ビジネス法務の部屋

最近「当ブログで内部監査に関連するエントリーが多くて嬉しく思います」といったメールを頂戴するようになりました。また、「経営監査など非現実的であり、そのような意識で内部監査を見ている経営トップなどいない」とご異論をいただくことも増えました。ということで（？）、昨日は内部監査機能を内部監査部門以外で発揮しておられる企業の例をご紹介しましたが、本日は私が社外監査役を務める大阪メトロ（大阪市高速電気軌道株式会社）の例を（守秘義務に反しない範囲で）ご紹介します。ご承知のとおり、大阪万博、ＩＲ構想により、大阪メトロも鉄道を安全に走らせるだけの会社ではなくなりました。

ところで、月刊監査役の最新号（2019年6月号）では、証券取引等監視委員会委員の引頭氏のご論稿と明治大学の柿崎先生のご論稿が、いずれも監査役の経営監査の重要性について指摘しておられます。モニタリングモデルの取締役会を目指す企業が多いとはいえ、マネジメントモデルで運用されている企業が多いのが現実であり、経営に重大な影響を及ぼすリスクが顕在化するケースでは監査役会（監査委員会）こそ「経営監査」を通じて重要な役割を担う必要がある、とのこと。

私が社外監査役を務める大阪メトロの監査役会は会社法上は常勤１名、非常勤社外2名で構成されていますが、実態としての監査役会は監査役3名と専従スタッフ5名で構成されています。スタッフは部長級のチーフ1名に３０代、４０代の優秀な社員が数名。私は「監査役スタッフ」が存在する会社の社外監査役に就任したのは今回が初めてですが、この１年の監査役としての活動を通じて、専従スタッフが４～５名も存在する場合、監査役会から見える会社の風景がこんなにも違うのか、と驚いております。先日、私から会計監査人に申し上げましたが、「これだけ監査役スタッフが充実している場合、監査役と会計監査人との連携の在り方についても、少し見直したほうがいい」と、素直に思います。

なんといってもスタッフを通じて経理部や内部統制室、内部監査部門が何を考え、何を優先して業務を執行しているのか、社長は内部監査や内部統制に何を期待し、何を優先価値とみているのか、タイムリーに理解できます。グループ会社の状況もしかり。常勤監査役ではおそれ多くて（？）形式論になりがちな「内部監査部門と監査役の連携」も、スタッフによるコミュニケーションではホンネが語られることが多いので助かります。

私のようにサラリーマン経験のない者からすると、社長の指示命令は当然のことながら一般社員にまで浸透するものと（安易に）思っていましたが、現実にはそんな甘いものではありませんね。実際には、それぞれの小集団において、指示に従うべき事項と（集団で従うべきかどうか熟考するために）一部ペンディングにしてしまう事項を選りすぐる、つまり指示命令はかならずしも現場に徹底されるわけではない、ということを監査役実務を通じて痛感します（これは、他社の社外役員の経験からも認識しました。だからこそ職務分掌や権限と責任の明確化が必要とされる）。

また、私が内部統制に詳しい専門家として、ご依頼を受けて提言するのは「部分最適」でして、その「部分最適」が果たして「全体最適」に資するものなのか、それとも障害となるものかは、長年当該会社に勤務する監査役スタッフの話を聴いてみないとわからない。つまり「経営監査」というものは、全社的リスクマネジメントを提言する前提となる「個々の組織における場の空気」を認識したうえで実施しなければ、経営陣に腹落ちするものにはならないと思います。なるほど、経営者が一度腹落ちすると、「モノが言える監査役」としての監査環境が整備されてきます。

大阪メトロの監査業務を通じて、本来的には内部監査部門が担うべき経営監査機能の一部は「監査役スタッフ」が担っているのでありまして、昨日の村田製作所でもそうですが、要は「あるべき内部監査機能」をどこの部署が担っているのか・・・という点は、各企業それぞれ検討しておく必要があると考えております。先にご紹介した柿崎教授のご論稿では、最近の米国では、経営監査部門が極めて重視される時代になったとのことですが、日本でも「利益につながる内部監査」を模索する企業も増えてくるものと思います。

日経ビジネス最新号（6月3日号）の特集「村田製作所－なぜ最強なのか」を興味深く読みました。売上高営業利益率１６．９％（2019年3月期）というダントツの業績を誇る組織力はどこから生まれるのでしょうか？私は「内部監査機能の強み」にあると思いました。

