« 企業や自治体の情報管理格付け? | Main | 公認会計士協会 「財務報告に係る内部統制の監査に関する実務上の取扱い」(公開草案)を公表。。。 »

2007.07.17

内部統制を網羅的に識別することが重要なのではない

 こんにちは、丸山満彦です。業務プロセスの文書化をする際に、監査人から「内部統制が網羅的に識別されていない」と指摘されたが、内部統制を網羅的に識別する必要はありますかと、質問されました。網羅的に識別する必要はありませんが答えです。

 重要な虚偽記載がないと確信するにたる内部統制が有効に整備かつ運用されていることが合理的に保証できればよいわけですから、細かい誤りを予防するような内部統制を識別することは重要ではありません。大きな誤りや不正を抑止・予防するような内部統制や、それを発見するような内部統制を識別することが重要です。

 コントロールリスクマトリクスを作成する際にも、評価するに値しないような内部統制の識別にエネルギーをかけるよりも、経営者が依拠している重要な内部統制を漏れないように識別することが重要です。
 その際には、業務プロセスをひとつひとつ細かくチェックするよりも、経営者の視点による分析を利用した発見的コントロールが重要となるでしょうね。

【参考】このブログ
・2007.04.16 鳥の目の内部統制と蟻の目の内部統制 


過去の今日
・2006.07.17 全社的な内部統制の評価を先に実施していなければ、監査人は不適正意見を表明するのか?
・2005.07.17 「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」
・        性善説と性悪説なんてどうでもよい

|

« 企業や自治体の情報管理格付け? | Main | 公認会計士協会 「財務報告に係る内部統制の監査に関する実務上の取扱い」(公開草案)を公表。。。 »

Comments

初めて書かせていただきます。

えー、そういうことをもっと「大声」で言っていただけませんでしょうか?(笑)
単に「不要」なのではなくて、有限の監査資源を無駄に使用してしまうという意味で「有害」であると。
網羅的な識別がされないと監査できないと示唆するような会計士、監査法人があれば、警告を発するぐらいできませんでしょうか。

各企業の内部統制担当は弱者です。「経営者が自ら自信を持って表明すればいい」とか言われてますが、そんな自信、初年度からあるわけがないじゃないですか。経営者も怖い。担当者も怖い。そして会計士も怖い。皆んなこわごわやっていて、怖い(つまり「重要な欠陥」があったら怖い、残ったら怖い、結果的に虚偽表示になるのが怖い…)から、極限まで細かくやろうとする。

いっそ初年度はいわゆる3点セットはいらない!と。経営者に、ほとんど頭の体操レベルで全社的な内部統制という"思想"に慣れてもらう、ぐらいでいいんじゃないかと。
まず、各経営者をトップダウン・リスクアプローチ型の思考に切り替えさせるのが第一だと思います。これは日本企業のカルチャーの大改革であるわけで、これが出来ないと(日本オリジナルだのなんやかんやいってところで所詮アメリカのコピーである)J-SOXなど画に描いたヘンテコな形の餅で終わってしまうでしょう。

Posted by: 機野 | 2007.07.18 09:26

 機野さんのコメントにある「いっそ初年度はいわゆる3点セットはいらない!と。経営者に、ほとんど頭の体操レベルで全社的な内部統制という"思想"に慣れてもらう、ぐらいでいいんじゃないかと。」言うのは、個人的には賛成です。
 が、監査を行う方から見ると、その前提として、「昨年はOKだったのだから、もう3点セットは作成しなくてよいですよね?」と被往査側が言い出さないことが必要と思います。
 「徐々に整備する」のも良いのですが、言い換えると「いつまでたっても終わらな」くなってしまい、現場のモチベーションが続かなくなる弊害の方が高いかなぁ、と思います。

 「初年度基礎工事、2年目は棟上、3年目屋根葺き…」と徐々に構築するよりも、拙速でも「とにかく家を建ててしまって、隙間風は後から修復」とした方が上手くいくように思います。<程度問題ですので、住めないような家を建ててもしょうがないのですが、雨風が凌げるレベルになっていれば、監査意見も出せるかと。
 あまり良い例えになっていませんね。

 内部統制のような取り組みに終わりが無いことは了解していますが、構築に長い時間をかけると、運用を定着させるのにも時間がかかりそうです。

Posted by: Mulligan | 2007.07.20 16:47

機野さん、Mulliganさん、コメントありがとうございます。

3点セットがまったくいらない!ということにはならないと思いますが、目的と手段を整理すれば、少なくとも今よりも
1.不要となる文書が減る
2.不要となる記述が減る
とは思います。

 つまり、財務報告の虚偽記載につながるようなリスクを識別するためにフローチャートや業務記述書が必要であり、
 財務報告の虚偽記載につながるようなリスクに対して適切なコントロールが導入されていることを確認するためにリスクコントロールマトリックスが必要となるわけです。。。

 なので、目的を達成するために必要な範囲で手段を整備すればよいと・・・そういうことになります。

Mulliganさんの
> 構築に長い時間をかけると、運用を定着させるのにも時間がかかりそうです。

は絶対そうですね。JSOXプロジェクトもだらだらするのではなく、集中して、ぱっとやることが重要だと思います。。。

Posted by: 丸山満彦 | 2007.07.20 22:35

速ければ、いいのでしょうか?

