企業担当者からみた「内部統制1年目の総括と2年目の課題」
会計や法律に関する雑誌では、ほぼ「内部統制報告制度の1年目を振り返って」と題する特集は一巡したように思いますが、旬刊経理情報9月20日号の特集「初年度の問題点とその解決策を探る」(2年目の内部統制3社の取組み)は、なかなかスグレモノの座談会であり、当ブログにお越しになられる常連の皆様方からすれば「よくぞ言ってくれた!」と拍手喝さいに近い内容ではないかと思います。(また、座談会の司会をされたトーマツのパートナーK氏も、監査法人のお立場からして、3社の方々のご発言をよくここまでまとめられたものだなあと・・・)日本を代表する3社(といいますか、日本国籍のグローバル企業である3社)の内部統制報告制度対応プロジェクトチーム責任者の方々による1年目(までの)総括と、これからの内部統制報告制度への課題を語ることが中心の座談会でありますが、まじめに一生懸命プロジェクトに関わってこられただけに、そのご発言内容からみて「おとなしくまとめられた座談会」とは大違いであります。「この際だから言わしてくれ」的で実に興味深いです。
もちろん、参加された方々も、社内のプロジェクトチームだけではなく、全社的に内部統制の考え方を共有できるようになった、業務の「見える化」が進み、問題点を改善する際にもイメージが共有できるようになった、といった制度施行の長所を指摘されている点もございますが、「このままでは制度が形骸化する」「費用対効果は会社だけでなく、監査法人や行政も工夫が必要」「監査法人自身も内部統制監査は専門家ではなく素人である」「そもそもレビューで足りる」「能力の低い監査人とのやりとりで、非常に無駄な時間を過ごした」といったお話がポンポン出てきます。司会者のK氏もフォローがたいへんなご様子でありますが、おそらくここで会社担当責任者の方々がおっしゃりたかったのは、内部統制監査にいろいろな問題点が出てきたのは、そもそも制度の建付けが悪かったのであって、監査人の責任ではないよ・・・というところだったものと思います。(したがって監査報酬の問題とか、内部統制コンサルタントの問題などは議論されておりませんでした)したがいまして、座談会のなかで参加者の方が主張されていたように、2年目の内部統制に向けて、自分たちも効率化や有効性評価のレベルアップのために頑張るけれども(各企業における内部統制のPDCA)、内部統制監査を担当する監査法人も、制度設計を担当する行政も一緒になって取り組む必要がある(内部統制報告制度自身のPDCA)ということに同感いたします。
2年目の取組みへの抱負を拝読していて、制度自体の効率化の問題を指摘されていたことは予想通りでしたが、「業務監査と内部統制評価の仕事を明確に分けて、業務監査に比重を置く」とか「内部統制における数量基準や専門的手法の(内部監査への)実質的な弊害」とか「重要な欠陥の概念見直し」「財務報告以外の目的にも有効な内部統制に向けて」などなど、企業における本来の内部監査(業務監査)の在り方と、制度対応との微妙なズレというものを、各企業ともしっかりと疑問視するようになってきたものと理解いたしました。詳しくはまた上記特集号をご覧いただければ、と思いますが、たとえば内部統制報告制度における「監査の基準」につきましては、そもそも同時期に導入された四半期報告書がレビューの基準を導入したこととの関係で決まったものとされていたのではなかったでしょうか。実務をみていて、四半期報告書におけるレビューの制度がかなり有効に機能しているようにも思えますし、インダイレクトレポーティングが採用されている趣旨などからしましても、この座談会で提言されているように見直しすることも検討されてよいのではないか、と考えておりますが、いかがなものでしょうかね?内部統制報告制度自体の見直しにあたっては、他の制度の運用の実態なども考慮しながら検討すべきだと思います。
| 固定リンク
コメント
toshi先生