当社には約1000人の「改善士」なる社内資格者（専従者）が存在し、日々現場の効率性を高めるための仕事に従事されているそうです。現場の優秀な社員から選抜され、費用対効果の面で結果を残すことで評価され、さらに重要なポストに昇進するとのこと。コスト削減には組織横断的な提言がなされますので、様々な領域での知識が求められるそうです。また、「商品技術」なる社内資格者も存在しており、新商品の開発技術などを顧客に説明するために、エンジニアとしてのスキルと営業におけるスキルを具備するメンバーを社内で育成しているそうです。この「商品技術」のスキルを備えることで、営業現場に広く権限委譲が行われ、他社よりも迅速な意思決定が実現できる、とのこと。

「改善士」も「商品技術」も優秀な社員から選抜された専従者（社内資格者－ただし「内部監査部」に所属している、というわけではありません）ということで、多様なスキルを身につけて、当然のことながら結果を残されなければ評価されないはずです。また、各セクションの人的資源と物的資源とのバランスや、セクション間の力関係なども理解したうえで、改善提案や裁量権限の行使に至るわけですから、「儲けにつながる内部監査」のプロと言えます。

内部監査による現場改善の提案といえば、ルールによる監督強化、人的・物的資源の充実、といったところが一般的かとは思いますが、そもそも上場会社では効率経営のための努力は目一杯頑張っておられるわけですから、そう簡単に資源の充実は図れないはずです。また、監督強化策も一時的には効果があるかもしれませんが、現場が疲弊するだけに終わってしまうことが多い。村田製作所のケースでは、改善の提案や商品の説明に、製品技術や管理会計、営業活動のスキルを統合して活用するプロを活用することで業績の向上につなげている点は秀逸だと感じました。

村田製作所のように、ここまで社内資格を徹底している会社も珍しいとは思いますが、他社でも「内部監査部門」とは言わなくても、組織間の力学的なバランスにメスを入れるような「経営監査」に近い機能を果たしている部門が存在するケースもあるのかもしれませんね。

5月20日の日経朝刊3面には「不祥事、監査役に優先報告」なる見出しで、経産省が新たにまとめるグループ会社企業統治指針の内容について報じていました。企業の内部監査部門において「経営陣の関与が疑われる不正」を確認した際、経営陣ではなく監査役への報告を優先させる規定を、社内で設けるように（同指針では）企業に要請するそうです。

記事によりますと、経営者に不正疑惑を報告してしまっては、不正がもみ消されてしまう可能性があるから、とのこと。ただ、条件反射的に危惧しますのは「では（現実問題として）監査役はもみ消さない・・・という理由（保証？）はどこにあるのか？」といったところかと。この指針を設けるのであれば、どんなことがあっても不正の兆候を見つけた監査役さんは、辞任覚悟で経営者の不正を調査することは当然、といった監査環境が整備されることが必須です。

さて、そのような「監査役の独立性」に関する話題は別としまして、企業内の不正調査を長年経験しておりますと「内部監査部門が経営者に不正の疑惑を報告するともみ消されてしまう」というのは、やや短絡的な発想のように思えます。上場会社クラスの経営者として、内部監査部門から「不正の疑いがある」との報告を受領して、これをもみ消すことができるほどの胆力のある経営者とは、オーナー経営者を除き、ほとんどお目にかかったことがありません。

出世競争を勝ち抜いて社長になった方は、内部監査部門から「不正の疑いがある」との報告を受けた時、「そうか、了解した。しかし仮にそれが真実だとしても、会社の存亡にとって重要性があるほどのことなのか」と問い詰めて、最終的には内部監査部門が「いえ、たいしたことではありません」と認めさせることが多いはず。中には「御用監査役」の力を活用して「なんなら常勤監査役にも相談してみてはどうだろう。そのうえで判断するよ」などとおっしゃる経営者もいらっしゃいます。つまり「もみ消す」のではなく、内部監査部門に自ら再考させる（納得させる）、というのが実態です。

内部監査部門の意見を聞いて「そうだろ。たいしたことではないだろう」となりますと、今度は経営者は「内部監査部門のお墨付きをもらったのだから、正しい行為として間違いない」と自信を持ちます。これは監査役と社長とのやりとりでも同じでして、「ほれみろ、監査役が『重要性はないので不適切とまでは言えない』と判断しているんだから、不正行為の故意も過失もないことのお墨付きをもらった。後で問題になったとしても、故意も過失もないよね」と考えます。

つまり、経営者は「不正の疑い」をもみ消すのではなく、そもそもなかったというアリバイ作りを行うのが常道であり、そのアリバイ作りに協力してくれる監査役、内部監査部門こそ社長に好かれるのです。また、監査部門の方々が、たとえ就任当初は高い志を持っていたとしても、そのうち独立性を保持できないような体制に慣れてしまいますと、「重要性バイアス」にとりつかれてしまうのが現実ではないでしょうか。この現実を直視して、（経営陣に対抗しうる）監査部門の実効性をどのように高めるべきか・・・というところに工夫が必要です。

