インダイレクト・レポーティングを採用するJ-SOX上の悩ましい課題
最近、何名かの方に同じ質問を受けたのでありますが、金融商品取引法上の内部統制報告制度(いわゆるJ-SOX)がインダイレクト・レポーティングを採用しているがゆえに、運用テストにあたっていろいろな問題にぶつかっている担当者の方もいらっしゃるようであります。私自身も一緒に考えておりますが、明解な答えはまだみつかっておりません。
経営者は一般に公正妥当と認められる経営者評価の基準にしたがって、自社の財務報告に関する内部統制の有効性を評価し、これを報告するわけでありますが、内部統制監査人(いわゆる監査法人)はこの報告内容が適正であるかどうか、一般に公正妥当と認められる内部統制監査の基準にしたがって監査をすることになります。そして、外部監査人が経営者評価報告を適正と表明するかどうかは、原則として経営者自身による評価根拠と、評価の過程を斟酌して判断するものであり、みずから評価根拠を入手ものではないとされております。(インダイレクト・レポーティング)しかしながら、実際のところ、全社的内部統制の有効性にせよ、業務プロセス、決算財務報告プロセスにせよ、経営者が直接評価することもできないわけで、そこで実際には内部監査人や経理部等の評価自体が経営者評価の根拠となるわけであります。外部監査人(監査法人)による監査にしても、ダイレクトレポーティングが採用されていないわけですから、評価根拠としては、内部監査人による評価や監査役による評価に依拠する場面も多くなるものと思料いたします。
さて、そうなりますと、内部統制報告制度にとりましては、期中における監査法人、監査役、内部監査人等の連携協調は非常に重要な役割を担うことになりますが、社内におけるモニタリング機能をどこまで及ぼすべきか、という現実の問題が生じることになりそうであります。たとえば、人事部の人事評価に関する記録は内部監査人(経営者直結)が閲覧しなければならないのか、監査役による取締役会や取締役の評価調書(監査役会議事録等)は内部監査人に閲覧させなければならないのか、内部通報制度の具体的な事件記録は閲覧の対象となるのか、コンプライアンス委員会やリスクマネジメント委員会のように社外委員が多数含まれている議事録の内容も閲覧の対象になるのか等、様々な場面が想定されます。これらにつきまして、たとえば高度の守秘義務を負う監査法人さんにおいて、直接閲覧することであれば(つまりダイレクトレポーティング)、それほど大きな問題は生じないものと思いますが、社内の内部監査室や監査役が閲覧して、全社的内部統制の有効性評価の参考とするのであれば、おそらく社内で抵抗される方々もいらっしゃるのではないでしょうか。たしかに、実施基準によりますと、Ⅰ内部統制の基本的枠組み4の(4)におきまして「内部監査人がその業務を遂行するには、内部監査の対象となる組織内の他の部署からの制約を受けることなく、客観性を維持できる状況になければならない」とされておりまして、いかなる内部文書も(内部監査人の独立的な立場上)自由に閲覧できるような状況が期待されているのかもしれませんが、現実問題としましては、内部監査人は経営者直轄の組織に属することからみて、各部署における意思形成過程に萎縮的効果を与えてしまう恐れがあるのも事実であります。(そもそも、財務諸表監査に伴う内部統制監査として、監査法人さんが評価対象とする範囲ものであれば、ダイレクトレポーティングの対象と考えることもできそうでありますが、さきほど挙げた問題点は、そういった対象となるものでもありませんので、新たに施行される内部統制報告制度における評価項目のみに関連するものだと思われます。)たとえば、以下に掲げるような評価項目は、内部監査人(といいますか、評価する人)が、その評価にあたって、各部署の保存記録等を閲覧すべきではないか、と思われる根拠となる項目であります。(ご参考まで)
|
