者による年次・四半期報告の正確性に対する宣誓書の提出（302条）である。

経営者に対して、四半期および年次の財務報告書の内容に誤りがないことを保証するとと

もに、宣誓することを義務付けている。これによって、経営者は、企業が財務報告の信頼

性を保証する仕組みを整備し、その仕組みが機能していることを保証しなければならなく

なった。つまり、経営者は、すべての財務報告をレビューし、内部統制が機能しているこ

とを保証しなければならず、不正があった場合に、自社でありながら会計監査の不正につ

いては関与していない（知らなかった）という口実は使えなくなることを意味する。

第 2は、オフバランス取引、契約上の義務の開示（401条）である。オフバランス取引の

公開を強化したのは、取引の実体が外部化されることで、取引が不透明になることを避け

るためである。たとえば、エンロンのように SPC22を設立して SPCとのデリバティブ取引に

よって損失を相殺するといった不透明な操作は許されなくなった。 22 SPC（Special Purpose Company：特別目的会社）は、資産の証券化などの特別な目的を達成するため、企業や金融機関が設立する会社である。

11

第 3は、財政状況や営業上の重大な変化に関する最新の情報を速やかに公開する義務（409

条）である。財政状態及び経営成績に重大な影響を及ぼす場合は、適宜、情報開示しなけ

ればならない。このような情報開示のリアルタイム性は、たとえ法制度化されていなくと

も、企業にとっては重要である。定期報告までの時間を短縮し、決算を早期化し、最新の

情報を迅速かつ適切に提供できる企業は、投資家の評価は高くなると期待されるからであ

る。

1.1.6 監査上の改革

第 1は、PCAOB（Public Company Accounting Oversight Board：公開会社会計監視委員会）

の創設（米 SOX 法第 1 章）である。PCAOB は監査法人の監査業務を監督する非政府組織

である。PCAOBは、SECの下部機関として新設され、従来、AICPAが自主的という形で掲

げてきた監査基準、品質管理基準、倫理基準などの策定を行い、監査法人に懲罰を課する

権限を有している。

PCAOB は、非政府組織であるが、PCAOB の予算は SEC が監督しており、PCAOB の活

動内容は、毎年 SEC に報告する義務を負っていることから民間機関というよりは準公的な

機関として位置づけられると考えられる23。つまり、監査人の監査は従来の民主導による自

主的運営体制から官主導による直接監督体制に大きく変貌を遂げた。

第 2は、監査業務と非監査業務の同時提供禁止（201条）である。具体的には、監査人が、

被監査会社へ図表 5（上）のような一定の非監査業務を提供することを禁止し、独立性の

確保を要求している。つまり、監査人は監査している会社に対して、基幹システムや会計

システムの開発を請け負ったり、内部監査を代行したり、自己監査に該当するような兼業

をすることが禁止された。参考として、図表 5（下）は、日本の公認会計士法で定められ

ている監査業務と非監査業務の同時提供禁止項目である。

208条においても、監査人の独立性を強化する新規則が採択されており、被監査会社との

雇用関係終了後の冷却期間・独立監査人が提供できるサービスの範囲・監査担当パートナ

ーのローテーション制など、監査人の独立性に係る事項が規定されている。

23 総務企画局企業開示参事官室（2005），『企業会計審議会 第 2回内部統制部会会議録』，金融庁，p.2の町田専門委員の発言を基に編集

12

図表 5 監査業務と非監査業務の同時提供禁止、上は米国、下は日本

1 記帳代行や被監査会社の会計記録ならびに財務諸表に関連するサービス2 財務情報システムのデザインや導入、運用業務3 鑑定、評価や保険数理サービス4 内部監査アウトソーシング5 マネジメント機能や人事関連サービス6 ブローカー、ディーラー、投資アドバイザー、投資銀行業務7 法務や監査と関係のない専門業務8 PCAOBが禁止するサービス

