ビジネス法務の部屋

旬刊経理情報の最新号（８月１日号）では、特別企画として「不正発覚で留意したい会計・法務上のポイント」が掲載されており、不正発生時における訂正報告書の書き方なども解説されております。もちろん不正発覚時におきまして、過年度有価証券報告書等の訂正報告書提出も重要でありますが、内部統制報告書の訂正ということも問題となってくるのではないでしょうか。内部統制報告書を提出した３月決算会社のうち、財務報告に係る内部統制は有効とはいえないものと判断した上場会社が５６社ほどあった（提出遅延のない会社）とのことで、全体の９８％ほどの上場会社においては「内部統制は有効と判断した」そうであります。金融庁Ｑ＆Ａのタイムリーなリリースのおかげ（？）でかなり重要な欠陥が残存している、とされるケースが減少した、と評されておりますので、この２％という数字が多いのか少ないのかは、ちょっと私もよくわからないところであります。ただ、実際に「重要な欠陥あり」と報告書に記載した企業の多くは、過去に（とりわけここ１年以内に）役職員の関与した会計不正事件が発覚しているケースも多いわけでして、こういった実務上の運用からすると、やはり内部統制の訂正報告書が提出されるケースというものも想定されうるものかもしれません。

実際に、「当社の内部統制は有効である」とした判断結果を記した内部統制報告書を提出した後に、過去の会計不正事件が発覚したことにより、今回提出した内部統制報告書（および内部統制監査報告書）を訂正する必要が出てくるケースというのも今後予想されるところではないでしょうか。７月１７日の適時開示では、ＪＡＳＤＡＱのＴ社が「当社元従業員による業務上横領についてのお知らせ」をリリースしており、これまで約３０００万円程度の横領金額が判明した事実が発表されております。このＴ社の内部統制報告書を読みますと、事業プロセスについては、売上高の概ね３分の２を基準に重要な事業部の選定を行い、会社の事業目的に大きく関わる勘定科目（売上、売掛金、棚卸資産）に至る業務プロセスを評価範囲とした、とのことですから、ギフトショップ部門を有するＴ社としても、金券管理は棚卸資産の評価範囲に含まれるのではないかと思われます。

このＴ社のケースでは、おそらく本年３月時点では、判明しなかった会計不正事件が５月に判明したことで、３月末時点では内部統制上の不備が残っていたのではないか、という疑義が生じることや、他社の「重要な欠陥」事例においても、社員の資金流用事件を原因として内部統制は有効とは判断できない、とする事例も散見されるところから、内部統制は有効と報告したが、無効であったと訂正する報告書を出す必要はないのでしょうか？たしかに金融庁Ｑ＆Ａでは、基準や実施基準に準拠して決定した評価範囲について評価を実施し、内部統制報告書を提出した後に、評価範囲外から重要な欠陥に相当する事実が発見されても、内部統制報告書に記載した評価範囲を訂正する必要はない、とされておりますので、この不正発見の業務プロセスが、そもそも適正に決定した評価範囲の外であるならば問題はなさそうであります。

しかしながら、このたびのＴ社のリリースを読みますと、今回の資金流用事件の再発防止策として掲げられているのは、①業務監査の監視強化、②内部通報制度の周知徹底、③社内教育、内部管理体制の強化というものであり、これらはいずれも業務プロセスの改正というよりも、全社的統制に関わる問題点ばかりであります。ということは、そもそも業務プロセスの評価範囲を決定すべき全社的統制の評価自体を適正に行えなかったことに起因するものであり、先の金融庁Ｑ＆Ａが適用される場面ではないと考えるのが素直ではないでしょうか？また、こういった再発防止策がとらなければ今回の資金流用を防止できないとすると、今回事件を防止できなかった業務プロセス上の不備の影響額というものは被害額である２９００万円よりも相当に大きいものであり、他の評価範囲における業務プロセスの有効性にも影響を及ぼす可能性があるのではないでしょうか。

このように考えますと、今後は「重要な欠陥が実は残っていましたので、有効とは言えませんでした」といった訂正内部統制評価報告書が出されるケースというのもありうるかもしれませんし、たとえ訂正報告書を提出する必要がない場合であっても、会計不正事件発覚に関する報告書のなかで、評価範囲の外から重要な欠陥に相当する不備が見つかったとか、評価範囲の決定に影響は出ていないとか、再発防止策が具体的にどのように内部統制の有効性を補完するのか、といったあたりについて、相応の開示が必要になってくる場合もあるのではないでしょうか。１年目の内部統制報告書を総括するにあたっては、出された報告書がどのように修正（訂正）されるのか・・・といったあたりの運用上の問題点も検証してみる必要性があると考えております。

