« 情報管理と内部者取引(インサイダー)リスク | トップページ | リスク管理の成功体験は共有できるか? »

2007年11月26日 (月)

J-SOX「重要な欠陥」リスクを考える

私のブログで八田進二教授の著書をご紹介いたしますと、またいろいろなご意見、コメントを頂戴することになると思いますが(^^;、昨年出ました「これだけは知っておきたい 内部統制の考え方と実務」の続編(いや、続編ではなく姉妹編でしょうか?)が出たようですので、お知らせいたします。

Hatta_naibutousei 「これだけは知っておきたい 内部統制の考え方と実務(評価・監査編)」 (八田進二著 日本経済新聞社 1700円税別) 帯広告では「よくある誤解をズバリ指摘! 誤解しやすい7つのポイントを企業会計審議会・内部統制部会長が徹底解説!」とあります。260頁ほどのうち、3分の1が「実施基準」の掲載となっておりますので、実質は180頁ほどの著書だとお考えになってもよろしいかと思います。多くの上場企業にとりましては、すでに第1フェーズから第2フェーズへと走りだしているところも多いと思いますが、今一度、金商法における原点に帰って、実施基準に基づく経営者評価、監査について問題点を整理するためにも、ご参考にされてはいかがでしょうか。(ただ、私のブログを閲覧されていらっしゃる方々は、すでに金融庁Q&Aや、7つの誤解の話題を含めまして、最近の八田先生の講演等もお聞きになっておられる方が多いかもしれませんので、そういった方々には内容的には少し繰り返しになるかもしれません。なお、すでに読まれた方がいらっしゃいましたら、上手な活用法などを含めまして、ご意見などいただけましたら幸いです)

ところで、八田教授もこの著書のなかで指摘していらっしゃいますが、今後の内部統制報告制度(財務報告に係る内部統制報告制度)の論点として、経営者による内部統制評価の基準として「どこまでは不備で、どこからが重要な欠陥なのか、明確な判断基準は形成されるのか」といったところが大きな関心事になってくるのではないでしょうか。八田教授も、上記著書のなかで(89頁以下)、「日本の場合、経営者と監査人の間で意見が食い違う場合が出るかもしれない」と述べておられますし、いったいどのような事情について、どのような基準で経営者は評価すべきであり、また監査人は監査すべきであるのかは、まだまだ議論が煮詰まっていないところだと思います。

この点につきましては、八田教授も上記新刊書のなかでも参考にされておりますが、「週間経営財務」の2841号(2007年10月22日号)におきまして、町田教授が「内部統制の重要な欠陥の検討(アメリカにおける事例の分析)」といった論稿を出されておりまして、アメリカSOX法が開始された2004年、2005年の「重要な欠陥」(重大な欠陥?)とされた事例から(日米ではいろいろな導入の前提が異なることは承知のうえで)、日本における導入後の実務を分析されています。たとえば、これを(どういった内容で重大な欠陥とされたか、という)種類ごとにグラフにまとめますと、以下のとおりとなります。

Naibutousei003

こうやってアメリカのこれまでの「重要な欠陥」(重大な欠陥)と評価された事例の集計をみておりますと、「人材」「経理手続」「会計処理」の面において「重要な欠陥あり」と判断されるケースが圧倒的であり、それ以外の統制環境や、内部統制の有効性を評価する範囲やその評価方法が適切でないこと、モニタリングや文書化が適切でないことが「重要な欠陥」とされているケースがかなり少ないことが認識できます。

この結果につきましては、米国の内部統制評価報告制度が、財務報告終了後に、その運用状況が評価、監査されることとなるので(会計処理上のミスが発見されますと、それをもとに重大な欠陥とみなされるケースが多くなり)、四半期決算における内部統制の検証によって、前倒しで評価されるであろう日本におきましては、上記の結果がそのまま妥当するわけではないと考えられております。(先の町田先生のご意見)たしかに、この当時の米国制度におきましては、トップダウン型のリスクアプローチが採用されていなかったり、ダイレクトレポーティングが採用されていたりしておりますので、このまま米国の運用結果が今後の日本の運用にそのまま参考になるわけではないと思われますが、それでもある意味、今後の日本における運用の方向性は示しているのではないかと思っております。