旬刊経理情報9月20日号の特集「2年目の内部統制3社の取組み」に注目して頂き有難うございます。現在小生は関係会社の常勤監査役を務めていますが、3年もの間J-SOXPJで悪戦苦闘した内部監査担当として、この座談会に参加しました。そこでも主張しましたが、本制度は費用対効果の面で問題が大きく、早期の制度見直しが必要と考えています。会社側にも監査法人側にも負担が大き過ぎ、最低限次の三点の見直しが必要です。①外部監査人の位置付けを監査からレビューへ変更②財務諸表監査的手法の会社評価への持込みの見直し(アサーション、統計的サンプリング、ウォークスルー)③全社統制と決算財務報告統制を主体とし、業務プロセス統制は必要最小限に限定する。「重要な欠陥」という訳語の変更を含め、実際の制度運用で最も苦労してきた企業側が大きな声を挙げて、制度改善に向けて行政等へも粘り強く働きかけていくことが不可欠であり、監査役という立場に変わりましたが、多少なりとも尽力できればと考えています。
投稿: いたさん | 2009年9月15日 (火) 23時19分
いたさん、はじめまして。コメントありがとうございました。
旬刊経理情報の座談会はたいへん興味深く拝読いたしました。御三方(おさんかた)のポジションはそれぞれ若干異なりますが、やはり相当以前からPJを主導されていただけあって、理論と現実の狭間で苦悩されていたところが如実に出ていて勉強になります。とくに2年目以降のJ-SOX(あえて、このように申し上げますが)のあり方については、効率化することの説明責任をどうつけるのか、私なりに考えておりますので、そのあたりの参考にさせていただこうかと思っております。
監査役という立場でも、おそらく内部監査との分業が明確でない場合には、業務プロセスまで検証する必要があるでしょうから、これからもぜひ有益なご意見をいただければ幸いです。
投稿: toshi | 2009年9月19日 (土) 21時46分
toshi先生
内部統制の評価担当者として、いつも先生のブログを読まさせていただています。先生のおっしゃるとおり、旬刊経理情報9月20日号は、会社側の意見等が、かなり表現されています。
いたさん様
見直しの3点について、全く同感です。意見を述べていただいて大変ありがたく思います。内部統制については、学者先生や、会計士先生のご意見は述べられているとは思いますが、当事者である会社側の意見はあまり重視されていない(実際には、遠慮して物を申していない?)ように思えましたので、時機を得た内容と思いました。
私の個人的意見ではありますが、業務監査を行っている会社にとっては、あまり意義があると思えない内部統制の業務プロセスの評価等にかなり時間が取られて、本来行うべき業務監査が行えない弊害が出ているのではないかと思います。また、会社の評価結果については、評価担当である監査部門が、会計士先生から説明を求められることから、内部監査部門は会計士先生にいかにOKをもらうことに忙しくなり、内部監査部門の独立性も結果的に損なわれているように思えてなりません。さらに、外部委託しているITの統制についても、もう少し簡素化がされないと、外部委託のメリットがなくなってしまうように思えます。
会社側が、もう少し声を上げる必要性を痛感しています。
投稿: YAMAYA | 2009年9月22日 (火) 23時01分
YAMAYA様
はじめまして。小生の投稿にコメントを頂き有難うございます。書かれていることには全面的に同意、共感します。やはり会社側がきちんと声を上げていくことが必要ですね。
それと私が感じるのは、学会や講演会で出てこられるような大先生でない第一線の公認会計士の方々はやはり大変苦労をされていて、この制度の現在のあり方に対しても強い批判を持つ人が少なくないということです。対談でも申し上げましたが、一部には初年度の混乱は監査法人の過剰な保守的対応が原因としてすべての責任を監査法人に押し付けて悪者に仕立て上げる傾向があります。確かに監査法人の対応に問題があったのは間違いなく、監査法人として根本的な総括と反省が不可欠ですが、一方そういう対応に監査法人を追い込む仕組みがこの制度の中にあるのも事実です。従って、より効率的で実効性ある制度にするためにどうすべきか、会社側としてもそうした方々と積極的に対話を行い、共闘していくこと、そして監査法人内でも大きな声を上げて多数派になって頂くことが必要と考える次第です。
投稿: いたさん | 2009年9月24日 (木) 22時51分
yamayaさん、はじめまして。コメントありがとうございます。
