内部統制報告制度における内部監査人の役割
イソライト工業さんが、連結子会社(イソライト建材)の不適切な会計処理に関して改善状況報告書(大阪証券取引所宛)を提出しておられます。不適切な処理の原因事実や、それに対応する改善方法、および会計士の資格を有しておられる内部監査人による改善状況など、いろいろと参考になりますね。子会社の内部監査や実際の棚卸し資産の監査にあたっては、会計士の先生が内部監査人となってチェックされているんですね。
さて、本日(9月11日)は朝から、来年新規公開を予定している某会社のリスク管理委員会に出席してきましたが、ここでもやはり「内部監査人をどうするか?」議論になっておりました。とくに不適切な会計処理があったからではなく、監査法人さんからの指摘で、いわゆる「財務報告に係る内部統制」を整備する一環としての内部監査人の選定に関するものであります。このブログにおきましても、過去に内部監査人と内部統制の関係とか、内部統制の重要な欠陥と人材流動化リスク などのエントリーで内部監査人の立ち位置(ポジション)について議論してきましたし、たいへん有益なコメントも頂戴してまいりましたが、財務報告に係る内部統制における内部監査人の役割といった問題は、けっこうホットな話題になってきているのではないでしょうか。
旬刊経理情報1159号の特集記事「内部統制の評価はこうする」や、内部統制実務書の新刊である「内部統制の実務Q&A(新日本監査法人 編)」(東洋経済新報社)における「内部統制の評価体制の検討事項」などを読みますと、「経営者による有効性評価」の実際の担い手は内部監査人であることが原則のようであります。私の理解では、経理財務部門の担当者が有効性評価をして、その評価内容をあらためて精査するのが内部監査人と認識していたのでありますが、(それも間違いではないようですが)原則的には内部監査人自身が経営者評価の主体とみるのが主流的見解のようですね。(ちなみに、以前ご紹介いたしました「COSO簡易版ガイドライン」の和訳本によりますと、専任の内部監査人を選定できないような規模の小さな上場会社であれば、たとえば別のラインを担当している経理担当者どうしが、相互に普段業務プロセスに関与していないラインについて客観的に監査し合う、ということで独立性を担保する方法も紹介されております。)
しかしながら、上記のように内部監査人が内部統制テストを責任をもって実施する体制をとる場合、この内部監査人が適正に有効性を評価できるだけの能力を有していることは、いったい誰が評価するのでしょうか?もちろん実務的には内部監査人によるテストだけでなく、経理財務担当社員によるチームのテストや自己点検を利用したテストなどを組み合わせて実施することが一般的といった記述もありますが(上記「内部統制の実務Q&A」)たとえそうであったとしても、内部監査人によるテストを実施する以上、同様の疑問は拭えません。「内部統制の重要な欠陥と人材流動化リスク」のところでも書きましたが、業務プロセス評価や決算財務プロセスの評価といったあたりはかなり専門的な財務会計的知見を要することは明白でありますから、その「知見」のところで内部統制監査人と意見が食い違ってしまうと「重要な欠陥リスク」を背負うことになりますよね。以前、内部統制システムの整備を担当されていらっしゃるhisaemonさんも頭を悩めておられましたが、このあたり、(誤解をおそれずに申し上げますと)内部統制監査を担当される監査人さん方は、指摘する気持ちはあるのでしょうかね?漏れ聞くところによりますと、アメリカのSOX法元年には12%もの上場企業の内部統制が有効とは認められなかったそうで、そのうち大半は人材リスクに関するものであったと記憶しております。日本でも、もし重要な欠陥があると評価されるのであれば、そういった人材の能力不足を監査先企業に問うことは可能なのでしょうか?それともこのあたりは、アメリカとちがってダイレクトレポーティングが採用されていないことを理由に消極的にならざるをえないのでしょうか?