« 上場審査厳格化ルールの実効性 | トップページ | 金融商品取引法と買収防衛策の関係 »

2007年9月28日 (金)

続・COSO「モニタリング・ガイダンス」と内部監査人

今週は「保全」という、きわめて弁護士チックな仕事に忙殺されましたので、ブログのほうもきちんと調べもせずに書き下ろしておりまして、不正確な内容のエントリーや、問題提起に終わっているものばかりのようで、常連のみなさま、どうもすいませんです。(言い訳ここまで)

さて、COSO「モニタリング・ガイダンス」と内部監査人のエントリーには、たくさんの実務家の方々のご意見をいただき、ありがとうございました。とりわけ技術屋の内部監査人さん、そしてのらねこさん、熱いコメントを頂戴し、現場で奮闘されていらっしゃる姿が垣間見えるようで興味深く拝見いたしました。こういったコメントを読ませていただいた後に、あらためて企業会計審議会の「実施基準」を読み直しますと、平板に見えていた「なにげない文章」にも、創意工夫の痕跡があるように思えてきますので不思議です。機野さんのコメントで紹介されておりましたCIA資格保有者の急増とも関係すると思うのですが、内部監査人という法律上ではお目にかかれなかった立場の人が、金商法に基づく「実施基準」のなかでいきなり登場し、にわかに注目を浴びるところになったわけでして、だからこそ金融商品取引法といった法律の世界で、この内部監査人をどう位置づけて考えたらいいのか、いまだ世間的には戸惑いがあるに思います。

内部監査人が経営者評価における(独立的評価の部分において)、実際の評価主体とみるべきかどうか・・・といった問題、ふたつほど論点の整理をしてみたいと思います。ひとつは、(内部統制の有効性に関する)最終評価の責任者は当然のことながら経営者にあるわけですが、評価プロセスの一部を内部監査人が代行してもいいのかどうか、といった問題。つまり法律上の用語を利用して恐縮ですが、「擬制」ということですね。内部監査人による実際の独立的評価をもって経営者評価と考えてよいか、といった問題であります。もし「擬制」ではないとしますと、評価プロセスは経営者自身ものでなければいけないけれども、そこに内部監査人の独立的評価を「参考」にすることができる、ということになりましょうか。これは現実の評価主体を経理担当者・・とみた場合にも同じ問題が出てくるはずであります。経営者からみれば、「擬制」とみたほうが楽かもしれませんが、もし内部監査人や経理担当者のスキルに問題があったとなりますと、評価プロセスそのものに大きな不備があったと解釈される可能性が出てくるのではないでしょうか。

そしてもうひとつの論点は、実施基準によりますと、比較的規模の小さな(組織が比較的単純な)上場企業の場合には、全社的内部統制の有効性の評価内容によって業務プロセスの評価範囲を決定することができるとのことでありますが、そうしますと、取締役会が十分な機能を果たしているかとか、監査役と経営者に対するモニタリング機能を果たしているか等、内部監査人が評価できるかどうかはかなり疑わしいところの判断内容によって内部監査人の本来の評価範囲が決定されてしまう、という大きな矛盾を抱えてしまうのではないか、との疑念が拭いきれません。(このあたりが、のらねこさんのおっしゃっている独立性の限界とか、機野さんが指摘されている「実施基準の不明瞭な点」といったことになるのでしょうかね?)この矛盾を解決するためには、経営者は評価プロセスにおいては経理担当者や内部監査人(もしくは外部専門家)に代替させることはできないのであって、「実施基準」にいうところの「補助させることができる」というのは、代行させるのではなく、あくまでも参考意見を報告してもらうための「補助」にすぎない、と理解する以外には方法がないように思えますが、いかがでしょうか。

ほかにも、実施基準によりますと、内部監査人は独立的立場から、内部統制の有効性を評価し、改善事項を報告する役割があると記載されておりますが、改善事項はあくまでも内部監査人の意見でしょうから、その改善をはかった場合にこれを評価するというのも、やはり自己監査に該当するように思います。皆様方のコメントを拝読しながら、やはり内部監査人と経営者評価との関係については、いくつか解決すべき前提問題があるのかなぁと少し疑問に思った次第であります。(今回も屁理屈のような内容かもしれませんが、やはり経営管理の世界での「内部監査人」は、すでに金商法施行とともに、法律の世界に片足を突っ込んだ重要な役割を担う人たちと理解しておりますので、こういった論点整理も必要なのではないか、と思ったものですから・・・・・)

|

« 上場審査厳格化ルールの実効性 | トップページ | 金融商品取引法と買収防衛策の関係 »

