« 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第3版) | Main | 総務省 パブコメ 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」 »

2008.02.08

実施基準に書かれていないことは監査人の判断しだい?

 こんにちは、丸山満彦です。内部統制報告制度の本番を目前に控えていますが、解決しなければならない制度上の問題がそろそろ浮かびあがりつつありますので、政策担当者の皆さんはこれから、このような制度上の問題点を拾い上げて改善していくプロセスに入っていくのだろうと思います。。。(未確認ですが。。。)
 さて、今回の制度の導入において最も懸案していたことは、米国での制度導入に際して企業に過大な費用負担を負わせることになったということでしょう。この点については、金融庁の企業会計審議会内部統制部会の中でも十分考慮されていたことだろうと思いますし、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」の前書きにあたる部分にも
=====
評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的に以下の方策を講ずることとした。
① トップダウン型のリスク・アプローチの活用
 経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価することとした。
② 内部統制の不備の区分
 (略)
③ ダイレクト・レポーティングの不採用
 監査人は、経営者が実施した内部統制の評価について監査を実施し、米国で併用されているダイレクト・レポーティング(直接報告業務)は採用しないこっとした。この結果、監査人は、経営者の評価結果を監査するための監査手続の実施と監査証拠等の入手を行うこととなる。
④ 内部統制監査と財務諸表監査の一体的実施
 (略)
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
 (略)
⑥ 監査人と監査役・内部監査人との連携
 (略)
=====
と書かれているところです。ところが、やはりこの前提が本当に正しいのかについて、そろそろ真摯に検討しはじめてもよいように思います。とりわけ、
「① トップダウン型のリスク・アプローチの活用」
「③ ダイレクト・レポーティングの不採用」
については、その中でも特に③については、米国でも新しい監査基準において改善され、ダイレクト・レポーティングのみの採用となったことからも、米国がこのような決断をした背景等も踏まえて、検討を始めてもよいように思います。
 現場においても、具体的には、経営者評価の範囲について監査人の判断と経営者の判断が異なるような場合に、経営者の判断が適切でないと監査人が判断すると、結果的には、経営者評価の範囲が適切でないことをもって、不適正意見を出されてしまうのではないかという恐れ(あくまでも可能性ですが)から、経営者の判断を取り下げて監査人の判断にしぶしぶ従ってしまうような状況も生じているとの話も聞き及んでいるところです。その結果、経営者が基準に従って自ら決めた評価範囲の文書化作業を中止ないしは既に文書化した内容を破棄し、監査人が必要と判断した業務プロセスの文書化を新たに始めなければならないというような状況になっている場合もあると聞いています。
 このような状況を避けるためには、監査人は、経営者評価の如何にかかわらず内部統制の有効性を独自に評価するという米国のダイレクトレポーティング方式を採用すれば解決することになります。もちろん、現在の方式においても監査人の監査の対象を内部統制の有効性にのみ限定するという方法でもかまいません。いずれにしても、現在の枠組みでは、
・経営者評価の適正性についても監査人が意見をさしはさまざるを得ない状況を作り出していること、
・評価や監査の実務が熟成されていない段階で、判断に迷うようなグレーゾーンがあること、
から、監査人は自らのリスクを回避するために保守的な判断をせざるを得なく(もし、不適切な監査意見を出すと金融庁による重い処分があるかもしれないという恐れを持っている)、経営者側も監査人にダメといわれるのが分かっているのであれば監査人にしたがってしまおうと流れてしまうのもやむをえないと思います。

 制度の導入の結果を踏まえ、改善すべきことは改善するということは必要であります。なによりも、今、日本の証券市場が世界、アジアの中でも存在感を減じているという話もあるなかですので、適切な日本の証券市場の育成が重要です。そのためにも、証券市場における適切な制度の導入が必要となりますね。。。

 
(参考)
 実施基準のⅡ2(2)②「評価対象とする業務プロセスの識別」において、
=====
イ.①で選定した重要な事業拠点(持分法適用となる関連会社を除く。)における、企業の事業目的に大きく関わる勘定科目(例えば、一般的な事業会社の場合、原則として売上、売掛金及び棚卸資産)に至る業務プロセスは、原則として、すべてを評価の対象とする。
 ただし、例えば、当該重要な事業拠点が行う重要な事業又は業務との関連性が低く、財務報告に対する影響の重要性も僅少である業務プロセスについては、それらを評価対象としないことができる。
=====
 と記載されており、重要な事業拠点における事業目的に大きく関わる勘定科目に至る業務プロセスは、原則としてすべて評価の対象となることとされています。その際に、重要性が僅少であれば評価対象から除くことができますが、その僅少がどの程度かについての基準が示されていませんから、これが財務諸表全体から見た重要性(例えば、当期税引前利益)で判断するのか、勘定科目から見た重要性(例えば、売上高であれば、連結売上高)なのか経営者側と監査人側で意見の違いが出る場合があります。
 また、僅少の程度においても、5%、10%と程度の幅がでます。
 さらに、5%とした場合でも、必ず5%以下にしなければならないのか、おおむね5%程度とすればよいのかについても差がでます。
 このような差が経営者と監査人に生じた場合にやはり監査人の言いなりになってしまいがちな空気があるように思います。

