XBRLと内部統制、J-SoX

以前予告したとおり、金融庁は4月2日に、「内部統制報告制度に関するＱ＆Ａ」の再追加を公表しました。

新たに主として以下の内容の24問を追加。

◇「重要な欠陥」の判断（問68～70、75、77）

◇子会社の売却・業績悪化等により重要な事業拠点の選定指標が一定の割合に達しない等の場合の取扱い（問73、74）

◇内部統制報告書の記載内容（問101～107）

重要な欠陥については、判断基準や金額的影響額の算定方法といったことではなく、実務的に決算早期化の影響でチェック前の決算書を監査人に見せて指摘を受けた場合とか、決算短信の修正があった場合に、直ちに重要な欠陥になるわけではないといったことが記載されています。

「内部統制報告書の記載内容」は、いわば記載例、文例ともいえます。いままでずっと「記載例は公表しない」といい続けてきた金融庁ですが、アンケートや問い合わせの結果を踏まえ、実務の混乱が予想されることに配慮したのでしょう。

一応、「記載内容については、各企業の実情等に応じて記載することが適当であり、記載内容の例については、あくまでも参考であることに留意する必要がある。」という立場は崩していないものの、事実上のスタンダードになるのではないかと思われます。

この中には、監査人の過度な要求（といおうか、実施基準に対する誤解による誤った指導）により、期末直前になって評価範囲の変更を余儀なくされそうになっている上場会社にとっては「救い」となるようなものが含まれています。

例えば

「企業が重要な事業拠点を選定する際の一定割合として、「概ね２/３」というように選定の方針を記載しているのであれば、実績値は不要であり、方針とした一定割合を記載することで足りるものと考えられる。」

というのであれば、業績の変動等があっても2/3を絶対に割り込まないように、保守的に評価範囲を広めに取っておくといったことも必要なくなります。

今回一番驚いたのは、内部統制報告書文例の中で、「内部統制を整備せず評価を実施しなかった場合」の文例が示されていることです。こんなことは元々想定外ではあったはずですが、実際にふたを開けてみると、こういう上場会社も現実に出てくる可能性が十分あるということと、仮に、「内部統制を整備せず評価を実施しなかった」ということで、結論不表明の内部統制報告書を提出し、同じく監査意見不表明の内部統制監査報告書が提出されてもペナルティがないこともあり、初年度はある程度やむなし、という実質的な救済策を提示したともいえます。しかも「やむをえない事情で」評価できなかったということではない以下のようなケースを想定していることには正直驚きを隠しえません。

「財務報告の信頼性に関するリスクの評価と対応を実施しなかった理由は、連結グループ全体において、間接部門を中心に人員を削減しており、連結子会社において経理及び財務の知識・経験を有した者をリスクの評価に従事させることが困難であったためである。」「一方、財務報告に係る内部統制の整備及び運用の重要性は認識しており、これらの人員の制約はあるものの、環境を整備し、今後×年間で評価を完了させる方針である。」

これで許されるなら、今までの苦労は一体なんだったのか？と怒られる方もいらっしゃるかもしれません。整備を数年かけて、ではなく、評価そのものも数年かけてということなのです。

おりしも世界的な不況で、リストラが盛んに行われつつありますが、それで内部統制評価ができなくてもやむなし、というくらいの感じにも見えます。制度は導入するが、実質的には出来なくても仕方がないという妥協です。制度の緩和または「徳政令」といってもいいかもしれません。ただ、元々、評価自体が目的というよりは、内部統制を整備して適切な財務諸表を作成することが目的なので、そういう意味では、極めて現実的な解決をしたのかもしれません。

いずれにせよ、かなり衝撃的な内容も含んでいるので、是非早いうちに目を通されることを強くおススメいたします。

金融庁は、先にパブリックコメントを募集した財務諸表等規則、四半期財務諸表規則などを8月7日に公布する予定と発表しました。

「財務諸表等の用語、様式及び作成方法に関する規則等の一部を改正する内閣府令」の公布予定等の公表について

http://www.fsa.go.jp/news/20/syouken/20080731-1.html

この改正のうち、たな卸資産表示関係の項目は、2008年6月末に終了する第一四半期の四半期報告書から適用可能です。四半期報告書の提出期限は、8月14日ですので、8月7日以降に四半期報告書を提出する企業であれば、新規則に基づく四半期（連結）財務諸表を提出することが可能です。

8月7日では、すでに監査（レビュー）が終了している可能性はありますが、レビュー報告書日付が8月7日以降であれば、新規則に基づくことも可能では。

来年度以降、表示方法の変更をすることによって、XBRL化された財務諸表の分析が若干しにくくなることを考えれば、このタイミングで新規則に合わせておくということも、投資家にとっては有用ではないかと思われます。

これについては、

http://bcj.way-nifty.com/xbrl/2008/07/xbrl_a33f.html

もご参照いただければと思います。

初めての四半期報告書作成、かつ、XBRL化ということで、慣れない中で新しいことを先取りしようというのもなかなか難しいかもしれませんが、監査人と協議しながら対応を検討されるとよろしいかと思います。

