« 会計制度監視機構のひさしぶりの提言 | トップページ | 事業リスクと内部統制の基本方針(その2) »

2007年5月30日 (水)

事業リスクと内部統制の基本方針

昨日は京都地裁で、本日は名古屋地裁、連日ちょっと遠方に出かけておりましたので、少し疲れ気味です。 (; ̄ー ̄A  大杉先生のブログで監査役と会計監査人との関係についてご質問を受けておりますし、また酔狂さんやコンプロさんなど、常連の皆様より、きちんとしたコメントを頂戴しておりますので、(少しばかり考える時間を頂きまして)また改めてお返事をさせていただきます。

昨年3月にNEC子会社の架空取引と企業コンプライアンスと題するエントリーを書きましたが、今度はNEC本体にて社員8名ほどが関与する社内横領事件が発覚したようであります。(朝日新聞ニュースはこちら)US-SOXと不正防止さんは(このブログにおきまして)以下のとおりコメントに書いておられます。

NECは米国に上場しているため、昨年度からUS-SOXに基づく厳格な内部統制監査を受けています(監査報酬は7.4億円)。しかし、多額の従業員不正を、会社の内部統制評価や公認会計士の内部統制監査で見つけることはできませんでした。摘発したのは国税局です。 US-SOXによる「内部統制」監査は、お金がかかることが問題ではありません。担当者が単独で犯す誤謬しか発見できない制度であることに、重要な欠陥があります。監査の手法に欠陥があるのですから、内部監査部が監査法人の品質管理審査を受けても、実施基準を超えて連結売上高の75%を文書化しても、IT全般統制で全社的なエクセルシートの洗出しとパスワード保護管理をしても、不正防止効果を全く期待できないと思われます。

さすがに私も無力感は否めないところであります。こうやって一年以上も前に自分が書いたエントリーを読み直してみますと、端緒こそ内部調査と国税調査、ということで異なるところはあるものの、時期的にも重なるところが多いようですし、「組織的関与があった」とは申しませんが、社内における構造的なリベート体質のようなものの存在を疑われてもしかたないかもしれません。HPで公表されているNECのコンプライアンスへの取り組み姿勢といったものは、将来における再発防止策を中心とするものでありまして、それ自体は文句のつけようのないものと思いますが、こういった二つの社内横領事件を見比べますと、企業不祥事が発生しやすい社内の構造的な体質をどう変えるか・・・といった方向での防止策のほうが効果的ではないかと思います。(まあ、たしかに「ウチは構造的に問題がある」とは、なかなか発表できないことは承知しておりますが。それでも真剣に再発防止を検討するのであれば、環境整備への取り組みのほうがむしろ重要ではないかと思います)たとえば前回NECEで判明した架空取引によるリベート還流でありますが、発覚した時点におきまして、これを単なる一社員の犯行とみるのか、それとも社内(もしくは企業グループ内)で他にも同様の犯行が行われているのかどうか本格的に調査するのとでは大きな差があると思いますし、そういった調査を敢行することはまさに体質を変化させるためのコンプライアンス施策の一環であると思われます。また、たいへん地味ではありますが、こういった犯行は職場仲間のなかでは結構、周知の事実だったりするわけでして(私が最初に某企業のコンプライアンス委員に就任したときがそうでした)周囲の者が内部通報制度を利用しやすい環境を整えるとか、コンプライアンスオフィサーのような立場の者を増やすといったことが「構造的体質」を変える要因にもなりえようかと思います。

これと同じことは、日興コーディアルの不正会計事件のときにも申し上げたところでありますが、将来的な再発防止策といいましても、企業文化や業界の環境、そして不祥事の原因追及によって判明した社内事情などによって、対応策のベストプラクティスは様々でありまして、単に職務分掌を強化したり、相互監視体制を強化することで再発のリスクを低減できるほど甘くはないと思っております。もし構造的に不祥事が発生しやすい社内環境が認められるのであれば、地味で時間のかかることではあるかもしれませんが、同種不祥事が社内のあちこちで発生していないか徹底的に調査することも必要かもしれませんし、社内研修を強化することが必要な場合もあるかもしれません。