 制度導入期ですから、この程度の混乱は社会全体としてはやむをえない話とは思いますが、個々の企業にとっては実に切実な問題といえますね。。。

=====
 個人のブログで関係する団体には何の関係もないとしていましても、やはり、何らかの関係が生じてしまいがちでございますが、本当にこれは個人的な意見でございまして、関係する団体とは何の関係もございません。企業等に属する人がブログ等をあまり書かないのは、個人のブログであっても書いた内容が関係する団体に波及する恐れがあるからだと思います。しかし、あまりそのようなことを言い過ぎると、民主主義にとって非常に重要であり、憲法で保障されている言論の自由というものがないがしろにされているようにも思いますので、あえて書かせていただきました。
 以上のようなことですので、こんな発言は「けしからん」と思う方もあるでしょうが、私個人に対して言うのはともかく、くれぐれも関係する団体に対して「けしからん」というような発言はなさらないように切にお願いいたします。
=====

|

« 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第3版) | Main | 総務省 パブコメ 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」 »

Comments

コンピュータ屋です。
こんにちは。

久しぶりの内部統制のお話ですね。

私が期待するのは、お話の中から
・「このような制度上の問題点を拾い上げて改善していくプロセスに入っていくのだろうと思います」
・「やはりこの前提が本当に正しいのかについて、そろそろ真摯に検討しはじめてもよいように思います。」
先生方には上の2点についてぜひ対応願いたいと思います。
目の前の企業および監査人さんの対応には間に合いませんが。

現場での感想
・内部統制なんて本気で考えていなかったような会社が、1、2年ですぐに有効でごさいますという評価にはなりようもないのに、有効とはなに。
・監査される立場と監査する立場、互いに弱みを抱えています。どうしても負担増になります。
・財務のお話も大事ですが、業務の効率やコンプライアンスのことをないがしろにしてはいけないでしょう。しかし、今の時点では決算、財務報告プロセスと有効性の判断基準の合意、これのみになっています。でもしかたがありません。
・IT統制の対応もほったらかしのところが散見。1兆円企業の実情を見てびっくり。手伝えと言われましたが断りました。

私の最近の結論
・経営者側と監査人さんとの粛々たる対応にお任せするのみ。外部からは当事者の方たちには何もいえません。
・2年目以降については、真剣に議論する場があってほしいです。
・2年目以降は、制度改定を期待します。
 経営者主体の評価のみとし、監査はレビュー程度でお願いしたいです。
・そして、財務報告の信頼性確保のみではなく、統合的な内部統制MS(整備-実施-評価-是正)を回していくことを期待しています。
ちなみに私もこのために粛々と準備中です。

Posted by: コンピュータ屋 | 2008.02.08 14:31

要は、経営者と監査人とでリスク認識が異なった場合にどう折り合いをつけるかというところが問題なわけですが、最後は市場に判断させればいいじゃないかと考えます。
監査人が「重要な欠陥がある」といっても、「それは欠陥じゃない」と経営者が主張できるくらい自社の統制に自信をもって臨んでいれば、監査人は折れますよ。
制度の究極の目的は不正会計をなくすことですから、経営者が「自社は絶対不正はしてない」と言える限り問題なし。

それから、
===
あまりそのようなことを言い過ぎると、民主主義にとって非常に重要であり、憲法で保障されている言論の自由というものがないがしろにされているようにも思いますので、あえて書かせていただきました。
===
ここまで極端でなくとも個人の意見を組織を利用して封じようという勢力には対抗せざるを得ませんね。個人が論理で攻めてくるなら、組織も論理で受けて立つべきです。そこからいいものが生まれればそれはそれで結構なことですし、価値観の違いに行き着けばそれは一つの成果ですし、どちらかが折れればそれで納得ができるわけですから。
議論することを恐れてはダメです。組織人である前に監査人、その前に独立した社会人、そして人間です。

私は最近「いかがなものか」というモノの言い方が気に障りまして、「イカだのタコだの言ってないで、悪いと思うなら悪いと言ってみろ」といいたくなることがあります。
もっと素直に意見をぶつけ合える世の中にしないと「生類憐みの令」のような「趣旨は善意・実態は最悪」というルールばかりが蔓延りますよ。

Posted by: 怒れる(イカレタ?)閑人 | 2008.02.08 21:42

----
監査人は自らのリスクを回避するために保守的な判断をせざるを得なく(もし、不適切な監査意見を出すと金融庁による重い処分があるかもしれないという恐れを持っている)、経営者側も監査人にダメといわれるのが分かっているのであれば監査人にしたがってしまおうと流れてしまうのもやむをえないと思います。
----
大変身につまされるお話です。
が、そうなることは、実施基準が公表された時点で、わかっていたことなのではないでしょうか。
ホレみたことか、だからいわんこっちゃない。といったところです。