先日、「内部監査は『経営監査』が重要であり、不正監査とは別のスキルが必要」と申し上げましたが、そもそも儲けることにメリットのある監査報告を提出しなければ、経営者は内部監査に一目置かないことが多い。まずは内部監査と経営陣との適度な距離感を作ったうえで不正リスクに関する情報を上げなければ、経営者は内部監査部門の意見を尊重しないと思うのです。ということで、あらためて内部監査部門は攻めのガバナンスにも、守りのガバナンスにも極めて有用な組織だと考えるところです。

東芝さんは8月18日、新体制を含む内部統制強化策を公表するそうです（読売新聞ニュースはこちら）。同社の不適切会計処理に関する第三者委員会報告書では、内部監査部門を担ってきた経営監査部がコンサルタント業務に偏り、不正発見に役立たなかったことから、不正調査業務にも従事できるような強力な部門に作り直すことが提言されています。また、東洋ゴム工業さんの免震ゴム偽装事件においても、第三者委員会は「既存の監査部門は形式的なチェックに終始し、技術開発部門の行動の実質を把握できなかったことが不正放置の原因だった、したがって強力な内部監査部門を新設すべきである」として、社内の徹底的な不正調査を可能とする組織の構築を要請しています。

最近、内部監査部門による不正発見への期待が高まっています。たしかに内部監査部門が不正の兆候にいち早く気づく例はありますね。４年ほど前のメルシャンさんの架空循環取引による不正会計事件は、内部監査部門が最初に「おかしな取引」に気付きましたし、私が監査役さんの訴訟代理人を務めたアイ・エックス・アイ事件においても、社内調査の発端は内部管理部長の示唆によるものでした。ただ実際のところ、内部監査部門は社長直轄部署なので社長の経営管理に役立つ報告が求められます。したがって内部統制の評価や助言・指導が内部監査部門の中心的な業務であり、不正調査業務を熱心に推奨している会社は少ないかもしれません。

３年前のＡＣＦＥカンファレンスの様子を当ブログで報じたときにも書きましたが（こちらのエントリー）、伊藤忠商事さんなどは内部監査とは別の指揮命令系統を持つ不正調査部隊が30名ほどいらっしゃるとのことでした（日経法務インサイドでも紹介されましたね）。尼崎信用金庫さんも、内部監査とは別に各部門にＣＦＥ（公認不正検査士）資格を有する社員を配置している、とのことでした。社内の不正調査は一定のスキルが求められるので、もし不正調査や不正発見ということで内部監査部門を強化するためには、それなりの専門的なスキルを習得されるほうがよいと思います。

そのような不正調査に特化した内部監査部門を育成することは理想ですが、そうでない場合には、やはりガバナンスで補う必要があります。「なんかおかしい」と感じた内部監査部門の方々が、その違和感を伝えて有事意識を共有できる監査役や会計監査人の存在です。内部統制システムの構築は、本来は不正予防のためにありますが、残念ながらどんなに頑張ってみても不祥事は発生してしまうわけですから、これをいかに早期に経営者に伝えるかが勝負です。また経営者に届いた不祥事が会社に及ぼすリスクの重要性をいかに的確に経営者が判断するか（経営者に説得するか）も勝負ですね。誠実な経営者のもとでも「不祥事企業」のレッテルを貼られてしまうことがあるのは、経営者の有事感覚の欠乏によるところがもっとも大きいと感じます。

不正の発見といいますが、それは誰の目にも明らかなものであれば発見は容易です。しかし不正なのか正当な業務なのか境界線がわからないものが多いわけでして、（放置しているうちに）マスコミや国民の反応から「ああ、あれは大きな不祥事だったのだ」と後悔することが多いのも現実です。不正調査の現実の場面では、各企業は①多くの正当な業務に支障を来たしてでも、絶対に不正を見逃さないといった発想をとるべきか、②多少の不正に目をつぶるけど（しかしその代償は大きいことがあります）、確実に不正と判明するものだけを見逃さないといった発想をとるべきか、選択を迫られると思います。私が内部通報窓口の調査を担当していて感じるのは②の選択を優先する企業が多いということです。内部監査部門を強化する、ということは、この①の選択を優先するということなのでしょうか。これはかなり勇気のいる選択だと考えます。

