ISO審査厳格化と内部統制報告制度
丸山満彦会計士のブログでも紹介されておりました記事ですが、日経新聞によりますと、IAF(国際認定機関フォーラム)は、統括しているISO認証の信頼性を高めるために、その審査を厳格化する方向で検討をしている、とのことであります。現状のISO認証制度だけでは「優良企業の目安にならない」と各国産業界より批判が出ているようで、形式審査だけでなく「顧客満足度」などの実効性を重視する審査内容にする予定、といった内容です。
私はISO審査自体については、あまり詳しくありませんが、ISO取得に関する数々の著書を世に出しておられる萩原睦幸氏の左記新刊書は、ISOコンサルを中心に200社ほどの企業経営支援をされてきた方からみた「日本の内部統制報告制度」の現状への印象を書き綴られたものでありまして、中身は平易な文章で、最後までおもしろく読めました。(「ここが変だよ 日本の内部統制」 萩原睦幸著日経BP社 1800円税別)
著者の言によりますと、現在の内部統制をめぐる状況は、PDCAを基本とするマネジメントシステムとして1990年代に国際規格であるISOがわが国の企業に初めて導入されたときと非常によく似ている、とのことであります。日本でも、だいたいISOが導入されて4~5年ほどは大ブームになったのでありますが、その後導入するだけで主体的に取り組む企業が少なく、ブームはあっという間に沈静化してしまった、とのこと。内部統制についても、そのうちISOと同じ道をたどるのでは・・・、と危惧しておられます。
ISO取得企業の優良性を十分評価できないような制度であるならば、その有効性を評価できる仕組みに変更していかねばならないわけでして、そのために「顧客満足度」など外部からの評価を実際に有効性評価のための判断基準として活用しよう、といった改正が検討されているわけですね。また、経済産業省も後押しする、とのことでありますが、企業不祥事が発生した場合には、審査機関がなんらかの対応策をとる、といったことも新聞記事には掲載されているようであります。
「顧客満足度」といいましても、おそらく客観的に判断できるような詳細なデータをもとに審査することになるものと思いますが、要するにISO取得にあたっては、外から見える判断基準を導入しようとするものでありまして、日本の内部統制(これは金商法だけでなく、会社法上のものも含む概念として)につきましても、やはり外からみて、第三者がなんらかの評価ができるような仕組みとすることが必要ではないでしょうか。もちろん、文書化やフローチャートなど、その内部統制システムの詳細の中身が「見える」というものではなく、ISO同様「PDCAを基本とするマネジメント」が中心となるわけですから、そのPDCAの流れが基本的にわかるような仕組みや運用があれば評価の対象となるように思います。昨日私が出席させていただきました、某雑誌の座談会におきましても、どなたかが「内部統制の整備といっても、自社で運用できなければ意味がない。したがって自社の現状(人的、物的資源)で運用することを前提として、システムの構築を考える必要がある」とのことでした。そうでないと、このPDCAプランに乗ってこないために、既存のシステムを活用したうえでの次年度のシステム改良点すらわからない、つまり企業が主体性をもって取り組むことができないわけであります。
私自身も、内部統制システムの構築の有効性については外部第三者が判断することを前提とするならば、どこかで組織ぐるみで構築に関与している、もしくは構築に努力していることを評価できる制度運営が必要ではないか、と考えておりますが、この程度の内容であれば、事業報告や有価証券報告書のなかで記載するにしましても、それほど大きな負担となるわけでもないように思いますが、いかがでしょうかね。
| 固定リンク
コメント
コンピュータ屋です。
おはようございます。
この話、丸山先生のブログにもコメントしましたが、大いに関心のあることです。ISOの外部審査が有効性を重要視すると言うことになるのなら、内部統制システムとの一体化も早くなるのかと思えます。当初、JSOXの先に統合的内部統制システム、その先にISOの統合的マネジメントとの統合と考えていましたが。
品質、環境、セキュリティ、効率性、報告、コンプライアンスなどを統合的にマネジメントできるようになれば、それこそ無駄もなくなり、現場から見ても、審査/評価/監査などとそれぞれ対応しなくても良くなるのはありがたいです。
