XBRLと内部統制、J-SoX: 経済・政治・国際

携帯URL

携帯にURLを送る

2009年4月
日	月	火	水	木	金	土
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

最近のトラックバック

内部統制監査実務指針改正案公表 (内部統制の勉強を記録するブログ)
[法律]「内部統制報告制度に関する11の誤解」批判 (漉餡大福日記)
日本公認会計士協会「ITに係る内部統制の枠組み」確定版を公表 (日本版SOX法（J-SOX法）と内部統制とは,JICPA IT統制枠組み確定版)
SOX法対策 (SOX法対策SOX)
リスクアプローチ/リスクアプローチ (なるほどキーワード)
コンプライアンスとは？ (J-SOXとは？)
米国公認会計士 (資格の品格 )
長期的支払能カの分析 (経理の現場とＩＰＯと)
確定申告に行ってきました！！ (東京〜沖縄　移住diary)
支払能力をチェックする (経理の現場とＩＰＯと)

2009年4月 3日 (金)

J-SoX Q&A再追加公表

以前予告したとおり、金融庁は4月2日に、「内部統制報告制度に関するＱ＆Ａ」の再追加を公表しました。

新たに主として以下の内容の24問を追加。

◇「重要な欠陥」の判断（問68～70、75、77）

◇子会社の売却・業績悪化等により重要な事業拠点の選定指標が一定の割合に達しない等の場合の取扱い（問73、74）

◇内部統制報告書の記載内容（問101～107）

重要な欠陥については、判断基準や金額的影響額の算定方法といったことではなく、実務的に決算早期化の影響でチェック前の決算書を監査人に見せて指摘を受けた場合とか、決算短信の修正があった場合に、直ちに重要な欠陥になるわけではないといったことが記載されています。

「内部統制報告書の記載内容」は、いわば記載例、文例ともいえます。いままでずっと「記載例は公表しない」といい続けてきた金融庁ですが、アンケートや問い合わせの結果を踏まえ、実務の混乱が予想されることに配慮したのでしょう。

一応、「記載内容については、各企業の実情等に応じて記載することが適当であり、記載内容の例については、あくまでも参考であることに留意する必要がある。」という立場は崩していないものの、事実上のスタンダードになるのではないかと思われます。

この中には、監査人の過度な要求（といおうか、実施基準に対する誤解による誤った指導）により、期末直前になって評価範囲の変更を余儀なくされそうになっている上場会社にとっては「救い」となるようなものが含まれています。

例えば

「企業が重要な事業拠点を選定する際の一定割合として、「概ね２/３」というように選定の方針を記載しているのであれば、実績値は不要であり、方針とした一定割合を記載することで足りるものと考えられる。」

というのであれば、業績の変動等があっても2/3を絶対に割り込まないように、保守的に評価範囲を広めに取っておくといったことも必要なくなります。

今回一番驚いたのは、内部統制報告書文例の中で、「内部統制を整備せず評価を実施しなかった場合」の文例が示されていることです。こんなことは元々想定外ではあったはずですが、実際にふたを開けてみると、こういう上場会社も現実に出てくる可能性が十分あるということと、仮に、「内部統制を整備せず評価を実施しなかった」ということで、結論不表明の内部統制報告書を提出し、同じく監査意見不表明の内部統制監査報告書が提出されてもペナルティがないこともあり、初年度はある程度やむなし、という実質的な救済策を提示したともいえます。しかも「やむをえない事情で」評価できなかったということではない以下のようなケースを想定していることには正直驚きを隠しえません。

「財務報告の信頼性に関するリスクの評価と対応を実施しなかった理由は、連結グループ全体において、間接部門を中心に人員を削減しており、連結子会社において経理及び財務の知識・経験を有した者をリスクの評価に従事させることが困難であったためである。」「一方、財務報告に係る内部統制の整備及び運用の重要性は認識しており、これらの人員の制約はあるものの、環境を整備し、今後×年間で評価を完了させる方針である。」

これで許されるなら、今までの苦労は一体なんだったのか？と怒られる方もいらっしゃるかもしれません。整備を数年かけて、ではなく、評価そのものも数年かけてということなのです。

おりしも世界的な不況で、リストラが盛んに行われつつありますが、それで内部統制評価ができなくてもやむなし、というくらいの感じにも見えます。制度は導入するが、実質的には出来なくても仕方がないという妥協です。制度の緩和または「徳政令」といってもいいかもしれません。ただ、元々、評価自体が目的というよりは、内部統制を整備して適切な財務諸表を作成することが目的なので、そういう意味では、極めて現実的な解決をしたのかもしれません。

いずれにせよ、かなり衝撃的な内容も含んでいるので、是非早いうちに目を通されることを強くおススメいたします。

投稿者 AH 時刻 01時05分ニュース, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2009年4月 1日 (水)

XBRL化期末決算の留意事項

３月決算期末を迎え、金融庁と日本公認会計士協会（JICPA）から、相次いでXBRL化に伴う留意事項が公表されていました。

まず、金融庁

「XBRL形式による有価証券報告書の作成・提出に際しての留意事項について（平成21年３月期版）」
http://www.fsa.go.jp/search/20090327.html

内容は以下の通り。

・使用するEDINETタクソノミ

・EDINETタクソノミの更新に伴う勘定科目の変更

・XBRL作成ガイドの改正

・XBRLの対象

・表示方法の変更の取扱い

・個別、連結、中間又は四半期等の各種財務諸表間で共通の勘定科目の取扱い

・株主資本等変動計算書

とにかく、勘定科目が細かく、各社バラバラの個別財務諸表のXBRL化は今回が初めてということで、どのように運用されるか、どのようなXBRLデータが登場するのか。

他にも内部統制報告書をはじめ、改正点が多いので、時間切れで十分に勘定科目をどうするかといった検討や表示方法の変更の記載がおろそかにならないよう、早めに準備するしかありません。最後、財務諸表が間違っていたら、元も子もありません。

次にJICPA

「有価証券報告書に記載される財務諸表等の表示方法の変更等に係る監査人の留意点」
http://www.hp.jicpa.or.jp/specialized_field/post_1111.html

金融庁のものが有価証券提出会社向けであったのに対し、こちらは監査人向け。金融庁が公表しているガイドラインなどを監査人に理解させ、EDINET XBRL化に伴う勘定科目標準化の流れやEDINETタクソノミの勘定科目表示に変更した場合の「表示方法の変更」の取り扱いについて、正しく理解したうえで、監査上の判断をさせようという狙い。

元ネタは、金融庁の「勘定科目ガイドライン」なので、金融庁とJICPAが書いていることは同じですので、JICPAの方は上場会社の方はお読みにならなくてもいいかもしれません。ただ、監査人と勘定科目変更について協議する際には、JICPAの通達を見せながらやるとよいかもしれません。J-SoXと違って、XBRLの場合には、「米国の提携事務所のマニュアルがこうなっているから・・・」みたいなことは言わずに、金融庁やJICPAのマニュアルにはあえて従わないということはないでしょう。

ただ、監査人が絶対にNo!といわないかといえばそれは全く違います。「継続性」だけを盾に変更を認めないと言っているなら監査人の側がおかしいですが、そもそもEDINETタクソノミ上の勘定科目の選定自体がおかしい場合には、当然監査人は他の適切な勘定科目を選ぶよう指導しなければなりません。あくまでも、勘定科目の選定が適切であることを前提に変更が認められるのです。

難しいのは「似て非なるもの」をどう判断するかです。特に販管費の勘定科目には似たようなものが設定されていますし、どれが一番自社の実態をあらわすか選択に困るケースも出てくるでしょう。であれば面倒なので、今まで使っていた勘定科目を追加するということになるかもしれません。

似たような勘定科目が設定されているのは、勘定科目を標準化しようという流れと同時に、できるだけ各社が難しい勘定科目の追加作業をしなくてもよいようにという配慮もあります。英語の勘定科目を設定しなければならなかったり、設定する項目が多くて間違えたりするリスクが高まります。できればあらかじめ設定されている科目の中から選びたいということもあるでしょう。

さて、当初は決算短信の財務諸表もXBRL化される予定でしたが、残念ながら延期になってしまいました。システム開発の関係と説明されていますが、上場会社の立場からすれば、決算発表までに勘定科目を選ぶだけで精一杯で、自社で勘定科目を追加する作業などまで手が回らない可能性もあったので、６月まで提出期限の余裕がある有価証券報告書を作成する際にじっくりと勘定科目追加作業をしてもらい、それをベースに翌年度以降の微調整を経て提出してもらう方が安全だということにはなると思います。

なお、四半期はXBRL形式で出すことになります。

とにかく、勘定科目を変更する場合には、金融庁とJICPAの上記文書を見せながら、早めに監査人と協議しましょう。

投稿者 AH 時刻 21時38分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2009年1月27日 (火)

2009年3月期用EDINETタクソノミ案公表

金融庁から、2009年3月31日以降終了事業年度用のEDINETタクソノミ及び関連資料の改訂案が公表されました。

EDINETタクソノミの更新に伴う各種関連資料（案）の公表についてhttp://www.fsa.go.jp/search/20090126.html

主な改正内容は

・会計基準の新規制定、改正等に伴う財務諸表等規則などへの対応
（たな卸資産会計、リース会計、資産除去債務など）

・四半期、中間などの作成状況を踏まえてのB群科目の追加、業種別タクソノミの見直し

・説明資料の加筆

です。

平成21年2月24日（火）まで意見募集をしています。

追加してほしい勘定科目、説明を加えてほしい事項などについて、意見を提出することになると思われます。

このタクソノミの公表により、3月決算の企業別タクソノミを作成する場合には、2008年版ではなく、この2009年版を改めてインポート（参照）することになります。

改正点だけでも目を通されておくことをオススメします。

投稿者 AH 時刻 23時18分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2009年1月23日 (金)

JICPA 内部統制監査実務指針改正案公表

日本公認会計士協会は、内部統制監査実務指針改正案を公表しました。

「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について」（公開草案）の公表について
http://www.hp.jicpa.or.jp/specialized_field/82_2.html

主な改正点は、

・IT全般統制の不備の取り扱い

・全社的統制の不備の取り扱い

・重要な欠陥の判断基準の明確化

ですが、記述は若干詳しくなったものの、なおかつこれだけ読んでも具体的なイメージが思い浮かばないというのが読んでみての実感です。

特に重要な欠陥については、重要な誤謬が「発生可能性」を判断するのがなかなか難しい。統制エラーの発生可能性を運用テストにおける統計的サンプリングである程度推測することはできますが、統制エラーが必ずしも会計処理の誤謬や不正に結びつくわけではないので、統制エラーから財務報告の重要な虚偽記載の発生可能性を推測するのはかなり困難。もちろん、統制エラーによって虚偽記載が生じるケースもありますが、多くの場合、上司がちゃんとみていなくても担当者がちゃんとやっていれば誤謬は発生しません。

などと考えているとますますわからなくなります。

理屈では説明できても、現実にはとても難しい判断です。監査人もとても困惑するのではないかと思うのですが。

理解できるかどうかはともかく、最低限目を通されておくことはオススメします。

投稿者 AH 時刻 22時49分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (1)

2008年10月22日 (水)

金融庁、第一四半期報告書XBRL化の結果報告を公表

金融庁は、10月21日に「第１四半期に係る四半期報告書におけるＸＢＲＬデータの提出結果」を公表しました。

http://www.fsa.go.jp/search/20081021.html

これによれば、初めてXBRL化された四半期報告書の提出は大きな混乱もなく順調に行われたとのことですが、提出されたXBRLデータの一部において改善すべきと思われるものが発見されたそうです。

金融庁では、これら改善すべき事項の例を取りまとめ、既にEDINETへ提出済みのXBRLデータについても、これらに該当するものを発見した場合にはXBRLを修正のうえ再提出を検討するよう呼びかけています。

XBRL化に伴い四半期連結財務諸表規則等が改正になっているにもかかわらず、その趣旨が理解されずに誤って作成している例が見られるようです。

以下、金融庁が掲げている改善すべき事項についてコメントしてみます。具体例は金融庁HPをご覧ください。

１．勘定科目の選択にあたり、EDINETタクソノミの勘定科目を使用せずに、同等の勘定科目を独自の科目として追加している例

(1)EDINETタクソノミの勘定科目と同一表記かつ同一意味（財務諸表における区分及び各種定義等が同一）の勘定科目を追加している例

これは、タクソノミに当該科目があるのを見つけられなかった。並び順が自社と違った。業種が違うなど理由が色々あると思いますが、一般的には、EDINETタクソノミの科目を使う必要があります。印刷会社に自社のやり方が一般的に適切なのかを確認したうえで、訂正及び第2四半期に向け対応する必要があります。

(2)EDINETタクソノミの勘定科目と表記は異なるが、同一意味である勘定科目を追加している例

これについては、今回のEDINET XBRL化に伴う勘定科目変更の取り扱い及びその趣旨を十分に理解していなかったケースが多いのではないかとも思われますが、正当な理由による表示方法の変更ということで認められます。絶対にあってほしくないですが、監査人がこの取り扱いを理解せず誤った指導をしているケースがなかったか懸念があります。これについても、訂正及び第2四半期に向けての対応が必要かと思われます。なお、同一意味かどうか微妙なケースもありますが、そこは監査人と協議ということになるかと思います。同一といえるかどうか微妙な場合に無理してEDINETタクソノミの科目を使うことまでを強制しているわけではありません。

(3)EDINETタクソノミの勘定科目と同一表記かつ同一意味であるが、英語表記の異なる勘定科目を追加している例

これは、当初からある程度予想されたことではあります。つまり、例えば、日本語で「売掛金」といっても、英語では実に様々な科目表記が使われており、また、海外投資家からの訴訟リスクなど考えた場合に、いかに金商法上「参考情報」であってもおろそかにできない、という事情があります。グローバル化した大企業ほどその傾向が強いですから、なかなか解決しないのではないかと思います。参考情報である英語科目表示のために、本来の趣旨がゆがめられるというのは本末転倒ではないかと思います。金融庁としてもやり方の見直しを検討すべきではないかと個人的には思っているのですが。

(4)区分損益を示す勘定科目を追加している例

これについては、明らかに理解不足ということかと思います。時間があれば恐らく印刷会社のほうで修正したのではないかと思われますが、これも訂正・見直しが必要かと思います。

２．企業別タクソノミの設定にあたり、計算リンクの設定を誤っている又は設定が漏れている例

これについては、印刷会社のほうできちっとチェックしてもらうしかないでしょう。

３．報告書インスタンスでの金額設定にあたり、入力値の桁数を誤って設定している例

これは、原因はわかりませんが、表示単位が異なる財務諸表同士を比較する際には円単位をベースに比較するので、おかしな結果が出てしまいます。「金額入力は円単位」「画面表示のための金額単位は別途設定」という考え方を覚えておきましょう。これも、明らかな間違いなので訂正が必要です。

４．提出されたXBRLデータより、一部の財務諸表が欠落している例

これは、提出時の不注意ということになるとは思いますが、XBRLデータを提出しなければHTMLデータも作成されないため、EDINET上一部欠落した財務諸表が画面表示されることになり、仮登録した段階でチェックすればすぐにわかるはずです。また、監査人も正式なものではないものの、自分たちが監査した対象の財務諸表とEDINETに掲載された財務諸表が同一かどうかを確かめることになると思いますので、その段階でも気がつきそうなものですが、どうなのでしょう？

５．その他の留意点

・債権又は固定資産等に係る純額表示又は総額表示の際に使用する勘定科目

これは今回の財規等の改正でXBRL家に伴い変更になった点ですが、純額表示の場合には「（純額）」とついた科目を使用することになります。今までなじみがない科目で、戸惑ったのかもしれませんし、減価償却の表示の仕方がよく理解できていなかったということかもしれません。監査人がHTMLをチェックする時にも気づくはずなのですが。これも、早めに対応しておけば印刷会社のほうである程度指導してくれたはずですので、第2四半期に向け、速めに印刷会社と調整しておくとよいと思います。厳密にいえば、「（純額）」がついていなければ四半期財規違反ということになり、XBRLデータだけではなくHTMLデータも訂正（つまり訂正四半期報告書）ということなのですが、そこまで求めているのかどうかは定かではありません。

・各企業で追加した勘定科目の英語名称

これも、中小規模の上場会社では英語開示のノウハウがなく、こういうことが起こりうるということはある程度予想はされていましたが、果たして改善されるのでしょうか。

他の項目については、本来印刷会社のほうでチェックしていれば防げたミスではありますが、初めての四半期決算と重なったということもあり、恐らく時間がなかったのでしょう。タクソノミそのものは決算が締らなくても先に作っておくことは可能ですし、第2四半期では第一四半期で作成したものを使うことになるので、今のうちに見直すべきものは見直し、先にタクソノミの修正をしておいた方がよいのではないかと思います。年度決算についても早めにタクソノミを作成し、印刷会社や監査人（表示方法の変更の場合）にチェックしてもらうべきでしょう。

なお、日本公認会計士からは、監査人に対して同様の通達が出されています。

「第２四半期以降のＸＢＲＬ形式による四半期連結財務諸表等の作成に向けた監査人の留意点について―　第１四半期の四半期連結財務諸表等の分析を踏まえて　―」

http://www.hp.jicpa.or.jp/specialized_field/post_1060.html

こちらにも目を通していただくことをオススメします。監査人とも、事前に該当する事項がないかを確かめておかれてはいかがでしょう。万が一にも「知らなかった」などということはないと思います。