先日の公認会計士協会の研修あたりで、金融庁の方が「そろそろＱ＆Ａ追加版をリリースしますよ」と予告されておられたそうですが、予告どおり、かなりの分量のＱ＆Ａ追加分が４月２日にリリースされました。（問６８～１０７；内部統制報告制度Ｑ＆Ａの再追加について）まだ全部をきちんと読めておりませんが、最初のほうをサラっと読んだ感想だけ少し記しておきます。なお４月３日は、また某所より、たいへん重要なリリースが出るかもしれませんよ・・・（＾＾；；

今回は「重要な欠陥」の判断基準（有効性評価方法の具体例）、Ｍ＆Ａに関わる子会社異動に関連する課題、（時節柄）親会社・子会社の業績変動に伴う評価範囲や事業拠点変更の要否、付記事項・特記事項に関連する課題、その他内部統制報告書記載上の注意点（参考例を含む）など、かなり内部統制府令における「一般に公正妥当と認められる経営者評価の基準」の解説としては、イメージしやすいものになっているのではないかと思います。

前半部分に何度か「監査人から指摘された誤りが、会社の内部統制によって防止・発見できなかったのかどうか、という観点から検討する必要があるものと考えられる」と出てきますが、要するに、たとえ財務報告に誤りがあったとしても、その誤りを訂正することが会社の自力でできるものであれば重要な欠陥とはされず、誤りの原因がわからなかったり、原因を探すこともしないような体制であれば、その質的、金額的重要性を勘案したうえで重要な欠陥ありと判断する、ということでしょうね。また、そういった判断については監査人と協議をしないと、適正意見はもらえない可能性もある、ということですね。ただ、逆に考えますと、決算情報に誤りが認められた場合（指摘された場合）、はたして当該企業に「財務報告を法令等にしたがって適正に作成されるための体制があるのかどうか」というかなり規範的評価を会社自身でしなければならないため、内部統制報告書には、そのあたりの説得的な合理的理由を付する必要が出てくるでしょうし、文書で述べられたところを監査人は審査することになるので、やっぱりむずかしい判断が要求されるように思います。（金額的重要性・質的重要性の判断や、代替統制、補完統制の有無に関する判断などでなんとかむずかしい判断を回避できるのかもしれませんが）

また、取締役らが善管注意義務を尽くして、その内部統制を構築（整備・運用）したとしても、重要な欠陥が残るかどうかは別問題であり、その開示は必要である・・・ということがかなり明確になったＱ＆Ａだなぁと理解しましたが、いかがでしょうか。なお、後半部分の報告書の参考例なども、なかなか面白いですね。

４月３日、日本内部統制研究学会の公開セミナーに参加させていただきますが、金融庁の方の解説もございますので、ひょっとするとこのＱ＆Ａ追加分に関する話題も提供されるかもしれません。また情報が入手できましたら、すこし補足させていただこうかと思っております。また、皆様がたのＱ＆Ａ追加分等に関するご意見、ご感想がございましたら、せっかくの機会ですので、こちらのブログのコメント欄にお書きいただけますと幸いです。（私は回答できるほどの能力はございませんが、ひょっとすると有識者の方の参考意見が聞けるかもしれませんので。。。）

ＰＳ

問８１におきまして、内部統制報告書提出の際、取締役会の承認が不可欠というわけではない、との回答がなされております。このあたり法律家の立場から、どこまで経営者が関与すれば「経営者が評価した」（善管注意義務を尽くした）といえるのか・・・ということを考えるには、週刊経営財務3月30日号の「経営者評価のスケジュールの再確認および留意点」（あずさ監査法人の代表社員の方が書かれたもの）が非常に参考になると思います。担当者、経営者、監査人間の情報提供の在り方がうまく整理されていて、ひとつのモデルケースをそれぞれの会社で決めるときの参考になるでしょうし、後で経営者が本当に評価したといえるのかどうか、法的な判断基準を定立するためのヒントにもなると思われます。

（4月3日午前　追記）さて、２月１２日のこちらのエントリーのＰＳ　でも少し触れておりました福島銀行の誤配当の件ですが、やっぱり「地方新聞にちょこっと掲載されただけでは済まない」問題に発展してしまったようですね。（日経ニュースはこちら）「誤配当」という結果からではなく、こういった配当を発生させる内部管理体制に問題がある、とのことのようですが、まさに内部統制報告制度Ｑ＆Ａの金融庁の考え方に合致しているような・・・・・

内部統制実務にお詳しい方はすでにご承知かと思いますが、11月末に、金商法２４条４の４に基づく正式な内部統制報告書が提出されておりまして、EDINET上で閲覧することができます。（ＪＡＳＤＡＱ　中小企業信用機構株式会社）正式な内部統制報告書の日本での第１号ということであります。なぜこの時期に？といいますと、決算時期変更により、それまで３月末だったのが８月決算会社に変更されたからであります。ちなみに内部統制監査報告書は財務諸表監査の報告書と一体的に作成されておりますので、有価証券報告書を閲覧ください。

