続・上場企業からみた内部統制ルール(実施基準)
皆様、昨日のエントリーには、たくさんのコメントありがとうございます。「井戸端会議をしましょう」と言いながら、お寄せいただきましたコメントはかなりハイレベルなものでして、私がすぐにツッコミを入れることができるものでなく、たいへん勉強になりました。またこの公開草案(資料)につきまして、多くの関心が寄せられていることを再認識した次第であります。また、各コメントに対しましては別途、お返事させていただきますので、今後ともどうかよろしくお願いいたします。なお、grandeさんの「SBIの負ののれん」解説(これはなかなか力作ですね)や、ligayaさんの「日本版SOX法は監査法人対策?」なるエントリーは、さすがに内部統制コンサルをされていらっしゃる会計士さんだなぁと関心させられるものでして、興味をそそられるところですね。会計士さんのブログはたくさんございますんで、またご自身のブログで、この日本版SOX法(金融庁内部統制ルール)関連のものをお立てになった折には、ぜひともTBやコメントなどでお教えいただけますと幸いです。
さて、昨日は公開草案(いまだ資料ですが)の印象(その1)でして、きょうは(その2)を書こうかと思っておりましたが、「そもそも論」のところをすこし整理したいと思い、「続」としておきました。何度も申し上げますが、私のブログは経営者サイドからの視点で内部統制ルールをどうみるか、というところに関心がございますので、あまり会計専門家的な視点ではないかもしれません。どうか、そのあたり「値引き」して考えておいてください。
1 そもそも現在、「内部統制に不備がある上場企業」は存在するのか?
公表されている公開草案(資料)の有効性評価の基準(一般に公正妥当と認められる評価基準)に基づいて、経営者が「内部統制に不備がある」と評価できる上場企業というのは、そもそも現時点で存在するのでしょうか?現時点で「存在する」と考えた場合、これまでの監査法人による財務諸表監査は果たして有効なものであったといえるのでしょうか?たとえば、これまで財務諸表監査を担当していた監査法人の担当者としては、内部統制の構築に関するアドバイスを企業側に行い、「こんなんじゃ内部統制としては不備ですよ。これを有効と評価されたら、うちは不適正意見しか書けませんよ」と指摘したときに、企業側からは「じゃあ、いままで不備な統制のうえにオタクらは適正意見を書いていたんかいな?」と突っ込まれることはないのでしょうか?監査法人側は、こういった上場企業側のツッコミに対して、どのように回答されるのでしょうか?
私は「枠組み案」26頁以下の「財務報告に係る内部統制の構築」の部分を読んでおりまして、どうも「構築」という言葉に違和感を覚えます。これは「ITの利用」というところを読んでおりましても、同様の違和感を覚えているのですが、世間の理解と、この実施基準にいうところの「構築」の意味にズレがあるんではないかと思えてしかたありません。「構築」というのは「今よりももっといいものを整備する」という認識を持つわけですが、本当は「とりあえず今の状態を正常と考えて、これから不正が発生するような状況に陥らない方策を整備する」というのが、ここでいうところの「構築」である、と理解するほうがいいのではないでしょうか。枠組み案の26頁以下の構築の要点を読んでみますと、いかにして、現状の仕組みが適正に運用される方法を整備するか、という視点で書かれておりまして、どのような仕組みを新たに作るべきか、というところはほとんど記述されていないわけであります。おそらく内部統制に不備がある場合には、財務諸表監査において無限定適正意見は書けない、というところから出発するのであれば、とりあえずは現状では内部統制は有効性に問題がない、ということを前提に考えないとおかしなことにならないだろうか・・・と、会計学には素人ながら、疑問を持つところであります。
2 そもそも「内部統制構築」ではなく「内部統制運用」ではないのか?
