2008年8月25日 (月)

サンプリングと「勘プリング」

年齢を重ねてきますと、若い時に比べて本当に涙もろくなってきまして、北京五輪の閉会式でジミー・ペイジが往年のツェッぺリンの名曲を弾くのを見て感動し、またサザンの大感謝祭最終講演を見ては感動し、日曜の夜は本当にウルウルきてしまいました。(お別れライヴ完全版は10月にWOWOWで放送されるようですね)

さて、この週末はコメントをいただいておりました「迷える25件」さんをはじめ、常連の方々の「サンプリング」に関するご意見について、とても興味深く拝読させていただきました。当ブログで、これまで100件以上のコメント(一部、後で整理しておりますが)がついたのが「サンプリング」に関するエントリーでありまして、本エントリーのカテゴリーであります「経営者のためのサンプリング(J-SOX)」をクリックしていただきますと、2007年3月ころからのエントリーと、そのコメントがご覧になれます。なお、今回の迷える25件さんのご意見のなかで、私も気になりましたのが、以下の部分であります。

いわゆる監査論で言う、実証性監査の前の遵守性監査はどのへんが危ないかと言う概算的指標による領域探査を目的としたところにある点でロジカルかと思います。仮にこれで25件とか50件とかを初期値としても違和感は覚えません、第一段階の理論的ふるいなわけで、さらにこれに加えて専門家の経験と勘と言うものが働くわけですから、理に適う戦略的な方法でしょう。

ところが今回の内部統制報告制度はその適否を経営者が表明しているというものであり、法的責任を背負ったものである以上、信憑性──信頼性にそれなりの論理的根拠が必要かと思います。その点を25件と言うのは(信頼度と許容エラー率の問題と換言出来ますが)、ちぐはぐでしかないと思われます。これを言ったら、これまでの会計にまつわる企業大不祥事はいわゆる内部統制の限界である経営者の統制無視に端を発している事が歴史的に明らかなところで、内部統制でこれを規制しようとする点ですでにちぐはぐですが。

私のような文系人間が、当ブログで「属性サンプリング」を話題としたのは、内部統制報告制度においては「経営者評価」が法制化され、これまで会計専門家に任せていればよかった内部統制の検証作業を素人がやらなければならなくなったためであります。もちろん企業の内部監査室には会計制度に詳しい方もいらっしゃるでしょうし、優秀なコンサルタントに逐次ご教示いただいている企業もあるかとは思いますが、「上場企業すべて一斉スタート」である以上、少なくとも私程度の「ど素人」でも理解できなければ、おそらく業務プロセスの運用評価が先に進まないのではないか?といった懸念からエントリーをアップしたわけでありまして、「迷える25件」さんのように真正面からツッコミを入れられますと、無視するわけにはいかないところであります。社会科学のひとつである会計制度を世の中のために活用するための道具なんだから、機野さんが言われるように「らしいものが採り入れられた」程度に考えたほうがいいとは思うものの、やっぱり気になるところであります。

最近公表された日本監査役協会の「財務報告内部統制アンケート」(5月)や、7月24日の日本総研の内部統制実態調査、日本内部統制研究学会アンケート結果、そしてまもなく公表されるであろう日本取締役協会内部統制部会の第5次アンケート結果などをみましても、現場担当者(もしくは経営者)の悩ましい問題として、この「業務プロセスの運用評価の方法」ということがほとんど上がってこないのは不思議です。(サンプリングなる言葉さえ出てこないのは、ひょっとするとアンケートを行う主体のほうが、あまりこの点についての問題意識をお持ちではないのかもしれませんが)そろそろ第一回目の内部統制監査が始まっている企業も多いとは思いますが、運用評価においてサンプリングを採用するのか、しないのかの選択も含めて、実際にどの程度の評価方法に関する協議が行われているのか、私自身も知りたいところであります。(そもそも整備に関する評価が有効と判断されなければ運用方法に関する判断まで到達しないことになりますので、今後の課題・・・というところなのかもしれませんが)

とりわけ迷える25件さんのコメントを拝見して、少し考えこみましたのは「サンプリングと勘プリング」のお話です。以前のエントリーへのコメントでbunさんが「母集団全体の特性を推定するにあたって、二項分布とか正規分布をすぐに持ち出してきた場合、こいつ楽しやがったな・・・と思って、その先は読む気がなくなります」と書いておられました。私などは、途中をはしょって、公式のように覚えればいいのでは?と考えておりましたので、25件をサンプルにとることの「逸脱率」と「信頼性」だけの理屈をわかればいいような感覚を持っておりました。ただ実際にはサンプリングの対象として選択されたキーコントロールの内容次第では、財務諸表監査における内部統制評価の実務を積んだ職業会計人の方々の勘が働かなければ、サンプリングによる最終結果としての「有効性」判断には到達しないのではなかろうか・・・と思われますし、そのあたりをズバっと指摘されますと、では経営者としてはどう考えたらいいのだろうか・・・と悩むのが自然ではないでしょうか。