おそらく来年３月決算の上場企業さんも、この第１号の内部統制報告書を参考にされるのかもしれませんが、多くの内部統制統括部署の方々や、内部監査人の方々そして監査法人さんが読まれた感じはいかがなものでしょうか？ずいぶんとあっさりとしたものとお感じになられた方が多いのではないでしょうか？たしかに「内部統制は有効である」と判断した場合の経営者による報告内容は、内部統制府令（および府令ガイドライン）に基づけばこの程度で構わないようにも思えます。基本的には内部統制報告制度は、各企業の財務報告に係る内部統制を開示することがディスクロージャー制度としての本旨ではなく、財務計算書類の正確性を担保するための内部統制システムの構築に向けて、企業がしっかりやっていることを報告するものでありますので、あまり詳細な報告内容となる必要もないのかもしれません。（「重要な欠陥あり」とする報告内容ですと、開示内容が大いに関心の的になりますので、ある程度詳細な内容になるのかもしれませんが）

とはいいましても、私の印象としましては、やっぱりこの第１号の報告書はあっさりしすぎているように思います。経営者が有効と判断した場合の内部統制報告書としては、財務報告に係る内部統制の評価の範囲の記載と、評価手続きの概要に関する記載がポイントになりますが、いずれも府令ガイドラインで記載要領について示されておりますので、ほぼガイドラインに沿った記述になろうかと思われます。この第一号の報告書も、評価範囲を決定した手順や方法についてはほぼガイドラインに沿った形で記載されておりますが、評価手続きの概要についてはどうなんでしょうか。この程度の記述でよいのでしょうか？（これで問題ない・・・ということでしたら、おそらくどこの上場企業さんも、事業拠点選定のための指標と事業目的に関わる勘定科目以外は、ほぼ同じ報告書が出てくることになりそうですね・・・笑）財務報告に係る内部統制の評価結果に重要な影響を及ぼす統制上の要点について、選定されたものを具体的に示すことまでは要求されていないでしょうが、統制上の要点選定にあたっての、自社の評価ポイント（リスク）あたりは説明が必要なのではないかと思います。

このあたりを検討するにあたっては、金融庁Ｑ＆Ａ第６２問（経営者の評価手続きの検証内容）や府令ガイドライン４－３あたりが参考になろうかと思いますが、そもそも内部統制監査は経営者報告書に対して意見表明をする制度でありますし、監査実務指針におきましても、監査人が不適正意見を表明すべき場合として「内部統制の評価範囲、評価手続及び評価結果に関して、内部統制報告書の記載内容が事実と異なり、著しく不適切な記述がある場合」とされ、経営者としての整備評価、運用評価の基本方針程度は記載しておくべきものではないかと思われます。また、せっかく金融庁Ｑ＆Ａ第６７問において、評価日以降に粉飾などが発覚しても、評価範囲外の原因によるものであれば訂正内部統制報告書を提出する必要はない、とされているのですから、評価手続きの概要などにつきましては、もう少し具体的な記述があったほうが企業にとっても有利なのではないかと思いますが、いかがなものでしょうか。また、あまりあっさりしたものですと、結局のところ経営者が評価手続きに関与することなく作成が十分可能となりますので、こういった制度を導入した意味がかなり希薄化されてしまうのではないかと思います。（また、皆様のご意見もお聞かせください）

（もうすでに実施されているので、「実施に向けての」というのはタイトルとしては少し変かもしれませんが）今年４月に開催されました監査役全国会議の全体会シンポジウム「財務報告内部統制の評価と監査」の講演録が月刊監査役７月号に掲載されており、新日鉄社の内部統制報告制度への対応が詳細に紹介されております。経営者確認書のレベルをどう上げるか、という点からスタートして、管理部門のスリム化や世代交代における知識伝承を内部統制整備の意義と捉え、連結３２０社のうち、全社統制がしっかりしていることを前提として、決算財務報告プロセス、業務プロセスの整備運用評価は、１５社に絞る。平成１９年度にしっかりとしたドライランをされているので、本番実施に向けて残された課題が明確に示されています。日本を代表する大企業であるがゆえに、きわめて複雑かつ難解な課題が残っているのかと思いましたが、一般の上場企業でも当然に課題とされるような非常にシンプルな課題であります。

