商社のグループガバナンス

はじめに

グローバルにビジネスを展開する商社は、さまざまなビジネスパートナーとの協働や蓄積されたビジネスノウハウ等を活用した事業投資やトレーディングを主業としていますが、近年はさらに踏み込んで、実際に事業経営に携わるケースも増えています。これらの事業投資および事業経営では、多様なビジネス、グローバルな商流、多くの拠点の存在が特徴として挙げられ、それぞれの事業の特性、地域文化等の違いを踏まえたリスクマネジメント（リスク管理、人材育成等）がこれまで以上に重要になっています。

また、2023年4月、金融庁は2008年の制度開始から15年ぶりに「財務報告に係る内部統制報告制度」（以下、J-SOX）を改訂し、従前のいわゆる3勘定からリスクベースによる評価範囲の決定や不正に関するリスクへの対応を求めており、より実効性があるガバナンス確保が期待されています。

本稿では、グループガバナンスの観点から内部統制、および内部監査について考察します。なお、本稿の意見に関する記載は筆者の私見であり、PwC Japan有限責任監査法人および所属部門の正式見解ではないことを申し添えます。

1 内部統制

（1）海外事業投資先に対する内部統制構築およびJ-SOX対応

グローバルにビジネスを展開している商社では、近年海外事業への投資が増大しており、海外事業投資先の内部統制の構築状況やJ-SOXへの理解度および対応状況を理解したうえで、親会社／海外事業投資先の双方の関係者を巻き込みつつ、内部統制構築およびJ-SOX対応を推進する体制を整える必要があります。海外事業投資先における内部統制構築およびJ-SOX対応では、国内での対応時には想定していなかった課題に遭遇することがよくあります。

課題が発生する要因としては、文化、言語、商慣習、現地法令等の違いが挙げられます。それらを十分に理解せずに国内と同じように業務を推進した場合、しばしば望ましくない結果がもたらされます。そのため、特に以下のような事項に留意する必要があると考えられます。

a．海外事業投資先におけるグループとしての内部統制およびJ-SOXの理解の促進

海外事業投資先に、それまで適用していた内部統制とは異なる、グループの内部統制およびJ-SOXを理解してもらうことが重要となります。これらの理解促進に成功すれば、グループで統一された内部統制の構築・運用の実現に近づくことが期待できます。当該構築に際しては、海外事業投資先の考え方を尊重しつつ、親会社の適時適切な関与、リーダーシップの発揮が肝要となります。

b．海外事業投資先が構築している内部統制の理解および分析

全ての海外事業投資先で前述のアプローチが可能とは限りません。例えば、海外事業投資先独自の強固な内部統制がすでに存在しているケース、または、決算スケジュールの制約から、海外事業投資先に十分にグループの内部統制を浸透させる時間がないケースでは、当面は海外事業投資先が行う内部統制を許容し、グループが重要と考える項目への対応を把握しつつ、海外事業投資先の内部統制を評価することになると考えられます。

この場合、海外事業投資先におけるリスクが高い領域や論点を洗い出し、当該リスクの対応状況を把握し、必要に応じて追加の統制整備を依頼する等の措置を講じます。

（2）上場子会社における内部統制

上場子会社は非上場子会社と比較して、どこにリスクの違いが生じるのか、また、その違いに対応した内部統制、とりわけ商社ではどういった内部統制が重視される傾向があるのかについて検討します。

一般的に上場子会社は、親会社と、子会社の少数株主に対する利益相反という問題を抱えています。それでも上場するのは、子会社従業員のモチベーション向上、優秀な人材の確保、取引の優位性確保などを期待しているためと考えられます。

商社においても、子会社が上場子会社としての独立した意思決定を担保するために、上場子会社に独立社外取締役を置いて実効的なガバナンス体制の構築を促していることが、コーポレートガバナンス報告書等から伺えます。

上場子会社を抱えるメリットについては、グループ全体の企業価値向上や従業員のモチベーションの維持・向上、優秀な人材の確保等を挙げましたが、それだけではなく、商社の築き上げた幅広いネットワークを活用して、上場会社としてすでに知名度や企業信頼度のある商品・サービスの取引の拡大、またグループ内の同様の事業での優秀な人材によるシナジー等がビジネスモデル上見込みやすい点もメリットとして挙げられます。

上場子会社における内部統制の強化は、グループ全体の企業価値を高めるのに重要な役割を果たします。その際には、親会社である商社の経営資源を最大限に活用し、上場子会社間での人材の活発な交流を図っていきます。また、グループ内での取引においては、経済合理性の追求を前提とし、市場価格を参考にしつつ、公正かつ適切な取引条件を設定することも不可欠と考えられます。