米国

1 会計帳簿の記帳の代行その他の財務書類の調製に関する業務2 財務又は会計に係る情報システムの整備又は管理に関する業務3 現物出資その他これに準ずるものに係る財産の証明又は鑑定評価に関する業務4 保険数理に関する業務5 内部監査の外部委託に関する業務6 証券業7 投資顧問業

81～7のほか、監査又は証明をしようとする財務書類を自らが作成していると認められる業務又は被監査会社等の経営判断に関与すると認められる業務

日本

出所：IBMビジネスコンサルティングサービス株式会社他 2005，p.22；金融庁「公認会計士制度に係る

討議資料（H18-2）」，http://www.fsa.go.jp/singi/singi_kinyu/kounin/siryou/20061002/01.pdf（2007年 1月 2日

閲覧）を基に作成

第2節 内部統制とリスクマネジメント

米 SOX 法 404 条で義務づけられている内部統制は、「財務報告の信頼性を確保するため

の」内部統制に限定されているが、ここではそれよりも広い意味での内部統制を取り上げ

る。

1.2.1 内部統制とリスクマネジメントの関係

内部統制について考える上で、リスクマネジメントについて理解しておく必要がある。

なぜなら、内部統制そのものは、リスクマネジメントとほぼ同じ問題を抱えているからで

ある。つまり、内部統制とは、企業が直面する問題・課題にリスクア・プローチで対応す

ることにほかならない。米 SOX法では、財務報告の虚偽表示リスクに対して内部統制を構

築し、リスクマネジメントを実践することになる。内部統制を構築する上で、404条で推奨

されている COSO フレームワークの中でも、リスクの評価、つまりリスクマネジメントの

考えが取り入れられている24。

ここで、日本におけるリスクマネジメントを取り上げる。JIS規格などの工業標準化及び

24 COSOフレームワークの中では「リスクマネジメント」という用語は扱われていないが、COSOフレームワークの構成要素である「リスクの評価」は、狭義のリスクマネジメントであると考えられる。

13

規格統一で有名な日本規格協会によると、リスクマネジメントは「リスクに関して、組織

を指導し管理する、調整された活動」と定義され、その範囲は「リスクマネジメントには、

一般的にリスク算定、リスク評価、リスク対応、リスク受容及びリスクコミュニケーショ

ンを含む」（日本規格協会編 2003，p.15）とされている。

一方で、経済産業省のリスク管理・内部統制に関する研究会によると、リスクマネジメ

ントとは、「企業の価値を維持・増大していくために、企業が経営を行っていく上で、事業

に関連する内外の様々なリスクを適切に管理する活動である」（リスク管理・内部統制に関

する研究会 2003，p.1）と定義される。

最後に内部統制とリスクマネジメントの関係について確認する。COSOフレームワークで

は、内部統制にできることとして「事業体25がその業績と収益性に関する目標を達成し、ま

た、資源の損失を防止するうえで役立つもの」（トレッドウェイ委員会組織委員会 1996a，

pp.8-9）を挙げている。これについて、「資源の損失」は「リスク」として、「資源の損失を

防止」は「リスクマネジメント」として捉えることができる（日本規格協会の定義と同義）。

また「事業体がその業績と収益性に関する目標を達成」することは、企業の価値を維持・

増大することと捉えることができる（リスク管理・内部統制に関する研究会の定義と同義）。

このように内部統制とリスクマネジメントは極めて関係が深いと言えるだろう。

1.2.2 リスクの定義

ここで、リスクマネジメントの前提となるリスクについて確認する。

リスクの分類と個々の定義は、多様な使われ方をしており、企業によって異なることか

ら、すべてを包括するような恒常的な定義はできない。たとえば、従来までは「損失発生

の可能性」といったマイナスの結果をもたらす可能性のみがリスクと考えられていたが、

「利益の発生する可能性」がある場合もリスクと考えられるようになった（後藤和廣 2006，

p.11）。

経済産業省の事業リスク評価・管理人材育成システム事業によれば、一般的なリスクの

概念は、図表 6 のとおりであり、リスクにはゼロまたはマイナスの結果をもたらす概念と

機会創出をもたらすプラスの概念がある。事業リスク評価・管理人材育成システム事業で

