内部統制「統制上の要点の選定とリスク・アプローチ」
先週の日経新聞特集記事「点検・内部統制元年」を、たいへん遅くなりましたが(上)(下)ともきちんと読ませていただきました。費用負担が重くのしかかっている・・・といったイメージをどこの企業もお持ちではないかと思います。そんななかで、中堅上場企業である大阪のニイタカ社の内部統制責任者であるS氏(ときどき拙ブログにもコメントをされる方ですが)によりますと、ニイタカ社の内部統制にかけた関連費用はS氏の人件費のみ、ということだそうであります。このS氏とは、もうかれこれ2年ほど研究会でご一緒しておりますので、この「関連費用は私の人件費だけ」というのがウソ偽りのない真実であることは私自身がよく知るところであります。ただ、このS氏の内部統制システム構築にかける情熱はちょっと他の人ではまねのできないものであります。新聞にもあるように、現場担当者や現場監督者が業務プロセスの整備・運用、そして自己点検による評価方法に至るまで、十分に理解するまで徹底的にレクチャーを行い、不備が生じればすぐに内部統制プロセスをくりかえし改定し、逐次外部監査人を呼んで改良点の説明を行い、外部監査人のほうが「もう堪忍して」と音を上げるまで徹底的に協議を繰り返す・・・ということであります。しかし(前にも書きましたが)、私がこのS氏をみていて、おそらくニイタカ社では内部統制は有効と評価されるものとは思いますが、全社あげて内部統制の整備はS氏にまかせっきりになっているものと推察され、もしS氏が(たとえば)ヘッドハンティングによって別の会社で内部統制構築を手掛ける、という事態になってしまうと目もあてられないことになってしまうのではないか、といった一抹の不安を抱かずにはおられません。いわゆる「内部統制リスク」というやつですよね。誰かの個人プレイにまかせっきりになってしまいますと、その個人がいなくなってしまうと、社内で誰も内部統制の改良ができなくなってしまうということは大きなリスクです。そう考えますと、この「内部統制リスク」を低減させるためには、内部統制プロジェクトチームのような組織的対応の必要性や、後継のためにできるだけ文書化しておく、といった費用負担を要する対応もある程度は必要なのではないか・・・と思ったりもしております。内部統制はいよいよ2年目を迎えるわけですが、その性質上永続的に制度を見直すことが求められるわけですから、企業としての制度対応も、それなりに人材育成やシステム改良のノウハウを個人プレイに頼ることなく、企業として検討していかなければならないと思います。
そして内部統制2年目といえば、旬刊経理情報の4月1日号では「2年目の内部統制」が特集されておりまして、たいへん興味深く拝見させていただきました。この特集のなかで、解説者の方が、トップダウンのリスク・アプローチが、1年目において業務プロセスの評価範囲や方法の決定のためにはよく議論されたようだが、これまで統制上の要点の選定のためにはほとんど議論されてこなかったのではないか?といった疑問を呈しておられ、これは私もまったく同感であります。これは日本取締役協会や日本監査役協会での報告でも「問題提起として」述べさせていただきましたが、本当にリスク・アプローチが統制上の要点の選定のために活用されるのであれば、そこには経営者の関与は不可欠なはずですが、これまで議論されてこなかったのは、まさに十分に経営者の関与が問題にされてこなかったからだと思います。わずか1年半の間に、リスク・アプローチ監査についてはナナボシ判決が、そして経営者のリスク・アプローチについては日本システム技術判決が、それぞれ財務報告における重大な虚偽表示リスクに関わる裁判事例として出ております。ナナボシ事件判決では、監査人による監査の手法が経営者による不正リスクと対応していなかった点が指摘されており、また日本システム技術判決においては、従業員による不正リスクと経営者の構築した内部統制システムが対応していなかったことが指摘されているわけであります。これは裁判所の考える「重大な虚偽表示リスク」とは何か?それは何を評価した結果なのか?リスク低減措置はどこまで要求されるのか?といったあたりを検討するには好材料であります。実施基準を前提とする「統制上の要点」と、裁判所が問題とする「リスクと統制との対応関係」は厳密には別物であるとしても、「あなたの会社はワンマン会社だし、取引先との付き合いも長いので経営者不正の可能性が高い」などとは、決して監査法人さんは言わないわけですが、裁判所ははっきりと、不正リスクのひとつであり、平時から配慮すべきリスクである、と指摘するわけであります。したがいまして、平時から経営者リスクや組織に内在するリスクを堂々と宣言できるのは経営者以外にはいないのであります。そこがズバッといえないのであれば、統制上の要点がきちんと選定されるはずもないわけでして、お題目のように「経営者の関与が不可欠」といってみても、実際にそこに目をつぶっていては、おそらく「内部統制リスク」は軽減されることはないものと考えております。
なおリスク・アプローチと法的責任(「重要な欠陥」ではございません)との関係については、リスクアプローチ監査については会計上の重要性の原則と、そしてトップダウンのリスクアプローチについては経営者による経営判断原則との関係がつぎに議論されるところだと思いますが、その点はまた別途検討してみたいと思います。
| 固定リンク
コメント
コンピュータ屋です。
ご無沙汰です。
「内部統制、J-SOX」のこと、おっしゃるように現場でも実感しております。
Sさんのように極端ではないにしても、あるキーマンの方が率先して、そしてその他の方はほどほどの取り組みというのが大勢ではと思います。ましてやトップ主導とはとてもいえません。「適当に頼むわ、ただし不備とはするなよ」。こんな程度のかかわりかな。なんといっても初年度もう終わりです。
2年目以降制度が変わらない限り対応も必要です。
2つの方向性があると思います。
ひとつは、J-SOX対応の効率化の流れ。IIAの中のフォーラムでも検討しています。もうすぐ発表します。(私の参加しています)
もうひとつは、J-SOX、会社法対応も含む統合的な内部統制システムの構築するという方向です。私も以前より考え、勝手な提案もしています。
そこで気になったのが、「弁護士先生のバックアップが必要」ということです。法律的なこと、そしてコンプライアンスの向上、そんなところを率先指導願いたいと思っています。そうすれば経営トップも本気でとりくんでくれるでしょう。
投稿: コンピュータ屋 | 2009年3月27日 (金) 09時52分
「重要な欠陥」の判断について、会社の評価と監査人の評価が食い違う例が予想通り発生しているようで、金融庁にも多数相談が寄せられており、これを受けて追加のQ&Aが来週あたりに公表されるようです。
また、従来は出さないとされていた「内部統制報告書」の記載例も公表されるようです。
投稿: 迷える会計士 | 2009年3月28日 (土) 09時19分
初年度ぐらいは「オール・ダイレクトレポート」で行くべきでしたなあ…
現場はね、会計士との禅問答というか、こんにゃく問答というか、
まあ現場のことを知らないひとが考えた制度だということを
身をもって感じておりますよ。
金融庁の責任者出て来い!(笑)
投稿: 機野 | 2009年3月28日 (土) 22時34分
お久しぶりです。中堅企業のJ-SOX担当者のtonchanです。
少し現場から個人的なコメントをさせていただきます。
私自身のJ-SOX対応の経験から判断すると、現状の対応には以下の
課題があります。(単なる思い込み?)
