« JIPDEC 「IT統制に関する実態調査」等 集計結果を公表 | Main | 有価証券報告書等に係る罰則 »

2008.03.17

米国では原則ベースの基準に移行しようとしたのに、日本では手続ベースの基準をどうしてつくろうとしたのかなぁ・・・

 こんにちは、丸山満彦です。内部統制報告制度の導入を巡り、若干の混乱が生じているようですが(金融庁が11の誤解をだすような状況ですので・・・)、この混乱の原因をちゃんと正直に見極めることが重要なんでしょうね。。。反省がないところに、改善はありませんので・・・
 ひとつは、やはり内部統制の基準(実施基準も含む)が評価をするという観点からはよくないのではないかと思っています。そもそもCOSOの内部統制報告書は内部統制を評価するための基準(つまりクライテリア)ではなかったのだろうと思います(カナダ勅許会計士協会が策定したCoCoではその点に触れています)。にもかかわらず、米国ではCOSOを判断基準として導入をしました。それが混乱の元になったのではないかと思います。COSOはその点はちゃんと理解していたと思います。中小企業向けのCOSOでは、評価を意識して、原則を書いています。この原則が非常に重要なんですよね。。。原則を実現できれば、そのための手続はどうでもいいわけです。手続ベースであれば、手続をちゃんとしなければなりません。どのような状況であっても特定の手続を実施することが、原則を実現するための最適な手続であれば、その特定の手続の実施をすることが意味があるのですが、必ずしも特定の手続の実施が、原則を実現するための最適解でない場合にストレスを感じることになります。
 日本の基準では、米国の混乱を気にして、基準でやり方(手続や具体的な判断基準)を決めることで(例えば、勘定科目を決めるとか・・・)悩まずにできるようになり混乱が減ると考えたのかもしれませんが、原則を明確にせずにこのような具体的な手続や判断基準を決めたところがよくなかったのか・・・という気もします。

 
 原則、要求事項、具体的な手続・・・という論理構造で基準を決めていかないといけませんよね。様々な政策の一環として法律や省令等をつくっている役人ならそのあたりは十分わかっていると思うんですが。。。

|

« JIPDEC 「IT統制に関する実態調査」等 集計結果を公表 | Main | 有価証券報告書等に係る罰則 »

Comments

>原則を明確にせずにこのような具体的な手続や判断基準を決めたところがよくなかったのか・・・

理論・理屈を軽視する風潮が強い多くの日本企業であれば、いくら原則を示したところで、具体的な手続の記述に振り回されてしまう可能性は高いと思います。

金融庁に好意的な見方をすれば、どうせ原則を示したところで、具体的な手続を示して欲しいという要求が出てくるのが分かりきっているため、わざわざ原則を示さなかったというところかもしれません。

少なくとも内部統制報告制度に関しては、金融庁の見解は一貫しています。これは内部統制部会の議事録を読んでいれば良く分かります。混乱の原因は金融庁というよりは、企業・監査法人・コンサルを含めた実務現場にあると思います。金融庁のミスは、実施基準を分かりやすく書かなかったことと、監査法人の保守的な対応を抑制する仕組みを組み込まなかったことですね。

でも何より空しいのは、上記のようなことを考えたり、COSOレポートの「内部統制の本質は書式やマニュアルではない。人である」といったフレーズを頭に思い浮かべながら、せっせと業務プロセスの文書化に励むことでしょうか。

Posted by: FN | 2008.03.18 22:48

お久しぶりです。tonchanです。
>原則を明確にせずにこのような具体的な手続や判断基準を決めたところがよくなかったのか?

 私のようなアマチュア(この場合は経験を積んだ公認会計士ではない人間を指します)にとって1年前には「実施基準」の内容は理解できませんでした。「実施基準」に書かれた手続きも消化することができず、コンサルタントを使うお金もなく結局自分なりの方法でやってみるしかありませんでした。

 今、「実施基準」を振り返ると非常にうまく書かれていると思います。行間に込められた論理(日本人はそういうあいまいなものが大好きですね)が自分なりに読み取れるようになってきました。(本当に正しいかどうかは別ですが?)その読み取った論理構造に基づいて対応を積み上げています。