そもそも先の「内部統制の実務Q&A」にもありますが、内部監査人に求められる業務としては、コンサルティング業務から次第に保証業務に移りつつある、とのことですし、この流れは内部統制報告制度が実施されることとも整合性があろうかと思います。しかし「保証」するのが業務であるならば、やはり保証できるだけのレベルに達しているかどうかが非常に重要なわけでして、そのあたりを曖昧にしたままでは制度自体に破綻をきたすのではないでしょうか。また、このあたりが曖昧であるということは、結局のところ監査人が自信をもって重要な欠陥が疑われると述べることができるのは、自ら財務諸表上での虚偽表示が見つかった場合に「結果責任」を問える場合のみであって、これではなんのための内部統制報告制度なのかわからなくなってしまいますよね。(虚偽表示のリスクを開示するための制度であるにもかかわらず、虚偽表示が認められた場合に「重要な欠陥あり」・・・ではお粗末ですよね)
もうひとつ疑問なのが「自己点検」であります。実施基準によりますと、「日常の業務を執行する者、又は業務を執行する部署自身による内部統制の自己点検は、それのみでは独立的評価とは認められない」とのことであります。一方、一般的に見まして、内部監査人は会社法上の内部統制の基本方針におきましては、「損失の危険の管理に関する規程その他の体制」のなかで「内部監査部門がグループ各部門毎のリスク管理の状況を監査し、その結果を定期的に総務担当取締役もしくは取締役会に報告する」と定められております。内部統制報告制度も、純然たる「財務報告の信頼性を阻害するリスクの管理」であることは間違いないでしょうから、内部監査人の日常の業務は業務プロセスのなかにおいて「運用」状況の評価対象になるわけですよね。そうしますと、評価の基準日におきまして、そういった運用状況を内部監査人が評価することは実施基準が認めていない「自己点検」になってしまうんじゃないでしょうかね?
長々と書き連ねてしまいましたが、最近の内部統制報告実務に関する雑誌や書物を読んでおりまして、実際に内部統制コンサルティングに関与されていらっしゃる方々の経験に基づく指針が豊富に記載されるようになっておりまして、それはそれで内容がわかりやすくなってきたなぁ・・・と感じるのではありますが、経営者による評価の適法性を監督しなければならない「監査役」という立場から見た場合、どうも理屈のわからないところも顕在化してきたように思えますし、監査役が連携協調しなければならない内部監査人に何を期待すればいいのか・・・といったところが、もすこし理解しやすければありがたいと思っております。(ちなみに本文で引用させていただきました「内部統制の実務Q&A」、ここまでいろんな議論がなされてきての一冊ですので、非常に読みやすく、参考になります。また、旬刊経理情報1159号の特集記事につきましても、このブログで盛り上がりましたサンプルのとり方を含む内部統制評価方法が、かなり詳しく解説されておりまして、こちらも必読かと思います。しかしどなたかがおっしゃっておられたように第1フェーズから第2、第3フェーズと進むにつれて、まだまだいろんな問題点が出てくるんじゃないでしょうかね)
| 固定リンク
コメント
コンピュータ屋です。
おはようございます。
たしかに、最新の経理情報に「経営者による有効性評価の実際の担い手は内部監査人」、言っていますね。しかし、私も山口先生がおっしゃるように「経理財務部門の担当者が有効性評価をして、その評価内容をあらためて精査するのが内部監査人」と思っております。
内部統制制度も内部監査の対象のひとつです。
内部監査人がその制度の中に参加してしまっては、内部監査もムリがあります。
とはいえ、限られた資源で限られた時間内で内部統制評価をせざるを得ないことを考えたら、できる人がやらざるを得ません。
「こんなあほな内部統制評価制度」(どこから会計士さんがのたまっていました)、とりあえず初年度は潜り抜けるしかないのでしょう。
2年目以降からは、人材の確保や独立性のこと本気で考えるしかないと思います。(特に中堅規模以下の会社)
また、私も内部監査人の端くれなので、気にしていたテーマです。