ところで、ここのところ、毎月「月刊監査役」では「内部統制システムに関する取締役会決議」の各社事例集といったものが採り上げられておりまして、毎回楽しみにしているのでありますが、どこの上場企業でも「内部統制システムの基本方針に関する取締役会決議の内容」というものは、それほど変わらないものなんですよね。会社法施行規則100条をみれば、損失の危険の管理に関する体制といったものも体制整備の一貫でありますので、いっそのこと、この基本方針のなかに、各企業においてどのような事業上のリスクがあるのか、そのリスクに対して自社がどのように対応するシステムを構築するのか(あるいは、したのか)といったことを明記したほうがいいのではないでしょうか。また、グループ企業であるがゆえに、グループ全体としての事業リスクといったものも考えられると思います。もちろん、継続企業としてのリスクといった注記内容を調べればいいのかもしれませんが、その企業が何をリスクと考え、そのリスクにどう対応しようと考えているのか、といったことを記述することで、その企業の内部統制システム構築への積極性をうかがうこともできますし、また一般株主や投資家にとっても、管理行為のうえでの企業価値を把握する資料にもなるのではないかと思います。他社との差別化をもう少し工夫してみてもいいんじゃないか・・・と思ったりしております。

|

« 会計制度監視機構のひさしぶりの提言 | トップページ | 事業リスクと内部統制の基本方針(その2) »

コメント

コンピュータ屋です。
おはようございます。
「今度はNEC本体にて社員8名ほどが関与する社内横領事件」、大変ショックです。
私も古くよりおつきあいはあります。社内、及び業界体質そのものでしょう。
内部統制の支援どころの話ではありません。
社内及び、子会社関連会社に徹底した調査が必要と感じます。
今のトップの方の本気の取り組みが問われています。

みなさん各社、個人情報や情報セキュリティの取り組みは気にされています。
しかし、企業文化や環境、体質については表だった議論や客観的評価はされづらい様です。
「我が社はこんなところがまずいのです」なんて事は言えないのでしょう。
でも社内では一番承知されていることと思います。
この際、内部統制対応の全社的内部統制評価で、思い切って表現されてはいかがでしょうか。

投稿: コンピュータ屋 | 2007年5月30日 (水) 08時10分

金融庁のHPには、連日のように多数の金融機関の役職員の預金横領・法令違反などで、行政処分が発令されています。(ぜひ一度ご覧になってみることをお奨めします。)これは金融機関の業界体質ですか?

金融機関は、過去も現在も恐らく未来も、金融庁・日本銀行・公認会計士監査・検査部検査・税務調査など、日本のあらゆる業態の中で最も監査と検査が厳しいことは誰でも知っています。そのような社内管理と外部検査が厳重な業態ですら、数千人から数万人の職員の中で起こる一定割合の不正を防止することはできません。

トップが本気で取り組むと、これらがなくなりますか?全社内部統制質問状でなくすのですか??
世界中で、業務上横領のない国など存在しません。もともとわが国は西洋諸国と犯罪の発生を比較すれば、比率でも数でも相当に少ないことは、我々日本国民の誇りとすることろです。

犯罪白書によれば、それでも2006年度で9万件の横領を起訴しています(一般的に社員を起訴するのは、悪質な場合に限られます)。多くの国民の生活が会社を基盤としている以上、これらの横領罪の多くは企業で起こるでしょう。コンプライアンスを推奨する人たちは、どんな社会と制度を目指しているのか、横領罪の数値目標を使い具体的かつ明確に回答していただきたいものです。

日本国民が1億人なら、1万人に9人が横領をすることになります。1万人の中の9人をどのように防ぎ、どのように発見するのでしょうか?

投稿: ふーん | 2007年5月30日 (水) 10時31分

本日のエントリーで、「各企業においてどのような事業上のリスクがあるのか、そのリスクに対して自社がどのように対応するシステムを構築するのか(あるいは、したのか)といったことを明記したほうがいいのではないでしょうか」と述べられていることに、全く同感です。

個別企業ごとのリスクの絞込みについて、影響度と発生頻度から、リスクを観念的に捕らえる手法が一般的なように感じますが、私は、そうした方法よりも、実証的に捉えるほうがはるかに説得力があると考えています。