（3）J-SOX改訂による内部統制への影響：評価範囲となる業務プロセスについて

金融庁が2023年4月に公表した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」（以下、意見書）は、内部統制のあり方に少なくない影響を与えています。ここでは、この改訂が商社の内部統制評価プロセスに与える影響を考えます。意見書では主な改訂点として9つの項目が示されていますが、特に、経営者による内部統制の評価範囲の決定に関する箇所を取り上げます。

重要な事業拠点において評価対象とする業務プロセスについては、例示されている「売上、売掛金及び棚卸資産の3勘定」を機械的に適用すべきでないことが記載されました。

一般に、経営者による内部統制の評価は、まず全社的な内部統制の評価を実施し、その後に業務プロセスに係る内部統制の評価を実施することとなります。全社的な観点で評価することが適切と考えられる決算・財務報告プロセス以外の業務プロセスに係る内部統制の評価は、重要な事業拠点を選定してから、さらに選定された重要な事業拠点における、企業の事業目的に大きく関わる勘定科目に至る業務プロセスを評価対象とすることが求められています。意見書の改訂前は、一般的な事業会社の場合においては、企業の事業目的に大きく関わる勘定科目として、売上、売掛金、棚卸資産の3勘定が明示的に例示列挙されていましたが、改訂後はこの明示的な例示列挙の記載が削除され、単なる注意書きとしてのみ記載されています。

今回の改訂の目的は、内部統制の評価範囲の決定を機械的な勘定科目に当てはめるのではなく、経営者のトップダウン型の財務報告上のリスクに対するリスクアプローチで行うよう促すことにあると考えられます。意見書内でも、今回の改訂の背景を「経営者が内部統制の評価範囲を決定するに当たって、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを改めて強調する」ことにあると説明しています。

ここで、上記意見書の改訂内容を近年の商社、なかでも総合商社のビジネス動向に照らし合わせて考えてみます。近年、商社は伝統的な商取引（需給格差や情報格差等を活かしつつ行うモノやサービスの仲介業務）に加えて、商社自らが直接事業に参画する事業投資を強化しています。その事業投資も、以前から行っていた資源ビジネスへの投資にとどまらず、スーパーなどの小売業、医療ヘルスケア事業といった非資源ビジネス、さらにはESG経営も視野に入れた再生エネルギー事業への投資へと投資対象を拡大させています。

このように、伝統的な商取引から事業投資へとビジネスモデルは変遷しています。また、内部統制の評価対象の決定にあたっては財務報告上のリスクを考慮する必要がある点も踏まえると、商社において評価対象となる業務プロセスの内部統制を評価する場合、売上、売掛金、棚卸資産の3勘定を直ちに評価対象として選定することが適切であるかどうか、より慎重な検討が必要になると考えられます。

具体的には、上記3勘定の中で売掛金および棚卸資産は貸借対照表の資産科目ですが、伝統的な商取引に比べて事業投資を活発に行っているのであれば、財務報告上のリスクが高い勘定科目はこれら以外の勘定科目と判断されるかもしれません。すなわち、売掛金や棚卸資産といった伝統的な商取引と強く関連する勘定科目に比べて、例えば有価証券または貸付金のような投融資に関連する資産科目のほうが財務報告上のリスクが高いと考えられます。これら投融資の勘定科目を内部統制の評価対象として選定し、これらの勘定科目に至る業務プロセスを評価することも考えられます。

今回の意見書の改正を機に商社各社には、ビジネス環境および事業内容の変化が自社の財務報告上のリスクにどのような影響を与えているかを評価し、その結果を内部統制の範囲に適切に反映させる対応が求められると考えられます。

2 内部監査

次に、内部監査への期待、2線機能への依拠および協働、内部監査に対する今後の展望について実施した調査結果を交えながら見ていきます。

（1）内部監査への期待

a．経営者の期待

内部監査への期待はステークホルダーに応じてさまざまですが、経営者からの期待は、アシュアランス機能とコンサルティング機能の2つが考えられます。

• アシュアランス機能の発揮
  経営者が内部監査に求めているのは、各組織がルール等に適切に準拠し業務を遂行しているのかに関する保証です。すなわち、法令違反は多額の賠償金の支払いにつながり、企業のレピュテーションに与える影響は甚大であることを考えると、特に重大なリスクへの対応が適切に実施されていることを保証することは、内部監査にとって重要な機能です（準拠性監査）。
• コンサルティング機能の発揮
  コンサルティング業務を通じて内部監査人に期待されるのは、単純に各組織のルールに準拠していない課題を発見するあたかも社内警察のような役割ではなく、各組織の役職員がビジネスを推進する手助けをし、内部監査人が1線と2線^※1および経営者に対するアドバイザーとして機能することが期待されています。また、内部監査人がコンサルティング機能を遂行するにあたり、客観性・独立性は維持されなければなりません。また、被監査組織からの要請が過大な場合には、提供できるコンサルティング機能を明確に被監査組織へ説明することが求められます。