まずひとつめとして、「人材」「経理手続」「会計処理」といった点に関する評価の是非については、会計専門職たる監査人は自信をもって判断結果を述べることができる、といった点であります。上記グラフの他の項目と比較しますと、会計士さん方にとってみれば、内部統制が有効であるかどうか、の経営者の評価について、監査人自身の意見を述べやすいことは当然だと思われます。それと比較して、「統制環境」や「職務分掌」「モニタリング」「文書化」あたりにつきましては、それ自体を会計士さんが評価をして、経営者の考え方と食い違う場合であっても、「重要な欠陥」とまでは自信をもって判断できるだけの判断材料を持ち合わせていらっしゃらないのかもしれません。(なお、すでにこのブログでも何度か取り上げましたが、経営者が、自社の「人材」について「うちの人材では、財務報告の信頼性を確保できるほどの人間はいない」と公言されることはほとんど考えられませんので、ここは監査人によるご意見について問題となろうかと思われます)

つぎに各事例の中身を調べてみますと、整備状況と比較して、運用状況のほうが重要な欠陥と結びつきやすい・・ということであります。このことは、内部統制の整備につきましては、概ね企業に(どのようなシステムを整備するか、について)かなり広い裁量が認められているのでありまして、その裁量のもとで整備されている内部統制システムそのものへの評価はなかなか重要な不備とまでは言えないのかもしれません。ただ、運用状況となりますと、具体的に発見されたミス(四半期報告書の訂正や、決算財務報告プロセスにおける見積もり方法が適正でないことなど)との関係を明確に示すことが可能であったり、整備(構築)の改善よりも、運用の改善のほうが可視性が高かったりしますので、要するにいったん整備されたシステムの改善を放置しているような企業については、その有効性を否定しやすい、といった事情があるのかもしれません。

最後に、上記2点の結果として、「重要な欠陥」に該当するかどうかは、目に見える形での結果責任として問われる可能性が高いのではないか、ということであります。サンプリングの結果として、不備が発見されることはあるでしょうが、それが重要な欠陥であり、内部統制の有効性を否定するに至るものであるかどうかは、(実施基準による判断を行うとしても)かなりムズカシイところになるのではないでしょうか。

さて、こうやって推測してみたところと、実際に実施基準(財務報告に係る内部統制の評価及び監査に関する実施基準)のなかで「重要な欠陥」の判断例として掲示されているところを比較いたしますと、そこに大きな乖離があることに気が付きます。おそらくリスクアプローチの手法を用いて経営者の評価、監査人の監査がなされることを前提としているころから由来する乖離だとは思いますが、さて、現実には経営者と監査人とが意見において食い違うことが予想されますのは、どちらかといいますと、先に掲げたような場面においてではないかと(私は)思っておりますので、私的には、各企業における「重要な欠陥」と評価、監査されるリスクの中身を、上記のような比較におきまして考察してみたいと考えております。

|

« 情報管理と内部者取引(インサイダー)リスク | トップページ | リスク管理の成功体験は共有できるか? »

コメント

朝一番に新宿にて入手しました。

ざっと読んだだけですが、
うーん、予想通り大したことは何も書いてませんね。
いい商売です。。。

そもそもダイレクトレポート方式での外部監査人による「不備」「欠陥」と、
日本での経営者が自ら表明させられる「不備」「欠陥」は
根本的に異質のものではないでしょうか。
並列に記述すること自体、問題だと思います。

外部監査人側と経営者側とが意見対立して、結局USA-SOX基準の
「不備」「欠陥」が監査人から押し付けられるのだとしたら、
それは単なる「外部監査人が楽するダイレクトレポート」です。

投稿: 機野 | 2007年11月26日 (月) 13時55分

重要な欠陥ですが…
そもそも決算月で不備・欠陥がなければ、(期中に何が発見されていようとも)報告しなくても良いとか、ロールオーバの考え方などを引き合いにしながらこの「重要な欠陥」を考えるとイロジカルな印象を拭えません。
このような状況から言えば、重要な欠陥とは正確には──

1.期末月で是正出来なかったもの かつ、
2.ロールオーバで是正出来なかったもの

以上から評価される事になると思われ、期末が良ければ期中に何があってもそれは問わないと言う報告制度の趣旨を理解しかねています。
もちろん、内部監査調書にはそれらが発見され、査定・是正されているのでしょうが報告書には載せなくていいわけですから、この結果オーライ主義はなかなか理解が難しいです。

