XBRLと内部統制、J-SoX

日本公認会計士協会（JICPA）は、待ちに待った内部統制監査の指針案をついに公表しました。8月13日まで意見募集中です。

監査・保証実務委員会報告「財務報告に係る内部統制の監査に関する実務上の取扱い」（公開草案）の公表について

http://www.hp.jicpa.or.jp/specialized_field/post_890.html

さて、あまりに長く難解な文章が続くので、ざっと目を通しただけですが、上場会社の皆様にも是非目を通しておいていただきたいと思います。

基本的には、（当然のことながら）実施基準の枠からは一歩も出ていませんし、先日の日経記事のように「緩和」されているわけでもありません。このタイミングで公表されているということは、おそらく金融庁から出されるであろうQ&Aの考え方とも整合性を取っているはずですので、Q&Aも実施基準の考え方を変更することはないのではないかと個人的には思います。

それはともあれ、まずは、プレスリリース本文に概要が記載されていますので、それをお読みになられることをお勧めします。

ポイントは以下のとおりです。

１．経営者と監査人の協議時期

　監査計画の策定より前、具体的には監査対象期間の相当初期の時点か、又は監査対象期間が開始する日以前が考えられること

　適用初年度においては、遅くとも来年の3月以前には監査人と協議を行って評価範囲等について決めるということになるのではないかと思います。

　さらに、本文では、監査人が監査と同時提供できるアドバイザリー業務（助言）等についても示されています。これによって、監査人が過度に保守的になって助言を躊躇するようなケースも徐々に少なくなってくるのではないかと期待されます。監査人にとっても、独立性の問題がクリアできさえすれば、初年度において内部統制の重要な欠陥や内部統制報告書の不適正が生じるリスクを回避するためにも、ある程度助言をすることも必要だと考えていると思いますので、今後は、監査人とのやり取りがいくらかスムーズになってくるでしょう。

２．内部統制監査の時期

　監査人は実施する内部統制の評価の検討の時期等に十分留意する必要があること

　逆にいえば、経営者は、監査人の監査実施時期と自らの内部統制評価実施時期について調整が必要になるということです。

３．業務プロセスに係る内部統制の評価範囲

　経営者が実施基準に示されたような手続に従い評価対象を適切に識別している限り、選定した重要な事業拠点の企業の事業目的に大きく関わる勘定科目残高のうちに連結財務諸表における当該勘定科目残高に対して、一定の割合（２／３）に達していないものがある場合でも許容されることを具体的な数値を用いて示したこと

　これは、実施基準の解釈上認められていたことではあると思いますので「緩和」ということが適切かどうかは疑問ですが、この指針案で具体的な数値を用いて示されたことは非常に重要です。

　また、一般事業会社以外の会社の場合の考え方が示されたことも重要です。

４．全社的な内部統制

　全社的な内部統制について、まずは、運用状況の評価について監査人が検討を行うことが従来の財務諸表監査と異なることが述べられています。そして、子会社を含む事業拠点における全社的統制の運用状況については、内部統制の同一性をモニタリングする内部監査が良好に運用されていることを前提に、親会社の本社等で評価の検討を行うことになるが、財務報告に係る重要な虚偽記載の発生するリスクが高いと判断される場合に事業拠点への往査の実施を検討することになるとの考え方が示されています。

　逆に子会社等の経営的独立性が認められており、内部統制の同一性が認められない場合には、それぞれの事業拠点ごとに往査する可能性もあるということです。監査人が往査するということは、その前に経営者が評価しなければならないということになります。

５．決算財務報告プロセス

　まず、全社的統制と同様に、運用状況の評価について監査人の検討対象となることが財務諸表監査と異なるという点について述べています。そして、ここで重要なのは、全社的な観点で検討することが適切と考えられる内部統制を例示するとともに、個別に評価対象に追加することが適切とされる内部統制の例とそれに対して実施する手続を示したこと、及び、決算・財務報告プロセスにおいては、表計算ソフトが広く用いられている現状を踏まえて、マクロや計算式の検証等の検討事項を示したことです。決算財務報告プロセスのうち全社的な観点で評価するものについて、実施基準だけではイマイチ具体性がなく、どうしたらよいのか困っていた向きもあったと思いますが、今回の指針案でそれが具体的にイメージできるようになったことは大変有意義です。

