2014年3月31日 (月)

「不祥事は起きる」を想定した内部統制システムの構築

おかげさまで当ブログもいよいよ10年目に突入することになりました。最近は平均しますと更新は3日に1回程度ですが、これからも楽しい話題を提供していきたいと思っておりますので、どうかご愛顧のほどをよろしくお願いいたします<m(__)m>

さて3月25日の日経朝刊記事に、「企業の経済不祥事、日本では内部者関与が8割」という見出しで、海外では内部者が関与する経済不祥事が全体の5割程度であるのに対して、日本ではなんと8割に及ぶということが報じられていました。海外では外部第三者からの攻撃が多いということの裏腹かとは思いますが、調査をしたPwC(プライスウォーターハウスクーパース)の担当者の方も述べておられるとおり、日本企業では内部関係者関与による犯罪への意識が十分でないことも理由のひとつかと思います。

毎度申し上げているとおり、日本では「不祥事は起きない。起こさないために何をすべきか」という出発点からコンプライアンス体制の構築を行う傾向にありますが、そろそろ「不祥事は起きる。起きたときどうするか」という出発点から体制構築を検討すべきだと思います。内部者への信頼度が高いことは決して悪いことではありませんが、あまりに「不祥事は起きない」と過信してしまいますと、実際に不祥事が発生した際に思考停止に陥り、早期発見が困難になります。先のPwCの調査結果でも、海外企業に比べて日本企業の不祥事被害額が極めて大きいのも、実際に不祥事が発生した場合の対応が遅すぎるところにも起因していると思います。

これまで職務分掌、内部牽制、ダブルチェックなど、内部統制システムの構築は、不祥事予防対策として論じられることが多かったように思います。しかしノバルティスファーマ事件は不正予防型の内部統制では不正の未然防止だけでなく、早期発見すら困難だということを露呈しました。この教訓から、厚労省は研究活動における不正データ取締法の検討に入ったそうです。組織の自立的行動に期待できない状況なのでしょう。そこで対策とされているのは、組織の研究開発に関する届出、記録の保存、利益相反行為に対するガイドライン策定、データ改ざんへの罰則とのこと。

こういった新たな対策は、罰則制定以外は不祥事が発生したことを想定したうえでの内部統制システムの構築です。現場を縛る非効率的な体制整備ではないけども、不正に関与した者はかならず罰せられるということを周知徹底することで、間接的に内部者による不正を予防しようというシステムかと思います。ノバルティス社の件だけでなく、東芝社の技術情報流出事件や丸紅社の海外FCPA案件、さらに横浜銀行のATM個人情報窃取事件などの内部者関与の経済不祥事についても、この「不祥事発生時を想定した内部統制システムの構築」の発想が求められるのではないでしょうか。

「不祥事が起きた時のことを考える」ことは、ほんとに経済不祥事が起きたときの企業の危機対応だけでなく、そもそも経済不祥事を未然に防止することにも役立つものと思います。不祥事対策は、予防と発見のバランスをどう確保するか・・・ということの試行錯誤の上に成り立つものと考えています。

3月 31, 2014 内部統制の費用対効果 | | コメント (0) | トラックバック (0)

2011年8月29日 (月)

内部統制報告制度の助言業務は「お払い箱」?

大手監査法人に「冬の時代が到来」とのことで、トーマツさんに続き、あずさ監査法人さんでも助言業務において50名の人員削減を行う旨のニュースが出ておりました(たとえばこちら。日経新聞でも3日ほど前に報じられていました)。とりわけ企業の内部統制部門における助言業務の減少に伴う希望退職の募集だそうで、「内部統制に関する助言業務の特需が出尽くしたことによるもの」と報じられております。

日経や上記ニュースなどを読みますと、もはや内部統制報告制度の助言業務は不要になってしまったようにも思われますが、そうではなくて、今回の内部統制報告制度の改訂(内部統制基準、実施基準の改訂)により、最も助言が必要と思われる中小規模の上場会社については内部統制監査人による指導的機能が強化されたことによるものと思われます。効率的な内部統制報告制度のために、経営者による内部統制の評価方法をなるべく尊重することとともに、会計監査人自身が「効果的、効率的な内部統制構築のために適切な指摘を行うこと」が明記されました。

各上場企業とも、効率的な内部統制報告制度の運用が必要なことは、この2011年3月期において内部統制が有効とはいえないと評価した会社がわずか8社であったことから明らかではないかと。せっかく各企業の内部監査部門が独立的評価の実力をつけてきたわけですから、効率的な運用を目指して、それぞれ会計監査人とのコミュニケーション能力を発揮する必要があり、適宜適切に監査法人さんが助言機能を発揮すべきなのかむしろこれからではないでしょうか。内部統制報告制度について、独立したコンサルティング業務は減少しても、監査証明業務を担当する監査法人さんの助言への要請が減少したわけではないと思います。

8月 29, 2011 内部統制の費用対効果 | | コメント (7) | トラックバック (0)

2011年4月18日 (月)

㈱大水社の内部統制システムは進化したか(二度目の不適切取引の発覚)

4月16日、魚類販売の株式会社大水社(大証2部)が不適切な取引に関するお知らせ と題するリリースを公表しており、元製品課長主導による架空循環取引が平成17年ころから行われていたことが発覚した、とのことであります。内部統制実務に詳しい方であればご存じかもしれませんが、同社は平成20年11月にも「業績に影響を与える事象の発生について」と題するリリースにて、同社元部長主導による架空循環取引が発覚し、過年度の決算訂正を行っております(ちなみに同社の平成21年3月期の内部統制報告書は「重要な欠陥あり」として有効ではない、との結論)。こうやって、ほぼ同様の事件が再び発覚したとなりますと、同社の内部統制についてはまったく改善されていないのではないか、との見方もできそうです。ただ、今回のリリースを読みますと、前回の不適切な取引の発覚と、今回のものとは、少し様相が異なることがわかります。

