« 経済産業省 パブコメ 情報セキュリティ管理基準改正案 | Main | 経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」 »

2008.07.02

結局、不備は3つに分けたほうが合理的ですよ。。。それははじめからわかっていることなんです。。。

 こんにちは、丸山満彦です。不備の話です。。。山口先生は、
=====
私の理解としましては、内部統制の有効性判断基準を提供する、という実益のために「重要な欠陥」と「不備」との区別は不可欠、また監査人の報告必要性の判断基準を提供するという実益および集計することによって「重要な欠陥」と総合評価する単元と判断する実益のために「不備」と「そこまで至らない不備」との区別は不可欠、しかし「そこまで至らない不備」と「不備なし」とは何ら区別する実益はないわけですから、「そこまで至らない不備」も「不備なし」と同等に評価してもよいのではないでしょうか。こう考えますと、結局のところ日本の場合は不備を二つに区分する、といった前提となんら矛盾はないことになります。
=====
 と書かれていますが、実務ではやはり3つにわけたほうが合理的なんです。。。

 
 説明をする前に、不備についての日米の用語の対比関係を明確にしておきます。

 日本 = 米国
 重大な欠陥 = Material Weakness (MW)
 不備 = Significant Deficiency (SD)
 影響が僅少な不備 = Deficiency のうち、Significant Deficiency にならないもの

 用語の定義を比べると上記のようになります。

 さて、実務ではどうなるかというと、

 単純化するために「売上の実在性」に関する統制活動の評価を例に考えてみましょう。
 売上の実在性を確保するための統制活動の運用状況にDeficiencyがあったとします。でも、他の統制活動が存在し、その統制活動が有効に機能しているのであれば、売上の実在性に関する統制目標は達成できるので、問題はありません。いわゆる補完統制があるということになります。
 ところが、補完統制もなく、売上の実在性に関する統制にDeficiencyがあった場合、次にその影響を考えることになります。重要な統制と考えて評価しているわけですから、補完統制がなければSignificant Deficiencyになる可能性が高いと思います。Significant Deficiencyであれば、それが単体であるいは他のSiginificant DeficiencyとあわせてMaterial Weaknessになるかどうかを評価することになります。

 ですよね。。。これを、上の日米の対比表を用いて説明しようとすると難しくないですか??? 

 それは、Deficiencyに該当する用語がないからなんですよ。。。

=====
意見書の前文・・・

・・・評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的に以下の方策を講ずることとした。

② 内部統制の不備の区分
本基準では、内部統制の不備を、財務報告に与える影響に応じ「重要な欠陥」と「不備」との2つに区分することとした。米国では不備を「重要な欠陥」「重大な不備」「軽微な不備」の3つに区分していることから、財務報告への影響等についての評価手続がより複雑なものになっているとの指摘がある。
=====

 重要な欠陥、重大な不備、不備(軽微な不備ではない)という構造にしているのには、実務上の必要性からきているんですよ。。。
 実務をしていないと複雑に感じるかもしれませんが・・・

 山口先生、イメージつかめましたでしょうか???

|

« 経済産業省 パブコメ 情報セキュリティ管理基準改正案 | Main | 経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」 »

Comments

詳細に解説いただき感謝いたします。やはりエントリーにも書かせていただきましたが、会計専門職の方のご意見をくわしく聞いてみないとわからないことが多いです。

ところで、またひとつおたずねしたいのですが、「さて、実務ではどうなるかというと・」とあります「実務」とはいったい何を指しているのでしょうか?その内容によって、イメージのつかみ具体も、また議論の内容も変わってくるように思います。具体的には、日本における内部統制報告制度の実務ということなのか、それとも財務諸表監査における内部統制の検討実務ということなのか、もしくは米国の実務を指しておられるのか、またお教えいただければ幸いです。

Posted by: toshi | 2008.07.02 15:26

toshiさん、コメントありがとうございます。実務ですが、財務報告に係る内部統制の有効性を評価するという実務です。
 財務諸表監査においては内部統制全体としての有効性については意見を述べていませんでした。(実証的検証で獲得すべき確信度との関係で会社の内部統制に監査人が依拠できるかどうかについての判断をしています。)
 この場合は、不備と重要な不備の二つの区分で整理できると思います。統制目標が達成できないような重要な不備があれば、内部統制に依拠できないので、実証的検証から得られる確信度を高める必要がある。。。ということになります。。。

Posted by: 丸山満彦 | 2008.07.02 15:53

(実施基準やQ&Aがあいまいな表現であるが故に)実務上、不備の区分を3つにも2つにも運用できるということになります。そのことが現場で混乱を生んでいるのだと思います。

金融庁が、こうした現場実態を無視して、あるいは「誤解」であるとして、内部統制の不備を2つに<簡素化>したなどと説明していることは、欺瞞的と感じるのですが..