その残された課題のひとつが「限られた監査の時間で、監査人は具体的にどのようなタイミングで何を見るのかが、まだ十分に詰め切れておりません。」・・・・・これだけ優秀なスタッフを擁する企業においても、またしっかりとした試運転をされていても、やはり内部統制監査に関する不安がまず第一にあげられるのですね。そして課題のもうひとつが内部統制に不備があった場合の影響額の算定方法だそうであります。税引前利益５％基準があるが、具体的にはどのように計算するのか、かならずあるはずのものが欠落していれば分かりやすいのだが、数字で表しきれない部分に問題が発生した場合、あるいは影響額をどのように計算するのか等については未だ十分に議論ができていないのが現状、とのことであります。たしかに、一般に公正妥当と認められる内部統制評価の基準とは抽象的に言えますが、これまで内部統制評価などしたことがない経営者側としては、不備が重要な欠陥に該当するかどうかの大きなメルクマールとなる上記算定方法については具体的な場面で混乱が生じる可能性は十分ありそうですよね。

現状では監査人とは別に、監査法人系の内部統制コンサルタントさんに指導を受けておられる企業も多いとは思いますが、「いったい監査人が何をみるのか」は不明な点が多いとしても、「わが社の場合、重要な欠陥に該当するかどうかの算定方法は具体的にはどうすればいいのか」といった点については、どこの企業においても明らかにしておく必要性は高いのではないでしょうか。（もちろんリスク評価がはっきりとしなければ算定方法も具体化しないのではありますが。）

「まるちゃんの情報セキュリティきまぐれ日記」の丸山満彦先生のブログにおきまして、丸山先生が内部統制報告制度Ｑ＆Ａ（追加版）第６０問回答へのコメントを関西弁でお書きになっておられます。「結局、内部統制の不備を３つに分けとるやんけ」

米国では内部統制の欠陥の区分として「重大な欠陥」「重大な不備」「軽微な不備」に分けて報告することになっておりますが、日本の内部統制報告制度では内部統制の不備の区分としては「重要な欠陥」と「不備」の二区分とされております。（対象企業の負担を軽減するため、と解説されているのは皆様ご承知のとおりです。）しかし、当局によります上記Ｑ＆Ａ６０問の回答内容を読みますと、「積極的に監査人が発見すべき重要な欠陥」、「もし発見した場合には関係当事者に報告を要する不備」、「報告すら要しない不備」と区別することになるために、結局日本でも不備は三つに区別されることになるのであって、基本説明とは矛盾しているではないか？といった基本的かつ重要な疑問が呈されております。（詳細は丸山先生のブログをご参照ください）なるほど、たしかにそのように読めますし、矛盾を来しているようにも考えられます。

私は６月２５日のエントリー「内部統制報告制度Ｑ＆Ａ（完全版）をどう整理するか」のなかで、全６７問を論点ごとに表に整理いたしましたが、そのなかでこの第６０問は「法律学と会計監査論」の論点に含まれるものとして整理いたしました。つまり、この６０問は法律家と会計専門職との間で理解が分かれる可能性があり、法律家の立場からすれば、会計士さんや会計学者の方の考え方に耳を傾けないと相互理解が得られない問題ではないか、と考えております。私の理解としましては、内部統制の有効性判断基準を提供する、という実益のために「重要な欠陥」と「不備」との区別は不可欠、また監査人の報告必要性の判断基準を提供するという実益および集計することによって「重要な欠陥」と総合評価する単元と判断する実益のために「不備」と「そこまで至らない不備」との区別は不可欠、しかし「そこまで至らない不備」と「不備なし」とは何ら区別する実益はないわけですから、「そこまで至らない不備」も「不備なし」と同等に評価してもよいのではないでしょうか。こう考えますと、結局のところ日本の場合は不備を二つに区分する、といった前提となんら矛盾はないことになります。

刑法総論の分野で、「可罰的違法性」なる概念は法律家であれば皆、常識として理解しています。形式的には違法性ある犯罪行為でも、「刑罰」といった国家権力をもって処罰するに値するものでなければ、刑法の世界では違法性は認められず、犯罪は成立しないのであります。（つまり無罪であります）これに近い考え方として、「重要な欠陥」にしても「不備」にしても、おそらく各企業の財務報告の信頼性を損なうような重要な虚偽表示リスクとの関係で相対的に判断される「評価」がつきまとう概念でありますから、当然に価値判断を必要とするものであります。そうであるならば、「報告の必要性すらないような「影響が非常に僅少な不備」は、そもそも「不備なし」と同様に評価すれば足りる、と考えることにあまり躊躇を感じないところであります。なお、この６０問の質問と回答を精読しますと、質問者は「軽微な不備も監査人は報告を要するか」と質問しているのに対し、回答者は、わざと「軽微な不備」なる用語を避けて、「影響が僅少な不備は報告を要しない」として微妙に質問への回答をすりかえているようであります。つまり、軽微な不備であっても、それが「重要な欠陥」と判断するために集計するに値するほどの影響力がある場合には「不備」として扱い、これと対比される「影響が僅少な不備」については、そもそも不備として扱う意味がないことを示しているものと考えられます。