つまり、過去何期間かにわたって、計算書類から、①特別損失、②雑損失、③貸倒引当、を抽出し、各項目で関連のあるものを一括りにします。たとえば、ある大型プロジェクトでロスを出した場合には、貸倒引当も計上され、在庫評価損も出るでしょう。又、損害賠償が発生することもあります。こうした共通の原因から発生した損失を一くくりにします。あるいは、特定の取引形態でロスが集中的に発生している場合もあります。こうして、適宜、企業の実態に応じて、損失発生原因を分類していけば、その企業の特定リスクはおおむね目安がついてくるのではないでしょうか。ちなみに、恥ずかしい話ですが、私の勤務している企業では、4つのリスクパターンで6割強のロスを発生させています。

私がもう一つ工夫しているのは、企業体質の把握です。コンピュータ屋さんは、「企業文化や環境、体質については表だった議論や客観的評価はされづらい様です」と述べておられますが、決してそうではありません。私は、COSOレポートのツール編を用いて、各項目ごとに評点することにより、おのずと企業体質が明白になってくると感じています。この企業体質をベースに、損失発生状況から特定リスクを把握すれば、かなりの精度で、企業ごとのリスクの絞込みが可能になってくるのではないでしょうか。

このようにリスクを絞り込みますと、エントリーで述べられているように、内部統制システムの整備が効果的に行われるのではないかと思いますし、又、他社との差別化も可能になってくると考えています。

投稿: 酔狂 | 2007年5月30日 (水) 12時51分

金融機関の統合リスク管理を規制するバーゼルⅡでは、オペレーショナル・リスク(法令違反や手続違反を含みます)の計測手法のうち最も先進的な手法として、その会社及びその会社の属する業界の過去の損害をデータベース化し、損害発生額×発生確率を算出することを求めます。

大手銀行や総合商社は、この手法を採用して実際にリスク管理しています。(データ収集だけでも相当に大変であり、アメリカでは中小金融機関がバーゼルⅡの適用に猛反対して適用取りやめになりました。)

さて、本日のインターネットでは大手企業の申告漏れが2件ほど報じられています。いずれも、国税当局とその会社の税法に関する解釈の違いだとされています。

税法違反は、追徴課税として税務当局から多額の金額を徴収されるほか、その会社の社会的評判も落とします。過去の追徴額をデータベース化しようがしまいが、リスク管理に関係しますか?発生確率が高くても低くても、会社としては防止する必要があります。一方、税務当局との解釈の相違に関するリスクの未然防止をどうしますか?一定規模の上場会社なら、税務上問題がありそうな点は、現在でも税理士に相談していますけど・・・

本質的な問題点として、会社の事業継続に重大な影響のあるリスクは、そもそも発生頻度がきわめて少ないでしょう。数年に一度発生するリスクをいくら数値化して、その対応策を積み重ねても、壊滅的リスクの防止にはあまり効果がありません。その会社全体で見れば、20年に1度しかこないような壊滅的リスクを、事前に想定したり、それに対する対応策を実行することが、人間の限られた知識と経験で可能でしょうか?

監査法人系コンサルタントの内部統制もリスク管理(COSO、ERMなど)も、その手法が実用性と有用性に乏しい点は全く同じです。その理由は、非日常的な危機の防止とそれへの対応を、日常的経験の延長線で考えるからだと思います。(実施基準で書かれている出荷指示書と出荷報告書を照合したら、財務報告の重要な虚偽記載を防止できると思う人がいますか???)

投稿: バーゼルⅡと銀行監督 | 2007年5月30日 (水) 16時01分

 NECのでの不正が、全体に占める割合がどれくらいかは分かりませんが、最近のコメント等の論調を見ると、監査や内部統制システムで、何か瑣末な不正まで発見、予防しなければいけないような論調ではないかとお見受けします。
 サンプリングの所でも話題に上ったかと思いますが、内部統制は絶対的な保証ではなく、合理的な保証を求めるものです。
 しかも実施基準的な観点を踏まえると、量的+質的重要性により、ある程度内部統制を構築すべき範囲は絞られてくるため、それ以外の重要性のグレードが落ちる部分については、ある程度目をつぶるという考え方が根底にあると思います。
 監査報酬が高ければ、それだけ不正を発見、予防できるかというと、そう単純なものではないと思います。
 内部統制自体がもともと合理的保証を前提とするものである以上、内部統制監査等で全ての不正等を発見できるということはないのではないでしょうか。内部統制監査や会計監査人、監査法人に過度に期待しあるいは、過度に瑣末な責任追及をしても始まらないのではないでしょうか。