たしかに、全社的内部統制に関する42の評価項目は、重要な判断指針ではありますが、すべての上場企業でチェックリストのように利用する必要はなく、むしろ各企業においてどの項目を重視してチェックすべきか、合理的な説明がつくのであれば、項目に軽重をつけてもいいと思いますし、省略できる評価項目もあってかまわないのではないでしょうか。全社的内部統制の有効性評価のための42項目の活用につきましても「メリハリ」の問題でありまして、重大なリスクが存在する可能性があれば文書の閲覧も必要でしょうし、そうでなければ、委員会メンバーや監査役等へのヒアリングだけでもチェック可能ではないかと考えております。人事評価調書にせよ、内部通報処理報告書にせよ、文書化(記録および保存)することは当然だと思われますが、その内容まで精査しなければ全社的内部統制の有効性が評価しえないような場合以外にまで、内容の検討が必要性はないものと考えております。また、内容検討の必要性がある場合でも、たとえば評価を外部に委託したり、コンプライアンス委員会に評価を委ねるなど、代替手段も考えられるのではないかと思います。
ただ、リスクマネジメント委員会やコンプライアンス委員会の議事録等につきましては、全社的内部統制の有効性を評価する根拠という理由以外にも、業務プロセスの評価範囲を決定したり、評価方法の簡素化を検討するための根拠理由が示される場合もありそうですし、また財務報告に係る内部統制システムの改善をはかるためのヒントも記載されている可能性もありますので、すくなくとも内部監査人は閲覧のうえ内容を精査する必要性があるかもしれません。以上、いろいろと検討してきましたが、まだこのあたりは私も検討中のところでありまして、また有益なご意見ございましたら、よろしくお願いいたします。
| 固定リンク
コメント
全社レベル統制を考えると、かなりレベルの高い記録にアクセスする事になると想定されますが、仮に内部監査人の心証形成における合理的証拠による証明が得られたとすれば、微に入り細を穿つまでは要しない──と言った、通りいっぺんの理論的説明があると思います。
しかしながら、内部監査人が心証形成においてさらなる証拠の評価を必要と認めたとき、ハイレベルの権限者が「控おろう!」と言う態度をとったとき、私ならそのハイレベル権限者に記録閲覧に代えて宣誓書(要証事実に対する適切性の宣誓、ハイレベル権限者の署名捺印付き)を求めます。
「何を猪口才な、この若僧が!」とこれも大変でしょうが私はやりたいと思います。(じゃあおまえ実際にやれよ!と空耳がしますが…)
これも頑として拒否された場合、(私なら)この監査要点と言うか、要証課題についてはこれこれの理由により合理的証拠が得られないので意見が述べられないと調書に記録して、外部監査人にバトンを渡します。
インダイレクトと言いながら、彼らも実際に試査的な検証をするので、今度はこのハイレベル権限者に外部監査人が対峙します。これで外部監査人がその立場から当該要証課題を是とする意見を形成する事が出来れば収拾がつけられると考えますが──いかがなものでありましょうか。
なお、財務報告に係る内部統制の有効性と専ら言いながらも、COSOモデルに目的を追加したりしている点はまさにこのあたりの混乱の原因でありますが、こちらのエントリに引用された事件のように「僕らは財務報告だけに向いていたからその範囲外の法令順守の逸脱が分からなかった…」と開き直ったとも取れる弁解をするのか──
いや、わが社は財務報告とともにそれ以外の重要法令に関してもスコープしていると言うのか、ほんとうにこれは経営者の判断だと思います。会社法に目を向ければ、財務報告という狭義に留まるわけには行かないのだろうと推察します。
なお──言うまでもなく私見でありますが、ヒアリングによる証明は監査論でも証明力がもっとも低いもののひとつであります。根拠は「規則違反をしていました…」と言う回答を適時に得られる期待は難しい点で、自己に有利な回答がほとんどになる点、「自己証明は証明にあらず」の原則から重要な要証事項に使えるとはとても思われません。なかんずく、全社レベル統制は業務レベル統制のスコーピングに大きく影響を与える以上、ヒアリングは補助的な、あるいは示唆的な擬似的証拠と考えるべきではないかと考えます。
投稿: 日下 雅貴 | 2008年3月 3日 (月) 11時14分
JSOX本番年度を前にして会計監査人やアドバイザーと来年度の具体的な評価スケジュール等を協議しているところです。
