本当は怖い！？会社法の内部統制

最近では世の中、日本版SOX法（以下、J-SOX）バブルの様相を呈しています。日経新聞を見ても毎日のように関連記事が載っていますし、ITベンダーのセミナーも満員御礼のようです。セキュリティ製品や文書管理ソフトなど内部統制機能を盛り込み「J-SOX対応」を謳った製品も多く出回っています。

私は公認会計士として上場企業のJ-SOX対応支援コンサルティングをしていますので、上場企業にとって対応がいかに大変かは身に染みてわかっています。

でも、J-SOXだけに気をとられていてよいのでしょうか？

会社法の内部統制対応がおろそかになってはいないでしょうか？

会社法の大会社（資本金5億円以上または負債200億円以上の株式会社）は取締役会で内部統制システム構築の基本方針を決議しなくてはいけません（会社法362条4項6号・5項、会社法施行規則100条1項、3項 ）。その内容は「事業報告」（旧「営業報告書」）において開示しなくてはなりません（会社法施行規則118条2項）ので、株主も知ることになります。

会社法で求められているのはこれだけです。J-SOXと違い監査法人の監査を受けるわけではありません。

そのためか、会社法上の内部統制対応を軽く考えている会社が多いように思います。「あれもやる、これもやる」とてんこ盛りの基本方針にしている会社もあります。（検索エンジンで「内部統制システム構築の基本方針」で検索するとたくさん出てきます）

基本方針を作るだけで実際に何もしなくてもいいかというと、もちろんそうではありません。監査役会は、内部統制システム構築の基本方針の内容が相当でない場合は監査役会監査報告書に相当でない旨及びその理由を書かなくてはいけません（会社法施行規則129条1項5号など）。また、内部統制システムの構築・運用について監視・検証しなくてはなりません（監査役監査基準15条）。監査役会の監査報告書は株主総会招集通知とともに株主に送付されます。

つまり、監査法人の監査を受けなくていいからと、てんこ盛りで基本方針を作ったのはいいが、その後実際にその基本方針に沿って活動をしていないとすると困ったことになります。不祥事が起きた場合、取締役・監査役は内部統制の構築・運用が不十分だったためだと訴えられる可能性があります。

今年6月の株主総会でこんな光景が見られる会社が出てくるかもしれません。

株主 　「内部統制システム構築の基本方針に基づき、取締役は実際にどのような体制を構築・運用したのですか。また、監査役は構築・運用状況についてどのような監査手続を実施したのですか」
取締役　「・・・・・」
監査役　「・・・・・」

やっていないことを言えば偽証になりますのでうかつなことは言えませんね。

てんこ盛りにしすぎたと基本方針の内容を少なめに変更しようとしても、変更後の内容が相当かどうか結局監査役会の監査を受けることになります。監査役会としては一度OKした手前、なかなか変更が相当とは言いにくいでしょう。

J-SOXより、会社法の内部統制の方が本当は怖いんです。