６．内部統制の重要な欠陥における重要性基準値の適用

　実施基準に掲げられた重要な欠陥に該当する全社的統制の不備の例が示されていますが、内容的には実施基準と変わりません。ただ、具体的にその影響をどう考えるかについての考え方が示されています。また、「連結税引前利益の概ね５％程度」については、例年と比較して連結税引前利益の金額が著しく小さくなったような場合や事業年度ごとに著しく変動する場合などは、金額的重要性の判断基準として当該数値を機械的に適用することは適当でないことを示し、このような場合には、財務諸表監査における重要性判断基準と同様に、実態に応じ、比率の修正や最近数事業年度の平均値を用いること等を検討する。としています。

　これも監査人にとっては極当たり前のことですが、ここで明らかにされたことによって、上場企業側にも考え方が伝わるという意味では大変重要です。これも、「緩和」とはいえないものではあると思います。

　以上、ざっとご紹介しました。日経記事の方向性は間違っていなかったものの、実施基準が「緩和」されるというのはいいすぎではないかということが、これを読むとよくわかると思います。

　一般の方には至極難解な指針案ではありますが、是非挑戦してみてください。

あいかわらず、日経「緩和」記事で盛り上がっていますが、それもあってか、「評価範囲」については「どうなるんだ」という期待と不安が。しかし、「評価範囲」について正しく理解している方は意外と少ない。「評価範囲以外は内部統制整備しなくていい」という誤解や、業務プロセスの評価範囲と全社的統制・決算財務報告プロセスの評価範囲の取り扱いの違いを正しく理解していない、一方、「評価範囲に入ったら必ず規程や内部監査制度を整備しなければならない」といった誤解もあります。１０人もいない会社で、権限委譲などもほとんどない中で、びしっとした規程や専任の内部監査が必要でしょうか？従業員の数より規程の数の方が多いなんて、よくよく考えるとおかしいですね。こういう会社では、大企業とは異なる全社的統制のあり方があってもよいはずです。また、親会社の規程を準用するようなことでもいいし、親会社の内部監査を受けることでもいいはず。リスクが異なればコントロールのあり方も変わる。この原理原則に沿って内部統制整備を進めていかないととんでもないことになります。こういうことをきちっと整理できるスキルがとても重要なのではないかと思います。

チェックリスト方式で全社的統制の整備を進めると、つい教科書的に満点を取りたくなってしまうのですが、チェックリストでNoをなくすのが大事なのではなく、どのようなリスクがあってどれがどのように低減されているか、または業務プロセスにどのような影響を与えるかということを見るのが大事です。

小規模の会社にとって重要なのは、こと全社的統制でいえば、おそらく経営者自身によるリスクの評価と対応、そしてモニタリングでしょう。「情報と伝達」は、１０人程度であれば、さほど問題ないはずです。１０人で風通しが悪いようでは・・。統制活動は、ダブルチェックなどしようにも・・・。人手を倍にするわけにもいきませんし。ただし、会計的な点については、経営者は専門ではないので、親会社の経理が面倒見るということもありうるでしょう。連結ベースで見た場合に、子会社だけで完結させずに、親会社の目が通るということがコツではないかと思います。

そういう考え方で進めれば、評価範囲が少々広がっても何とか対応できます。

しかし、チェックリスト方式で質問表を子会社に出して、「No」があれば「規程を作れ」とかいう感じで機械的にYesにするような対応になってしまうと。。。

実施基準の全社的統制の評価項目例は、あくまでリスクとコントロールを見る際の視点を提供しているに過ぎません。どのようなリスクへの対応なのかをしっかり考えて、その趣旨に沿ってあるべきコントロールを考えるべきです。

一太郎で有名なジャストシステムが、EDINET対応ツールの試用版を発表しました。

xfy XBRL EDINET対応版（試用版）

http://www.xfy.com/jp/edinet_trial/index.html

XBRLに詳しくない担当者でもEDINET作成データを提出できる、というのが売りのようです。

上記URLより無償ダウンロードできます。

これを使って、EDINETパイロットプログラム用のXBRL文書を作成し、提出できるとのことです。一方、XBRLデータを利用して分析や資料作成などの 活用を行う機能もあるそうです。