コメント

「内部監査」とは読んで字のごとく、
その事業体の経営者がその事業体のために行うもので、
あえていうと「プライベート」なものであります
(企業の持つ社会性を鑑みると、公共的側面を強く持っているわけですが
 あえてここではこう表現してみます)。
経営者の経営者による経営(者)のための監査。
内部監査人は経営者によって選ばれた監査代行者であります。
内部監査人のスキルをアップすること、内部監査が正しく行われたか
定期的に外部の監査に晒すこと…これらはあくまでも
その事業体がその利益になると考えて自主的に行うものです。
その内容、その方法、その体制は経営者が考えることであって
外部からギャアギャア言われる筋合いのものではあり得ません。

上記の大大大前提と、今般の金商法の話が
こんがらがってるので始末に悪いわけですよ(笑)。

(同じような問題があると、別の論旨になりますが監査役にも言えます)

内部統制システムのモニタリング、評価を誰が行うのかという話に
なったとき、「ああ、内部監査人を使おう、監査役も使おう
(これまで何処の会社でも大して働いてそうにもないし(バク))」と
実に安直に考えられてしまったがために、
まさしくいくつもの"パラドックス"が起こってしまったのです。

「ネコの手も借りてでも、やろう」ですな(笑)。

                                .

>内部監査人による実際の独立的評価をもって経営者評価と考えてよいか

法律の文句で「経営者が××を行う」と書いてあることを
誰かが代行してよいのかどうか。
簡単に「OK」と言われそうですが、
経営者の監査代行者としての従前からの内部監査人の活動は
「プライベート」なものですから「経営者がよいと思えばよい」ですけど、
この場合は「経営者が代行させたんだからOK」といえますかどうか。

「そんなことを言ったって現実に経営者がひとりで全部見て全部書けない
だろうが」ということが最初から分かりきっているわけで、
それなら後付けの解釈で「そういうふうに見なす」とするのではなくて
最初からそう書いておくべきなんですよ。

うーん、突き詰めて考えると、
全てはインダイレクトレポートの無理さに行き着きますねえ。
「財務諸表監査と同様の外部監査人によるダイレクトレポート」なら
こういう矛盾は生じなかった。経営者評価の義務はないとすればよかった。
物凄くスッキリします。
合衆国の今回の改正に歩調を合わせるだけでよかった。
その上で、外部監査人の人的資源が限られる日本の状況に合わせて
手法、やりかたを考えればよかったのです。

もう、本当に「遅い」のでしょうか?
民主党政権に代わってもストップされません、よねえ…。

投稿: 機野 | 2007年9月28日 (金) 10時12分

■経営者の評価のポイント
・経営者(≒社長)が適正な評価をするには、下記事項がポイントと思っています。
 1)経営者が評価し判断する際の情報に漏れがないか。かつ正確か。また偏りがないか。
 2)経営者が評価・判断する審議等のプロセスが合理的か。
 3)経営者が評価・判断した結果が、集めた情報と適正な審議等のプロセスに基づく結論か。

・あくまでも評価・判断するのは経営者であって、それ以外の人が経営者の「代行」はありえないのではないでしょうか。評価・判断する経営者以外は「情報の提供者」であると思います。

 1)については、①執行部門の自己評価と日常のモニタリング評価の結果(不具合報告、法改正、事件、社会環境等を含む)と②独立性が比較的高い経理部門の経理監査結果・社長直轄の最も独立した内部監査部門の監査結果、③監査役監査結果・会計士の監査結果(前年度or2.3年の傾向)です。

 2)は、基本的には会議や委員会での審議が合理的と思います。出席者は、評価・判断する側としては社長と財務担当役員が、情報の提供者側としては①最も独立した部門である監査部門だけではなく、②執行(ライン)部門から独立している財務・経理機能を全社的に統括する財務・経理部門、③執行部門の責任者が考えられます。

 3)については、この辺から、よく分らなくなってくるのが本音です。この辺の結果については恐らく監査役の役割のような気もしますし、内部監査等の限界のような気がします。

追記:
 このように考えると実務上は何が「主体」であるかを議論する意味が良くわかりません。ひょっとしたら、裁判沙汰になった時の責任を誰が取るかというときには「主体」が意味あるのかもしれません。内部監査協会発行「監査研究」で中央大の野村教授の会社法の「不提訴理由書」に関する論文があり、その中で今後は監査役と内部監査部門(<内部監査人)の関係が強化されその役割がより一層明確になるようなことを思い出し、その辺と関連があるのかなと思ったり・・・・・。よく分らないのが実態です。