現実には、サンプリングの巧拙によって経営者の法的責任が左右される場面というのはあまり考え付かないところでありますが、アプリオリに「25件のサンプリングでミスがなければ不備はない」として運用評価に臨むことと、「この基準が本当に母集団の特性を映し出すものかどうかは諸々の問題点はあるけれども、費用対効果の関係では正しい方法だ」と悩みながら取り組むのでは少し差があるように考えます。とりわけ当局はどこまで整備したか、ということよりも(少なくとも1年目は)その取り組む過程こそ重要であると強調されていますが、そうであればなおさら、経営者評価における「悩み」を抱きつつ試行錯誤する姿勢も決して無駄ではないと思います。(今後の応用力を身につけるためにも・・・)

※ なお「実施基準」におきまして、経営者評価は「サンプリングにより十分かつ適切な証拠を必要とする」とありますが、監査人監査基準とは異なり、25件なる件数が要件とはされていないことにご注意ください。

8月 25, 2008 経営者のためのサンプリング(J-SOX) | | コメント (5) | トラックバック (0)

2007年3月17日 (土)

経営者による内部統制運用状況評価(続編)

木曜日の「経営者による内部統制運用状況評価(サンプリング)」には、多数のコメントを頂戴しまして、どうもありがとうございました。「ど素人の視点から、統計学の一端を垣間見る」ことが、単に「趣味の領域」であれば、私のブログで採り上げる必要もございませんが、これがJ-SOX法上経営者に課せられた「試練」であるならば、「ど素人」なりに、理解したつもり(?)になりませんと、会計監査人へ何の反論もできない・・・・といった状況に陥るわけでして。。。いずれにしましても、監査の世界の常識が、いきなり経営者の管理行為の世界にやってきたようなイメージが強いわけでありますので、たとえタテマエ論でありましても、「サンプリング論」とはこういったイメージのもの・・・という認識はどうしても必要かと思います。(経営者だけでなく、監査役も同様だと思われます) ※1

ということで、丸山先生のブログ(ふたつのエントリーですが、とりあえずこちら)におきまして、すでにこの「25件のサンプル問題」をきちんと採り上げていらっしゃったようでして、文系人間の私にも、かなりの程度、理解が深まったような気がいたします。離散型確率分布である二項分布を理解するうえでは、まずサンプルリスク(取り出したサンプルが、どの程度母集団を正確に反映しているか)と許容誤差(100枚の伝票のうち、何枚の伝票ミスは許容できるか)とをきちんと区別して考える必要があり、それぞれに前提となる数値を決める必要があるわけですね。そうしますと、丸山先生が掲示されておられるポワソン分布の公式にあてはめて、最大逸脱可能性を検討しますと、25件のサンプルにミスが1個も存在しないか、もしくは40件のサンプルにミスが1個の場合には、先の許容率の範囲に収まる・・・といったことが計算上導かれるということのようです。

しかしながら、統計学のもともとの理解に乏しい私としましては、ここで新たに疑問が生じて参ります。まず、内部統制実施基準には100個のうち9個までのミスは許容する、といった前提条件が記載されておりません。90%の信頼度というのは、おそらくサンプルが母集団を90%の確率で正しく反映しているとする・・・といったことを表しているものと思うのですが、この「9%までのミスは許容範囲」とすることは、なにか慣行的な決まりごとのようなものがあるのでしょうか。それとも、理論上導かれるところがあるのでしょうか。(サンプリングさんのコメントを読みますと、アメリカの基準では10%以下の誤謬は問題とせず、とうことがわかります。ただ、このあたり監査慣行ということだけでしたら良いとしましても、経営者評価方法にも関連するところであるならば、どうして実施基準に記載がないのでしょうか。丸山先生のサンプリングさんへのご回答内容を読みましても、もうひとつ理解できないのであります。ひょっとしますと、このあたりは統計学というよりも会計学の世界のお話なのかもしれません。監査のために、多少のミスが発見されてしまって、そのために更に一から監査をやり直すということになりますと、全体の信頼性とやり直す労力(費用)とがつりあわなくなってしまって、極端に非効率的なもの(内部統制リスク)が発生してしまうために、「まぁ、9%以下ならいいんじゃないの?」といった現実的な要請に起因しているようなものでしょうか。)

さらに、実施基準におきましては、私のブログへ質問された方も疑問を呈されているように、「正規分布の基準によれば」との条件が付されております。(正規分布するのは、伝票ミス発生の確率ですよね?)正規分布の基準に基づきますと、もうすこし概算的な観念によって「25件」の説明ができるような気もいたしますし(正規のランダムサンプリングを行い、概ね30件のサンプルサイズがあれば、中心極限定理によって、ほぼ間違いなく正規分布の考え方を応用できる、というもの)このあたりは、どうなんでしょうか。また、全社的内部統制評価の結果、良好と判断された場合には、サンプル数を減少(縮小)することが認められるそうでありますが、これはいったい、先の「誤差の許容度」が減少するからなのか、それともサンプルの信頼性が高まるからなのか、それともまったく別の観点からなのか、そのあたりもよく理解できないところであります。