前回の架空循環取引に関する同社平成21年2月17日付報告書によりますと、同社の架空循環取引は、外部第三者(取引先)からの問い合わせによって不正が発覚したものでありますが、今回の事件は内部監査室による監査をきっかけとして不正が発覚しております。私がよく申し上げるところの「異常な兆候」を内部監査室が発見し、これを契機として社内調査委員会が発足し、本格的な調査の末、サバとサンマの取引における架空循環取引の事実を認定した、というものであります。「仕入代金の支払決済サイトが、取引先との合意ルールよりも短い事象が、不規則かつ頻繁に発生していた」ことを不審に思った内部監査室の報告が発覚の端緒となっており、帳合取引と架空循環取引との区別が容易ではない水産業界において、これは同社の自浄能力がうまく発揮された一例ではないかと思われます。

たしかに同社は、現時点でも大証より(内部管理態勢に問題あり、として)「特別注意市場銘柄」に指定されているわけですから、他社と比較しても十分な内部統制が整備・運用されているわけではないのかもしれません。また、前回の架空循環取引が発覚した時点で、なぜ今回の件についても調査で発見できなかったのか、といった批判も出てくるかもしれません。しかし平成21年3月に、大手の日本水産株式会社から経営支援を受けるようになり(具体的には過半数の取締役がニッスイさんから派遣されて、経営管理が開始されることになる)、また前回の事件における外部第三者委員会の指摘どおりに、内部監査室の実効性を高めたことで、たとえ架空循環取引が発生するリスクが社内に存在し、実際にそういった取引が発生したとしても、これを早期に発見する能力が以前よりも高まっている、と評価されても良いのではないでしょうか。

これは中小上場会社のように、内部統制の整備運用のために、人的にも物的にも多くの負担をねん出できないところにおいて、たとえ不正のリスク(不備)が社内に存在しているとしても、リスクが現実化した時点において早期に発見できるモニタリングが具備されていることによって内部統制の有効性・効率性が高まるような一例ではないかと考えます。こういった事件が発覚すれば、J-SOX上ではふたたび「内部統制は有効とは言えない」といった評価を下さねばならないのかもしれませんが、本当に費用対効果に気を使いつつ財務報告の信頼性を高めるためには、不正(リスクと考えるならば「不備」)を早期に発見する体制作りこそ全社挙げて取り組むべきではないかと思います。早期に不正を発見できれば、「重要性」の観点から、過年度の決算訂正にまでは至らないで済むでしょうし、また報告を受けた経営者らにとって、不正を隠すのではなく公表するインセンティブが働くこととなります。

ただ、「早期に発見できるモニタリングが具備されている」ことの評価は意外とむずかしいのでありまして、セルフチェック部門や内部監査、監査役監査など、おかしいと気づいたときに、これを「おかしい」といえるだけの職場環境がなければ絵に描いた餅になってしまうおそれがあります。結局のところ、こういった職場環境は、担当役員や代表者自身が、不正リスクの低減に向けての意識を有しているか否か、にかかっているのが現実なのかもしれません。大水社の前記リリースによりますと、今後は社外に第三者委員会を設置して、詳細な事実関係の解明および再発防止策の検討などがなされる予定のようでありますが、委員の方々は、このあたりをどのように評価されるのか、今後の委員会報告書の内容に注目したいと思います。

4月 18, 2011 内部統制の費用対効果 | | コメント (2) | トラックバック (0)

2011年4月15日 (金)

「社会の要請」と内部統制ルール(酔狂さんの疑問について)

3月23日のエントリー「郵便不正事件『証拠改竄-特捜検事の犯罪』を読んで」に対する酔狂さんとcpa-musicさんの議論を拝見し、興味を持ちましたので、酔狂さんの御質問をご紹介して私見を述べておきたいと思います。もちろん内部統制に詳しい専門家ということではなく、多少実務をかじった、あくまでも法律家的な立場からの意見です。酔狂さんのコメント部分から、ご質問部分を抜粋いたしますと、

本件の場合、守秘義務違反という組織の内部統制に反しても、検察最大の不祥事を暴くという「社会の要請」が貫徹されれば、「社会の要請」が優位に立つ、と理解しました。ところで、組織の内部統制と「社会の要請」は、こういう考え方で一般化できるのでしょうか。

この種の問題は、ここまで大きくなくても、日常業務ではよく起こります。かつて銀行の支店長をしていたとき、融資の決定権限が本部にある案件について、取引先からの融資依頼日に本部の承認が間に合わないとき、支店長として自信があれば、融資を実行していました。銀行の内部統制に反していることは明らかですが、それを護ることによって、取引先の資金繰りニーズに応えるという「社会の要請」と矛盾します。私は、迷うことなく「社会の要請」を優先していました。本部は、何日か遅れて承認していましたので、悪いのは、依頼日までに承認をしない本部の側にあると確信していました。本部サイドも、依頼日に間に合うように承認するという、少なくとも職業倫理に反していたことは明らかです。ところが組織の内部では、非難は本部には向かわず、支店長を一方的に悪者に仕立て上げます。今回の投稿には、こういう背景がありました。組織内でこうした矛盾が生じたとき、何が「正義」で、何が「悪い」のか、内部統制論としては、どのように考えるのでしょうか。ご教示をお願いします。