 一部コメントでは、1万人に9人の不正云々と言うことですが、1万人に9人って、かなり小さい確率です。これを発見し、予防しろというのは、世の中から犯罪をなくせと言っているに等しく、ほとんど不可能なのではないでしょうか。
 内部統制はそういうものではないし、内部統制監査も、そのような瑣末なものまで発見・予防できるものではないと思います。
 無力感は確かに感じますが、過度に内部統制に期待をかけ、過度に瑣末な不正の見逃しまで責任を問うていては、それこそがちがちの人間性否定のシステム呪縛になってしまうのではないでしょうか。
 先生及び皆様の内部統制に対する熱い思いがこめられた期待を含めてのエントリー及びコメントかとは思うのですが、行過ぎた内部統制議論は、それこそ形骸化の端緒となりかねないかと思います。

 もちろん、不正が発見できた(された)場合に、次のステップとして、その不正を踏まえてリスクコントロールの状況を見直し、内部統制を強化することはなくてはならないことです。ただ、瑣末な(重要度の低い)不正を発見することと、リスクコントロールの状況を見直して、内部統制を強化することは、一連の流れではあるかと思いますが、分けて考えた方が良いのではないでしょうか。

以上、長くなりましたが、ちょっと感じたことをコメントさせていただきました。

追伸:酔狂さん、コメント参考にさせていただきます。

投稿: コンプロ | 2007年5月30日 (水) 17時37分

いつも拝見して、勉強させていただいております。ある住宅設備関連の総務担当者です。このたびのエントリーはたいへん参考になるところが多く、「このように考えておられる方もいらっしゃるのか」と意を強くした次第です。
先生がかなり以前にコメントされていた帝人社の内部統制の基本方針などをみておりますと、抽象的にではありますが、自社のリスクのなかで何が重大か、そして重大なリスクのなかでも何を気づいたときに監査役に報告するかなど、かなり具体的にリスクが記載されております。また記載がなくても、リスク管理規定を別途定め、それとリンクさせていると思われます。私は、上場企業のリスクなど、書ききれないほどありますし、無意味なところもあるかもしれませんが、こういった対応は議論すること自体に意味があると思います。先日のお話では社長があまり管理行為に積極的でない、といったことが議論されておりましたが、たしかにそのとおりだとは思いますが、まずこういった取り組みのなかで議論してもらうこと、それが大切なことではないかと思います。リスク管理に王道はありませんし、できれば理想に近づけていく努力をして、失敗すればそこから何かを学ぶ、この繰り返しではないかと思います。
長々と失礼いたしました。ただ、それぞれの会社が無味乾燥な「基本方針」を並べるのではなく、利害関係者に有益な情報提供を目的として開示することを推奨する先生の考えには、非常に共感した次第です。

投稿: 門脇@南青山 | 2007年5月30日 (水) 18時52分

コンプライアンス・プロフェショナルさまのおっしゃるとおりです。
1万人に9人の横領を発見できないから内部管理体制の欠陥だなどと決め付け、行政処分を乱発する金融庁の姿勢は、金融機関にできないことをやれと命令しています。国家権力を用いて、国民に不可能なことを強要する行政のやり方を、直ちに常識にのっとり正常化していただくことを期待しています。

合理的な保証しか提供できない内部統制監査と会計監査を合わせて、大規模な上場企業は5~10億円も報酬を支払います。今後、さらに巨額の監査費用になることが予測されます。それは、会社の所有者である一般株主や、潜在的な所有者である証券市場の参加者にとって、容認できる合理的な金額とは思いません。入力間違いや集計ミスといった単純間違いを見つけるだけの合理的な保証しかできないなら、もっと低廉な監査費用で良いという人がほとんどでしょう。

粉飾決算=経営者不正につき、過去の実績ではあまり有効に機能せず、現在の監査技術から理論的に検討しても限られた抑止力しか持たない会計監査と内部統制監査に、あまり多額の費用をかける必要はないという結論になります。