この座談会記事は、まじめに取り組んでこられた方々の本音が出ているところがおもしろいですよね。(私も説得力のある内容だと思っています)
11月5日には、今後の内部統制報告制度の在り方を官民で協議する場(ラウンドテーブル)が開催されますが、そこでも、今回の内部監査室の方々のご意見が反映されるべきだと思います。批判的な意見だけでなく、効果があったと思える部分も含めて、ということで。
投稿: toshi | 2009年9月27日 (日) 14時18分
久しぶりにコメントさせていただきます。
YAMAYAさんの以下の件で一言・・・・・
◆「②財務諸表監査的手法の会社評価への持込みの見直し(アサーション、統計的サンプリング、ウォークスルー)」について
小生もJ-SOXのプロジェクトチームに約1年ほど参画しましたが、当社が作成した業務プロセスの50リスクのRCMには「アサーション」は取り上げておりませんし、「ウォークスルー」も、現状の業務をRCMの表にヒアリングしながら多少時間をかけ整理したものの、会計士作成のテキストのような杓子定規の「ウォークスルー」は実施しませんでした。サンプリングについては、当初から全社統一版のルールを基本方針としたため、全社で25件あればいいのではと。
◆「③全社統制と決算財務報告統制を主体とし、業務プロセス統制は必要最小限に限定する。」について
当社はプロジェクの基本方針として「小さく産んで大きく育てよう」としました。したがって業務プロセスは上記のとおり約50リスク程度でした。実際1年間運用してみてこれでも多いかなと思いました。実際に運用してみて内部統制上問題がなければリスクが低いということですから場合によっては項目を削除してもいいと思いますし、逆に問題があったところはリスクが高いといことですから発見的もしくは予防的なコントロールを強化すればいいと思います。
しくみを整備し運用していく上で大切なことは、会計士や会社内部の評価で指摘された不備がなぜ起きてしまったのかの本質的な原因をキチンと究明し”しくみ”を継続的に改善して行くことです。このことを毎年愚直に実行していけば、10年いや5年もたてば立派な内部統制ができあがっているはずです。最初は小さくても、おのずから大きく育っていきます。
以上が、J-SOXの初年度、世間で言うほど騒がずあまり振り回されなかった企業からの報告です。
投稿: 技術屋の内部監査人 | 2009年9月27日 (日) 16時53分
技術屋の内部監査人さん、おひさしぶりです。(コメントありがとうございました)
リスク評価の結果から予防統制や発見的統制の手法に関連付けて効率化をはかることは私の理想に近い内部統制システムなので、とても興味深いところです。あと予防統制において、どのような情報を適切に入手、集約するか、といったあたりも社内で自主的に取り組んでいくことで、さらに効率化するのではないか、ということも考えたりしています。「情報と伝達」の「情報」のところの問題と認識しております。
技術屋の内部監査人さんのところのような取り組みが、もっと大きく採り上げられるといいのになぁ・・と感じました。
投稿: toshi | 2009年9月28日 (月) 20時32分
Toshi先生
初めて書き込みします。JSOXに関与しているものです。
先生の内部監査推進全国大会の9/29のご講演を拝聴しました。8/11のブログでも言及されていますが、企業不祥事リスクの管理を①予防、②発見、③危機対応の3つの観点から分析されており、特に②について「才能」「勘」「経験」に関連させてご説明されているところが印象的でした。
私は、JSOX対応のキーコントロール選定に相通ずるところがあると考えました。
予防と発見の関係は、担当者レベルのコントロールとその上席者の管理・監督行為(日常的モニタリング)に置き換えられると思います。前者をいくら厳格に構築しても限界があります。特に財務報告に係る内部統制上は、会計上の重要な虚偽記載を適時発見・修正できれば問題となりません。また、発見的手続を中心にキーコントロールを選定したほうが一般的に効率的です(発見的手続は通常、ひとつのコントロールで多くのリスクをカバーするのでキーコントロールが少なくて済み、また実施頻度も少ないのでサンプル件数も少なくて済む)。したがって、後者を中心にキーコントロールを選定したほうが、有効・効率的かつ合理的です。
