週末上京日記(耳寄り情報あり)
ひさしぶりに上京しまして、日本取締役協会の内部統制研究会に参加させていただきました。半年ぶりに八田進二教授のお話をお聞きして、勉強になりました。なにが勉強になったかと申しますと、すでに八田先生の最近の金融商品取引法上の内部統制報告制度に関するお考えは、いろいろな雑誌で公式に述べておられますので、今日こそはボヤキに近いようなお話が聞けるのではないか・・・・と予想しておりましたが、期待どおり(?)普段の活字には表れないホンネの内部統制(といいますか、八田先生の理想とする内部統制報告制度)のあり方について、吐露いただけたことであります。「経営管理そのもの」であるはずの内部統制制度の法律(金商法)への落とし込みに至る苦悩、意見書前文の持つ意味、監査役制度への思い、その他もろもろ。
本当は内部統制最新事情として、いっぱい書きたいことがございますが、八田先生から「あんまりブログに書かないでね」と帰り際に念を押されましたので、伝聞方式での記述は控えさせていただきます。また別の機会に、活字jになったものへの感想ということで、書かせていただきますね(^^;ただ、ひとつだけ、耳寄り情報でありますが、以前このブログでもご紹介させていただいたCOSO中小企業向けガイダンスの翻訳書がいよいよ来月あたり発売されるそうであります。私自身も「いつ出るんやろか」と関心を寄せておりましただけに、この全文翻訳書につきましてはおおいに期待しております。
| 固定リンク
コメント
コンピュータ屋です。
いつも拝見させていただいています。
現場からの率直な感想を述べさせていただきます。
J-SOX対応、もう八田先生の手元を離れていっています。愚痴をお聞きしてもいかんともしがたいです。
「COSO中小企業向けガイダンス」も実施基準評価項目の例になっていますから、役には立つでしょうが、現場では「またガイダンスですか」と言うことになってしまいます。個人的には興味を持っていますが。
また八田先生の意図したところと大きく離れていってしまっているのは、「ITへの対応」です。
おっしゃっていることは十分理解できます。しかし、少々、IT業界のいい加減さを理解されていなかったと思います。IT業界の反応はいま下火になってきてはいますが。
ただ、個々の対応企業さんの「ITの対応」の評価/監査となると、今混乱中と言ったところです。
・何を元に評価すればよいの、COBITなどいろいろありますが、簡単ではありません。
・監査人さんも、うまくコメントできていません。
私の勝手な意見。
初年度は仕方がないので適当に。
2年目以降は、他のマネジメントシステム(ISOなどに)に任す、又はそれらと統合する。そして、「ITへの対応」ははずしてほしいです。
無理解、偏見かも知れませんが。
投稿: コンピュータ屋 | 2007年5月12日 (土) 11時52分
>コンピュータ屋さん
いつもご意見、ありがとうございます。今回のエントリーには、コンピュータ屋さんのご意見が聞かれるものと想像しておりました(笑)
(コンピュータ屋さんいわく)
・何を元に評価すればよいの、COBITなどいろいろありますが、簡単ではありません。
・監査人さんも、うまくコメントできていません。
実務の現実は、そのとおりだと思います。私もそのようなお話を聞き及んでおります。
エントリーで書かせていただいたとおり、伝聞でのお話は控えさせて
いただきますが、(私の想像では)「より戻し」があるのかもしれませんね。(あくまでも、私の見解ですが)
会計と法律の狭間の問題として会計基準と法律の関係論があります。
現場で実務として定着したものは公正妥当な会計慣行として尊重される
ことになろうかと思います。(法律のうえでも)ただ、運用の最終
責任を負担する金融庁が、今回は「うまくいかなければすぐに見直し」と
いった考え方ですよね?
他省主導でIT統制のモデルが構築されたとしましても、最終的には
金商法の解釈に戻ってくるのではないかと思いますし、その際に
大切なのは、やはりガイダンスになるのではないでしょうか。
今後何十年も内部統制監査を続くと思いますが、基本はぶれないと
思っております。
システム監査については、金融機関等、そのリスクからみて
費用対効果のバランスからみても、監査にCOBITが必要というので
あれば納得できます。ただその場合、システム監査を行う人たちは
金融機関の実務上のリスクというものを金額ベースで把握できるのでしょうか?おそらく不可能だと思います。
私が監査役だとしたら、そういったバランスが認められない場合には、
新たに内部統制リスクを背負うことになり、善管注意義務を尽くすため
には導入に反対する可能性は十分あると思います。
監査上必要があるのでCOBIT導入、というのは、内部統制そのもの
を監査する場合であって、経営者評価を監査する場合には通用しない
のではないでしょうかね?
