XBRLと内部統制、J-SoX

あと2ヶ月で本番年度だというのに、なかなか実務対応が見えてこないJ-SoX。とりわけIT統制については、あいかわらず企業として構築、評価をどこまでやればよいのか見えてこないことに不安を覚えていらっしゃる方も少なからずいらっしゃるのではないかと思います。

先日ご紹介したJICPAの「IT統制の枠組み」についても、J-SoXにおける内部統制監査にどのように適用されうるのかが見えてこない。

となると、最後は会社と監査人との交渉ごとになりうることも覚悟しなければならないのではないか。つまり、監査人が必要だということをやるのではなく、会社が必要だと考えることをやり、監査人に対し、必要と考える理由または必要ないと考える理由をきちっと説明できるようにしておくこと。「できないからやらない」ではなく「やる必要がないからやらない」という説明ができること。そして監査人を説得できること。

理論的に言えば、例えば、現実的に生じうる「リスク」を洗い出した上で、その発生可能性及び影響額が低いものについては低いと考える理由を説明。そこについては、教科書的に内部統制の不備があったとしても、敢えて対応しない、ということを説明し、リスクが一定水準以下に抑えられているということで「不備」として扱わないことを監査人に認めてもらうといったことになるかと思います。

これは、内部統制の構築に係る例ですが、評価範囲や評価方法、3点セットの記載方法についても監査人を説得するケースが出てくるのではないかと思います。例えば、「誰が読んでもわかるように」と監査人から指導されたとしても、それは社外の部外者にまでわかるレベルまで必要なのか、社内の関係者（関係部門、内部監査等）及び監査人が理解できればよいのか、というところはずいぶんレベル感の違いが出てくる可能性があります。関係者に統制の内容が理解ができて、かつ、実際にウォークスルーや運用テストを実施する際に読んで統制の内容が理解できていればよいという考え方もできるかもしれません。内部監査室の方が読んで何を言っているのか具体的なことをいちいちこまかく質問しないとわからない、というのは困るかもしれませんが、逆にいえば、質問すれば理解ができて適切な評価が行いうるのであれば、3点セットの記載が少々大雑把でも許される場合があるかもしれない。大きな会社であれば、評価する社内のことがよくわかっていない内部監査人が評価を行うことはありえるでしょうけど、小さな会社であれば、内部監査人も当該業務（統制）に精通しているので、業務記述書などが少々大雑把でも統制の内容を正確に理解して適切な運用テストを実施できるかもしれません。とはいえ、権限と責任に関係するような「誰が」などというように最低限書いておかなければならない情報は記載しておかないとまずいと思いますが。監査人は、粉飾を見抜けなかった場合の訴訟に備えて文書を作るくせがついているので、訴訟に耐えうるレベル、裁判官が理解できるレベルまで求めるかもしれません。必要とされるレベル感はまちまちにならざるを得ません。

というように、それぞれの会社の事情に合わせて、本当にリスクが適切に洗い出され、それに対する統制によってどの程度リスクが低減されているか、及び適切な評価結果を導き出すのに十分かどうかといったことを説明できるように会社側でも考えておかないと、監査人のある意味理想論に付き合っていていつまでたっても出口が見えないということにもなりかねません。

ということは、会社側も相当勉強して、しっかりと理論武装をしておかないといけないということですし、逆に社内の状況は監査人より経営者自身の方がよくわかっているはずなので、事実の認定に誤りがなく理論武装さえきちっと正しくしておけば、監査人が会社の考え方を完全に否定することはなかなか難しいのではないかと思います。監査人としても、会社側が理論武装をきちっとしており、内部統制についてきちっと理解していれば、それ自体はいいことなのではないかと思いますし。

ということで、そろそろ本番に向けてどこまでやるかという「落としどころ」を探るタイミングになってきています。監査人の「指示」を待つばかりでなく、自らも考えていただければと思います。