は、リスクを「組織の収益や損失に影響を与える不確実性」（事業リスク評価・管理人材育

成システム事業 2005，p21）と定義している。

この節では、特に断りの無い限りは事業リスク評価・管理人材育成システム事業の定義

に従って、リスクを「プラス・マイナス両面を含めた概念」として捉えることとする。図

表 6 の “3”など、リスクを「プラス・マイナス両面を含めた概念」として捉えたときに

リスクマネジメントで重要になるのは、リスクと機会は裏表の関係にあり、特定の機会の

潜在的な便益がそのリスクを超えるかどうかを判断することである。 25 「特定の目的のために設定された組織で、規模は問わない。たとえば、株式会社、非営利組織、政府機関または研究教育機関はここにいう事業体である。事業体と同義で使われる他の用語の中には、組織や企

業といった用語がある」（トレッドウェイ委員会組織委員会 1996a，p.197）

14

ここで、リスクの定義の具体例を確認するために COSO の『ERM―統合的フレームワー

ク26』（以下、COSOの ERM）を取り上げる（COSOの ERMについては、1.2.5を参照のこ

と）。COSO の ERM では、リスクを「ある事象が発生することにより目的の達成とは反対

の影響を与える可能性」と定義しており、リスクとはマイナスに影響するもののみを言う。

一方、事象を「事業体の内部または外部の要因により発生し、目的達成に影響を与える事

件や出来事」としており、事象はプラス、マイナス両方の影響を考慮していることが分か

る。さらに続けて「プラスの影響を与える事象は、マイナスの影響を相殺し、あるいは、

事業機会．．を出現させるのである」（COSO 2006a，p.4，傍点引用者）と定義している。つま

り、COSOの ERMでは図表 6の“3”の「プラスの影響をもたらす機会」と「マイナスの

影響をもたらすリスク」を併せて「事象」と呼んでいる。よって、COSOの「事象」を事業

リスク評価・管理人材育成システム事業の定義する「（プラス・マイナス両面を含めた）リ

スク」と置き換えれば、言葉の違いはあるものの、両者の意味することは同じであると言

えよう。

次に、リスクの分類方法について確認する。企業全体という視点からリスクはいくつも

の分類方法でみることができる。その中で、1つの有効なフレームワークは以下のようなも

のがある27（図表 8）。

企業のリスクは「戦略リスク」「操業リスク」「財務金融リスク」「危機リスク」と分類で

きる。「戦略リスク」は収益機会・収益源でもある。企業の経営とは、将来の不確実性に戦

略的に関与してリスクを抑えながら収益を追求することであり、大きな進化を見据えた戦

略的リスクをリスクマネジメントすることが基本となる。「操業リスク」は資源配分の改善

や生産プロセスの改善などによる効率性の向上によって、コスト削減やリスクの縮小、利

益を向上させることが可能である。これは、日本経営の得意な管理分野である。「財務金融

リスク」は資金調達、保有金融資産に影響する金利、為替、株価などの金融的変数の変動

に起因するリスクで、利益に正の影響を与える可能性がある。「危険リスク」は企業のリス

クとしては扱わない（考慮しない）ことも多い。

ここに、これらのリスクのうち、株主価値の下落につながる割合を調査した結果がある。

マーサー・マネジメント・コンサルティングの調査28では、この中で、株主価値の下落の誘

発につながるのは、「戦略リスク」（58%）と「操業リスク」（31%）であり、「財務金融リス

ク」（6%）は少なく、「危険リスク」が株主価値の下落を誘発した事例は存在しなかったと

報告されている（ポール.L.ウォーカー他 2004，p.11）。

別の観点から、これらのリスクのうち、企業内で取り組まれている割合を調査した結果

26 「ERM―統合的フレームワーク」（Enterprise Risk Management―Integrated Framework）は、リスクマネジメントに対する問題意識と関心の高まりに応える形で COSOによって制定されたフレームワークである。 27 この枠組みは ERM研究で使われている。 28 1993～1998年の期間中に『フォーチュン』誌トップ 1000社の中で、100件の最大月刊株主価値下落を研究し、価値下落をもたらす引き金となる事象を示し、その原因分析を行った。