投稿: toshi | 2007年5月12日 (土) 15時55分
本題とは関係ありませんが、ITへの対応について、一言だけ。
八田教授が言うところの経営管理の意味での内部統制であれば、会社の内部統制を機能させるのは、まさに社員一人一人です。日本における内部統制の定義などを見ても、内部統制は、全社員によって行われるものとされています。そして、人が介在するからこそ限界論の話にもなってきます。
その一方で、「ITへの対応」をCOSOの最新化として、新たな要素として実施基準では盛り込んでいます。八田先生も本の中で、いまやITなくして企業経営は成り立たないから、ITへの対を内部統制の要素としています。
ITはあくまで、
・人が業務や社内での仕事をやりやすくする(効率化する)ためのツール
・社内におけるコミュニケーションを補完するもの(従来は、電話で1対
1で話していたものを、メールやテレビ会議等で1対多数で情報流通が
でき、しかも電話の用に次から次へと伝達していくロス(学校等の連絡
網のイメージ)を防ぐことができます)
です。
言い換えれば、業務遂行上の効率性とコミュニケーションの効率性を達成できるというメリットがあり、その意味では、「最新化」と呼ぶにふさわしい、内部統制の要素といえるかと思います。
しかし、あくまでそれは、人が目的を達成するための手段でしかないはずです。だからこそ、ITへの対応となっているのではないかと思います。それぞれの局面で必要な範囲で、ITを活用する以上、そこに相応の対応が必要であるというのが、原点ではないかと考えています。
「人がITを必要に応じて、必要な範囲で適切に使い、業務の効率性と財務報告の信頼性確保、コンプライアンスという目的を達成するための一助にする」というのが、本来の理念なのではないかと思います。
この意味での「ITへの対応」でれば、実施基準等で盛り込まれてしかるべきであり、内部統制には不可欠であるといえるのではないでしょうか。
ところで、実際のJ-SOX実務で行われているのは、人間性無視のIT「統制」の構築ではないでしょうか。そこで行われているのは、本来ITは手段でしかなかったものが、ITを使うことが目的となるという形で、目的と手段が逆転しているということだと思います。その最たるものが、このITソフトやシステムを導入すれば、J-SOXのIT統制はOKと言わんばかりの、「IT統制バブル」です。大手のメーカーが商機とばかりに、内部統制における「ITへの対応」の本質を見失い(わかっていても、隠して)、「IT統制」の現状を作り上げたのが現状ではないでしょうか。
そこにあるのは、本来の、「人が仕事を効率的にできるようにし、また社内コミュニケーションを補完するため、ITを必要に応じて必要な範囲で適切に使い、業務の効率性と財務報告の信頼性確保、コンプライアンスという目的を達成するための一助にする」という形ではなく、「業務の効率性と財務報告の信頼性確保、コンプライアンスという目的を達成するため、人にITを有無を言わさず使わせ、人がやるのは、ITではできない部分や外回りの体育会的営業、雑務で、ITが決めたやり方に従いなさい」という構図ではないでしょうか。
すなわち、
・「ただでさえパソコンがわからないのに、何かさらに難しいソフトを入れられ、突然今までのやり方ではなくて、このフォーマットをつかって、決められた方法でやってください。」といわれさらに難しいパソコン操作を強いられ、
・「作業をするときは、誰がやったかわかるようにIDを入れてください。IDはこれです・・・(自分で決まられない)。データには必ずパスワードをかけて、さらに暗号化して(PDF)にして、メールで送っておいてください(いちいち面倒なので、電話しないでくれ)。」といわれ、
・「いついつまでに、何々の申請書を出して許可をもらってください。決められた期日、決められたルールの中で使用して、1日でも過ぎる場合は、再度申請書を提出してください」
等、人が完全にITシステムの支配下に置かれ、主体的な行動ができない。
「ITは人が使うものではなくて、ITに人が使われる(フォーマットに入力すれば、後はコンピュータが自動でやるので、人がやるのは、入力だけ)」。こういう人間の尊厳や働いている人の能力や人間性、資質すら無視したITによる統制が近い将来の日本の企業での一般的な光景になるのではないかと危惧しています。
