2006年11月10日 (金)

続・上場企業からみた内部統制ルール(実施基準)

皆様、昨日のエントリーには、たくさんのコメントありがとうございます。「井戸端会議をしましょう」と言いながら、お寄せいただきましたコメントはかなりハイレベルなものでして、私がすぐにツッコミを入れることができるものでなく、たいへん勉強になりました。またこの公開草案(資料)につきまして、多くの関心が寄せられていることを再認識した次第であります。また、各コメントに対しましては別途、お返事させていただきますので、今後ともどうかよろしくお願いいたします。なお、grandeさんの「SBIの負ののれん」解説(これはなかなか力作ですね)や、ligayaさんの「日本版SOX法は監査法人対策?」なるエントリーは、さすがに内部統制コンサルをされていらっしゃる会計士さんだなぁと関心させられるものでして、興味をそそられるところですね。会計士さんのブログはたくさんございますんで、またご自身のブログで、この日本版SOX法(金融庁内部統制ルール)関連のものをお立てになった折には、ぜひともTBやコメントなどでお教えいただけますと幸いです。

さて、昨日は公開草案(いまだ資料ですが)の印象(その1)でして、きょうは(その2)を書こうかと思っておりましたが、「そもそも論」のところをすこし整理したいと思い、「続」としておきました。何度も申し上げますが、私のブログは経営者サイドからの視点で内部統制ルールをどうみるか、というところに関心がございますので、あまり会計専門家的な視点ではないかもしれません。どうか、そのあたり「値引き」して考えておいてください。

1 そもそも現在、「内部統制に不備がある上場企業」は存在するのか?

公表されている公開草案(資料)の有効性評価の基準(一般に公正妥当と認められる評価基準)に基づいて、経営者が「内部統制に不備がある」と評価できる上場企業というのは、そもそも現時点で存在するのでしょうか?現時点で「存在する」と考えた場合、これまでの監査法人による財務諸表監査は果たして有効なものであったといえるのでしょうか?たとえば、これまで財務諸表監査を担当していた監査法人の担当者としては、内部統制の構築に関するアドバイスを企業側に行い、「こんなんじゃ内部統制としては不備ですよ。これを有効と評価されたら、うちは不適正意見しか書けませんよ」と指摘したときに、企業側からは「じゃあ、いままで不備な統制のうえにオタクらは適正意見を書いていたんかいな?」と突っ込まれることはないのでしょうか?監査法人側は、こういった上場企業側のツッコミに対して、どのように回答されるのでしょうか?

私は「枠組み案」26頁以下の「財務報告に係る内部統制の構築」の部分を読んでおりまして、どうも「構築」という言葉に違和感を覚えます。これは「ITの利用」というところを読んでおりましても、同様の違和感を覚えているのですが、世間の理解と、この実施基準にいうところの「構築」の意味にズレがあるんではないかと思えてしかたありません。「構築」というのは「今よりももっといいものを整備する」という認識を持つわけですが、本当は「とりあえず今の状態を正常と考えて、これから不正が発生するような状況に陥らない方策を整備する」というのが、ここでいうところの「構築」である、と理解するほうがいいのではないでしょうか。枠組み案の26頁以下の構築の要点を読んでみますと、いかにして、現状の仕組みが適正に運用される方法を整備するか、という視点で書かれておりまして、どのような仕組みを新たに作るべきか、というところはほとんど記述されていないわけであります。おそらく内部統制に不備がある場合には、財務諸表監査において無限定適正意見は書けない、というところから出発するのであれば、とりあえずは現状では内部統制は有効性に問題がない、ということを前提に考えないとおかしなことにならないだろうか・・・と、会計学には素人ながら、疑問を持つところであります。

2 そもそも「内部統制構築」ではなく「内部統制運用」ではないのか?

