サンプリングと「勘プリング」
年齢を重ねてきますと、若い時に比べて本当に涙もろくなってきまして、北京五輪の閉会式でジミー・ペイジが往年のツェッぺリンの名曲を弾くのを見て感動し、またサザンの大感謝祭最終講演を見ては感動し、日曜の夜は本当にウルウルきてしまいました。(お別れライヴ完全版は10月にWOWOWで放送されるようですね)
さて、この週末はコメントをいただいておりました「迷える25件」さんをはじめ、常連の方々の「サンプリング」に関するご意見について、とても興味深く拝読させていただきました。当ブログで、これまで100件以上のコメント(一部、後で整理しておりますが)がついたのが「サンプリング」に関するエントリーでありまして、本エントリーのカテゴリーであります「経営者のためのサンプリング(J-SOX)」をクリックしていただきますと、2007年3月ころからのエントリーと、そのコメントがご覧になれます。なお、今回の迷える25件さんのご意見のなかで、私も気になりましたのが、以下の部分であります。
いわゆる監査論で言う、実証性監査の前の遵守性監査はどのへんが危ないかと言う概算的指標による領域探査を目的としたところにある点でロジカルかと思います。仮にこれで25件とか50件とかを初期値としても違和感は覚えません、第一段階の理論的ふるいなわけで、さらにこれに加えて専門家の経験と勘と言うものが働くわけですから、理に適う戦略的な方法でしょう。
ところが今回の内部統制報告制度はその適否を経営者が表明しているというものであり、法的責任を背負ったものである以上、信憑性──信頼性にそれなりの論理的根拠が必要かと思います。その点を25件と言うのは(信頼度と許容エラー率の問題と換言出来ますが)、ちぐはぐでしかないと思われます。これを言ったら、これまでの会計にまつわる企業大不祥事はいわゆる内部統制の限界である経営者の統制無視に端を発している事が歴史的に明らかなところで、内部統制でこれを規制しようとする点ですでにちぐはぐですが。
私のような文系人間が、当ブログで「属性サンプリング」を話題としたのは、内部統制報告制度においては「経営者評価」が法制化され、これまで会計専門家に任せていればよかった内部統制の検証作業を素人がやらなければならなくなったためであります。もちろん企業の内部監査室には会計制度に詳しい方もいらっしゃるでしょうし、優秀なコンサルタントに逐次ご教示いただいている企業もあるかとは思いますが、「上場企業すべて一斉スタート」である以上、少なくとも私程度の「ど素人」でも理解できなければ、おそらく業務プロセスの運用評価が先に進まないのではないか?といった懸念からエントリーをアップしたわけでありまして、「迷える25件」さんのように真正面からツッコミを入れられますと、無視するわけにはいかないところであります。社会科学のひとつである会計制度を世の中のために活用するための道具なんだから、機野さんが言われるように「らしいものが採り入れられた」程度に考えたほうがいいとは思うものの、やっぱり気になるところであります。
最近公表された日本監査役協会の「財務報告内部統制アンケート」(5月)や、7月24日の日本総研の内部統制実態調査、日本内部統制研究学会アンケート結果、そしてまもなく公表されるであろう日本取締役協会内部統制部会の第5次アンケート結果などをみましても、現場担当者(もしくは経営者)の悩ましい問題として、この「業務プロセスの運用評価の方法」ということがほとんど上がってこないのは不思議です。(サンプリングなる言葉さえ出てこないのは、ひょっとするとアンケートを行う主体のほうが、あまりこの点についての問題意識をお持ちではないのかもしれませんが)そろそろ第一回目の内部統制監査が始まっている企業も多いとは思いますが、運用評価においてサンプリングを採用するのか、しないのかの選択も含めて、実際にどの程度の評価方法に関する協議が行われているのか、私自身も知りたいところであります。(そもそも整備に関する評価が有効と判断されなければ運用方法に関する判断まで到達しないことになりますので、今後の課題・・・というところなのかもしれませんが)
とりわけ迷える25件さんのコメントを拝見して、少し考えこみましたのは「サンプリングと勘プリング」のお話です。以前のエントリーへのコメントでbunさんが「母集団全体の特性を推定するにあたって、二項分布とか正規分布をすぐに持ち出してきた場合、こいつ楽しやがったな・・・と思って、その先は読む気がなくなります」と書いておられました。私などは、途中をはしょって、公式のように覚えればいいのでは?と考えておりましたので、25件をサンプルにとることの「逸脱率」と「信頼性」だけの理屈をわかればいいような感覚を持っておりました。ただ実際にはサンプリングの対象として選択されたキーコントロールの内容次第では、財務諸表監査における内部統制評価の実務を積んだ職業会計人の方々の勘が働かなければ、サンプリングによる最終結果としての「有効性」判断には到達しないのではなかろうか・・・と思われますし、そのあたりをズバっと指摘されますと、では経営者としてはどう考えたらいいのだろうか・・・と悩むのが自然ではないでしょうか。