投稿者 AH 時刻 23時33分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年10月18日 (土)

「重要な欠陥」の影響を憂う

現時点で議論することは時期尚早かもしれませんが、個人的には、内部統制報告書において「重要な欠陥」があり、かつ改善されていない旨が記載された場合に、経営にどのような影響が出るかを、「危機管理」の一環として考えておく必要はないのかということが気になっています。

著名な会計士や学者の先生は、制度の趣旨は、内部統制を改善していくことにあるのだから、初年度はどんどん重要な欠陥を出した方がよいというようなことをおっしゃいますし、取引所も重要な欠陥があることをもって上場廃止の対象にはしないということは明らかにしてはいますが、だからといって、重要な欠陥が次から次へと開示された場合に、上場廃止にならないからいい、で済まされるのでしょうか？昨今の株価の状況や、実体経済の悪化に伴う企業の業績悪化という不安定要因がある中で、仮にそれが経営に直結しない内容であっても、株価にネガティブな影響を与える可能性が皆無といえるでしょうか？　最悪のシナリオでは、株価下落→信用不安→資金繰り悪化→倒産といったスパイラルに陥る可能性はないのでしょうか？　もちろん、ゴーイングコンサーン注記に比較すればインパクトは小さいかもしれませんが、ネガティブな情報であることは間違いありません。

時価会計の見直しという超法規的な措置まで取りざたされている中で、果たしてこの経済状況で何が何でもJ-SoXを当期から適用するだけの重要性はあるのでしょうか？業績が急激に悪化する中でコスト負担に耐えられない上場会社が出てきたらどうなるのでしょう？監査人も、経済状況が悪化すれば粉飾のリスクが高まりますから、もっとリスクの高いところにリソースをつぎ込まないと、とんでもない失敗をやらかしてしまわないでしょうか？

と、考えると、状況次第では、適用の1年延期などということも経団連あたりから申し入れをするなどという可能性はないのでしょうか？

これは全くの個人的感覚なので、実際にそうなるかどうかはまったくわかりませんが、何となくそのくらいのことはやってもよいのでは・・・という気持ちはあります。

そもそも、八田教授のように「重要な欠陥」という訳語が適切ではないのではないか、ということをおっしゃる方もいらっしゃいます。あたかも致命的な欠陥があるようなとらえ方をされてしまいますが、致命的ということではないということのようです。つまり、言葉の持つイメージと実際に生じている問題の重要性にはギャップがあるようです。しかしこのギャップは、投資家をミスリードする可能性はあるということ。であれば、なおさら、用語の見直しを行うべきです。用語が不適切であったがために投資家をミスリードし、必要以上に株価に影響が及び、市場の混乱に結びつくようなことを避けるべきではないかと思います。

実務的にも、「重要な欠陥」になるかどうかのレベル感がさっぱり見えてこない。監査人一人ひとりによってレベル感がバラバラ、などという状況では、投資家のミスリードのリスクは高くなる一方。当然、経営リスクも高まってしまうわけで、企業を取り巻く環境事態が危機的な状態の中で果たしてそれだけのリスクを企業に負わせることができるのか。

どういうわけか、新聞などを読んでもそういう論調のことはほとんど出てきていません。「いまさら」ということはもちろんありますが、もし、内部統制に重要な不備のある上場企業を証券市場から退場させようということではなく、内部統制を是正していくことが制度の趣旨であるならば、何もことを急ぐ必要はない。上場会社が安心して重要な欠陥を開示して、かつ適切に対応できる環境を整備した上で導入しても遅くないのではないか。

考えすぎ、心配しすぎかもしれませんが、最近の株価の状況を見ていると、やはり、心配になります。果たして誰か声を上げるのでしょうか？

投稿者 AH 時刻 01時20分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年9月25日 (木)

J-SOXは茶番か

あちらこちらでJ-SOXの対応状況等に関するアンケート調査の結果が公表され、意外と対応が遅れている上場会社が多いなという感覚をお持ちの方も少なくないのではないかと思います。

それはともかく、具体的に作業を進めていくと、どうしても「茶番」になりがちな場面に遭遇することになります。実態が全く伴っていないのに、形式ばかり整えさせられる。内部統制の不備を是正することより、3点セットの書き方を直す方が優先させられる。そんな、どう考えても本末転倒なことに納得できない、という方もいらっしゃるでしょう。

例えば、数人しか社員がおらず、経理も会計事務所任せ、チェックは監査人任せの子会社の中で、決算財務報告プロセスに係る内部統制を整備しろといわれても、経理知識が全くない人が財務諸表を形式的にチェックするという程度が精一杯で、事実上、監査人の監査に頼らざるを得ないにもかかわらず、それでは内部統制の不備といわれる。では、経理の専門家を高い給料で雇わなくてはならないのか。せいぜい、親会社が子会社の業務委託先や監査人に親会社の方針を伝えて、それに基づいて経理処理なり監査をしてもらうということくらいしか出来ません。

こういう実態は、どこにでもあるにもかかわらず、金融庁は、この問題には触れようとしない。せいぜい業務分掌の問題までです。つまり、解決不能な「内部統制の不備」が厳然と存在するということに目をつぶって建前で処理するしかないということです。

さらに、決算財務報告プロセスの内部統制の評価というのも、極めて形式的になりがちです。経理実務がよくわからない内部監査部門の「シロウト」さんが、実質的に内部統制が有効に機能しているかをチェックしようと思っても、なかなか難しいでしょう。経理部門がチェックリストを作ったりしてお膳立てをして、それを内部監査部門が形式的にこなす。承認印の有無はチェックできても、その中身が本当にきちっとしているのかどうか、つまり実質的に統制が効いているのかどうかを確かめることがなかなかできません。繰延税金資産の回収可能性の判断をきちっと見ているか、などということは結果から判断するしかありませんが、単純な計算チェックや元データとの照合程度ならできても、判断に係ることが内部監査部門にそう簡単にできるとは思えません。これも実質的には監査人がチェックするしか方法がない。

決算財務報告プロセスだけでなく、IT統制についても、IT部門がお膳立てしたチェックリストなどで形式的にチェックすることはできても、内部監査部門が実質的に統制が効いているかどうかを検証することはなかなか難しい。あくまでも表面的なチェックにとどまらざるを得ない。こんなことで、内部統制のレベルを向上させることができるのか。形式的な「評価」自体が自己目的化してしまい、本来の目的である財務報告の信頼性向上に寄与しないのではないか。

J-SOXがすべて茶番とは言わない。実質的に役立つ部分もたくさんある。しかし、目的からして最も重要な決算財務報告プロセスの評価が「茶番」ということになると、果たしてここまで手間をかけてやるほどのことなのだろうか、という気もしないではありません。

J-SOXは、ダイレクトレポーティングを採用しないということをメリットの一つとしていますが、逆にそれが、「内部統制評価」に対する監査人の要求を厳しくし、茶番をよりいっそう本末転倒なものにしてしまってはいないか。

本末転倒なことについては、どしどし声を出していただきたい。大事なことは、適正な財務報告を作成し、投資家に提供することであって、3点セットを監査人の主義に合わせて理論的に完璧に美しく作ることではない。

金融庁もたびたびそういうことをいっているのにもかかわらず、個々の監査人に届かないのはなぜか。Q&Aなどを出しっぱなしにするのではなく、監査法人とよくディスカッションすべきだ。昔は、監査人は、不適正意見を出すことが目的で監査をしているのではなく、正しい財務諸表を作成させ、適正意見を出すために監査をしているのだといわれていました。しかし、正しい財務諸表を作成させるために指導性を発揮せず、批判性ばかり発揮していると、結局、不適正意見や意見不表明ばかりが連発されることになり、投資家のためにはならない。投資家は不適正意見がほしいのではなく、適正な財務諸表を必要としているのです。内部統制監査については、適正な財務諸表の作成が可能となる内部統制が構築されていることを求めるのであって、3点セットの作り方が悪いといって不適正意見を出すことを求めているわけではありません。

景気後退期にあって、上場会社も茶番に金をかけている余裕はなくなってくるはずです。コストをかけられないからこそ、本来の目的が達成されるように大事に金をかけるべきです。

投稿者 AH 時刻 22時23分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年9月13日 (土)

内部統制監査への期待と懸念

本番年度に入ってしばらく静かだったJ-SOX関係。ここのところアンケート結果が公表されたりして、再び話題が出てきました。文書化の遅れとか、全社的統制整備の遅れとか、相変わらずIT統制に係るツールの導入とか・・・。

しかし、私が業界人として一番心配なのは、内部統制監査が実質的にちゃんとできるのかどうか、監査人、特に若手会計士に内部統制の不備を見抜く力があるのか、及び内部統制の不備を会社自身に改善させる道しるべ的に役割を果たすことができるのか（監査人の指導性）ということです。

形式的な規程の有無や更新状態だとか、3点セットの書き方だとか、そういうところばかり指摘し、重要な財務報告の虚偽記載リスクに関係する内部統制の不備を見逃すことはないだろうか？3点セットだけ見ると良好そうに見えるが、いざ現場に行って実態を調べてみたら全く形式的で実効性がなかったにもかかわらず、それを見逃すことはないだろうか？

業界内でも古株会計士が気にしているのが、「最近の監査は、部屋の中でPCに向かうばかりで現場に行かない、現場の人に質問しない」ということです。実施基準やJICPAの監査実務指針でもウォークスルーとか視察とか質問とか再実施とかそういった監査手続が求められていますが（例示ではありますが）、そういうことをあまりやらずに3点セットの閲覧と監査の部屋の中で資料を持ってきてもらってできる運用評価手続だけで済ませてしまう。現場に行かずに質問しなくていいように、3点セットにより詳細な記述を求める。だから、形式的なことばかり言われて本当に問題になりそうな指摘はしてくれないし、内部統制を改善しようとしている上場会社にとってもあまり監査を受けているメリットが感じられない。なにせ時間がないというのが最大の原因で、監査人もとても気の毒なのではありますが。

それと、RCMやフローチャートを見て「不備」を見つけたとしても、それによって実際に誤謬や不正が生じているわけではないと上場会社が認識しており、特に手をつけたくないというところについて、監査的手法で本気で調べたら実はガタガタボロボロ、間違いだらけだったということになると、会社も手をつけざるを得なくなる。こういうことが監査現場でちゃんと出てきているか。遠山の金さんではないですが、動かぬ証拠を突きつけることで、会社も対応せざるを得なくなる。これがすばやくできることが監査人といおうか公認会計士の能力といっても過言ではないと思います。様々な監査上の経験から、不正や誤謬が生じやすいところをとっさに見抜き、そこを集中的に、しかも深く突っ込んで不正や誤謬を見つけ出す。そしてさらに大事なのは、原因を徹底的に調べて具体的な改善策が講じられるようなレベルに持っていくこと。原因調査が甘いとリスクに対処する適切な統制が構築できない。その手本を示せるのは、経験豊富な監査人。もちろん、不正や誤謬を発見すること自体が目的なのではなく、内部統制の不備によって実際に問題が生じているので改善する必要があるという監査人の主張に説得力を持たせることが目的ではありますが。ですからすべての不正や誤謬を洗い出す必要はない。

それと、統計的サンプリングの誤った適用によって、リスクの高いところの運用の不備がが見逃されてしまうのではないかという懸念もあります。昔の監査は、異常点だとかリスクの高いところを狙い撃ちしてサンプリングしていましたが、特にJ-SOXの運用テストでは実施基準の影響もあって機械的な統計的サンプリング中心になりがち。監査人もそれに近い。本来の統計学的考え方や監査マニュアルの考え方から言えば、すべてを一律に統計的サンプリングで行うのではなく、異常点だとか危なそうなところについてある程度集中的に見た上で、残りの部分について統計的サンプリングを実施するというような考え方だったのではないかと思います。たとえば、帳簿上のたな卸資産残高がマイナスになっているケースでは、その原因を確かめれば、多くの場合何らかの内部統制上の不備が見つかるはずです。整備状況レベルのものもあれば運用状況のものもあるでしょう。整備状況レベルで不備であれば運用評価にはいきませんので、統計的サンプリングの話は出てこないのですが、運用の不備が発見された場合に、不備があった統制についてそこから先統計的サンプリングを実施するのかどうか判断に困るところです。それがたまたまなのか、そもそもちゃんとやっていないからなのか、ということをどうやって判断するかです。そういうところにも監査人の知見というのは役立つはずです。社内の内部監査人（評価担当）が運用の不備を見つけて泥沼に陥ってしまうところを、監査人がうまく切りわけをして、迅速かつ的確に結論を出してみて、その手法なり判断の仕方を内部監査人が学び、次回から社内できちっと判断ができるようになる。

そんな指導的役割を監査人が果たすことができるのか。監査人なり個々の公認会計士の力量が問われるところです。

正直、監査現場はとっくの昔に限界を超えてしまい、内部統制なんかまともに見ている暇がないので期待されても困る、という声もあれば、仮に内部統制の不備を発見したとしても、それを指摘すれば上場会社から「具体的な改善策」を求められ、独立性の観点や監査契約範囲内での監査人の責任をできるだけ限定したい（余計なリスクを抱えたくない）という保守的な姿勢から内部統制の不備の指摘に消極的な監査人が増えてきているという声も聞きます。そうしているうちに、会計士の内部統制に関する能力（現場を見て実質を判断する力）もどんどん落ちてしまい、今度は内部統制監査における形式的なチェックや指摘に走ってしまうという状況になりかねないという懸念を持っています。そうならないよう、特に若手会計士には、少しでも機会があればPCからはなれて現場に赴いて、内部統制の実態をよく見て学んでいただきたいと思います。

また、内部統制コンサルといわれる人たちも、単なる3点セット作成代行で終わることなく、より現場の実態に密着し、理屈だけでなく不備により実際に問題が生じている証拠をつかみ、本当に問題があるところとないところ、リスクの高いところと低いところを見極めて改善のアドバイスをしていただければと思います。財務報告に係る内部統制の不備は、よくよく調べると経営的にも問題になるケースが少なくないです。J-SOXコンサルを契機として、より深い経営コンサルが行われ、企業の成長に結びついてくれれば、会社にとってもJ-SOXの支出はムダではなかった、ということになると思います。

監査を離れて数年になりますが、「えっ？こんな基本的なことも監査人は見てないの？」「こんなに問題があるのに監査人に指摘されていないの？」と驚いて心配になることがある反面、最近、監査って実はすごいんだ、本気でやればまじめな会社の役に立つんだ、ということを改めて感じて魅力的な仕事にも思えている次第です（じっくり監査をする時間さえあればですが・・・）。

果たして内部統制監査が監査現場の内部統制を見る力の向上に役立つのかどうか。。。

投稿者 AH 時刻 05時20分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年9月 3日 (水)

EDINET XBRLデータ修正に関するFAQ公表

第1四半期に係る四半期報告書の提出も8月14日に終り、XBRL化も順調に行われたようです。

その後、提出済のXBRLデータの修正を行う場合に関するFAQが8月29日に金融庁から公表されています。

「よくある質問（FAQ）」

http://www.fsa.go.jp/search/index.html

従来であれば、提出した開示書類の訂正は「訂正報告書」で行われてきましたが、今回からは、XBRL部分についてその訂正の内容によって取り扱いがいくつかに分かれることになりました。そのポイントを簡潔にまとめたものといってよいかと思います。

基本的には以下のようになります。

・XBRL 形式で作成した情報のうち公衆の縦覧に供されているものを訂正する場合は、HTML 形式で訂正届出書又は訂正報告書等を作成し、当該訂正後のXBRL 形式のデータを併せて提出する。
※EDINETシステムでのXBRLデータからHTMLへの変換は行ないません。
・XBRL 形式で作成した情報のうち公衆の縦覧に供されていないものを修正する場合は、「XBRLの修正」の手続きにより修正後のXBRL形式のデータのみを提出する。
・HTML 形式で作成したもののみを訂正する場合には、従来どおり、HTML 形式で訂正届出書又は訂正報告書等を作成し、提出する。

ところが、この「XBRL 形式で作成した情報のうち公衆の縦覧に供されているもの」というのが実にわかりにくい。XBRLデータは、EDINETで提出され、インターネットでだれでもダウンロードできるので、「公衆縦覧に供されているもの」「いないもの」といわれてもピンときません。そこで、簡単に説明してみたいと思います。

実は、金商法上は、XBRLデータというのは正式な開示書類ではありません。あくまで、HTML形式で作成され、IEといったブラウザを使って画面で見ることができるものが正式な書類です。つまり、財務諸表部分で言えば、EDINET上でXBRLデータから変換されたHTMLデータが正式な提出物で、XBRLデータはいわば中間生成物のような存在です。その中間生成物を行政サービスとして参考までに提供しているのであって、法律上公衆縦覧に供しているとはいえないのです。「公衆縦覧」と呼ぶには色々な要件があるのですが、要は、ブラウザのような汎用的なソフトウェアを使って画面表示して、それを人間が見て知覚できるものであることが必要なのです。将来的には、XBRLデータを直接EDINETの画面で見られるようにすることも技術的には可能かと思いますが、今はとりあえず、HTMLに変換して画面表示させるという方法を採用しています。

XBRLデータには、HTMLに変換した時に目で見える情報の他に、英語表示したり比較分析をしやすくするための様々な情報が組み込まれています。英語表示するための勘定科目には、金商法や開示府令、財規上の根拠もなく、任意の情報的な扱いになってしまい、監査の対象にもなっていません。こうしたものが「公衆縦覧に供されているもの」という取り扱いになります。