IT統制といいますか、ITの利用といいますか、世間でもっともヒートアップしている話題が、この「日本版SOX法とIT統制」の関係だと思うのですが、この公開草案(資料)では、とくに上場企業がITを利用していなくても「情報システム」は手作業でまかなえる(つまりは内部統制の有効性は評価できる)というところから出発している点ですよね。(「情報システム」という用語とITはまったく関係ない、ということが書かれてあります)これ、以前私が「コンピューターを利用していなくても、電話とファックスさえあれば、理論的には内部統制が有効と評価できる」という(いわばアンチテーゼとして)ことをエントリーで書きましたが、基本的にはこの公開草案も同様の視点から出発しているようです。もし、現在、パソコンを使わずに、売掛金も棚卸資産も電話とファックスと手帳だけでまかなっている上場企業があるとしたら、その企業はいちおうそれで持続的成長を果たしてきたわけですから、現状は内部統制が有効に機能していると評価してもいいわけです。ただ、「不正会計の発生するおそれ」とか「虚偽記載の発生する可能性」ということを考えますと、一事業年度にわたって(もしくは比較可能性を保証するために多年度にわたって)、ずっと同じ運用がなされるべきシステムとか、間違いが発生したときに、最小限度の虚偽記載の発生で抑制できるシステムというのは、「今後のリスク低減の目的」のためには検討する必要性はあるわけです。つまり「いまある仕組みはそれでいいけれども、運用にあたってミスや経営者不正を発生させるリスクはありますよ」ということは監査人としては堂々と言えるんじゃないでしょうか。ひるがって、IT統制以外の点について考察してみましても、内部統制の構築といっても、結局は「運用が安定するために必要な整備」こそ「構築」と表現されているだけであって、とりあえず現状の体制を見直して、その体制の理想的な運用に必要な部分だけを整備すれば足りるのではないか、それが日本版SOX法が金融商品取引法に導入された目的とも合致しますし、それで日本版SOX法の役割は果たせるのではないか・・・と考えたりもしておりますが、いかがでしょうかね。こんなことを申し上げますと、日本版SOX法を「ビジネスチャンス」と捉えていらっしゃる方々に、ものすごーく怒られてしまいそうな気もしますが。でも、経営者サイドからしますと、この公開草案(資料)を読んだ後に、そういった疑問が素朴にわいてくると思うのですね。株主からの評価対象となって、ガバナンスと結びつく会社法上の「体制整備」とは異なり、この金融商品取引法における内部統制というのは、財務諸表監査と関連しており、「財務報告の信頼性」と結びつくものであるがゆえに、こういった疑問が発生してくるのかもしれません。また、日本版SOX法(内部統制ルール)というものを、上場企業すべてにヨーイドン!で同じルールを適用しようと決めたときから、こういった問題点を内包せざるをえない運命にあったと考えてもいいんじゃないでしょうか。

(追記)昨日は、私の所属する弁護士団体の幹事会関係で飲食の後、帰宅してからエントリーを書きましたので、朝読みますとかなり不明瞭な文章がありました。ちょっとだけ手直しいたしましたので、念のため。

11月 10, 2006 日本版SOX法の内容判明 | | コメント (10) | トラックバック (0)

2006年11月 9日 (木)

上場企業から見た内部統制ルール(実施基準)

(11月9日追記あり)