現実には、サンプリングの巧拙によって経営者の法的責任が左右される場面というのはあまり考え付かないところでありますが、アプリオリに「25件のサンプリングでミスがなければ不備はない」として運用評価に臨むことと、「この基準が本当に母集団の特性を映し出すものかどうかは諸々の問題点はあるけれども、費用対効果の関係では正しい方法だ」と悩みながら取り組むのでは少し差があるように考えます。とりわけ当局はどこまで整備したか、ということよりも(少なくとも1年目は)その取り組む過程こそ重要であると強調されていますが、そうであればなおさら、経営者評価における「悩み」を抱きつつ試行錯誤する姿勢も決して無駄ではないと思います。(今後の応用力を身につけるためにも・・・)
※ なお「実施基準」におきまして、経営者評価は「サンプリングにより十分かつ適切な証拠を必要とする」とありますが、監査人監査基準とは異なり、25件なる件数が要件とはされていないことにご注意ください。
| 固定リンク
コメント
先日はお疲れ様でした。
中堅(中小)企業での内部統制担当のtonchanです。
toshi先生のおっしゃる通り、当社のような規模の企業では特に
所詮少人数で行った行為の集積である社内手続きに2項分布も
統計的な分布も当てはまるわけはありません。しかし、以下の理由で
メーカーにとっては非常に良い面もあると考えています。
1.統計的サンプリング自体は、メーカーの不良品に対する検査の
基礎となっており、特にISO9000の導入企業では比較的なじみ
易い概念です。運用のテスティングを行う時に容易に社内の同意が
取れるのです。
2.とりあえず監査結果について社内で説明する基準として有効です。
25件取ってみると結構できていない場合が多く、そこを指摘する時に
このような基準が有ると言い訳を排除する論拠となるのです。
以上のように実務面ではメリットも有るので、論理的な矛盾には目を
閉ざして対応しております。もちろん、不備の是正は人に依存する部分
が多いので、全然別のアプローチが必要となります。
私の意見が役に立つかどうかは別として、そろそろ理論と現場の統一
に向かっても良い時期だと思います。その為にもできる範囲でコメントを
付けさせて頂く予定です。
toshi先生の健康をお祈りしております。
投稿: tonchan | 2008年8月25日 (月) 10時29分
TOSHI先生
わざわざのトピ立てにて拙考を御取り上げ頂き、誠に恐れ入ります。
はい、確かに真正面から向かっております。
企業が内部統制報告制度を継続的に果たしていく中で、このような本質的監査リスクが法定義務に恒常的に内在する点、果たしていかがなものでしょうか。実際に法定監査である財務諸表監査を行なう公認会計士で、25件のサンプルで押しなべて責任を全う出来ると考える楽観的な方はまずいないと思います。ここを緩めてしまえば、責任が鋭く迫ってきます。
そうなると──法令、あるいは当局は今回企業の行なう法定の「遵守性監査(内部統制の有効性評価)」の重要性を実は低く設定しているのでしょうか?
ある重大な虚偽表示が決算後に発見され、25件のサンプリングにたまたま引っ掛かっていなかったら、該企業の経営者に故意・悪意がなかったとしたら、この場合は経営者に過失はないと言う事になりましょうか。
TOSHI先生、どうなんでしょう……25件を適切にサンプリングして評価していた事実を立証出来れば、信頼率のはずれの10%にあたって推定が狂っていた、あるいは想定誤謬率が8.8%以上でなかったので重大な欠陥が発見出来なかった場合、経営者はその法的責任を問われないのでしょうか、それなら納得してしまいますが…。
企業の内部監査部門では、財務諸表監査に匹敵するような精度を維持した統計的試査を実践するには、時間や技術な問題等から見て困難な事は明らかでしょう。そればかりか、統制の要点ごとに25件だけ行なったとしても、年間に千件を優に超えるサンプルで埋もれてしまいます。
私も実際少しだけ経験がありますが、あれはとんでもなく大変な作業です。そして費用対効果ですが、これは監査論において度々出てくる監査実施上の重要考慮事項です。精度絶対主義は近代では成り立ちません。
継続的実践こそがすべて、企業がいきなり始めるんだから精度は目をつぶる!──されど監査リスク。
実は、近代監査の考え方(適正性監査、精査に代わる統計的試査を支える内部統制理論)のあてはめ方を間違ったために生じた無理・歪みではないかと──この一両日つくづく考えています。
迷える25件拝
投稿: 迷える25件 | 2008年8月25日 (月) 17時30分
お久しぶりでございます。toshi先生には2月の大阪でのセミナーで
ご挨拶して以来のことになりますか・・・
現在は「にわかコンサルタント」として、未だに文書化も完了しない
中堅上場企業相手に奮闘しているところです。