 中堅(中小?)企業で私が業務プロセスの評価を行っていてひとつの実感があります。それは「個別の業務プロセスの評価を通じて企業の統制環境が整備される。」ということです。その意味でも、J-SOX対応が無駄ではないと感じています。

Posted by: tonchan | 2008.03.19 09:07

FNさん、コメントありがとうございます。
=====
理論・理屈を軽視する風潮が強い多くの日本企業であれば、いくら原則を示したところで、具体的な手続の記述に振り回されてしまう可能性は高いと思います。
・・・
どうせ原則を示したところで、具体的な手続を示して欲しいという要求が出てくるのが分かりきっているため、わざわざ原則を示さなかったというところかもしれません。
=====
そうですね。理論・理屈が軽視される傾向はあるかもしれませんね。
でも、原則が示されれば、その原則に則った具体的な手続の例示の意味も良くわかるし、応用を利かせる人も出てくると思うんですよね。。。あと、程度問題もある程度見えてくるようになると思うんです。

=====
混乱の原因は金融庁というよりは、企業・監査法人・コンサルを含めた実務現場にあると思います。金融庁のミスは、実施基準を分かりやすく書かなかったことと、監査法人の保守的な対応を抑制する仕組みを組み込まなかったことですね。
=====
 監査法人の保守的な対応を抑制する仕組みを組み込まなかった点が大きいと思っていまして、そのひとつが経営者の評価の適正性について監査法人が意見をさしはさまなくてもすむという方法をとるということなんだと思うんですよね。。。

=====
でも何より空しいのは、上記のようなことを考えたり、COSOレポートの「内部統制の本質は書式やマニュアルではない。人である」といったフレーズを頭に思い浮かべながら、せっせと業務プロセスの文書化に励むことでしょうか。
=====
それはそうですね。。。統制環境が重要なんですけど、それこそ質問表で軽くやってしまいますからね。。。

Posted by: 丸山満彦 | 2008.03.20 11:49

tonchanさん、コメントありがとうございます。
=====
中堅(中小?)企業で私が業務プロセスの評価を行っていてひとつの実感があります。それは「個別の業務プロセスの評価を通じて企業の統制環境が整備される。」ということです。その意味でも、J-SOX対応が無駄ではないと感じています。
=====
その通りです。心技体ということばがありますが、その考え方と同じ部分があると思います。ひとつひとつの業務をきっちりするという習慣をつけることが、不正な財務諸表を提出してはいけないという倫理観を醸成することにつながります。逆に、不正な財務諸表を提出してはいけないという気持ちがちゃんとあれば、ひとつひとつの業務でもきっちりと処理をすることができるようになります。相互に影響しあうんですよね。。。

Posted by: 丸山満彦 | 2008.03.20 11:53

長くなって恐縮ですが、最近、実施基準や監査法人の過度な保守的対応について思っていることを書かせていただきます。

そもそも企業(特に上場企業)は、継続を前提とし、利益を上げ、株主、社会、社員に何らかの還元をし、発展していくという理念というか普遍的な目的があると思います。その企業の総司令官たる経営者が、その目的を達成するべくマネジメントを行っていく上で、内部統制が重要な役割を持っているのですが、実施基準にもあるように内部統制の領域(4つの目的)は広範であり、財務報告に関わる内部統制は、経営者から見ればすべてではないはずです。

ただ、金商法では財務報告に係る内部統制のみを会計士監査の対象としており、ここ1年程の内部統制フィーバーぶりから、上場企業の内部統制といえば財務報告の信頼性確保にありという近視眼的かつ短絡的な風潮となった感があります。

確かに、粉飾決算などの財務報告に関わる不祥事もありましたし、会計士に対するペナルティも厳しくなってきたこともあるでしょう。だから、会計士さんにしてみれば、我々が内部統制の充実を促し上場企業の発展に寄与するするんだと使命感や、内部統制報告制度を背負っているという自負を持ち、それが監査法人の保守的でやりすぎの対応につながっているのかもしれません。

経営者として大所高所に立ってみれば、内部統制はあくまでも経営者が企業の普遍的な目的を達成していく上で構築・運用するものであり、業務の効率、コンプライアンス、資産保全等も含めた内部統制にどう資源配分するかは、経営者が自社の状況と優先度やバランスを踏まえて判断すべきことですし、それらの内部統制状況をどう評価するかの判断も経営者に委ねられるものです(マネジメントサイクルの一環)。