一番の気がかりは、日本内部監査協会から何のコメントも出ていないことです。
などなど、私もブログしています。余計なことですが、見てやってください。
「▲内部監査人のJSOXに対する係わり 」
http://blogs.yahoo.co.jp/tsujisdd/49816409.html
投稿: コンピュータ屋 | 2007年9月12日 (水) 10時39分
はい、この問題、社内でも見解が分かれてます(笑)。
具体的に書くことは差し控えさせていただきますが、
「内部監査原理主義」と「現実主義」のギャップとでもいいましょうか
「内部統制システム整備・運用過程の外側にいて(ノータッチ)、
完成された状況(内容)を経営者に代わって評価する」
という考え方と
「内部統制システムの整備・運用状況評価から関与する」
という考え方。
後者は当社を担当している某大手監査法人の考え方です。
それに対して、「そういうことを行うことは当該システムの一部と
なることであり、自己評価(上述されている「自己点検」?)することと
なって、原則に違反する行為である」と考える者もいます。
いずれはすりあわせをしないといけないのですが、
どうすればいいんでしょう(自苦笑)。
あと、監査役がどう関与するのかについての議論は全くといって
深まっていないような気がします。
「我々の仕事は会社法上の内部統制システムの構築(のチェック)であって
金商法上のほうは最終的に監査法人の作る監査報告書を確認するだけ
でしょ? 他に関与のしようがないよ」
というのが、どうやら本音のような気がするんですけどね。
投稿: 機野 | 2007年9月12日 (水) 10時43分
>コンピューター屋さん
こんにちは。CIAの資格をお持ちなんですね。ここ5年ほどで、たしか受検者数も、合格者数も10倍程度になったとか・・・内部統制の議論の高まりによるものでしょうね。
そちらのブログを拝見いたしました。なるほど、内部監査室といっても3とおりほどの対応があるわけですね(笑)社内のエリートコースの「腰掛」的なイメージしかない会社もありますよね。(本当にそれでいいのかどうか・・・)
たいへん遅ればせながら、コンピューター屋さんのブログをお気に入りブログのなかにリンクさせていただきましたので、ご了承ください。
>機野さん
いつもコメントありがとうございます。
コンピューター屋さんの見解と同じく、内部監査人の立ち位置についての考え方は「思ったよりも」分かれているんですね。理論が錯綜していると言うべきなのか・・・
>あと、監査役がどう関与するのかについての議論は全くといって
深まっていないような気がします。「我々の仕事は会社法上の内部統制システムの構築(のチェック)であって金商法上のほうは最終的に監査法人の作る監査報告書を確認するだけでしょ? 他に関与のしようがないよ」というのが、どうやら本音のような気がするんですけどね。<
これはショックです。(涙)
日本監査役協会「内部統制システムに係る監査の実施基準」13条では財務報告内部統制に関する監査役による監査が規定されております。基本的なスタンスは会計監査人(正確には内部統制監査人)とは別に、財務報告内部統制についての相当性の判断を行って、そのすり合わせを最終的に行うというのが監査役の姿勢かと思います(月刊監査役 7月号「内部統制と監査役の果たすべき役割」鼎談記事における武井一浩弁護士発言より)そのなかで、所轄部署に専門的知識を有する者が配置されているか、といった点に関する検証も求められています。監査役が果たして内部監査人の専門的知識をどれだけ検証できるか?というツッコミをいれられそうですが、やはり無関心というわけにはいかないと思っております。
投稿: toshi | 2007年9月12日 (水) 12時21分
こんばんは。
機野さんが書かれていた、
『「内部統制システム整備・運用過程の外側にいて(ノータッチ)、
完成された状況(内容)を経営者に代わって評価する」
という考え方と
「内部統制システムの整備・運用状況評価から関与する」
という考え方。』
私のところでもありました。