・・・・・・(中略)・・・しかしながら、言われるように、「社会の要請」と「会社のルール」は、トレードオフの関係にあることも多いとしますと、機動的な調整がなされない限り、内部統制は経営者の自己利益が主張されがちになり、社会からすると、内部統制の負の側面が濃厚に出てきます。本当にこれでいいのでしょうか。

ご指摘の通り、ルールを守ること、もしくは「社会の要請」に応えるルールに変更することが重要なことは当然ですが、この舵取りを如何に柔軟にするかが大きな問題と思えて仕方がありません。内部統制論では、そういう機動的な調整は、どのように検討されているのでしょうか。どなたか、ご教示をお願いします。

酔狂さんは、たしか大手都銀(まだ銀行名が変わる前)の基幹店舗の支店長も歴任された方です。酔狂さんが問題にされておられるのは、支店長として社内ルールに反してでも、支店長の独断で取引先への融資を行うことは、社会の要請に応えることであって「正義にかなう」、しかし社内稟議を経ずに融資を実行したことに対して、社内で悪者になるのは独断で融資を行った支店長であり、これは内部統制ルールが社内では「正義」とされているからではないか、そもそも「社会の要請」と「会社のルール」はトレードオフの関係にあることも多いのではないか、これをどう考えるべきか、といったあたりを問題にされておられます。

うーーーん、私は内部統制と「正義」というものは、あまり関係ないのではないか・・・・と考えております。

内部統制というのは、そもそも「切り口をどこに持ってくるか」ということで、語る人によって異なりますね。金商法を念頭に置けば開示のための内部統制報告制度を想定するでしょうし、株主や会社債権者、取引相手方といった関係者の利害調整を念頭におけば会社法上の内部統制(経営の自由度が高められた平成17年改正会社法下における取締役の善管注意義務)を想定するでしょうし、また企業の業績向上を目指す経営者を念頭に置けば経営管理の一種としての内部統制が想定されます。それぞれの目的がありますので、その目的達成のためのプロセス全般を「内部統制」とみるわけで、それぞれの目的達成のために有意であれば社会的な価値があるものと考えています。

もちろん「社会の要請」に応えるための内部統制、という意味では私も酔狂さんの考え方に同調するのですが、そもそも社会の要請と正義というものが一致するのかどうかは、よくわからないと思います。「正義」という言葉が行為時に客観的な物差しにはなりにくく、たとえば上の例でいえば、取引先の緊急の要請に応えることは「正義である」といえるのは、それが後日事故にならなかったからであって、緊急融資が後日再生債務者管財人から否認されるような事態になってしまえば、「正義」とは言えなくなってくるのではないでしょうか。「ほらみろ、だから社内ルールに従わなかった君が悪かったんだ」と言われても仕方がないということも、ありうるのではないかと。こう考えますと、内部統制に反する行為をとったことが正義に適う場面も、またおかしなルールだと感じながらもルールに従うことが正義に適う場面もありうるように思います。民事事件の代理人をやっておりますと、正義などというものは「絶対的なもの」ではなく、配分的なものであったり、相対的なものであったりするように感じます。

むしろ問題は、内部統制ルールを厳格に運用するあまり、内部統制を構築して得ようとしている企業価値(有意な目的の達成)をかえって毀損してしまうような事態にあるのではないでしょうか。たとえば内部統制報告制度(J-SOX)を運用するにあたって、財務報告内部統制の構築は、株主から負託された金銭を用いて行うわけですから、費用対効果に反することは許されないはずです。しかし、作業の確実な実行にばかり気を取られてルール遵守だけに配慮していると、とんでもない人的・物的資源の浪費につながる可能性があります。酔狂さんが指摘されておられるように、形式的にはルールに反していても、現場がフレキシブルに対応したほうが、取引先からは喜ばれ、社会の要請に応えることができることにもなります。そして現場のルール違反が社会の要請に反しているような運用があれば、これを「異常」として検出できる仕組みのほうに力点を置くシステムのほうが費用対効果という面からみても得策ではないかと思います。私はこれも内部統制のひとつだと考えています。

もし内部統制と正義の関連性を考えるとするならば、それは運用する側の倫理の問題ではないでしょうか。私は負の部分も正の部分もあると思いますし、内部統制システムを経営や法制度のなかで運用する者の心の問題ではないか、と考えますが、いかがなものでしょうか。

話は変わりますが、「郵便不正事件」といえば、4月10日の情熱大陸で弘中弁護士が出演されておりまして、「事件のつかみ」の鋭さに感嘆いたしました。事件の核心に迫っていくモチベーションを高めることや、裁判官を「なるほど」と説得させるためには、「事件のつかみ」がたいへん重要であることは私も同業者として理解しているところですが、弘中氏の「事件のつかみ」がインタビューのなかでうまく表現されており、たいへん参考になりました。これはまた興味深いので別のエントリーにてご紹介したいと思います。

4月 15, 2011 内部統制の費用対効果 | | コメント (13) | トラックバック (0)

2009年10月27日 (火)

内部統制報告制度ラウンドテーブル(11月5日)

ある事情により、先週金曜日から本日(月曜日)まで休みもとらず、ひたすら「不適切な会計処理の発覚」に伴う社外調査委員会報告書を約50本ほど、読みふけっておりました。(正確には、すべてが純粋な「社外調査委員会報告」ではなく、取引所提出用の「改善報告書」や弁護士が支援している「社内調査委員会報告」も含まれております)時期的には証券取引所の改善報告書縦覧期間分ですから、だいたい平成17年から最近までの分ということになります。もともとこういった報告書を読むのは好きなほうですが、さすがに一日平均12~13本となりますと、ヘロヘロになってきます。