内部統制の不備とは、「単独もしくは複数合わさって、一般に公正妥当と認められる企業会計の基準及び財務報告を規制する法令に準拠して、取引を記録、処理及び報告することを阻害し、結果として重要な欠陥となる可能性がある」ものを指していることから（実施基準Ⅱ、１、②、イ）、「不備」を抽出する作業効率の面からいっても、上記のような理解も可能かと考えております。監査人の立場からすれば、「報告すべき不備を抽出し、整理する作業」は煩雑でしょうから、その範囲を限定することでＪ－ＳＯＸに関わる関係当事者の負担を軽減するものであり、むしろこの第６０問はそういった「報告に値しない不備」なる概念を会社側が恣意的に利用することを回避するために「たとえば、必要に応じて経営者と監査人で協議の上、一定の基準値を定め、この基準値を下回るような影響が僅少な不備については報告の対象としないといったことも考えられる」として、経営者の恣意的な判断を防止することを工夫することに意味があるものと理解をいたしました。会計監査の立場からのご意見や、私の意見書の読み込み不足などがありましたら、またご教示いただければ幸いです。

２４日に金融庁からリリースされました内部統制報告制度Ｑ＆Ａ（完全版）でありますが、結構質問数が多いので、まだ十分に読み込めておりませんが、いくつかの傾向があるみたいですね。（とくに最後の問６７は、なかなかユニークな内容です）また個別の問については別途検討したいと思いますが、このＱ＆Ａをどう整理しながら理解していけばいいのでしょうかね？いずれにしましても、ほぼすべての回答がプリンシプルベースで書かれておりますので、この回答だけでは具体的な事例にあてはめるのはかなり困難に思われます。そこで、各回答をどういった視点から具体化すべきか、もう少し具体化するための指針が必要ではないかと思います。当ブログにて、６月５日に内部統制報告制度と４つの壁というエントリーをアップいたしましたが、私はこういった論点をひとつのモノサシとして、このたびのＱ＆Ａの質問・回答内容が、いずれの「壁」と関連性があるのかを、分類してみようかと思っております。まだ未完成ではありますが、たとえば以下のような感じであります。（備忘録程度でありますが、整理方法としては、こういったものもありかな、と）

内部統制報告制度を理解する際に、どうしても理解を困難にする「壁」として、上の表（左側）に「関連する論点」を掲示しております。以前のエントリーでは４つの壁としましたが、中小の上場企業と大企業との間で同様の対応が必要かどうか、という問題もありますので、とりあえず今回は５つの壁に分類しております。また、各問は、ふたつ以上の「壁」と関連しているケースもありますので、重複しているものもございます。

私の理解では「法律学と会計監査論」として分類しているものは、どうみても会計専門職の方でないと、プリンシプルベースでの理解がむずかしいものであり、それ以外の分類につきましては、法律的な理解が伴わなければ応用がきかないのではないか、と思われるものであります。詳細なルールが定まっていない内部統制報告制度では、経営者サイドからしますと、けっこう対応がむずかしい場面もありそうですね。こうやって分類してみますと、おおきく４：３の割合で会計監査の素養がないとなかなか理解できないものではないかなぁと思うのでありますが、またこのあたりはもう少し時間のあるときにでも検討しておきたいところです。

（追記）本文とはまったく関係のない追記ですが、株主総会を開催している真っ最中に子会社不祥事（食品偽装）が報道される、というのはスゴイですなぁ・・・（＾＾；　これって、滑り込みセーフだったんでしょうか？ミートホープ社の事件が発端となって改正されたＪＡＳ法違反事例（業者間取引）ですね。（日経ニュース）しかしこの食品偽装はかなり計画性が高くて、問題になりそうですね。

（一部訂正がございます　3月27日未明）

週刊経営財務3月17日号におきまして、「内部統制報告制度の焦点（内部統制構築における監査人の対応について）」なるＭ教授の研究報告が掲載されております。このなかで内部統制構築担当者に対するインタビュー調査報告結果（監査法人の対応に関する調査）が集計されておりますが、依然として、内部統制担当者の方々の監査法人への不信感が根強いことがうかがわれる結果となっております。私の感想としましては、内部統制報告制度に関する通訳不在のまま（最近は金融庁が一生懸命、通訳に徹しようとされているようにも思われますが）、施行期に突入せざるをえないわけでして、この現実を直視した場合、企業側担当者としましても、整備運用状況に「重要な欠陥」を出すことなく、また有効とする経営者評価に適正意見を求めうるようなシステムをいかに構築すべきか、その基本的な対策を検討する時期にきているものと思います。（なお、以下に述べるところはまったくの私見であります。）