このツールを使って、EDINETパイロットプログラムに参加できない上場企業や利用者側が、ためしにEDINETタクソノミによりXBRLインスタンスを作成し、それを分析するような実証実験または体験が可能なのかとも思い、ライセンス条件を読んでみたのですが、

2.2 開示書類の作成・提出
本ソフトウェアを利用した開示書類の作成・提出は金融庁が実施する「EDINET再構築に伴うパイロット・プログラム」に限られるものとします。

と書いてある。これが、EDINETパイロットプログラムに参加する企業がパイロットプログラムにおいてXBRL文書を作成する場合のみ使用可能ということなのか、それとも、本番では使わないこと、ということを言っているに過ぎないのかがイマイチわかりません。せっかく分析機能がついているのですから、単に作成だけでなく、分析機能も試してみたいのですが。。。機会があれば、ジャストシステムの方に確認してみたいと思います。

ジャストシステムといえば、一太郎やATOKというイメージでしたが、最近はこのXMLツール「xfy」にとても力を入れています。数年前からXBRL対応を謳っており、様々な機会にデモを行っています。技術の専門家ではないので、いまいちピンと来ないのですが、サーバサイドではなくクライアントサイドで使えるということで、個人投資家などにとってもかなり色々な使い方ができそうです。それだけに、実際に手にとって確かめたいのですが・・・。

IT統制、J-SoXでもっとも悩ましいところ。お金がかかるところ。。。

特に、IT全般統制といわれる統制は、コンピュータの専門家の力が不可欠で、中小規模の上場会社では対応が難しい。それ以前に、IT統制そのものを理解することが難しい。一口にIT技術者といっても、経理と人事と総務の違い以上の違いがある。IT統制を理解しているシステム監査技術者というのは、極めて特殊なIT技術者。ハードとアプリとネットワーク、さらにWeb系も全然別な人種。このような極めて異なるスキルをもった人材をすべて社内でそろえることは現実的ではありません。

では、どうすることもできないのか。といえば、そんなことはない。ユーザー部門による人手によるチェックという方法があります。特に、IT業務処理統制のジャンルでは有効です。例えば、アウトプット帳票と入力原票を照合して入力の正確性、完全性をチェックするとか、システム間のデータ連動であれば、それぞれのシステム帳票を照合するとか、異常な残高が発生していないかをざっとみるとか、検算してみるとか、そういう方法でコンピュータデータがおかしくないかを確かめることは出来ます。昔から、中小規模の会社はそうやってコンピュータデータが使えるかどうかを確かめているはずです。

データが落とせるのであれば、CSV形式で落としてExcelや監査ソフトで検算や異常データを抽出して、確かめることが出来ます。

IT全般統制は、IT業務処理統制を継続的に有効足らしめるための統制と位置づけられていますが、もし、上記のようなチェックを頻繁にやっているのであれば、もしかしたらIT全般統制に多少の不備があったり、評価手続が十分でなかったとしても、それをもってIT統制に重要な欠陥がある、または、十分な評価が行われていないということにはならない可能性もあります。

ただし、データ量が多く、システムが複雑で、しかもペーパーレス化が進んで、もはや上記のような人手によるチェックが出来ないような場合には、ユーザ部門の人手による統制だけでは十分とはいえない場合もあるでしょう。

ITを高度に利用していなければ、人手での統制でも結構役に立ちますし、システムに何か問題があれば、それを探し出すこともさほど難しくないような気がします。実際、さほど高度なシステムでなければ、開発段階で、開発をアウトソーシングしているような場合の、社内での検査、検収は、ユーザ部門が行う場合も少なくない。

また、IT部門があったとしても、プログラムを改ざんできるような人材がいないということであれば、プログラムの改ざんのリスクは低い。といったことで、あまり厳しい評価手続を実施しなくても、虚偽記載リスクにつながるようなケースは少ないのではないか。

