「資産の保全」と他の目的との関係、「ITへの対応」と他の基本的要素との関係
こんにちは、丸山満彦です。もの分けるときは、「漏れなくダブらず」というのが基本とよく言われますね。英語では、Mutually Exclusive and Collectively Exhaustiveと言って、頭文字をとって"MECE"と言われたりします。金融庁企業会計審議会内部統制部会の「財務報告に係る内部統制の評価及び監査の基準案」の内部統制の定義はこの基本に反していますね。
■金融庁 企業会計審議会 内部統制部会
・2005.12.08 企業会計審議会内部統制部会の報告書の取りまとめについて
・・財務報告に係る内部統制の評価及び監査の基準案
=====
(前略)我が国の実情を反映し、COSO報告書の3つの目的と5つの構成要素にそれぞれ1つずつ加え、4つの目的と6つの基本的要素としている。
すなわち、内部統制の目的に関して、我が国においては、資産の取得、使用及び処分が正当な手続及び承認のもとに行われることが重要であることから、独立させて1つの目的として明示した。また、内部統制の基本的要素に関しても、COSO報告書公表後のIT環境の飛躍的進展により、ITが組織に浸透した現状に即して「ITへの対応」を基本的要素の1つに加えている。なお、COSO報告書の構成要素という用語を基本的要素としているのは、これらの要素は例示であることを明確にしたものである。
(後略)
=====
内部統制の定義の部分では、次のように書かれています。
=====
○ 資産の保全とは、資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう。
(注)内部統制の目的はそれぞれに独立しているが、相互に関連している。
=====
でも、COSOを作成するときの議論などを総合すると、「資産の保全」と他の内部統制の目的の関係については、右図のようになります。つまり、内部統制の目的の1つである「資産の保全」は他の内部統制の目的とは独立していない。
基本的要素については、
=====
(前略)
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
(後略)
=====
と書かれていますので、やはり右図のようになりますね。
内部統制の目的を示す図を、右図のようにかく人がいますが、それは間違いですね。目的は独立しています。きっと右図のようにかく人は、目的を達成するための手段が複数の目的達成に関連していることを示そうとしているのだろうと思います。たとえば、「業務の有効性及び効率性」を達成するために「支店長が現金の有り高と帳簿残高を毎日確認する」とします。この手段は、また、「財務諸表の信頼性」を達成するための手段でもあります。ということで、ついつい目的の円を重ねたくなるのではないかと思うんですね。でも、実際は、目的は独立しているんです。重なっているのは手段ということです。
【参考】
■このブログ
・2006.03.01 ITへの対応はどこに・・・内部統制とマネジメント・プロセス
・2006.01.31 「資産の保全」とその他の内部統制目的との関係(2)
・2005.12.19 「資産の保全」とその他の内部統制目的との関係
Comments
この点なんですけど、前からわからなかったことですよね。
「資産の保全」というのは、むしろ、「会社資産の保全・増大」といいかえれば、経営の最大のゴールだろうと。それが、他のものと同じレベルというのは、なっとくがいかないですね。
(ERMまでひろげると、リスクと機会の概念と企業目的の関係をきちんとつめないと、さらにわからないのではないかと。マネジメントモデルであれば、ゴールにむかって、どういくかというダイナミックにいくのを静的にあらわすものでないとできないはずでしょうね。)
ただ、もとのCOSOキューブ自体もいいのかというと、少なくてもコンプライアンスが目的の一つというのは、変なんじゃないかなと。
ゴール「会社資産の保全」
目的「財務諸表の信頼性」「其の他の分野での利潤増大」などなど
その手段としての「業務の効率性・有効性」
前提問題としての「法令等遵守」
という構造なはずではないかと思っています。
すると、そもそも、キューブにしてしまおうという発想が間違っているのではないか。会社の構造に対して、認識が甘いのではないかと思っているのですが、いかがでしょうか。
SOXのためのキューブであれば、「財務諸表の透明性」がName of the Gameであれば、いいのでしょう。(ここらへんが、COSO がよく分からない原因ではないかと)
Posted by: ミスターIT | 2006.04.02 10:03
ミスターITさん、コメントありがとうございます。
「資産の保全」は"Safeguarding of Assets "で、あくまで「資産の保全」なんです。内部統制の歴史の中で、株主の持分である会社財産を保全することがひとつの目的であったわけです。積極的に増やすというのではないのです。これは、COSO以降の内部統制概念では、やはり意義が小さいということで、業務の有効性および効率性に主に関係する下位の内部統制の目的として表には出さなくなった。しかし、従来なじんできた資産の保全とCOSOの新しい内部統制概念との関係は説明しなければならないということで、COSOでも資産の保全と他の内部統制の目的の関係について述べているのだろうと思います。
COSOの内部統制の目的については、CoCoで批判がされていたり、「法令等の遵守はそもそも前提ではないのか」、とか、「「財務報告の信頼性」という特定の利害関係者との関係ではなく、「外部と報告の信頼性」という外部利害関係者一般とのコミュニケーションとすべきではないのか」・・・など、意見はあるようです。
また、株式会社以外の組織にもCOSOを活用しようとする考え(GAO)もあるので、内部統制の概念については、もう一段踏み込んだ検討が世界的にもなされるべきだと個人的には思っています・・・
いずれにしても、私も勉強不足を感じています。COSOやCoCoを読むたびに新たな発見があるような状況です。
Posted by: 丸山満彦 | 2006.04.02 10:59
ご教示ありがとうございます。
>積極的に増やすというのではないのです
なるほどね。ただ、そうすると、「金食い虫」というコンセプトとの関係でどうするのかという問題は抱え込んだままになりますね。
>内部統制の概念については、もう一段踏み込んだ検討が世界的にもなされるべきだと個人的には思っています
そうでしょうね。
ただ、抽象的なモデル論は、それほど、意味がないのでしょうね。あまり整理されていないままで、影響力をもったりすると困りますけどね。
実際のフレームワークにどう落としこむか、という点の議論がきちんとされていれば、それはそれで良しかと。(ただ、その抽象的なフレームワークから、J-SOX、ソフトウエアで、J-SOX対応というようにならなければいいんですけど)
Posted by: ミスターIT | 2006.04.02 23:22
ミスターITさん、コメントありがとうございます。
=====
>積極的に増やすというのではないのです
なるほどね。ただ、そうすると、「金食い虫」というコンセプトとの関係でどうするのかという問題は抱え込んだままになりますね。
=====
リスクに応じた対策をするという意味で、資産の保全をすることにより、リスクが減少するので、割には合うという話なんでしょうね・・・。
=====
抽象的なモデル論は、それほど、意味がないのでしょうね。
=====
そう思います。ただし、ミスターITさんもご指摘のとおり
=====
あまり整理されていないままで、影響力をもったりすると困りますけどね。
=====
ということです。理論的に矛盾しているものを元に実務を進めていくと、どこかでほころびが出てしまいます。
Posted by: 丸山満彦 | 2006.04.03 08:17