TBをいただいたligayaさんをはじめ、もうすでに監査に携わっていらっしゃる方々はご承知のことと思いますが、11月8日、金融商品取引法上の内部統制評価報告実務に関する実施基準(案、とりあえずまだ資料の段階)の内容が明らかになりました。(金融庁のHPに6日の内部統制部会の資料としてPDF形式にて掲載されております。正確には、11月20日の内部統制部会で確定してパブコメ案公開ということでしょうが、報道では6日の部会ではあまり異論が出なかった、ということでしたから、そのまま公開草案となるのではないでしょうか)ついに内容が判明しましたね。待望の「実施基準」の全貌が明らかになりました。みなさま、もう一読されましたでしょうか?どんな印象をお持ちでしょうか?今後私のブログでは、この内部統制ルール(実施基準)の内容につきまして、いろいろと検討していきたいと思っておりますので、内部統制の基本的枠組み(案)=「枠組み案」、「財務報告に係る内部統制の評価及び報告(案)=「評価報告案」、財務報告に係る内部統制の監査(案)=「監査案」そして昨年12月に出されました「財務報告に係る内部統制の評価及び監査の基準のあり方について」=「あり方案」と称しまして、話を進めていきたいと思っております。(できれば、あまり高尚なものではなく、井戸端会議的なコメントを頂戴できれば・・・と思っております。せっかくのブログですから、楽しくやりましょう)

ほぼ100頁ほどの実施基準の内容を、ザーッとですが読み終えました。まず、この実施基準を上場企業の役員という立場から一言で申しますと、「内部統制、金があるなら金を出せ、金がなければ人を出せ、人がいなけりゃ知恵を出せ、知恵もなければ汗を出せ」といったところです。要は営業ばかりに目が向いている企業ではなくて、管理部門からマジメに企業価値を考える企業が報われるような評価体系になっているのではないか、お金がなくったって、誠実に会計不正なき社内体制の整備に取り組む企業は報われるのではないか、というのが第一印象です。ガチガチのマニュアルでない分、各企業の創意工夫によって財務情報の正確性を高めることを期待されたものと言えるのではないでしょうか。いろいろと申し上げたいことがございますが、とりあえず第1回目ということで、以下の点のみ指摘させていただきます。どうか、公開草案へのコメントを検討されている方を含めまして、またご意見なども頂戴できましたら幸いです。

まず、私のブログで予想していたところと大きく「はずれていた」部分がございます。評価報告案の2ページ以下です。ここのところ、ブログで「内部統制ばかりに目を向けていてはいけない。これからは内部統制と同様、開示統制についても検討しなければ」などと申しておりましたが、経営者の財務報告の評価範囲として、連結財務諸表、財務諸表のほかに「財務諸表の信頼性に重要な影響を及ぼす開示事項等」としまして、「提出会社の状況」や「コーポレート・ガバナンスの状況」など、多くの財務諸表以外の開示事項が含まれております。私はこのあたりは適時開示情報と同様、経営者の確認書によって正確性が担保されるもんだと思っておりまして、内部統制評価報告制度とは無関係だと認識しておりましたが、内部統制評価の範囲に含まれておりました。(どうも失礼いたしました・・)しかし、そうなりますと、こういった財務諸表以外の開示情報につきましても監査法人(もしくは公認会計士)によります監査証明の対象になるということでしょうね。こういった開示情報が正確に開示される仕組みといいますのは、これまでの会計専門職の方々の監査のお仕事にあったのでしょうか?それとも新たに公正妥当と認められる監査の方法が検討されるということになるのでしょうか?投資家が非財務情報(と一般に言われているところ)をこれまで以上に重視するようになれば、こういった開示情報の重要性はますます高いものになるでしょうし、何を開示するか、開示するまでの情報管理はどうするかなど、とても重要な手続になると思いますし、今後の大きな問題点だと思っております。

この財務報告の範囲に関するところ以外には、さほど大きく「はずした」と思われるところはございませんが(そういえばQ&A方式の100問になってる・・・と噂されておりましたが、どこにもそんな体裁はありませんよね?誰がそんな噂たてたんでしょうか?これは私も信じておりましたけど・・・笑)、「企業実務に大きな影響が出る」と思われる部分は多々見られるところであります。まずは「内部監査人」の存在ですね。予想どおり実施基準におきましても、内部監査人制度の充実が不可欠な要件とされております。経営者による「恒常的なモニタリング」も必要ですが、それとは別になによりも独立性を維持した内部監査人の存在を要求されています。これ、大きな上場企業であれば当たり前の話でしょうが、中小の上場企業において、兼業でなく、身分的にも他部署からの独立性を保証された、しかも財務報告の信頼性を評価するための「内部監査人」という存在は、かなりキツイのではないでしょうか。内部統制監査人と同等に連携できる知識と能力が必要でしょうし。ということで、この内部監査人の存在価値は「評価」でも「監査証明」でもかなり重要なポジションになるような気がいたします。