投稿: 日下 雅貴 | 2007年11月26日 (月) 14時27分

何度もすみません。
八田氏の揚げ足取りをするつもりはありませんが。

・コスト負担は避けられる「はず」だ
・経営トップの不正を抑制できる「はず」だ

あるかどうかも分からない絵に描いた餅を夢想して理想を説いているあたり、
どこか精神的な啓蒙書っぽい感じですね。
世界中どこの国でもこんな制度を実施もしてないのに
何故そんなことが言えるんでしょうか?
まあ、実際にコスト負担が増えても経営者の不正が防げなくても
「個々の会社のやりかたが悪い」と仰せになるんでしょうね、きっと。

(経営者の不正防止のくだりはむしろ会社法の内部統制のことを
 述べているような気がしました)

投稿: 機野 | 2007年11月26日 (月) 15時38分

八田先生のご解説は、この「評価・監査編」よりも、「会社法務A2Z」の12月号の特集記事のほうが参考になると思います。
なお、監査法人としても、最近は各企業における内部監査人の人材育成に力を入れつつあるところです。(あくまでも支援業務として)

投稿: しこたま | 2007年11月26日 (月) 17時17分

横レス失礼します。

>経営者の不正防止のくだりはむしろ会社法の内部統制のことを述べているような気がしました

これ……あの八田先生が会社法にも言及しているようなのですか?
(興味がそそられず)読んでいませんが何だか少し変ですね。

経営者不正の抑制が出来るはず──これは内部統制の整備構築・運用は経営者の責任だよと法で決めた事を指していると思われますが、内部統制の限界を自ら巻き起こして内部統制世界を滅する事の出来る経営者。
その経営者が統制の適正を報告する制度──すでにこのサイトで指摘された矛盾ですが、この内部報告制度に不備・欠陥がない事を祈ります。
本当に企業を正し効率化を促して意義ある制度になって欲しいと思います。

投稿: 日下 雅貴 | 2007年11月26日 (月) 17時29分

度々失礼します──熟読しまして…。

>サンプリングの結果として、不備が発見されることはあるでしょうが、それが重要な欠陥であり、内部統制の有効性を否定するに至るものであるかどうかは、(実施基準による判断を行うとしても)かなりムズカシイところになるのではないでしょうか。

これはままあるかと思われます。

1.サンプリングを行なった結果、不備が発見された。
2.当該コントロールは全社レベル統制に係わるもので事業拠点をまたいで広く施行されている。
3.当該コントロールは金額が大きい勘定科目、あるいは質的に重要な勘定科目に該当する。
4.重要な事業拠点について、当該コントロールを経た取引の勘定科目の合計は連結税前利益のN%を超えた。

要約すると不備が発見されたコントロールが事業拠点横断的でかつ、取引額の大きな(または質的に重要な)勘定科目に関連していた場合になります。重要な欠陥は発見された不備(最初はひとまず不備仮評価)はプロセス(コントロール)と勘定科目で合算され、その多寡で不備が「重要な欠陥」に相当するか否かが評価されますので。

サンプリングを減らしたいばかりに全社レベル統制に位置づけると、確かに手数は減るはずですが、不備が見つかるととそのロットが大きいので諸刃の剣です。こういうのを隠蔽しようとする行為が十分想定されますね。

投稿: unknown | 2007年11月26日 (月) 19時09分

のらねこです。

「これだけは知っておきたい 内部統制の考え方と実務 評価・監査編」を読みました。

八田先生は内部統制の実務上の理想論を述べられており、最初から一貫した趣旨は変わっていなかったです。

内部統制報告制度を進めていく上で、理論的な第一人者の方が「重装備の内部統制」に注意を喚起してくれたことは、非常に感謝しております。

特に、制度自体に協議により運営される点があり、運用上で悪用されないように、進むべき道を示していると思います。

企業の評価結果を会計士が監査するというスタイルが今後、世界的な評価も含めてどのような位置づけになるのか、気になるところです。

投稿: のらねこ | 2007年11月26日 (月) 23時23分

みなさま、コメントありがとうございます。
私もザーッと通読しただけですので、まだきちんと読み込めておりませんが、ここのところの八田先生の講演や雑誌座談会で指摘されているところを一冊の本にまとめられたのではないか・・・といった印象をもっております。