だから、経営者が行うマネジメントサイクルと資源配分のバランスの中で、内部統制の一つとしての財務報告に係る部分については、経営者の視点で評価しなさい、そして評価していることだけは会計士にも監査してもらいなさいということが、実施基準の意図するところだと思います。

重要なのは、経営者の判断であるいは視点でということです。監査人の判断や視点ではありません。内部統制はあくまでも最初に経営者ありきです。経営の仕組みであって、決算・財務報告という特定の業務領域よりも包括的かつ高次元の領域です。監査人の担当する実務的な領域とは別次元だから、経営者の判断で範囲を決めて自己評価するのだと思います。もし、公認上場企業監査士みたいな資格者がいれば、上場企業を経営の観点から監査する中で内部統制面のチェックをして、その中で財務報告の信頼性確保はどうなのかという評価ができるかもしれませんが。

実務レベルの次元にいる監査人からすれば、次元の違う経営者の内部統制評価は範囲がいかにも限定的で不十分に見えるかもしれませんが、内部統制評価はそういうものなんだろうと思います。だから、内部統制監査の対象は、原則として内部統制評価の結果であって手続き自体は含まれない。何せ次元が違うのですから、別次元の評価手続きの良し悪しは評価できない。

ただ、次元が違うといっても、内部統制評価が財表監査に影響を持つものであることを否定するものではありませんが、財務諸表の適正性は財表監査で意見表明するもので、内部統制評価は財務諸表の適正性を直接的には保証できないはずです。せいぜい財務諸表監査手続きのサンプリングの依拠レベルの指標程度くらいではないでしょうか。もちろん、依拠レベルが高ければ、監査効率は上がるというメリットはあるかもしれませんが。

もし、経営者の視点や判断によらず、監査人の助言、指導(視点、判断)で内部統制の範囲やコントロールを網羅的にして評価していったらどうなるか。財表監査のみについて言えば、究極的には財務報告の信頼性は格段に高まり、監査コストも監査効率の向上によって下がるかもしれません。でも、内部統制の4つの目的のうちの財務報告の内部統制に偏重しバランスを欠いた内部統制になったりすれば、経営者から見て本当に経営効率上望ましいものなのでしょうか。冒頭に述べた企業の普遍的な目的を達成できるものなのでしょうか。その目的達成を財務報告に係る内部統制のみで保証できるでしょうか。監査人は保証するでしょうか。

保証すべきは経営者です。だから経営者が決めるのです。監査人がやるのは、財務諸表の適正性の保証であって、経営の保証ではありませんから。経営者の決めたこと(内部統制評価)は、経営の次元の話であって、経営の次元でカバーしていない(経営者が決めた評価範囲外でありかつ監査人はそれでは不十分と思う)部分は、実務の次元(財表監査)でやりなさい、ということでしょう。

実施基準は、経営者のためにわざわざ曖昧で不明確といわれる部分、会計基準のような明確な基準を好む監査人の実務とは別次元の部分を、残しているのだと思います。「11の誤解」の6にあるように経営者が主体的に判断すれば、監査人の実務ペースで振り回されることはないとすれば、逆に言うと、監査人の保守的な対応や過度な要求で困るということは、経営者が主体的に経営の視点で判断していない、つまりは部下任せということかもしれません。

確か、過去の八田教授の講演等を思い返してみても、実務的な事に触れる事はあまりなく、「経営者がしっかり」とか「部下任せはいかん」ということが強調されていました。だから、その通りしないから、保守的な監査人に振り回されるのでしょう。経営者は自信を持って「経営者の次元ではここまでで十分」と言い切ってしまう。監査人がリスク、リスクと騒いでも、「そんなに心配なら、財表監査をしっかりやれ」と一喝して腹をくくってしまう。言い切って、腹をくくるだけの自信がないとすれば、経営者の視点で何らかのリスクの認識しているということになりますから、やっぱり評価範囲を広げてリスクとコントロールの評価が必要になってくる。よくよく考えてみると、実施基準はうまくできているということなんでしょうか。