ただ、そんなうまいPDCAが可能か難しい話ではあります。
またISOに会計士や弁護士の方が関心をもっていただけるのは助かります。ISOの仲間内はほとんど技術者ばかりなのでマネジメントという発想、経営からのトップダウン思考が難しいのです。
今後も、この話、ちょくちょくUP願います。
投稿: コンピュータ屋 | 2008年1月13日 (日) 08時45分
TOSHI先生の書きぶりですと、今の内部統制報告制度が「PDCAの流れが基本的にわかるような仕組みや運用があれば評価の対象となる」ようになっていないのではないか、はたまた内部統制報告制度が外部の第三者の評価になじまないものとなっていると認識されているようですが(まちがいでしたらごめんなさい)、私はそれはちょっとちがうのではないかと思います。ご承知のとおり、内部統制報告書は経営者が自己評価して、外部監査人が監査するわけですが、最終的には年次有価証券報告書に添付されて開示され、投資家の目にさらされます。市場により評価されるという発想が前提なので、TOSHI先生のいわれていることにははてな?と思ってしまいます。ただ、第三者たる投資家は報告書そのものを評価するのではなく、その企業の株を買うか売るかという反応で答えるということになっているわけで、私はこのようなシステムは効率的だなと思っています。
私はISOについてまったくど素人なので何のコメントもできないのですが、紹介された本の著者が「PDCAを基本とするマネジメントシステムとして1990年代に国際規格であるISOがわが国の企業に初めて導入されたときと非常によく似ている」と指摘されている点に、私は非常に興味を惹かれます。というのも、内部統制報告に関する議論、特に事業会社側の方々の反応をみておりますと、金融検査マニュアルが導入され金融庁が検査で行政処分を連発し始めたころの金融機関や証券会社の反応に非常に似ていると思っているからです(かくいう私もこんなマニュアル、どんだけ~とさけんでいました)。金融検査マニュアルも内部統制報告制度も根っこは同じで、経営に最低限のことはやってね、それを自分で評価して自己診断してねというもので、ただ、金融においては証券取引等監視委員会なり金融庁なりが時々レントゲンをとりにいって健康診断しますよというシステムなのですが(それをわかるのに数年かかりました)、事業会社の場合はレントゲンをとる義務がないだけで、そこは市場に任されるということになっているわけです。今の状況は自己診断のやり方について非常識ともいえるやり方を教授するものがあらわれたりして、自己診断する方も一定のやり方を教えないほうが悪い、といっているのに近いと思ってます。中には自己診断なんてまっぴらといっている人もいるわけで、そういう方はだまってMBOでもして非公開会社で自由になさればいいというのが規制当局の考えだし、私もまたそうだよね、と思っている次第です。
投稿: とも | 2008年1月13日 (日) 13時34分
はじめて投稿いたします。
内部統制報告書は、第三者の目にふれるということですが、その報告書はどこまでの内容が開示されるのでしょうか?とりあえず経営者の意見と監査結果ということなのでは?具体的な内部統制システムの概要とか、報告書では表現されないのではないでしょうか?このあたりは、実務とおおいに関係があると思いますし、どなたか教えていただけないでしょうか。
投稿: ノリスケ | 2008年1月13日 (日) 16時02分
うーん、その本はちらっと読みましたがあまり感心しませんでしたねえ。
ここが変だと書きながら、
結局現状を肯定しておられるような感じがして…。
私はISOに関しても、
その導入時たまたま巡り合わせで現場におりました。
正直申しまして、大山鳴動すれど鼠一匹という感じでしたね。
「義務だからやらされている(本当にどこまで役に立っているか
分からない)」という感覚が大半の現場感覚でしょう。
これを叱ったり嘆いたりしないでください!
費用対効果も考えず、「EUで決まったから、商売を続けるために
仕方がないんだ。理屈じゃないのよ」で導入されていきましたから、
妙な被害者意識を持つのも道理なのです。
そして今、歴史は繰り返そうとしています。
ISO厳格化自体に関しては私も必要なことだとは存じますが、
何が問題だったのか、導入の効果はいかほどか、費用対効果は?