会計や法律に関する雑誌では、ほぼ「内部統制報告制度の１年目を振り返って」と題する特集は一巡したように思いますが、旬刊経理情報9月20日号の特集「初年度の問題点とその解決策を探る」（2年目の内部統制3社の取組み）は、なかなかスグレモノの座談会であり、当ブログにお越しになられる常連の皆様方からすれば「よくぞ言ってくれた！」と拍手喝さいに近い内容ではないかと思います。（また、座談会の司会をされたトーマツのパートナーＫ氏も、監査法人のお立場からして、３社の方々のご発言をよくここまでまとめられたものだなあと・・・）日本を代表する３社（といいますか、日本国籍のグローバル企業である３社）の内部統制報告制度対応プロジェクトチーム責任者の方々による１年目（までの）総括と、これからの内部統制報告制度への課題を語ることが中心の座談会でありますが、まじめに一生懸命プロジェクトに関わってこられただけに、そのご発言内容からみて「おとなしくまとめられた座談会」とは大違いであります。「この際だから言わしてくれ」的で実に興味深いです。

もちろん、参加された方々も、社内のプロジェクトチームだけではなく、全社的に内部統制の考え方を共有できるようになった、業務の「見える化」が進み、問題点を改善する際にもイメージが共有できるようになった、といった制度施行の長所を指摘されている点もございますが、「このままでは制度が形骸化する」「費用対効果は会社だけでなく、監査法人や行政も工夫が必要」「監査法人自身も内部統制監査は専門家ではなく素人である」「そもそもレビューで足りる」「能力の低い監査人とのやりとりで、非常に無駄な時間を過ごした」といったお話がポンポン出てきます。司会者のＫ氏もフォローがたいへんなご様子でありますが、おそらくここで会社担当責任者の方々がおっしゃりたかったのは、内部統制監査にいろいろな問題点が出てきたのは、そもそも制度の建付けが悪かったのであって、監査人の責任ではないよ・・・というところだったものと思います。（したがって監査報酬の問題とか、内部統制コンサルタントの問題などは議論されておりませんでした）したがいまして、座談会のなかで参加者の方が主張されていたように、２年目の内部統制に向けて、自分たちも効率化や有効性評価のレベルアップのために頑張るけれども（各企業における内部統制のＰＤＣＡ）、内部統制監査を担当する監査法人も、制度設計を担当する行政も一緒になって取り組む必要がある（内部統制報告制度自身のＰＤＣＡ）ということに同感いたします。

２年目の取組みへの抱負を拝読していて、制度自体の効率化の問題を指摘されていたことは予想通りでしたが、「業務監査と内部統制評価の仕事を明確に分けて、業務監査に比重を置く」とか「内部統制における数量基準や専門的手法の（内部監査への）実質的な弊害」とか「重要な欠陥の概念見直し」「財務報告以外の目的にも有効な内部統制に向けて」などなど、企業における本来の内部監査（業務監査）の在り方と、制度対応との微妙なズレというものを、各企業ともしっかりと疑問視するようになってきたものと理解いたしました。詳しくはまた上記特集号をご覧いただければ、と思いますが、たとえば内部統制報告制度における「監査の基準」につきましては、そもそも同時期に導入された四半期報告書がレビューの基準を導入したこととの関係で決まったものとされていたのではなかったでしょうか。実務をみていて、四半期報告書におけるレビューの制度がかなり有効に機能しているようにも思えますし、インダイレクトレポーティングが採用されている趣旨などからしましても、この座談会で提言されているように見直しすることも検討されてよいのではないか、と考えておりますが、いかがなものでしょうかね？内部統制報告制度自体の見直しにあたっては、他の制度の運用の実態なども考慮しながら検討すべきだと思います。

今週は「保全」という、きわめて弁護士チックな仕事に忙殺されましたので、ブログのほうもきちんと調べもせずに書き下ろしておりまして、不正確な内容のエントリーや、問題提起に終わっているものばかりのようで、常連のみなさま、どうもすいませんです。（言い訳ここまで）

さて、ＣＯＳＯ「モニタリング・ガイダンス」と内部監査人のエントリーには、たくさんの実務家の方々のご意見をいただき、ありがとうございました。とりわけ技術屋の内部監査人さん、そしてのらねこさん、熱いコメントを頂戴し、現場で奮闘されていらっしゃる姿が垣間見えるようで興味深く拝見いたしました。こういったコメントを読ませていただいた後に、あらためて企業会計審議会の「実施基準」を読み直しますと、平板に見えていた「なにげない文章」にも、創意工夫の痕跡があるように思えてきますので不思議です。機野さんのコメントで紹介されておりましたＣＩＡ資格保有者の急増とも関係すると思うのですが、内部監査人という法律上ではお目にかかれなかった立場の人が、金商法に基づく「実施基準」のなかでいきなり登場し、にわかに注目を浴びるところになったわけでして、だからこそ金融商品取引法といった法律の世界で、この内部監査人をどう位置づけて考えたらいいのか、いまだ世間的には戸惑いがあるに思います。