ERM=統合的リスク管理も、リスクの計量化やデータベース化、リスクとコントロールの文書化に要する費用は、それにより防止できる会社の損害額と比べて、どの程度の意味があるものかを考えることが必要です。予見可能な日常的リスクを並べ立てても、残念ながら危機的なリスク防止にはほとんどの場合に役立ちません。

投稿: バーゼルⅡと銀行監督 | 2007年5月30日 (水) 19時35分

事情を知らぬ第三者が報道ベースの情報のみを鵜呑みにしてよそ様のことをあれこれと非難するのは、基本的にあまり潔しとしないのでありますが、この会社の場合、こうも続くとやはりちょっとなぁ、という気がします。

確か1年前くらいにも、ゴルフ賭博で従業員多数が検挙されたという事件が報道されたかと思います。これは不正経理とか横領とかとは違う訳ですが、職場風土としてみると通底するものを感じます。

非常に乱暴な言い方ですが、お金に対するルーズさというか潔癖性の無さというか、あるいはお金を巡る公私混同というか、そういうものを感じます。企業はお金を儲けるためのモノですから、お金に対する潔癖性を欠いてはその存在基盤を失う筈ではないでしょうかね。

ですから、この問題は「内部統制」とは取敢えず無関係のものと捉えた方がいいと思います(そうでないと、「内部統制」は「宗教」になってしまいます)が、他方、確率論(犯罪発生率)で「正当化」してしまうが如き論調も如何なものかと思います。犯罪はゼロであるのが当然の姿(と考えるべき)だからです。

しかも、この犯罪行為は、個人がプライベートな世界(領域)で行ったものではなく、企業という組織の内部で、あるいはその業の過程または延長として行われたものであり、その意味で、紛れもなく企業犯罪(組織ぐるみという意味ではありません)です。企業犯罪は企業犯罪として断罪されなければなりません。

投稿: 監査役サポーター | 2007年5月31日 (木) 00時42分

損害×発生頻度のリスク定量化は、リスクファイナンスを視野に入れた考え方で、一定程度のリスクは、保険商品をうまく使うことで、リスクを移転しようという発想に基づくものです。

 確かに、ご指摘のとおり、企業内のリスクは、ヒューマンエラーも含め定量化になじまないものがたくさんあります。それらのリスクを捉えるためには、損害×発生頻度のリスク定量化は無理があるといわざるを得ません。もちろんこの定量化の式に一定の合理性があることも間違いがなく、ある程度統計化可能なリスクの評価には、有用です。使えないからだめと言うような白か黒かという、どこかの総理が用いた論法で、リスク評価のあり方を論じることには抵抗を覚えます。

 経営管理的な意味の内部統制を重視すればするほど、仕組みの運用や社内のコミュニケーションのあり方、規程やルール等の落とし込みの成果など、はっきり言ってリスクの定量化が不可能な部分が出てきます。したがって、COSOが本来目指した方向性での内部統制のリスク評価については、発生頻度×損害額という式はなじまないといえると思います。経営管理的な意味であれば、社内で働く人の問題が絡んできますので、心理学等も含めたリスクバイアス等を視野に入れたリスク評価を行わなければなりません。この手法については、いくつかありますが、ここでのご紹介は差し控えたいと思います。
 一方、J-SOXの内部統制については、経営管理的な意味の内部統制に比べると、ある程度システマティックな内部統制になってきます。もちろん企業活動を前提とする以上、必ず人の要素は抜きにできませんので、すべてがすべて発生頻度×損害額の公式は使えませんが、リスク評価の指標としては、ある程度有用な事は間違いがないかと思います。結局は、会計的視点を加味した数字に収斂させ、その数字の作り方が合理的なレベルで妥当かどうかの判断ですので、定量化の考え方とは、もともと親和的だと思います。
 そもそもは、リスクの評価は、リスクコントロールの前段階のものであり、内部統制構築のプロセスの一部分でしかありません。厳密なリスク評価(=定量化)ができなければ、リスクコントロールを施せないというわけでもないので、重要性の判断等に際してのざっくりとした指標足りえればよいのではないかと思います。その意味では、J-SOXの対策に際し、発生頻度×損害額の式を使ってのリスク評価は、さほど問題は大きくないと思います。