…そういう総括がまず行われない限り、愚行が繰り返されるだけです。
内部統制構築体制を外部に評価させる…
うーん、ご趣旨は理解いたしますが、夢のまた夢ですね。
だいたいそのための費用を、また企業が払うのでしょうか。
屋上屋はもういいです。
現場は評価・監査対応疲れです。
監査に対応するために時間と労力を割かれ、内部統制に支障が生じようと
していると思われるほどです。
それよりも例えばまず、考えれば考えるほどどう位置づけしていくべきか
分からなくなる監査役制度の現実的な充実策を考えましょう。
監査役の資格制度導入というのも不可能に近い考え方ですが、
こと、ここに至れば、それももっと検討すべきでしょう。
投稿: 機野 | 2008年1月13日 (日) 23時18分
ノリスケさん
そのおっしゃるとおりです。内部統制報告書は内容が決まっていて、重大な不備などがなければ「問題なし」というあっさりとした報告書がでてきます。会計監査人はそれが妥当なのか監査し、投資家は報告書と監査報告書をみて判断します。内部統制報告・内部統制報告監査の仕組みそのものに、会計監査人がしっかりと報告書の評価が大丈夫なのか検討する仕組みが整っています。しかし監査がいい加減だと当然ですがワークしません。また、重大な欠陥や不備があればそれを経営者は正直にかかなければなりません。正直に書いた場合は、投資家のことを考えて、それに対する対応をどうするのかまで、おそらくは実際は書くことになるでしょう。そして監査報告書はその重大な欠陥や不備についての認識がOKなのかどうかを監査し、場合によっては、監査の範疇をこえ、意見として対応について記載することになるのではないかと思います。そしてそれを投資家がまたみることになる。
つまり、私の理解では、「財務報告に係る内部統制報告に関する基準」に書いてあるプロセスは、経営者と監査人がきちっとやれば「PDCAの流れが基本的にわかるような仕組みや運用」を評価するようデザインされており、その中で、たとえば重大な欠陥にいたらない不備があれば報告書に記載され、それを監査報告書が評価して外部の投資家が見て投資するかどうか決めるという仕組みになっている、あるいはそのような仕組みとする意図があって制度がくまれて設計されていると思います。その上に外部の第三者にも更に内部統制のPDCAの流れを評価させるところまで求めるのは、不必要であり、ちゃんと運営されていてもなおかつそこまでやらなければならないというならば、内部統制報告制度は経営にとってあまりにも重過ぎる役に立たない制度になる、ということなのだろうと思います。ノリスケさんの指摘をうけて、私が本当にいいたいことがはっきりしました。ありがとうございます。
投稿: とも | 2008年1月13日 (日) 23時31分
とも様、解説いただき、ありがとうございました。とも様のご意見、このたびの書き込みでよく理解できました。参考にさせていただきます。
たしかtoshi先生のエントリーでは、金融商品取引法上の内部統制だけでなく、会社法上の内部統制システムの問題についても「外部からの評価」対象とされるべき、とされていますが、もし外部からの評価対象とまで言う必要はないとすると、ここでは外部監査人の代わりに、監査役がPDCAサイクルの検証を行うものと捉えていいのでしょうか?
私は現場で内部統制報告制度の構築に関与している社員ですけど、toshi先生の言われるような「概要程度の開示」であれば積極的にやってほしいと思っています。もちろん、詳しい内容まで開示することは現実的ではないですし、機野様のおっしゃるように、我々の負担も大きくなってしまいそうなので、無理ですけど、不正会計や、会社法上の内部統制で問題となりそうな企業不正として、どこに大きなリスクがあり、それをどのように回避するつもりなのか、それくらいは開示するようにしないとおそらく経営者は誰も真剣に内部統制報告制度に関わることはないと思うのです。もちろん、PDCA検証が実施基準で織り込まれているのであるから、それ以上に開示の必要性はない、と判断するのも会社のひとつの姿勢かもしれませんが、開示することを積極的に奨励して、経営者を本気にさせることも重要だと思います。むしろ、経営者を本気にしてもらったほうが、我々現場の人間は楽になると思います。「経営者評価」の現実をどう捉えるのか、というところで意見が分かれるのかもしれませんが。勝手な意見ばかりでどうもすみません。
投稿: ノリスケ | 2008年1月14日 (月) 01時58分
のらねこです。
ISO9001と財務報告に係る内部統制は基本的には同じと思っています。
まず、会社という実体はひとつです。