7月7日より東証の新TDnetが稼動し、XBRL形式による適時開示書類が参考情報として正式に公開され始めました。

栄えある（？）第1号は、株式会社 メディアクリエイトの「業績予想の修正に関するお知らせ」のようで、10:05に開示されています。

その後、続々と開示が行われています。3月決算が一段落した直後だけに数は少ないですが、新しい仕組みを立ち上げるタイミングとしてはこういう時の方がよいのでしょう。

決算短信(1枚目）だけでなく、業績予想修正も提出されているようです。

東証ホームページで評価版ビューワーなどが配布されていますが、利用条件を見るとどうやら本番の閲覧というのは許諾されていないようで、製品版を購入しなければならないということに今のところはなっているようです。

http://www.tse.or.jp/rules/td/xbrl/data/software.html

第一歩としては画期的ではありますが、これだけの情報ではあまり有用性がなく、EDINETでの導入を踏まえた財務諸表の公開によって、本格的な利用が始まるのではないかという声も聞かれ、どの程度利用されるのか注目です。速報性を考えれば、やはり、決算短信と同時に発表される財務諸表のXBRL化というのが待望されているようです。

なお、従来どおりPDFが正式版ですので、パッと見るだけでしたらPDF版をオススメします。大量のデータを自動的にコンピュータに取り込んで分析するといった場合には、XBRLの方が使い勝手がはるかによいとは思いますが。

金融庁は、7月2日に「ＥＤＩＮＥＴタクソノミの更新及びＥＤＩＮＥＴタクソノミ利用に当たっての追加情報について」を公表しました。

http://www.fsa.go.jp/search/20080702.html

これは、今後のEDINETタクソノミ変更に関する基本的な方針と、法令、財規等の改正による対応に関する方針を明らかにしたものです。

• 原則として、年一回の更新を行う。
• ただし、法令及び会計基準の改正又はＥＤＩＮＥＴタクソノミの不具合等のうち緊急の対応を要するものについては、追加的に更新を行う。

次回のＥＤＩＮＥＴタクソノミの更新は、平成21年春頃を予定しているそうです。

また、6月12日に公表された財規等の改正案のうち、たな卸資産関係の科目表示区分の変更及び「工事契約に関する会計基準」に係る取り扱い（平成20年６月12日公表　財務諸表等規則等の改正案への対応について（案））が示されています。

(6月12日改正案）　http://www.fsa.go.jp/news/19/syouken/20080612-3.html

これらについては、平成21年３月31日前に終了する四半期会計期間に係る四半期財務諸表について適用することができることとされており、財規等の改正が第一四半期に係る四半期報告書の提出に間に合えば、今まさに作成が始まっている第一四半期に係る四半期財務諸表から適用されることができますので、それにあわせてはやめにXBRL化に係る取り扱いも示しておく必要があるということではないかと思われます。

現行規則では、四半期連結財務諸表の表示区分が年度連結財務諸表の表示区分より細かくなってしまっているというおかしなことになっているので、それを正す意味でも四半期財務諸表における先行適用を認めざるを得ないと思われますが、もし先行適用するのであれば、比較可能性なり首尾一貫性の観点から、できれば第一四半期から適用する方が利用者にとってはありがたい。ということで、もし、第一四半期に係る四半期報告書作成に間に合うタイミングで財規の改正がなされれば（パブコメの期限は7月14日なのでがんばれば間に合う可能性あり）、あらかじめXBRL上の取り扱いを示しておけば、印刷会社側の対応も比較的容易になり、第一四半期からの適用も可能になる。と個人的には読んでいるのですが。

それはともかく、もし新規則の表示区分に基づき四半期報告書を作成する場合であっても、現在のEDINETタクソノミ（2008-02-01版）にすでに新規則にも対応できるような勘定科目（要素名「MerchandiseAndFinishedGoods(商品及び製品）」および「RawMaterialsAndSupplies（原材料及び貯蔵品）」）が財務諸表語彙タクソノミに用意されているので（改正を読んでかたまたまなのかはわかりませんが）、それを使うことになります。ただし、計算リンクと表示リンクは設定しなおさなければなりません。現行と変更がない科目についてはそのまま使えます(仕掛品）。

実務上は、現行規則通りの表示か改正規則による表示かを各社で決めて印刷会社に指示すれば、計算リンク、表示リンクの設定はやってくれるのではないかと思いますので、提出会社側にはほとんど負担にはならないと思います。

財規の改正がいつになるのかわかりませんが、第2四半期以降または来年度以降のことを考えて、四半期財務諸表作成当初から新規則の表示区分にするという選択肢も念頭においてみてはいかがでしょう。

なお他に、業種別タクソノミの不具合への対応も示されていますが、ほとんどの会社にとっては関係ないと思われます。

金融庁の公認会計士・監査審査会（CPAAOB）が、2月27日に「監査の品質管理に関する検査指摘事例集」を公表しました。

http://www.fsa.go.jp/cpaaob/shinsakensa/kouhyou/20080227.html

正直これを読むと、このような調子で内部統制監査が果たして実施できるのだろうか？という気になってきます。それ以上に、監査法人ですらこんな状況なのに、果たして経営者が自ら内部統制の評価を適切に実施することなどできるのだろうか？という懸念もあります。