逆に、重要な虚偽記載に結びつくようなリスクがあるような問題のあるシステムであれば、人手によるチェックでもある程度わかると思います。

さて、忘れがちなのですが、会計システムにおいて、仕訳を訂正する際の履歴をどのように残しているか、というのは、内部統制上非常に重要なテーマです。会計処理データが改ざんするのがもっとも手っ取り早い粉飾手口です。手書きの帳簿であれば、二重線を引いて訂正印を押すというようなことを必ずやるとか、消しゴムで消せないボールペンで記入するとかを必ずやっていますが、これがコンピュータになると、いつでも修正でき、しかも修正履歴を残さないようにすることが出来る場合があります。特に中小企業向け会計ソフトウェアにはこういう機能が見られます。しかし、重要な虚偽記載に結びつく改ざん等を発見するためには、加除訂正履歴を後で確認できるようにしておくことが重要です。電子帳簿保存法対応しているソフトウェアであれば、迷わず加除訂正履歴を残すオプションを選択するか、翌日以降のデータ変更が出来ないようにし、マイナス伝票と訂正後伝票を起票して、上司の承認を受けた上で入力するといったことをやる必要があります。これとて、高度なITの知識が必要なわけではなく、ユーザ側である程度対応できることでしょう。

このように考えると、IT統制について何も対応できていないということはない。何らかの人手による統制が存在する可能性が高い。まずは、それを把握した上で、それだけでは低減できないリスクを考えて対応することになるのではないでしょうか。

東京証券取引所のJ-SoX対応が注目されていますが、6月22日に東証から公表された「上場制度総合整備プログラム２００７に基づく上場制度の整備等について」は、少々要注意ではないかと思います。

http://www.tse.or.jp/about/press/070622s.pdf

なかでも、特設注意市場に指定された場合に、上場申請のための有価証券報告書（IIの部）に準じた「内部管理体制確認書」を提出しなければならず、、内部管理体制確認書の提出が３回目となる場合で、当該確認書の内容等に引き続き問題が認められるときは、上場廃止するものとする、といったことが書かれている点には注目です。

特設注意市場については、有価証券報告書等の虚偽記載、監査意見が不適正、意見不表明の場合などで、該当して上場廃止のおそれが生じたものの、審査の結果、影響が重大とはいえないと認められ上場廃止に至らない場合において、内部管理体制等について改善を求める必要性が高いと認めるときは、投資者へ注意喚起する観点から、本則市場及びマザーズとは市場表示を分離した、特設注意市場（仮称）に指定するとされています。

即上場廃止にはならない程度であっても、3年間内部管理体制に改善が見られなければ上場廃止になるということでしょうか。

これ自体は、J-SoXについては何も言及していません。しかし、内部統制に東証として改善を求める必要性が高いような重要な欠陥があり、その結果、有価証券報告書等の虚偽記載、監査人の不適正意見等が実際に生じてしまえば、改善が見られない限り遅くとも3年後には上場廃止になるということです。内部統制報告書の虚偽記載、内部統制監査報告書の不適正意見または意見不表明の取り扱いがどうなるかはわかりません。では、自ら「内部統制に重要な欠陥があり、有効ではない」と会社が自ら宣言した場合はどうなのか。「正直に欠陥があることを開示すれば、実際に有価証券報告書に虚偽記載がなく、監査意見も適正である限りにおいては上場廃止にはしない」ということなのか？それとも、「内部管理体制確認書」の内容に問題がある（改善されない）場合と同様に扱い、3年間で上場廃止するのか？

このあたりは、先日の日経の記事からだけでは何とも判断できません。ただ、これを読む限り、東証が改善を求める必要性が高いような内部統制の重要な欠陥が長期間にわたり改善されない状態を是とは考えていないことは明らかです。改善を求める必要性が高いような内部統制の重要な欠陥による虚偽記載リスクが顕在化し、実際に虚偽記載が生じてしまった場合には、即上場廃止か3年間を期限として「特設注意市場」に指定されるかということははっきりしている。問題は、内部統制の重要な欠陥があり、虚偽記載リスクは潜在的にはあるものの、リスクが顕在化していない状態を東証がどう評価するか。

それはそれとして、内部統制の重要な欠陥が放置されている場合の投資家からの評価、というものにも注目しなければなりません。投資家の評価は、資金調達など財務戦略にも影響を与えます。