15

がある。ティリンガスト-タワーズ・ペリンの調査29では、ほとんどの組織が「財務リスク」

（88%）と「業務リスク（＝操業リスク）」（83%）を内部監査計画に織り込んでいる（監査

している）。しかしながら、「戦略リスク」（49%）を内部監査計画に含めている組織は半分

以下にとどまる（ジェリー.A.ミコリス他 2004，pp.75-76）。

アンケートの実施調査企業や回答企業が異なるため、一概には言えないが、マーサー・

マネジメント・コンサルティングとティリンガスト-タワーズ・ペリンの結果を見ると、「戦

略リスク」は株主価値を下落させる可能性が高いにも関わらず、企業内部での取り組み意

識は低いようである。

図表 6 一般的なリスクの種類 1 2 3

プラスの影響、マイナスの影響どちらも与えるものである

マイナスに影響をするもののみを言い、プラスの影響は視野に入れない

マイナスに影響をするもののみを言い、プラスに影響するものに別の名前をつける

財務関連のリスクや戦略リスクなど、一つの行為がプラス・マイナスの両方の結果を生む可能性のあるものが対象である場合考えやすい定義

いわゆるハザード関連のリスクに使われる定義であり、従来より広く使われている。ただしリターンを増大させるために積極的にリスクテイクする、といった活動に結びつくきらいがある

従来のマイナス方向の影響のみという定義を踏襲しつつ、同時にプラスの影響についても視野に入れ、双方をコントロールすることを前提とする

プラスの影響

マイナスの影響

リスク

プラスの影響

マイナスの影響

リスク

プラスの影響

マイナスの影響

リスク

機会など

出所：事業リスク評価・管理人材育成システム事業 2005，p21を基に作成

図表 7 リスクの定義（COSOの ERM）

用語 定義リスク ある事象が発生することにより目的の達成とは反対の影響を与える可能性。

事象事業体の内部または外部の要因により発生し、目的達成に影響を与える事件や出来事。

事業体 特定の目的のために設定された組織で、規模は問わない。（後略） 出所：COSO 2006a，pp.166-170を基に作成

29 2000年の終盤に、同社がいくつ者業種をカバーするグローバルなサーベイ調査を実施した。

16

図表 8 リスクの分類

戦略的リスク戦略的、政治的、経済的、政府規制関連、世界的な市場現状に関連するリスクを含む：評判リスク、リーダーシップ・リスク、ブランド・リスク、顧客ニーズ変化等がここに含まれうる。