訂正報告書というのは、あくまで正式な書類であるHTMLデータを訂正する場合に提出されるものですが、XBRLデータが間違っていたがためにHTMLデータも間違ったというような場合、例えば金額とか、独自に追加した勘定科目に係る日本語表示の勘定科目名とかは、「XBRLデータの修正」という書類を提出すると同時に訂正後のXBRLデータを提出し、さらに及びHTMLで作成された訂正報告書を提出することになります。一方、HTML化した時に目で見える範囲では訂正の必要はないものの、比較分析等を行う際にエラーが出る可能性のあるようなものは、上記の手続のうちHTMLによる訂正報告書の提出以外の手続を行うことになります。

具体例はFAQをご覧ください。

結果的には、従来どおりのHTMLデータの他に、XBRLデータを参考資料として提出していると考えた方がわかりやすいかもしれません。

さて、XBRL化されたことによって、例えばどんな勘定科目が使われているかといった分析も容易になります。今後、提出されたXBRLデータがどのように使われ、その結果どのような統計が出てくるかに注目したいと思います。

投稿者 AH 時刻 02時48分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年8月 6日 (水)

JICPA、内部統制監査実務指針英訳公表

日本公認会計士協会(JICPA）は、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」（いわゆる内部統制監査実務指針）の英訳版を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/82_1.html

諸外国における日本の制度への理解を高めるという目的もあると思いますが、日本の監査人が、海外子会社の監査を担当する海外の監査人（他の監査人）に日本の内部統制監査の中身を知ってもらう場合にも大いに役立つのではないかと思います。正直、ビッグ4などにおいても、日本におけるメンバーファームが日本の制度を説明しようと思ってもなかなか難しい面もあり、日本の制度に適合した監査マニュアル上の取り扱いなどを決める際にこの英訳及び実施基準の英訳を示すことで、ずいぶん理解が深まるのではないかと思います。海外の監査人が海外子会社に係る「他の監査人」として内部統制監査を行う際には、原則として、日本の内部統制監査基準、そしてこのJICPAの実務指針に従うことになりますので、日本のルールの理解をしてもらうことはとても大事なことです。

それとともに、上場会社が海外子会社において内部統制構築、評価を行う際にも、海外子会社への理解を深めるものとして役立つのではないかと思います。また、例えば、親会社の3点セットなどを海外展開する際には英語化が欠かせませんが、その際の訳語もこの実務指針に使われている訳語を参考にできるのではないかと思います。専門用語が多くて、普通の社員や翻訳専門家には翻訳がなかなか難しい面もあったかと思いますが、この英訳は一応専門家の目を通してはいるはずなので、さほどおかしな訳語にはなっていないはずです。

ということで、地味な公表ではありますが、上場会社におかれてもうまく活用していただければと思います。

投稿者 AH 時刻 00時29分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年8月 4日 (月)

四半期財規改正、8月7日公布予定

金融庁は、先にパブリックコメントを募集した財務諸表等規則、四半期財務諸表規則などを8月7日に公布する予定と発表しました。

「財務諸表等の用語、様式及び作成方法に関する規則等の一部を改正する内閣府令」の公布予定等の公表について

http://www.fsa.go.jp/news/20/syouken/20080731-1.html

この改正のうち、たな卸資産表示関係の項目は、2008年6月末に終了する第一四半期の四半期報告書から適用可能です。四半期報告書の提出期限は、8月14日ですので、8月7日以降に四半期報告書を提出する企業であれば、新規則に基づく四半期（連結）財務諸表を提出することが可能です。

8月7日では、すでに監査（レビュー）が終了している可能性はありますが、レビュー報告書日付が8月7日以降であれば、新規則に基づくことも可能では。

来年度以降、表示方法の変更をすることによって、XBRL化された財務諸表の分析が若干しにくくなることを考えれば、このタイミングで新規則に合わせておくということも、投資家にとっては有用ではないかと思われます。

これについては、

http://bcj.way-nifty.com/xbrl/2008/07/xbrl_a33f.html

もご参照いただければと思います。

初めての四半期報告書作成、かつ、XBRL化ということで、慣れない中で新しいことを先取りしようというのもなかなか難しいかもしれませんが、監査人と協議しながら対応を検討されるとよろしいかと思います。

投稿者 AH 時刻 23時17分 XBRL, ニュース, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年7月16日 (水)

EDINET XBRL化に伴う監査への対応

いよいよ初めての金商法ベースの四半期決算が佳境を迎えています。まもなく監査人のレビューもはじまることと思います。

今日は、EDINET XBRL化に伴い、経理担当者が監査またはレビューにどのように対応すればよいか、JICPAの公式文書をもとに考えてみたいと思います。

JICPAの公式文書そのものは以前にご紹介していますが、改めて読み返してみます。

http://bcj.way-nifty.com/xbrl/2008/06/jicpa_edinet_xb_d90c.html

１．XBRL文書そのものは監査(レビュー）対象ではない

　XBRL文書は、EDINETに正式に提出されるのですが、実は、XBRL文書自体は監査対象ではありません。また、監査人の多くはXBRLを処理できるツールを持っていません。したがって、XBRL文書(ファイル）の提出を監査人から求められるケースは極めてまれではないかと思います。逆にいえば、XBRL文書が適切に作成されているかどうかは、会社の責任でチェックしなければなりません。印刷会社のXBRL作成機能の中にも、EDINETの登録機能の中にも様々なチェック機能が組み込まれていますので、入力等さえ間違わなければ大丈夫とは思いますが。。。

監査報告書（写）にも記載が・・・。

EDINET上に掲載される監査報告書(写）には、JICPAが定めた決まり文句が入ることになります。そこには、XBRL化された財務諸表が監査対象ではない旨が記載されることになります。印刷会社に任せている場合には問題ないと思いますが、自社で監査報告書のHTML化をしている会社は要注意です。

２．HTML化された財務諸表の提出を求められる

　従来と同じように、XBRL化された財務諸表（XBRL文書）ではなく、HTML化されたファイルまたはそれをブラウザ（IE）を使って紙に印刷したものの提出を監査人から求められます。監査人はHTMLで渡せばそれを画面を見てチェックするか紙に打ち出してチェックするか、または会社が印刷したものを見てチェックすることになります。

　HTMLファイルは、印刷会社の提供する仕組みを使ってXBRLファイルから作成することもできますし、EDINETに仮登録してEDINETの機能を使って作成することもできます。正式にEDINETに提出するのは、EDINETの仕組みを使って作成されたHTMLファイルですが、印刷会社の仕組みを使っても、ほぼ同等のものができます。EDINETへの仮登録は、提出直前ということになる場合もあり、監査に間に合わない可能性もあるので、監査人と相談して、どのタイミングにどちらから作成されたHTMLまたはその印刷物を提供すればよいかを聞いておくといいでしょう。監査人は、もしかしたら印刷会社の仕組みを使ったものをチェックし、それとEDINET上で生成されたHTMLが同一内容かどうかを確かめるといったことをやるかもしれません。

　今回のXBRL化の対象はあくまで財務諸表本表なので、それ以外の部分は、従来と全く同じ扱いになります。

３．勘定科目の新旧対照表を作成しておく

　四半期は当期が初めてなので関係ないかもしれませんが、期末において、XBRL化に伴い勘定科目をEDINETタクソノミに定義されている科目に変更する場合に、監査人は、その変更が妥当かどうかを検討することになります。変更の理由はすでに金融庁より「正当な理由による変更」として取り扱うことが明確にされていますので、あとはその勘定科目で表示して本当にいいのかということを判断することになります。その際に、新旧対照表、または組替表等を作成提示し、変更点が明確にしておくとよいのではないかと思います。

　決算監査時は内部統制監査もあり忙しいので、早めに監査人に相談しておくとよいでしょう。

４．財規様式の改正に注意

　この四半期から財規等に定められている財務諸表の様式が大幅に変更になっています。今までのような罫線がありません。また、株主資本等変動計算書が縦型になっています。百分比、構成比の記載もなくなりました。

http://bcj.way-nifty.com/xbrl/2008/06/xbrl_c416.html

　いずれも、XBRL化に対応した改正ですが、これを「見栄えが悪い」ということで、従来どおりの様式でHTMLで作成するのはNGです。いかに見栄えが気に入らなくても、EDINET上でXBRLから自動的に生成されるHTMLをイメージして財規様式が作られていますので、あくまでXBRLからEDINET上でHTMLを作成していただく必要があります。社内の偉い方や監査人の偉い先生には、事前に改正の趣旨をよく説明しておきましょう。

５．内部統制報告制度（J-SOX）における取り扱い

　以前、XBRL化作業も決算財務報告プロセスとして評価対象になる可能性があるということを述べたことがありましたが、XBRL文書そのものが金商法上の正式な開示書類ではないという取り扱いになったため、従来と同じようにHTMLファイルを画面表示または印刷して、原稿とあっているかをチェックしていれば、印刷会社を外部委託先としてその内部統制を評価する必要がないといえるのではないかと思われます(全くの個人的見解ですが）。確かに、印刷会社の提供するITを利用して有価証券報告書等のHTMLファイルを作成していますが、だからといって、そのITに係る統制を評価しなくても、原稿と結果があっていることを確認すればそれでよい。XBRL文書は、本来画面表示や印刷しただけではその正確性は確かめることができないのですが、どちらかといえば、HTMLファイル作成のための中間生成物、副産物のような扱いで提出だけは強制という法的な位置づけになっているようなので、内部統制評価上無視しても。。。

ちなみに、EDINETのXBRLダウンロードページを見ると

「XBRLデータのうちEDINETにて公衆縦覧に供されていない情報については、金融商品取引法上で定められた開示情報ではありません。当該データは、利用者の責任において利用頂くことにご留意下さい。」

とあります。

６．英語勘定科目は監査対象外

　XBRL文書から作成されるHTMLファイルには含まれませんが、XBRL文書をXBRLツールで読むと英語の勘定科目を表示させることができます。この英語の勘定科目についても、監査の対象ではありません。あくまでHTMLで表示される科目だけが監査対象です。

　EDINETタクソノミに設定されている英語勘定科目はそのまま使うことになっていますが、勘定科目を独自に追加する場合には、自社で英語勘定科目を設定しなければなりません。その勘定科目名も監査の対象外です。

　EDINETには次の記載があります。

「一覧表よりダウンロードされるXBRLデータに含まれる英語情報については、参考訳であり、その正確性が保証されるものではありません。」

このように、勘定科目の妥当性等を除けば、監査対応自体はいままでとあまり変わらないということになります。

いずれにせよ、初年度で監査人も十分に理解していない可能性もあるので、できるだけ早い段階で対応を協議しておくことをオススメします。

投稿者 AH 時刻 01時37分 XBRL, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年7月 9日 (水)

TDnetでXBRLデータ公開始まる

7月7日より東証の新TDnetが稼動し、XBRL形式による適時開示書類が参考情報として正式に公開され始めました。

栄えある（？）第1号は、株式会社メディアクリエイトの「業績予想の修正に関するお知らせ」のようで、10:05に開示されています。

その後、続々と開示が行われています。3月決算が一段落した直後だけに数は少ないですが、新しい仕組みを立ち上げるタイミングとしてはこういう時の方がよいのでしょう。

決算短信(1枚目）だけでなく、業績予想修正も提出されているようです。

東証ホームページで評価版ビューワーなどが配布されていますが、利用条件を見るとどうやら本番の閲覧というのは許諾されていないようで、製品版を購入しなければならないということに今のところはなっているようです。

http://www.tse.or.jp/rules/td/xbrl/data/software.html

第一歩としては画期的ではありますが、これだけの情報ではあまり有用性がなく、EDINETでの導入を踏まえた財務諸表の公開によって、本格的な利用が始まるのではないかという声も聞かれ、どの程度利用されるのか注目です。速報性を考えれば、やはり、決算短信と同時に発表される財務諸表のXBRL化というのが待望されているようです。

なお、従来どおりPDFが正式版ですので、パッと見るだけでしたらPDF版をオススメします。大量のデータを自動的にコンピュータに取り込んで分析するといった場合には、XBRLの方が使い勝手がはるかによいとは思いますが。

投稿者 AH 時刻 23時22分 XBRL, ニュース, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年7月 4日 (金)

棚卸資産区分に係る四半期財規改正案へのXBRL化対応

金融庁は、7月2日に「ＥＤＩＮＥＴタクソノミの更新及びＥＤＩＮＥＴタクソノミ利用に当たっての追加情報について」を公表しました。

http://www.fsa.go.jp/search/20080702.html

これは、今後のEDINETタクソノミ変更に関する基本的な方針と、法令、財規等の改正による対応に関する方針を明らかにしたものです。

原則として、年一回の更新を行う。
ただし、法令及び会計基準の改正又はＥＤＩＮＥＴタクソノミの不具合等のうち緊急の対応を要するものについては、追加的に更新を行う。

次回のＥＤＩＮＥＴタクソノミの更新は、平成21年春頃を予定しているそうです。

また、6月12日に公表された財規等の改正案のうち、たな卸資産関係の科目表示区分の変更及び「工事契約に関する会計基準」に係る取り扱い（平成20年６月12日公表　財務諸表等規則等の改正案への対応について（案））が示されています。

(6月12日改正案）　http://www.fsa.go.jp/news/19/syouken/20080612-3.html

これらについては、平成21年３月31日前に終了する四半期会計期間に係る四半期財務諸表について適用することができることとされており、財規等の改正が第一四半期に係る四半期報告書の提出に間に合えば、今まさに作成が始まっている第一四半期に係る四半期財務諸表から適用されることができますので、それにあわせてはやめにXBRL化に係る取り扱いも示しておく必要があるということではないかと思われます。

現行規則では、四半期連結財務諸表の表示区分が年度連結財務諸表の表示区分より細かくなってしまっているというおかしなことになっているので、それを正す意味でも四半期財務諸表における先行適用を認めざるを得ないと思われますが、もし先行適用するのであれば、比較可能性なり首尾一貫性の観点から、できれば第一四半期から適用する方が利用者にとってはありがたい。ということで、もし、第一四半期に係る四半期報告書作成に間に合うタイミングで財規の改正がなされれば（パブコメの期限は7月14日なのでがんばれば間に合う可能性あり）、あらかじめXBRL上の取り扱いを示しておけば、印刷会社側の対応も比較的容易になり、第一四半期からの適用も可能になる。と個人的には読んでいるのですが。

それはともかく、もし新規則の表示区分に基づき四半期報告書を作成する場合であっても、現在のEDINETタクソノミ（2008-02-01版）にすでに新規則にも対応できるような勘定科目（要素名「MerchandiseAndFinishedGoods(商品及び製品）」および「RawMaterialsAndSupplies（原材料及び貯蔵品）」）が財務諸表語彙タクソノミに用意されているので（改正を読んでかたまたまなのかはわかりませんが）、それを使うことになります。ただし、計算リンクと表示リンクは設定しなおさなければなりません。現行と変更がない科目についてはそのまま使えます(仕掛品）。

実務上は、現行規則通りの表示か改正規則による表示かを各社で決めて印刷会社に指示すれば、計算リンク、表示リンクの設定はやってくれるのではないかと思いますので、提出会社側にはほとんど負担にはならないと思います。

財規の改正がいつになるのかわかりませんが、第2四半期以降または来年度以降のことを考えて、四半期財務諸表作成当初から新規則の表示区分にするという選択肢も念頭においてみてはいかがでしょう。

なお他に、業種別タクソノミの不具合への対応も示されていますが、ほとんどの会社にとっては関係ないと思われます。

投稿者 AH 時刻 00時11分 XBRL, ニュース, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年6月25日 (水)

金融庁、内部統制Q&Aを追加

金融庁が、「内部統制報告制度に関するＱ＆Ａ」を大幅追加しました。今回の追加でなんと50問近く設問が増えて、とても充実しました。http://www.fsa.go.jp/news/19/syouken/20080624-3.html

大部分は、実施基準も含めて、今まで出されたものをよく読めば読み取れるような類のものが多く、新たに緩和されたというようなものでも取り扱いが明確になったわけでもありませんが、その中でいくつか注目したいものを挙げておきます。

（問２２）【評価の対象となる委託業務の例】

具体的に例示されました。『取引の記帳、会計帳簿の作成等に係るコンピューター処理を共同事務センターに委託する場合や年金資産の運用管理を信託銀行に委託する場合など、財務諸表や開示事項の作成の基礎となる取引の承認、実行、計算、集計、記録等に関するもの』

（問２９）【内部統制の評価体制】

『評価を実施する者が評価の対象となる業務から独立し、客観性を保っていれば、例えば、同じ部内の別のチームが経営者を補助して評価を実施することは可能である』

内部監査室の人員が不足している場合や海外への対応が難しい場合などに、評価主体の選択の幅が広がり、大規模な組織でなくても対応可能になるかもしれません。

（問３３）【取引の流れを追跡する手続の実施】

いわゆる『ウォークスルー』ですが、『経営者が必ず実施しなければならない手続とはされていない。』と書かれています。もともと「監査人が内部統制の整備状況に関する理解を確実なものとする上で、有用な手続」ですので、社内の方が評価を行う場合には、監査人よりはるかに業務に精通している場合も考えられ(多くの場合、ベテラン社員が多い）、したがってウォークスルーをやるまでもない場合もあるでしょう。