Posted by: 内部統制右往左往 | 2008.03.21 00:45

内部統制右往左往さん
はじめまして
地方中堅会社でJ-SOX担当してます。

凄い解釈ですね・・・
そういう意味であれば、点と点が結びつきます。
いやあ、凄い理解力です、きっとそういうことなんでしょうね。

ただ、もし、そういう意味なら
監査人のレビューでよかったのでは?
IHIみたいな事がおきた場合、経営者への罰則を厳格にするだけで良かったのでは?
と思います。


Posted by: ソックス担当 | 2008.03.21 09:32

>統制環境が重要なんですけど、それこそ質問表で軽くやってしまいますからね

結局、統制環境の評価は主観的な部分が多いので、みんな踏み込みたくないのでしょうね。

自社で業務レベルの内部統制に関し、ヒアリングや現場チェックを行っていて感じるのは、きちんとしたマニュアルは十分にそろっていないものの、限られた人員で業務を回すようにうまく工夫されています。何より、日常の業務ですから、誤りが多発するような状況であれば、とても仕事にはなりません。総じて、真面目に業務を遂行する雰囲気にあると思っています。

これこそまさに統制環境が良好な状態だと考えておりますが、重装備の内部統制を行い、現場の負担を増大させて良好な環境を破壊してしまえば、それこそ会社にとって多大な損失になってしまいます。

とくにIT統制としてアクセス制限やら何やらうるさく言いますが、その結果として過剰対応で業務が滞ったら誰が責任を取ってくれるのだ、と言いたいところです。想像ですが、アクセス制限に不備ありとされる企業の多くは、限られた人員で膨大な日常業務を回すためにアクセス制限を緩くしている(というより、緩くしておかざるをえない)場合も多いのではないでしょうか?

内部統制監査は、あくまでも財務諸表監査のプラスアルファであり、財務諸表監査の信頼性向上が主目的のはずです。別の言い方をすれば、リスクアプローチの財務諸表監査をより確かなものにするための追加措置だと思います。財務諸表監査との関係の中で内部統制監査を考えるべきだし、それゆえに一体監査だとか統合監査ということが唱えられているわけです。

内部統制監査そのものは、今までに例の無いことでしょうが、内部統制の評価は既に行われているわけです。そのことを忘れ、監査人の保守的な対応に振り回されて、結果として今まで良好であった統制環境が悪化してしまったという本末転倒な事態が多くの企業で発生しないことを祈るばかりです。

Posted by: FN | 2008.03.21 23:47

内部統制右往左往さん、ソックス担当者さんコメントありがとうございます。

トップダウンのリスクアプローチがしっかりと理解できていればやりすぎることはないと思うんですよね。

・2007.04.16 鳥の目の内部統制と蟻の目の内部統制

 や、そこでリンクを張っているところにいろいろと書いているんですけどね。。。

 監査人もたぶんに保守的になっているし、経営者も保守的になっている状況というのは、やはり監査人個人の問題として取り扱うよりも制度設計の問題として取り扱ったほうが解決には近いのだろうと思っているんですよ。

=====
机の右端に100個のビー玉があります。これを左端に移動させてください。あなたなら次のどちらのやり方でしますか?
A.ビー玉をひとつひとつ摘み上げて右端から左端に移動させる。
B.机を傾けて、右端から左端に移動させる。
=====
AかBかどちらがよいのかは、ビー玉の数や机の重さにもよりますが・・・


Posted by: 丸山満彦 | 2008.03.22 09:02

FNさん、コメントありがとうございます。

=====
統制環境の評価は主観的な部分が多いので、みんな踏み込みたくないのでしょうね。
=====
そうなんですよ。。。

結局COSOができた背景を思い出してみると、経営者の不正だったわけですよね。SOX法にしても・・・

統制環境が重要というのが根本的だったのですが、制度になったとたんに、なぜだか業務プロセスの細かいところに目が行きがちになる。。。

制度変更が必要なんじゃないかなぁ・・・なんて思うわけですよ。。。

ところで、統制環境やリスクアセスメントについて仲間と本を書きました。。。ちょっと宣伝しますね。。。
=>本日の記事で。。。

Posted by: 丸山満彦 | 2008.03.22 09:05

丸山先生、済みませんがブログをもう少しだけお借りします。

ソックス担当さん、大層な事を滔々書いてしまいましたが、タネを明かせば、今から1年半くらい前にそれなりの立場のある方の講演内容が元で、それを自分の解釈風にしたまでです。講演の冒頭に、背負っている看板や肩書きは置いておいてという前置きがあったぶっちゃけた、実際にはもうちょっとハードな表現内容でした。