また、内部監査人や監査役と内部統制監査人との連携ということとの関係で申し上げますと、基本的に内部統制監査人(監査法人、公認会計士)による非監査業務、つまりアドバイス業務はオッケーと説明されていますね。もちろん内部統制の整備運用に関する有効性評価の最終決断は経営者に委ねられておりますが、以前ブログで疑問を呈しておりましたように、後で経営者と監査人で「評価範囲にくいちがいがあると困る」ということになってしまいますので、やはり内部統制監査人のアドバイスについては監査基準に反するものではない、ということを明記されたものと思われます。したがいまして、企業側としましては、できるだけ早期の段階で監査人にアドバイスをもらう必要がありますね。とりあえず、どんどん疑問点は担当の監査法人と膝すり合わせて解消していくほうが現実的ではないかと思います。

あと企業側としての考えドコロは「金融商品取引法上の内部統制と会社法上の内部統制との融合」つまり、別々に対処するのではなくて、一挙に対処する方法はないものか、と思い悩んでいらっしゃる部署も多いのではないかと思います。たとえば枠組み案の26ページ以下におきまして、財務報告に係る内部統制の構築に関する記述がございますが、そのなかで内部統制構築のプロセスの一例としまして、会社法による内部統制の基本方針の決定からスタートする「基本的計画及び方針の決定」が提示されております。これは部会の委員の方が、かなり「融合」を意識された結果ではないかと思います。また上場企業の業種や組織のあり方によりましては、全社的内部統制の有効性が高く評価される場合におきましては、業務プロセスにおける評価範囲は狭く解することも可能になっておりますので、経営者レベルでのガバナンス(たとえば取締役会、監査役制度など)がしっかりしていれば、それだけでかなり高い確率で監査証明に好印象を与えることになると思われますので、こういった部分におきましても「融合の知恵」を発揮する余地はあるのではないか、と考えております。

なお、全社的内部統制の評価に関する一例が評価報告案の末尾に添付されておりますが(財務報告に係る全社的な内部統制に関する評価項目の例、なる部分)、これもブログで以前ご紹介いたしましたCOSOの「中小上場企業向けガイダンス」の内容に極めて近似しております。ガイダンスではこの項目をもう少し詳細に記述した「属性」が掲載されておりますので、そういった属性部分を自社の全社的内部統制の構築および運用方法に応用することも有益ではないかと思いますね。またIT統制につきましても、とても興味深い内容になっておりますが、これは別の機会に検討してみたいですし、他のご専門の方々のブログなどを拝見させていただきたいと思っております。とりあえず、第一印象をとりとめもなく書かせていただきました。(つづく)

(11月9日お昼 追記)

そういえば二つ前のエントリーにも書きましたが、報道では「企業に内部統制上の不備、重要な欠陥に関する公表義務」なる記事内容がありましたが、これはいったいどこを指しているんでしょうか。ひょっとして評価報告案24頁最終行からの「④不備の報告」のところのことを指しているのでしょうかね?これは年度内における不備発見時の対応方法をごく普通に記述しているところでしょうから、とりわけ重要な部分ということもないような気がします。(もし、他に監査法人への公表、報告義務といった記述がありましたら、どなたかご教示いただけませんでしょうか)しかしこの「不備の報告」の記述はわかりにくいですね。7行にわたっていますが、一体誰が報告するのか、主語がはっきりしていない文章になっていて、誤解を招くおそれ大だと思います。

11月 9, 2006 日本版SOX法の内容判明 | | コメント (6) | トラックバック (1)