但し、特に日本の企業では、上席者の日常的モニタリングは、個人の「才能」「勘」「経験」に頼るところが大きく、「上席者が財務報告上、何をチェックすべきか」が明確になっていないことが多いので、制度対応を機に改善すべきです。
キーコントロールとして十分な上席者の日常的モニタリングを構築することで、個人の「才能」「勘」「経験」を企業のノウハウ、財産として蓄積できるはずです。また、コンプライアンスと比べて財務報告の信頼性(特に、意図的でない誤謬に対して)は、より効果的に対応できると考えます。
また、内部監査部の方が、「現業部門の自己点検で担当者レベルのコントロールを評価した場合、不備が発生すれば追加の再評価が必要になるため、現業部門には不備の発生を隠すモチベーションが働くのではないか。不備を発見して改善させるという制度の趣旨に反している。」と仰っているのお話をよく耳にします。
JSOXの問題点の根源は細かいコントロールをキーコントロールに選び過ぎていることにあるのではないでしょうか。たとえば内部監査部の方の問題意識は、上席者のモニタリングを中心にキーコントロールとし、自己点検は制度外で実施する(勿論、上席者は日常モニタリングを実施する上で、自己点検の結果にも十分留意する)ことで実質的な解決が図れるのではないかと考えます。
私には、内部統制基準や実施基準は、「担当者レベルのコントロールを25件評価しなくても、適切な管理者等の管理・監督行為を評価すれば、自社の内部統制の有効性を合理的に説明できるような、質の高い内部統制を構築しなさい。この制度を企業の構成員の能力を高める手段として利用しなさい。」と言っているように思えてなりません。
ラウンドテーブルではこのような点も議論してほしいものです。
投稿: 答えは風の中 | 2009年10月 3日 (土) 23時26分
答えは風の中さん、コメント(ご意見)ありがとうございます。また、あれだけ質の高い文科会が開催されていたにもかかわらず、私の講演をお聞きいただき感謝いたします。
しかし日本内部監査協会というところは格式が高いですね。さすが金融庁の肝いりで社団法人化されただけあってゲストが豪華、豪華。
ご意見拝読し、大いに賛同いたします。もったいないので(笑)、風の中さんのご意見をもとにエントリーをたててみたいと思っております。また、11月5日の内部統制ラウンドテーブルの報告者になっちゃったので、こういったご意見をもとに、私見を述べさせていただこうかと考えております。今後とも、どうかご意見よろしくお願いいたします。
投稿: toshi | 2009年10月 6日 (火) 00時31分
中堅企業でJ-SOXの担当をしているtonchanです。
toshi先生、いつもお世話になっております。
さて、J-SOXの評価では現場に以下のことを話しています。
1.管理職は何をチェックするのかを明らかにしてください。
個人的には来るべきものがこない、異常値のチェックが重要だという
ような事を説明しています。
2.業務プロセスの改善を行う場合は本来の仕事の本質を見失わない
ようにしてください。
J-SOXは合理的な評価しかしませんが、本来の仕事にはもっと正確
であることが要求されているものもあるので注意してください。
というような事です。
結局、ルールは自分で作る、守れないルールは作らない。という事が
基本です。これを忘れて美しいルールを作って業務プロセスを評価する
事が大きな負担となるのです。
もうひとつこのJ-SOXによって本当の内部監査ができる人が増えた
のであれば、このルールに一定の評価を与えることができるのではないで
しょうか?私自身、J-SOXによって監査について考えるきっかけと
なりました。○×ではない評価の基礎に監査が有ると考えているので、本当
の監査ができる人が増えることがこの制度の大きな遺産のように思います。
内部監査のスキルは現場で磨かれます。
Auditこそが内部統制(J-SOXではありません)を合理的に維持す
る基礎のように思います。
雑駁な意見となりましたが、形からAuditを基礎とするJ-SOX評価
を目指すことがひとつの方向ではないでしょうか?