この50本は、いわゆる経営者主導(経営者関与)型の会計不正(粉飾、違法配当)事案は含まれておらず、経理担当職員や営業社員等による資金流用事件を選択しております。つまり内部統制の限界事例ではなく、いわゆる典型的な内部統制欠乏型事例というものです。(したがいまして、社外委員の再発防止策として、ほとんどに内部統制システムの充実・・・と出てきます)取引所による指導などもあってか、平成17,18年当時よりも最近の報告書は格段に内容が充実しております。以前はインダイレクトレポーティング型(社内調査委員会報告書に対する検証を主たる目的とするもの)が多かったのでありますが、最近は社内調査とは別に社外調査委員が何度となくヒアリングを行って、独自に事実調査などを詳細に行うもの(ダイレクトレポーティング型)が増えているのが事実であります。内部統制というと、いわゆる「日本システム技術事件」が有名でありますが、こうやって日本システム技術社の改善報告書を改めて読んでおりますと、多くの会社が日本システム技術社と同等の内部統制レベルであることが理解できます。(たまたま株主から損害賠償請求訴訟を提起されなかっただけ、ということですね)

また平成17年ころからの報告書を読みながら「どっかで聞いたことがある会社だな」と考えておりましたところ、今年の内部統制報告書におきまして「重要な欠陥あり」と公表している会社が(やっぱり)多いんですね。この1年に会計不祥事が発覚した会社だけでなく、過去数年内にそういった会計不祥事が発覚した会社も、やはり開示体制に不十分なところを残しつつ事業を継続していることがよくわかります。(そう簡単には財務報告の信頼性が確保される体制にはならない、ということなんでしょうか。)先日ご紹介した日経シンポでもこの第三者委員会の在り方が話題になっておりましたが、なるほどこうやっていろんな報告書に接しますと、プリンシプルベースによる市場規制のなかでの第三者委員会の在り方のようなものも、おぼろげながら理解できるところであります。

さて、すでに何度かこのブログでもご紹介いたしました「内部統制ラウンドテーブル」でありますが、いよいよ来週(11月5日)となりました。予想以上の反響でありまして、ラウンドテーブルの傍聴券200枚のところ、すでに300名以上の申し込みがあるため抽選で傍聴券が配布されるそうであります。以前ブログでご紹介した際には、まだ報告者やオブザーバーの名前が決定しておりませんでしたが、(どういうわけか)私自身も法律家代表(いや、ブロガー代表?)として、このテーブルに参加させていただくことになっております。皆様方を高揚させるような意見なのか、それとも落胆させてしまう意見なのかはわかりませんが、私なりに2年目に向けた内部統制報告制度の課題について考えていることをそのまま素直に述べるつもりであります。コメントをいただいた「答えは風の中」さんや「いたさん」「tonchanさん」のご意見、そして「とも先生(池永朝昭弁護士)」から示唆いただいた見解なども参考にさせていただくつもりであります。

10月 27, 2009 内部統制の費用対効果 | | コメント (2) | トラックバック (0)

2009年3月27日 (金)

内部統制「統制上の要点の選定とリスク・アプローチ」

先週の日経新聞特集記事「点検・内部統制元年」を、たいへん遅くなりましたが(上)(下)ともきちんと読ませていただきました。費用負担が重くのしかかっている・・・といったイメージをどこの企業もお持ちではないかと思います。そんななかで、中堅上場企業である大阪のニイタカ社の内部統制責任者であるS氏(ときどき拙ブログにもコメントをされる方ですが)によりますと、ニイタカ社の内部統制にかけた関連費用はS氏の人件費のみ、ということだそうであります。このS氏とは、もうかれこれ2年ほど研究会でご一緒しておりますので、この「関連費用は私の人件費だけ」というのがウソ偽りのない真実であることは私自身がよく知るところであります。ただ、このS氏の内部統制システム構築にかける情熱はちょっと他の人ではまねのできないものであります。新聞にもあるように、現場担当者や現場監督者が業務プロセスの整備・運用、そして自己点検による評価方法に至るまで、十分に理解するまで徹底的にレクチャーを行い、不備が生じればすぐに内部統制プロセスをくりかえし改定し、逐次外部監査人を呼んで改良点の説明を行い、外部監査人のほうが「もう堪忍して」と音を上げるまで徹底的に協議を繰り返す・・・ということであります。しかし(前にも書きましたが)、私がこのS氏をみていて、おそらくニイタカ社では内部統制は有効と評価されるものとは思いますが、全社あげて内部統制の整備はS氏にまかせっきりになっているものと推察され、もしS氏が(たとえば)ヘッドハンティングによって別の会社で内部統制構築を手掛ける、という事態になってしまうと目もあてられないことになってしまうのではないか、といった一抹の不安を抱かずにはおられません。いわゆる「内部統制リスク」というやつですよね。誰かの個人プレイにまかせっきりになってしまいますと、その個人がいなくなってしまうと、社内で誰も内部統制の改良ができなくなってしまうということは大きなリスクです。そう考えますと、この「内部統制リスク」を低減させるためには、内部統制プロジェクトチームのような組織的対応の必要性や、後継のためにできるだけ文書化しておく、といった費用負担を要する対応もある程度は必要なのではないか・・・と思ったりもしております。内部統制はいよいよ2年目を迎えるわけですが、その性質上永続的に制度を見直すことが求められるわけですから、企業としての制度対応も、それなりに人材育成やシステム改良のノウハウを個人プレイに頼ることなく、企業として検討していかなければならないと思います。