一方、これらの指摘事項がすべて解決するような監査を行ったらJ-SoXはどうなるか？ということも考えておきたいと思います。特に「５．監査業務の実施」については、監査を受ける立場の上場会社にも関係してくることですので、是非目を通しておいていただければと思います。

「(1) リスク・アプローチに基づく監査計画の立案② 重要な虚偽表示のリスクの評価」については、内部統制報告制度への対応にも影響を及ぼす可能性があります。というのも、上場会社側に重要な内部統制上の欠陥があると、もはや財務諸表監査を実施することが事実上難しくなるという判断を監査人側がせざるを得ない状況に追い込まれてしまう可能性がよりいっそう高まるからです。

「当監査事務所の監査実施者は固有リスクの評価を更新していない。」については、監査人独自で情報を収集し、独自で判断することになるとしても、その際に上場会社側が自ら経営環境の変化に応じて虚偽記載リスクを評価していればその結果を参考にするということは十分にありえます。逆に、上場会社が経営環境等を踏まえた虚偽記載リスクの評価を適切に行っていないとすれば、監査人としても監査リスクが高まるので、監査を受託するかどうかという判断をする際に問題となる可能性もあります。

「③ リスク対応手続の決定」には、「内部統制が有効ではなく、統制リスクが高いと評価しているにもかかわらず、内部統制に依拠した監査手続を実施している。」と書かれていますが、経営者自身による内部統制評価の結果、重要な欠陥があるとして内部統制が有効ではないと判断された場合に、監査人は内部統制に依拠した監査を実施できないということが徹底されるということを意味します。そして、例えば、販売プロセスや購買プロセスにおいて内部統制に依拠せずに実証テスト中心に監査手続を実施ということになると、かなりの時間がかかるか、または事実上監査実施が不可能ということにもなりかねません。もちろん、J-SoXの場合は内部統制全体にかかる有効性ですし、上記は部分的に有効ではないという場合も含むので、一概には言えませんが。

従来から監査人による内部統制の評価が不十分、または評価した結果依拠できない水準であるにもかかわらず、依拠できるものとして実証テストを十分に行っていないということはあったのではないか。ほんの数年前までIT統制をほとんど評価しないで内部統制に依拠した監査を実施していた時期がずっと続いていたことからも想像できます。でもそれではまずいということで、IT統制の評価を数年前から本格的に実施し始めたということは皆さんもよくご存知かと思います。つまり、この文言は、財務諸表監査がますます厳しくなり、時間もかかるようになることを意味します。そうならないようにするためにも、上場会社側も内部統制をきちっとしておく必要があると思います。

「(2) 経営者等とのディスカッション」については、監査人側が経営者ときちっと話をしなさいというのが趣旨ではありますが、裏を返せば、経営者も監査人とディスカッションできるよう、「企業及び企業環境の理解」「不正及び誤謬に起因する財務諸表の重要な虚偽の表示の可能性」についてディスカッションできるようにしておかなければならないということでもあります。そのためにも、内部統制構築の基本方針、基本計画策定の段階で、これらをきちっと把握･整理しておくことが重要ではないかと思います。

「(3) 継続企業の前提」について、「継続企業の前提に重要な疑義を抱かせる事象等が存在している被監査会社について、当監査事務所の業務執行社員は、経営計画の実行可能性に関する詳細な検討を行っていない。」とありますが、これは上場会社側からすれば、そもそも経営計画が適切に作成されておらず、実行可能性も明確に説明できない、という状態であるならば、監査人は監査上の結論を出せないため、最悪監査意見が出ずに上場廃止になる可能性もあるということでもあります。つまり、継続企業の前提に重要な疑義のある子会社等については、まずきちっと経営計画を作成し、親会社においてもその実行可能性を評価し、監査人に説明できるようにしておく必要があるということです。

「今後の事業計画の実行可能性の検討や増資資金の入金の確認等を行ったとしているものの、再生スキームや支援を引き受けるとされている主要株主について把握していないなど、継続企業の前提に関する注記の内容について十分な検討を行っていない。」についても同様です。上場会社としては、継続企業の前提の注記に係る内部統制を整備しておかなければならないということです。

「(4) 会計上の見積りの監査」については、もちろん、監査人側がそもそも監査手続を実施していないケースと、監査手続を実施しようとしたが、上場会社側の内部統制の不備、つまり見積の根拠がきちっと示されていない（文書化されていない）ために、監査手続の実施が不能というケースがあるかと思います。今までは、会社側の資料が少々不明瞭であったり不完全であっても監査人が許してくれたということもあったかもしれませんが、今後は、上場会社側から見積もりの根拠がきちっと示されない限り、監査人は重要な監査手続を実施できず、監査意見を出せないということになると思います。

以下、きりがないのでやめておきますが、要は、監査人のスタッフ不足、能力不足や怠慢で監査手続が実施できない場合はともかく、上場会社側の内部統制の不備によって監査手続が十分に実施できない場合には、ことごとく監査意見不表明という事態が起きうるということを念頭においておく必要があるということです。そして、このような監査手続に耐えうる内部統制の整備及び内部統制の証跡の確保を考えておかないとならないということです。

