昨日はコメントを一件も頂戴しておりませんが、こんな「場末のブログ」におきましても、日経にご紹介いただいたとき以来の4500アクセス(PV/日)を頂戴いたしまして、さすがに内部統制評価報告制度の動きがあることへの社会的関心の高さというものを感じました。(どうもありがとうございます)ただ、ご覧の通り、会計専門家の方々のブログに比べますと、はるかにレベルは低いものであります。おもに「企業価値」に関わる問題を「社外役員」という視線から考える姿勢につきましては、ブログ開設当初から一貫しているつもりでおりますので、この「内部統制」ネタにつきましても、そういった観点からの意見としてご理解いただけますと幸いです。なお、先日、監査役サポーターさんよりご教示いただきましたJICPAジャーナル11月号の「内部統制監査期待ギャップ」(北大大学院の蟹江章教授)、読ませていただきました。これ、お勧めの論稿です。といいますか、眠い目をこすりながらブログを更新しているもので、どことなく表現に不明瞭なところがある私のブログと違い、蟹江先生の「内部統制への社会の期待と、実際の内部統制についての経営者評価および監査の現実、とのギャップへの警鐘」は問題点をズバリ整理されており、私が言いたいところを、さすがに学者の先生、キレイに指摘されておられます。今後、公表されます内部統制評価報告制度の実施基準の具体化、といったところにおきましても、非常に参考になるのではないかと思います。
さてさて、すでにお気づきの方もいらっしゃると思いますし、また明日(11月7日)の日経朝刊あたりでは詳細な記事が掲載されているかもしれませんが、少しずつではありますが、11月6日の金融庁企業会計審議会内部統制部会に提示されました内部統制に関する経営者評価とその監査に関する実施基準の中身が判明しはじめたようです。私は「審議会委員」などとは縁遠い存在ですので、はっきりしたことはわかりませんが、おそらく審議委員の方への取材などによって、少しずつ内容が判明していくのでしょうね。次回内部統制部会の開催は11月20日が予定されており、おそらくその週に公開草案が公表される、ということになりそうですね。HPの性格上、IT統制関連の話題が中心になっておりますが、11月6日時点におきましては、以下のような記事がアップされております。
日本版SOX法「実施基準案」がついに登場、IT統制に関して例示
日本版SOX法実施基準案がついに公表、正式決定は1月か
「売上高3分の2以上を目安に業務を選定」、内部統制基準案を公表
どの記事におきましても、IT統制に関する基準を中心に紹介されておりますが、記事をお読みになっておわかりのとおり、どれも「経営者からみて、一般に公正妥当と認められる内部統制の評価の基準とは何か」を意識しながら基準が策定されている、ということであります。ITに関しては数値を記載して厳格な対応を求めるようなことはなく、企業の主体性に任せること、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない、と記事に掲載されておりますのは当然のことだと思われますし、むしろ実施基準は、企業活動から出てくる数字が正確に財務諸表に反映される仕組みを構築するためにはITシステムが重要であること(便利であること)を経営者に喚起させるところに本旨があるものでしょう。たとえば既存のシステムを再検証してみて、そこで不足しているところは、外部専門家を活用して、経営者と外部専門家が既存のITシステムの効率的な活用を検討することでも、「内部統制の有効性を評価する方法としては、一般に公正妥当と認められる基準である」と考えていいのではないでしょうか。金融商品取引法における内部統制評価報告制度の導入は、もともと経営者不正を防止するところに目的があるわけでして、その「不正」に故意犯だけでなく「過失犯」まで含めるとしますと、現実の経済活動から発生する数値が、正しく財務諸表に反映されないプロセスを経営者が放置することが「過失犯」にあたるわけですよね。(なお、誤解のないように申し上げておきますが、この「過失犯」なる表現は、刑罰に該当するもの、という意味ではなく、責任を問われてもしかたないほどの不注意、という意味で用いております)「まちがったプロセスが放置されていること」を経営者の「不正」に結びつけるには、そこに結果回避可能性が存在しなければ責任を問うことはできません。これは有価証券報告書に経営者の「確認書」を取り付ける趣旨と同じだと思います。故意に虚偽記載をする場合だけでなく、「虚偽とは知らなかった」なる経営者の態度についても責任を問えるようにするために「確認書」の法制化が図られるわけですね。つまり「経営者が内部統制を構築する場合、ITシステムは便利だけれども、もしITシステムを使うんだったら、その短所の修復方法までしっかり管理できることが前提ですよ」ということですね。したがいまして、上記の記事では「経営者はIT基盤の概要を把握することが求められる。具体的な例としては、ITに関与する組織の構成、ITに関する規程、手順書、ハードウエアの構成、基本ソフトウエアの構成、外部委託の状況など」と実施基準案の内容が紹介されていますが、どれもITの有効的活用を考えるのであれば、それが学習機能をもった「人間」ではない以上、自立的回復は期待できないために修復への経営者による統制まで求められるのは当然のことと思われます。いっぽうで、ITに頼らなくても財務諸表の正確性を確保できるだけの人的組織を具備している上場企業であれば、その人的組織そのものが一般に公正妥当と認められる有効性評価の基準になるのではないかと思います。なぜなら、ITと違って入力エラーなどの発生する可能性は高いかもしれませんが、システムの支障によって間違った操作が継続する、という可能性はぎゃくに低いわけで、経営者が内部統制上の不備を放置する、といった可能性にも乏しいわけです。
リスクコントロールマトリックスを含めた「文書化3点セット」につきましても、これはごく基本的なもの(私が社外監査役を務める企業におきましても、すでに構築済であり、運用テストの段階に入っております)ですし、内部監査人の独立性が重要視されていることなども抽象的ではありますが、内部統制評価の基本であると考えられますし、全体を見てみないとはっきりとしたことはわかりませんが、やはり日本版SOX法は「経営者による評価のためのもの」「監査は業務プロセスには及ばず、あくまでも経営者の意見表明に対するもの」といった基本スタンスは貫かれているのではないか、という感じがしております。