「Mulliganさんの
> 構築に長い時間をかけると、運用を定着させるのにも時間がかかりそうです。

は絶対そうですね。JSOXプロジェクトもだらだらするのではなく、集中して、ぱっとやることが重要だと思います。。。」

っておっしゃいますが・・・・・

長いことは問題?
速いことは重要?
うーん、ほんとにそうかな・・・
ってのが、実感です。

体質改善や業務改善に長年関わってきた実務家
としては、ぱっぱっと早く推進ししくみをつくり
運用してしまうと、それと同じ時間で形骸化して
しまいます。線香花火のように。

しかし、経験から言うと、あっちへいったり手直し
をしたり、たんこぶばかりできて、そうしてつくった
自前のしくみ方が、一見ドジで泥臭くカッコ悪く
見えますが、そのほうが身について習慣化されてる傾向が強いです。
結構長く続きます。

これ当社での話です。

長すぎるのはもちろん問題です。程度の問題では無いでしょうか。
以上、一言実務家として申し上げます。


Posted by: 技術屋の内部監査人 | 2007.07.21 10:13

(続き)速ければ、いいのでしょうか?

一寸、言い足りなかったので・・・

「このしくみは有効だ」と言えるのは時間がたたないとなかなかいえないのでは、と思います。

「有効であること」とは、「その仕組みが身についているということ」と捉えています。または、習慣化されているということ。「身につくいている」ということは、誰かが管理しなくても意識しなくても自分でコントロールできていることです。

もし、実効のないしくみなら、長くは続きません。長く続けるには日々の改善が原則です。しくみは作って終わりではありません。運用して何ぼのものです。

話は変わりますが、会社法やJ-SOXの対応を、規定や基準が公表される前から2~3年かけてじっくり取り組んでいる会社があると耳にしたことがあります。これを聞いたときに、なんとなく分かるような気がしたことを、今、思い出しました。恐らく想像なんでしょうが、身の丈にあった自社なりの「内部統制システム」を整備しようとした会社なのではないかと。

速いとか長くかかったとか「プロセス」を気にする前に、まず「結果」をみてねらい通りの成果が出たのかを確認・評価し、もし問題があれば、プロセスのどこに問題があったのかを解析することが大切と思う「技術屋の内部監査人」です。

もともとかなり頭の固い、かつ、思い込みの激しい、頑固な、融通の利かない、経験と勘を武器にしている五十路をかなり過ぎた実務屋の内部監査人のお節介でした。


Posted by: 技術屋の内部監査人 | 2007.07.21 10:59

技術屋の内部監査人さんコメントありがとうございます。

=====
「Mulliganさんの
> 構築に長い時間をかけると、運用を定着させるのにも時間がかかりそうです。

は絶対そうですね。JSOXプロジェクトもだらだらするのではなく、集中して、ぱっとやることが重要だと思います。。。」
=====

の件ですが、これは技術屋の内部監査人の反論?もごもっともです。

現実は、制度対応として形式的にすべきことはすばやく整えて、中身はじっくりと整えていくということだと思っています。

たとえば、実質的なコンプライアンス体勢をつくるための組織風土改革コンサルティングなどもしているのですが、最初に「3年かかります。覚悟してください。その覚悟が(経営者に)ありますか?」というところからはじめます。

リスクは細部に宿るわけで、そのリスクに適切に対応するためには、現場レベルでの意識改革、細かい改善が必要となります。プロジェクトはおおむねトップダウンではじめるのですが、トップレベルの話はおおむね総論賛成という話で、一番時間をかけてしなければならないのは現場レベルでの各論です。改革ですから、現場レベルでの意識改革が必要で、今までの流儀や思考があるわけで、それを変えろと言ってもなかなか代わるものではありません。普通は3年かかるわけです。

ただ、今回は制度対応ですので、3年は待てません。形式的に対応できたことにするのも大切です。しかし、実際に一番大切なことは現場で腹に落ちた実務の運用ができていることです。なので、形式的な制度対応については、60点でよいのでやってしまって、実質的に大切な現場レベルの改革に時間を使いたいわけです。それが、ここでは運用ということばで言われているわけですね。。。

なので、技術屋の内部監査人さんが
=====
長く続けるには日々の改善が原則です。しくみは作って終わりではありません。運用して何ぼのものです。
=====
と、おっしゃっていることは正しくて、また、私の考えとも合致していると思っています。

ちょっと、さぼって説明がいい加減だったのが悪かったです。。。

今後ともよろしくお願いします。。。

 

Posted by: 丸山満彦 | 2007.07.21 16:42

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 内部統制を網羅的に識別することが重要なのではない:

« 企業や自治体の情報管理格付け? | Main | 公認会計士協会 「財務報告に係る内部統制の監査に関する実務上の取扱い」(公開草案)を公表。。。 »