そして内部統制2年目といえば、旬刊経理情報の4月1日号では「2年目の内部統制」が特集されておりまして、たいへん興味深く拝見させていただきました。この特集のなかで、解説者の方が、トップダウンのリスク・アプローチが、1年目において業務プロセスの評価範囲や方法の決定のためにはよく議論されたようだが、これまで統制上の要点の選定のためにはほとんど議論されてこなかったのではないか?といった疑問を呈しておられ、これは私もまったく同感であります。これは日本取締役協会や日本監査役協会での報告でも「問題提起として」述べさせていただきましたが、本当にリスク・アプローチが統制上の要点の選定のために活用されるのであれば、そこには経営者の関与は不可欠なはずですが、これまで議論されてこなかったのは、まさに十分に経営者の関与が問題にされてこなかったからだと思います。わずか1年半の間に、リスク・アプローチ監査についてはナナボシ判決が、そして経営者のリスク・アプローチについては日本システム技術判決が、それぞれ財務報告における重大な虚偽表示リスクに関わる裁判事例として出ております。ナナボシ事件判決では、監査人による監査の手法が経営者による不正リスクと対応していなかった点が指摘されており、また日本システム技術判決においては、従業員による不正リスクと経営者の構築した内部統制システムが対応していなかったことが指摘されているわけであります。これは裁判所の考える「重大な虚偽表示リスク」とは何か?それは何を評価した結果なのか?リスク低減措置はどこまで要求されるのか?といったあたりを検討するには好材料であります。実施基準を前提とする「統制上の要点」と、裁判所が問題とする「リスクと統制との対応関係」は厳密には別物であるとしても、「あなたの会社はワンマン会社だし、取引先との付き合いも長いので経営者不正の可能性が高い」などとは、決して監査法人さんは言わないわけですが、裁判所ははっきりと、不正リスクのひとつであり、平時から配慮すべきリスクである、と指摘するわけであります。したがいまして、平時から経営者リスクや組織に内在するリスクを堂々と宣言できるのは経営者以外にはいないのであります。そこがズバッといえないのであれば、統制上の要点がきちんと選定されるはずもないわけでして、お題目のように「経営者の関与が不可欠」といってみても、実際にそこに目をつぶっていては、おそらく「内部統制リスク」は軽減されることはないものと考えております。

なおリスク・アプローチと法的責任(「重要な欠陥」ではございません)との関係については、リスクアプローチ監査については会計上の重要性の原則と、そしてトップダウンのリスクアプローチについては経営者による経営判断原則との関係がつぎに議論されるところだと思いますが、その点はまた別途検討してみたいと思います。

3月 27, 2009 内部統制の費用対効果 | | コメント (8) | トラックバック (0)

2008年3月 3日 (月)

インダイレクト・レポーティングを採用するJ-SOX上の悩ましい課題

最近、何名かの方に同じ質問を受けたのでありますが、金融商品取引法上の内部統制報告制度(いわゆるJ-SOX)がインダイレクト・レポーティングを採用しているがゆえに、運用テストにあたっていろいろな問題にぶつかっている担当者の方もいらっしゃるようであります。私自身も一緒に考えておりますが、明解な答えはまだみつかっておりません。

経営者は一般に公正妥当と認められる経営者評価の基準にしたがって、自社の財務報告に関する内部統制の有効性を評価し、これを報告するわけでありますが、内部統制監査人(いわゆる監査法人)はこの報告内容が適正であるかどうか、一般に公正妥当と認められる内部統制監査の基準にしたがって監査をすることになります。そして、外部監査人が経営者評価報告を適正と表明するかどうかは、原則として経営者自身による評価根拠と、評価の過程を斟酌して判断するものであり、みずから評価根拠を入手ものではないとされております。(インダイレクト・レポーティング)しかしながら、実際のところ、全社的内部統制の有効性にせよ、業務プロセス、決算財務報告プロセスにせよ、経営者が直接評価することもできないわけで、そこで実際には内部監査人や経理部等の評価自体が経営者評価の根拠となるわけであります。外部監査人(監査法人)による監査にしても、ダイレクトレポーティングが採用されていないわけですから、評価根拠としては、内部監査人による評価や監査役による評価に依拠する場面も多くなるものと思料いたします。

さて、そうなりますと、内部統制報告制度にとりましては、期中における監査法人、監査役、内部監査人等の連携協調は非常に重要な役割を担うことになりますが、社内におけるモニタリング機能をどこまで及ぼすべきか、という現実の問題が生じることになりそうであります。たとえば、人事部の人事評価に関する記録は内部監査人(経営者直結)が閲覧しなければならないのか、監査役による取締役会や取締役の評価調書(監査役会議事録等)は内部監査人に閲覧させなければならないのか、内部通報制度の具体的な事件記録は閲覧の対象となるのか、コンプライアンス委員会やリスクマネジメント委員会のように社外委員が多数含まれている議事録の内容も閲覧の対象になるのか等、様々な場面が想定されます。これらにつきまして、たとえば高度の守秘義務を負う監査法人さんにおいて、直接閲覧することであれば(つまりダイレクトレポーティング)、それほど大きな問題は生じないものと思いますが、社内の内部監査室や監査役が閲覧して、全社的内部統制の有効性評価の参考とするのであれば、おそらく社内で抵抗される方々もいらっしゃるのではないでしょうか。たしかに、実施基準によりますと、Ⅰ内部統制の基本的枠組み4の(4)におきまして「内部監査人がその業務を遂行するには、内部監査の対象となる組織内の他の部署からの制約を受けることなく、客観性を維持できる状況になければならない」とされておりまして、いかなる内部文書も(内部監査人の独立的な立場上)自由に閲覧できるような状況が期待されているのかもしれませんが、現実問題としましては、内部監査人は経営者直轄の組織に属することからみて、各部署における意思形成過程に萎縮的効果を与えてしまう恐れがあるのも事実であります。(そもそも、財務諸表監査に伴う内部統制監査として、監査法人さんが評価対象とする範囲ものであれば、ダイレクトレポーティングの対象と考えることもできそうでありますが、さきほど挙げた問題点は、そういった対象となるものでもありませんので、新たに施行される内部統制報告制度における評価項目のみに関連するものだと思われます。)たとえば、以下に掲げるような評価項目は、内部監査人(といいますか、評価する人)が、その評価にあたって、各部署の保存記録等を閲覧すべきではないか、と思われる根拠となる項目であります。(ご参考まで)