また、『監査人は、経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったかについての妥当性の検証は求められておらず、上記の手続を経営者が実施しないことが直ちに監査人の指摘の対象となることはない。』という記述も重要です。実務上は、監査人が、監査マニュアルに書かれている監査人のための手続を会社側にも求めるケースが少なくないと考えられ、それが会社側の負担増加につながっているという面を考えれば、虚偽記載リスクや統制内容の把握が不十分であると認められる場合を除き、ウォークスルーを行うかどうかは評価主体の状況次第ということが認められる効果は少なくないです。

（問３５）【期中における運用評価の実施】

いわゆるロールフォワード。『期中に運用状況の評価を実施した場合、その後、担当者への質問等により、評価対象とした内部統制の整備状況に重要な変更がないことが確認されたときには、新たに追加的な運用状況の評価は要しないものと考えられる。』とありますが、整備状況の重要な変更の有無を「質問等」で確認すればよく、いわゆる1件テストましてや運用テストを行わなくてもよいというのは、運用テストの実施時期の選択の幅を広げるものと思われます。評価対象事業拠点が多く、内部監査室の人員が少ない場合には助かります。逆に、変更がある可能性のある場合には、運用テストを後回しにするということも考えられるでしょう。

（問３９）【中小規模企業におけるIT 環境】

『例えば、販売されているパッケージ・ソフトウエアをそのまま利用するような比較的簡易なシステムを有している場合には、個々のITに係る業務処理統制よりも、ITに係る全般統制に重点を置く必要がある』とありますが、この場合の全般統制についての具体的なイメージが相変わらずわきません。全般統制といえば、情報システム部門が管理している大規模で複雑なシステムに適用される統制というイメージになりがちで、パッケージソフトといえば、スタンドアローンPC上で使われており、むしろ「EUC」の範疇に属するイメージで、多くの場合、情報システム部門は面倒見てくれません。スタンドアローンPCに係る全般統制といわれてもピンときません。アクセス管理、データ改ざんされないまたは改ざんを発見するための管理等がIT統制としては考えられますが、EUCレベルでの全般統制のあり方をもう少し具体的に示してもらいたいものです。

（問４０）【重要な欠陥の判断（人材不足や書類整備不十分）】

これはかなり多くの会社で気になるところではないかと思います。

『会計処理に関する知識・経験のある人材が不足している場合や会計に関するマニュアルや規程の整備が不十分である場合であっても、直ちに重要な欠陥に該当するものではなく、関連する業務プロセスに係る内部統制にどのような影響を及ぼすかを含め、重要な虚偽記載をもたらす可能性を検討する必要がある。』とありますが、マニュアル、規程の整備はともかく、人員不足、能力不足によって決算書がまともに作れないとなれば、これは「重要な虚偽記載」どころの騒ぎではないですので、果たして重要な欠陥といわないことができるのでしょうか？現実は、監査人が決算書(特に連結）作成を手伝うまたは事実上監査人が作っていたケースも皆無とはいえず、その場合には、監査人がそれをやめてしまえばもはや決算書が作れないのですから、重要な欠陥といわざるを得ないと思いますが、どうなのでしょう？とはいっても、能力がある経理マンを採用することは至難の業で、いつモアでも重要な欠陥が是正されないということになってしまうのですが・・・。

（問４２）【外部の専門家の利用】

（問４０）とセットの設問ですが、監査人以外の外部の専門家の利用はそれによってただちに重要な欠陥にならないとのことなので、人員を採用するより、こちらの方が現実的かもしれません。とはいえ、この類のサービスが果たしてどれだけあるのか、中小企業の記帳代行をやっている税理士事務所で連結財務諸表の作成は可能なのでしょうか？

（問４３）【重要な欠陥の判断（監査人に対する照会・相談）】

二重責任の原則や独立性の観点から認められる範囲で監査人に照会、相談したら重要な欠陥などというバカなことは常識的にありえないのですが、責任逃れのために照会、相談に応じない監査人が増えてくるとなれば、そういう過度に保守的な対応への歯止めとしては意味のある項目かも知れません。実質的には「連結財務諸表作成」に近いことを監査人がやっていても、「監査人の指導性（誤りの修正指示）」「紹介･相談への対応」の範囲で説明できるなら、それが一番現実的かもしれません。

（問４４）【識別するリスクの内容】

これは会社にとってありがたい項目です。『業務プロセスにおいて、すべてのリスクを網羅的に把握してこれを低減するための統制を識別することまでは求められておらず、リスクのうち重要な虚偽記載が発生するリスクとこれを低減するための統制を把握することで足りる。』とあります。RCM上ですべての虚偽記載リスクを洗い出した上で、重要かどうかを判断するというやり方を求めている監査人もいますが、それが筋とはいえ、そこまでやらなくても、重要なリスクがRCM上に洗い出されていればそれ以上は求めないということであれば、ある程度リスクの絞込みをした上でRCM等を作れますからずいぶん楽になると思います。

（問４５）【期末日後の重要な欠陥の是正措置】

これは、特に決算財務報告プロセスに重要な欠陥があって、期末決算までに是正されたケースでは、整備状況としては期末日までに是正が確認でき、運用テストは是正後の期末決算作業における運用状況をつかって行って問題なければ期末には有効であるといえるということで、助かります。

（問４７）【関連書類への印鑑の押印等】

これは悩ましい問題ですが、「すべての関連資料」への押印は必要ないとしながらも、、『経営者による評価や監査人による監査が実施できる記録が保存』する必要はあるので、かなりの負担感は残ります。まして上級管理職や経営レベルの方の押印であればなおさらで、かえって統制が形骸化してしまわないかという懸念はあります。

（問４９）【ダイレクト・レポーティングの不採用】

今回、初めて『通常、評価範囲や評価対象となる統制上の要点は経営者と監査人で一致することになり、経営者が評価対象としていない統制上の要点を監査人が独自に追加検証することにはならず』という記述が登場し、なぜダイレクトレポーティングを採用しないことで、米国より負担が軽くなるのか、ということが理解されやすくなったのではないでしょうか。

（問５０）【監査人の監査の開始時期】

『内部統制の整備状況及び運用状況の有効性の検証については、経営者の評価がすべて完了していない場合であっても、監査人は検証することが可能である』というのは、会社側にとっては助かります。3点セットさえできていれば、監査人が先に整備状況等について検討し、その結果を会社にフィードバックし、問題点が是正されるという効果も期待できますし、会社の評価時期の選択肢も増えます。ただ、効率性からすると、会社が評価した後の方がやりやすいとは思うので、監査人がすんなり認めるかは疑問です。

（問５５）【中小規模企業における内部統制の記録】

（問５６）【中小規模企業における職務分掌に係る代替的な統制】

この2問は、「監査人の対応」について触れたものですが、評価における対応については何も言っていません。監査人が、監査マニュアルに従って中小規模会社にも一律に大規模企業並みの内部統制の記録や職務の分離を求めることに対し、釘をさしたということでしょうか。評価における取り扱いについても述べてほしかったです。

（問６５）【監査役等に対する報告の方法や時期】

（問６６）【監査役等の監査報告の後に発見した不備】

会社法と内部統制報告制度の関係ですが、この2問によってスケジュール感がずいぶん明確になったことは評価できます。

『監査人は、通常、会社法監査終了時点において大部分の内部統制監査の手続は終了していることが想定されるが、会社法監査に関連しない部分（例えば、有価証券報告書の作成に係る決算・財務報告プロセスの評価の検討）については、内部統制監査の手続が終了していないことが考えられる』

ということで、会社法監査終了時点までにすべての内部統制評価、監査手続を終了させる必要ないということがわかります。適用初年度において、決算財務報告プロセスのように前年度の評価結果を利用することができない場合には助かります。

以上です。いままで監査人から指摘を受けたこととずいぶん違うと思われる方もいらっしゃるかもしれませんが、その場合には、是非これを見せて協議することをオススメします。

投稿者 AH 時刻 02時22分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年6月 9日 (月)

XBRL対応財規、四半期財規等改正

６月６日、EDINET XBRL化に対応した財務諸表等規則、連結財務諸表規則、四半期財務諸表等規則、連結四半期財務諸表規則などが改正公布されました。金融庁HPに掲載されています。

http://www.fsa.go.jp/news/19/syouken/20080606-1.html

実質的な変更ではないのですが、

・EDINETタクソノミの勘定科目表記にあわせた（例えば、勘定科目のあとに「純額」とつけるなど）

・大項目のローマ数字を削除した

・いままで２列だったものが１列で表記→貸倒引当金などで控除後の「純額」を表す勘定科目ができた&合計を表す科目ができた

・構成比、百分比がなくなった

・株主資本等変動計算書が横型から縦型になった

・罫線がなくなった

XBRL化のパイロットプログラムに参加された方、及び試験的に公開されていたXBRLデータを閲覧された方はおわかりかと思いますが、XBRL形式から生成されたHTML形式は、今回の新しい様式に対応しています。

海外の財務諸表には日本の財務諸表のように罫線がなく、見かけは海外のものに近くなったといえます。

日本の罫線文化は根強く、それがXBRL化の障害にもなるとさえいわれた時期もありましたが、このように規則そのものが変わってしまえば、罫線文化にこだわりのある方々でもあきらめざるを得ないのではないでしょうか。

これで、制度面での対応はすべて終わりました。

あとは第一四半期報告書の提出を待つばかりです。

投稿者 AH 時刻 23時37分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年6月 3日 (火)

JICPA EDINET XBRL化に伴う留意点公表

日本公認会計士協会は、５月２０日に「ＥＤＩＮＥＴへのＸＢＲＬ導入に伴う財務諸表作成プロセスの変更及び監査人の留意点について」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/post_1006.html

EDINETにおける財務諸表のXBRL化は、事実上３月決算会社の2008年度第一四半期に係る四半期（連結）財務諸表から強制されますが、監査人による四半期レビューの取り扱いと並んで、XBRL化への対応がどうなるのか注目されていましたが、ようやく公表され、これで制度上の対応はほぼ終了したといえます。

基本的には、最終的にEDINET上で公衆縦覧に供されるのがXBRL形式のファイルからEDINET上で自動的にHTML形式に変換されたものであるということで、途中でXBRL形式のファイルが介在するということ以外は、従来の枠組みとなんら変わりません。また、XBRL化の対象は財務諸表本表のみで、注記や附属明細表といった監査対象部分は従来どおりです。

ただし、従来は、印刷会社で作成されたHTML形式の財務諸表を印刷してチェックした上で、それに監査報告書を袋綴じするなどして監査対象とした財務諸表を確定することが行われていましたが、今後は、HTML化がEDINET上で行われるため、EDINETでHTML化したものを印刷して綴じこむか、XBRL形式のファイルから印刷会社のほうでHTML化したものをブラウザの印刷機能で印刷するか、または各社で用意したXBRLツールを使って印刷するか、それとも、XBRL化する前の原稿を印刷して監査報告書と綴じこむか、といったことを考える必要があります。XBRL化の手順やスケジュールは印刷会社によって異なると思いますので、印刷会社から情報を得た上で、監査人と監査スケジュールや財務諸表の受け渡しなどについて協議するのがよいのではないかと思われます。

なお、監査人が監査対象とする財務諸表は、提出会社の適切な機関によって承認されたものであることが望まれるとされています。したがって、監査人としては、少なくとも財務諸表がどの時点で作成されたのか、またどのような手続によって承認されたのかを確認できるような手段を講じることが必要です。上場会社側では、会社法上の計算書類と異なり、いままで有価証券報告書に掲載される財務諸表を承認する手続が不明確なケースがあったかと思いますが、J-SoXの決算財務報告プロセスの整備の一環として、有報ベースの財務諸表や有価証券報告書の承認手続きを明確にし、承認の証跡を残しておくことが必要かと思われます。

この文書には、監査人がXBRL化に対応するために必要な最低限の知識も掲載されています。金融庁のEDINET関連文書にも書いてあることではありますが、あまりに分量が多く、読むのも大変だと思われますので、「ここだけは押さえておきたい」という上場会社の経理担当者の方にもおススメです。

まだ、前年度の有価証券報告書の作成中かと思いますが、そろそろ四半期財務諸表の勘定科目表示などについて検討し、監査人と協議しておいた方がよいのではないかと思います。その際にも、本文書を参考にしていただければと思います。

投稿者 AH 時刻 21時49分 XBRL, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年4月20日 (日)

金融庁など内部統制報告制度相談・照会窓口設置

金融庁、日本公認会計士協会、日本経済団体連合会は、共同で「内部統制報告制度相談・照会窓口」を設置しました。電話、ＦＡＸ、電子メール、郵送により相談・照会できるそうです。

くわしくは

http://www.fsa.go.jp/receipt/soudansitu/internal-control.html

個人的には、どんどん利用した方がよいと思います。監査人によっていうことがばらばらだったり、初期のUS-SoX的な考え方に引きずられたりということが無きにしも非ずで、その結果過度な負担がかかるということもありうるので。

投稿者 AH 時刻 23時08分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年4月 3日 (木)

IT全般統制の不備の考え方をJICPAが公表

ついにJ-SoX本番年度に突入してしまいました。

とはいえ、まだまだIT全般統制の整備がスムーズに終わっていない、または監査人やコンサルから会社の実態に照らして非現実的な要求を突きつけられて途方にくれている会社も中にはあるのではないかと思います。

そんな中、日本公認会計士協会からIT委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の改訂版が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/main/31_1.html

これはあくまで財務諸表監査において監査人がITに係る統制リスクを評価する場合に適用される考え方ではありますが、J-SoXにおいて経営者がIT全般統制をどこまで整備すれば有効といえるのかを考える際に参考になるものと思われます。不慣れな会計士がチェックリストで機械的に「IT全般統制の不備」として扱おうとした場合に、会社の実態を考えた場合に経営者としてどのように対処すべきかという点からも参考になります。

特筆すべきは、「全般統制に不備がある場合の取扱いの考え方の例示」が示された点です。

冒頭で、「全般統制に不備があるとして指摘をする際には、そのシステムの状況や実際に財務諸表の数値にどのような影響があるかを考慮して意見を述べることが肝要です。」と述べています。経営者がIT全般統制の評価を行う場合にも、同じことがいえると思います。

具体的には以下の３点についてです。

① バックアップデータの保管

② アクセスログの取得

③ 職務の分離と権限の分掌について

① バックアップデータの保管　については、「バックアップデータの外部保管と混同される場合がありますが、財務報告目的のリスク評価においては、財務報告の作成のための基礎データが全て失われるリスクを低減することにあります。よって、要請される管理レベルは、財務報告目的としては、データの復旧が可能なレベルです。」と書かれており、必ずしも外部にバックアップを保管しなければならないということではない、と考えられます。

② アクセスログの取得については、「情報システムに関するあらゆるアクセスログをとることが必須ではありません。アクセスログを取得し保管することが統制の目的ではなく、正当な職務権限による財務データへのアクセス以外の不当な入力や改ざんが無いかを監視することに意味があります。」と書かれています。アクセスログをとっているだけではダメで、それを使って財務データへの不正アクセス、改ざん等がないかを確かめる統制（モニタリング）があることが必要とされます。逆にいえば、それが可能な範囲内でアクセスログ等を取得、保存しておけばよいということにもなります。

「ログはあくまで事後的な発見的統制であり、正当な権限のある入力者でない人が入力できないような防止的な統制、アクセス権と入力の職務権限が一致している等の統制と組み合わせて財務報告目的のリスクを低減することが重要です。」

とも書かれています。

情報セキュリティの観点からあらゆるアクセスログを保存することを求められるケースもありますが、J-SoXにおいてはあくまで上記のような発見的統制としてのモニタリングが可能になるような範囲内でアクセスログを取得、保管し、モニタリングを行っていれば不備とはならないということかと思います。

③ 職務の分離と権限の分掌については、「職務の分離と権限の分掌は、職務を分離することが内部統制の目的ではなく、兼務すると牽制機能が働かなくなる職務を分けることにより、財務報告の正当性を確保することが目的です。よって少人数で職務の分離が困難な場合については全体として財務諸表に与える影響を考慮して、リスクとその統制の有効性を検討し、職務の分離と権限の分掌の不備を補完する統制を検討することになります。」と書かれています。これは、先日金融庁から公表された「１１の誤解」にもかかれている小規模組織における職務の分離等の考え方とも一致します。特に、開発・プログラム保守と運用の職務の分離については、小規模企業ではIT部門の人員が少なく、これを教科書どおりに実現することは極めて困難な場合も少なくないと思われますが、「プログラム保守の正当性、つまり、不正なプログラムの作成をどのように防止もしくは発見する統制があるかを検討することになります。」と書かれている通り、プログラム変更には管理者が必ず、事前に承認することや、プログラム保守の記録を取り、管理者が確認するなどの補完統制について、リスクが十分に低減されているかを評価することになります。

とはいえ、このような補完統制ですら十分に実施できる状態にない場合も少なくないと思われますので、職務の分離で行くか、補完統制で行くかをよく考えた上で改善することになります。