IT統制といいますか、ITの利用といいますか、世間でもっともヒートアップしている話題が、この「日本版SOX法とIT統制」の関係だと思うのですが、この公開草案(資料)では、とくに上場企業がITを利用していなくても「情報システム」は手作業でまかなえる(つまりは内部統制の有効性は評価できる)というところから出発している点ですよね。(「情報システム」という用語とITはまったく関係ない、ということが書かれてあります)これ、以前私が「コンピューターを利用していなくても、電話とファックスさえあれば、理論的には内部統制が有効と評価できる」という(いわばアンチテーゼとして)ことをエントリーで書きましたが、基本的にはこの公開草案も同様の視点から出発しているようです。もし、現在、パソコンを使わずに、売掛金も棚卸資産も電話とファックスと手帳だけでまかなっている上場企業があるとしたら、その企業はいちおうそれで持続的成長を果たしてきたわけですから、現状は内部統制が有効に機能していると評価してもいいわけです。ただ、「不正会計の発生するおそれ」とか「虚偽記載の発生する可能性」ということを考えますと、一事業年度にわたって(もしくは比較可能性を保証するために多年度にわたって)、ずっと同じ運用がなされるべきシステムとか、間違いが発生したときに、最小限度の虚偽記載の発生で抑制できるシステムというのは、「今後のリスク低減の目的」のためには検討する必要性はあるわけです。つまり「いまある仕組みはそれでいいけれども、運用にあたってミスや経営者不正を発生させるリスクはありますよ」ということは監査人としては堂々と言えるんじゃないでしょうか。ひるがって、IT統制以外の点について考察してみましても、内部統制の構築といっても、結局は「運用が安定するために必要な整備」こそ「構築」と表現されているだけであって、とりあえず現状の体制を見直して、その体制の理想的な運用に必要な部分だけを整備すれば足りるのではないか、それが日本版SOX法が金融商品取引法に導入された目的とも合致しますし、それで日本版SOX法の役割は果たせるのではないか・・・と考えたりもしておりますが、いかがでしょうかね。こんなことを申し上げますと、日本版SOX法を「ビジネスチャンス」と捉えていらっしゃる方々に、ものすごーく怒られてしまいそうな気もしますが。でも、経営者サイドからしますと、この公開草案(資料)を読んだ後に、そういった疑問が素朴にわいてくると思うのですね。株主からの評価対象となって、ガバナンスと結びつく会社法上の「体制整備」とは異なり、この金融商品取引法における内部統制というのは、財務諸表監査と関連しており、「財務報告の信頼性」と結びつくものであるがゆえに、こういった疑問が発生してくるのかもしれません。また、日本版SOX法(内部統制ルール)というものを、上場企業すべてにヨーイドン!で同じルールを適用しようと決めたときから、こういった問題点を内包せざるをえない運命にあったと考えてもいいんじゃないでしょうか。
(追記)昨日は、私の所属する弁護士団体の幹事会関係で飲食の後、帰宅してからエントリーを書きましたので、朝読みますとかなり不明瞭な文章がありました。ちょっとだけ手直しいたしましたので、念のため。
| 固定リンク
コメント
toshiさん
いつもブログでご紹介頂き、有難うございます。
監査する側から会社を見た場合、重要性の基準を下回るものも含めると内部統制の不備というものは(どんな会社でも)必ず存在するものです。換言すると、完璧なる内部統制というものは無いです。監査法人や公認会計士も、それを前提に財務諸表監査しており、気が付いた点は経営者に報告していますが、今回の内部統制ルールは「言われたら直す」ではなく「言われる前に直せ!」というもので、ここが両者の違いかと思っています。