内部監査人が経営者評価における（独立的評価の部分において）、実際の評価主体とみるべきかどうか・・・といった問題、ふたつほど論点の整理をしてみたいと思います。ひとつは、（内部統制の有効性に関する）最終評価の責任者は当然のことながら経営者にあるわけですが、評価プロセスの一部を内部監査人が代行してもいいのかどうか、といった問題。つまり法律上の用語を利用して恐縮ですが、「擬制」ということですね。内部監査人による実際の独立的評価をもって経営者評価と考えてよいか、といった問題であります。もし「擬制」ではないとしますと、評価プロセスは経営者自身ものでなければいけないけれども、そこに内部監査人の独立的評価を「参考」にすることができる、ということになりましょうか。これは現実の評価主体を経理担当者・・とみた場合にも同じ問題が出てくるはずであります。経営者からみれば、「擬制」とみたほうが楽かもしれませんが、もし内部監査人や経理担当者のスキルに問題があったとなりますと、評価プロセスそのものに大きな不備があったと解釈される可能性が出てくるのではないでしょうか。

そしてもうひとつの論点は、実施基準によりますと、比較的規模の小さな（組織が比較的単純な）上場企業の場合には、全社的内部統制の有効性の評価内容によって業務プロセスの評価範囲を決定することができるとのことでありますが、そうしますと、取締役会が十分な機能を果たしているかとか、監査役と経営者に対するモニタリング機能を果たしているか等、内部監査人が評価できるかどうかはかなり疑わしいところの判断内容によって内部監査人の本来の評価範囲が決定されてしまう、という大きな矛盾を抱えてしまうのではないか、との疑念が拭いきれません。（このあたりが、のらねこさんのおっしゃっている独立性の限界とか、機野さんが指摘されている「実施基準の不明瞭な点」といったことになるのでしょうかね？）この矛盾を解決するためには、経営者は評価プロセスにおいては経理担当者や内部監査人（もしくは外部専門家）に代替させることはできないのであって、「実施基準」にいうところの「補助させることができる」というのは、代行させるのではなく、あくまでも参考意見を報告してもらうための「補助」にすぎない、と理解する以外には方法がないように思えますが、いかがでしょうか。

ほかにも、実施基準によりますと、内部監査人は独立的立場から、内部統制の有効性を評価し、改善事項を報告する役割があると記載されておりますが、改善事項はあくまでも内部監査人の意見でしょうから、その改善をはかった場合にこれを評価するというのも、やはり自己監査に該当するように思います。皆様方のコメントを拝読しながら、やはり内部監査人と経営者評価との関係については、いくつか解決すべき前提問題があるのかなぁと少し疑問に思った次第であります。（今回も屁理屈のような内容かもしれませんが、やはり経営管理の世界での「内部監査人」は、すでに金商法施行とともに、法律の世界に片足を突っ込んだ重要な役割を担う人たちと理解しておりますので、こういった論点整理も必要なのではないか、と思ったものですから・・・・・）

（９月２６日午前　内容を修正いたしました）

最新号の「経営財務」では、「信託の会計処理に関する実務上の取扱い」の公表記事がたいへん参考になるところでありますが、９月１７日に公表されましたＣＯＳＯ討議文書「内部統制システムのモニタリングに関するガイダンス」に関する記事も目に留まりました。すでに丸山満彦先生や眞田光昭先生のブログやＨＰでも、このガイダンスが紹介されておりましたのでご存知の方も多いと思います。米国ＳＯＸ法のもとでの内部統制報告制度との関係で、今年１月からモニタリングに関する新たな指針作りが進められてきたものであります。どうも最近、アメリカでも日本でも、内部統制報告制度における内部監査部門の重要性が力説されるようになったように思われます。

私自身、よく理解していないところでありますが、こういったモニタリングに関するガイダンスの盛り上がり（ブーム？）というものは、やはり米国ＳＯＸ法４０４条の実質緩和方針と関係があるのでしょうかね？たとえばダイレクトレポーティングが二本（直接監査と報告書監査）だったものが一本（直接監査のみ）に変更される、といったことから、能力ある内部監査部門によるモニタリングシステムがきっちりと機能していれば、直接監査の多くを内部監査人の恒常的かつ独立的な監査への信頼に依拠できるし、またトップダウン型のリスクアプローチも採用できる、といったような関係に立つのでしょうか？すくなくとも、アメリカの中小規模における上場企業へのＳＯＸ法適用（同時に費用対効果の検討）と歩調を合わせたように、最近はこういった「内部監査人」の役割が重視されるようになった気がしております。