ところで、私が従来より疑問に思っておりますのは、
「25件のサンプリングとは、企業集団全体で?それとも運用評価拠点
ごとに?」
ということです。
評価対象拠点(普通の企業では子会社や支店となるでしょう)合計で
25件なのか、評価対象拠点ごとに25件なのか・・・SOXテストでは
明らかに「評価対象拠点ごとに25件」であったと思いますが、J-SOX
ではどのように運用されるのでしょうか?実施基準からすると、「企業
集団全体から25件」でも問題なさそうですが。
*なお、SOXテストにおいては25件のサンプリングのサンプリング手法
が「統計的手法に基づいていない」ことを以って監査人から指摘された
ことは個人的にはありません。いわゆる「ハップハザード」で問題は
なかったです。偏り(単月から全件・一部門から全件等)については
所見が出ましたが・・・
投稿: nightwalker | 2008年8月25日 (月) 20時20分
それを言っちゃあ、おしめえよ的なことを申しますと、
「業務プロセスの評価なんて意味ないじゃん!」と
被監査会社も(内心では)会計士も思っているからこそ
サンプリング手法の正当性なんてどうでもいいわい、と
なっているわけです(笑)。
おそらく金融機関さんではそうもいかないのでしょうが、
流通や製造業者の世界では、関連会社に評価範囲にせざるを得ないほどの
大きさの金融部門を持っていない会社の場合は、
八田さんらも強調されておられますように
あくまでも全社的な統制と決算・財務プロセスの評価のほうに
注力するということでよいのだと思います。
業務プロセスの評価はあくまでもそれらを補完する役割ですから、
「ああ、やってるな」ということが分かればよいわけです
(もちろん、杜撰でいいということでは決してございません)。
投稿: 機野 | 2008年8月26日 (火) 00時20分
機野さんの仰るような本音については、皆さん公式の場であまり口に出さないまでも全身からにじみ出ているのですが、実際に本音を見聞きすると何故かほっとします。イロジカルなものにはイロジカルだと指差して、根本がイロジカルじゃ意味ないだろうと言いたいものです。
当初はこの本音の大合唱だったと思うのですが、途中からちょっと変わって来て最近は「意味ないかもしれないけど、本来の目的から言っても矛盾するけど、でもやれば何か意味あるか」的に風潮に動いている節も感じます。これもなければ──
言っちゃあ御仕舞いですが(TOSHI先生伏字にするかしら)、演じなければ致命的な真似事の茶番。
ところで機野さんが御書きの──
>「業務プロセスの評価なんて意味ないじゃん!」と
>被監査会社も(内心では)会計士も思っているからこそ
これはたぶん…
>「企業自身の業務プロセスの評価なんて意味ないじゃん!」と
>被監査会社も(内心では)会計士も思っているからこそ
と意味を補足して読取りしました。
会計士の皆さんのこれまでの財務諸表監査での業務プロセスの評価(内部統制の遵守性検査)は監査証明を支える基盤に相当する部分であり、これはなければならないものだと思っています。
仮に今般の内部統制の有効性評価が年間に200人月レベルのような作業ではなく、この半分や三分の一だったとしたら。
端的に言えばそれほど負担でないところまで行けばどうだろうかと思う点はあります。無意味感と言うより、無意味感に加えて相当の負荷を受入れなければならないと言う理不尽感が強いのが実際です。スコーピングやら全社統制の設計も大変ですが、テスティングとその評価とまとめは相当に大変ですから。
それでも経営者による統制無視や組織ぐるみの会計不正が防げないなら、サンプル25件が250件でも本来期待されるところにはほとんど手が届かないわけで、この点で意味を成せないのはほんとにイロジカルです。
イロジカル?──いやいや、されど法定義務。
(これも言っちゃあ御仕舞いです)
どうにか相応の負荷と代償で確たる意味が見出せないか、と考えます。
それから、全社統制と決算プロセスが本命なのは同感です。決算プロセスにしてもこれらすべての照査や再実施は無茶ですから、これも統計的試査になりますね…。
正面からイロジカルだと言っても立場と事情と上下関係によっては実践こそ意味を成し、いたずらに杓子と定規を取り出すのは無意味で時間の無駄、有識者や洞察者は決してこんな事しない──と言う世界観は踏まえても、それでも果たして法制度として動き出すものが重大な監査リスクの放置を含んでいてはどうなんでしょう。
25件ランダムにやって不備がなかったんだから責任は果たしたよ、あとは会計士の先生や経営者とやってくださいと言うロジックが生きていると思います。そんなものだよと聞こえてきそうです。
もう現時点ではうつろに響きますが、監査論には内部統制が近代監査の中心となる精査に変わる統計的試査を支えるものであり、それは同時に経営の効率化と有効性に寄与する、と大昔から書いてあるのですが──あれ、夏なのに唇が寒いですね。
投稿: 迷える25件 | 2008年8月26日 (火) 08時34分