リスクアプローチにより省略できる項目があってもよいのではないか、とのご意見には賛成ですが、現実には42項目はミニマムと言われており、今年はその4倍も評価しました。一度評価してしまうと項目を削るには相当なエネルギーが必要です。
また、今月の「監査研究」に内部監査人には42項目に照らして自社の状況を説明できるくらいの専門的能力が求められる、とありました。少なくとも経営者には目を通してもらいたいものですね。
なお、わが社では各種委員会の議事録や資料はもとより最近では必要に応じてメールを含む電子データも自由に閲覧できつつあります。Need to knowの原則に従い、本来は必要な人だけにアクセス権を付与すべきですが、やりすぎると不便なため結局はバランスだと思います。JSOX上はあまり言われておりませんが、今後はアクセスログなんかも分析する必要がありそうです。
投稿: JSOX専担の内部監査人 | 2008年3月 3日 (月) 21時50分
のらねこです。
経営者の立場から、考えたらどうでしょうか。
たとえば、経営者が「内部統制の評価はすべて内部監査で実施する」と社内に宣言すればよいと思います。
社長命令であれば、部門長は拒否できません。
「通常の業務監査の延長」との意識であれば、反論はでる可能性はあると思います。
内部統制の評価は、経営者の代理として実施するものですから。
実際には、インサイダー取引、人事データとしての個人情報の漏洩などのリスクを考慮して、どこまで内部監査で対応するかを経営者が決定すればよいと思います。
経営者が自ら評価してもよいはずです。
リスクは、担当者の視点から見ると、すべて重要に思いますが、経営者の視点でみると、不思議にリスクの強弱が見えてくるから不思議です。
トップダウンアプローチとは、「山の上からふもとを見る」といった感じですね。
投稿: のらねこ | 2008年3月 3日 (月) 22時36分
■やはり金融庁の「3分の2」基準から逸脱が発生している
DMORIです。
過日訪問した測量大手の上場企業さんは、8つの子会社を持っていますが、監査法人との協議では、グループ企業すべてを内部統制監査の対象にします、ということになっているそうです。
金融庁の実施基準では、グループ全体の(たとえば)売上高で、上から3分の2程度までを対象とすることを言っていますが、過剰適用する監査法人がいるということです。
その会社の企画部長氏は、「小さな規模の子会社は、内部統制そのものの意識や制度がまだできていないので、たいへんだ」と言っていました。
このブログをご覧の皆様には、内部統制構築側・監査法人側など多くの識者がいらっしゃると思いますが、皆さんのご存知の状況・情報を教えていただければありがたいです。
投稿: DMORI | 2008年3月 4日 (火) 09時03分
皆様、貴重なご意見ありがとうございます。実務上のポイントについて勉強になりました。
エントリーの中では触れておりませんでしたが、たしかに「記録閲覧」以前に当該部署の「報告書」を閲覧する、という作業によって代替できるところも多いかもしれませんね。厳密には日下さんがおっしゃるように真実性に関する誓約書をとったうえでの報告書になるのかもしれませんが。これであれば単なるヒアリングよりはレベルの高い心証形成が得られでしょうね。
選担の内部監査人さんのおっしゃるように、経営者の方にも「何をやっているのか」知っていただきたいのが私のホンネです。内部統制報告書自体に経営者確認書が必要になるわけではありませんが、少なくとも「内部監査人が有効と評価していたことを、知らなかった」といった言い訳が後から出てこないことが肝心だと思いますし、内部統制についても評価をしたからこそ「経営者確認書」を出した、ということであれば、内部監査人の作業と経営者の意識とは分断されてはいけないと思っております。
私のように中小の上場企業さんをみている者からすると、のらねこさんやDMORIさんのおっしゃる内容も理解できます。少人数で一生懸命、プロジェクト対応にがんばってきたところ、その方が施行後、日常的テストを行うのはいいとして、「じゃあ施行後は誰が独立的評価をするの?」と聞かれて、立ち往生してしまうようなところも多いのではないでしょうか?