投稿: 技術屋の内部監査人 | 2007年9月28日 (金) 13時55分

少なくとも日本監査役協会筋は
これらのプロセスに取り込まれることを想定しておりません。
あくまでも、監査法人が適正に内部統制監査評価を行ったかどうかを
最終的に確認して株主総会に報告する以上の「義務」はない、
と考えているようです。
絶対にやってはいけないとまでは言ってませんが、あくまでも監査役は
会社法に於いて定められた存在であり会社法上の内部統制システムの
構築に関しては監査役監査を行うとあるものの、金融商品取引法の
ほうに関してはクビを突っ込むつもりはさらさらないように感じます。

とにかく、

 監査役が行った監査(内容)を外部監査人が使用、評価、
 監査するなどというようなことはおかしい。
 だってだいたい外部監査人を選定してるのワシらじゃないか、
 外部監査人の職務をチェックするためにワシらがいるんだ。

実はここから全く変わってないようなのです。
監査役以外のひとが監査役抜きで監査役の役割をアーダコーダと
言ってるにすぎません
(もちろん、会社会社で監査役が乗り気?になって行動されてしまわれて
 いるようなところもあるでしょうが)。

他方、「全社的な内部統制」を読む限り、誰が質問者なのか回答者なのか
さえ不明ですが、監査役の職務について評定するとしか読み取れない
部分があります。

しかし、例えば「監査役は…実行しているか」という問いに
いったい誰が答え得るんでしょうか?
監査役が自分で答えるんですか?自問自答?ヘンじゃないですか?
社長ですか?社長は監査役から監査監視を受ける立場です。
監査役の職務を評価できません。
それじゃあ内部監査人やその他の人間(従業員)?
監査役が実行しているかどうかって評価できます?

むろん、監査法人により質問状が用意されていて機械的に第三者的に
答えられるようにはなっているんです、現状は。
会議記録などの証跡があれば、「実行している」と書けるわけで。

本質を追究することもなく、現実の監査は進行しているのでありますよ。
「主体は誰か」って極めて重要なことだと思うんですけどね。

投稿: 機野 | 2007年9月28日 (金) 16時28分

●「技術屋の内部監査人」による補足説明

 前記1)の「経営者が評価し判断する際の情報に漏れがないか。かつ正確か。また偏りがないか。」における判断情報の一つとして、「③監査役監査結果・会計士の監査結果(前年度or2.3年の傾向)です。」と書きましたが、より正確に表現するならば、「③監査役監査や会計士の監査の指摘に対する取り組み状況(前年度or2、3年の改善状況)」とします。

 現に当社の場合、監査役は自ら業務監査も行い会計に関する指摘もしており、その改善状況を活用しない手はないと思います。経営者がこれは評価に活用できる情報と判断すれば、それはそれでいいのではないのでしょうか。監査役が関わることと、監査役が指摘した情報を有効に活用する事とは一寸意味が異なるような気がしますが・・・・・。

 法律は最低限の水準であり、その水準を超えれば企業としてどう取り組むかは企業が決めればいいとおもいます。ましてや、J-SOXは色々議論のあるまだ確立された基準ではありません。頭の中で考えただけのものであり、アメリカのように今後改善されていくしろものではないのでしょうか。

  ・・・・・
 やっぱり、「何が主体で」「主体にどういう意味があるのか」今のところ良く分かりません。具体的な例で教えていただければ幸いです。

 あまり決め付けないで、じっくり取り組んでいこうと部の仲間達とはなしあっている今日この頃です。

投稿: 技術屋の内部監査人 | 2007年9月28日 (金) 20時51分

ネコの手も借りたいのらねこです。

またまた、コメントします。

1.経営者と内部監査人の関係
 「財務報告に係る内部統制」における経営者のモデルは、「内部監査人の監査結果を元に経営者自身が内部統制の有効性を評価する」です。
 決して、内部監査人に内部統制の有効性を評価する様には記述されていません。
 では、なぜ「内部監査人が内部統制の有効性を評価する」話になってしまうのでしょうか。
 これは、日本の企業風土の影響です。
 「承認」行為の悪影響が出ています。
 会社における「承認」とは、部下の提案を上司が認めることです。
 したがって、多くの日本の内部監査人は「内部監査の結果」=「有効性評価案の作成」と解釈していると思います。
 だから、全社的な内部統制まで評価して、内部統制報告書案まで作成することを考えます。
 そして、社長より内部統制報告書案の承認を得ると考えます。