ただ、このブログでここ2年ほどの間で、いろいろと話題となりました論点もいくつか含んでおり、決して的外れなことで議論していたわけではないことがわかり、少し安心しています。

私のエントリーに関するコメントありがとうございます>日下さん

日下さんいわく、
「サンプリングを減らしたいばかりに全社レベル統制に位置づけると、確かに手数は減るはずですが、不備が見つかるととそのロットが大きいので諸刃の剣です。こういうのを隠蔽しようとする行為が十分想定されますね。」
サンプリングを減らすために全社レベル統制を位置づけるとありますが、どこまでのレベルであればサンプリングを減らせるのか、このあたりは現実には内部統制監査人との協議によるんでしょうか?ここは実務でも興味のあるところだと思っているのですが。
たしかに、不備(仮評価)がみつかった場合には、あとで面倒なことになる可能性はありそうですよね。

投稿: toshi | 2007年11月27日 (火) 11時24分

>どこまでのレベルであればサンプリングを減らせるのか

これは、どんなものが全社統制レベルといって通用するのかと言う問いだと解しまして、知るところを以下に記載します。
まず要件としてはつぎのものがあると思います。

1.全社に周知徹底している業務プロセスであり、かつ
2.標準化された共通の業務プロセスである

これがないと全社レベル統制と言う語に釣り合いませんので当たり前と言えば当たり前になります。
さらに具体的には、某ドイツ産ERPを全社展開して、例えば受注から出荷依頼までは標準化した業務プロセスを適用している場合などでしょう。
もちろんここでERPによるアプリケーション統制があります。アプリケーション統制の場合は総じてサンプル数はかなり少なくてすみます。
ですが、某ドイツ産ERPなども含めて、システム運用もマニュアル統制が多く存在し、これらはアプリケーションとつかず離れず、相前後して進んでゆきます。そこで──

3.受注出荷業務システム運用に関わる業務プロセスが一貫して共通である

について示す事になると思われます。
具体例を挙げますと、①受注伝票の承認(ワークフローでない場合…結構あります)、②在庫転送依頼の伝票発行と承認、③与信枠超過に関する権限超過承認、④全般的な入力検証とデータ訂正時の事前・事後承認、⑤承認後の受注伝票変更…等など。

蛇足ですが、ERPと言ってもそんなにきれいに適用出来ませんし、アドオン開発費が出なければで手業対応も多いのが現実です。
話を戻しますと、このようにアプリケーション統制も含めた業務プロセス統制全体が共通であると主張すれば、サンプリングによる統計的試査の母集団は、理論的にはこの業務プロセスの適用範囲全体になりましょう。

ある企業の東京・大阪・名古屋・札幌地区がこのような条件にあれば、この4地区をひとつの母集団とするのも理論的には可能かと思いますが、私なら地域的な環境条件格差を背景に各地区の4母集団としたいところです。これでも地区内の各事業所が母集団にならず、4地区×25件に縮小されます。
あるいは、札幌が昨年ERP導入(運用半年)で最初の東京・大阪(運用二年目)から名古屋(運用一年弱)を経て一番最後だったら、札幌・名古屋は各々、東京・大阪はまとめて母集団とするかもしれません。もちろん──これは金融庁の25件サンプル法(誤謬率ゼロ%仮定)を想定しています。

さて──内部監査人と協議と言うのはあまり現実的でないと思いますが、誰かがスコーピングをしなければならないので流れとしてはそうなると思われます。
失礼や語弊を承知で申し上げますと、今回の内部統制報告制度に適確に対応出来、根拠をもった応用をこなせる方は企業にはまだほとんどいらっしゃらないと思います。と言いますか──これまでそのような人材については企業が募集・育成も含め必要がなかったわけですから(金融機関や行政検査が入る企業は別です)。案外経理の方やIT部門の方がアイデアをお持ちかもしれません。

