財務報告に係る内部統制の評価及び監査の実施基準に対する八田部会長の発言

　こんにちは、丸山満彦です。財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査の実施基準が確定しましたが、それについて八田部会長の発言です。

　
■内部統制.JP
・2007.02.15 SOX法の実施基準確定、負担軽減を強調「文書化3点セットが必要とは言っていない」

「対応する企業は、初年度から無理をするのでなく、身の丈にあった整備を進めてほしい」

　財務報告に係る内部統制について重要な虚偽表示が無いことを合理的に保証する内部統制が有効に整備、運用されているかどうかを経営者は評価しなければなりませんね。有効か有効でないかの判断は基準及び実施基準で決められていますので経営者が自由に身の丈を決めて整備することはできません。もちろん必要以上のことをする必要はありませんが・・・

「実施基準では、例として業務フロー図などを挙げたが、一言も『文書化3点セット』（業務記述書、業務フロー図、リスク・コントロール・マトリックス）が必要とは言っていない。上場企業なら内部統制は既に整備されているはずで、そのための文書もある。企業は既にある文書などの資産を棚卸ししてみてほしい」

　まさにおっしゃるとおりだと思います。すでに業務マニュアルがあればその中に統制行為が記載されているはずですから、その部分を蛍光ペンでマークすればよいかもしれませんね。ただし、その内部統制が統制上の要点になっていることを説明することができるように記録して保管する必要はあるので、リスク・コントロール・マトリックスはさすがに作らないといけないかもしれませんね。。。

・2007.02.15 内部統制実施基準が正式確定、「画一的な文書化は誤解」と改めて強調

「日本では過度なコスト負担を軽減するために、対象となる『売上高』『売掛金』『棚卸資産』という勘定科目を具体的に示し、売上高の3分の2などの数値基準も明示した」

　必ずしも３つの勘定科目に限定されているわけではないし、必ずしも売上高の3分の2に確定しているわけではなく、ある意味目安を出しているだけですよね。。。最近の米国の実務の状況を考えると逆に3分の2という目安が過度な文書化につながる可能性が無いとも限らないわけで・・・。

「米国では『文書化』の負担が大きかったが、日本の実施基準では文書化という言葉を使っていない。社内で既に使っている文書・規定類があるはず。それをうまく使えるということにしている」

　記録をすることも文書化の一部なのでなんともいえませんが、文書化が目的ではないので、八田部会長がおっしゃるとおり既存の文書類をうまく利用することは重要だと思います。

・2007.02.15 「適用時期は延期しない」――日本版SOX法の基準と実施基準が正式公開へ

「基準、実施基準が確定した今、もっと正確な情報を伝えれることに力を入れたい」

　そのとおりですね。基準、実施基準に書いている文書を正しく伝えることが重要です。基準や実施基準に書かれている義務規定、禁止規定の部分を遵守することが重要ですよね。。。

「金融商品取引法による内部統制報告制度は『J-SOX』、『日本版SOX法』と呼ばれ、米SOX法（2002年サーベインズ・オクスリー法）のように大変な制度だと誤解を生んでいる。だが、我々は上場企業が全く実行できないような制度は作っていない」

「コンサルティング会社や監査法人、ITベンダーなど、『これを商機』と思っている企業に振り回されないで、経営者自らが自社にふさわしい内部統制の整備方針を決めることから始めてほしい」

　そのとおりですね。経営者が責任者ですから自分で正しいという内部統制を整備しなければなりません。ただし、今回の制度については、基準及び実施基準により義務が課されることになりますので、義務となる部分は経営者の自由になりませんね。。。したがって、経営者自身が過度な内部統制と思っていることも、しなければならないことはしなければなりませんね。ただし、誤解をして不必要なことを過度にしないようにしなければなりませんね。。。 　それから、今回の制度は経営者が財務報告に係る内部統制を評価し報告し、その報告書を監査法人が監査をするという制度ですから、内部統制が有効かどうかは別として、経営者が内部統制の有効性について報告することはできないわけではないと思います。

ちょっと前の記事
・2007.02.09 【NET&COM2007】「『3点セット』とは一言も書いていない」、青学八田教授がJ-SOX実施基準を語る

「実は『3点セット』という言葉は昨年秋に知った。なぜなら、実施基準ではそのような言葉は使っていないからだ」。

　3点セットってだれが言い出したのか知りませんが、私も使いませんね。。。いまいち、かっこよくないし・・・

　八田教授は日本版SOX法（J-SOX）の実務上の指針（ガイドライン）である「実施基準」について、「業種業態を問わずにどの企業にも共通する標準を示した。数値の基準を盛り込んだため、対応コストは抑えられるはずだ」と見解を示した。ただし、実施基準をはじめ、制度そのものの理解について「世間には誤解が多い。作成者の意向が十分に通じていない」と感想を述べた。