 ここでまた、パラドックスが発生します。
 「内部統制報告書の作成は実務に当たるのではないか」という問題です。(独立性の問題です。)
 なぜならば、内部統制の評価は内部統制報告制度の一環として行われるためです。
 では、どの部門が作成すればよいのでしょうか?
 実務上、内部統制報告書を作成する能力がある部門は、内部監査部門か経理部門です。
 内部監査部門は前記の問題が発生し、経理部門では自己評価になります。

 というわけで、内部統制の評価の主体はいずれの部門でもありません。、
 かといって社長に自ら評価せよというのも「ネコの首に鈴をつけにいくねずみの心境」で誰も言い出せないでしょう。
 以上のことから、内部統制の評価の主体性の割合は内部監査部門と経理部門が半々になっていると思いますよ。

 こうのような状況を「擬制」と呼ぶのでしょうか?
 アメリカ流は日本で消化不良をおこしています。
 のらねこだから胃袋は鍛えてあります。
 
2.内部監査の定義の違い
 「財務報告に係る内部統制」は企業の開示制度の一環で、投資家のために企業の内部統制の有効性を開示します。
 米国の内部監査人協会の内部監査の定義は「組織体の運営に関し価値を付加し、または改善するために行われる、独立にして、客観的なアシュアランスおよびコンサルティング活動である」です。
 両者の違いは、
  ①目的が異なる(「会社のため」と「投資家のため」)
  ②「財務報告に係る内部統制」の内部監査はコンサルティング活動ではない。
 です。
 
 内部監査人として会社から期待されているのは「業務(業務の有効性と効率化、財務報告の信頼性、法令遵守、資産の保全)の改善のためのコンサルティング活動」であります。
 一方、「財務報告に係る内部監査」では「財務報告の信頼性のためのアシュアランス(保証型監査)」を内部監査人に求めています。

 そして、投資家のために保証型監査を行うことにより、法律的な責任問題が発生する議論の出発点がここにあると思います。

3、監査とは(内部監査人の法的責任の前に)
 あらためて、「財務報告に係る内部統制」において監査の定義とは?
 内部監査の定義ではありません。
 金融庁の財務報告に係る内部統制基準のp5(11枚目)に「内部統制の有効性の評価についての検証は、「監査」の水準とすることにした。」とあります。
 この意味は、内部統制の検証は財務諸表監査と同じ水準で行うということと思います。
 この意味を企業の方に当てはめてみますと、内部統制の検証は「監査」の水準ではない。
 だから、「評価」という表現にしたと思います。

 備考として、四半期報告制度では公認会計士の「レビュー」となっていますね。
 
4.内部監査人の法的責任
 (投資家のために保証型監査を行う前提で)
 ①企業の内部統制の検証が「監査」の水準ではないので、公認会計士と同じ法的責任はないのでしょう。
 それゆえ、「評価」の中で実施される内部監査も、公認会計士と同じ法的責任はないはずです。
 
 ②金商法違反があると思います。
 内部監査人自身が行った違反(虚偽記載)は、状況によっては個人の罰則の対象になるのかもしれませんね。

 ③他者が行った違反に関する場合について
 他者の違反行為と因果関係が証明できない場合は、当該違反での法的責任はないと思います。
 (業務の執行責任を有していないので、特に思います。)
 ただし、内部監査業務での過失(違反行為を発見できなかったという意味で)に関しては、どうでしょうか。
 「業務上の過失」は内部監査に限り免除されるわけではないでしょう。
 状況に応じて有りですかね?
 こんな場合はどうですか?
  1)サンプル調査を実施したが、サンプル外に不正が存在していた場合。
  2)全社的な内部統制が有効なため、業務プロセスの範囲を限定したが、限定した範囲以外で不正が発見された場合。
  3)能力のない内部監査人と知りつつ、内部監査を実施させた結果、不正が発見できなかった場合の上司の責任。
  4)共謀により、不正が発見できなかった場合(内部統制の限界に該当する場合)
  5)経営者に不正があった場合(内部統制の限界に該当する場合)

  3)はヤバイかもしれませんね。

投稿: のらねこ | 2007年9月29日 (土) 01時33分

 朝起きて、一番で(この時間で一番?)mailを読みました。やっぱり気になるものですから・・・・・
 皆さんの投稿を読んでいて気付いたことがあるのでひとこと

■「内部監査人=内部監査部」ではなく、「内部監査人>内部監査部だ!」

・内部監査人とは、下記の部門の人が考えられます。
  1)内部監査部の人
  2)監査部長が指名した専門性のある人
  3)経理部や財務部の人
  4)支店を評価する上記以外の執行の本店執行部門の人
  5)社内ルールに基づき他支店を監査する経理部門の人
  6)支店の営業や生産部門を監査する同じ支店の経理部門の人
  7)その他
 