とにかく、情報に振り回されず、有価証券報告書、財務諸表を適正に作成するためにはどうしたらよいか、ということを考えて、しっかり対応しておくことが基本かと思います。立派な3点セットをたくさん作ったからよいというのではなく、重要な虚偽記載が発生しないような体制になっていることが確認できることが重要です。それを経営者自身が創意工夫して考える、というのが実施基準のもともとの考え方です。そして、実際に虚偽記載が発生していないこと。J-SoXは「結果」ではなく「プロセス」を見るといわれていますが、結果がでていなければ、プロセスも不十分ということにならざるを得ません。プロセスを改善し、結果を出すこと。それがなければ、結局上場廃止に結びついてしまうということは理解しておいた方がよいと思います。「緩和」という言葉に踊らされないよう、やるべきことをしっかりやりましょう。

今日は、朝から例の日経記事の話題で持ちきり。私の関与先でも、そんな話が出ましたが、ほとんどの方が「実施基準ですでに言っていることじゃないか」という印象をもたれていたようで、安心しました。

さて、この無名ブログも記録的なアクセス数でした。初めて公開するのですが、7月2日で

でした。

そしてそのほとんどが検索エンジンで「内部統制　緩和」といったキーワードで検索してきているのです。いかに多くの方が、あの記事に興味を持ったかがわかります。

それはともかく、ある会計士の方がおっしゃるには、実施基準というのはある意味どうにでも解釈できるように書いてあるとのことです。解釈で厳しくもできるし緩くもできる。画一的な適用を求めるのではなく、それぞれの企業の実態にあったやり方で、ということなのでしょう。Q&Aが本当にでるのかはわかりませんが、今までの金融庁から出たQ&Aの性格から考えると、実施基準より緩和するということはない。もともと緩和するような解釈が可能な実施基準の解釈指針として、緩和できる点を明確にするといったことになるのではないかと思っているのですが。全く個人的な想像です。もし本当に緩和するなら、実施基準そのものを改正せざるを得ない。しかしそういう話は出ていない。

とにかく、仮に実施基準そのものが緩くならなくてもがっかりする必要はないと思います。緩い解釈が出来るということが明らかになるだけでも十分意味はあると思います。

とはいえ、中小規模の上場会社にとってはあまり関係ない緩和策ですし、逆に、緩和されていたとしても、今まであまり内部統制にこだわってこなかったところは、新たにやらなければならないことが増えることには変わりないでしょうから。

形式主義ではなく、目的指向、実質主義でいきましょう。

いわゆるsmaller COSOといわれる、中小規模上場会社向けCOSO「簡易版COSO内部統制ガイダンス」の日本語訳が出版されました（同文館出版）。

これは、小規模ではなく中小規模ということで、かなりの会社が適用できるのではないかと思います。日本の上場会社のうちのかなりの割合は、中小規模といおうか、あまり多角化しておらず、組織も割合と複雑ではない。そういう場合には、これが使えそうです。

注目すべきは、SoXへの適用のために財務報告に係る内部統制にしぼりこんでいることと、COSOのフレームワークは全くそのままということかと思います。COSOのフレームワークを中小規模に上場会社に適用する場合の考え方が示されているということです。また、訳について言えば、実施基準作成にたずさわった方が中心ということで、実施基準に使われているような用語、例えば「全社的統制」を使ってくれているのもうれしいです。まず、概要をお読みになり、基本的な考え方を理解してからツールの中身に目を通されることをお勧めします。でないと、適用の仕方を間違えて、過度な負担の割には効果が上がらないということになってしまいます。

全社的統制のうち、取締役会や監査委員会に係るところは、我が国の会社法の制度や経営スタイルなどとは少々異なるので、注意が必要です。

この本の中でもCOSOのツール編をチェックリスト的に使い、企業の実態に合わない、あまり効果のないものまでやろうとすることの弊害が述べられています。そして、内部統制があくまで目的指向だということもいわれています。COSOが悪いというよりは、目的を忘れた使い方に問題があるということなのでしょうか。今回の簡易版の中でも「ガイダンスであってマニュアルではない」ということがいわれています。考え方は大いに参考にすべきですが、ツールをそのまま使うことは、日米の制度の違いもあることですし、避けるべきなのではないかと思います。

このようなことはあるにせよ、私はこの本をある程度大規模な上場企業の内部統制担当役員の方にも是非ご一読いただきたいと思います。読み方さえ間違わなければ、目的を忘れ、チェックリストに振り回され、過度な負担に苦しむ、そんな日々から人々を救い出してくれる、そんな救いの本ではないかと思います。