　この責任は、コンサルやマスコミに責任半分、内部統制部会側に責任半分といったところでしょうかね。。。 　基準及び実施基準をよく読まずに言うとだめすね。作成者側も、作成者の意向を十分に文書にしなければ、私の思いは●●●だといっても、基準では▲▲▲と書かれていれば、やっぱり▲▲▲となるわけで・・・

　その一例が冒頭の「3点セット」だ。3点セットは日本版SOX法への対応において、監査用に、(1)業務の手順を記述する「業務フロー図」、(2)業務中のリスクとそれに対する低減策を一覧表にした「RCM（リスク・コントロール・マトリックス」、(3)業務の詳細な内容を文書で記述する「業務記述書」、の3種類の文書を作成する、としている。この3種類の文書は「3点セット」と呼ばれ、「日本版SOX法への対応で作成が必須」と言われている。 　だが八田教授は「3点セットの作成が必須」という考え方を否定した。

　これは、利用者側に責任がありますね。3点セットが必須とは書かれていないですから。。。ただし、統制上の要点が適切であることを評価するための記録は必要なわけで、必須ではないけど、なんらかの記録が必要となるわけで・・・

　同様に、実施基準で取り上げられている「ITへの対応」についても、「システムを作り変えろ、とはどこにも書いていない」と指摘。さらにITへの対応について「これ以上、詳しい説明は出ることはないだろう」と説明した。「実施基準は、100ページ弱のうち7分の1を割いて、ITへの対応について書いてある。当局（金融庁）もITへの対応について、必要なことは盛り込んだ、と言っている」（同）とし、「金融庁からこれ以上、ITについては詳しい解説は出ない」との見通しを示した。

　1年目は全般統制の不充分な部分に投資、2年目以降は、効率的な評価のためにIT投資が行われるというのが先例のようです・・・

　このほか、全社的な統制が整備されているかを評価するための質問項目が、実施基準には42項目挙がっている。これについて、八田教授は「経営者に『これなら、自分にもできるだろう』と思ってもらえるように質問項目を作った」と解説。「内部統制は経営者が責任を持って整備するもの。経営者が『こんなのはできない』と思っては困る」（同）からだ。

　内部統制の基本的要素を満たしているかどうかが全てですから・・・。 　

コンサルタントに内部統制の整備を丸投げしている企業は『内部統制が整備されている』と判断されないから要注意」と八田教授は指摘した。 ・・・・ 「どういった統制を整備するかの最終的な判断に責任を持つのは経営者。第3者に丸投げしてはいけない。

　丸投げする経営者っているのかなぁ・・・。

「財務報告の信頼性確保のために、内部統制を整備するのは、日本では『未体験ゾーン』。経営者は社員や監査人などと議論を尽くして、取り組んで欲しい」と八田教授は訴えた。

　整備というよりも「評価する」のが未体験ゾーン・・・ですねｌ。

---

【過去の今日】
・2006.02.16 バーゼル銀行監督委員会 改訂版「銀行組織にとってのコーポレート・ガバナンスの強化」を公表
・2005.02.16 FLORA Se210　HDDなくてもFLORA
・　　　　　　　個人情報保護ガイドライン　日本医師会他
・　　　　　　　個人情報保護法　頭の体操11

Comments

丸山さん、
何時も有用な情報を提供頂き感謝しています。
　２００３年以降米国ＳＯＸそして日本版ＳＯＸを内部監査として、今はコンサルとして深く拘わっている者です。
　どうも日本のＣＰＡ、コンサルの多くは先行する米国流内部統制の呪縛にあって、金融庁の意見書に準拠することに抵抗（保守的、保身等のなのもと）しているように思えます。
　３点セットですが、米ＳＯＸで業務記述書を作成しなかった私（手順書を５Ｗ１Ｈ等で再作成）は、より解りやすく、監査人に容易に（監査時間の短縮）理解してもらうためには、その必要性を認識しています。更に１点加えて２００３年ごろから私は、４点セットといっています。つまり、証跡の保存が肝要。（日本では、証拠を保存しないきらいがあるので）
　会計士協会のパブコメについてですが、はいくつかは採用されたようですが、彼らの思いを理解することが出来るので面白いと思います。
　とりあえず、コメントです。　

Posted by: 井上洋平 | 2007.02.17 12:52

本件、八田先生は文書化もIT製品の導入も目的ではなく手段であり、経営者が主体的にやらなければ意味が無い、といういつも通りの見解をお話になっただけでしょう。他のソースと見比べてみると、さも「３点セット」自体を否定したかのような話にしているのは日経のみで、かなりバイアスがかかっているような気がします。もちろん「最も汎用的で合理的、現実的な解だから実施基準に例示された」という事実を動かすものではないでしょうが。

Posted by: hoge | 2007.02.19 09:42

井上洋平さん、hogeさん、コメントありがとうございます。
　内部統制の整備状況の評価のために何が必要か・・・という話ですからね。。。
　業務記述書を作っていない会社もありますし、フローチャートを作っていない業務プロセスもありますね。。。
　そういう意味では、目的と手段の区別は重要です。
　

Posted by: 丸山満彦 | 2007.02.20 04:42