もう一つ、外部委託先の内部統制の評価に、いわゆる「１８号報告書（「内部統制の整備状況報告書」または「内部統制の整備及び運用状況報告書」）」を用いる場合の考え方も書かれています。１８号報告書は、あくまで、財務諸表監査の中で実施される統制リスクの評価の一環として実施されるものであり、委託業務に係る内部統制の認証業務でもなければ、経営者が内部統制評価を行う場合に利用することを想定した業務でもありません。といいながら、一方で同じJICPAから公表された監査保証実務委員会報告第82号では、「その他受託会社からの報告書の例としては、日本公認会計士協会が公表している監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」（以下「監査基準委員会報告書第18号」という。）に定める「内部統制の整備及び運用状況報告書」、米国公認会計士協会（AICPA）が策定した監査基準書第70号（SAS70、改訂後AICPA Professional Standards Vol.1、AU sec324）による報告書等の諸外国の制度における報告書が考えられる。」とも書かれており、少々整合性が？？なような気もします。

また、、「虚偽表示リスクを評価するには、「内部統制の整備及び運用状況報告書」を入手し、検討する必要があります。」とあるとおり、整備状況のみならず、運用状況についても検討する必要があるのは、委託業務でも社内で行っていても同じです。

以上、ポイントだけを挙げましたが、とにかく、これを熟読して、監査人のチェックリストに付き合って形式的でコストに比べ実効性が乏しかったり過度な統制にならないよう、しっかりとリスク評価と対応を行っていただきたいと思います。

投稿者 AH 時刻 00時45分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年3月20日 (木)

監査法人に対する検査結果を読む

金融庁の公認会計士・監査審査会（CPAAOB）が、2月27日に「監査の品質管理に関する検査指摘事例集」を公表しました。

http://www.fsa.go.jp/cpaaob/shinsakensa/kouhyou/20080227.html

正直これを読むと、このような調子で内部統制監査が果たして実施できるのだろうか？という気になってきます。それ以上に、監査法人ですらこんな状況なのに、果たして経営者が自ら内部統制の評価を適切に実施することなどできるのだろうか？という懸念もあります。

一方、これらの指摘事項がすべて解決するような監査を行ったらJ-SoXはどうなるか？ということも考えておきたいと思います。特に「５．監査業務の実施」については、監査を受ける立場の上場会社にも関係してくることですので、是非目を通しておいていただければと思います。

「(1) リスク・アプローチに基づく監査計画の立案② 重要な虚偽表示のリスクの評価」については、内部統制報告制度への対応にも影響を及ぼす可能性があります。というのも、上場会社側に重要な内部統制上の欠陥があると、もはや財務諸表監査を実施することが事実上難しくなるという判断を監査人側がせざるを得ない状況に追い込まれてしまう可能性がよりいっそう高まるからです。

「当監査事務所の監査実施者は固有リスクの評価を更新していない。」については、監査人独自で情報を収集し、独自で判断することになるとしても、その際に上場会社側が自ら経営環境の変化に応じて虚偽記載リスクを評価していればその結果を参考にするということは十分にありえます。逆に、上場会社が経営環境等を踏まえた虚偽記載リスクの評価を適切に行っていないとすれば、監査人としても監査リスクが高まるので、監査を受託するかどうかという判断をする際に問題となる可能性もあります。

「③ リスク対応手続の決定」には、「内部統制が有効ではなく、統制リスクが高いと評価しているにもかかわらず、内部統制に依拠した監査手続を実施している。」と書かれていますが、経営者自身による内部統制評価の結果、重要な欠陥があるとして内部統制が有効ではないと判断された場合に、監査人は内部統制に依拠した監査を実施できないということが徹底されるということを意味します。そして、例えば、販売プロセスや購買プロセスにおいて内部統制に依拠せずに実証テスト中心に監査手続を実施ということになると、かなりの時間がかかるか、または事実上監査実施が不可能ということにもなりかねません。もちろん、J-SoXの場合は内部統制全体にかかる有効性ですし、上記は部分的に有効ではないという場合も含むので、一概には言えませんが。

従来から監査人による内部統制の評価が不十分、または評価した結果依拠できない水準であるにもかかわらず、依拠できるものとして実証テストを十分に行っていないということはあったのではないか。ほんの数年前までIT統制をほとんど評価しないで内部統制に依拠した監査を実施していた時期がずっと続いていたことからも想像できます。でもそれではまずいということで、IT統制の評価を数年前から本格的に実施し始めたということは皆さんもよくご存知かと思います。つまり、この文言は、財務諸表監査がますます厳しくなり、時間もかかるようになることを意味します。そうならないようにするためにも、上場会社側も内部統制をきちっとしておく必要があると思います。

「(2) 経営者等とのディスカッション」については、監査人側が経営者ときちっと話をしなさいというのが趣旨ではありますが、裏を返せば、経営者も監査人とディスカッションできるよう、「企業及び企業環境の理解」「不正及び誤謬に起因する財務諸表の重要な虚偽の表示の可能性」についてディスカッションできるようにしておかなければならないということでもあります。そのためにも、内部統制構築の基本方針、基本計画策定の段階で、これらをきちっと把握･整理しておくことが重要ではないかと思います。

「(3) 継続企業の前提」について、「継続企業の前提に重要な疑義を抱かせる事象等が存在している被監査会社について、当監査事務所の業務執行社員は、経営計画の実行可能性に関する詳細な検討を行っていない。」とありますが、これは上場会社側からすれば、そもそも経営計画が適切に作成されておらず、実行可能性も明確に説明できない、という状態であるならば、監査人は監査上の結論を出せないため、最悪監査意見が出ずに上場廃止になる可能性もあるということでもあります。つまり、継続企業の前提に重要な疑義のある子会社等については、まずきちっと経営計画を作成し、親会社においてもその実行可能性を評価し、監査人に説明できるようにしておく必要があるということです。

「今後の事業計画の実行可能性の検討や増資資金の入金の確認等を行ったとしているものの、再生スキームや支援を引き受けるとされている主要株主について把握していないなど、継続企業の前提に関する注記の内容について十分な検討を行っていない。」についても同様です。上場会社としては、継続企業の前提の注記に係る内部統制を整備しておかなければならないということです。

「(4) 会計上の見積りの監査」については、もちろん、監査人側がそもそも監査手続を実施していないケースと、監査手続を実施しようとしたが、上場会社側の内部統制の不備、つまり見積の根拠がきちっと示されていない（文書化されていない）ために、監査手続の実施が不能というケースがあるかと思います。今までは、会社側の資料が少々不明瞭であったり不完全であっても監査人が許してくれたということもあったかもしれませんが、今後は、上場会社側から見積もりの根拠がきちっと示されない限り、監査人は重要な監査手続を実施できず、監査意見を出せないということになると思います。

以下、きりがないのでやめておきますが、要は、監査人のスタッフ不足、能力不足や怠慢で監査手続が実施できない場合はともかく、上場会社側の内部統制の不備によって監査手続が十分に実施できない場合には、ことごとく監査意見不表明という事態が起きうるということを念頭においておく必要があるということです。そして、このような監査手続に耐えうる内部統制の整備及び内部統制の証跡の確保を考えておかないとならないということです。

この指摘事項はそういう意味で、上場会社が構築すべき内部統制のレベル感を示すものとしても注目できると思います。

監査業界の恥をさらすようなものではありますが、敢えてご一読をお勧めしたいと思います。

この調子で内部統制監査に係る検査を実施されるとなると、内部統制監査において相当証拠固めをしなければならず、そのために、できるだけ客観的な根拠、文書を上場会社に対して求めるようになり、結果として「11の誤解」に書かれているような金融庁の望むような方向性には行かないだろうというように考えている人が少なくないと思いますが、どう思われますでしょうか？

投稿者 AH 時刻 21時55分ニュース, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年3月18日 (火)

再び内部統制報告制度に関する11の誤解～虚偽記載リスクの評価

再び「内部統制報告制度に関する11の誤解」ネタを。

上場会社を含むJ-SoX関係者の間でここ数日この話題で持ちきりですが、正直、金融庁の担当官には悪いですが、全く評価されていないといおうか、評判悪いですね。これが出たからといって監査人の対応は何も変わらないだろう、というのが大方の見方。会計士協会あたりがもっと具体的に説明でも出せば違うのでしょうけど。

それと、「別に「有効でない」という報告書を出したって上場廃止にならないのだったらいいじゃない」という姿勢が、どうも上場会社のJ-SoX担当者としては気に食わない。そういうわけには行かない。監査人の言うことを聞かないということがどういう結果を招くのか、そのことが金融庁はわかっているのか。監査契約の打ち切りもありうるし、監査意見形成の際にネガティブな印象、特に「財務報告及び内部統制構築に消極的」という印象を与えてしまうのはこわい。一方、監査人は「金融庁の検査が厳しい」「米国提携先がうるさいので仕方なく」といって、チェックリストを画一的、機械的に適用しようとして、やっていないことがあると、その会社で発生可能性がどの程度あるのかも考えずに「不備」と決め付けられてしまう。軽微な不備でも積み重なれば「重要な欠陥」になりうる。何でもかんでも不備扱いされてはたまらない。ましては虚偽記載リスクを会社として評価し、その結果として発生可能性や影響が小さいということでリスクを受容しているにもかかわらず、それが不備といわれては、経営は成り立たない。

監査人には、「経営者としてのバランス感覚」などというものはあまり関係ない。それで利益が増えようが減ろうが、監査上のリスクさえ下がればよい。極端な場合、「赤字になろうがどうなろうが、チェックリストでいい成績をとって「有効」にするためには人を入れて職務の分離をしろ」、といういうことになる。そのくらいでないと監査人としてはリスクを負いきれない。

たしかに、バランス感覚の崩れた売上至上主義、利益至上主義で、財務報告やそれに係る内部統制をおろそかに考えている経営者もいないわけではないと思います。だからといって、利益を無視して教科書的、理想的な内部統制を構築しろというのも、もともとJ-SoXの「経営者の視点で内部統制を構築」するという根本思想からすれば明らかにバランスを欠いている。

バランスをどこで取るか。そのカギはやはり虚偽記載リスクの評価。リスクに応じた対応を考えればよい。虚偽記載リスクは、チェックリスト、3点セットを表面的に作成しているだけでは本当の意味で評価しているとはいえない。経営者の資質であり、社風・社内の人間関係であり、従業員・役員のスキルであり、会社を取り巻く環境であり、そういったもろもろのもの（外部環境、統制環境）を総合的に勘案して、リスクを評価しなければならない。

「うちの会社にそんなことできるほど仕組みを理解している人はいないからリスクは低い」などと会社の人が言うと、監査人は「でもそんなことはわからない。もしかしたら」といって、不正操作ができるほど仕組みを理解している人がどこにでもいることを前提にリスクを評価しようと考える。この時点で、リスクの発生可能性の評価がわかれ、経営者が考える有効な内部統制のレベルと監査人の考えるレベルに乖離が生じてしまう。J-SoXの前提は、おそらく経営者の方が監査人よりも自社のことはよくわかっていてリスクも適切に評価できる。だから必ずしも監査人やコンサルのいうことを聞かなくてもいいということになる。しかし、実際には、監査人の評価を受け入れて統制を構築せざるを得なくなる。

例えば、小規模組織について、「11の誤解」には「職務分掌に代わる代替的な統制：マンパワーが不足している場合などには、経営者や他の部署の者が適切にモニタリングを実施することで可。」とあります。これに対し、監査人は「職務の分離」や「独立した内部監査」を求める。一方、経営者（会社）は、「少人数で誰が何をやっているかは見通せるので、悪いことはしにくいし、もしやったとしても上司や社長が普段から見ているからすぐにわかる。だから、職務の分離や独立した内部監査機能は不要」と主張する。まさに「11の誤解」の通りです。しかし問題なのは、本当に上司や社長が普段から部下の仕事をきちっと見ているか、コミュニケーションが取れているか、ということです。「小規模だからできるはず」ではなく実際にやっていなければダメなのです。小規模組織で起きる不正の多くは、結局上司や社長も忙しくて（主として営業や付き合い）、管理的なことは部下に任せっぱなしになっていて全くチェックしていないケースかと思います。小規模組織では現金出納と経理を一人の人がやっていて「職務の分離」どころではないようなケースもあると思うのですが、それで任せっぱなしでは不正が起きたとしても不思議はない。監査人としては、「上司が見ている」とはいっても、営業事務や経理関係については多くの場合そうはなっておらず任せっぱなしで「彼（彼女）ならまじめにちゃんとやるだろう」という期待を持っているだけということを知っているので、にわかには会社の主張を承服しかねる。こういうところでも構築すべき内部統制のレベル間に差が出てきます。この場合には、監査人のほうが会社の実態を経営者よりもよく把握していて適切にリスクの評価ができていることもある。

一番難しいのが経営者自身に関する評価の部分（統制環境）。会社自身の評価では、恐らく実態は別として、形式的に財務報告を重視する姿勢に関する文書かなんかが出されていれば、それで「有効」と考えるのかもしれませんが、監査人は、あくまで直接経営者とディスカッションして得た心証や他の役職員、外部の関係者等からの情報による心証から、客観的に評価しようとする。「どうもそういう話を聞いた限りでは、あそこの経営者は売上至上主義、利益至上主義で、会計や内部統制重視しているようには思えない」ということになる。ここで、監査人は「重要な欠陥」になる大きな可能性または監査上のリスクを認識する。財務諸表監査であれば、「不正への対応」ということで監査人が厳しくチェックすればよいのですが、内部統制となるとどうか。監査人も会社も、形式だけ整っていればで済ませてしまおうとするか、それとも、経営者の本当の姿勢及びそれによってもたらされる社風や従業員の行動心理にまで踏み込んで、個々の統制の有効性を考え、経営者の意向にあまり左右されずに実質的に有効に機能するような仕組みを考えていくか。J-SoXの趣旨からすれば後者の対応になるように思いますが、実際には、経営者の本質的な部分に触れるよりは、ことを荒立たせずに形式的、表面的な対応で済ませようという場合が少なくないような気がします。

こういうことをやっている限り、経営者と監査人の溝は一向に埋まらない。

監査人にちゃんと説明して議論すればわかってもらえるはずなのにそれをしようとしない会社側、そして、リスクを表面的にとらえてマニュアル・チェックリストを機械的に適用しようとする監査人。この組み合わせだとどんどんコストが膨らみ、あまり意味のない実効性のない統制手続ばかりが増えてしまいます。

「虚偽記載リスクの評価と対応」にいかに客観性と経営的な視点･バランス感覚を持たせるか、それが大きな課題かと思います。

「11の誤解」が「自社のリスクを最も把握している経営者が、主体的に判断。」「監査人の指摘は、内部統制の構築等に係る作業や決定が、あくまで企業・経営者によって行われるとの前提の下で、適切な範囲で行われる必要。」というだけではおそらく不十分で、

「経営者は、虚偽記載リスクについて、判断の根拠を示した上で評価する。基本的には、経営者は自らの虚偽記載リスクの評価結果に応じた内部統制を構築し、それが有効に運用されていれば内部統制は有効であると判断することができる。監査人が経営者の虚偽記載リスク評価結果が明らかに合理的ではないと判断した場合には、監査人は経営者と十分にディスカッションする必要がある。監査人は、監査人自身が財務諸表監査において実施する虚偽記載リスク評価結果のみに基づき経営者による内部統制の有効性評価の妥当性について意見を述べてはならない。ましてや、経営者による虚偽記載リスク評価を踏まえずに機械的にマニュアルやチェックリストで求められている統制行為を経営者に求めたり、経営者がリスクがないまたは低いと評価しているにもかかわらず対応する統制行為の実施を求めたり、対応する統制行為が存在しないまたは統制が弱いことをもって「内部統制の不備」として取り扱ってはならない。こういうことが行われていないかどうかを、公認会計士監査審査会及び日本公認会計士協会においても検査・レビューの重点項目とする。これがあくまでJ-SoXのスタンスであって、経営者のリスク評価結果を受け入れるのか、監査人のリスク評価結果によるのか、そこが米国のダイレクトレポーティングとの違いである。」

というくらいまで書けば効果はあるかもしれません（ちょっと無理があるので難しいでしょうけど）。とはいえ、ディスカッションにもかかわらず、虚偽記載リスクの評価結果にかかる両者の溝が埋まらないと結局最後の監査意見のところで「不適正」になってしまう可能性があります。

たしかに、経営者が客観的な根拠・証拠を示して虚偽記載リスクを評価、監査人に説明するのは難しい。どうしても経営者自身の主観といおうか、「勘」といおうか、感覚的なものが入り込んでくる。少しでも客観的な証拠がなければ監査人が会社の判断を全く認めないというのは、裁判対策といおうか自分の身を守るためにはいいかもしれませんが、監査人にしても、専門家としての「経験」と「勘」に頼る部分が全くないわけではなく、それがあるからこそ「職業専門家（プロ）」といえるところもあります。経営者が本当にそう考えているのか客観的な証拠がないと判断できないとなれば「ウソ発見器」でも使うしかないのか。とそんな状況になるとすれば、監査人のいうとおりに形式だけ整えておいた方が楽、というように思ってしまう経営者または担当者の気持ちもわからないではありません。しかし、それではJ-SoXの本来のあり方からは外れてしまうことになります。

金融庁も会計士協会も、もっと経営者の立場に立った「虚偽記載リスクの評価」と「対応」についての議論が深まり、形式論に走らなくてもすむような具体的な考え方なり例を示してくれるとよいのですが。

投稿者 AH 時刻 00時50分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年3月13日 (木)