この指摘事項はそういう意味で、上場会社が構築すべき内部統制のレベル感を示すものとしても注目できると思います。

監査業界の恥をさらすようなものではありますが、敢えてご一読をお勧めしたいと思います。

この調子で内部統制監査に係る検査を実施されるとなると、内部統制監査において相当証拠固めをしなければならず、そのために、できるだけ客観的な根拠、文書を上場会社に対して求めるようになり、結果として「11の誤解」に書かれているような金融庁の望むような方向性には行かないだろうというように考えている人が少なくないと思いますが、どう思われますでしょうか？

EDINET XBRLに先立って行われたパブリックコメントの結果が公表されました。

「開示用電子情報処理組織による手続の特例等に関する内閣府令の一部を改正する内閣府令（案）」等に対するパブリックコメントの結果等について

http://www.fsa.go.jp/news/19/syouken/20080313-1.html

やはり、勘定科目の取り扱いに関する意見といおうか質問が多かったようです。これについては一読されることをおススメします。

特に、いわゆる別記事業に係る財務諸表の勘定科目について、追加の要請が多かったようですが、これらについては、いずれも当該勘定科目の今後の利用状況を見てEDINETタクソノミに追加するか否かを考えるそうです。あまり利用頻度の少ない特殊な勘定科目というのは、他社と比較することがないので、企業別タクソノミにおける勘定科目の追加（いわゆる「拡張」）によって対応しても、利用者側としては特に不便はないということでEDINETタクソノミに設定しないというのが基本的な考え方です。

また、逆にあまりに頻繁不定期にEDINETタクソノミを改訂してしまうと混乱が起きるということもあり、重要な会計基準や開示規則の変更がない限りは、期中でのEDINETタクソノミへの科目追加というのはないのではないかと思います。

その他、表示方法の変更の取り扱いやEDINETタクソノミから自社に合った勘定科目を選定する場合の考え方、勘定科目についた「等」の取り扱いなどが注目されます。

いずれにしても、いままでの表示科目がどうであれ、EDINETタクソノミに設定された勘定科目を使っても投資家の判断を誤らせない明瞭な表示がなされる限りにおいては、EDINETタクソノミの勘定科目を使ってほしいというのが金融庁の要請で、その場合には、正当な理由による表示方法の変更として取り扱うというということが重要なポイントです。また、変更の内容が明瞭に判断できる場合には変更の中身の注記は不要です。ただし、監査人も変更後の科目選択の妥当性は監査の対象としてみることになります。

なお、様式の体裁に関する財規の改正も行われるようです。

日本公認会計士協会（JICPA）は、待ちに待った内部統制監査の指針案をついに公表しました。8月13日まで意見募集中です。

監査・保証実務委員会報告「財務報告に係る内部統制の監査に関する実務上の取扱い」（公開草案）の公表について

http://www.hp.jicpa.or.jp/specialized_field/post_890.html

さて、あまりに長く難解な文章が続くので、ざっと目を通しただけですが、上場会社の皆様にも是非目を通しておいていただきたいと思います。

基本的には、（当然のことながら）実施基準の枠からは一歩も出ていませんし、先日の日経記事のように「緩和」されているわけでもありません。このタイミングで公表されているということは、おそらく金融庁から出されるであろうQ&Aの考え方とも整合性を取っているはずですので、Q&Aも実施基準の考え方を変更することはないのではないかと個人的には思います。

それはともあれ、まずは、プレスリリース本文に概要が記載されていますので、それをお読みになられることをお勧めします。

ポイントは以下のとおりです。

１．経営者と監査人の協議時期

　監査計画の策定より前、具体的には監査対象期間の相当初期の時点か、又は監査対象期間が開始する日以前が考えられること

　適用初年度においては、遅くとも来年の3月以前には監査人と協議を行って評価範囲等について決めるということになるのではないかと思います。

　さらに、本文では、監査人が監査と同時提供できるアドバイザリー業務（助言）等についても示されています。これによって、監査人が過度に保守的になって助言を躊躇するようなケースも徐々に少なくなってくるのではないかと期待されます。監査人にとっても、独立性の問題がクリアできさえすれば、初年度において内部統制の重要な欠陥や内部統制報告書の不適正が生じるリスクを回避するためにも、ある程度助言をすることも必要だと考えていると思いますので、今後は、監査人とのやり取りがいくらかスムーズになってくるでしょう。

２．内部統制監査の時期

　監査人は実施する内部統制の評価の検討の時期等に十分留意する必要があること

　逆にいえば、経営者は、監査人の監査実施時期と自らの内部統制評価実施時期について調整が必要になるということです。

３．業務プロセスに係る内部統制の評価範囲

　経営者が実施基準に示されたような手続に従い評価対象を適切に識別している限り、選定した重要な事業拠点の企業の事業目的に大きく関わる勘定科目残高のうちに連結財務諸表における当該勘定科目残高に対して、一定の割合（２／３）に達していないものがある場合でも許容されることを具体的な数値を用いて示したこと

　これは、実施基準の解釈上認められていたことではあると思いますので「緩和」ということが適切かどうかは疑問ですが、この指針案で具体的な数値を用いて示されたことは非常に重要です。