今年も運用状況の評価の季節がやってきました。私は監査の初心に帰って
往査を行っていきたいと考えております。
投稿: tonchan | 2009年10月 6日 (火) 16時04分
Toshi先生
ご賛同頂きありがとうございます。エントリー楽しみにしています。
その前に、もう少し私の考えをコメントさせて下さい。
JSOXについて一般的に評判はよくないようですが、個人的には、JSOXは、結果だけではなくその過程に焦点を当てた、また、法制度の基準に「倫理観」等の精神論を取り込んだ、(これらが原因で、抽象的となりその評価が難しいといった面はあると思いますが)画期的な、そんなに悪くない制度だと思います。
JSOXがきっかけで一般に広く知れ渡った「トップダウン型のリスク・アプローチ」や「キーコントロール」といった概念は、うまく使えば企業の付加価値の向上にきっと貢献するはずです。
問題は、制度自体ではなく別のところにあるような気がします。このエントリーにコメントされている皆様が仰っているように、この制度を使いこなすには、各方面の関係者の「成熟」が必要なのではないでしょうか。
前回、上位者の管理・監督行為をキーコントロールにという趣旨のコメントをしましたが、上位者の管理・監督行為を実施・評価・監査していくためには、実施者・評価者・監査人それぞれに、より高度な知識・ノウハウが必要とされます。
初年度に多く見られたような担当者レベルのコントロールをキーコントロールに選定してチェック証跡の有無を検証するだけにしておいたほうが、制度対応の容易性の観点からは優れているでしょう。
また、上位者の管理・監督行為をキーコントロールに選ぶ場合、業務改善・実施者の意識改革等が必要とされる場合が多いと思われるため、当初は工数・コストをそれほど削減できないかもしれません。
しかし、初年度のような対応は、企業の中に形式重視・実質軽視の気風を形成して内部統制の退化に向かい、上位者による管理・監督行為を中心とした対応は、費やした工数・コストだけの効果、つまり関係者の成熟と内部統制の進化につながると考えます。どこかで考え方を変えないと、非効率な制度対応という次元の問題を超えて積極的なマイナスの効果をもたらすのではないかと危惧しています。
投稿: 答えは風の中 | 2009年10月12日 (月) 00時01分
先般監査役協会の新任監査役のための基礎知識研修講座「財務報告に係る内部統制」に参加しました。講師はK弁護士で、全体としては会社法と金商法の内部統制の対比や監査役にとって影響のある「期ずれ」問題等を分りやすく説明した有益なものでした。
ただ非常に気になったのは、初年度の内部統制報告書の記載内容を重要な欠陥を中心に紹介した後に、本日の研修で最も重要なポイントとして次のようなことを強調して述べられたことです。「初年度の内部統制報告書で重要な欠陥がなく内部統制は有効であると報告した90数%の会社こそこれからが大変である。もし後で財務報告の誤謬や不正が発覚して、内部統制に重要な欠陥があることが判明した場合は内部統制報告書に重要な事項の虚偽記載があったということになり、刑事責任及び民事責任を追及されることになる。」金商法で規定されている法的責任は確かにその通りでしょうが、虚偽記載という結論に到るまでには本来は評価手続きの妥当性等々何重もの検証作業を経る必要があるはずです。新任監査役相手なので詳しい論証は省いて、監査役もしっかりチェックせよと発破を掛けられたのかも知れませんが、「後出しジャンケン的」な内部統制報告書の虚偽記載による法的責任の過度な強調には強い違和感を禁じ得ませんでした。ただ確かに、初年度の内部統制報告書でも、重要な欠陥の多くがプロセス評価からでなく、不正や誤謬という事実から後付けで導き出されているという結果ありき主義の傾向が顕著でした。すると事後に誤謬や不正が発覚した場合も短絡的に内部統制の重要な欠陥に結び付けられ、かつ当該年度での開示と違って「内部統制報告書の虚偽記載」とされてしまう惧れが大ということでしょうか。しかしこうした議論の方向は、本制度の2年目以降の効率化の取組みを逆行させて、会社側にも監査法人側にも責任回避のための監査手続きの一層の厳格化と評価作業の肥大化を迫るものになる惧れがあります。内部統制自体の限界に加えて、内部統制という非定型的なプロセスの評価・監査の保証レベル(財務諸表監査の保証レベルとは格段に違うと私は思います)を勘案した時、こうした法的責任論には慎重にも慎重を重ねた対応を求めたいと思います。
投稿: いたさん | 2009年10月23日 (金) 00時26分
tonchanさん、答えは風の中さん、いたさん、ご意見まことにありがとうございました。
いよいよ、11月5日はラウンド・テーブルです。このブログでは、会計士の先生方のコメントも頂戴するのですが、やはりJ-SOXの主役は企業(経営者)です。企業実務家の方々のご意見も反映されるようなラウンド・テーブルになればいいですね。ここのところ頂戴した実務家の方々のご意見に、法律家としての参考意見をとりいれたうえで、意見陳述をさせていただきます。
また、ラウンド・テーブルの結果につきましてはご報告させていただきますので、今後ともよろしくお願いいたします。
投稿: toshi | 2009年11月 3日 (火) 19時00分