で、結局どうなっているかというと、前者を語っている人は結局いまだに内部統制の評価で、何を理解し何をしなければ実務として評価活動ができるようにならないかが解らないままでいます。
私の場合、すり合わせができなかったので、理屈をつけて経理部門に異動させてもらいました。
異動した経理部門では、
「評価は評価部門がするにしても、財務方向に関して内部統制を構築するのは経理部門なんだから、構築している内部統制が評価され、監査されるのに耐えうるか確認しておかないとまずいですよね」
ってことをきっかけに、確認の活動を開始することができて、
確認の活動をするためには、どんな視点でどんな手続きをもって評価、監査されるのかを必然的に知らなければいけなくなって、
結果、現在活動しているメンバーたちは評価に関して検討している部門よりも内部統制の評価について理解し体得しています。
その他コメントしたいことはいろいろとあるのですが、ありすぎてまとまりがなくなりそうなので、個別項目的にコメントさせていただきます。
『人材の能力不足を監査先企業に問うことは可能なのでしょうか?』
問うことは可能だと思いますが、能力不足を示す具体的な事実関係の積み上げがあった場合になるんではないかと思います。監査手続きの一環としての経営者ディスカッションや経営者確認書のようなことを、評価部門や経理部門のものに実施して、能力を確認することはあまり考えられませんし。
で、どんな事実関係かというと監査人とのコミュニケーションにおいて見当違いな質問や意見を言ったりとか、会計処理の方法について教えてもらおうとしたりとか(協議ではなく)、会計処理にあたって拠りどころとなる該当する会計基準等を認識していなかったりとかですかね。
『このあたりが曖昧であるということは、結局のところ監査人が自信をもって重要な欠陥が疑われると述べることができるのは、自ら財務諸表上での虚偽表示が見つかった場合に「結果責任」を問える場合のみであって』
財務諸表の監査の結果、虚偽表示ではないことは確認できたものの、まったくコントロールが行われていない、もしくは行っているコントロールが十分でない場合には、虚偽表示がなくても内部統制監査において重要な欠陥ありと意見できます。
これらについて、監査人の基本的スタンスは「はっきりと突きつける」であることは間違いないと感じています。
あとは、目に見えない様々な力との加減の中、形骸化することのないよう、不合格の会社数が合格の会社数を明らかに上回ってしまうことであきらめムードだけが蔓延しないよう、悪い方向にいかない按配(業種別に同等規模の会社で見たときに良い会社もあれば悪い会社もあるという状態)での調整が入るのだろうとは思いますが。。。
会社としてはとやかく言っていたり考えてばかりいないで、最善を尽くすことに力を注いだほうが良いように思いますが、いかがでしょうか?
投稿: HISAEMON | 2007年9月13日 (木) 03時10分
>hisaemonさん
こんばんは。示唆に富むご意見、本当にありがとうございます。
現場の雰囲気が伝わってくるようで、参考になります。とりわけ経理部門のお話はナマナマしくて勉強になります。
「財務諸表の監査の結果、虚偽表示ではないことは確認できたものの、まったくコントロールが行われていない、もしくは行っているコントロールが十分でない場合には、虚偽表示がなくても内部統制監査において重要な欠陥ありと意見できます。」
このあたり、とても興味があります。おそらく上場企業であれば、どこの企業でもそれなりの財務報告に係る内部統制システムが(以前から)構築されているでしょうから、財務諸表の虚偽表示が認められてもいないのに単なる「不備」というのではなくて「重要な欠陥」と評価されるものがある、という事態はいったいどのようなものか、とても関心があります。もちろん経営者自身が「重要な欠陥」と評価するのであれば、それまでの内部統制システム構築に無関心だったことを自白するようなものだと思いますが、経営者は有効と思っているが、監査人が公正妥当な内部統制監査の基準にしたがうと適正意見は表明できない、という事態は、いったいどれほど自信をもって理由を述べられるのでしょうか。ぎゃくに、経営者は重要な欠陥あり、と評価しているにもかかわらず、監査人は自信をもって、いえ重要な欠陥ではありませんよ、と不適正意見を述べられるのでしょうか。できましたら、こういった会計基準の解釈の実例集みたいなものを、大手の監査法人さんのほうで公表していただくと、非常に参考になると思うのでありますが。