　また、一般事業会社以外の会社の場合の考え方が示されたことも重要です。

４．全社的な内部統制

　全社的な内部統制について、まずは、運用状況の評価について監査人が検討を行うことが従来の財務諸表監査と異なることが述べられています。そして、子会社を含む事業拠点における全社的統制の運用状況については、内部統制の同一性をモニタリングする内部監査が良好に運用されていることを前提に、親会社の本社等で評価の検討を行うことになるが、財務報告に係る重要な虚偽記載の発生するリスクが高いと判断される場合に事業拠点への往査の実施を検討することになるとの考え方が示されています。

　逆に子会社等の経営的独立性が認められており、内部統制の同一性が認められない場合には、それぞれの事業拠点ごとに往査する可能性もあるということです。監査人が往査するということは、その前に経営者が評価しなければならないということになります。

５．決算財務報告プロセス

　まず、全社的統制と同様に、運用状況の評価について監査人の検討対象となることが財務諸表監査と異なるという点について述べています。そして、ここで重要なのは、全社的な観点で検討することが適切と考えられる内部統制を例示するとともに、個別に評価対象に追加することが適切とされる内部統制の例とそれに対して実施する手続を示したこと、及び、決算・財務報告プロセスにおいては、表計算ソフトが広く用いられている現状を踏まえて、マクロや計算式の検証等の検討事項を示したことです。決算財務報告プロセスのうち全社的な観点で評価するものについて、実施基準だけではイマイチ具体性がなく、どうしたらよいのか困っていた向きもあったと思いますが、今回の指針案でそれが具体的にイメージできるようになったことは大変有意義です。

６．内部統制の重要な欠陥における重要性基準値の適用

　実施基準に掲げられた重要な欠陥に該当する全社的統制の不備の例が示されていますが、内容的には実施基準と変わりません。ただ、具体的にその影響をどう考えるかについての考え方が示されています。また、「連結税引前利益の概ね５％程度」については、例年と比較して連結税引前利益の金額が著しく小さくなったような場合や事業年度ごとに著しく変動する場合などは、金額的重要性の判断基準として当該数値を機械的に適用することは適当でないことを示し、このような場合には、財務諸表監査における重要性判断基準と同様に、実態に応じ、比率の修正や最近数事業年度の平均値を用いること等を検討する。としています。

　これも監査人にとっては極当たり前のことですが、ここで明らかにされたことによって、上場企業側にも考え方が伝わるという意味では大変重要です。これも、「緩和」とはいえないものではあると思います。

　以上、ざっとご紹介しました。日経記事の方向性は間違っていなかったものの、実施基準が「緩和」されるというのはいいすぎではないかということが、これを読むとよくわかると思います。

　一般の方には至極難解な指針案ではありますが、是非挑戦してみてください。

一太郎で有名なジャストシステムが、EDINET対応ツールの試用版を発表しました。

xfy XBRL EDINET対応版（試用版）

http://www.xfy.com/jp/edinet_trial/index.html

XBRLに詳しくない担当者でもEDINET作成データを提出できる、というのが売りのようです。

上記URLより無償ダウンロードできます。

これを使って、EDINETパイロットプログラム用のXBRL文書を作成し、提出できるとのことです。一方、XBRLデータを利用して分析や資料作成などの 活用を行う機能もあるそうです。

このツールを使って、EDINETパイロットプログラムに参加できない上場企業や利用者側が、ためしにEDINETタクソノミによりXBRLインスタンスを作成し、それを分析するような実証実験または体験が可能なのかとも思い、ライセンス条件を読んでみたのですが、

2.2 開示書類の作成・提出
本ソフトウェアを利用した開示書類の作成・提出は金融庁が実施する「EDINET再構築に伴うパイロット・プログラム」に限られるものとします。

と書いてある。これが、EDINETパイロットプログラムに参加する企業がパイロットプログラムにおいてXBRL文書を作成する場合のみ使用可能ということなのか、それとも、本番では使わないこと、ということを言っているに過ぎないのかがイマイチわかりません。せっかく分析機能がついているのですから、単に作成だけでなく、分析機能も試してみたいのですが。。。機会があれば、ジャストシステムの方に確認してみたいと思います。

ジャストシステムといえば、一太郎やATOKというイメージでしたが、最近はこのXMLツール「xfy」にとても力を入れています。数年前からXBRL対応を謳っており、様々な機会にデモを行っています。技術の専門家ではないので、いまいちピンと来ないのですが、サーバサイドではなくクライアントサイドで使えるということで、個人投資家などにとってもかなり色々な使い方ができそうです。それだけに、実際に手にとって確かめたいのですが・・・。

本日午前中の企業会計審議会総会で、J-SoXが正式に決定しました。

「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」

http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.html

企業会計審議会総会資料は

http://www.fsa.go.jp/singi/singi_kigyou/siryou/soukai/20070215.html

あとは、Q&Aなどがでるかもしれません。それと、内部統制監査については、日本公認会計士協会（JICPA）での対応もあります。この中でどのくらい具体的なものがでてくるかも注目です。

まずはご覧あれ。

とはいっても、あまりに多いので、まず、末尾の（参考図１～３）と企業会計審議会資料１－２「財務報告に係る内部統制の整備」をしっかり頭の中に叩き込んでおきましょう。それが、「木を見て森を見ず」にならないポイントです。