Posted by: 漉餡大福 | 2008.02.08 23:06

ご無沙汰しております。いつも拝見させていただいておりましたが、今回は「よくぞ書いてくださいました」という思いを込めて、コメントさせていただきます。

今回のエントリーについては同感であります。
経営者が主体的に行うことに意義があるはずの制度で、監査人が口出しを行っている現状は、やはりおかしいのではないかという印象があります。
もっとも、監査人が口出しをせざるを得ない現状になっている根本原因のほうが問題ではなのでしょうね。
関係者のみなさんががんばっているのに、報われていない感じを受けるというのは、なにか悲しい感じがしております。

Posted by: grande | 2008.02.09 04:47

>また、僅少の程度においても、5%、10%と程度の幅がでます。
 さらに、5%とした場合でも、必ず5%以下にしなければならないのか、おおむね5%程度とすればよいのかについても差がでます。
 このような差が経営者と監査人に生じた場合にやはり監査人の言いなりになってしまいがちな空気があるように思います。

経営者の方でリスクを責任を持っているのは自分たちだという意識がないのであれば、監査人の判断に従うことになってしまうのかなと言う気がいたします。

Who owns the risk?

部下でも監査人でもないんだよ〜〜ん。ということなのですが。。。

Posted by: koneko04 | 2008.02.11 14:50

コンピュータ屋さん、コメントありがとうございます。

> 経営者主体の評価のみとし、監査はレビュー程度でお願いしたいです。
だいたいこの制度の導入の必要性については、十分に議論されることなく、制度導入ありきで話が進んでいたったようにも感じます。もし、そうであればどんな圧力が背景にあるのか気になるところです。
 カナダでは経営者評価のみで、監査もレビューもしないことになりましたが、それで十分のようにも思います。

怒れる(イカレタ?)閑人さん、コメントありがとうございます。
=====
監査人が「重要な欠陥がある」といっても、「それは欠陥じゃない」と経営者が主張できるくらい自社の統制に自信をもって臨んでいれば、監査人は折れますよ。
制度の究極の目的は不正会計をなくすことですから、経営者が「自社は絶対不正はしてない」と言える限り問題なし。
=====
なんですよ、確かに。しかし、論点になっているのは評価範囲の選定の仕方だったりするわけです。内部統制が有効かどうかが重要なはずなのに、評価範囲が適正かどうかでもめるという。。。ある意味不毛な議論があるわけです。今回の制度は、経営者評価の仕方についてまでも監査人が意見を表明しなければならないという致命的な欠陥をもっているわけで(私見)、すくなくともこの点についてはなんとか改善をしなければならないわけです。しかし、制度設計をしたかもしれない学者は自画自賛で、金融庁もダンマリを決めているのであれば、日本企業の先行きは不安なわけですよ。。。

漉餡大福さん、コメントありがとうございます。
私はふたばの豆餅が好きですね。。。すみません。。。
さて、
=====
そうなることは、実施基準が公表された時点で、わかっていたことなのではないでしょうか。
=====
はい、そのとおりです。。。内部統制基準の作成段階でもわかっていたことです。私のブログをひっくり返せば、そのような話がでてくるはずです。。。でも、わかって押し通したのか、わからずにそうしてしまったのか知りませんが、学者も金融庁も今の制度を作ってしまいましたね。。。

grandeさん、コメントありがとうございます。
=====
関係者のみなさんががんばっているのに、報われていない感じを受けるというのは、なにか悲しい感じがしております。
=====
そうなんです。なんか変な感じなんですよね。。。

koneko04さん、コメントありがとうございます。
=====
Who owns the risk?
部下でも監査人でもないんだよ〜〜ん。ということなのですが。。
=====
そうなんです。でも、社長自身は「経理の問題でしょ」程度の問題意識で、「良しなにしておいてよ。。。」という感じのところが多いように思いますので、まかされた経理の管理職は右往左往することになってしまうんですよね。。。

Posted by: 丸山満彦 | 2008.02.12 04:07

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 実施基準に書かれていないことは監査人の判断しだい?:

» インダイレクト・レポーティング,リスク・アプローチ,IT統制|公認会計士への問題提起だということ [ノオト|natoiuk]
内部統制報告制度(内部統制報告書監査制度)の適用開始を控えた今に,ぼくの回りでもいろいろな声が聞かれるようになってきたので,もう一度,自分の頭を整理したい。 ... [Read More]

Tracked on 2008.02.12 16:02

« 内閣官房 確定 「政府機関の情報セキュリティ対策のための統一基準(第3版) | Main | 総務省 パブコメ 「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」 »