操業的リスク 組織のシステム、プロセス、技術、従業員に関連するリスク。

財務的リスク為替、金利、商品の不安定性によるリスクを含む：信用リスク、流動性リスク、市場リスクも含まれうる。

危険リスク自然災害のような保険可能なリスク：種々の保険対象となりうる賠償責任：資産の物理的損傷：テロリズム。

出所：ポール.L.ウォーカー他 2004，pp.10-11を基に作成

1.2.3 内部統制が生まれた背景

米国において、内部統制という概念自体は、エンロン事件後に生み出されたものではな

い。監査人は、財務諸表上のどの点について精査すべきか濃淡をつけるために、内部統制

の評価を行ってきた。

SOX法で一般事業会社に義務づけられた内部統制報告書の提出と監査は、1991年に成立

した連邦預金保険公社改革法30では、すでに金融機関の経営者に対して義務づけられていた

（八田進二 2006，p.42）。

内部統制の概念は経済社会の発展とともに拡大してきたが、伝統的な内部統制の概念は、

相互牽制および内部監査から構成されており、不正・誤謬の発見や標準からの逸脱を是正

するための機能だった。内部統制は、元々は、会計監査に関連するものから徐々に範囲が

広まっていったと言われている。内部統制のフレームワークを作った COSO が会計士や会

計学者の集まりであったことからも、内部統制と会計監査の関係は深いと考えられる31。

1970年初めのウォーターゲート事件32（政治スキャンダル）や 1976年のロッキード事件

（世界的な大規模汚職事件）を受けて、1977 年に米国で海外不正支払防止法（FCPA）33が

成立した。FCPA は、SEC 登録会社に対し、GAAP34に従った財務諸表を作成するために、

取引を正確かつ詳細に記帳して保管し、経営者の承認にしたがって取引が実行されている

ことを合理的に保証できる内部会計統制システムを構築することを要求した。FCPAによっ

て初めて法律によって内部統制が定義され、企業の経営者層や管理者層の意識を高めるの

に大きな役割を果たした（IBMビジネスコンサルティングサービス株式会社他 2005，p.25）。

米国有力企業の内部統制整備の歴史はこの頃から始まったと言われている。ただし、FCPA

は「規定の対象が会計だけに限定されている」「何を持って内部統制と考えるのか」「内部

統制が有効とはどういうことか」などの問題があったため、有効に機能しなかった（八田

30 Federal Deposit Insurance Corporation Improvement Act（FDICIA） 31 もっとも、内部統制は COSOより前の 1950年から 1970年にかけて AICPAが監査基準において公表している。そのため、COSOの影響によって内部統制に会計監査色が強まったのかは断言できない。 32 米国の複数の公開会社が 2重帳簿をもちいて海外の政府高官に資金提供されていたとされるもの 33 Foreign Corrupt Practices Act（FCPA） 34 GAAP（Generally accepted accounting principles：一般会計原則）は、妥当とされた会計概念、基準、および、実務の体系である。財務諸表の作成にあたり、その基準となる。

17

進二 2006，p.46）。

1980 年代前半に金融機関を含む多くの企業の経営破たんが大きな社会・政治問題となっ

たことを受け、1985年に「不正な財務報告全米委員会（トレッドウェイ委員会）」が設立さ

れた。企業の経営破たんの原因に粉飾決算があったことから、経済社会から粉飾をなくす

ための調査研究を行うために組織された。トレッドウェイ委員会は、AICPA をはじめとす

る企業会計および監査にかかわる 5つの民間団体に支持されて発足した。

1987 年、トレッドウェイ委員会は約 2 年半にわたる調査研究を経て、不正な財務報告を

事前に防止し、早期発見し、あるいは粉飾が見つかったときの対応策（フレームワーク）

について、「不正な財務報告全米委員会報告書」を公表した。こうしたトレッドウェイ委員

会の調査や提言を踏まえ、再び 5 つの民間団体が支える形で立ち上がった委員会が COSO

（トレッドウェイ委員会組織委員会）である。

その後、1992年に COSOフレームワークおよび米国の監査基準書第 78号が定義された。

それ以降は、経営を取り巻く環境が厳しくなるにつれて、コーポレートガバナンス、コン

プライアンス、リスクマネジメントなどの議論が活発になり、そもそも企業が社会のなか

で存続していくための基本的な責任（CSR）も検討されるようになった。

図表 9 COSOフレームワーク公表までの経緯

1977年

・「海外不正支払防止法（FCPA）」1970年初めのウォーターゲート事件や1976年のロッキード事件を契機に制定。SEC登録会社に対して、内部統制の維持を求める。（1988年の改正によって、罰則規定も制定）

1985年 ・AICPAは「不正な財務報告全米委員会（トレッドウェイ委員会）」を組織。

1987年

・『不正な財務報告全米委員会報告書』（トレッドウェイ委員会報告書）すべての公開企業に対して、『経営者報告書』の公表を勧告。『内部統制に関する統合的な指針の設定」については、トレッドウェイ委員会の支援団体に委ねる。

1988年

・『監査基準書（SAS）』第55号「財務諸表監査における内部統制機構の検討』トレッドウェイ委員会の勧告を受けて改訂。その後、『内部統制の統合的枠組み』の公表にともない、1995年同報告書に全面的に依拠する形で、『監査基準書（SAS）』第78号「財務諸表監査における内部統制の検討－SAS第55号の改訂」によって改訂（1997年1月より適用）。