しかしながら、もしそうだとしますと、内部監査人の「内部統制報告実務」における位置づけというものは、日本とアメリカとでは同じに考えていいのかどうか、さらに疑問が湧いてきます。差が曖昧だとはいえ、日本は米国のようにダイレクトレポーティングを採用しておりませんので、こういったアメリカのモニタリングガイダンスをそのまま日本の制度にあてはめてもいいのでしょうか？つい先日、ある内部統制コンサルティングをされている会計士さんにお聞きしましたが、内部統制報告制度におきまして、実際に「経営者評価」の主体となるのは、（内部監査人とは別の）「経理部」の方と「内部監査人」の方と、現在までのところ、企業によって半々くらいに分かれているようです。経理部、財務部等の担当者が評価する、というものであれば理解しやすいのでありますが、内部監査人が評価をする、ということになりますと、このアメリカのモニタリング指針というものは（モニタリングに関する評価については）自己評価になってしまいますよね。このあたりがどうも、私自身うまく理解しきれていないところがあります。

いずれにしましても、内部統制報告制度におきまして、その運用が現実味を帯びるにしたがって内部監査人の占める地位が次第に大きくなってきたように思いますし、また内部監査人の適格性にも、そのうち焦点があてられてくるのではないかと考えております。たとえば、会社法監査や金商法監査といった外部監査人によるものであれば、法律上の企業情報開示制度と結びついているわけですから、開示情報が正しいことに関する「合理的保証」といった帰結もわかりますが、そもそもそういった法律上の制度と（現状として）結びついていない内部監査制度の場合、主たる目的が「評価やコンサルタント」であったとしましても、たとえば企業によっては不正発見の責任まで認められてもいいのではないでしょうか。一般に内部監査人に「コンサルティング機能」を認める以上、管理執行的な役割を認めて、不正発見の責任まで負担していただく、というのもひとつの方法ではないかと思うのですが。（このあたりは、まだ思いつきの段階ですが。）

イソライト工業さんが、連結子会社（イソライト建材）の不適切な会計処理に関して改善状況報告書（大阪証券取引所宛）を提出しておられます。不適切な処理の原因事実や、それに対応する改善方法、および会計士の資格を有しておられる内部監査人による改善状況など、いろいろと参考になりますね。子会社の内部監査や実際の棚卸し資産の監査にあたっては、会計士の先生が内部監査人となってチェックされているんですね。

さて、本日（９月１１日）は朝から、来年新規公開を予定している某会社のリスク管理委員会に出席してきましたが、ここでもやはり「内部監査人をどうするか？」議論になっておりました。とくに不適切な会計処理があったからではなく、監査法人さんからの指摘で、いわゆる「財務報告に係る内部統制」を整備する一環としての内部監査人の選定に関するものであります。このブログにおきましても、過去に内部監査人と内部統制の関係とか、内部統制の重要な欠陥と人材流動化リスク　などのエントリーで内部監査人の立ち位置（ポジション）について議論してきましたし、たいへん有益なコメントも頂戴してまいりましたが、財務報告に係る内部統制における内部監査人の役割といった問題は、けっこうホットな話題になってきているのではないでしょうか。

旬刊経理情報１１５９号の特集記事「内部統制の評価はこうする」や、内部統制実務書の新刊である「内部統制の実務Ｑ＆Ａ（新日本監査法人　編）」（東洋経済新報社）における「内部統制の評価体制の検討事項」などを読みますと、「経営者による有効性評価」の実際の担い手は内部監査人であることが原則のようであります。私の理解では、経理財務部門の担当者が有効性評価をして、その評価内容をあらためて精査するのが内部監査人と認識していたのでありますが、（それも間違いではないようですが）原則的には内部監査人自身が経営者評価の主体とみるのが主流的見解のようですね。（ちなみに、以前ご紹介いたしました「ＣＯＳＯ簡易版ガイドライン」の和訳本によりますと、専任の内部監査人を選定できないような規模の小さな上場会社であれば、たとえば別のラインを担当している経理担当者どうしが、相互に普段業務プロセスに関与していないラインについて客観的に監査し合う、ということで独立性を担保する方法も紹介されております。）