(参考1)財務報告に係る全社的な内部統制に関する評価項目の例

(統制環境)

・経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか

・経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保・配置しているか

(情報と伝達)

・内部通報の仕組みなど、通常の報告経路から独立した伝達経路が利用できるように設定されているか

たしかに、全社的内部統制に関する42の評価項目は、重要な判断指針ではありますが、すべての上場企業でチェックリストのように利用する必要はなく、むしろ各企業においてどの項目を重視してチェックすべきか、合理的な説明がつくのであれば、項目に軽重をつけてもいいと思いますし、省略できる評価項目もあってかまわないのではないでしょうか。全社的内部統制の有効性評価のための42項目の活用につきましても「メリハリ」の問題でありまして、重大なリスクが存在する可能性があれば文書の閲覧も必要でしょうし、そうでなければ、委員会メンバーや監査役等へのヒアリングだけでもチェック可能ではないかと考えております。人事評価調書にせよ、内部通報処理報告書にせよ、文書化(記録および保存)することは当然だと思われますが、その内容まで精査しなければ全社的内部統制の有効性が評価しえないような場合以外にまで、内容の検討が必要性はないものと考えております。また、内容検討の必要性がある場合でも、たとえば評価を外部に委託したり、コンプライアンス委員会に評価を委ねるなど、代替手段も考えられるのではないかと思います。

ただ、リスクマネジメント委員会やコンプライアンス委員会の議事録等につきましては、全社的内部統制の有効性を評価する根拠という理由以外にも、業務プロセスの評価範囲を決定したり、評価方法の簡素化を検討するための根拠理由が示される場合もありそうですし、また財務報告に係る内部統制システムの改善をはかるためのヒントも記載されている可能性もありますので、すくなくとも内部監査人は閲覧のうえ内容を精査する必要性があるかもしれません。以上、いろいろと検討してきましたが、まだこのあたりは私も検討中のところでありまして、また有益なご意見ございましたら、よろしくお願いいたします。

3月 3, 2008 内部統制の費用対効果 | | コメント (9) | トラックバック (0)

2007年5月28日 (月)

内部統制準備と代表者の関与

日曜日(5月27日)の日経朝刊では、ある監査法人さんの(4月時点での)レポートとしまして、「内部統制(金融商品取引法上の内部統制報告制度)の導入準備」について、上場会社の7割強が、「これから整備」といった状況にあることが報じられておりました。概要は以下のとおりであります。

これから整備が7割強(内部統制の導入準備)

内部統制の導入準備 約4分の3の上場企業が本格的な導入準備をはじめていないとのこと(日経5月27日朝刊)。太陽ASG監査法人の調査で判明した。同監査法人は「十分な試験運用ができないまま来年四月を迎える企業が出かねない」とみている。4月に開催した太陽ASG監査法人主催のセミナーに参加した上場企業278社に調査を実施。「整備に着手した」「整備が5割程度進んだ」「整備は完了した」のいずれかの選択肢を選んだ企業の合計は全体の26,2%にとどまった。残りの7割強は本格的な導入準備に至っていなかった。

(なお、太陽ASG監査法人さんの実施した調査アンケートについて、その回答項目をみますと、「整備完了」「整備は5割程度」「整備を始めた」「現状把握を終えた」「整備方針を決めた」「プロジェクトを設置した」「プロジェクトはまだない」と並んでおりまして、そのなかから選択することになっていたようであります。ご参考まで。)