で、「構築」というコトバの解釈についてはtoshiさんの意見とは少し異なるのですが、そもそも現状に不備があると考えて、それをちゃんとしていこう、クネクネ・デコボコの道を真っ直ぐ平らにしていこう、ということではないかと思っています。「どのような仕組みを作るか」というのは、どうやって真っ直ぐ平らな道を作っていくかということだと思うのですが、これは各社やり方は様々で基準に盛り込むと相当なボリュームになるでしょうし、全社同じ仕組みである必要もないと思います。ですので、基準ではその真っ直ぐ平らな道のゴール(要点)だけをはっきりさせておこうということではないでしょうか。Q&Aが出るという噂もありますが、そこでもっと具体的に仕組みについても書いてくれたらいいのですけどね。
ちなみに、2日のセミナー、ある方から招待されていたのですが、出張と重なり参加できませんでした。残念・・・。また、お逢いできる日を楽しみにしております。
投稿: ligaya | 2006年11月10日 (金) 11時39分
>ligayaさん
おひさしぶりです。(ご無沙汰しております)
コメントありがとうございました。
私も「あとからQ&Aが出ます」という噂をまた聞きました。
ご指摘のなかで、私も内部統制が不完全な企業がいっぱいある、というところはよく理解できます。ただ、その「不完全」というのは、内部統制ルールの評価基準としての「不備」をさすものと考えてよろしいのでしょうか?非監査業務としてのアドバイスのなかで、「おたくの会社はこういったところが不備ですよ」というのは理解できるのですが、その「不備」がダイレクトに評価基準の「不備」に該当するわけではないと思いますし、評価上「有効」とされる場合でもAAAの有効もあればCCCでかろうじて有効というものもあると思います。内部統制ルールには開示制度と結びついている関係で、最低水準という概念があると思うのですが、そうだとしたら、いまその最低水準をクリアしていない企業というものはどれだけあるのだろうか・・・というのが私の大きな疑問であります。たとえ試運転段階であっても、そういった最低水準をクリアしていない企業と評価されたとしたら、その会社は財務諸表監査さえ受けることができないのではないか、というのが素朴な疑問なのですが。(なんかどっかで前提知識が間違ってますでしょうかね?でも、少なくとも私と同じ感覚の方は一般企業にたくさんいらっしゃるのではないか、と考えております)
また、遊びにきてくださいね。
投稿: toshi | 2006年11月10日 (金) 12時07分
私のような不勉強なものにとって、このプログは本当に勉強になります。そこで、さらに甘えてというわけではありませんが、二つの疑問があります。
第1は、内部統制監査の相当性判断は誰がするのか、しないのか、ということです。私自身は、単純に、会計監査の相当性判断は監査役に委ねられていますので、会計監査の補助監査である内部統制監査についても、監査役が相当性判断をするものとばかり思っておりました。ところが監査案を見ても、そういった記述はどこにも見当たりません。あるいは、内部統制監査は会計監査の一部であり、会計監査の相当性を監査役が判断するのであれば、そこでまとめて判断すればいいのではないか、との趣旨とも受け取れます。本当にそういう解釈なのか、どなたか、ご存知の方がおられましたら、ご教示ください。
もう一つは、内部統制監査の中で、圧倒的に重要なことは、経営トップの業務執行が内部統制に反していないかどうかをチェックすることと考えています。評価報告案で、全社的内部統制が有効であれば高く評価されるとのことですが、取締役会の有効性よりも、経営トップの有効性のほうがはるかに大事ではないかと思います。この点、日本監査役協会では、監査役監査基準において、それはまさしく監査役の職責である、と宣言しています(第2条)。いろんな専門家がばらばらに活動するよりも、集積効果を発揮するほうがはるかに強力ではないかと思います。
以上、採りとめもない感想を持ちましたが、ご指導いただけましたら、幸甚です。
投稿: 酔狂 | 2006年11月10日 (金) 15時42分