「会社としてはとやかく言っていたり考えてばかりいないで、最善を尽くすことに力を注いだほうが良いように思いますが、いかがでしょうか?」
ご指摘のとおりです。時間があまりないもので、最善を尽くすしか方法がありませんです。(笑)ただ、この内部統制の問題は、最善を尽くすからこそ、次から次へと疑問が湧いてくるわけでして、「とやかく言っていたり、考えていたり」するだけでは疑問が湧いてこなったのです。おそらくこれからも走っているなかにおいて、次から次へと疑問が尽きないと思いますので、どうか今後とも(お見捨てなく)ご指導よろしくお願いいたします>hisaemonさん
投稿: toshi | 2007年9月13日 (木) 19時56分
初めてコメントします。
7月からJSOX専担となった金融機関の内部監査人です。それまでも部内プロジェクトとしてはJSOX対応に関わっており、このブログはいつも参考にさせていただいておりました。
「内部監査人が適正に有効性を評価できるだけの能力を有していることは、いったい誰が評価するのでしょうか」
確かに悩ましい問題でありますが、金融機関の場合、経営者が財務諸表作成に係る内部監査の有効性を確認している旨、有価証券報告書またはディスクロージャー誌で開示していることをご存知でしょうか。これは金融改革プログラムで登場し、17年10月に金融庁の要請という形で上場・非上場にかかわらず全業態の金融機関に求められたものです(監督指針にも参考として件名が残っています)。
本来は内部統制の有効性を確認すべきところかと思うのですが、各行とも要請文どおり内部監査の有効性としているようです。
それでは一体どうやって内部監査の有効性を評価しているか。できればIIAの基準に照らして定期的に外部評価と内部評価を行うべきなのでしょうが、大半のスタッフが監査の専門職でなく、監査役等独自の制度が並存する日本の場合、そのハードルは高いと思います。
何とかJSOX対応を通じて内部監査の専門的能力を組織的に高めて行きたいものですが・・・
投稿: JSOX専担になった内部監査人 | 2007年9月13日 (木) 23時30分
こんばんは。
『会社としてはとやかく言っていたり考えてばかりいないで、最善を尽くすことに力を注いだほうが良いように思いますが、いかがでしょうか?』
この表現につき言葉足らずで申し訳ありませんでした。
おっしゃる通り、内部統制は最善を尽くせば尽くすほど、次から次へと疑問が湧いてきます。実際、最近プロジェクトメンバーの質問が非常に質の高い核心をついたものになってきております。そんな皆の能力の高まりを嬉しく思いつつ、時にそれにうまく答えられない自分に悲しくなったりと。。。
ここで言いたかったのは、意外に最善を尽くす行動を起こすことなく、頭ばかりを使っている方がまだまだいるようであれば、「とにかく考えてみたら、その考えで動いて見てください。」ということをそんな方に伝えたかったのです。
まさに、
「求めよさらば与えられん」
「尋ねよさらば見出さん」
「扉を叩けさらば開かれん」
ていう感じです。
でも、扉を開けばすっきりするかというとそうではなく、山口先生がおっしゃる通り、今まで見えなかった問題が良く見えるようになるんですよね。
『上場企業であれば、どこの企業でもそれなりの財務報告に係る内部統制システムが(以前から)構築されているでしょうから』
この「それなり」が業務の有効性よりも効率性を重視しすぎて、「それなり」とはいえない状態になっている場合は多いように思えます。