財務諸表監査に伴う内部統制監査審査※については「プロ中のプロ」である監査人も、インダイレクト・レポーティングを前提とした「内部統制報告制度における内部統制監査」にあたっては「初心者」であります。（かくいう私も「初心者」どころか、「素人」であります）これは経営者評価の基準にしたがって整備運用の有効性を評価する経営者と同じレベルであります。職業会計士さんには「監査の経験」という武器がありますが、かたや経営者には「社内の仕組みに精通している」という武器がありますので、まさに対等であります。また、アサーションに対するリスク評価やキー・コントロールの絞り方、サンプルテストによる統制評価手法などの知識は監査人に分があるとしましても、代替統制や補充統制など、リスクを合理的な範囲に抑え込む手法についての知識は経営者のほうに分があるはずです。理想的なのは、内部統制報告制度が金融商品取引法における企業開示制度のひとつとして制定された趣旨に立ち返り、監査人監査、経営者評価の利点、欠点を認識しながら、シナジー効果（なるべく効率的に、財務報告の信頼性を確保できるシステムを構築すること）を生むことであり、それが最も費用対効果のうえでも望ましい姿であると考えます。

※財務諸表監査にともなう「内部統制監査」なる用語はおかしい、とのご指摘を受けましたので、内部統制審査という用語に変更いたしました。

しかしながら、「プロセスの開示」として、財務報告の信頼性に疑問を持たざるをえない上場企業もまた、存在することは否定できない事実でありまして（これは私の経験からの感想です）、監査人がどういったところでレッドカードを出しやすいのか・・・というところを探ることも意味があるのかもしれません。ということで、結局のところ、全社的内部統制、とりわけ「統制環境」こそ重要なポイントであることは理解しつつも、現実の「有効性」判断にもっとも影響を及ぼすプロセスは、やはり決算・財務報告プロセスではないでしょうかね？　（私はどうもそんな気がします）個別財務諸表にしても、連結財務諸表にしても、それらが作成される過程がスムーズであれば、そもそも全社的な統制環境が良好であると推認することができる場合も多いように思われますし、またなんといいましても、監査人にとっての「あとだしジャンケン」的評価が可能なのは、この決算・財務報告プロセスをおいて他にはないと思うのであります。（誤謬やミスを発見したうえで、内部統制システムの不備を指摘するのが、おそらくもっとも監査人方にとっては説得的でありましょうし、企業側としても反論できる余地が少ないように思われます。財務報告における虚偽記載のリスクを評価する、といいつつ、実際には「危険探知主義」ではなくて「結果主義」でリスク評価されてしまうわけであります）

会計処理におけるミスや誤謬が判明した段階で、さかのぼって「決算・財務報告プロセスには不備がある」とされることはとてもおそろしい気がします。しかしこれがおそらく現実なんですよね。このような「あとだしジャンケン」リスクが存在するために、金融庁Ｑ＆Ａの第１１問におきましても、その回答例としては「特に決算・財務報告プロセスに係る内部統制については、かりに不備があったとした場合、当該期において適切な決算、財務報告プロセスが確保されるためには、早期に是正されることがのぞましい。・・・・前年度の運用状況や四半期決算の作業等を通じ、むしろ、年度の早い時期に評価を実施することが効率的、効果的である」とされているのでありまして、企業側にとっては最大の防御のポイントになってくるのではないでしょうか。

さてそうなりますと、決算・財務報告プロセスにおいては、その統制活動（たとえば会計処理方針に関するマニュアルの整備、連結グループにおけるパッケージ作成のための研修など）を重視すべきか、検証活動（子会社の財務報告内容の再検証、再鑑など）を重視すべきか、という問題への回答としては、後者、つまり「検証活動」に重点を置くことにならざるをえないのではないかと思われます。もちろん理想論としましては、リスクを低減することが目的である以上は、統制活動を重視して、経理マニュアルを充実させ、自社内において能力の高い経理担当者、内部監査人を養成することでありますが、この決算・財務報告プロセスにおける内部統制の評価について「結果主義」が求められる以上は、特定の担当者に大きな負担が生じるかもしれませんが、こうならざるをえないような気がします。

※ココログは3月25日午後3時より翌26日午前11時まで、メンテナンスを行います。コメントの入力もできなくなりますので、ご留意ください。

本日、内部統制報告制度（いわゆるＪ－ＳＯＸ）施行直前にあたり、金融庁より内部統制報告制度に関する１１の誤解が公表されております。

基本的に、これまでの金融庁の見解や、企業会計審議会内部統制部会の方々の個人的な見解と変更はございませんが、「この時期に」改めて金融庁の見解が述べられることについては、「メリハリのある内部統制報告制度」、「費用対効果を考えた内部統制システムの構築」を再確認する意味があろうかと思料いたします。