 上記の中で勿論1)が独立性が高く、2)3)と下に行くほど独立性が低くなります。独立性があるかないかの話ではなく、独立性の程度と捉えて、いくつかの『組み合わせで有効かつ効率的な社内の評価体制を整備』すれば、と思っております。

 最終的には、その道に専門的な知識のある人でなければ内部監査人にはなれないような気がします。仮に、内部監査部に所属していても必要な力量や知識がなければ監査部長は監査部人に指名できないと。
 ということで、技術的な表現を用いると「内部監査人>内部監査部だ!」となります。要は、内部監査部の人だけが「内部監査人」ではないのだと。

投稿: 技術屋の内部監査人 | 2007年9月29日 (土) 11時00分

(続編)でとりあえず問題提起だけをさせていただこうかと思っていましたが、またまたコメントのほうでたいへん盛り上がっていただき、感謝しております。私は、(以前からブログで申し上げておりますが)こういった会社法と企業会計とか、会社法と金融商品取引法の「はざま」の問題をマニアックにとりあげたいという衝動にかられます。今回の内部監査人(たしかに技術屋さんの言われるとおり、内部監査室には限られないと思います)というのも、専門化された領域のお仕事になりつつあると思うのですが、なんといいましても、「実施基準」で登場してしまった以上は、その定義も重要になってきますし、法的責任論にも言及されてしまう立場になってくるものと思われます。不正検査士と内部監査人とを区分けして、そもそも内部監査人は不正発見義務などない・・・といった前提(もちろん、現時点ではそれが正しいと私も思っておりますが)に立ったとしましても、「いくら金融商品取引法が施行されたって、私は一切外部には責任を負いませんよ」といえる理屈が必要ですよね。おそらく、経営者評価はあくまでも、経営者独自でやるものであって、内部監査人は参考意見を述べるだけである、と言い切れればだいじょうぶでしょうが、評価プロセスの一部をになう・・・という言い方ですと経営者は「専門知識を有する(たとえばCIAの資格を有する)」内部監査人に業務執行をさせたのだから免責される、といった抗弁も出てくるのではないかと思います。(一方で専門家責任のようなものが浮上してくる)
内部監査人の地位がJ-SOXの盛り上がりに伴って浮上してくることはおおいに好ましいと思いますが、その内部監査人は果たして法的には無意味なのだろうか・・・、ここまで注目されてくると、経営者は能力のある内部監査人に任せておけば、内部統制システム構築義務違反の危険性からは回避されてしまう、みたいな議論が展開されないだろうか、といった問題を今後も考えていきたいと思った次第です。

ご専門の方々が、やはり悩みをお持ちであることが認識できたことに感謝しております。

投稿: toshi | 2007年9月29日 (土) 21時18分

はじめまして、某社にてJ-SOX対応の底辺でもがき苦しんでいる者です。

少し(大分?)本エントリーからははずれるかもしれませんが、
内部統制の評価という点では共通しますので書かせていただきます。

その他の業務プロセス」の評価範囲を売上高の2/3で絞り込むこと
になっていますが、「実施基準」P44で「評価対象とする営業拠点等
については、計画策定の際に、一定期間で全ての営業拠点を一巡する
点に留意」と記載しています。(「監査の実務上の取扱い」ではP31
で「一定の複数会計期間ごとに一巡するように」)

これって売上高2/3に評価対象を絞っていることとどう関係するので
しょうか?2/3の評価対象について複数期間で全拠点を評価するのか?
でも評価範囲は毎年見直さないといけないですよね?

また、「25件のサンプリング」についても、「具体的にどう営業拠点
からサンプリングするのか?」が色々読んでもよくわからないので
すが・・・
例えば「監査の実務上の取扱い」P20では事業拠点A・Bを評価対象と
していますが、事業拠点A(親会社)も普通は複数の営業拠点(支店等)
を持っていると思います。仮に10の支店をAは持っているとすると、
・10支店のうち1支店で25サンプル」でいいのか、
・「10支店満遍なく合計25サンプル」にしないといけないのか
・「10支店から2/3の支店で各支店25サンプルずつ」・・・ちなみにSOX
だと普通こうなります
どれなんでしょうね?
連結ベースで2/3になるように事業拠点を決めたのだからAは全部が
評価対象」とすると、2番目になりそうな気がしますが・・・
でもこれだと銀行のように数百単位で支店があるとどうするんでしょう?