しかしながら、上記のように内部監査人が内部統制テストを責任をもって実施する体制をとる場合、この内部監査人が適正に有効性を評価できるだけの能力を有していることは、いったい誰が評価するのでしょうか？もちろん実務的には内部監査人によるテストだけでなく、経理財務担当社員によるチームのテストや自己点検を利用したテストなどを組み合わせて実施することが一般的といった記述もありますが（上記「内部統制の実務Ｑ＆Ａ」）たとえそうであったとしても、内部監査人によるテストを実施する以上、同様の疑問は拭えません。「内部統制の重要な欠陥と人材流動化リスク」のところでも書きましたが、業務プロセス評価や決算財務プロセスの評価といったあたりはかなり専門的な財務会計的知見を要することは明白でありますから、その「知見」のところで内部統制監査人と意見が食い違ってしまうと「重要な欠陥リスク」を背負うことになりますよね。以前、内部統制システムの整備を担当されていらっしゃるhisaemonさんも頭を悩めておられましたが、このあたり、（誤解をおそれずに申し上げますと）内部統制監査を担当される監査人さん方は、指摘する気持ちはあるのでしょうかね？漏れ聞くところによりますと、アメリカのＳＯＸ法元年には１２％もの上場企業の内部統制が有効とは認められなかったそうで、そのうち大半は人材リスクに関するものであったと記憶しております。日本でも、もし重要な欠陥があると評価されるのであれば、そういった人材の能力不足を監査先企業に問うことは可能なのでしょうか？それともこのあたりは、アメリカとちがってダイレクトレポーティングが採用されていないことを理由に消極的にならざるをえないのでしょうか？そもそも先の「内部統制の実務Ｑ＆Ａ」にもありますが、内部監査人に求められる業務としては、コンサルティング業務から次第に保証業務に移りつつある、とのことですし、この流れは内部統制報告制度が実施されることとも整合性があろうかと思います。しかし「保証」するのが業務であるならば、やはり保証できるだけのレベルに達しているかどうかが非常に重要なわけでして、そのあたりを曖昧にしたままでは制度自体に破綻をきたすのではないでしょうか。また、このあたりが曖昧であるということは、結局のところ監査人が自信をもって重要な欠陥が疑われると述べることができるのは、自ら財務諸表上での虚偽表示が見つかった場合に「結果責任」を問える場合のみであって、これではなんのための内部統制報告制度なのかわからなくなってしまいますよね。（虚偽表示のリスクを開示するための制度であるにもかかわらず、虚偽表示が認められた場合に「重要な欠陥あり」・・・ではお粗末ですよね）

もうひとつ疑問なのが「自己点検」であります。実施基準によりますと、「日常の業務を執行する者、又は業務を執行する部署自身による内部統制の自己点検は、それのみでは独立的評価とは認められない」とのことであります。一方、一般的に見まして、内部監査人は会社法上の内部統制の基本方針におきましては、「損失の危険の管理に関する規程その他の体制」のなかで「内部監査部門がグループ各部門毎のリスク管理の状況を監査し、その結果を定期的に総務担当取締役もしくは取締役会に報告する」と定められております。内部統制報告制度も、純然たる「財務報告の信頼性を阻害するリスクの管理」であることは間違いないでしょうから、内部監査人の日常の業務は業務プロセスのなかにおいて「運用」状況の評価対象になるわけですよね。そうしますと、評価の基準日におきまして、そういった運用状況を内部監査人が評価することは実施基準が認めていない「自己点検」になってしまうんじゃないでしょうかね？

長々と書き連ねてしまいましたが、最近の内部統制報告実務に関する雑誌や書物を読んでおりまして、実際に内部統制コンサルティングに関与されていらっしゃる方々の経験に基づく指針が豊富に記載されるようになっておりまして、それはそれで内容がわかりやすくなってきたなぁ・・・と感じるのではありますが、経営者による評価の適法性を監督しなければならない「監査役」という立場から見た場合、どうも理屈のわからないところも顕在化してきたように思えますし、監査役が連携協調しなければならない内部監査人に何を期待すればいいのか・・・といったところが、もすこし理解しやすければありがたいと思っております。（ちなみに本文で引用させていただきました「内部統制の実務Ｑ＆Ａ」、ここまでいろんな議論がなされてきての一冊ですので、非常に読みやすく、参考になります。また、旬刊経理情報１１５９号の特集記事につきましても、このブログで盛り上がりましたサンプルのとり方を含む内部統制評価方法が、かなり詳しく解説されておりまして、こちらも必読かと思います。しかしどなたかがおっしゃっておられたように第１フェーズから第２、第３フェーズと進むにつれて、まだまだいろんな問題点が出てくるんじゃないでしょうかね）