確か、平成18年の夏頃、その春に実施基準が出るという噂だったのが、延び延びになり始めた頃だったかと記憶しています。八田教授が、内部統制部会でUS-SOX焼き直しの草案をボツにして、「日本版内部統制を」と力説しておられたあたりだったような。

その頃は「講演の内容はわかったが、仕事にならないから一日も早く実施基準を出してくれ~」という気持ちでした。でも、やがて実施基準が出て、Q&Aが出て、11の誤解が出て、今になってみると、ソックス担当様さんの仰るとおり、その講演からずっとつながっていると思うのです。

勝手なマスコミ風推測ですが、当時の内部統制部会でも、多分政界みたいに、US-SOXの流れを汲む米系監査実務重視派とUSの反省を踏まえて日本オリジナルを目指す国産系経営者主体派に分かれていて、米系が監査実務重視のUS-SOXベースの実施基準案を出してくると、それを国産系が却下したりして、擦った揉んだしていたので、実施基準の発表がズルズルと遅れていた。結果としては、国産系経営者主体派の線でまとまったものの、米系監査実務重視派を全く無視もできず多少の言い分を認めたという、ある意味では妥協と苦渋の判断の産物が実施基準だったのではないでしょうか。

実施基準は、大筋で国産系の主張が通っており、経営者主体で決めればよく、作業負荷も少ないようにしたので、発表が多少遅れても企業にとってはそんなに問題にはならないはずだったのですが、誤算もあった。

それは、監査人との協議を認めたことです。本来は、監査人と協議する中で経営者が主体的に決めてよい内部統制評価が、財表監査において資するところがあればなおいいという相乗効果を期待したのでしょう。しかし、実施基準を深読みできず、明確な基準を好む(ある意味では、経営者主体でなく、担当者や監査人任せの)企業は拠り所がなく、監査人との協議に依存せざるを得なくなった。そこで、協議という名を借りた非監査業務である「助言・指導サービス」が登場した訳です。

今週の経営財務における内部統制の監査法人対応についてのアンケート結果も参考になりますが、4大監査法人は、企業との協議にあたり「助言・指導サービス」の役務提供契約締結を求めているようです。金融庁や会計士協会あたりの指導もあり、非監査業務としての契約となるのはしょうがないですが、内部統制文書化マニュアルようなものを配布してそれに従うことを強制したり、経営者が主体的に決める評価範囲、対象勘定科目、業務プロセスに口出ししたりという、もはや助言ではなく、監査意見表明者の立場にモノを言わせた、指導よりも1ランク上の強制というケースもあるのが実態のようです。

つまり、ここで米系監査実務重視派の支持勢力である監査法人が、US-SOXの流れを汲む実務ベースで逆襲に出たのです。この動きは1年前の実施基準が確定した頃からあり、去年の秋かその前後には、八田教授が講演でそういった流れを「全く見当違いも甚だしい」と苦言というか嘆きのようなコメントをしていたことからも伺えます。それで、Q&A、11の誤解、また今度出るといわれているQ&Aパート2という感じで、監査実務重視・偏重の動きを押さえ込まざるを得なくなったのだと思います。

経営者主体というのは、制度の監督官庁としての責任回避だという指摘もあるようですが、経営者に裁量の余地を残してくれている点では悪くはないと思います。「内部統制監査ではなくレビューでよかったのでは」という意見は他でも聞いたことがありますが、制度としてできてしまった以上は簡単には戻れません。監査人との協議を禁止すればよかったかもしれませんが、そうすれば、どうしていいかわからない会社や適当に手抜きする会社もでてくるかもしれません。かといって逆に、今更US-SOXレベルの基準なんて論外でしょう。