例えば、能力のある担当者を配置することでチェックをやめてしまっていたり、システム化による効率性と内部統制の実現により、業務を行う人間から内部統制の意識が希薄になり、いつの間にか人手で行っていた内部統制の部分が、そもそも想定していた業務内容と違う形に変わってしまっていたり、そして、その変化に誰も気づいていなかったり。
とはいっても、これらは内部統制の本番年度前の活動を通じて見つかると思います。あとは、そのような是正・改善しなければいけない状況がどれほどつくられてしまっているか次第です。
『経営者は有効と思っているが、監査人が公正妥当な内部統制監査の基準にしたがうと適正意見は表明できない、という事態は、いったいどれほど自信をもって理由を述べられるのでしょうか。』
なかなか現実的に起こりそうな具体例を示せないのですが、このようなギャップが出た場合のポイントは「リスクの認識と評価」だと思います。
(ここで使う「リスクの認識と評価」は全社的な内部統制の構成要素の点だけを言っているのではなくて、業務プロセスレベルも含めたあらゆるレベルの局面での「リスクの認識と評価」とご理解ください。)
ここにギャップがある場合が多いのではないでしょうか。
最近の財務諸表監査でも見積もりや引当に関しての見解の相違で、決算数値が予想から大幅に修正されるケースがあるように、この点に関しては自信をもって理由を述べてくるように思います。
『ぎゃくに、経営者は重要な欠陥あり、と評価しているにもかかわらず、監査人は自信をもって、いえ重要な欠陥ではありませんよ、と不適正意見を述べられるのでしょうか。』
これはかなりレアなケースだと思いますが、これについてもポイントは「リスクの認識と評価」だと思います。
そもそもリスクを認識するポイントが外れている場合だと思います。
ポイントが外れてなければリスクの評価が監査人よりも厳しいだけということですから、不適正意見とはならないと考えます。
(業務の有効性と効率性の目的が達成できているのかは別として。)
『できましたら、こういった会計基準の解釈の実例集みたいなものを、大手の監査法人さんのほうで公表していただくと、非常に参考になると思うのでありますが。』
現在公開草案のステータスの日本公認会計士協会の委員会報告以上のものはなかなか出ないと思います。
監査法人がこの委員会報告とは別に何か公表することはとても考えられません。(監査法人内部的に作成されるとは思いますが。)
あとは、実際に本番が始まってから日本公認会計士協会が追加的に委員会報告等を公表するかもしれません。
あくまで、財務諸表監査や内部統制にからんで会計士の方々とのコミュニケーションから推測された私見にすぎませんが。
投稿: HISAEMON | 2007年9月14日 (金) 02時37分
>JSOX専担内部監査人さん
はじめまして。コメントありがとうございます。
金融機関における内部監査確認書の件、存じ上げませんでした。ご教示ありがとうございます。どうやって確認するのか、といったあたりに悩ましい問題がやはりあるんですね。。。「確認書」をとりつける本来の目的を考えますと、あまり深く考えないほうがいいのかもしれませんが。しかし金融機関となりますと、IT監査あたりも重要かと思いますので、常にスキルアップは必要ですよね。とりわけ検査にも対応できるものが必要かと思いますので、ぜひ詳しいところをまたお聞かせください。今後ともどうかよろしくお願いします。
>hisaemonさん
前半部分について
私はシニカルな気持ちで書いたのではありませんので、それだけはご理解ください(笑)現場感覚をhisaemonさんのコメントからなんとか学びたいという一心です。
現場で支援されているコンサルタントの方が、みなさんhisaemonさんのようにぽんぽんと回答いただけるとありがたいと思いました。とりわけご指摘の「リスクの認識と評価」ということですと、現場の担当者と監査する側の人が対話をすることで前進できますよね。そのなかで現場担当者自身も成長していかなければいけませんよね。
また、前進するなかでいろいろとツッコミドコロが出てくるかもしれませんが(笑)、ぜひまたご意見いただければ幸いです。
投稿: toshi | 2007年9月15日 (土) 20時29分