疑問点はたくさんあるのですが、とりあえず、3つ。
①決算監査に付随する内部統制監査と、経営者の作った報告書に対する監査の関係。決算監査はOK,でも報告書監査はNGなんてこともあるのでしょうか。また、決算監査に付随する内部統制監査の内容が、金融商品取引法にすりよる形で、変わっていくのか。
②期末時点の評価について。当社の場合だと、原価が固まるのに5営業日、そこから決算して、社内で数字を固めるのに1週間。その後、監査法人が入って、監査を受け、いくつか、数字の訂正、科目の訂正などと、言う流れですが、この一番大事な、4月1日以降の決算業務は評価の対象外ということなのでしょうか。
③評価の範囲を3分の2にできる基準としての全般統制の評価について。
入り口の全般評価の具体案が、提示されていない状況で、当社は、当社として全般統制は良好と判断したから3分の2しかやりませんという理屈が通るのか。監査法人とすりあわせといっても、彼らは、超保守的な態度をくずさないのではないのでしょうか。結局すり合わせた結果、100%近く、やらされるはめになるのでは。
投稿: pkdick | 2006年11月10日 (金) 17時57分
いつも拝見し参考にさせていただいています。
「そもそも現在、『内部統制に不備がある上場企業』は存在するのか?」という問題提起には、会計監査に対する誤解があるようです。
会計監査で内部統制を評価するのは、おおいに単純化して言えば、試査の範囲を決めるためです。内部統制のない会社の監査では、試査によることは出来ません。その場合、精密監査をするしかないでしょうが、よほど小さな会社でない限り、限られた監査時間内ですべての帳票や証憑を見ることは出来ませんので、内部統制のない会社では監査手続が実施できず、監査意見を表明できないことになります。
一方、内部統制はあるが完全ではないという場合(上場企業といえどもこの場合がほとんどでしょう)でも、会計監査は試査によって行えます。内部統制の不備の度合いによって試査の範囲を拡げることで監査手続は実施されます。内部統制が機能していると評価している場合に100件の証憑突合が必要であったとして、それが150件や200件になるということです。残高確認件数を増やすかもしれません。棚卸立会場所を増やすかもしれません。監査手続を増やしたり組み合わせることにより、監査意見を述べるに十分な論拠(合理的な基礎といいます)を集めるようにします。
つまり、会計監査では、内部統制は整備運用されておれば、監査手続が簡単軽量になりますが、内部統制に不備があると、監査手続が複雑過重になるという関係になります。
したがって、会計監査で適正意見が表明されることと、内部統制に不備がないこととには、極論すれば何ら関係はありません。
投稿: 藤野正純 | 2006年11月11日 (土) 11時36分
>toshiさん
内部統制が「不完全」であることと、内部統制ルール上の「不備」とは、異質なものであると思います。
内部統制が完全である会社はないわけで、ほとんどすべての会社は「不完全」と思われます。内部統制ルールは、それを完璧な形にすることではなく、「不備」とは言えないというレベルにもっていこうということではないでしょうか。
>いまその最低水準をクリアしていない企業というものはどれだけあるのだろうか・・・というのが私の大きな疑問であります。
そういう会社はとても多いのではないでしょうか。財務諸表監査の場合、プロセスに多少の不備は見付かるでしょうけど、結果が適正なら、余程のことがない限り適正意見が付されていることになります。内部統制ルールは、プロセスをしっかり見ましょう、ってことですので、多くの企業様も危機感を持っておられるのだと思います。
投稿: ligaya | 2006年11月11日 (土) 15時21分
色々な疑問が次々と湧いてくるのですが。
その1)内部統制に「完全」とか「完璧」とかっていう概念があるんでしょうか? あるとしたら、それはどういう状態をいうんでしょうか?