換言すると、経営者は、内部監査人が両機能を発揮し、例えば下記のようなグループの改善・強化を促進することを期待していると考えられます。

1. グループ内の各組織に対するより効率的・効果的なアシュアランス機能の提供
2. グループ内の各組織のガバナンス・リスク・コンプライアンスに関する脆弱な部分の発見と是正のフォローアップ
3. グループ内の各組織の内部監査に対する信頼性維持・向上を通して、各組織と内部監査人との双方向のコミュニケーションの促進および内部監査を起点とした各組織間の連携促進
4. グループ内の各組織が内部監査を経験することを通した経営人材の育成など

PwCでは、2023年内部監査全世界実態調査^※2を行い、81カ国・地域の4,680人から回答を得ました（その内訳は、内部監査部門長が41％、取締役会メンバー・経営幹部が37％、2線のリスク管理部門長が11％、コンプライアンス部門長が11％です）。この調査は商社に特化した回答結果ではありませんが、事業投資を通じてグローバルにさまざまな業界へ関与する商社の役割から考えた場合、有用な示唆が調査結果から読み取れます（図表1）。

グローバル

内部監査人に対する現状の評価は、PwCが内部監査の外部品質評価で参照する成熟度評価^※3の指標である「問題解決者」として評価される割合が最も高くなっています。今後3年間に内部監査人へ期待される役割は、「信頼されるアドバイザー」へシフトしつつあることが読み取れます。

日本

内部監査人に対する現状の評価は、「アシュアランス提供者」および「問題解決者」として評価される割合が同程度であり、グローバルと比較するとワンランク成熟度が低く現れています。今後3年間に内部監査人へ期待される役割は、「問題解決者」と「信頼されるアドバイザー」の割合が同程度です。

グローバルも日本も今後3年間に内部監査人へ期待する役割としては、「問題発見者」および「アシュアランス提供者」の割合は低下し、独立・客観的な立場でありつつも、執行側に寄り添って課題解決・アドバイスを提供していく役割を期待していることが読み取れます。さらに内部監査人自身が近年注力している領域・課題は図表2のとおりであり、テクノロジーの進化に応じて、内部監査が配慮すべきと考えるリスクにも影響を与えています。

b．監査機関の期待

監査機関からの期待は、次の2つが考えられます。

• 監査役等との協働
  内部監査人は、監査役等と密に双方向の情報交換を行うことで、互いに必要な情報共有と重複手続の排除が可能となります。例えば、グループ内の各組織に対する往査では、内部監査人と監査役等が共同で実施することも想定され、各観点で必要な監査手続を行い、適宜連携することで、お互いの監査の実効性を高める余地があり、場合によっては監査役監査の一部支援を内部監査人が行うことも想定されます。
• 会計監査人、監査役等との三様監査
  監査は大きく、任意の内部監査と法定監査である監査役監査や会計監査人監査に区分できます。法定監査が適切に役割を遂行するためには、内部監査が適切に機能している必要があり、一般社団法人日本内部監査協会、公益社団法人日本監査役協会および日本公認会計士協会では、内部監査と法定監査機関は、情報交換等を通じて連携することを推奨しています。

なお、東京証券取引所が公開している「コーポレートガバナンス・コード」※4の基本原則3「適切な情報開示と透明性の確保」の「原則3-2 外部会計監査人」の補充原則3-2②（iii）では、取締役会と監査役会の行うべき対応として、「外部会計監査人と監査役（監査役会への出席を含む）、内部監査部門や社外取締役との十分な連携の確保」を掲げています。

また、基本原則4「取締役会等の責務」の「原則4-13 情報入手と支援体制」の補充原則4-13③で、「取締役会及び監査役会の機能発揮に向け、内部監査部門がこれらに対しても適切に直接報告を行う仕組みを構築すること等により、内部監査部門と取締役・監査役との連携を確保すべきである」と明記しています。

これらのことを勘案すると、内部監査人は適切な情報開示や透明性の確保および取締役会等の責務の遂行に際して、社内外の法定監査機関と適切に連携することが求められていると考えられます。

（2）2線機能への依拠および協働

グローバルにビジネスを展開する商社が対応すべきリスクは、これまでも配慮していた贈収賄リスクや独禁法リスクのような重大なペナルティを伴うコンプライアンスリスクにとどまらず、多様化・複雑化してきています。具体的には、パンデミックや戦争によるサプライチェーンの断絶によるリスク、サイバーリスク、気候変動によるリスク、戦争による地政学リスクや制裁関連リスク、エネルギー価格の上昇リスク、世界的な物価上昇によるリスク等が考えられます。商社では、これらのリスクを適切に管理するため、グループ内の各組織からの定期的なリスク情報の収集とリスクランク付け、それに応じた対応が想定されます。内部監査では、管理部門がどのようにリスク管理を行うかを把握し、当該2線機能へ内部監査人として依拠するか否かの評価を行い、効率的・効果的なリスクアプローチに基づく内部監査の実現が期待されます。そのため、グループ組織を所管する部署、リスクマネジメント部門、システム部門、法務部門等との協働が、内部監査の成功のためには非常に重要になります。