1991年・「連邦預金保険公社改善法（FDICIA）」金融機関の経営者に対して、内部統制報告書の提出と監査が義務づけられる。

1992年9月 ・『内部統制の統合的枠組み―理論篇とツール篇―』を公表1994年5月 ・『内部統制の統合的枠組み』（追補版：「外部の関係者に対する報告」）を公表

2004年9月・『全社的リスクマネジメント―統合的フレームワーク（フレームワーク篇と適用技法篇）』を公表

2005年10月・『財務報告に係る内部統制報告に関する中小規模公開企業向けガイダンス』の公開草案を公表

出所：総務企画局企業開示参事官室（2005），『企業会計審議会 第１回内部統制部会会議録 別添 A』，

金融庁， p.1を加筆、修正

1.2.4 COSOフレームワーク

1992年、COSOによって COSOフレームワークが公表された。

18

COSOフレームワークは、内部統制の中身を具体的に定義するものとして、グローバルス

タンダードとして認知されている35。そのため、米 SOX 法 404 条において、財務報告に係

る内部統制システムを構築している企業は COSO フレームワークを使っている。なお、

COSO フレームワークは、内部統制を財務報告のみに係るものとしては位置づけておらず、

財務報告以外の内部統制も対象にしている。

このような内部統制の議論をとおして、内部統制のフレームワークに関する指針が各

国・各分野で公表されるようになった。

COSOは任意組織であるため、その提言は法的拘束力を持たないが、一連の先進的な提言

内容は、米国当局の規制などに取り入れられてきた。COSOフレームワークは、現在、会計

や監査の専門家のみならず金融機関や事業会社にも浸透しつつある。銀行における内部統

制の重要性を強調したバーゼル委員会の報告書「銀行組織における内部管理体制のフレー

ムワーク（1998年）」に反映され、金融機関向けの内部統制報告書でも採用されている。さ

らに、わが国の「金融庁検査マニュアル（1999年）」にも影響を与えることとなった。

COSOフレームワークはいくつかの特徴がある。1つは、COSOフレームワークは監査人

ではなく経営者にとっての内部統制という点に注目したことである。第 2 は、それまで必

ずしも明確でなかった内部統制の全体的定義をコーポレートガバナンスやリスク評価と関

連づけながら、有用な実務指針として位置づけた。これらは、それまでの内部統制議論の

概念を変えることになった。

COSOフレームワークでは、内部統制を次のように定義している。「以下の範疇（=業務の

有効性と効率性、財務報告の信頼性、関連法規の遵守）に分けられる目的の達成に関して

合理的な保証を提供することを意図した、事業体の取締役会、経営者およびその他の構成

員によって遂行されるプロセスである」（トレッドウェイ委員会組織委員会 1996a，p.18，

括弧内引用者）。そして、具体的には「内部統制は、5 つ（統制環境、リスクの評価、統制

活動、情報と伝達、監視活動）の、そして相互に関連のある要素から構成されている」と

定義している（図表 10）。

COSOフレームワークが発表された後も、研究が継続され、新しい提案が発表されている

が、現在でも内部統制に関するフレームワークとしては最も信頼を受けており、今後の展

開もこのフレームワークを基盤として行われることは間違いないだろう。事実、2004年に、

COSOから ERMのフレームワーク36（以下、COSOの ERM）が発表されたが、COSOフレ

ームワークの存在を脅かすものではない。COSOは「COSOフレームワーク」と「COSOの

ERM」の関係について、次のように述べている。「このフレームワークは内部統制の枠組み

35 厳密に言えば、世界的にみれば、内部統制の枠組みは COSOフレームワークに限定されるものではなく、唯一絶対のものではない。内部統制のフレームワークとしては、例えば、カナダでは「CoCo-統制モデル」、英国では「ターンブル・レポート」、オーストラリアでは「ACC-オーストラリア統制基準」、南アフリカでは、「キング・レポート」というように COSOフレームワーク以外が利用されている。しかしながら、これらの中には COSOフレームワークを基につくられたものも多い。 36 ERM（COSO Enterprise Risk Management-Integrated Framework：全社的リスクマネジメントのフレームワーク）