EDINET XBRL化パブコメ結果公表

EDINET XBRLに先立って行われたパブリックコメントの結果が公表されました。

「開示用電子情報処理組織による手続の特例等に関する内閣府令の一部を改正する内閣府令（案）」等に対するパブリックコメントの結果等について

http://www.fsa.go.jp/news/19/syouken/20080313-1.html

やはり、勘定科目の取り扱いに関する意見といおうか質問が多かったようです。これについては一読されることをおススメします。

特に、いわゆる別記事業に係る財務諸表の勘定科目について、追加の要請が多かったようですが、これらについては、いずれも当該勘定科目の今後の利用状況を見てEDINETタクソノミに追加するか否かを考えるそうです。あまり利用頻度の少ない特殊な勘定科目というのは、他社と比較することがないので、企業別タクソノミにおける勘定科目の追加（いわゆる「拡張」）によって対応しても、利用者側としては特に不便はないということでEDINETタクソノミに設定しないというのが基本的な考え方です。

また、逆にあまりに頻繁不定期にEDINETタクソノミを改訂してしまうと混乱が起きるということもあり、重要な会計基準や開示規則の変更がない限りは、期中でのEDINETタクソノミへの科目追加というのはないのではないかと思います。

その他、表示方法の変更の取り扱いやEDINETタクソノミから自社に合った勘定科目を選定する場合の考え方、勘定科目についた「等」の取り扱いなどが注目されます。

いずれにしても、いままでの表示科目がどうであれ、EDINETタクソノミに設定された勘定科目を使っても投資家の判断を誤らせない明瞭な表示がなされる限りにおいては、EDINETタクソノミの勘定科目を使ってほしいというのが金融庁の要請で、その場合には、正当な理由による表示方法の変更として取り扱うというということが重要なポイントです。また、変更の内容が明瞭に判断できる場合には変更の中身の注記は不要です。ただし、監査人も変更後の科目選択の妥当性は監査の対象としてみることになります。

なお、様式の体裁に関する財規の改正も行われるようです。

投稿者 AH 時刻 21時06分 XBRL, ニュース, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年3月12日 (水)

内部統制報告制度に関する11の誤解

金融庁からいきなり　「内部統制報告制度に関する11の誤解」　なるものが公表されました。

http://www.fsa.go.jp/news/19/syouken/20080311-1.html

実務の現場では、一部に過度に保守的な対応が行われていることへの対応だそうです。（本当に「一部」といえるのかどうかは疑問ですが）

ここに書かれていることは、１年前なら「誤解」といえたかもしれませんが、いまの段階にいたってまだ誤解をしている会社がどれほどあるのでしょうか？会社自身は誤解はしていないが、現実問題監査人からの要請がある以上、適正意見をもらうためにはやむをえないというケースが多いのではないか。

ということで、私が会社の担当者だったらこんな愚痴を言いたくなるというのを書いてみました。

１．米国SOX法と同じか

　これについて、違うことは誰でもわかっていますが、では実務上どのように対応が異なるのかという点については、事業拠点の選定以外は実はあまり変わらないのではないか。という感覚の方も少なくないのでは。また、監査法人も、US SoXのノウハウやツールをJ-SoXに移植している場合もあり、日本とのガバナンスの違いなどはあまり考慮されていないケースにまじめな会社が戸惑うケースはないのか。

２．特別な文書化が必要か

　企業の作成・使用している記録等を適宜、利用。といっても、現実には使えるものがほとんどなく、まして財務報告の虚偽記載リスクを評価した文書や統制について記述したものなどは皆無。であれば、最初から３点セットの形でつくってしまったほうが楽なのではないか。ただ、何せ慣れないので大変ですし、監査人からは書き方まで厳しく指導されるので、完璧を求められると現実問題かなりつらい。

３．すべての業務に内部統制が必要か

　「どんなに小さな業務（プロセス）でも内部統制を整備・評価しなければならない。」ということよりも、「どんな小さなリスクでもすべて洗い出して、しかもすべてに対して低減策を講じなければならない」という方がつらいのではないか。RCMを作るとどうしてもそういうことになりがち。すべてのリスクを洗い出さなければそれが重要性があるかどうかはわからないのではないかといわれればごもっともではあるが、細かいリスクを上げだせばきりがないし、「木を見て森を見ず」にもなりがち。それに、長年やっていれば、どのあたりに財務報告に重要な影響のあるような誤謬や不正が生じるかはだいたいわかっているので、そこを重点的に整備したい。リスクの高いところに重点的に資源を配分するというのが、リスクアプローチの本来の考え方ではないのか。監査人は十分に理解しているはずではありますが・・・。

４．中小企業でも大がかりな対応が必要か

上場会社を中小企業と呼ぶべきかどうかはともかく、中小規模の会社でやたらと規程やマニュアルの整備を要求したり、職務の分離を形式的に要求したりということは十分にありうることだと思います。しかし、ではどういう統制であればよいのか、ということについて、監査人（といおうか、経験の浅い若手会計士）が必ずしも十分な知識やノウハウをもっていないケースもまったくないとはいえず、自信をもってこの程度であれば大丈夫だろうという見極めが難しい場面もあるのではないか。だからつい形式的、教科書的な指摘になってしまいがち。コンサルも同様。そして会社自体も、自社においてこのような統制で十分にリスクを低減できているのかどうかについてよく考えていないので、コンサルや監査人のいいなりになりがち。よく考えれば十分という場合もあるにもかかわらず・・・。または、監査人への説明不足があったり。コミュニケーションの問題もありますね。

５．問題があると罰則等の対象になるのか

「内部統制報告書の評価結果に問題がある場合、上場廃止になったり、罰則の対象と
なる。」という誤解があるとのことですが、経営者は上場廃止などというレベルで経営しているのではなく、仮に内部統制に重要な欠陥があり、有効ではないという報告書を提出した場合のその他もろもろのインパクト、リスクを考えて経営しているはず。風評リスクや株価への影響も気になるし、会社法内部統制に関連して株主からの責任追及も怖い。買収リスクなども考えなければならない。日本の風土を考えると、経営者が「有効ではない」報告書を公表することについてはかなり心理的に抵抗があると思われますし、だからこそ何とか内部統制を改善しようという気にもなっているところなので、「上場廃止にならないから、罰則の対象にならないからいいんだ」ということではないでしょう。「初年度は有効でなくてもいい」といわれても、経営者はそうは簡単には割り切れないでしょう。

６．監査人等の指摘には必ず従うべきか

　監査人からの指摘に従わなければ、不適正意見が出て、虚偽記載扱いで上場廃止や罰則となれば、従わざるを得ないという気持ちはわかります。それと同時に、従っていた方が楽、という心理もあります。「自社のリスクを最も把握している経営者が、主体的に判断。」とはいっても、経営者は内部統制の専門家ではないですし、まして、「大丈夫だという証拠を見せろ、客観的に証明せよ」と監査人からいわれれば、なかなか苦しい。やはり心のどこかで社員を信じて経営者自身がリスクを負っている（受容している）ところがあるので、そこをつつかれると反論できない。しかし、信頼関係がないことを前提には経営はできない。そんなことを議論している暇があったら、少々不満でも監査人のいうことを聞いて、ほかのことをやったほうがいい、と割り切る経営者や担当者もいるでしょう。

「だって先生、実際にうちでは大きな間違いや不正が起きていないでしょう？内部統制がいまのままで十分な証拠ですよ」で済めば苦労はしないのですが・・・。まして、監査人から小さい金額ながらも頻繁に間違いを指摘されたり不正が発見されたりという「実績」があると、何を説明してもどうにも説得力がないのが・・・。監査人からの指摘事項を、その都度、確実につぶして再発防止策を講じているとだいぶ心証が違うのではありますが。

　また、「監査法人やコンサルティング会社の開発したマニュアル（内部統制ツールなど）、システムを使用しなければならないということはない。」とはいっても、では自分たちで考えろといわれても。統制上の要点を選定する根拠または整備状況が有効であることの根拠として「統制の粒度」「予防的統制か発見的統制か」「手作業か自動化か」「統制の頻度は」などということのRCM上の記述を求められると、実施基準の例示では到底対応できず、結局、監査法人のフォームに限りなく近づかざるを得なくなる。

　「統制上の要点」の選定基準というのは、実施基準上も極めてあいまいで、会計士協会においても統一的な見解はない。しかし、統制上の要点の選定理由の説明を監査人から求められる。であれば、あとからRCMを作り直すよりは、最初から大変でも監査人のフォームを使ったほうが楽という判断になる。または、監査人のツールを使えば、監査担当者も自分でリスクを負って判断する余地が小さくなるので、細かいことをあとからいわれずに監査も通りやすくなる（はず）。

　従ったほうが楽なこともある。これが経営者や担当者の本音でしょう。

　Q&Aの改訂版では、是非統制上の要点の選定根拠の示し方などについても触れていただければと思います。

７．監査コストは倍増するのか

　これは必ずしも誤解ともいえないのでは。あくまで個々の会社の状況によって異なりますし、監査人の姿勢によっても異なるでしょう。金融庁が監査報酬の抑制を暗に会計士業界に要求しているというのであれば別ですが。

８．非上場の取引先も内部統制の整備が必要か

　これはそれなりに誤解もあるかもしれません。特に最初の頃にIT業界があおった面も無きにしも非ず。そしてあくまでも財務報告に係る内部統制に限定した話であり、それ以外のことは関係ない。

９．プロジェクトチーム等がないと問題か

　プロジェクトチームがないと現実問題動かないということは、各社とも異論はないと思います。特に初年度については、片手間でできるような仕事でもない。評価については、内部監査部門がやるということであまり異論はない。プロジェクトチーム云々以前に「人手が足りない」「スキル・ノウハウがない」というのが本当の悩み。

　２年目以降に財務報告の虚偽記載リスクをどこの部署が取りまとめて対応するか（リスクの評価と対応の主体）というのは、各社ともそろそろ悩み始めているかもしれません。プロジェクトチームは時限的のつもりなので、３点セットは各部署で、取りまとめはどこかの部署で、ということになりますが、どの部署も既存の業務で手一杯。いずれにしても、仕事はいまより間違いなく増えるのです！

１０．適用日までに準備を完了する必要があるのか

　「もう間に合わない。」と思っていたとしても、それでは「有効でない」という報告を出す、または内部統制報告書を提出するのをあきらめて上場廃止への道を選ぶか、というとそこまでの覚悟もない。やはり何とかしなければならないがどうしていいかわからない、というのが出遅れ会社の悩みでは。「あきらめないでがんばれ！」というメッセージとしてとらえるのであればいいのですが。。。

　ただ、問題は、監査人の監査の都合上、評価作業、特に全社的統制の評価作業がある時期までに終わっていないと監査ができないという問題も現実にはあります。おそらく監査人は、四半期レビューの合間を縫って内部統制監査を実施するはずですが、あまり期末ぎりぎりになってあわてて監査手続を実施するのは避けたい。あまり期末近くまで内部統制が固まらないとなると、会社自体の内部統制評価も実施できず、監査手続の実施を先送りせざるを得ない。ここはなかなか悩ましい問題です。最悪のケースは、会社自体が内部統制評価をできそうになく、従って内部統制監査も実施できない可能性があるといった場合に、監査人として監査契約を締結できるかというレベルです。評価範囲の一部除外というレベルで済めばよいですが。

１１．期末のシステム変更等は延期が必要か

　ここは確かに誤解があるかもしれません。ただし、「やむを得ない事情」というのはあくまで個別判断なので、事前に監査人と協議が必要でしょう。また、万が一システム変更に失敗した場合のリスクをどう低減させるかということも考えておく必要があります。

以上のことは、どちらかといえば中堅以下の上場会社のケースを想定しているので、巨大グローバル企業には当てはまらないかもしれませんが、数としては中堅以下のほうがはるかに多いので、金融庁も経団連の役員になっているような企業だけでなく、中堅以下の企業の状況にも目を向けていただきたいと思います。　

また、円滑な実施に向けた行政の対応も公表され、会社・監査人へのヒアリング、追加Q&Aの公表、相談窓口の設置、指導中心の行政対応などといったことが書かれています。

しかし、そもそも保守的な対応が行われる背景がどこにあるのかをよく考えないと、あまり実効性のない対応になってしまいます。監査人の責任の大幅軽減（民事訴訟への対応を含む）、監査法人への検査における形式重視から実質重視への転換など、金融庁自体が監査法人への締め付けをゆるめればある程度解決するような問題もあれば、監査人の不勉強による混乱が原因のものもある。一方、会社側の不勉強や監査人の言いなりになったふりをして何かあったときの責任を監査人に押し付けようという風潮が原因になっている場合もある。監査法人における海外の提携先からの圧力のように国内だけではどうしようもない問題もある。とにかくよく分析して適切に対応してもらいたいとおもいます。

とまぁ、追い詰められたJ-SoX担当者にとってはほとんど慰めにもならない「１１の誤解」ではありますが、「まだ間に合う。がんばれ！」という応援メッセージだと思って、あきらめずに一つずつ課題を解決していきましょう。

投稿者 AH 時刻 01時55分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (1)

2008年3月 6日 (木)

3/17よりEDINETシステム変更

2008年3月17日より、EDINETシステムが変わるそうです。

http://www.fsa.go.jp/search/20080304-1.html

いよいよXBRLによる財務諸表提出、利用の環境が整うわけです。

XBRLによる提出は3月決算会社の2009年3月期に係る第一四半期の四半期報告書からですが、その前に提出する有価証券報告書等については、従来どおりのHTML方式での提出になります。

EDINETの情報の利用者にとって新EDINETのメリットを享受できるのは、早くて2008/8月頃からになります。

なお、1月から行われていた上場会社向け説明会の資料が掲載されていますので、説明会に参加されなかった上場会社の方は是非ご覧いただければと思います。

投稿者 AH 時刻 00時33分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年2月22日 (金)

JICPA　IT業務処理統制等評価手続例公表

JICPAは、ＩＴ委員会研究報告第36号「自動化された業務処理統制等に関する評価手続」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/main/36.html

先日公表された35号「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」と一体として理解することが推奨されています。

本研究報告では、ＩＴに係る内部統制のうち、自動化された業務処理統制等及び財務諸表監査におけるリスク評価手続並びにリスク評価手続のうち運用評価手続の具体的例示を挙げ、解説しています。フローチャート、業務記述書、RCMの例示もあります。

ここで「リスク評価手続」というのは、J-SoX実施基準で言えば「整備状況の評価」に対応するものと言ってもよいかと思います。

自動化されたIT業務処理統制等の評価について、具体的なイメージがわかない、どの程度やればいいのかレベル感がつかめない、事例がないなどといった悩みも聞かれましたが、これは一つの参考にはなると思います。

興味深いのは、運用評価手続。整備状況の評価と一体として評価するケースが少なからず挙げられています。例えば、整備状況の評価におけるウォークスルー時に実施するといったことになるかと思います。どの程度サンプルを採るのかということにもよりますが、IT全般統制が有効であれば、例えば1件採ればよいということにもなりますので、そういう場合には、ウォークスルー時に1件チェックすればよく、改めて別途運用テストを行う必要もないのではないか、ということなのでしょうか。

ただし、これはあくまで例示なので、個々の会社の実態に合わせて、ということはいうまでもありません。

いまごろなぜ？という見方もあると思いますが、財務諸表監査におけるIT統制の評価手続の中でどうしても全般統制中心の評価になってしまい、業務処理統制がおろそかになりがちまたは手が回っていなかったということも無きにしも非ずなのでしょう。いままでここまでの監査手続を受けたことがないというIT部門の方もいらっしゃるかもしれません。それだけに企業のIT部門もなかなかなじみがないということもあるかと思います。そういう方々にも参考になると思います。

投稿者 AH 時刻 01時41分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年2月20日 (水)

減点主義か加点主義か

もう2月も終り。J-SoX本番まで1ヶ月少々しかありません。

比較的順調にいっている会社でも、評価の練習のフェーズに入って、統計的サンプリングだのといった世界に足を踏み入れ、3点セットの不備の修正に頭を悩ませ、そして、IT統制の評価に呆然とし、あきらめムードといおうか無力感がただよい始めている頃ではないかと思います。

「あれもやらなきゃ」「これもやらなきゃ」と、課題が片付くスピードより課題が増えるスピードの方がなぜか速い。課題は増える一方。しかし一向によくならないし出口も見えない。

そういう心境に陥っているときには、ひょっとしたら「減点主義」のわなにはまっているのかもしれません。会計士の理屈による「理想論」を並べたチェックリストで「○」がついていないところが「不備」つまり「減点」になるということで、それを片っ端からつぶしていって、「不備」をなくそうとする。しかし、「それをやって本当に意味があるのか？」「わが社でそこまで本当に必要なのか？」「これをやっていなくてもわが社はうまくいっているのではないか？」そんな疑問を抱きながら・・・。

しかし、チェックリストを「やっていないこと」を探すのではなく、「やっていること」を探すための参考例、と考えるとずいぶん気が楽になります。つまり、加点主義の考え方です。実際に企業の方とディスカッションをしていると、「そういわれてみれば、こんなこともやっている」ということが次々とでてきて、それを積み上げていくと、気がつけば「意外とちゃんとやっているな」ということになることが少なくありません。全社的統制のチェックリストなどというのは、どちらかというとそういう性格のものです。日常的モニタリングとか情報と伝達に関係するところなども、「いわれてみれば・・・」というのが多いような気がします。

