企業の不祥事が相次ぐ中で内部監査に求められる役割とは？

　かつての内部監査の役割は、リスクマネジメントとガバナンスにおける各プロセスの有効性の評価と改善がメインだった。しかし、リスクが多様化し、企業に求められる役割が変化する過程で、内部監査に期待される役割も大きく変化してきた。専修大学商学部教授の渡邊隆彦氏は、日本国内では2013年ころに大きな変革が始まったと語る。

「流れが大きく変化したのは、2013年ごろです。当時の安倍政権の時代に、成長戦略の一環としてコーポレートガバナンス改革が進められました。会社法が改正され、2014年にスチュワードシップ・コード、2015年にコーポレートガバナンス・コードが策定されました」（渡邊氏）


　スチュワードシップ・コードとは、機関投資家に対して、中長期的な視点から投資先の企業の持続的成長の促進を求める行動原則である。一方のコーポレートガバナンス・コードは、上場企業に対して、幅広いステークホルダーと適切に協働し、中長期的な収益力の改善を求める行動原則と定義されている。

　このコーポレートガバナンス・コードでは、内部監査の重要性について言及されており、内部監査の強化が大きなテーマとして取り上げられているのだ。

「それまでは金融機関や大企業を除くと、内部監査のセクションは、質・量とも不足している傾向がありました。しかし、コーポレートガバナンス・コードで内部監査の重要性が示されたことにより、内部監査を充実させる流れが本格化したと言えるでしょう」（渡邊氏）

守りから攻めへ。ガバナンスのあり方が変化している理由とは？

　渡邊氏は、この内部監査の役割の変化を、ビジネスのパラダイムシフトという言葉を使って説明している。


「パラダイムシフトをひと言で説明すると、『守りのガバナンスから、守り＋攻めのガバナンスへ』です。ここ20年ほど、ガバナンス強化の必要性についてはずっと議論されてきました。しかし、その議論が『監視』という観点に寄っている傾向がありました。現在ではグローバルでも、リスクという言葉の定義が変わり、ダウンサイドリスクとともにアップサイドリスクが、注目されています」（渡邊氏）

　ダウンサイドリスクとは、企業が損失を被るリスク、アップサイドリスクとは企業が成長機会を逸してしまうリスクのこと。つまり内部監査におけるリスクマネジメントは、損失だけでなく、成長機会の喪失も含めて目配りする必要性が出てきたのだ。

誰のために、何のために内部監査は存在しているのか？

　ISO31000やCOSO-ERMのリスクの定義が、「マイナスの影響のみ」から「マイナスとプラスの両方の影響」に変更された。また、内部監査の役割も「企業価値の保全・保護」だけでなく、「企業価値の向上・創造」まで拡張されている。


「内部監査の国際的な団体であるIIA（内部監査人協会）は、内部監査をサードラインとする内部統制のモデルを『3つのディフェンスライン』から『3ラインモデル』に言い替えました。要するに、価値の保護だけでなく、価値の創造にも貢献するという方向に、舵を切ったわけです。この流れとシンクロする形になったのはサステナビリティという概念です」（渡邊氏）

　「サステナブルな社会を作ること」および「サステナブルな環境を実現すること」と、「企業価値の創造」とが結びつくことで、内部監査の役割も大きく変わった。

「1960～1970年代の高度成長期には、『企業は儲ければいい』『利益を株主に還元しよう』『企業の社会的な責任は、税金を納めることで果たせる』という考え方でした。しかし、CSRという概念が出てきて、より幅広い社会的な責任が求められるようになってきました。たとえば、『山に植林する』『慈善活動を行う』などです」（渡邊氏）

　CSRは「Corporate Social Responsibility」の略語であり、「企業の社会的責任」と訳されている言葉だ。企業の生産活動に伴う環境破壊に対して、NGOなどから厳しく批判されるケースもあり、CSRの重要性が注目されるようになっていた。

「CSRという概念が登場したことによって株主一辺倒だった企業行動が否定され、マルチステークホルダー対応が不可欠となってきました。つまり、社会問題や環境問題に対応していないと、企業価値が毀損したり損失をこうむったりするリスクがあるというふうに変わってきたのです」（渡邊氏） 【次ページ】閑職から花形部門へと内部監査が大きく変化してきた理由