投稿: toshi | 2008年3月 4日 (火) 17時30分
J-SOXの運用評価中でコメントが遅くなりました。
私なりの意見を2つお話します。
1.全社的な統制の42項目の例について
私は、それぞれについて複数の質問に分解して対応しています。もちろん強弱も有るはずですし、感じるところもあります。しかし、全社的統制の位置づけ(業務プロセス統制を実施基準通りに行う前提)からすると、ここでは全項目について評価するべきだと思います。
質問に分解する段階で、当社の不足部分が判明して対応している部分もあります。悲しい現実ですが、全社的な統制でしか話ができない部門も有り、その部門に対して内部統制を意識させる唯一つのチャンスになってしまっています。
2.グループ会社の内部統制について
私の所属している会社では、現在は連結対象会社はありません。しかし、近い将来連結対象子会社ができるかもしれません。
実施基準を読む限り、連結対象会社は全て全社的な統制が必要となります。もちろん例外とすることはできますので、それについては個別の対応となると思います。
私自身は以下のように考えています。
①親会社と同じ42項目(レベル)で全社的な統制を評価する会社
②親会社の利用している42項目から強弱を付けて削減して評価する会社
③監査法人を説得して全社的統制の範囲外とする会社
③の理論づけをする時間と②で対応する時間との兼ね合いかもしれまsん。
全社的な統制は担当レベルでどうにもならない問題が多く、悩ましいものです。私自身は、レベルの高いものは監査役の方に対応をお願いしています。
投稿: tonchan | 2008年3月 5日 (水) 15時33分
■連結対象のグループ企業でも「2/3」で可のはず
DMORIです。
金融庁の実施基準では、「例えば、連結ベースの売上高等の一定割合を概ね2/3程度」として、業務プロセスの評価対象とすることが書かれてあります。
ところが「全社的な内部統制の評価が良好であれば」の前置きを拡大解釈して、連結グループに所属しているすべての会社を対象に、内部統制評価の対象に加えてしまおうという監査法人が出現してきている、ということなのでしょう。
これは、金融庁が実施基準において、企業に過剰な負担を強いるものではない、と繰り返してきた基本の趣旨に反します。
八田先生も各セミナーの場で「上場企業は、業務プロセスの整備や牽制機能など、すでにある程度の内部統制の仕組みは作ってきているのですから、それにもう一段の工夫をすれば足りるのです」と説明してきました。
会計士にすれば、すべての子会社を対象に、と言うは簡単ですが、企業にとってはたいへんな負担です。
しかし現実には個人情報保護法と同じく、こうした過剰反応がどんどん聞こえてくるようになるのでしょうね。
内部統制学会としても、金融庁と連係して「J-SOX過剰反応110番」など設けて、実施基準が正しく運用されているか注視してはどうでしょうか。
投稿: DMORI | 2008年3月 6日 (木) 09時28分
1.経営者責任として内部統制を構築・施行・是正する立場。
2.内部統制を遵守・実践する立場。
3.監査に対して期間運用実績を主張する立場。※上記1と一体
4.監査という役割で運用実績に社内業務として意見を述べる立場。
5.監査という役割で運用実績に外部保証として意見を述べる立場。
かなり役割と専門性と責任が異なると思います。
法的責任について考えると、1・3・5の比重が目だって高い(法的処罰の存在から)ように思えます。2は監査役の立場で言えば高い水準だと思います。
摘発の視点や法制の目的を達成する視点で見ると、制度上は5が最後の砦です。4の定着と安定が得られたらだいぶ違うような気がしますが。
5が崩れたり歪んだりしたら、1から4が適正ならよいものの、そうでなければ制度は機能不全の成り行き任せに陥ります。
これらの局面と各々の立場の差と責任を考えると共通合意と言う事の出来る範囲はどれくらいなのかと考えます。互いに牽制し合い、切磋琢磨する等と言うのは御気楽過ぎる状況です。「利害」と言う表現は少し違うのですが、利害のような対立…と言うか価値観の落差が整理出来ない状況である事は明らかです。
「難しい問題を出来ればより簡便に端的に、しかも合理的な効果・機能を失わないで適正に解く」
これは経営が求める問題解決の理想式に共通する気がします。
投稿: 日下 雅貴 | 2008年3月 6日 (木) 15時45分
皆様、議論を発展させていただき、ありがとうございます。せっかくの議論ですので、ここでの議論を新しいエントリーに発展させようと考えております。(けっこう、切り口を考えるのがムズカシイところですが)
先日、関西を代表する大企業の人事部長さんの集まり(つまり、もうすぐ役員になられる方々)に参加させていただいたのですが、みなさん、J-SOXの施行に戦々恐々とされていて、「こんなのが始まったら社員が個性を発揮する場がなくなってしまうのではないか」といった印象をお持ちでした。企業の活力は「人」にあるわけですから、活力をそがない内部統制報告制度を真剣に考える必要がありますね。
投稿: toshi | 2008年3月 7日 (金) 01時36分