「監査があるからと、今まで紙ベースや電話で終わったものが、いちいち発注書だの会社の押印だの面倒な手続きばかり求められ、融通が利かない。必要以上に無駄な手間がかかり、やる意味もほとんどない作業をさせられ、時間とお金ばかりかかって、帰る時間ばかり遅くなる」。こんな愚痴がサラリーマンから出ることが、内部統制の求めるところなのでしょうか。
人間性を無視して形ばかり、本質を理解せずに自分たちの利益のみを追求して、まやかしの論理を打ち立てて、国民や人をあおる。政治家、それも総理大臣自ら同じことをしようとしていますので、この風潮も仕方のかもしれませんが・・・。
八田先生の生の話を聞いたことはありませんし、直接話をしたこともありませんが、ITへの対応をIT統制という言葉に置き換え、目的と手段を逆転させ、枝葉末節を人間性無視した作業ばかりを要求するという、おおよそ経営管理とは程遠い、今の現状を憂いているのではないでしょうか。
(ちなみに、八田教授の真意はわかりませんが、少なくとも八田教授の出版物や実施基準を読む限り、自業自得ではとも思わないでもありませんが・・・。個人的には、少なくとも八田教授の出版物や実施基準とは、内部統制に対する考え方からして違いますので、八田教授を擁護する立場にあるわけではありません。念のため)
投稿: コンプライアンス・プロフェショナル | 2007年5月12日 (土) 21時18分
>コンプライアンス・プロフェッショナルさん
こんばんは。あいかわらず圧倒されるような書きぶりで(^^;。
最近、私すこしだけわかってきたんですが、「内部統制」と「コンプライアンス」・・・、意外と「水と油」「犬猿の仲」の関係だったりするんですね。その世界で生きていらっしゃる方ほど、「なんですか、あれは?」みたいな。実は、最近「監査役制度」のあり方のようなものを議論するときにも、効率性と適法性みたいなところで論戦になったりするわけでして、議論がかみあわなかったりすることがあります。
私は実務に定着するなかで、本質だけが残っていくものと思っておりまして、あまり双方を関連つける必要もないのでは・・・と思います。私は、もし本当に会社の方々が、閉塞感に陥っている場合には、自信と責任をもって私なりの提言をしてみたいと考えております。(ただし、このブログでは、いろいろな方のご意見に真摯に耳を傾けたいと思います。)
投稿: toshi | 2007年5月12日 (土) 22時32分
いつも興味深く拝見しております。私は山口先生と同業者であり、内部統制に深い関心を寄せております。自分自身がある金融機関の法務部門の統括責任者として法務コンプライアンス問題に深く関与し、かつ経営陣の末席を汚していた経験から、今の内部統制の扱われ方に憂慮を感じており、コンプライアンス・プロフェッショナルさんの意見に激しく同意しております。
IT業界の現状はコンプライアンス・プロフェッショナルさんがお書きになっているとおりですが、他方、コンサル系の対応の仕方も多いに問題ではないかと感じております。コンサル業界は、内部統制をよく理解しない人間を業務に投入し、不必要な文書化や、重箱の隅をつつくようなリスクの対応ばかり問題としているのではないか、リスク・アプローチの本道を理解してないのではと危惧しております。例えば架空取引問題がかくも横行している中、コンサルはこの問題を「事前」に抑止または低減するためのアドバイスさえ出していないのではないか(実在性をチェックしなければならないのに)、と疑っております。八田先生は最近の著作で、このような傾向に警告を発しておられると思いますが、先生はどのようにお考えでしょうか。
投稿: トモ | 2007年5月12日 (土) 23時40分
>トモさん
はじめまして。同業者の方で内部統制に関心を抱いていらっしゃる方(理解を示していただける方)は、かなり少ないと認識しておりましたので、たいへん心強く感じます。今後とも、どうかよろしくお願いいたします。
さて、コンプライアンス・プロフェッショナルさんへのコメントとも重複するかもしれませんが、私も実際に独立系の会計士さん方と内部統制関連のコンサルタントをしているほうですんで、IT統制とりわけ全般統制がどうあるべきか、ということについては金商法の理念と実際の現場での対応とは齟齬があることについては危惧しているところであります。(ご推察のとおり、先日の八田先生のご講演でも、そういった傾向には警告といいますか、ボヤいておられました)また、監査実務とこのIT統制が関連つけられますと、米国404条実務のように、日本企業にも新たな内部統制リスクが発生するおそれも考えられます。
