再び内部統制報告制度に関する11の誤解~虚偽記載リスクの評価
再び「内部統制報告制度に関する11の誤解」ネタを。
上場会社を含むJ-SoX関係者の間でここ数日この話題で持ちきりですが、正直、金融庁の担当官には悪いですが、全く評価されていないといおうか、評判悪いですね。これが出たからといって監査人の対応は何も変わらないだろう、というのが大方の見方。会計士協会あたりがもっと具体的に説明でも出せば違うのでしょうけど。
それと、「別に「有効でない」という報告書を出したって上場廃止にならないのだったらいいじゃない」という姿勢が、どうも上場会社のJ-SoX担当者としては気に食わない。そういうわけには行かない。監査人の言うことを聞かないということがどういう結果を招くのか、そのことが金融庁はわかっているのか。監査契約の打ち切りもありうるし、監査意見形成の際にネガティブな印象、特に「財務報告及び内部統制構築に消極的」という印象を与えてしまうのはこわい。一方、監査人は「金融庁の検査が厳しい」「米国提携先がうるさいので仕方なく」といって、チェックリストを画一的、機械的に適用しようとして、やっていないことがあると、その会社で発生可能性がどの程度あるのかも考えずに「不備」と決め付けられてしまう。軽微な不備でも積み重なれば「重要な欠陥」になりうる。何でもかんでも不備扱いされてはたまらない。ましては虚偽記載リスクを会社として評価し、その結果として発生可能性や影響が小さいということでリスクを受容しているにもかかわらず、それが不備といわれては、経営は成り立たない。
監査人には、「経営者としてのバランス感覚」などというものはあまり関係ない。それで利益が増えようが減ろうが、監査上のリスクさえ下がればよい。極端な場合、「赤字になろうがどうなろうが、チェックリストでいい成績をとって「有効」にするためには人を入れて職務の分離をしろ」、といういうことになる。そのくらいでないと監査人としてはリスクを負いきれない。
たしかに、バランス感覚の崩れた売上至上主義、利益至上主義で、財務報告やそれに係る内部統制をおろそかに考えている経営者もいないわけではないと思います。だからといって、利益を無視して教科書的、理想的な内部統制を構築しろというのも、もともとJ-SoXの「経営者の視点で内部統制を構築」するという根本思想からすれば明らかにバランスを欠いている。
バランスをどこで取るか。そのカギはやはり虚偽記載リスクの評価。リスクに応じた対応を考えればよい。虚偽記載リスクは、チェックリスト、3点セットを表面的に作成しているだけでは本当の意味で評価しているとはいえない。経営者の資質であり、社風・社内の人間関係であり、従業員・役員のスキルであり、会社を取り巻く環境であり、そういったもろもろのもの(外部環境、統制環境)を総合的に勘案して、リスクを評価しなければならない。
「うちの会社にそんなことできるほど仕組みを理解している人はいないからリスクは低い」などと会社の人が言うと、監査人は「でもそんなことはわからない。もしかしたら」といって、不正操作ができるほど仕組みを理解している人がどこにでもいることを前提にリスクを評価しようと考える。この時点で、リスクの発生可能性の評価がわかれ、経営者が考える有効な内部統制のレベルと監査人の考えるレベルに乖離が生じてしまう。J-SoXの前提は、おそらく経営者の方が監査人よりも自社のことはよくわかっていてリスクも適切に評価できる。だから必ずしも監査人やコンサルのいうことを聞かなくてもいいということになる。しかし、実際には、監査人の評価を受け入れて統制を構築せざるを得なくなる。
例えば、小規模組織について、「11の誤解」には「職務分掌に代わる代替的な統制:マンパワーが不足している場合などには、経営者や他の部署の者が適切にモニタリングを実施することで可。」とあります。これに対し、監査人は「職務の分離」や「独立した内部監査」を求める。一方、経営者(会社)は、「少人数で誰が何をやっているかは見通せるので、悪いことはしにくいし、もしやったとしても上司や社長が普段から見ているからすぐにわかる。だから、職務の分離や独立した内部監査機能は不要」と主張する。まさに「11の誤解」の通りです。しかし問題なのは、本当に上司や社長が普段から部下の仕事をきちっと見ているか、コミュニケーションが取れているか、ということです。「小規模だからできるはず」ではなく実際にやっていなければダメなのです。小規模組織で起きる不正の多くは、結局上司や社長も忙しくて(主として営業や付き合い)、管理的なことは部下に任せっぱなしになっていて全くチェックしていないケースかと思います。小規模組織では現金出納と経理を一人の人がやっていて「職務の分離」どころではないようなケースもあると思うのですが、それで任せっぱなしでは不正が起きたとしても不思議はない。監査人としては、「上司が見ている」とはいっても、営業事務や経理関係については多くの場合そうはなっておらず任せっぱなしで「彼(彼女)ならまじめにちゃんとやるだろう」という期待を持っているだけということを知っているので、にわかには会社の主張を承服しかねる。こういうところでも構築すべき内部統制のレベル間に差が出てきます。この場合には、監査人のほうが会社の実態を経営者よりもよく把握していて適切にリスクの評価ができていることもある。