金商法(「実施基準」案)は、「不備」や「重大な欠陥」の有無のみを問題にしている訳で、それが見つからないのなら、何ら問題はないということではないんでしょうか(「不備」や「重大な欠陥」が見つからない状態を「完全」「完璧」というなら、それはそれで判ります)。「完全」「完璧」という概念を持ち込んだ途端、”チマチマしたミスも許さない”的な、本質を外れた(実務を混乱させるだけの)理解・議論になってしまうんではないでしょうか。
その2)金商法により同時に適用されることになる「四半期開示」との関係はどうなるんでしょうか? 折しも相前後して企業会計審議会監査部会が「四半期レビュー基準」(案)を公開していますが、「内部統制(評価・監査)」との関係はごく簡単にしか触れていません。要するに、適用初年度であるH20年度において、経営者は第1四半期から、内部統制について何らかの評価をし、それを外部監査人に伝えないといけないのかどうか・・・。よく判らないところです。
投稿: 監査役サポーター | 2006年11月12日 (日) 01時13分
皆様、たくさんのご意見、ご質問ありがとうございます。
じつは、監査役サポーターさんの疑問(その1のほうです。ところで「重大な欠陥」→「重要な欠陥」ですね)というのが、管理人である私がいま一番疑問に思っているところと同じなのであります。「有効であること」「不備があること」「重要な欠陥があること」は、いわゆる規範的な解釈が必要ではないでしょうか。私も「重要な欠陥」を含むところの、いわゆる「不備」に該当しなければ、多少の内部統制の欠点があろうとも、それは「有効」の範囲に含まれるのであって、「有効」=「完璧」ではないと考えております。このあたりは「公正妥当と認められる会計基準」が、法律の一部として認められようとしている昨今の風潮とも相通じるところでして、たとえば「支配基準」のような、とても法律解釈に近いところの作業を会計士さん方が背負うようになってきたところとほぼ同じ問題が発生するようにも思われます。この問題は、おそらく「会計士さん」の感覚と、法律家の感覚との違いに由来しているのではないだろうか、と思ったりしておりまして、本日は「酔狂さん」への疑問(おそらく上場企業の監査役さんであれば、みな酔狂さんと同様の疑問をお持ちではないか、との考えから)へのご回答ということでエントリーを書かせていただきましたが、藤野先生やligayaさんによるご回答へのコメントにつきましては(その2)においていろいろと検討させていただこうかと考えております。またpkdickさんのご質問内容につきましても、きわめて実務的でありますし、私なりの意見でよろしければご回答差し上げる所存でありますので、今後ともどうかよろしくお願いいたします。(もちろん会計専門家でいらっしゃる会計士、税理士の方のご意見、ご回答もお待ちしております)
投稿: toshi | 2006年11月12日 (日) 02時16分
pkdickさんへの回答を
①他に回答が寄せられていますが、会計監査OK、内部統制監査NGはあり得ると思います。
②当然、4月1日以降の作業も内部統制監査に含まれます。注意点として、通常の業務については期中に欠陥が発見されても決算までに直すことが可能ですが、4月1日以降の作業(決算業務や税務等)で欠陥が発見されると直すタイミングがなく、そのまま指摘事項になる可能性大です。米国での指摘事項もこれに絡んでいるものが多かったかと思います。
③pkdickさんが言うのは、「全社的な内部統制の評価が良好であれば、一定割合を例えば、概ね2/3程度とし」((資料1-2)財務報告に係る内部統制の評価及び報告(案)より)のことでしょうか?「全社的な内部統制」については、丸山さんのBlog( http://maruyama-mitsuhiko.cocolog-nifty.com/security/2006/11/20061106__0484.html )にまとめられていましたので、ご参考までに。監査法人は基本的に保守的な判断をすることになると思いますが、2/3基準が出たので、「超保守的」にはならないと思います。
投稿: Mulligan | 2006年11月13日 (月) 06時31分
>Mulliganさん
いつもコメントありがとうございます。とりわけ、このたびはご教示いただき、感謝いたします。いよいよIT統制を含め、内部統制ルールが公開されるということになり、またぜひ貴重なご意見を賜りたいと思います。なお、10月24日に公認会計士協会より「財務諸表監査にかかる重要な虚偽表示に関する対応指針」(でしたっけ?)が公表されており、現在その内容を検討しておりますが、こういった実務指針と内部統制監査における監査基準の関係なども、またエントリーしたいと思っております。よくわからないところもありますので、またその節は登場していただければ・・・と。(勝手なお願いですが)
投稿: toshi | 2006年11月14日 (火) 02時50分