 ちなみに、ERMがの話しが出てきましたの、ERMのリスク評価について言及すると、これはむしろ、発生頻度×損害額の式ではまったくもって不十分であり、統計やその他事業リスク、信用リスクの算定のための微分・積分も含めたかなり高度なリスク算定が必要になってくる場合があります。もちろん、コンプライアンスや人事面等のリスク管理に関しては、経営管理的な意味の内部統制について述べたところが当てはまりますが・・・。

 いずれにしろ、内部統制の観点から考えた場合には(J-SOXにしろ、経営管理的意味にしろ、)重要なのは、内部統制システムを構築し、簡単に言い換えれば、リスクコントロールを定め、それを運用し、統計的な観点も含めたコントロールの有効性評価を行い、漸次見直し・改善していくことにあると思います。リスク評価の算定式(発生頻度×損害額)が使えないから、あるいは意味付けができないから・・・ではなく、この式にしろ、あるいは各社独自のリスク評価(算定)にしろ、内部統制構築のロードマップを描くためにある程度有用で、社内の人間の認識にも合致する(=人によりまちまちでは、重要性の判断や有効性の判断ができない)、言い換えれば大多数の社員が共通して重要性や有効性が評価できる指標であれば、どんな指標を使ってもよいのではないでしょうか。
 やらなければいけないことは、厳密にリスクを算定(評価)することではなく、内部統制構築のためのおおよその対象やプロセスなどを絞り込み、内部統制システムを構築していくことだと思います。
 むしろ、リスクの算定・評価に関しても掘り下げて、厳密な算定・評価を求めると、この段階でもいくつもの統計学的指標を駆使したリスク評価式を定立、記述、説明せざるをえなくなり、内部統制の構築の混乱にいっそう拍車をかけることになりかねません。リスク算定・評価に関しての細かい議論や複雑な議論はさけ、重要なシステムの構築・運用に専念させる(各社各様のリスク評価に基づくリスクコントロール施策の策定)ためには、かえって、大雑把なリスク評価しかできないが、単純明瞭な、「発生頻度×損害額」の式を採用したことは、きわめて妥当な判断だったのではないかと思います。難しくすればするほど、経営者も担当者もわからなくなり、プロフェショナルの暗躍の場が増えるわけですから、その意味でも、一定の意味を見出せるのではありませんか?

投稿: コンプライアンス・プロフェショナル | 2007年5月31日 (木) 01時27分

上記のような知識は、会計士系コンサルタント(またはその教育を受けた人)でなければ、書かない説明です。ここでもまたまた統計学を持ち出しており、会計プロフェッションの徹底的に首尾一貫したワンパターンの思考様式と、現実感覚から乖離して無知な人だけが高度に感じる数的処理に敬服致します。

財務報告に係る内部統制は、経営者の意図的な「不正」の問題を、会計データの入力ミス、承認もれ、計上もれなどの「誤謬」にすりかえていました。

ERM=統合的リスク管理も、倒産や社会的信用の失墜などという「危機」の問題で恐怖感をあおり、実際には日常的な「業務ミス防止」=リスク対策の問題にすりかえています。(日常的対策は、既に各社が業務の中に取り込んでいる点は、財務報告の誤謬防止と同じ。)

信用リスクが会社にとって存立を揺るがす問題となるのは、長期景気低迷期で、大きな会社が連鎖的に信用不安になった場合に限られます。最近みなさまの会社で、取引先が倒産して多額の貸倒償却が発生することは少ないでしょう。一方ERMの手法では、信用リスクを統計学に基づくと言われる複雑な算式に従い、個々の会社又は会社グループごとに計算するので、大変に費用と手間がかかります。

市場リスクも同様です。有価証券の株価が中期的な上昇傾向にあるとき、有価証券の株価下落リスクを過去数年間のデータを集計した後に確率分布を加味して算出しても、意味がありません。景気循環でバブルは必ず再来しますが、その時には世の中全体が長期間浮かれており、その時点でバブル崩壊を予測することはできません。なお、有価証券の評価損が市場リスクとして会社に重大な影響を与えるのは、バブル崩壊局面に限定されます。