もともとは別の目的で行っている統制行為なので、「財務報告」には関係ないと思っていることも、よくよく考えると財務報告の信頼性確保に役立つようなモニタリングになっていたりすることはよくあります。毎月行っている予実分析、損益分析などというのもそういう類です。なぜ今月はこんなに利益率が悪かったのかを分析しているうちに、実は帳簿の数字が間違っていた、などということを発見するというのはこうした例です。

統制目標をきちっと理解したうえで、その目標を達成するためにどんなことが役立っているか、を色々考えてみると、案外、様々な統制が利いていて、その結果として財務報告に係る不正、誤謬が防げたり発見できたりしている。チェックリストの項目は決して「理想論」ではなく、あくまで例にすぎません。他の方法で目標が達成されていればそれでもよいのです。

人間どうしても他人の欠点を探して批判するのは得意でも、長所を見つけてきちっとほめてのばす（単なるお世辞ごますりではなく）ことは苦手です。私自身もそうですが、会計士とか検査官、調査官といった人種はとりわけそういう傾向があることは否めません。自信をもって長所をほめる、「大丈夫だ」というお墨付きを与えるというのは、簡単そうでいて難しいです。J-SoXも「監査制度」を入れてしまったので、何となく減点主義的な色彩が強くなっていますが、八田先生の解説などを読んでいると、上場会社側の「評価」については、性善説といおうか、加点主義のイメージがあるような気がしてなりません。ダメなところを見つけて減点をするためというよりは、今やっていることを評価の素人である経営者が自信と責任をもって「大丈夫だ」といえるためには、どういう理論構成、説明をすればよいか、という視点で書かれているようにも感じられます。

残り少ないですが、是非そういう視点でいまやられていることをもう一度見つめなおしてみてください。

投稿者 AH 時刻 23時10分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年2月 9日 (土)

ＥＤＩＮＥＴタクソノミ(2008-02-01版）公開

平成20年3月期の第一四半期から適用される有価証券報告書の一部のXBRL化に用いられる「ＥＤＩＮＥＴタクソノミ(2008-02-01版）」が正式に公開されました。

http://www.fsa.go.jp/singi/edinet/20080208.html

このあとは関連内閣府令、ガイドライン等の正式版が公表される予定です。

まずは「勘定科目リスト」をご覧いただき、現在自社で使われている勘定科目が存在するかどうかを確かめ、もしない場合にどのように対応するかを監査人との事前協議を含めご検討いただければと思います。

なお、XBRL化に伴い、勘定科目を変更する場合には、「正当な理由による表示方法の変更」という扱いになるようです。

投稿者 AH 時刻 01時51分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年2月 7日 (木)

まだまだ見えないIT統制評価

あと2ヶ月で本番年度だというのに、なかなか実務対応が見えてこないJ-SoX。とりわけIT統制については、あいかわらず企業として構築、評価をどこまでやればよいのか見えてこないことに不安を覚えていらっしゃる方も少なからずいらっしゃるのではないかと思います。

先日ご紹介したJICPAの「IT統制の枠組み」についても、J-SoXにおける内部統制監査にどのように適用されうるのかが見えてこない。

となると、最後は会社と監査人との交渉ごとになりうることも覚悟しなければならないのではないか。つまり、監査人が必要だということをやるのではなく、会社が必要だと考えることをやり、監査人に対し、必要と考える理由または必要ないと考える理由をきちっと説明できるようにしておくこと。「できないからやらない」ではなく「やる必要がないからやらない」という説明ができること。そして監査人を説得できること。

理論的に言えば、例えば、現実的に生じうる「リスク」を洗い出した上で、その発生可能性及び影響額が低いものについては低いと考える理由を説明。そこについては、教科書的に内部統制の不備があったとしても、敢えて対応しない、ということを説明し、リスクが一定水準以下に抑えられているということで「不備」として扱わないことを監査人に認めてもらうといったことになるかと思います。

これは、内部統制の構築に係る例ですが、評価範囲や評価方法、3点セットの記載方法についても監査人を説得するケースが出てくるのではないかと思います。例えば、「誰が読んでもわかるように」と監査人から指導されたとしても、それは社外の部外者にまでわかるレベルまで必要なのか、社内の関係者（関係部門、内部監査等）及び監査人が理解できればよいのか、というところはずいぶんレベル感の違いが出てくる可能性があります。関係者に統制の内容が理解ができて、かつ、実際にウォークスルーや運用テストを実施する際に読んで統制の内容が理解できていればよいという考え方もできるかもしれません。内部監査室の方が読んで何を言っているのか具体的なことをいちいちこまかく質問しないとわからない、というのは困るかもしれませんが、逆にいえば、質問すれば理解ができて適切な評価が行いうるのであれば、3点セットの記載が少々大雑把でも許される場合があるかもしれない。大きな会社であれば、評価する社内のことがよくわかっていない内部監査人が評価を行うことはありえるでしょうけど、小さな会社であれば、内部監査人も当該業務（統制）に精通しているので、業務記述書などが少々大雑把でも統制の内容を正確に理解して適切な運用テストを実施できるかもしれません。とはいえ、権限と責任に関係するような「誰が」などというように最低限書いておかなければならない情報は記載しておかないとまずいと思いますが。監査人は、粉飾を見抜けなかった場合の訴訟に備えて文書を作るくせがついているので、訴訟に耐えうるレベル、裁判官が理解できるレベルまで求めるかもしれません。必要とされるレベル感はまちまちにならざるを得ません。

というように、それぞれの会社の事情に合わせて、本当にリスクが適切に洗い出され、それに対する統制によってどの程度リスクが低減されているか、及び適切な評価結果を導き出すのに十分かどうかといったことを説明できるように会社側でも考えておかないと、監査人のある意味理想論に付き合っていていつまでたっても出口が見えないということにもなりかねません。

ということは、会社側も相当勉強して、しっかりと理論武装をしておかないといけないということですし、逆に社内の状況は監査人より経営者自身の方がよくわかっているはずなので、事実の認定に誤りがなく理論武装さえきちっと正しくしておけば、監査人が会社の考え方を完全に否定することはなかなか難しいのではないかと思います。監査人としても、会社側が理論武装をきちっとしており、内部統制についてきちっと理解していれば、それ自体はいいことなのではないかと思いますし。

ということで、そろそろ本番に向けてどこまでやるかという「落としどころ」を探るタイミングになってきています。監査人の「指示」を待つばかりでなく、自らも考えていただければと思います。

投稿者 AH 時刻 00時24分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年2月 2日 (土)

東証、四半期決算短信の新様式・作成要領（試案）公表

東京証券取引所は、2月1日に「四半期決算短信の新様式・作成要領（試案）」を公表しました。

http://www.tse.or.jp/rules/kessan/quarter/q-yoryo/index.html

これは平成20年4月開始事業年度から適用される四半期報告書制度の導入に対応したものです。

２月１５日まで意見募集中です。３月には正式に公表予定だそうです。

公表されたのは、

四半期決算短信様式・作成要領　【一般事業会社（第１四半期～第３四半期）及び特定事業会社（第２四半期）用】

四半期決算短信様式・作成要領　【特定事業会社（第２四半期）用】

四半期決算短信における適用初年度の対応について

の３つです。

論点としては

・初年度において四半期報告書が前期分を記載しなくていいのに対し、四半期短信のほうは２期分書くのか否か

・XBRL形式で提出する財務諸表の取り扱い（適用時期とPDFの取り扱い）

なお、新EDINETにおけるXBRL形式での提出は第1四半期分の四半期報告書ということで、実際に提出されるのは20年8月初旬頃と思われます。新TDnet稼動時期は20年7月ですが、新TDnetにXBRL形式で四半期財務諸表を提出する時期については決まっていないようです。

また、財務諸表部分については、初年度は、XBRL形式で当年度分のみ、PDF形式で前年度と当年度を提出することになるようです。

このほかの部分のXBRL化は第1四半期分からのようです。

投稿者 AH 時刻 00時50分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年1月28日 (月)

結局やることは・・・

前回、前々回と自問自答モードになってしまいましたが、結局のところ、

・ITを利用した自動計算、自動処理が適切になされているか

・ITを利用した統制が有効に機能しているか

・なおかつ、これらが継続しうる状態になっているか

ということを確かめるテストを行えばよい、ということになるのではないかと思います。

具体的には、

1.ITで自動化された処理、統制等（自動化された業務処理統制等）を仕様書閲覧、質問等で把握・理解する

2.これらが実際に有効かどうかを、再実施、検算等で確かめる

3.上記を支える全般統制を評価して、上記が継続的に維持される仕組みになっているかを確かめる

とこんなことかと。

なお、会計監査の考え方からすれば1.2.は最初の年及び変更があった年のみ整備、運用状況の有効性の評価を実施。全般統制は毎年。ということになるかとも思いますが、どうなのでしょう？

順番としては、

・自動化された業務処理統制等の把握、整備状況の評価

・当該アプリケーションの基盤の把握及び全般統制の評価

・全般統制の有効性に応じた自動化された業務処理統制の運用状況の評価（運用テスト）

という感じでしょうか。

あとは、それぞれの監査人に聞いていただければと思います。

投稿者 AH 時刻 20時59分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年1月25日 (金)

自動化された業務処理統制「等」を考える

前回、JICPAの研究報告について取り上げましたが、これについたトラックバックの記事の中で、以下のような記述がありました。

『2007年11月8日に公開していた草案との変更点の1つは、自動化された業務処理統制の考え方で、確定版では、自動化された会計処理手続きと、システムから出力した情報のうち、手作業で実施する業務処理統制に利用する情報を、自動化された業務処理統制に入ると明記されたことだ。』

トラックバックをつけてもらって文句を言うのも何なのですが、私はこの部分には少々違和感を覚えました。というのも、私の理解では、「自動化された業務処理統制」の概念を広げて「自動化された会計処理手続」や「手作業の統制に利用されるシステムから自動生成された情報」を含んだわけではなく、これらを一応別物と定義した上で「等」として同様の扱いをすることにしたということではないかと思うからです。

では、実施基準やJICPA監査保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」における「ITに係る業務処理統制」との関係はどのように考えればよいのか。さらにシステム管理基準追補版とはどうか。少々前のJICPA IT委員会報告第3号及び関連する研究報告との整合性は？

ということで、すべてに目を通してみました。正直、実施基準と82号は一致しているものの、あとは整合性が取れているとはいえないなと感じました。監査をする立場で見た場合には、IT3号と82号と今回の「枠組み」の定義の関連性を説明してくれるか、概念をどれかで統一してくれないと訳がわからない。

例えば、実施基準や82号の「ITに係る業務処理統制」は、

「ＩＴに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたＩＴに係る内部統制である。」

とあります。

システム管理基準追補版流の解釈によれば、

「情報処理そのものは、IT 業務処理統制ではない。例えば、リベート計算をする際、IT を利用した計算は情報処理そのものであり、リベート計算が承認された規則に沿って正確に実施されているか確かめることが統制である。」

となり、自動計算や自動化された会計処理手続（自動仕訳）自体は「統制ではない」ということのようなのですが、となると、J-SoXにおけるIT統制の評価上は対象にならないのか。という疑問がわいてきます。

IT3号のQ&AのQ7では、販売システムに係るIT業務処理統制の検証手続例が記載されていますが（図表2）、ここでの売上に係る自動仕訳（売上計上）については

（アプリケーションシステムの機能）

月次で自動仕訳を生成し、会計システムに接続させる

（情報システムの業務処理統制）

販売システムから会計システムへのインターフェースのコントロール

と書かれています。自動仕訳の生成そのものを検証するというより、システム間のインターフェースのコントロールを検証するという手続になっています。

一方、Q9の末尾に「いずれの場合においても、計上金額の自動計算の方法が適切であるか・・は重要な留意点となります」とあり、「IT業務処理統制」ではないが、内部統制としては自動計算を検証する必要性について言及している。

これに対して、「枠組み」とセットで現在公開草案が公表されている「自動化された業務処理統制等に関する評価手続」の「（別紙２）Ⅸ 販売サイクルに関するリスクと統制活動及びその評価手続の例示」では、同様の部分につき、全く異なるアプローチをしています。

つまり

（想定されるリスク）

売上高等の計算を誤るリスク

（統制行為）

販売管理システムでは、「出荷済み」となった受注データについて、出荷数量、商品マスタ、得意先マスタに基づき売上額が計算され、売上データが作成される。

（想定されるリスク）

売上及び関連科目が財務諸表に適切に計上されないリスク

（統制行為）

仕訳データが、出荷日を取引日として、売上データ１件ごとに自動生成され、会計システムへ計上される。

これは、「枠組み」でいうところの「ＩＴにより自動化された機能」のうちの「自動化された会計処理手続」に該当します。なお、これと一緒に例示されているフローチャートでは、実は、販売管理システムと会計システムのインターフェースに関する「統制」つまり「取り込みエラーリスト」の出力と内容確認、修正確認という手続が示されていますが、（別紙２）では自動化された統制等のみ記載しているようなので、載っていません。

システム管理基準追補版の事例でも、「自動化された情報処理」は「統制」の範疇に含まれていないため、RCM等の例示の中には出てこないようにも思えます。

では、実施基準では、従来どおりの考え方での狭義の「IT業務処理統制」のみ評価対象にするのか、それとも「自動化された会計処理手続」なども業務処理統制同様の評価を行うのか。全般統制によってプログラムが適切であることを「間接的に」保証するだけではダメなのか。

これらの公式文書だけみていたのでは、なかなかわかりません。

ただ、監査実務上は、CAATなどの手法を使って、「自動化された会計処理手続」が実際にきちっと機能しているかどうかを確かめているということになっていると思いますので、監査実務上の混乱はないのかもしれません。ただ、経営者の評価としてはどうなのか？？？

とにかく、JICPAには、是非これらの概念の整理をしていただきたいと思います。

投稿者 AH 時刻 01時59分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年1月21日 (月)

JICPA IT統制枠組み確定版公表

日本公認会計士協会（JICPA）は、ＩＴ委員会研究報告第35号「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/35_1.html

昨年11月に公表された公開草案の最終確定版です。

研究報告というのは、監査人にとって拘束力のあるものではなく、あくまで参考にするといった性格のものです。また、あくまで財務諸表監査を行う監査人のための研究報告であり、J-SoXにおける経営者の評価を想定したものではありません。ただ、企業側にも十分参考になりますし、恐らく監査人が実施する内部統制監査においてもそのまま使えるものであると思われます。

それはさておき、内容については、まず実施基準やシステム管理基準追補版などを見ても非常にわかりにくかった「IT業務処理統制等」または「ITにより自動化された機能」についてわかりやすくシンプルに3つに区分したことが特徴です。

(1) 自動化された業務処理統制
(2) 自動化された会計処理手続
(3) 手作業の統制に利用されるシステムから自動生成された情報

「(1)自動化された業務処理統制」がいわゆる狭義の「IT業務処理統制」といわれるものであり、「統制」そのものです。(2)は「統制」そのものではありませんが、会計処理が自動化されることで、財務報告の虚偽記載リスクが低減されるという点から、統制に準じた取り扱いがなされますが、厳密にいえば「統制」ではありません。(3)はITを利用した統制において使われる情報の生成であり、これも統制そのものではありませんが、「手作業+自動化」のような感じで認識されているものです。これら3つをあわせて「IT業務処理統制」と呼んでいるケースも無きにしも非ずですが、厳密には（1)だけが「IT業務処理統制」と呼べるものです。このあたりの概念の混乱が、IT業務処理統制の理解の妨げになっていたような気はしますが、この研究報告でわかりやすく整理されたので、今後は理解が進むでしょう。

そして、これらについて具体的な例示も掲げられています。いままで「IT業務処理統制」として理解していたものが実は違ったといったこともよくわかると思います。

さて、IT全般統制との関係も具体的に説明されています。IT全般統制というとすぐに「セキュリティ」とか「情報システム部門の仕事」みたいな印象で説明されてしまい、中には「J-SoX対応のキーはISMS」などといった？？？な説明も聞かれますが、全般統制は、会計監査の世界では、あくまで、「IT業務処理統制や自動化された処理の有効性を継続的に支える統制」という理解がなされていまして、それ以上でもなければそれ以下でもない。上記(1)から(3）のそれぞれを全般統制がどのように支えているのか、また、全般統制がどのようにこれらをモニタリングしているのかという視点での説明がなされています。

さらに、IT全般統制の適用範囲決定手順も明らかにしています。

(1) 自動化された業務処理統制等がある場合は、当該機能を提供するアプリケーションシステムを特定する。
(2) 当該アプリケーションシステムが依存している全般統制を対象とする。

つまり、全般統制はアプリケーションシステムを支えるものという観点であり、リスクについても以下のようなことが例示されています。

・ＩＴに関わる開発管理手続（プログラムの開発管理）

・ＩＴに関わる変更管理手続（プログラムの変更管理）

・ＩＴに関わる運用管理手続（コンピュータの運用管理）

・ＩＴに関わる情報セキュリティ管理手続（プログラムとデータの情報セキュリティ管理）

これをみても、ISMSの領域とは一部重なる点があるものの、イコールではないことがわかります。経済産業省のシステム関係の基準でいえば、システム管理基準と情報セキュリティ管理基準の両方に関係してくることになります。