Posted by: 漉餡大福 | 2008.07.03 07:36

 思いつきレベルですが、時系列が考慮されていないのが原因ではないかと。

 問題点の発見と、それの「評価」は別物なのにもかかわらず、「不備」の名のもとに、「評価前の問題点」(これはDeficiency?)と「評価後の不備で軽いもの」(Deficiency)「評価後の不備で重要なもの」(SD)が一緒くたになっているように思えます。上手く用語を定義・使い分ければよいのかも知れません。

 さらに担当者レベルでは「不備とはいえないが改善した方が望ましい事項」、いわゆる「ヒヤリ・ハット」に相当するようなもの、もあったりしますね。
 「問題点」が発見された時点では、「非常に軽い問題点」か「後々評価しなければならないような問題点」かの判断はつきやすいと思うのですが、「後々評価しなければならないような問題点」が「D」なのか「SD/重大な不備」なのか「MW/重要な欠陥」なのかの判断は難しいかと思います。

Posted by: Mulligan | 2008.07.03 16:39

漉餡大福さん、コメントありがとうございます。

=====
金融庁が、こうした現場実態を無視して、あるいは「誤解」であるとして、内部統制の不備を2つに<簡素化>したなどと説明していることは、欺瞞的と感じるのですが..
=====

 金融庁というよりも、委員会メンバーである有識者の責任感、プロとしての倫理観について疑念が生じるわけです。
 さらに言うと学者というよりも実務家のメンバーですよね。私も政府の委員をしていますので、いろいろと事情があることは承知しておりますけどね。。。それでも、ってことです。。。


Mulliganさん、コメントありがとうございます。

=====
思いつきレベルですが、時系列が考慮されていないのが原因ではないかと。
=====
 そう思います。実務のイメージがないと時系列に何が起こるかが想定できないのだろうと思います。
 でも、もっというと、意見書でいう
=====
米国では不備を「重要な欠陥」「重大な不備」「軽微な不備」の3つに区分していることから、財務報告への影響等についての評価手続がより複雑なものになっているとの指摘
=====
 という話は聞いたことがないんです。具体的にどの文献で言われているのかを教えてほしいくらいなんです。

 

Posted by: 丸山満彦 | 2008.07.04 07:16

用語の難しい定義もあるのでしょうけど、世の中、黒と白とを明確に分けられないので、「黒と言い切れるもの」「白と言い切れるもの」との間に必ず一つの領域があるはずなのです。

実務では白とは言い切れないものをまず拾い出して、そこから黒ではないと言い切れないものを拾う(そこにはMulliganさんの時間概念が入る)ので、結局は3領域にならざるを得ませんね。

考えてみると貸倒引当金だって3区分だし、有価証券の評価も70%、50%の二つの境界(つまり3領域)ありますよね。

つまり判断というものには両端と真ん中の3領域が必ずあるのでは。

気象では、空が90%以上雲で覆われていて降雨のない状態を曇りというそうですが、90%の判断は気象台の職員が目視して決めるそうです。

Posted by: 閑人 | 2008.07.05 13:36

閑人さん、コメントありがとうございます。

 そう思いますよね。。。普通に考えれば、、、朝令暮改、君子豹変す。。。でもいいと思いますけど。。。

Posted by: 丸山満彦 | 2008.07.06 10:59

>プロとしての倫理観について疑念が生じるわけです

J-SOX対応をするようになってから、俄仕込みで様々な文献を読んだり、実務対応で頭を悩ませている素人としては、本当にそう思います。限られた例なので一般化はできないと思いますが、パートナークラスの会計士で、委員会報告をろくに読んでいないのでは、と思わせる場面に遭遇したことがあります。

また、

>具体的にどの文献で言われているのかを教えてほしいくらいなんです

という部分ですが、こういった作業こそ学者の仕事ですし、文系学部の出身者としては、文献資料の出典をきちんと示すのが学者としての基本作法だろうと思います。プロの学者ならこの程度のことはきちんとして頂きたいものです。

>朝令暮改、君子豹変す

あるいは臨機応変でしょうか。アメリカの失敗という貴重な実例もあるのですから、もっと柔軟な対応が望まれます。より良い方向に「朝令暮改」ならば、批判する人は誰もいないでしょう。