こういったアンケートは昨年後半あたりから、大手の監査法人さんのほうで何度か実施されてきたわけでありますが、「約7割が未だ準備に着手していない」といった結果報告内容につきましては、あまり変化がないようにも思われます。どなたかが、コメントでも書かれておられましたが、こういった調査結果を読みますと、アメリカでもPCAOB基準2号が廃止され、基準5号が適用される(将来的に)ということでもありますので、日本における実務対応についても今後慎重に各社において判断したほうがいいのかもしれませんね。(試験運用の段階・・・ということではありますが)ところで、このブログにおきましても、現状把握に関する問題点や、現場レベルにおける内部統制整備に関する問題点などを具体的に指摘して議論されてみては・・・といったご要望も承っておりますし、私もそういったエントリーの話題を検討したいと考えております。(有益なコメントをたくさんつけていただけそうですし)ただ、そういった議論をする前に、このアンケート調査の結果を踏まえて確認しておかなければならないと思いますのは、上場企業の社長さんは、自社の内部統制報告制度の整備運用についてはどの程度、積極的に取り組んでおられるのか・・・といったことにも留意すべきではないか・・・というたいへん基本的なことであります。また、とりわけこのブログを閲覧されていらっしゃる皆様方には、内部統制報告制度のための現状把握、システム整備の必要性をどのように社長さんに説得されたのか、といった点を教えていただければ、と思います。社長さんがグループ企業全体の内部統制整備に関して、どのような方針でどのように進めていくのか、そのあたりの確認というのはどうやってされているのでしょうかね。それとも、そんなことは無視して、現場レベルでコンサルタントさんと担当者で進めている、ということなのでしょうか。私自身も、もうそろそろ抽象的な内部統制理論の是非よりも、具体的な整備レベルでのお話をしたいと考えているところではありますが、社内で一番重要なリスクがわかっていらっしゃる(と思われる)代表取締役さんの目の届かないレベルの話をしても意味がないと思われます。そこで、さきほどのアンケート調査などにおきましても、セミナーに参加された上場企業の担当者の意識と、その企業のトップの意識とでは食い違いが生じていないのかどうか、そのあたりにたいへん関心を抱くところです。(経営トップの方々によるアンケート結果報告、というものもリアルタイムにあればおもしろいと思います)いま整備されつつある内部統制システム(あるいはその補強といった作業)は社長に認識され、社長が重大と認識しているリスクをどう管理することに役立つのか、そのあたりの説明がつかなければ、「それはおかしいのではないか」といったトップの問題意識すら生まれてきませんよね。以前、このブログでも少し話題となりましたが、経営者による業務プロセスの有効性評価のためのサンプリング手法というものも、あれは経営者(および役員一同)にわかるものでなければいけないのでは・・・といった問題意識から採り上げさせていただきましたが、あの議論の際にも、そもそも正規分布の法則の適用が妥当なものなのかどうかとか、サンプルを抽出する母集団が均一であることを前提とできない場合はどうしたらいいのか、など、当該企業の経営者でなければ正しい認識が下せない前提条件がいくらでもあろうかと思います。

「何のために、そのようなシステム構築が必要なのか」そういった疑問が社長さんから出てくるのが最も健全な姿なのではないでしょうか。少なくとも内部統制報告制度によって「会計不祥事については、『社長は知らなかった』では済まなくなる」ようなものを目指すのであれば、社長さんの関与の度合いといったものがとても重要になるものと思います。私のような社外監査役の立場の者は、そういった現場レベルでの進捗を認識しつつ、その重要性を社長に翻訳するのが大きな役目ではないかと思って、そのように活動しているのが現状であります。

5月 28, 2007 内部統制の費用対効果 | | コメント (10) | トラックバック (0)

2006年8月24日 (木)

内部統制の費用対効果(その2)

(8月24日深夜 追記あります)

いよいよ東京では「2006内部統制ソリューション展」が始まりましたね(8月23日、24日東京国際フォーラム 日経BP社)。私も実はそのゴールドスポンサーさんが主催されている「内部統制が会社を変える!」の基調講演を8月に2回させていただいております。そんな立場でありながら、非常に恐縮な話なのですが、私もcritical-accountingさんと同様、「日経情報ストラテジー9月号」の「日本版SOX法8つの誤解」という特集記事を読みまして、とりわけ「費用対効果」に関する問題点につきましては、非常に納得した次第であります。(といいますか、私の大阪での講演をお聞きになられた方はご承知のとおり、この「誤解」というところは、ほとんど私の講演内容と同趣旨の指摘ばかりだと思います。まぁ八田教授もこの特集で登場されているわけですから、八田先生のお話や基本書をもとに内部統制を考えてきた者にとりましては当然といえば当然かもしれませんが・・・)ただ、内部統制をITソリューションのビジネスチャンスと捉える企業の方々にとりましても、今後の「日本版SOX法(金融商品取引法およびその実施規則や実施基準)」と「平成18年度情報基盤強化税制」の動向をキッチリ押さえておきませんと、あとでややこしい問題に巻き込まれてしまうのではないか、といった懸念がありますので、たいへんタイムリーな話題(警鐘?)だと思いました。

日本版SOX法、つまり内部統制報告実務(監査証明実務を含む)を策定、導入する責任ある立場の方々にとって、日本の上場企業(規模にかかわらず)にこれを均一に適用させるためには「費用対効果」というものは避けて通れない問題だと思います。ちょうど1年前の2005年8月26日のエントリーにおきまして、この内部統制の費用対効果の問題をこのブログで採り上げました。そもそも日米の企業文化において「業務内容を文書化」することの意義に大きな差があることを訴訟におけるディスカバリー制度を具体例にして説明させていただき、日本の企業ではアメリカほどの文書化が根付くことはないのではないかと問題を提起させていただきましたが、そのアメリカにおきましても、(これも既にブログで紹介いたしましたが)最近、中小の上場企業向けの「統制環境」評価において「なるべく費用がかからないような工夫」が議論されるようになってきました。(このあたりの話題は7月頃の週刊経営財務が詳しいと思います)日本の上場企業のなかで、(アメリカと異なり)「よーいドン!」で一社残らず内部統制報告実務が始まるわけですから、社員30人の公開企業でも経営者が評価可能な統制システムであれば「OK」なわけです。いくら「攻めの内部統制」と謳ってみましても、統制システムに関する開示情報が企業価値を計るモノサシとしての役目でも果たさない限りは、おそらく費用対効果といった見地からは疑問が出てきてしまうわけです。