おそらく二項分布の考え方を前提として、「ミスはめったに起こらない」といった仮説をとり、さらに25件のサンプルはかなり多い数である、とすることで二項分布はポワソン分布に限りなく近づく、ということになろうかとは思うのですが、果たしてこの実施基準もその考え方と同じなのかどうか、またどなたかご教示いただけましたら幸いでございます。(ブログの恥はかきすて・・・とはいかないかもしれませんが・・・・(^^:;。私もじつはbunさんのようにカッコよく言い放ってみたいのですが、なんせ基礎ができていないものですから・・・・会計士さんや、学者の先生方におかれましては、統計学のど素人が、どういったところでつまってしまうのか、そういった実例としてご参考いただければと。。。)

※1 もちろん、平成19年2月15日付け「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」(以下たんに「意見書」という)の実施基準Ⅱ「財務報告に係る内部統制の評価及び報告」3(1)「経営者による内部統制評価」におきまして、経営者は財務報告に係る内部統制の評価作業の一部を、社外の専門家を利用して実施することができる」とされております。しかしながら、上記意見書によりますと、社外専門家を活用するにあたり、サンプル件数等の基本的要件については依頼の際に明確にしなければならないとされておりますので、依頼事項を特定するための前提条件として、経営者はある統制上の要点につき、何件のサンプルが妥当か、といった価値判断を必要とするものと思われます。

3月 17, 2007 経営者のためのサンプリング(J-SOX) | | コメント (50) | トラックバック (2)

2007年3月15日 (木)

経営者による内部統制運用状況評価(サンプリング)

ひさしぶりにJ-SOX(金融商品取引法上の内部統制報告制度)に関するエントリーであります。先日、ある企業のCSR部の方よりご質問をいただきました。ご質問内容は以下のとおりであります。

実施基準がサンプリングにおいて最低25と言っているのは記事にお書きになったとおりですが、この点に関して、実施基準は正規分布を前提すると言っております。
数字に弱いもので、この意味が理解できないでいるのですが、 そのようなことをおっしゃる方はないのでしょうか?何が、正規分布するのでしょうか?エラーの件数?エラーの発生確率?エラーの金額?監査ではエラーの有無を検証するために、属性サンプリングというやり方を採りますが、これは、特に分布を仮定しているわけではないようです。何らかの知見をお持ちでしたら、あるいは、知見をお持ちの方がおられましたら、ブログで解説いただけると幸甚です。

実は私も、昨年11月に実施基準の公開草案がリリースされましてから、このサンプリングのところはよくわからないままになっておりまして、おそらく公認会計士さん方のように、普段の財務諸表監査におけるサンプリングの統計的手法に慣れておりませんと、理解は困難なところなのではないでしょうか。とりあえず、どなたかにお聞きしようと思っておりましたが、どちらかといいますと「全社的内部統制」の整備運用のほうに目が向いておりましたので、私も疑問をそのまま残しておりました。

せっかくのご質問でもあり、また私自身も非常に関心の高いところであること、さらに統計学の素人である「一般経営者」にとりましても、このサンプリングは内部統制の運用状況評価方法として理解しておかなければならないこと(少なくともタテマエとしては・・・、いやホンネとしても・・・でしょうか?)ですから、どなたが参考文献でも結構ですので、このサンプリングについて「なんとなく」理解できそうなものがございましたらご教示いただけませんでしょうか?

現時点でなんとなく理解しておりますのは、以下のとおりであります。

経営者も業務プロセスにおける内部統制の運用状況について、その有効性をサンプリングの手法を用いて評価しなければならない。実際には社内の内部統制評価チームが検討するのであろうが、その統括者として、経営者も評価の全体像については認識しておかなければならない。なお、実施基準には、監査人による監査方法として、統制上の要点ごとに25件以上のサンプルを必要とすると書かれており、経営者の評価手法としては書かれていないが、すくなくとも監査人に要求されるものと同等数のサンプルについては必要である。25件のサンプルのうち、1件でも問題事項が発見されたのであれば、その対象となっている内部統制には「不備」があると評価せざるをえない。その「不備」が重要な欠陥といえるかどうか、別個の判断を要するが、数値的な判断によって重要な欠陥と評価されるに至るケースは稀少であろう。(参考「内部統制の知識」町田祥弘2007年日経文庫165頁以下、企業会計2007年4月号座談会記事 中央経済社 46頁以下、逐条解説「内部統制基準を考える」八田=町田 2007年同文館出版134頁以下、同180頁以下)

とりわけ前記町田先生の「内部統制の知識」を読みますと、アメリカSOX法下における実際の内部統制監査手法を参考にされているようですので、そちらの方面での監査経験をお持ちの会計士さん方であれば、自明のこととして知悉しておられるのではないか、思います。(いまは業務中でありますので、また続編を書きたいと思っております)

3月 15, 2007 経営者のためのサンプリング(J-SOX) | | コメント (60) | トラックバック (1)