先週の「改定監査基準と内部統制監査」につきましては、皆様方のコメントでたいへん勉強させていただいております。世間一般における「内部統制ブーム」の核心をついたご意見もありますし、非常に興味深く拝読させていただきました。たしかに「内部統制」が目指すものがいったいどこにあるのか？ＩＴ統制ということが重要ということでありましたら、「○○会社のシステムパッケージを納入していれば監査人からお墨付きを得られる」ことになるんでしょうか？コンプライアンス経営維持が重要ということでありましたら「△△コンサルタントの経営指導を受けていたら、監査人からみて統制環境の有効性評価としてはオッケー」ということになるんでしょうか？このあたりは、「日本版ＳＯＸ法」なる言葉とともに、内部統制ブームを盛り上げてきたところとも非常に深く関連するところですし、このブログでも一度きちんと採り上げてみたいと思います。ただ、私は法曹ということですので、こういった内部統制評価報告実務と弁護士との関係についても併せて検討する予定にしております。

さて、このたびの内部統制評価報告実務における弁護士の役割は後回しにしまして、この10月20日に「公認内部監査人受験者数が急増している」といった日経ニュースがありました。（内部監査人の資格試験受験者急増　日経ニュース）間違いなく、金融商品取引法における内部統制評価報告実務への対応によるものと思います。私もこのたびの内部統制評価報告実務におきましては、この「内部監査人」の存在は「監査役」の存在と同様に非常に大きなポイントになると予想しておりますし、各上場企業が「内部監査室」改革にもっと性急に取り組むべきだと考えております。その理由としましては、①内部統制はシステムを整備するだけでなく、その運用の適正性も要求されるわけですから、運用面での監視に社内における監査専門職が不可欠②監査人（監査法人および公認会計士）による経営者評価を担保するものとしては内部監査人と監査役および監査人との連携が不可欠③大きな会社ほど、経営者による内部統制評価には「擬制」がつきまとうのは現実であって、誰かの内部統制評価を適正と評価することによって、経営者自身が評価したものと同視しなければいけないわけですから、その「誰か」というのは信頼できる内部監査人を選任することが不可欠（これは「監査役」では成り立ちません。監査役は外観的独立性がありますので、経営者の手足となって監査するものとは評価できないからです）、といったところからであります。現実の内部監査人の方々のお仕事といいますのは、以前のエントリーでも書かせていただきましたが、企業によってマチマチでありまして、いわゆる業務監査に専念されている企業とか、いわゆるエリートコースの一貫としての「肩書き作り」のために１年ないし２年の腰掛職務、といったところもあり、まだまだ内部統制構築といった論点と結びつけていらっしゃらない企業も多いと思われます。

ちなみに、このＣＩＡ資格の運営をされている「日本内部監査協会」というところは、現在の日本の「内部統制」の理論的考察、という面におきましては、トップレベルではないでしょうか。私も最新事情につきましては、この内部監査協会さんのＨＰにおけるリリースを参考にさせていただいているところも多く、「現実を見据えた実務基準」を提言されているものと思います。ただ、公認内部監査人（ＣＩＡ）資格保有といいますのは、たしかに社内における内部管理体制構築の重要性を認識することにとっては有意義かもしれませんが、その資格を取得した者が社内に存在することだけで、内部統制構築に有効な専門家が誕生する、と短絡的に考えるべきではないと思います。私も公認コンプライアンス・オフィサーやＣＦＥ（公認不正検査士　世界に2万人以上の資格保有者が存在する）の資格を取得させていただきましたが、それはあくまでも最低水準の知識・技能を保有していることに過ぎず、社内・社外にかかわらず、その知識・技能をどう現実の企業社会で生かす経験を積んでいくか、ということのほうがよっぽど重要だと思います。つまり冒頭でも述べましたように、「公認内部監査人」資格を保有する者が社内に存在することが、それだけで監査人によるお墨付きになるのではなく、その内部監査人が「実施基準」の趣旨を十分理解したうえで、どれだけ社内で知恵と汗をかいているか、といった行動こそが「有効性評価」に大きな影響を与えるものになると考えております。また、資格保有の有無にかかわらず、そのような内部監査人が行動できる社内環境を作ることは経営者独自の責任にかかってくるのではないでしょうか。そういう意味で、私は「内部監査人」は決して腰掛的なイメージではなく、あくまでも社内専門的な職種である必要があると思いますし、業務監査といったイメージでもなく、財務情報の信頼性を判断できるにふさわしい財務やＩＴシステムへの知識を持つ方であれば、かなり有利なのではないかと予想しております。