Posted by: FN | 2008.07.08 01:11

FNさん、コメントありがとうございます。

内部統制の評価についての監査まで必要か?という話は前からありますよね。。。監査なし。。。というのがいいような気がしますよね。。。

Posted by: 丸山満彦 | 2008.07.09 03:55

いつも拝見し勉強させていただいております。

ところで丸山先生は

 日本 = 米国
 重大な欠陥 = Material Weakness (MW)
 不備 = Significant Deficiency (SD)
 影響が僅少な不備 = Deficiency のうち、Significant Deficiency にならないもの

と分けられて「これを、上の日米の対比表を用いて説明しようとすると難しくないですか???
 それは、Deficiencyに該当する用語がないからなんですよ。。。」と解説されておりますが、
八田先生の「これだけは知っておきたい内部統制の考え方と実務 評価・監査編」には

「アメリカでは「不備」と「重大な欠陥」との間に「重大な不備」というレベルを設けた三区分方式をとっています。重大な不備とは、日本にはない考え方ですが、開示対象にはならないものの、監査委員会や取締役会、外部監査人などの監査関係者、すなわち有価証券報告書を監視する立場の人々には知らせておくべき不備のことを指しています。」

と解説されています(同書88頁)。

これによるとDeficiencyに該当する用語が「不備」であり、したがって日本の制度では、補完統制の有無も考慮して「重要な欠陥」になるかどうかだけ判断すればよいし、監視する立場の人々に開示が必要な「Siginificant Deficiency」になるかどうか悩まなくてよいからシンプルなのだ、ということではないかと思います。こういう理解をすると、金融庁のいっていることは十分理解できるし、このブログで皆さんが怒りを表明されている理由が逆に私のように会計の素人にはわからなくなってしまいますが、どうなんでしょうか。

Posted by: とも | 2008.07.09 22:57

>重大な不備とは、日本にはない考え方ですが、開示対象にはならないものの、監査委員会や取締役会、外部監査人などの監査関係者、すなわち有価証券報告書を監視する立場の人々には知らせておくべき不備のことを指しています

こういった不備というのは、注意しないとmaterial weaknessになりますよ、という性格のものだと思います。

一方で、極論するとほっといたとしてもmaterial weaknessにならない不備もあるわけです。

つまり、"注意しないと駄目ですよ"というレベルと、"注意しといた方がベターですよ"という2つに分かれるわけで、これを一くくりで不備とする方が問題だと思います。

"注意しないと駄目ですよ"という不備があるけれども重要な欠陥のない会社Aと、"注意しといた方がベターですよ"という不備のみで内部統制が有効という会社Bは、「重要な欠陥がない = 内部統制が有効である」という結論で同一となります。

しかし結論が同じだからといって、この2つの会社を同レベルの内部統制が機能していると判断できるでしょうか?私の感覚では、A社の方が潜在的に重要な欠陥を生じさせるリスクが高いと思います。"significant deficiency"と"deficiency"に相当する区分があれば、AとBの2社をうまく区別して表現できるでしょう。

グループ会社で考えたときに、例えばグループ内のA社はdeficiencyのみなので、比較的簡素な内部統制評価(あるいは内部監査)を実施、一方でB社はsignificant deficiencyがあるので、注意して内部統制評価(あるいは内部監査)を実施する、といった表し方ができるので便利ではないでしょうか。

ちなみに、私どもの米国子会社(SOX法適用対象外です)のマネジメントレターをみると、会計監査における気付き事項がsignificant deficiencyとdeficiencyの二区分で記載されております。やっぱりこの二区分で書いてあるほうが読んでいてしっくりきます。

Posted by: FN | 2008.07.10 00:49

ともさん、FNさん、コメントありがとうございます。

ともさん、FNさんのコメントにあるように、不備に軽重の区分はあったほうが便利ですよね。Q&Aでも不備の中には「軽微な不備」があるっていっていますし。。。

 にもかかわらず、「米国と違い3つの区分にせずに2つの区分にしたので、米国より負荷がかからないですよ。」というような言い方をしているので、「それは、みんなをだましているんじゃないか。人にはちゃんとしろといいながら、それはないのではないか。」と思うわけです。

 ただそれだけのことといえば、それだけのことです。

Posted by: 丸山満彦 | 2008.07.10 14:25

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 結局、不備は3つに分けたほうが合理的ですよ。。。それははじめからわかっていることなんです。。。:

« 経済産業省 パブコメ 情報セキュリティ管理基準改正案 | Main | 経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」 »