なお、１１の誤解のうち、４番目の誤解についてはご注目いただきたいと思います。（私も２月の講演会でも何度も申し上げたところであります。）中小の上場企業向けの指針が「実施基準」には不足しているものと感じておりますが、「中小企業の実態を踏まえた簡素な仕組み」について、再確認されております。（総合解説内部統制報告制度　１１７ページ参照）「代替統制」につきましても、その代替しうることの合理性評価の要点は講演で述べさせていただいたとおりですし、（実施基準でも記載されているにもかかわらず、あまり議論の対象となっていなかった）企業外部専門家のモニタリングを利用することにつきましても触れられております。ぜひぜひ、中小の上場企業の担当者の方にとりましては、費用対効果を目指した内部統制報告制度の導入につき、この４月からじっくり検討していただければ・・・と思います。

また、９番目の誤解（プロジェクトチーム等がないと問題か？）につきましては、私の講演ではとりあげておりませんでしたが、「既設部署の活用」や「企業外部専門家の利用」など、これも中小の上場企業にとってはありがたい記述がなされております。私の感覚からしますと、４番目にしても９番目の誤解にしても、「外部専門家を利用すること」については往々「短時間で社内のシステムがわかるはずがない」と批判される向きもございますが、そもそも外部専門家を活用する「勇気」を持っている企業の場合、ガバナンス構築については精力的なところが多いわけでして、外部専門化を活用すること自体、「統制環境」が良好と評価してもいいのではないかと考えております。（すべて・・・とは申しませんが、私のこれまでの経験からの実感であります。とりいそぎ、執務中ですので速報版ということで失礼いたします）

（10月5日夕方　追記）

昨日よりたいへんなアクセス数となっておりますし、忍者アクセス分析でも、コメント欄をアクセスされている方が多いことが明らかでありますので（近接した時刻に同一の閲覧者が複数ページをアクセスされておられます）、このエントリーをトップに残しております。しかしやまたけさんがおっしゃるように、ホントこの「Ｑ＆Ａ」は大きな反響ですね。会計雑誌あたりでは、また11月号などで解説記事とか出るかもしれませんね。

（10月3日午後　追記）

いつも勉強させていただいております澤村八大先生（会計士）も、この10月1日から「現場復帰」ということだそうでありまして、今後のご活躍を祈念いたしております。（半年の間、主夫？をされておられたそうで、急に朝早く出勤されるようになった澤村先生をみて、ご子息が泣いてしまって困ってらっしゃる、とのこと。うーーん、たしかにそれはありますよね・・・。しかし、子供がそんなカワイイ時期はあっという間に過ぎ去っていきますよ。＞澤村先生）

さて、もうすでにあちこちのブログで話題になっております「内部統制報告制度に関するＱ＆Ａ」（金融庁総務企画局）でありますが、みなさんもう中身をお読みになられましたでしょうか？私もｇｒａｎｄｅさん　と同じ意見ですが、実務的にはけっこう重要ではないか（参考になるのではないか）と思います。ちなみに、私の場合、まず２０問の質問を読んで、約１時間かけて回答を考えてみて、それから金融庁の答えを読んでみましたところ、２０問中１８問が理由、回答ともほぼ正解でしたが、２問は不正解でありました。（私の不正解は問９と問１５です。）正解と申しましても、単に金融庁が正解と考えているところと合致していた・・・ということに過ぎず、内部統制報告制度の趣旨実現のための最良の回答かどうかはわからないですよね。それに、これらの質問のうちの４分の１くらいは、当ブログでもこれまで議論された問題ですよね。。（＾＾；

内部統制報告制度の運用についての金融庁の考え方（とりわけ経営者の有効性評価の方法に関するもの）について、このＱ＆Ａを読んでの私の感想は以下のとおりであります。

まず全体を通していえることは、金融庁の運用指針として①トップダウン方式のリスクアプローチが基本であること②経営者による恣意的運用を回避するための仕組み作りが重要であること③プロセスの有効性評価が複雑で、経営者も監査人も業務が煩雑となることを避けるために、統制環境やモニタリングへの信頼性評価で代替すること④内部統制報告制度が経営活動の支障になるような事態を絶対に正当化しないこと、この４つが有効性評価のための基本となるものと思います。なぜなら、不正会計防止、誤謬、虚偽表示リスクの低減、費用対効果といった本来の内部統制報告制度導入における基本的な制度趣旨からみて、具体的な問題に金融庁の理念を落とし込むためには、上記４つのいずれかの基準をすくなくとも一つ以上はクリアすることが必要だからであります。（なお、「有効性の評価」という用語を使っておりますが、これが適正な用語かどうかはわかりませんが、不備と認められない・・・といった程度にお考えいただければ結構かと思います）