そういえば書いてありますね。３点セットについての八田先生のお考え。

「なお、記録の形式、方法等については、一律に規定されるものではなく、企業の作成・使用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることに留意する。」（実施基準P.54）

内部統制の陰に隠れるXBRLではありますが、最近、上場会社の間でにわかに注目を集めつつあります。

そんな中、3月13日（火）に東京証券取引所、XBRL Japan、日本公認会計士協会主催で、XBRLシンポジウムが東証で開催されます。

「ディスクロージャーの高度化とXBRL」

～公正、正確、迅速な企業情報開示の促進に向けて～

http://www.disclosure.tse.or.jp/event/symposium.html

東証が2月から3月にかけて行うディスクロージャー促進月間というイベントの中の一つとして行われます。

主として、来年に予定されているEDINET及びTDnetでのXBRL本格採用に関連した内容になっています。金融庁や東証ホームページで公表されていることだけでは、EDINETやTDnetが具体的にいつどうなるかということはいまいちよくわからないのですが、果たしてここで何らかの方向性が見えてくるのでしょうか？

また、この紹介ページをみると、Mr.内部統制　八田進二教授の内部統制に関する講演も予定されているようです。このころは、すでにJ-SoXも最終版が確定し、内部統制報告書の雛形などもある程度見えてきているかもしれないというタイミングなので、注目です。

前にも書いたと思いますが、内部統制をやっている人には、XBRLに注目している方が少なくないので、今すぐにとはいわないまでも、将来的には、内部統制におけるXBRLの活用というのもクローズアップされてくるのではないかと思います。

まだ、プログラムの一部しか公表されていませんが、続報が入り次第、ここでもご紹介します。

昨日、企業会計審議会内部統制部会より、内部統制評価・監査基準、実施基準最終案が明らかにされました。企業会計審議会総会で最終決定となります。金融庁ホームページに掲載されています。

http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20070131.html

昨日午前中に用事があって、霞が関合同庁舎4号館に行ったら、本日の会議予定のところに企業会計審議会内部統制部会の開催予定が書いてあったので、ひょっとしたらと思いましたが。開催が夕方だったため、HP掲載も今日になったのでは。

それはともかく、中身をみるとMS-Wordの修正履歴をそのままPDF化されて見ることができるようになっています。これはとても助かります。今回のITに関する変更箇所を中心に、独断と偏見で気になった点を。

全体的に細かいところで表現の適正化、字句の整合性の確保が行われているという印象です。

１．実施時期の明記

「本基準及び実施基準は、金融商品取引法により導入される内部統制報告制度の適用時期と合わせ、平成２０年４月１日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用する。」

と明記。(前文）

２．内部統制報告制度の目的（実施基準P.4）

「金融商品取引法で導入された内部統制報告制度は、経営者による評価及び報告と監査人による監査を通じて財務報告に係る内部統制についての信頼性を確保しようとするものであり、」

表現を変えただけにも見えるのですが。「財務報告に係る内部統制についての信頼性」という概念が出てきていますが、「内部統制についての信頼性」という言い方は、検索したところ全文を通じてここにしか出てきません。一般的に使われている用語ではあるのですが、具体的にどういうことをさすのか、有効性と何が違うのか、など説明がほしいところです。評価するのはあくまで内部統制の有効性ですが。。。

３．統制環境の有効性を確保するためのＩＴの利用（実施基準P.16）

「一方で、ＩＴの利用は、例えば、経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく組織内の通信記録の保全など適切な統制活動が必要となることにも留意する必要がある。」

この例示は、私もどうかなと思っていました。通信記録を保全するだけでは防止にはならないような気はしますし。もっとも、本当にやばいことやる人は、社内メールなど使わないとは思いますが。

４．重要な欠陥の判断指針（実施基準P.31）

ずいぶんわかりやすい表現になったと思います。もっとも、それでも「わかる人にはわかるようになった」という感じではありますが。

５．業務プロセスに係る評価の範囲の決定（実施基準P.35）

・総勘定元帳から財務諸表等を作成する手続

これはわかりやすい！ついでながら、XBRL化する作業は、ここに含まれるのではないかと思います。

６．② 評価対象とする業務プロセスの識別(実施基準P.37）

「一般に、原価計算プロセスについては、期末の在庫評価に必要な範囲を評価対象とすれば足りると考えられるので、必ずしも原価計算プロセスの全工程にわたる評価を実施する必要はないことに留意する。」

確かに期末の在庫評価だけのことを考えればそうかもしれませんが、逆に言えば、期末在庫が残らない場合には、原価計算プロセスの全工程にわたる評価を行わなくてもいい？建設業とかソフトウェア開発受託業のように個別原価計算を行っているところでもそうなのでしょうか？いまいち意味がよくわからないので、この部分を追加した趣旨というのを是非聞いてみたいです。

７．「流れ図」

フローチャートを「流れ図」という言葉に替えたようなのですが、何もそこまでしなくても・・・。フローチャートの方がいまや一般的のような気が。

８．全社的な内部統制に不備がある場合(実施基準P.50）

「ｄ．ＩＴのアクセス制限に係る内部統制に不備があり、それが改善されずに放置されている。」

から次のように変更

「ｄ．財務報告に係るＩＴに関する内部統制に不備があり、それが改善されずに放置されている。」

確かに原文は全社的統制とはいえないので、修正する必要はあるものの、修正後の事例というのもいまいちぱっとしない。こういうこというなら「ITに関する」に限る必要がないのかな。というところでなかなか難しい。