今できることは、制度の主旨の通り、経営者主体の意味を経営者がよく理解して、監査人には経営の総合的見地からは内部統制評価はここまでで十分ですからあとは財表監査で見てください、と胸を張って言う事でしょう。あと、経団連あたりも、金融庁や公認会計士協会に対して申し入れをするだけでなく、上場企業の経営者同士の勉強会などを開催して、経営者間の認識レベル合わせするなどの啓蒙にも力を入れるべきかと思います。

Posted by: 内部統制右往左往 | 2008.03.22 18:54

>制度になったとたんに、なぜだか業務プロセスの細かいところに目が行きがちになる

これはやはり内部統制監査の保証水準を"監査"としたことも影響しているのだと思います。業務プロセスであれば文書化しやすいし、結果として監査証拠も十分に入手できるはずですから。内部統制部会では、金融庁側も保証水準をレビューにするのもありえるといった発言をしてうたので、それをもっと強調していれば、多少は違いがあったのかもしれませんね。

>統制環境やリスクアセスメントについて仲間と本を書きました

実はこの本、既にチェック済みです。冒頭、ルールはないが人は誠実なA社と、ルールは立派だが人は人は不誠実なB社のどちらで働きたいかという問いを出してておられますね。自分の会社は、明らかにA社に近いです。多分、日本企業の多くはA社タイプではないでしょうか?

COSOのERMレポートを読むと、例示としてあるエネルギー会社(崩壊したエネルギー会社を想起してしまいます)が出てきます。ルールやマニュアルは立派だが、経営者の姿勢に問題ありということで、大きな欠陥を有する(有していた)会社として紹介されています。

結局、文書化しても統制環境が不十分ならば、意味の無いことが良く分かります。

『統制環境読本』で、不祥事企業の分析結果を引きながら、統制環境のみならずリスク評価の重要性を指摘している部分は興味深かったです。単なる思い付きですが、日本企業の好きな"現場力"とからめてリスク評価の重要性を強調すれば、リスクマネジメントもより実務現場に浸透していくのでは、という気がします。

ところで商事法務からも共著を出されるようですね。書店で見かけたら、チェックしようと思います。

Posted by: FN | 2008.03.23 00:01

内部統制右往左往さん、コメントありがとうございます。。。

> 丸山先生、済みませんがブログをもう少しだけお借りします。
もちろんいいですよ!!!内部統制右往左往さんのコメントは皆さんにも参考になるように思っています。。。

私の感覚では、US-SOX派、国産派というような派閥はないように思っているんですね。監査法人としては、どのようなルールになるかよりも、ルールが決まったらどのような監査判断や監査手続をすれば、責任を全うできるか(どのような監査判断をしたら、あるいはどのような監査手続をしなければ責任をとらされるのか)について非常に興味を持っていると思います。

それほどルールをつくるというのは重要なんですね。

私のブログの
・2007.02.16 財務報告に係る内部統制の評価及び監査の実施基準に対する八田部会長の発言
でも書いていますが、
=====
私の思いは●●●だといっても、基準では▲▲▲と書かれていれば、やっぱり▲▲▲となるわけで・・・
=====
なんですよね。ルールとして文書になってしまえば文書は一人歩きをします。ルールを作った人の意図とは違っても文書に書いている通りに動き出すわけですよね(そうでないといちいち立法担当者等に質問をしなければならないので困るわけですが。。)
上記の点についてもう少し慎重であったほうがよかったかなぁと思うわけです。

あとは、一般に公正妥当な内部統制の水準が経営者、監査人との間で定立していない段階で制度をいれたというのも影響しているのかなぁ・・・と思います。
制度導入当初の混乱と言えばその通りなのですが、個人的には2~3年すれば落ち着いてくるのかなぁ・・・と思っています。。。

Posted by: 丸山満彦 | 2008.03.23 11:10

FNさん、コメントありがとうございます。

『統制環境読本』をご購入ありがとうございました。。。
 ゆるーい本です。5つくらい参考になることがありましたでしょうか・・・

Posted by: 丸山満彦 | 2008.03.23 11:31

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 米国では原則ベースの基準に移行しようとしたのに、日本では手続ベースの基準をどうしてつくろうとしたのかなぁ・・・:

« JIPDEC 「IT統制に関する実態調査」等 集計結果を公表 | Main | 有価証券報告書等に係る罰則 »