また、この例だと、先程の「実施基準」P44からするとC・Dも3年以内
には評価しないといけないんでしょうか?

評価やサンプリングについては非常に難解な議論(少なくとも私には)
がされていますが、実際にどうやったらいいのかよくわかりません・・・

*やはり会社のパソコンから書き込めないようです・・・

投稿: ラインの黄金 | 2007年9月30日 (日) 15時24分

>ラインの黄金さん

はじめまして。コメントどうもありがとうございました。
会社のパソコンでは、ブログが閲覧できても、書き込みは不可・・・といったシステムにされている企業様が多いように聞いております。(掲示板等への内部告発の防止目的なんでしょうか?それとも単純に精勤義務違反の防止?)いずれにしましても、会社で閲覧されている方が多いので、コメントをお書きいただけないのは残念です(笑)
さて、ラインの黄金さんのご疑問は、いずれも至極もっともな意見だと思いますし、一般に公正妥当と認められる経営者評価の基準に照らしても、いずれが唯一の正解であるとは(少なくとも現時点では)いえないのではないでしょうか。
たとえば「評価範囲は毎年見直す」ことになるとは思うのですが、2年目以降の内部統制評価については前年の評価結果をある程度考慮すべきでしょうし、またリスクアプローチの観点からすると、前年評価した支店についてはリスクはかなり低減されている可能性もあるでしょうから、そういった内部統制評価の考え方からしますと、結果として複数年で一巡するような評価範囲の決定内容に近づくような気もします。
この業務プロセスに関する経営者評価の方法については、私もある程度柔軟に考えなければ息が詰まるような思いにかられてしまいます。問題点をきちんと把握しつつも、どっかで妥協する、といったようなアプローチが必要なのかなぁと。なんだか諦観しているように聞こえるかもしれませんが。
今後とも、いろいろと問題点を共有したいと思っておりますので、コメントよろしくお願いいたします。

投稿: toshi | 2007年10月 2日 (火) 02時37分

いくぶんトーンダウンする懸念も感じますが、一言二言私見を述べたいと思います。

本エントリは一年前の「内部監査人と内部統制の関係」に端を発した、以降のいくつかのエントリの流れを汲むものと心得ます。基本的には、内部監査人がその所属する企業において法定義務を背負う職能的立場から主に問われる監査実施者としての独立性・適格性の確保、またそのような専門的分野をこなして法定報告を作成する際の報告内容の適格性をどのように確保し、どのようにこれに資するか、これらが議論の核となって本エントリに継承されているかと認識します。

さて、内部監査人の独立性について端的に私見を述べたいと思います。

<内部監査人の独立性>

「自己監査は監査にあらず」と言う大原則から、たとえば業務プロセスのモニタリング(独立的評価)をするなら、その実施当事者(部署等)は駄目だと言っているわけですが、実施者が自らの実施結果を監査する場合、自らを貶めるような意見は書きにくい、あるいは書かないと言う一般的推測から、このような原理原則が存在する点はごく自然だと思います。おそらく中核や前提を成すだろうこのような点に疑義を含ませないのは配慮として十分に合理的な選択ではないかと思われます。

<具体的に「内部監査人」の独立性とは何か>

端的に、そして狭義において、財務報告に関わる内部統制の有効性を証明するための証拠収集とその評価を報告せよ、と言うのが法令による第一義的な要求であり、これを満足すれば基本的には企業はその義務を果たした事になり、これを満足しない限り、法定義務は完遂されませんが、企業の経営に携わる取締役等がこの法定義務を果たすためには、他者にこれを委託せざるを得ません。これを受託するに適格な者はと言えば、社内リソースを前提にして上記の大原則を踏まえれば、つぎのような部署が適任になると思われます。

■ IT統制・業務プロセス統制に関する内部監査人適格→非当事者で職制・権限が関与しない者

──で、まずは十分かと思われます。
ですので、会計部門がこれを行なうのは、財務報告に関わる…である以上、監査人はこれを肯定しないと思われます。これを容認すれば、監査の大原則を職業監査人自ら否定する事になります。
このような部署が組織上、経営層の下部組織として位置づけられていても、それで直ちに自己評価につながるとは思っておりません。上命下服が当然の企業ですから、企業内であればどこにいようがトップなら、圧力をかけて事実を捻じ曲げ、捏造し、闇に葬る事はあり得ます。それなら内部統制の有効性評価も監査法人に行なわせれば良い話ですが、企業の監査費用負担増を懸念したか、はたまた監査法人側のリソース不足を危惧したか、真相はともかく企業自身でやれと言う法令であれば、上記■の内容でけしからんとした場合、自己監査を否定しながら企業に報告を求める事は明白な矛盾となりましょう。(法令が企業による自己監査をこれまでにない監査の概念として定義・確立するなら話は別ですが)