永久真理計算式:無意味に煩瑣な統計学+小さなリスクに過剰な対策システム=監査法人系コンサルタントだけのグローバル・スタンダード理論

投稿: やはり監査法人系コンサル | 2007年5月31日 (木) 08時02分

内部統制監査制度は組織ぐるみの不正や個人の横領には全く役に立ちませんが、誤謬防止や発覚した虚偽の是正のためには効果があると思いますので、それなりの意義はあるでしょうね。問題は「それなりの意義」と新法対応を合理的に達成するためにはどれだけコストをかけるべきかという話を抜きにして、オーバースペックな整備・監査がまかりとおってしまうことです。陰謀論めいてきますが、制度に耐えられるような大手企業のみが市場に残った寡占状態を目指した上で、頃合いをみはからって適当なスケープゴートを作ってガス抜きする仕組みになっているような気がします。

投稿: tegutan | 2007年5月31日 (木) 10時02分

法律専門職や会計専門職の大幅増員は、経緯的には経団連(日本経済団体連合会)が要望したもので、それに基づき法科大学院や会計専門職大学院も多数設立されたはずです。(私は、こんなアメリカ猿真似のでたらめな要望をして一体責任を取れるのか・・・とその当時から考えてました。)
経団連を支える会長会社、副会長会社、各種委員会委員長会社=巨大企業こそ、自らの企業において、専門職の活躍の場を与える義務があります。
どうして、だれも本当の責任者を批判したり、社会的責任を追及したりしないのでしょうか?

投稿: 本日の雑談 | 2007年5月31日 (木) 12時22分

コンプラさんが指摘される「やらなければいけないことは、厳密にリスクを算定(評価)することではなく、内部統制構築のためのおおよその対象やプロセスなどを絞り込み、内部統制システムを構築していくことだと思います」とのご意見に全く賛成です。

そのために、私は二つのステップに分け、まず第1ステップとして、過去一定期間(10年程度)の損失発生事例の再発を防止することとしました。昨日、本欄で書きましたように、企業体質をベースに、実際に発生したリスクパターンの大小をにらんで、内部統制システムのリスクコントロールのメリハリをつけるという考え方です。私は、まずこのステップを優先すべきではないかと思います。

この第1ステップに目処がついてくると、第2ステップは、現実にはまだ発生していないけれども、十分に想定しうるリスクについて内部統制システムを整備していくことだと思います。

リスクコントロールを整備する順番とその方法について、いろんな考え方があることはよく分かりますが、私は、まず足元を固める、すなわち発生実績のある主要なリスクを優先させるという上述の考え方が、現実的ではないかと考えております。

投稿: 酔狂 | 2007年5月31日 (木) 12時44分

内部統制、とりわけ金商法上の報告制度につきましては、すでに実施も決まっておりますので、前向きにどうすべきか検討しなければなりませんね。たしかに「アメリカ直輸入版」に近いものを日本の企業文化に導入するわけですから、いろいろな軋轢もあるかもしれませんが、これまでもいろんな制度を日本人に合った形で取り入れてきたわけで、そういった知恵に期待したいと思っています。
ただ、内部統制システムの構築が本当に企業活動に有効なものとなるかどうか・・・といったところは、その企業がどれだけ管理会計に関心を持ってきたか(会計制度の重要性に関心を持ってきたか)という「歴史」のようなもの、これも企業文化になるのかもしれませんが、そういったところにも左右されるようにも思いますが、いかがでしょうか。

投稿: toshi | 2007年5月31日 (木) 20時33分

コンピュータ屋です。
お世話になっています。
今回、10人以上の方がいろいろコメントされているのにはびっくり。
とうてい、全てのご意見を理解するまでに至っていませんが、
これらみなさんがおられれば、内部統制システム、とりわけ直近のJ-SOX対応、良い結果をもたらすと感じました。
また、内部統制システム以外のマネジメントシステムとの関連、統合、代行、などいろいろ考えていくこともおもしろいことと思っています。
全て企業目的達成のためですから。
どのマネジメントシステムをみても、企業文化として根づいているか、
まだこれからだと思っています。
内部統制システムと合わせての関心事です。

投稿: コンピュータ屋 | 2007年6月 1日 (金) 08時34分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: 事業リスクと内部統制の基本方針:

« 会計制度監視機構のひさしぶりの提言 | トップページ | 事業リスクと内部統制の基本方針(その2) »