19

（＝COSOフレームワーク）を置き換えることを意図したものでもなければ、置き換わると

いうものでもない。それよりもむしろ、内部統制の枠組みを ERMのフレームワークの中に

取り込むものであり（後略）」（COSO 2006a，p. ⅸ，括弧内引用者）。つまり、COSO の

ERMは、COSOフレームワークを基軸として新しく考えを発展させたものであるが、COSO

フレームワークに置き換わるものではない。

図表 10 内部統制の統合的枠組み

監視活動

情報と伝達

統制活動

リスクの評価

統制環境

事業活動A

事業活動B

部署1

部署2

部署3

出所：企業行動の開示・評価に関する研究会 2005，p.8を基に作成

1.2.5 COSOの ERMフレームワーク

2004年 9月、COSOから出された新しいフレームワーク ERMが正式発表37された。ERM

は、次のように定義されている。

事業体38の取締役会、経営者、その他の組織内のすべての者によって遂行され、事業体

の戦略策定に適用され、事業全体にわたって適用され、事業目的の達成に関する合理

的な保証を与えるために事業体に影響を及ぼす発生可能な事象を識別し、事業体のリ

スク選好39に応じてリスクの管理が実施できるように設計された、一つのプロセスであ

る（COSO 2006a，p.5）。

ERMは、今までの COSOフレームワークの内部統制の構成要素としてなかった経営目標

37 2003年 7月に ERMの公開草案が一般公開され、パブリックコメントを受け付けたのち、2004年 9月に正式発表となった。 38 Entity（事業体）とは、「特定の目的のために設定された組織で、規模は問わない。たとえば、会社、非営利組織、政府機関または研究機関はここにいう事業体である。事業体と同義で使われる用語の中には、

組織や企業といったものがある。 39 会社やその他の事業体がそのビジョンを追求する際に進んで冒すことのできるリスクのおおよその範囲（COSO 2006a，p.170）。