今回は、監査法人による報告書の監査があるので、このような懸念は(ある程度)防止されると考えます。
しかし、話はそれますが、それより何より重要な事は監査による証明の難しさであります。以下の■が要求されます。

■ 第三者が監査結果を検証可能である

基本的には書類等の物的証拠の収集とその評価により、有効性についての良否を論証し、かつそれを例えば監査法人が検証・評価可能であると言う事ですから、これまで(一部の?)企業に存在した監査室──閑散室などと揶揄されていた部署が行なっていたものとはレベルが違うことです。おそらく、ほとんどの企業が未体験の業務(今回の法定監査)に取り組む事になると思われます。独立性を全うしても、監査の評価・査定・論証で失敗したらリソースの浪費です──すいません、論点と異なる主張で終わってしまいました。
全社レベル統制と独立性についても記載したかったのですが、あまりに長くなったのでこれで終わりとします。

投稿: 日下雅貴 | 2007年10月 2日 (火) 17時40分

>日下さん

いつもながら、たいへん読み応えのある内容で、おそれいります。あるところから「月刊監査研究」10月号の町田先生の論考を頂戴しましたので、早速読み始めております。今後のSOX法実務の動向なども参考にしながら、また日下さんのコメントへの回答等、ここではなく、エントリーのなかでまたアップしますので、よろしくお願いいたします。しかし、監査内容の検証ということが問題となりますと、本当に内部監査人もたいへんな立場になってきたんだなぁと感じます。

投稿: toshi | 2007年10月 4日 (木) 01時33分

 一寸、一言言わせていただきます。
 今回の皆さんの投稿を読んだ時、
  1)法規制等を念頭に意見を述べるか、   
  2)企業人として、まずは、会社に役に立つしくみを整備するか、もちろん法規制の考慮しないわけではありませんが、それだけで企業が成り立つわけでもなく・・・・・・、

 この2つの視点の違いがあるように感じてます。
 私は、現役の内部監査部門に在籍しておりますので、実務的に実践的にかつ経済的なことを考えながら一言。
 

><内部監査人の独立性>
>「自己監査は監査にあらず」と言う大原則から、・・・・・・
とありますが、
 Q1:今回の議論は、「自己点検」若しくは「自己評価」であって、「自己監査」ではないと思うのですが。「自己を監査する」って表現、違和感があります。そもそも「自己監査」ってないような気もしますが、いかがでしょうか。監査はそれなりのもので、レビューは監査ほどではなくて、評価は、・・・・・

>端的に、そして狭義において、財務報告に関わる内部統制の有効性を証明するための証拠収集とその評価を報告せよ、と言うのが法令による第一義的な要求であり、・・・・・・
 Q2:「と言うのが法令」とありますが、ほんとうに「法令」でしょうか。ガイドラインではないのでしょうか。あるブログ(山口氏であったような記憶も)でみた弁護士の意見(見解)ですが、裁判になったら「ガイドライン」の扱いしかされない、らしいですが・・・・・


>会計部門がこれを行なうのは、財務報告に関わる…である以上、監査人はこれを肯定しないと思われます。これを容認すれば、監査の大原則を職業監査人自ら否定する事になります。
 Q3:現実問題として、または、実務家として、「企業の会計部門がこれをこなわないこと」がある得るのでしょうか。財務部門による財務報告に関わる内部監査を行わない企業があるのでしょうか。

 業務に対する独立性って、”白黒(ある・なし)”の問題ではなく、「独立性の”程度”(高い・低い)」の問題ではないのでしょうか。恐らく社長直属の監査部門が組織上は一番独立性が高く、つぎに、監査部門長が指定した監査した専門能力のある内部監査人(但し、監査部門と一緒に監査するほうがいい)が続き、さらに、財務部門の監査、執行部門の自己点検・・・・・・と段々と独立性が低くなっていく、と私は捉えております。
 