(前提条件)
企業の最も重要な目的が向上と存続にある以上、J-SOXも含めた内部統制は
その為に資するものでなければなりません。
1.J-SOX対応も当然その企業の負担できる範囲を限界として持っている。
2.立上コストと継続的な運用コストは異なっており、運用コストの提言が重要である。
以上の2つの課題を解決し、財務諸表の信頼性に合理的な保障を与えるための
手段がプリンシプルベース、リスクアプローチだと考えています。
つまり、企業がJ-SOX対応を行う為には「プリンシプルベース」(
手段と範囲を選択する自由)、「リスクアプローチ」(合理的な対応方法)
が必要になり、それを「実施基準」が例示しているというように考えて
います。
このように考えることで現状のような右肩下がりの景気状態でも維持可能
なJ-SOX対応を行うことができるはずです。(自信が無い?)
ここまで割り切らないと中堅企業でJ-SOX対応を行うことはできません。
個人的には、会社法の内部統制よりは何とかISOと接点を求めるほうが
中堅企業では現実的だと考えています。(目前の問題をたたくのみ)
とりあえず私の判断できる範囲でコメントさせていただきました。まず、
プリンシプルベースの意味を自社なりに検討するのが、素人考えかも
しれませんが、最も早道のような気がします。
toshi先生もお忙しそうなので、お体に気をつけてください。
投稿: tonchan | 2009年3月30日 (月) 12時59分
みなさま、コメントありがとうございます。
そろそろ金融庁から追加Q&Aが出るみたいですね。
ひな型?でしょうか。
内部統制報告書が提出された後になんらかの問題が発生した場合、提出された内部統制報告書の法的評価がどうなるのか、これが今後の大きな課題ではないか、と最近考えています。
それにしても、委託業務に関する内部統制評価について、先日大手監査法人のある会計士の方よりレクチャーを受けましたが、これもまた法的な問題が山積してますね。内部統制報告制度(実施基準)と法的責任問題とはいたるところでまだまだ論点が潜んでいることを認識したような次第です。
投稿: toshi | 2009年3月31日 (火) 01時21分
内部統制の総合評価が大きな問題ですね。先日仰星監査法人グループのセミナーに出席しましたが、非常にいいセミナーでした。一般的に監査法人のセミナーは、監査人の立場でのお話が多いのですが、このセミナーでは、会社側の立場にたった評価の方法論を詳細に解説していました。いままでいろいろ探しましたがこのような内容はどこにもなかったものです。なんでも4月の上旬には、仰星マネジメントというコンサル会社のホームページより、その方法論がリリースされるとのことです。参考になりますよ。
投稿: unknown | 2009年3月31日 (火) 22時26分
unknownさん、コメントありがとうございます。
リリース参考にさせていただきます。(そういえば、昨年、仰星監査法人の代表社員であるT田さんに、大阪弁護士会で研修講師をしていただきました。私の出身高校のたしか3つ後輩の方、という記憶があります。)
投稿: toshi | 2009年3月31日 (火) 23時33分
初めて投稿させて戴きます。
当社は、仰星監査法人グループのマネジメントコンサルティング会社です。
当サイトに当社のセミナー(東京開催?)のことが書かれていると風の噂で聞きました。unknownさん、ありがとうございました。ご指摘の資料、『業務プロセスに係る内部統制の有効性の判断(総合評価)』は、弊社のホームページ【http://www.gyosei-mc.co.jp/ 】のトピックスからダウンロードできます。
本稿は、ブラックボックスになりがちな総合評価の手続きを少しでも合理的な基準を設定し、会社側にとっても監査する側にとっても意味のある評価プロセスにならないだろうかという視点から提案させて戴いております。
J-SOX初年度も最終局面を迎えつつありますが、いろいろ混乱もあると聞いております。2年目以降、会社側にとっては、法制度遵守(ブレーキ)と業務の効率化(アクセル)を上手にバランスさせることが企業経営にとって何より大事なことではないかと思っております。
本稿は、今後も改定していく予定ですが、皆様のご参考になれば幸いです。
投稿: SS | 2009年4月 8日 (水) 13時46分