20

の設定や経営戦略・計画の策定、リスクマネジメントまで包括したものである。また、ERM

は COSO フレームワークよりも広範な領域をカバーし、COSO フレームワークの内部統制

を包含し、リスクおよびリスクマネジメントに、一層焦点を当てている。前述（1.2.4）の

とおり、COSOフレームワークは、内部統制を検討する事業体などにとって、今後も役割を

果たしうるものである。つまり、COSOフレームワークが ERMに置き換わったのではなく、

COSOフレームワークを踏襲しながら、より広い領域をカバーする傾向にある。

ERMは事業体の目的として、業務、報告、コンプライアンス、戦略の 4つを掲げている。

COSOフレームワークに比べて、「戦略」が新たに追加された。戦略は他の 3つの目的より

も高位に機能する目的である。戦略は事業体のミッションやビジョンから導出されるもの

であり、業務、報告、コンプライアンスの諸目的は、この戦略目的に適合することを前提

に設定している。「財務報告」は「報告」へと変わり、取り扱う範囲を非財務諸表を含むよ

うに拡張されている。

構成要素としては、「①内部環境」「②目的の設定」「③事象の識別」「④リスクの評価」「⑤

リスクへの対応」「⑥統制活動」「⑦情報と伝達」および「⑧モニタリング」の 8 つを掲げ

ている。ERM は、リスクに対する焦点をより強化したことで、内部統制のフレームワーク

におけるリスク評価の構成要素を拡張し、4つの構成要素を創出した。目的の設定、事象の

識別、リスクの評価、リスクへの対応である。リスクの対象範囲は、COSOフレームワーク

が社内リスク中心であったが、ERM では社内リスクだけではなく、社外のリスクも対象と

しており、ERMは幅広い範囲を扱う。

ERMは、企業が採用を強制されるものではない。しかし、ERMは、極めて汎用性の高い

考え方を提示しているので、COSOが提示した内部統制フレームワークとともに、企業社会

に広く普及すると考えられる。

図表 11 COSOの ERMと COSOフレームワークの比較

COSOのERM COSOフレームワーク 相違点①業務 ①業務の有効性と効率性 変更なし②報告 ②財務報告の信頼性 概念の拡大③コンプライアンス ③関連法規の遵守 変更なし④戦略 ― 新目的要素追加①内部環境 ①統制環境 概念の拡大②目的の設定 ― 新構成要素追加③事象の識別④リスクの評価⑤リスクへの対応⑥統制活動 ③統制活動 変更なし⑦情報と伝達 ④情報と伝達 概念の拡大⑧モニタリング ⑤監視活動 変更なし

②リスク評価 分割と内容の高度化構成要素

目的

出所：事業リスク評価・管理人材育成システム事業 2005，p295を加筆、修正

21

図表 12 COSOの ERM

内部環境

目的の設定

事象の識別

リスクの評価

リスクへの対応

統制活動

情報と伝達

モニタリング

事業体

部署

事業活動

関連子会社

出所：企業行動の開示・評価に関する研究会 2005，p.10を基に作成

1.2.6 従来のリスクマネジメントと ERMの比較

2004年 9月、COSOによって ERMが発表されたが、ERM自体は、企業が包括的なリス

クマネジメントや、企業価値をあげるためのリスクマネジメントの 1 つとして、米国では

1980年代の後半から登場してきた40。COSOの ERMは、全社的リスクマネジメントと訳さ

れるが、以前から存在する ERMは、企業リスクマネジメントあるいは統合リスクマネジメ

ント（Integrated Risk Management）などと呼ばれる41ものである。以下に ERMを扱うが、こ

こでの ERMは COSOの ERMに限らず、以前から存在する ERMも対象とする。

リスクマネジメントという言葉からは、規制対応や危険回避のための防備手段といった

消極的な印象を受けるが、ERM はリスク管理の自然な発展形として、積極的なリスクマネ

ジメントにより企業価値を高めようとする包括的な概念を示す。

ERM が発展してきたのは、経営環境の激変という時代要請から求められたものと言われ

ている。企業は事業を継続していく過程で、多様な利益変動を引き起こすリスクに直面し

ているため、リスクマネジメントを行わなければならない。今日のように環境の変化が早

く複雑な中で、ビジネスを成功させるには、リスクを総合的な観点から管理する仕組みが

必要になってきた。

今日のリスクマネジメントおよび ERMの概念は拡大し変化し続け、従来の狭義のリスク

マネジメントとは別の概念として提唱されている。従来型のリスクマネジメントに対して、

ERM は、組織が自らの戦略や目的を達成することを妨げるあらゆる事象を対象とした、非

40 仁科一彦（2006）「企業価値と全社的リスク・マネジメント(ERM)」，『Business & economic review』，日本総合研究所，第 16巻 4号（通号 186），p.21 41 ERMは、他にもエンタープライズワイド・リスクマネジメント（EWRM）、戦略リスクマネジメント（SRM）、ビジネス・リスクマネジメント（BRM）、包括的リスクマネジメント（CRM）などとも呼ばれることがある。

22

常に広い内容を含んでいる。以下に、図表 13 を基に、従来のリスクマネジメントと ERM

の比較を行う。

① 実施主体

リスクマネジメントの実施主体は、従来では、それぞれにリスクに特化した専門組織が

その管理にあたり、個々に一定の対策がとられていた。これに対して ERMでは、経営トッ

プから末端の業務執行組織に至る全組織が関与し、多様なリスクを統合的に捉え、構造的・

継続的・組織的に対応する。

ERM を基にしたリスクマネジメントを行えば、リスクの全社的視点での把握と、それに

基づく経営視点の最適配分等の経営判断が効率的に行いやすくなることが期待できる。ま

た、部門によるリスクマネジメントの実施水準のばらつきが減り、社内全体で最低限の水

準が担保できる。

② 時間軸

リスクマネジメントの時間軸は、従来型では、リスクが発生する都度、場当たり的・断

片的に対応・管理していた。これに対して ERMでは