その評価対象全体の評価も含めて、各業務内容について、製品・サービスの品質の面から、購入~出荷までの過程を評価対象とするのがISO9001、決算・財務報告の信頼性の面から、購入~決算までの過程を評価対象とするのが財務報告に係る内部統制です。
次に、会社の仕組み(ISO9001ではマネジメントシステム、内部統制ではプロセス)を社外の第三者(ISO審査員、公認会計士)が審査・監査します。
会社の業務について、目的から評価対象を絞り込んだ評価方法と捉えることにより、「基本的に同じであると」いうことです。
両者共通の問題は、社外の第三者が審査・監査するときに有効であることを保証する証拠のあり方(文書化)です。
口頭より、文書の方が証拠としての価値は高くなります。
文書が証拠として認められる要件として、
・存在性(作成され、保管されていること)
・十分性
・信頼性
・関連性
・有益性
が、あげられます・
外部の第三者に証拠と提示する場合は、存在性が第一になります。
ここが、文書化の問題点です。
たとえば、「営業部長は契約内容を確認し、承認する」と規定した場合、文書化の規定により、実務への影響は大きく変わります。
例として、
①チェックマークを必ず付け、承認印を押す。
(チェックマークがない場合は不備)
②チェックは目視で可とし、承認印を押す。
(チェックマークがなくても、内容が正しくて、承認印があれば有効)
①を採用すると、チェックポイントが増えるに従い、事務量は増えます。
(少なくともチェックマーク漏れチェックの作業が発生する)
ひとつの文書にチェックポイントが10個あれば、全文書でチェックポイントはどのくらいの量になるのでしょうか。
文書の内、ひとつでもチェックマークがなければ、その文書は不備となります。
事務量が増えると、内容のチェックからチェックのチェックになる可能性があります。
チェックのチェックは形式化につながり、形式化作業は業務の意欲の低下となって現れます。
業務への意欲低下はコンプライアンスの低下へとつながり、ミス・不正発生の温床となります。
文書化が問題となる理由です。
さらに、外部の第三者が審査・監査する場合、①と②のどちらが効率的でしょうか。
①ですね。
②の場合は、対象会社の文書の内容を把握できないと有効の判定ができません。
(①がやらされているという感覚になるのでしょう)
特に、財務報告に係る内部統制では、財務諸表監査時に提出していた業務関連資料は、「財務報告に係る内部統制」で文書化された証拠が含まれます。
このため、実務上で十分に運用できるものにすることが重要です。
①の場合、財務諸表監査で1個でもチェック漏れが発見されれば、運用は不備になります。
財務諸表監査は決算時期だけでなく、期中に何回も実施されるため、リアルタイムで確実に運用できる文書化が目標になります。
文書化の問題は「運用できること」が大前提です。
投稿: のらねこ | 2008年1月14日 (月) 10時46分
新年はじめてのDMORIです。
萩原さんの本では、内部統制がISOと同じくブームが過ぎるのでは、という説だそうですが、コンピュータ屋さんの言われるとおり、「?」に同感です。
ISOにしろ、いかに優れた制度でも、定着するかどうかは、それが義務であるかどうかによるのです。やや残念なことではありますが。
内部統制の構築についても、会社法で定められたから内部統制に取り組むという企業は、ほとんどありません。それが、J-SOXだとこれだけ企業の取組みに熱が入ります。
動機はすべて、処罰規定があるかどうかの違いによるものです。
企業としては、罰則があるか、利益につながることが明確なものを優先してコストをかけるのは、当然の判断です。
したがって、内部統制についてはISOとは異なり、ルールが緩和されたりなくなったりしない限りは、企業の取組みが低下することはあり得ない、というのが私の考えです。
もしそれでも萩原さんの書いているとおり、ISOブームのように過ぎてしまったとしたら、わが国のガバナンスそのものが危機的な状態になったということだと思います。
投稿: DMORI | 2008年1月16日 (水) 10時20分
ISOって国内活動だけなら不必要では? それに現場は嘘を書いてますよ。
こんなところの方が少なくないはずです。
←管理人により、一部削除いたしました。
投稿: 三河屋彦衛門 | 2008年1月16日 (水) 21時03分
皆様、コメントありがとうございます。 確認書の制度趣旨や、開示府令で規定されております内部統制報告書様式などから、もう少し具体的に検討してみます。示唆に富むご意見、参考にさせていただきます。
投稿: TOSHI | 2008年1月17日 (木) 14時47分