いろいろと考えてみますと、「法が強制する最低限度のシステム」をクリアすることが目的であれば、その最低ラインを各上場企業が知りたいわけですから、各社統一された基準を適用することにも一理あるかもしれません。しかしながら、「これは最低ラインをクリアすることだけが目的ではありません。こういった作業は業務の効率化を進めることに役立つのです」といわれて、普通にその説明を納得できるでしょうか。「攻めの内部統制(効率化によって他社に差をつける)」につきましては、特別に国家が統制システムの内容を基準として定める必要はないわけでして、古来優秀な中小企業の社長さん達が個人的なノウハウとして持っていた「わが社の秘伝」、つまり個々の企業に合った内部統制システムを模索すればいいわけであります。

投資者保護に必要なレベルの「財務報告の信頼性を確保するための内部統制報告実務」というものが「守りの内部統制」であるならば、システム整備によって他社に差をつける業務効率性を生み出す可能性、というものは「攻めの内部統制」と名づけられてしかるべきと思います。ただし「基準」というものが必要なのは実は守りのほうだけであって、攻めのほうにつきましては、むしろ基準があること(国家がシステムの仕組みを決めること)とは矛盾するのではないでしょうか。ただ、このあたりを巧妙に統一して説明することを可能にしてくれるのがCOSOフレームワークにも登場してくる「統制環境」というたいへん便利な概念ではないか・・・と思ったりしております。私は、今後の内部統制に関するいろいろな議論のなかで、キーワードとして十分使い方に注意すべきなのは、この「統制環境」という用語と「全社的な内部統制」そして「内部統制の限界」という用語であろう、と推測しております。

(8月24日追記)

内部統制関連の情報ですが、どうも内部統制部会による実施基準の公開草案の提出時期がまたまた遅れるようですね。といいますか、ずいぶんと簡略化される実施基準になる、という噂があるようです。このあたりは、会社法における内部統制と金融商品取引法における内部統制報告実務との融合ということを原因とするのか、それとも金融庁における国際会計基準への対応を急務とみてのことなのか、アメリカにおけるSOX法実務の混乱に起因するものなのかはよくわかりませんが。いずれにしましても、今後、この内部統制報告実務に関する最新情報にはくれぐれもご留意ください。

8月 24, 2006 内部統制の費用対効果 | | コメント (0) | トラックバック (0)

2005年8月26日 (金)

内部統制の費用対効果

SOX(サーベインズ・オクスリー)法発祥の地であるアメリカにおきましても、内部統制システム構築に要する費用があまりにも高額になりすぎている、ということで見直し論が高まりつつあります。また、日本におきましても、上場企業の代表者が内部統制システムを適正に構築した旨の誓約をしなければならない、ということで、そのシステム構築の外注費や構築状況の監査報酬など、運用における費用問題などが近時議論されています。

そもそも、システムを導入したからっといって業務の効率化を図ることは可能であっても、それ以外の目的、たとえばコンプライアンス経営の執行や、資産保全、財務の信頼性確保などが目に見えて効果が高まり、企業の高収入につながる、というわけではありませんので、企業経営者からは「これだけの費用をかけて、効果はあるのか」と疑問を呈されるのも無理はありません。私も内部統制システムの構築というものは、ちょうど法治国家における「司法の独立」のように、いわば株式会社形態を採用する営利団体の「社会インフラ」であると考えておりますので、これがなければすぐに企業が立ち行かなくなる、というものではありませんが、やはり企業の内外から、こういったシステム構築の目的達成のために企業の内外から信頼を得るためにはどうしても必要なものである、と説明いたします。

なお、この点につきまして、アメリカの場合には「社会的インフラ」という抽象的な説明以上に、費用対効果を説明しやすい理由もあります。それは訴訟社会ならではの理由でして、いわゆるディスカバリー制度とも結びついているようです。ご承知のとおり、アメリカの民事訴訟では、実際の裁判手続きにまで至る訴訟事件はごくわずかでありまして、ほとんどがディスカバリー段階で和解終結(取下げを含む)するケースが多いようです。相手方が企業の場合、こちらの代理人弁護士は、その企業が保有する裁判必要文書を事前に開示するよう求めることができ、また企業自身も自発的に証拠を開示することが可能です。こういったケースで、相手方企業は「明確な社内の文書管理規定があるかどうか」「その管理規定に基づいた文書を相手方の指示どおりに編纂して提出できるかどうか」「提出文書に虚偽、もしくは過失による誤謬がないか」の判断によって、文書の信用性に大きな影響を受けます。もし内部統制システムが機能せず、文書管理がずさんだったりしますと、訴訟上のペナルティを受けることになります。(たとえば証拠としての提出を禁止されるとか、もっと厳しい場合には抗弁権放棄が擬制されたりします)。また、文書管理方法が悪いケースなどは、自身企業によって相手方指示の文書提出までの費用を負担しなければなりません。

こういったケースが現実のものですと、民事紛争となった時点での多額の費用負担よりも、日常における文書管理上の費用負担のほうがはるかに安くつく、という判断には至りやすいと思われます。

「内部統制システム構築」そのものが訴訟における費用負担と直ちに結びつかない日本の場合には、やはりまだまだアメリカほどのインセンティブが理解されにくいことが予想されます。昨日のエントリーでも若干触れましたが、日本の場合にも、企業に対する規制法規によって「システムを構築しなければならない」とうたうだけでははく、実際に取締役の法的責任問題のなかで「システム構築に尽力してきた企業にアドバンテージが発生する」といった解釈基準を盛り込む、という検討をしていかなければ、内部統制システム構築が会社におけるインフラとして有効に機能していかないように思われます。

8月 26, 2005 内部統制の費用対効果 | | コメント (0) | トラックバック (0)