９．記録の保存（実施基準P.54）

「適切な範囲及び方法（磁気媒体、紙又はフィルム等のほか必要に応じて適時に可視化することができる方法）により保存することが考えられる。」

電子化して保存するケースを想定していると思われますが、媒体の話と方法の話と見読性要件が一緒に書かれているのでちょっとわかりにくい。e-文書法とか電子帳簿保存法のいいまわし（見読性）に合わせてくれるとありがたいのですが。電子化されている場合には、「見読性」は保存方法と言うよりは、保存するファイル形式に応じた閲覧用アプリケーション及びハードを用意し、必要な時にいつでも目で見るために使えるようにしておくということかと思いますがどうなのでしょう？一応、法律に基づいて行う制度における書類等の保存に関する記載なので、やはり、法令で使われている「見読性」要件に準じた書き方にしていただければ。内部統制の世界で「可視化」というのは、単に目で書類が見えるということではない、もっと深い意味があると思いますし。

１０．ロ. ＩＴに係る全般統制の評価の検討（実施基準P.73～74）

「なお、販売されているパッケージ・ソフトウェアをそのまま利用するような比較的簡易なシステムを有する企業の場合には、ＩＴに係る全般統制に重点を置く必要があることに留意する。」

これも今回加えられたようですが、なぜこれが加えられたのか、趣旨を知りたいと思います。まるでパッケージソフトの評価は監査人はしなくてもいいといっているようにも思えるのですが、中小企業用会計パッケージソフトの中には、業務処理統制があまり組み込まれておらず、データの改ざんが容易で改ざんの履歴が残らないようなものもないきにしもあらずなので（入力情報の完全性、正確性、正当性等を確保するための手段があまり組み込まれていないなど）、機能をよく把握しておかなければならないと思います。ただし、このあとの業務処理統制のところに

「また、ＩＴを利用して自動化された内部統制については、過年度の検討結果を考慮し、検討した時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を検討した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該検討結果を継続して利用することができる。」

というのがあり、パッケージソフトは、基本的にユーザー企業では変更ができないので、導入時に業務処理統制を評価してしまえば、あとは全般統制だけ評価すればよい、とも読めるのですが、その理解で正しいのでしょうか？でも、中小企業用の比較的簡易なパッケージソフトには、もともとITを利用して自動化された内部統制」があまりなく、手作業との組み合わせでの統制が中心になると考えると、果たして全般統制の評価だけで大丈夫か不安が残るところです。いままでの監査実務でも実際には会計パッケージソフトの評価というのはあまり行ってこなかったのですが、本当は必ず行わなければならないともいわれていました。

実際に、変更履歴を残さない機能をオプションとして持っているパッケージ会計ソフトウェアがあり、上場会社でも電子帳簿保存法を適用しない場合には、変更履歴を残していない可能性がありますが、監査上、それでよいのでしょうか？会計システムに係る内部統制の不備は、即重要な欠陥に結びつきうるので、慎重な対応が必要ではないかと言う気もするのですが。中小企業は処理誤り及び修正が多いため、いちいち履歴を残しておくと帳簿がみづらくなるということかと思いますが、上場会社の場合には修正件数などというのも内部統制のレベルを図る目安になると思いますし、だいたい、修正履歴を残したらみにくくなるほど修正が多いのであれば、重要な欠陥とまではいえないものの、レベルアップが直ちに必要といえるでしょう。

「全般統制に重点を置く」ということにしたとしても、では、業務処理統制はどの程度までみればいいのかがいまいちわからない。実証テストを省略できるとかそういうことなのか。あとは、会計士協会がIT委員会報告等で出すのでそれを参照ということなのでしょうか？

それと、経営者の側からしてみれば、ある会社の会計パッケージソフトを買って使っていたら、それが「重要な欠陥」になってしまった、ということでは困るわけで、重要な欠陥にならないための最低限のコントロール機能が組み込まれた会計パッケージソフトを選ぶための目安みたいなものが必要なのではないかと思いますし、そういうことが前提にあって監査人も全般統制に重点をおくことができるのではないかと思いますが、この目安が正直ないのが現状。経産省あたりでガイドライン的なものを作ってくれるとよいのですが。

もしかして、このように思うのは読み方がそもそも間違っている(誤解）のでしょうか？どう理解していいのか、あまり自信がありません。

どなたか教えてください！！！！！

１１．小規模企業（前文P.6～7）

「なお、実施基準では、企業等を取り巻く環境や事業の特性、規模等に応じて、内部統制を整備し、運用することが求められており、内部統制の構築・評価・監査に当たって、例えば、事業規模が小規模で、比較的簡素な組織構造を有している企業等の場合に、職務分掌に代わる代替的な統制や企業外部の専門家の利用等の可能性を含め、その特性等に応じた工夫が行われるべきことは言うまでもない。」