一番難しいのが経営者自身に関する評価の部分(統制環境)。会社自身の評価では、恐らく実態は別として、形式的に財務報告を重視する姿勢に関する文書かなんかが出されていれば、それで「有効」と考えるのかもしれませんが、監査人は、あくまで直接経営者とディスカッションして得た心証や他の役職員、外部の関係者等からの情報による心証から、客観的に評価しようとする。「どうもそういう話を聞いた限りでは、あそこの経営者は売上至上主義、利益至上主義で、会計や内部統制重視しているようには思えない」ということになる。ここで、監査人は「重要な欠陥」になる大きな可能性または監査上のリスクを認識する。財務諸表監査であれば、「不正への対応」ということで監査人が厳しくチェックすればよいのですが、内部統制となるとどうか。監査人も会社も、形式だけ整っていればで済ませてしまおうとするか、それとも、経営者の本当の姿勢及びそれによってもたらされる社風や従業員の行動心理にまで踏み込んで、個々の統制の有効性を考え、経営者の意向にあまり左右されずに実質的に有効に機能するような仕組みを考えていくか。J-SoXの趣旨からすれば後者の対応になるように思いますが、実際には、経営者の本質的な部分に触れるよりは、ことを荒立たせずに形式的、表面的な対応で済ませようという場合が少なくないような気がします。
こういうことをやっている限り、経営者と監査人の溝は一向に埋まらない。
監査人にちゃんと説明して議論すればわかってもらえるはずなのにそれをしようとしない会社側、そして、リスクを表面的にとらえてマニュアル・チェックリストを機械的に適用しようとする監査人。この組み合わせだとどんどんコストが膨らみ、あまり意味のない実効性のない統制手続ばかりが増えてしまいます。
「虚偽記載リスクの評価と対応」にいかに客観性と経営的な視点・バランス感覚を持たせるか、それが大きな課題かと思います。
「11の誤解」が「自社のリスクを最も把握している経営者が、主体的に判断。」「監査人の指摘は、内部統制の構築等に係る作業や決定が、あくまで企業・経営者によって行われるとの前提の下で、適切な範囲で行われる必要。」というだけではおそらく不十分で、
「経営者は、虚偽記載リスクについて、判断の根拠を示した上で評価する。基本的には、経営者は自らの虚偽記載リスクの評価結果に応じた内部統制を構築し、それが有効に運用されていれば内部統制は有効であると判断することができる。監査人が経営者の虚偽記載リスク評価結果が明らかに合理的ではないと判断した場合には、監査人は経営者と十分にディスカッションする必要がある。監査人は、監査人自身が財務諸表監査において実施する虚偽記載リスク評価結果のみに基づき経営者による内部統制の有効性評価の妥当性について意見を述べてはならない。ましてや、経営者による虚偽記載リスク評価を踏まえずに機械的にマニュアルやチェックリストで求められている統制行為を経営者に求めたり、経営者がリスクがないまたは低いと評価しているにもかかわらず対応する統制行為の実施を求めたり、対応する統制行為が存在しないまたは統制が弱いことをもって「内部統制の不備」として取り扱ってはならない。こういうことが行われていないかどうかを、公認会計士監査審査会及び日本公認会計士協会においても検査・レビューの重点項目とする。これがあくまでJ-SoXのスタンスであって、経営者のリスク評価結果を受け入れるのか、監査人のリスク評価結果によるのか、そこが米国のダイレクトレポーティングとの違いである。」
というくらいまで書けば効果はあるかもしれません(ちょっと無理があるので難しいでしょうけど)。とはいえ、ディスカッションにもかかわらず、虚偽記載リスクの評価結果にかかる両者の溝が埋まらないと結局最後の監査意見のところで「不適正」になってしまう可能性があります。
たしかに、経営者が客観的な根拠・証拠を示して虚偽記載リスクを評価、監査人に説明するのは難しい。どうしても経営者自身の主観といおうか、「勘」といおうか、感覚的なものが入り込んでくる。少しでも客観的な証拠がなければ監査人が会社の判断を全く認めないというのは、裁判対策といおうか自分の身を守るためにはいいかもしれませんが、監査人にしても、専門家としての「経験」と「勘」に頼る部分が全くないわけではなく、それがあるからこそ「職業専門家(プロ)」といえるところもあります。経営者が本当にそう考えているのか客観的な証拠がないと判断できないとなれば「ウソ発見器」でも使うしかないのか。とそんな状況になるとすれば、監査人のいうとおりに形式だけ整えておいた方が楽、というように思ってしまう経営者または担当者の気持ちもわからないではありません。しかし、それではJ-SoXの本来のあり方からは外れてしまうことになります。
金融庁も会計士協会も、もっと経営者の立場に立った「虚偽記載リスクの評価」と「対応」についての議論が深まり、形式論に走らなくてもすむような具体的な考え方なり例を示してくれるとよいのですが。
| 固定リンク
コメント