このＱ＆Ａに沿って、もうすこし具体的に考えてみますと、たとえば上記②（経営者による恣意的運用を回避するための仕組み作りが重要）というのは、いろんな設問のなかに出てきます。「財務諸表監査における金額的重要性との関連をふまえつつ」（問２）、「必要に応じて監査人と協議しながら」（問１、２、４）、「サンプリングの手法を用いて」（問１０）、「前年度の運用および四半期決算業務を参考として」（問１１）、「モニタリングの一部を社外の専門家を利用して実施する」（問２０）などなど、いずれもいわゆる「内部統制の限界」をできるだけ狭めて、経営者による内部統制報告制度の恣意的運用の機会を限定的なものにしようとするための運用方針でありますので、これらは非常に重要だと思われます。自社の内部統制システムの整備運用にあたり、実施基準との適合性を検討する場合に迷いが生じるケースがあると思いますが、こういった「経営者恣意を排除しうるような『モノサシ』が用意されているかどうか」をきちんと理解しておく必要があると思われます。

また、③でありますが、経営者が適正にリスク評価をしているか、そのリスク回避のための有効な回避方法を選択しているかどうか、といったあたりは経営者も監査人も十分検討すべきところでありますが、その回避方法が正確に運用されているかどうか・・・といったあたりは、経営者はモニタリングシステム（内部監査人）を信頼することで代替することになりましょうし、また監査人は統制環境や、内部監査人の能力などへの信頼で代替することになろうかと思います。（このあたりが、思いのほか監査費用が増加するのを防止しながらも、経営トップから現場社員まで、統制活動が全社的に行き届いていることの全体的評価を重視することで、制度への信頼性を高める工夫がみられます）この②や③あたりの基本的な考え方は、今後の内部統制報告実務において、現場での担当者と監査人との意見の食い違い等が発生した場合の「共通言語」的なものとして活用されることを期待しております。

一般的な評価範囲の決定方法や、全社的内部統制の評価すべき事業拠点の選択、重要な欠陥の判断基準など、実施基準の例示と個々の企業の有する個別事情との乖離から生じる問題点に悩むケースもあろうかとは思われますが、このＱ＆Ａを読むことで、けっこうホッとされた担当者の方もいらっしゃるのではないでしょうか。ただ、重要だと思われるのは、評価範囲の決定方法にせよ、事業拠点の選択にせよ、その決定や選択が、個々の企業におけるリスク評価と、そのリスクへの対応方法の選択との間で、十分に合理性があることが前提となるわけでありまして、これはまさに社長を含んだ経営陣による全社的な（会計上の虚偽表示に関する）リスク評価と、そのリスクへの対応（つまり、統制上の要点の識別）が十分に説得的であることが条件だと思います。そこに経営者が関与していなければ、（企業のリスクを最も上手に洗い出すことができるのは社長さんだと思いますので）評価範囲の決定方法についても、事業拠点の選択についても、監査人による（経営者の）評価手続きへの検証において疑問符がついてしまうのではないでしょうか。

個別の設問をみておりますと、どれもコメントしたくてウズウズしてくるようなものばかりでありますが（最近当ブログで話題になっております「内部監査人の位置づけ」につきましても、問１９あたりで出てきますね）、最後の問２０などは結構、おもしろいですよね。「中小規模の企業」って、いったいどれくらいの規模の上場企業までを含むのでしょうかね？「事業規模が小規模で、比較的簡素な組織構造を有している企業」と実施基準にはありますが、この説明だけでは曖昧ですし、このあたりの基準も例示としてＱ＆Ａの中で示してほしかったと思います。このあたりは以前、紹介させていただいた「簡易版ＣＯＳＯガイドライン」などがとても参考になりますし、この設問の回答に近い内容の解説も書かれております。ともかく、経営者の目が会社の隅々まで行き届く程度の規模の場合には、管理部門の人数も少ないでしょうし、人材不足をどうやって補っていくべきか・・・ということが問題になろかと思われますが、部門間モニタリングや、モニタリング機能を外注することで補えるということですから、ずいぶんと一般に言われている内部統制システムの構築内容とは異にします。私が現在、支援業務を担当しているＩＰＯ企業などは、こういった内部統制システムの構築運用を導入しております。（中小規模の場合ですと、企業会計不正と、それ以外の業務上の不正を区別してシステムを作ることも困難でしょうから、たとえば会計不正についても、内部通報制度等によって、社外窓口を設けて、経営者不正をモニタリングする・・・ということも考えられます）ＩＰＯ企業の場合、最初のリスク評価と、その対応方法の検討のところから、社長さんをかならず引っ張り出してきて、役員会で決定しておりますので、その後の構築はかなりスムーズに進むことが多いですね。（ただし、経理や内部監査のできる人材不足、というのが最大の問題ではありますが・・・・）（ということで、つづく）

（追記）ｇｒａｎｄｅさんのブログで、個別設問に関するコメント等、新しくアップされていらっしゃいますので、参考にされてはいかがでしょうか。