小規模企業に例外を！という願いもむなしく、原理原則論で押し通された、と解釈する向きもあるようですが、小規模上場会社での不祥事がこれだけ多発していると、おそらく絶対に譲ることができないところだったのでは、と思います。むしろ、この制度そのものが小規模企業、特に上場して間もないようなベンチャー企業に向けられていることは明らかで、これ以上、ベンチャー企業で不祥事が発生することは、ベンチャー育成機運、さらにいえば、新事業による産業活性化という国策の足かせになりかねないという危機感はあるのではないかと思います。結局、監査人やコンサルの腕の見せ所、ということになるかと思うのですが、果たしてできる人がいるのか。。。このネタは後日取り上げたいと思います。

と、こんな感想です。

あとは、内部統制報告書の雛形が出るのを待つばかり。最終成果物のイメージがわかないと、いまいち全体の流れがつかめません。監査報告書の方は監査証明府令とJICPAの方で出されるのでしょうか。

いかん、こんなこと書いている場合じゃない！チェックしなければならないものがこんなにあるのに・・。

経済産業省は、1月19日に「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」の公開草案を公表しました。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJCD=100595&GROUP=

これは、企業会計審議会の「実施基準」に対し、IT統制にかかる具体的な指針を示そうというものです。

いくつか気になる点を。

１．IT全社的統制

　この言葉は、比較的目新しいのではないかと思います。考え方そのものは従来からシステム管理基準・監査基準に存在したものの、「実施基準」が全社的な内部統制の評価という考え方を明確にしたことに対応して整理されたのではないでしょうか。J-COSOの内部統制の要素と関連付けられて説明されていますが、この中でも、統制環境、リスクの評価と対応、情報と伝達、モニタリングに関する全社的統制の評価というのは重要ではないかと思います。

２．基準作成者

　この基準の作成に関わった人物を見ると、以下の3つのことに気づく。このメンバー構成が、この基準の中身にも影響しているように思えるので、一応気づいたことを書いておきます。ほとんどの人物は、複数の肩書きを持っており、その時々の立場によって使い分けているため、構成メンバー表だけだとなかなかその性格は明らかになってきません。

（１）公認会計士

　この基準の作成に関わった人物の名前を見ると、公認会計士として財務諸表監査を経験し、その中でIT統制を評価してきた人物、及び日本公認会計士協会IT委員会等において監査人によるIT統制の評価の実務指針のようなものを作成してきた人物が多いのに気づきます。つまり、システム系ではなく監査系の発想というのが背景にあり、財務諸表監査におけるIT統制の評価を実施した際の苦労、問題点を十分にわかっている人物です。従って、監査系とシステム系という同じシステムに関わりながらまったく人種、文化、発想が異なる人々をいかに結びつけるかということに気を使っているように思えます。財務諸表項目に関する経営者のアサーションとIT統制目標の関係をどうやってわかりやすく伝えるかということです。この問題はある意味J-SoX対応のキモでもあるので、後日取り上げようと思います。

（２）EA専門家

　次に、EA(Enterprise Architecture）の専門家が少なからず含まれているということです。彼らは、内部統制とEAの関係を重視していますが、たとえば、システム調達に係る統制のところには、EA的な発想が見え隠れしないでしょうか？政府のIT調達にはEAの手法が用いられていることはよく知られています。COSOとEAはもともと出所、切り口が違うようで、両者の関係をうまく説明することに成功している例をほとんど知らないのですが、業務要件の定義というところや情報の流れをつかむというところでつながるのでしょうか。

（３）XBRL専門家

　最後に、何人かはXBRLにも注目しており、内部統制におけるXBRLの活用について取り組んでいます。なお、金融庁のEDINETへのXBRL導入もEAの考え方に基づき進められており、EA専門家の間ではこれとは別にEAとXBRLの親和性というものも理解され始めています。

　こんな背景を頭に思い浮かべながらこの基準を読むと、彼らの熱き思いが伝わってくるかもしれません。

日本公認会計士協会（JICPA）監査・保証実務委員会は、平成１９年１月１５日に監査・保証実務委員会研究報告第19号「重要な虚偽表示のリスクの評価手法」を公表した。

http://db.jicpa.or.jp/visitor/search_detail.php?id=1003

これは、改訂監査基準（平成17年10月28日付け）及び監査基準委員会報告書第27号「監査計画」をはじめとした一連の監査リスクモデル関連の報告書を踏まえ、監査委員会研究報告第15号「経営環境等に関連した固有リスク・チェックリスト」及び同第16号「統制リスクの評価手法」の見直しを行い、新たな研究報告として取りまとめたものである。

監査人が従来の公認会計士監査の一環として行う内部統制の評価（統制リスクの評価）については、旧第１６号「統制リスクの評価手法」から引継ぎ、最新の状況に合わせてアップデートされている。

企業が自ら行う内部統制の評価や監査人による内部統制監査の手法そのものではないが、基本的な考え方はまったく同じといってもよい。各論に入る前に、「実施基準公開草案」とあわせてこの研究報告を読むことによって、財務諸表の適正表示（またはその逆としての虚偽記載が生じるリスク）との関係における内部統制評価全体像、フレームワークをよりよく理解することができる。公認会計士のための専門用語を駆使した難解な文書ではあるが、調書のサンプルなどもあるので、是非目を通していただきたい。