私は、監査法人さんが過度に保守主義に至らないような金商法上の内部統制報告実務と、有効性、効率性に焦点を絞った攻めの内部統制を基本的に峻別すべきだと思っております。(これは一昨年以来、私は変わらず講演でもお話させていただいております)ただそのためには会社法上の内部統制や金商法上の内部統制などの概念の整理、会社からからみた内部統制実務(評価や監査役監査、内部監査など)の整理、統合的なリスク管理(コスト面での問題や内部統制の限界論などを含む)の3点について、現場でのシステム構築のあり方と関連つけながら考えるべき問題点が残っている思っております。
そのあたり、またひとつひとつ別途エントリーで自説を述べたいと思っておりますので、またご意見いただけましたら幸いです。
投稿: toshi | 2007年5月13日 (日) 11時59分
山口先生、私の所属する二弁では、内部統制について、実施基準がでる前とでた後にシンポジウムを行い、私もその末席を汚しております。最初のシンポは160名、2回目は日弁連の講堂クレオをいっぱいにするくらい(500名近い)の弁護士、会計士、企業関係者が出席しました。また、春先には金商法を中心とした会員向け特別研修(3回連続)を実施し、これについても100名以上の会員が出席しました。内部統制に対する関心、はたまた金融商品取引法に対する関心は二弁では飛躍的に高まっておりますので、ご安心ください。また、先生ご指摘の会社法の内部統制と金商法の内部統制の整理は、異質説と同質説があり、私もそれなりの整理をして、商事法務に発表した論文でさらりと述べております。さらに会社法の内部統制構築義務の違反とする場合の評価方法を考えており、論文にまとめようと思っております。先生のエントリーを楽しみにしております。
投稿: トモ | 2007年5月14日 (月) 01時24分
>トモさん
あらまあ、トモさんとおっしゃるのは、あの「トモ」先生だったんですね。(もちろんトモさんの論文も拝読しておりましたが、あの号は大杉先生のビックリ論文がありましたんで、そちらへのコメントだけで精一杯になってしまいました。失礼いたしました)ニ弁のご様子は存じ上げませんでした。(少しだけトモさんの論文の前のほうで触れていらっしゃったような気もいたしますが)トモさんのような著名な先生にまで、このブログをお読みいただいて、たいへん光栄に感じますとともに、先ほどの返信コメントで申しておりましたような問題の整理について、私なりの見解を積極的に述べてみたいと思っております。気がつかれました点はどんどんご指摘いただければうれしいです。
どうか今後ともよろしくお願いいたします。
投稿: toshi | 2007年5月14日 (月) 01時38分
これをお読みの皆様は、市販の書籍で販売・購買・在庫管理の業務プロセスに関しては、標準的なリスク統制対応表を既にご入手されていると思います。(100万都市の大きな本屋さんへ行けば、1冊はあるでしょう。)
IT全般統制について、リスク統制対応表のひな形を記述した書籍は、実施基準公表後に公刊されたものの中には存在しないようです。
相変わらず、必要な情報を最初から公表してくれません。上場会社は、コンサルタント(=監査法人を嫌気がさして辞めた公認会計士の再就職先)に多額のコンサルティングフィーを支払い、プロフェッショナルサービスを購入させられます。時間が押し迫って、これ以上コンサルタント業務で儲けられないと判断した頃に、詳細な解説書を出して、追加的に書籍販売代を稼ぐやり方ですね。
ところで、IT全般統制のリスク統制対応表を一定レベルで独力により作成するには、次の書籍が有益です。
「ITリスクと会計情報 中央青山監査法人編 税務経理協会刊」
これで、コンサルタントに多額の費用を支払わなくても、IT全般統制のリスクとコントロールを知ることができます。~第2編第1章 ITコントロール(全般統制) 第2章 ビジネスプロセスとIT(ITアプリケーションコントロール)
新興上場企業や中小上場企業のIT担当者は、同書をしっかり読んで、効率的かつ効果的なIT全般統制の文書化を進めましょう!
投稿: IT全般統制 | 2007年5月14日 (月) 12時12分
ご教示ありがとうございます。
お勧めの本、ぜひ読ませていただきますね。
また、感想など、こちらでアップしてみたいと思います。
投稿: toshi | 2007年5月15日 (火) 03時38分