協議と言う点では、これは外部監査人になると思います。企業の内部監査計画が大きく外部監査人の意図するところと乖離があった場合、決算期にそれが発覚と言うのはあり得ないため、事前協議があるとされています。これは結構年度の早い時期が示されていました。
監査計画のスコーピングについては殊更重要ですので、全社レベル統制としてのスコーピングとして外部監査人に提示されると思われます。
そこで監査人は例えば──大阪は貿易を行なっているので物流と言っても他地区とはリスクの点で異なるので独立した監査が必要だろうと示唆するかもしれません。

なお、モニタリング結果としてはおしなべて「不備」ですが、内部監査人はまずこれをプロセスとそのプロセスが発生させる勘定科目で該当する事業所を集計(共通プロセスの場合)して影響額(サンプリングによる試査に基づく金額)を算出しなければなりません。
可能性ではなくて現実に大変です。私の関与したUS-SOXの企業では米国親会社から欠陥判定のロジックフローが示されていました。これに相当するものがなければ、継続性のない恣意的な「重要欠陥」判定とされてしまいますので。

投稿: 日下 雅貴 | 2007年11月27日 (火) 14時22分

補足致しますと──
誤謬率ゼロ%想定の25件サンプル法でも統制の要点ごとに試査を行なうとすれば全体数はそれなりになります。

投稿: 日下 雅貴 | 2007年11月27日 (火) 14時50分

日下さん、ご解説ありがとうございます。
ちなみに、私が質問のなかで「内部統制監査人」と申し上げたのは、内部監査人ではなく、内部統制を監査する外部監査人(監査法人)を指しております。(ややこしい用語ですいませんでした)

全社的内部統制の評価によって、どの程度業務プロセスにおけるサンプル数を減らせるか・・・という点についても、一概に「こうであればいい」という基準を見つけ出すのはむずかしそうですね。結局のところ、早期に監査人といろいろと意見交換をしながら、企業における「力点」を見つけだす必要があるように思いました。また、実施基準のなかにもありますが、全社的な内部統制と業務プロセスに係る内部統制との関係は、その組織の規模や特長などによってもバランスに相違があるような記述もありますので、組織ごとに考えるべきことは当然なんでしょうね。
「欠陥判定のロジックフロー」ですか・・・
目的と手段を考えるだけでもむずかしそうです。。。

投稿: toshi | 2007年11月28日 (水) 12時02分

正確にはサンプル数を減らすと言うよりも母集団を大きく取り、結果としてサンプルの総数を減らす……と言うものです。
なお、従来の会計監査の考え方で例えば、現金出納業務は内部統制が非常にしっかりしている(予備調査や遵守性監査による一応数値的裏づけ)から実証性監査(いわゆる会計帳簿等の監査)のサンプル数を減らせると言うのがあります。これとは微妙にロジックが違うんです。

なお、US-SOX対応で米国親会社から提示された欠陥判定のロジックフローはまさにシステムフローチャート(四角やひし形と矢印の)でした。結果のロジックだけ見ているのでその背景や理由は推察しにくいものでしたが、恣意性を低下(根絶はちょっと無理ですから)させ、判定結果の第三者検証がやりやすい点は事実です。

別エントリですが、株主優待券等の会計処理での見積もり方法も前提としては監査人が異議を唱えないものであり、かつそれを継続して適用すると言うのが監査人を説得する標準ロジックです。この欠陥判定ロジックも最終的には可視化しないと「人」によって変わる、「年度」によって変わる等が防げないので、もしかするとちょっとけったいなものでも継続的な一貫性を保てば定着するかもしれません。度々直すのを外部監査人は非常に嫌いますね、当然ですが。

投稿: 日下 雅貴 | 2007年11月28日 (水) 12時28分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック


この記事へのトラックバック一覧です: J-SOX「重要な欠陥」リスクを考える:

» 【本の紹介】八田進二 『内部統制の考え方と実務 評価・監査編』 [◆CFOのための最新情報◆]
これだけは知っておきたい内部統制の考え方と実務 (評価・監査編) 前作の『これだけは知っておきたい 内部統制の考え方と実務』の姉妹編として先月発売されました。 本書は、次の3つの章から構成されています。 Ⅰ.内部統制 7つの誤解 Ⅱ.何をどのよう....... [続きを読む]

受信: 2007年12月 7日 (金) 01時26分

« 情報管理と内部者取引(インサイダー)リスク | トップページ | リスク管理の成功体験は共有できるか? »