« iPodの一部もウイルスに感染 | Main | COSO モニタリングのガイダンス策定の公募がでていますね »

2006.10.20

「これだけやっていれば内部統制は絶対大丈夫」とはいえないし、「これをやっていなければ内部統制は絶対だめ」ともいえないんです

 こんにちは、丸山満彦です。ある会合でいくつかの監査法人の公認会計士の人達と話をしていると、表題のような話になりました。公認会計士同士だと、考え方に違いはあまり無いなぁ・・・と実感しました。

 
 「これで内部統制は大丈夫ですか・・・」と聞かれても、内部統制を担う人の理解度、社風(いわゆる統制環境ですね)や、ビジネスプロセスなどに大きく依存します。また、ある内部統制がだめでも、補完的な内部統制が存在することもあります。
 なので、「これだけやっていれば内部統制は絶対大丈夫」とはいえないし、「これをやっていなければ内部統制は絶対だめ」ともいえないんですよね。
 ましてや、このツールを利用すれば内部統制は大丈夫とか、J-SOXに対応できますともいえないんです。

 「このツールを使えば、たくさん必要な内部統制活動のうち、ほんのちょっとだけ内部統制の向上に役立ちます。でも、このツールを使わなくても内部統制を有効にするための方法は他にもありえます。」

 財務報告に係る内部統制が有効に機能しているとはどういうことかを十分に理解することのほうが、どのようなツールを利用するかを考えるよりも重要ですね。財務報告に係る内部統制が有効に機能しているということはどういうことかがわかれば、どのような手段を利用すればそれを実現できるかがわかるのだろうと思います。

|

« iPodの一部もウイルスに感染 | Main | COSO モニタリングのガイダンス策定の公募がでていますね »

Comments

 会計士は、目的と手段のどちらが重要かという当たり前のことを二者択一的な視点で理路整然と議論する。一方、実務家は、目的達成のためにどんな手段が有効かつ効率的かと考え実行し、問題があれば、また他のよりよい手段がないか考え実行し、それを繰り返す。
 言い換えれば、職業柄、会計士は、「目的か手段か」のように物事を細分化して個々の機能を捉えることに長けている。その理論武装は得意だが、実行の責任は伴わない。実務家は、ただただ、目的と手段との関係を考え行動するのみである。目的を達成するために。そんなところに理論は必要ない。時々、手段だけを考えるあまり、目的を忘れることもあるが・・・。

 同じ職業同士で話して、考え方が違わないことは、当たり前のこと。確かに安心はするだろうが、果たして、前に進むことができるのか心配だ。

Posted by: 技術屋の内部監査人 | 2006.10.20 12:26

技術屋の内部監査人さん、コメントありがとうございます。「同じ職業同士で話して、考え方が違わないことは、当たり前のこと。」なのですが、
他の監査法人の人とじっくりと話をする機会が最近少なかったので、自分の考えていることが専門家の中でもずれていないか心配になっていわけです。まぁ、そういう意味ではずれていなくてちょっと安心という感じです。
理論と実務の話ですが、監査人も最後は実務ですね。でも、理論的に説明できないことと理論的に説明できることは峻別しておかなくてはならないですね。

Posted by: 丸山満彦 | 2006.10.21 11:39

 コメントの返事、有難うございます。
 一寸、斜からみたコメントになったことを反省しております。
 実は、当社もようやくJ-SOXプロジェクトが立ち上がり、監査法人のコンサル部門からいろいろ指導を受け始めているところです。ところが、このコンサルは、内部統制統制の本来の目的はどうあるべきか、どう捉えたら企業のためになるか、という話がほとんどなく、いきなり、「CLC」がどうのこうのとか、3点セットの「CRM」がどうのこうのとかのテクニックの話に入り、どこか物足りなさを感じていました。そんな時に、今回のこのブログを読んだものですから、会計士の方に、一言、物申してみたかったような気がします。今思えばのことですが・・・。
 色々なコンサルの方がおられるのでしょうが、基本は、おっしゃるとおり目的あっての手段ですね。まず、何のためのJ-SOXなのか、一度キチンと考えてみたいと思います。
 いま、下記のことを整理して、J-SOXの目的を整理しようとしています。 
  ①不正と誤謬の未然防止
  ②重要な虚偽表示のリスク回避
  ③経営に重要な影響を及ぼすリスクの軽減
  ④経営者が関与すべリスクの軽減 
  ⑤その他
 なお、当社は、3年前に監査部が新設され、コンサルの指導の下、リスクアプローチ型の監査から始まりました。CSRの視点で抽出した事業全体のリスクから高リスクを選定し、それを監査項目として内部監査部をしています。いま、このやり方で、事業上のリスクのうち、「財務報告に係るリスク」が何かを模索し始めたところです。

Posted by: 技術屋の内部監査人 | 2006.10.22 15:55

技術屋の内部監査人さん、コメントありがとうございます。対応する時間が十分ないと思うのか、わかりやすく手っ取り早くお金になると思うのかコンサルの人も業務プロセスの文書化の話を真っ先にして、3点セットの文書化からコンサルに入ろうとしてしまいます。目的を考えずに手段から入ると無駄な作業が生じるように思うんですよね。
プロジェクトを進めていく上での注意点は、目的=>(手段=目的)=>手段・・・という、目的と手段の連鎖の中で、下位の目的がより上位の目的のための手段であることを忘れてしまうことですね。評価(目的)のための文書化(手段)であるにも係らず、文書化が目的となって評価のための・・・という上位の目的を忘れてしまうことです。
 もうひとつの問題は、文書化をすれば内部統制が達成できると思うことです。内部統制は人が行うプロセスですから、最終的には人なんですよね。つまり人に対する意識付け、教育・訓練が重要なんです。
 目先の手段に走ってしまうと危ないですよね。。。
 

Posted by: 丸山満彦 | 2006.10.23 00:07

 現役の会計士が自社のホームページで、驚くような発言をされています。
 題して、「J-SOX=日本版404に関する10の疑問・矛盾・混乱・誤解」

 同じ内部監査人にメールしたら、「霧が晴れていくように、何かモヤモヤとしていたものがスーと消えていくような気分になります。」との返事が返ってきました。

http://www.shinnihon.or.jp/portal/blog/2/entry/200610/18.html

Posted by: 技術屋の内部監査人 | 2006.10.24 18:17

技術屋の内部監査人さん、コメントありがとうございます。初めて紹介されたブログを読みました。わかりやすいですね!。たしかに・・・・。若干、「?」っと思う部分もあるのですが、その分、割り切りのよさがいいですね。
ありがとうございます。

Posted by: 丸山満彦 | 2006.10.24 23:54

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 「これだけやっていれば内部統制は絶対大丈夫」とはいえないし、「これをやっていなければ内部統制は絶対だめ」ともいえないんです:

« iPodの一部もウイルスに感染 | Main | COSO モニタリングのガイダンス策定の公募がでていますね »