 要は、自己点検がしっかりしていれば、独立的な評価はそれなりで十分であり、逆に、自己点検に問題があれば、独立性の高い評価を行わなければならないと。監査部門も評価するし、財務部門も評価するし、執行部門も自己点検する。これらをいかに効率かつ有効的に組み合わせるかが腕の見せ所ではないのでしょうか。

 考え方は、もう、皆さんそれなりにわかっていて、実際どこの誰が何をどうするのか工夫しています。それが実務です。実際、どうするのかの事例が欲しいですね。ある歴史的にも有名な哲学者が、奥さんに「そんなことばかり考えたって、生活できないわよ!」って言われて、なにも言い返せなかったとか・・・・・。

投稿: 技術屋の内部監査人 | 2007年10月 4日 (木) 18時10分

「何のために議論するのか」を常に意識することは重要ですよね。

まず、わかりやすいのは、金商法上の内部統制システムを構築しない場合、罰則はあるか?ということですよね。「法令上の制度」となった以上は、なんらかの罰則があるのかどうか。
適正意見がもらえなければ過料となるのか?
監理ポスト行きとなって上場廃止と進むのか?
虚偽報告となって刑罰や課徴金が課されるのか?
取締役に「法令違反」行為が認められ損害賠償責任が発生するのか?
そもそも「適正意見」がもらえないこと自体が罰則なのか?

こういったところで内部統制報告制度を考えますと、ご指摘のような企業の管理行為としての「効率性向上のための」内部統制システム構築との対比が少しだけ明確になるのでは・・・と思っております。なお「法令」というのは私の場合、会計基準もこれに含む意味で使用しております。
「ガイドライン」については、特別に裁判規範になるものではないと考えておりますが、ただしガイドラインに沿った実務が長年慣行となった場合には、会計基準もしくは慣習法としての効力が発生するケースもあります。また、たとえ法令としての意味がないとしましても、ガイドラインがソフトローとしての社会規範的意味合いを持つこともあります。(実際、これが最も問題だったりします)

しかし、事例にそって検討する、というのもおもしろいかもしれませんね。ブログで果たして議論になるかどうか、ちょっとわかりませんけど。

投稿: toshi | 2007年10月 5日 (金) 02時46分

 財務諸表監査はこれまでどおり監査法人によって行われ、
 「適正に表示されている」と認められている。
 内部統制監査は当社においては行わない。監査法人はこれについては
 当然「意見不表明」となる。

もしもこういう上場企業があった場合、どういうことに
なるのでしょうか?
内部統制報告書は、形式的には提出するんですが、実施してないという
事実を書くわけです。つまり「虚偽」ではない(笑)。

「やむをえない事情」として「費用対効果という観点からこの実施に
 ついては行わないことが適切だと考えている。なお、当社において
 財務諸表に係る内部統制については適切に構築・運用している」
と記載します。

まあ、金融庁に対して喧嘩を売ってるわけですが(笑)、
出すことは出しているという(屁)理屈は成立します。
こんなのダメだと突っ返された、つまり再提出を求められた際にこそ
訴訟ということになるわけです。
あ、再提出しなかったら、金融庁が直接が乗り込んでくるでしょうから
それからですかね。

やらないですけどね、うちは。法的に適正に対応します(笑)。

投稿: 機野 | 2007年10月 5日 (金) 10時24分

●「具体的な事例」を取り上げて意見を交換する、ことの例示を考えてみなした。知っている方、教えていただければ幸いです。
 
 <J-SOXの場合>
 Q1:内部統制府令で規定する一般に公正妥当な基準として、企業会計審議会の「基準」が該当するとしているが、この「基準」には「実施基準」を含むか、それとも含まないのか。

 Q2:この「実施基準」は、「裁判規範」になり得るか。
   例えば、実施基準には、いくつかの例示があるが最終的には、企業が決めるものとの表記があり、「裁判規範」の視点では、これをどう解釈したらいいのか。

 Q3:「内部統制府令ガイドライン」は、「裁判規範」になり得るか。

 Q4:10/2公表の例の「Q&A」は、「裁判規範」になり得るか。

 Q5:今公開している会計士が使う通称「実務指針(案)」は、「裁判規範」になり得るか。

 
 もし、これらが、「裁判規範」にならなかったら、いろいろな問題が起きたときどうなるのか想像がつきません・・・・・。


 どなたかご意見をお持ちの方教えてください。
 

投稿: 技術屋の内部監査人 | 2007年10月 6日 (土) 12時39分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: 続・COSO「モニタリング・ガイダンス」と内部監査人:

« 上場審査厳格化ルールの実効性 | トップページ | 金融商品取引法と買収防衛策の関係 »