2023年内部監査全世界実態調査では、リスクの対処や事業課題の解決の場面において、内部監査部門は1線および2線と半分以上が強く連携しており、ある程度連携しているという回答と合わせるとほぼ100%が連携していることが分かりました（図表3）。

（3）内部監査に対する今後の展望

a．グループ組織のリスク感度の維持・向上

内部監査は、グループ内部でありながら、独立性と客観性を維持しながら、被監査組織および経営陣に新たな視点を提供し、ときには異議を唱え、リアルタイムで洞察を提供します。ただしそのためには、内部監査人は十分な根拠に基づく事実確認を行い判断する必要があります。一般的に、部門間の縦割り意識が強い組織の中で、内部監査は部門間に共通する課題を横串で把握し、改善提案や連携を促進する機会を提供できる数少ない機能です。

グローバルにビジネスを展開する商社では迅速な意思決定（リスク対応）が必要となることから、現場に近い組織のリスク感度を維持・向上していく必要があります。ここでも、内部監査人は、直接グループ内の組織へ往査し、かつ各組織を管轄する管理部門の監督状況を直接監査することを通して、グループ内の組織におけるリスク感度の維持・向上を促進できる立場にあります。

b．データを利用した監査アプローチ

日本では、グループ内の組織のデータ管理の手段や利用する基幹システムが異なることが多く、統一的なデータ抽出ルールを組織に一律に当てはめることが難しい状況が想定されます。また、親会社の内部監査人の主導でグループ監査を行う形態もあれば、さらに細かい単位の内部監査人に十分な監査機能を持たせることもあります。しかし、どのような体制であっても、内部監査におけるリスクアプローチに基づく方法を徹底していきながら、財務・非財務データがつながり、データ分析がより実施しやすくなる環境が整うことを前提とすれば、内部監査の深度および頻度をデータ分析を通して増加させていくことはグループガバナンスの維持・向上に重要な影響を与えると考えられます。

c．生成AIを利用した監査アプローチの変化

今後、生成AIを活用して内部監査アプローチの全体を見直すことで、品質を維持・向上しつつ業務効率化が実現されると見込まれます。具体的には、内部監査のインプットとなる情報のうち、PDFやテキストなどの非構造化データや、異なるシステムからのデータなどは生成AIが得意とする領域であり、当該処理において生成AIの活躍が想定されます。また、内部監査のアウトプットとなる情報は、監査手続きのとりまとめ結果や監査報告書、監査調書などの文書やデータであり、こちらも生成AIの活用が期待できます。

特にデータ分析は多くの領域で生成AIの利用が可能となります。具体的には、計画段階のリスク分析から内部監査の対象拠点の選定、データ分析からの新たな洞察の提供および業務実施段階においてリスクが高いと考えられる取引サンプルの抽出など、財務データとそれ以外のデータを連携させて分析を行うことが想定されます。

さらに、監査対象となる多くの組織においても生成AIは有用であると考えられますが、その特性に起因する機密情報の漏洩や著作権侵害などの新たなリスクが生じます。このようなリスクに適切に対処するためにはAIガバナンスの態勢構築および運用が求められます。内部監査としては、このAIガバナンスこそが、組織が生成AIによる新たなリスクを適切に管理しているかを継続的に評価する重要な役割を担うと考えられます。

d．ITおよびESGに関連する内部監査の関与

2023年内部監査全世界実態調査によると、過去3年間世界各国の企業が最も注力して強化してきた2線機能では、ITおよびESGの割合が他の機能より割合が大きいことが目立ちます（図表4）。このため、今後内部監査に対し、ITリスクやESG管理状況への評価を要請してくることが想定され、そのために該当の要請に対応可能な人材を確保する必要があります。

※1 3つのディフェンスラインは、組織内のリスク管理機能をリスクとの関係において3つのラインに分類定義し、相互の関係を整理しています。1線は主体的なリスク管理機能、2線はリスク監視機能、3線はリスク管理についての独立した検証機能を担うものとされます。

※2 2023年内部監査全世界実態調査
https://forms.jp.pwc.com/public/seminar/view/21027

※3 成熟度評価は
https://www.pwc.com/jp/ja/services/assurance/governance-risk-management-compliance/internal-audit/quality-assurance-reviews.htmlを参照

執筆者