繰り返しになりますが、IT全般統制の有効性というのは、IT業務処理統制等の有効性に関連付けて検討される必要があります。IT業務処理統制等を継続的に有効ならしめるものになっていなければ、IT全般統制が有効とはいえません。ところが、IT業務処理統制等を識別することをせずにIT全般統制のみを切り離して評価すればよいといったような風潮がやや見受けられるのは残念なことです。特に、会計システムとIT全般統制の関係というのは、J-SoX上は非常に重要です。ITに係る規程を作ったはいいけれど、肝心な会計システムは考慮されていなかったとか適用範囲外で、結果的に会計システムに係る全般統制が未整備、ということになってしまったのでは意味がありません。

また、「IT全般統制の評価を行って有効であれば、IT業務処理統制の評価を行う必要がない」という声も聞こえますが、「全般統制が有効＝業務処理統制が有効」でもなければ「全般統制が有効でない＝業務処理統制が有効でない」ということでもありません。全般統制が有効でなければ、仮に業務処理統制がある時点で有効であったとしても、次の日には有効でなくなっている可能性もありますが、全般統制が有効であればそういう心配はあまりないので例えば最初に1件チェックすればよい、ということであって、業務処理統制の有効性（特に運用テスト）を全く評価しなくてもよいということではありません。逆に、全般統制が有効でないからといって直ちに業務処理統制が有効ではないということでもない。業務処理統制の有効性を何度も繰り返ししかもサンプリングの範囲を広げて評価し、その都度有効であれば、ある一定期間にわたって有効だといえないわけでもありません。ただ、財務諸表監査では、全般統制が弱い場合にそう何度も業務処理統制の評価を行うことはあまり現実的ではないので、そういう場合には、IT統制をあてにしない（依拠しない）という扱いで、IT業務処理統制の評価を行わないというケースはあります。財務諸表監査で監査人が内部統制に依拠しないことはありえますが、それと経営者自身がIT統制を評価しなくてもよいというのは全然別の話です。

この研究報告では、EUC、スプレッドシート統制についても言及しています。

その使い方により自動化された業務処理統制等と同じようなＩＴ特有のリスクが存在する場合には、ＩＴ特有のリスクを低減するために、リスクを低減させる内部統制が必要である。

というのが基本的なスタンスであり、その場合、IT業務処理統制及び全般統制を評価することになりますが、一方で、

スプレッドシートについては、作成者以外の再計算等の手作業の統制で十分な場合もある。

とも述べており、スプレッドシートについてIT統制として評価しない場合もあることを示しています。実務上は、使い方が高度で複雑であるかどうかなどを勘案して、再計算、検算などといった手作業統制を適用するにとどめるケースも少なからずあるのではないかと思います。

以上、簡単に内容をご紹介しましたが、もともとITにあまり強くない一般の公認会計士を対象に書かれていることもあり、ITに関する専門的な知識があまりなくても感覚的に理解できる部分が少なくないです。J-SoXに取り組まれるIT部門以外の方にもおススメします。

特に、情報システム部門とのコミュニケーションがうまく行かず、IT業務処理統制について躓いている方には必読書です。

投稿者 AH 時刻 20時37分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (1)

2008年1月17日 (木)

銀行向け内部統制監査留意事項案公表

日本公認会計士協会から、業種別委員会報告「銀行等金融機関における財務報告に係る内部統制の監査の留意事項（中間報告）」（公開草案）が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/post_948.html

基本的には実施基準やJICPAの内部統制監査の実務上の取り扱いに沿ったものになっていますが、銀行特有の勘定科目ついて実施基準の解釈上どのように取り扱うのかといった考え方や評価範囲の考え方などが書かれています。

一般事業会社や他の業種については一見関係ないようにも思えますが、例えば、業績変動が大きな場合における重要性基準値の考え方や、財務情報に似ている情報をもとに作成されている開示事項等で財務報告の範囲に含まれるか否かの考え方とか、支店が多数ある場合の取り扱いとか、金融検査マニュアルとの関係とか、参考になるものもあります。

それと、最近一般事業会社または持ち株会社が企業グループ内で銀行業を営む場合もありますが、その場合にも部分的に適用できるものであることに留意する必要があると思います。

今後、他の業種についても同様の取り扱いが公表されるかどうかはわかりませんが、目を通しておいて損はないでしょう。

投稿者 AH 時刻 00時01分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2008年1月 3日 (木)

EDINETタクソノミβ版公開

みなさま　あけましておめでとうございます。

ついに「2008年」が幕を明けてしまいました。今年は内部統制報告制度、四半期報告書制度、そしてEDINET XBRL化と、金融商品取引法による開示制度の大変革の年。ちまたで「2008年問題」などとも言われる年です。

XBRL関係でも昨年末に続々とその詳細が明らかになってきましたが、役所の仕事納めの日でもある12月28日に、「EDINETタクソノミβ版」が公開されました。

http://www.fsa.go.jp/singi/edinet/20071228.html

これが事実上最後の意見聴取であり、1月下旬には2008年3月期に係る財務諸表等に使用されるEDINETタクソノミの確定版が公表されるとのことです。

すでにパイロットプログラムに参加された企業の方はおわかりかと思いますが、まずは、「勘定科目リスト」をご覧いただき、現在各社で使用されている勘定科目とどのような差異があるのか、ということをお確かめいただくことが必要です。

基本的な考え方としては

・財務諸表等規則、連結財務諸表等規則などの財務諸表の様式等を定めた規則、企業会計審議会や企業会計基準委員会（ASBJ）、日本公認会計士協会（JICPA）で定められている会計基準、実務対応報告、実務指針等で示されている勘定科目は、その通りの名称でEDINETタクソノミに定義されているので、それをそのまま利用する（A群）

・業法等で、業種独自の勘定科目が決められている場合及び財規等と異なる勘定科目表記が求められている場合には、EDINETタクソノミの中の業種別タクソノミに当該勘定科目が定義されているので、それをそのまま利用する（Ａ群）

・その他の勘定科目については、現行の有報上で多く使われている勘定科目がEDINETタクソノミに定義されている（B群）。基本的にはこの中から企業が選択して利用することが望ましいが、明瞭性の原則上、EDINETタクソノミに定義された勘定科目を使ったのでは、財務諸表利用者（投資家）に誤解を与える可能性がある場合には、各企業で独自に勘定科目を英語表記を含め設定する（企業別タクソノミ）。

・現在使っている勘定科目からEDINETタクソノミに定義された勘定科目に表示科目を変更する場合には「正当な理由による表示方法の変更」に該当するという取り扱いになる。したがって、現在使用している勘定科目を継続的に利用することに固執する必要はない。ただし、EDINETタクソノミのどの勘定科目を使うかについては、当然のことながら会計基準、開示規則の考え方に従う必要があり、事前に監査人との協議が必要になる。

・勘定科目のみならず、例えば、減価償却累計額、貸倒引当金の表示方法や営業損益の表示方法については、基本的なXBRLの仕組みでは現行表示をそのまま踏襲できるが、XBRL化を期に他の表示方法に変更する場合には、事前に監査人との協議が必要になる。

ということになるかと思います。

なお、貸倒引当金、減価償却累計額等については、間接控除の場合と直接控除注記方式の場合では取り扱いが異なるので注意が必要です。貸倒引当金等を注記方式で開示した場合、注記部分はHTMLになりますので、コンピュータでは自動的に集計されません。XBRLデータとしては、純額、総額、引当金のすべてを入力しておき、画面表示するときには純額だけを表示するようにしておきコンピュータでも引当金金額を処理できるようにすることは技術的には可能ですが、これについては12月27日に公表された「開示用電子情報処理組織による手続の特例等に関する内閣府令の一部を改正する内閣府令（案）」の別紙10,14,15,16もあわせてご理解いただくとよろしいかと思います。

是非目を通されることをおススメします。

投稿者 AH 時刻 21時32分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年12月28日 (金)

新EDINET関連規則案公表

ここのところ、毎日のようにEDINET XBRL関連の情報がありますが、今日は、金融庁から、EDINET XBRL化に伴う新EDINET関連規則、ガイドライン案等が公表されました。

「開示用電子情報処理組織による手続の特例等に関する内閣府令の一部を改正する内閣府令（案）」等の公表について

http://www.fsa.go.jp/news/19/syouken/20071227-6.html

この中で、開示実務に影響が大きいと思われるのが、（別紙9）電子開示手続等ガイドライン以下の別紙の内容です。

電子開示手続等ガイドラインのうち、B個別ガイドラインについては、今回、新EDINET特にXBRL化に伴い全面的に改訂されています。全く新しいものになったといってもよいでしょう。

まずは、別紙10 EDINET概要書に目を通されることをおススメします。特に、第1章4「EDINET とXBRL」は必読です。

4-1 XBRL の範囲

有価証券届出書、有価証券報告書、半期報告書、四半期報告書の経理の状況等に掲げる財務諸表のうち、（連結）貸借対照表、（連結）損益計算書、（連結）株主資本等変動計算書、（連結）キャッシュ・フロー計算書について、注記事項や付属明細表等を除き、XBRL 形式により作成します。

（中略）

また、連結財務諸表等規則第93 条又は連結財務諸表の用語、様式及び作成方法に関する規則の一部を改正する内閣府令（平成14 年内閣府令第11 号）附則第3 項の適用を受け、米国式連結財務諸表を作成している会社が提出する連結財務諸表については、従来どおり、HTML 形式により作成します。

前段については、あらかじめ予告されていた通りですが、いわゆるSEC基準で連結財務諸表を作成している企業については、結局、XBRL化が間に合わなかったようで、従来どおりHTMLで提出されます。このような企業は国際的にも著名な企業が多く、国際的に見ればXBRLのメリットが大きいのではありますが、米国のタクソノミ（SECのUS GAAPタクソノミ）との調整の問題などがあるのでしょう。

4-3 XBRL の適用時期

XBRL 形式による書類の提出は、2008 年4 月1 日以後開始事業年度等を直近の事業年度等とする財務諸表等を掲げる有価証券報告書、四半期報告書、半期報告書及び有価証券届出書をEDINET へ提出する場合に適用されます。

とのことです。先日の発表では四半期報告書についてはっきりとは書いていませんでしたが、この記載を見ると、3月決算の場合、2008年第1四半期報告書からXBRLで提出することが明らかになっています。

さて、技術的なことはとりあえずさておき、会計実務家や監査人にとって重要なのが、別紙14～16のいわゆる「タクソノミ」の勘定科目に関するガイドラインです。特に別紙16「勘定科目の取扱いに関するガイドライン」は、「表示方法の変更」にも絡むところでもありますし、技術的なことが判らなくても十分理解できるところですので、是非目を通していただき、自社の開示への影響を早めに検討していただきたいと思います。

以前から話題になっていた、「表示方法の変更」についても初めて金融庁としての考え方が明らかにされました。Q6,Q7に記載があります。

EDINETへのXBRLの導入又はEDINETタクソノミの更新等に伴い、財務諸表の比較可能性を向上するために、従来から使用していた勘定科目をEDINETタクソノミの勘定科目に変更することは、正当な理由に基づく表示方法の変更に該当すると考えられます。

これによって、「正当な理由」の説明が要らないことになりEDINETタクソノミに定義された勘定科目に変更する場合へのハードルはかなり低くなるのではないかと思われます。

もう一つ、意外と企業側が気にするのが英語ラベル（勘定科目）の問題です。英語の勘定科目名は、実は国によっても異なり、それぞれの企業がこだわりを持って作成してきたところです。今回はEDINETタクソノミにおいて標準的な勘定科目名が設定されたため、原則として、その表記に従わざるを得ません。これは、大規模な企業では社内で英語対応が比較的容易であるのに対し、EDINETではすべての上場会社が英語化に対応しなければならず、こだわりを持って勘定科目表記を決めるよりは、一般的に通用する見本のようなものを示した方が対応しやすいという配慮に基づくものと思われます。

英語化については、Q14以下に示されています。

さて、今回のガイドライン案の中には、財務諸表等規則といったものが含まれていません。財規等の基本的な部分については変更する必要がないと思われますが、例えば、株主資本等変動計算書などは、XBRL化によって横型から縦型への変更があるなど、様式の変更が必要になる可能性があります。また、本来、財務諸表の開示様式については財規等及び財規ガイドラインといったところで決められていたのですが、今回公表された各種ガイドライン、特に「勘定科目の取扱いに関するガイドライン」の位置づけというのは、財規の下ではなく電子開示手続等ガイドラインの一部ということで、財規との関係がどうなるか、監査上の取り扱いはどうなるのかということについては、必ずしもはっきりとしていません。

膨大な資料ですが。とりあえず、目を通してみましょう。しかしなかなか読んで理解することが難しい。そういう方は、是非、EDINET説明会に参加していただきたいと思います。

投稿者 AH 時刻 00時37分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年12月26日 (水)

新EDINET説明会開催決まる

金融庁は、平成21年1月中旬から2月上旬にかけて、全国の財務局、財務支局において有価証券報告書等提出会社向け新EDINET説明会を開催することになりました。

新EDINETに関する説明会の開催について

http://www.fsa.go.jp/singi/edinet/20071226.html

このブログでも何度もお伝えしているEDINETへのXBRL導入を中心とした新EDINETについて、新システムにおける円滑な開示書類の提出及びXBRL導入に向けた提出環境の整備に向け、操作手順の確認等を目的として説明会を開催することとしたものだそうです。

詳細及びお申し込みについては、上記金融庁ホームページをご覧ください。

投稿者 AH 時刻 20時58分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

XBRL適用は21年3月決算会社から

金融庁は、12月21日に「金融・資本市場競争力強化プラン」を公表。この中でEDINETにおけるXBRL導入時期について言及しました。

「金融・資本市場競争力強化プラン」の公表について

http://www.fsa.go.jp/policy/competitiveness/index.html

このP.8には以下の記述があります。

ＥＤＩＮＥＴにおけるＸＢＲＬの導入

有価証券報告書等の法定開示書類を電子的に提出・縦覧するシステムであるＥＤＩＮＥＴ（Electronic Disclosure for Investors' NETwork）において、利用者が財務情報の分析・加工を容易に行えるよう、平成２０年４月以降に開始する事業年度に係る提出書類からＸＢＲＬを導入する。

つまり、平成21年3月決算会社から順次適用されることになります。これは、四半期報告書制度、内部統制報告制度の導入と同様です。ということは、3月決算会社においては、平成20年8月頃提出する最初の四半期報告書（平成21年3月期第一四半期）からXBRLで四半期財務諸表本表を作成･提出することになります。適用のもっとも遅い2月決算会社においては、平成21年7月頃提出される平成22年2月期の第一四半期に係る四半期報告書から適用になります。これで、すべての決算期の会社についてXBRL化することになります。

最初に作成する四半期財務諸表がいきなりXBRLということになりますが、すでに、四半期財務諸表用タクソノミが金融庁において作成されていますので、これを利用して作成します。四半期財務諸表の表示科目を今後検討することになると思いますが、その際には、年度財務諸表の表示科目、過去において取引所において公表している四半期財務諸表の表示科目だけでなく、XBRLの四半期財務諸表タクソノミに定義された勘定科目のどれが使えるのかということも考慮する必要があります。年度財務諸表においてXBRLを適用する段階では、前事業年度に使った勘定科目からXBRL　EDINETタクソノミに定義された勘定科目に「表示方法の変更」を行うことになる可能性がありますが、すでに最初の四半期報告書作成の段階から、期末の表示も意識しておくべきではないかと思います。

「2008年問題」などと陰でささやかれているように、四半期報告、内部統制報告、そしてXBRL、さらにIFRSに合わせた会計基準の改正など一度にやってきますので、経理部門にとっては容易ならざる状態にあるとは思いますが、考えようによっては、段階的に毎年変更があるよりは、一気に対応してしまった方が結果的には楽かもしれません。四半期やXBRL、子会社の会計処理の統一などへの対応を踏まえて、財務報告に係る内部統制を再構築することで、大変ではありますが、無駄な作業を避けることができるのではないかと思います。

内部統制を構築するに当たっては、このような制度変更への対応をきちっと踏まえた上で行うのが合理的です。是非、XBRL対応についても十分に理解しておいていただければと思います。

投稿者 AH 時刻 00時06分 XBRL, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年12月20日 (木)

JICPA IT業務処理統制評価指針案公表

日本公認会計士協会IT委員会は、2007年12月17日に

ＩＴ委員会研究報告

「自動化された業務処理統制等に関する評価手続」（公開草案）

を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/post_943.html

これは、あくまで監査人が財務諸表監査を行う際のIT統制評価の一環としてのIT業務処理統制を評価する場合の手続を示したもので、経営者が内部統制評価を行う際や監査人が内部統制監査を行う際にそのまま使うものではありません。いわば、IT委員会報告第3号のより詳細かつ具体的な説明または事例を示したものです。

しかしながら、経営者による内部統制評価の手法の多くが、もともと監査人による財務諸表監査における内部統制評価手法であったことを考えると、ここで示されたIT業務処理統制の評価手続を経営者がIT業務処理統制を評価する場合の参考とすることは十分可能なのではないかと思います。

説明部分については、11月8日に公表されたＩＴ委員会研究報告公開草案

ＩＴに係る内部統制の枠組み
～自動化された業務処理統制等と全般統制～

http://www.hp.jicpa.or.jp/specialized_field/post_930.html

とあわせて利用することが推奨されています。

さて、時間のない方は、卸売業におけるフローチャート、業務記述書、そしてRCMの記載例をご覧いただくとよいと思います。実施基準の事例と比較すると、IT業務処理統制に係る記載にかなり力点が置かれていることに気づくと思います。経営者がフローチャートを作成する場合、実施基準のような手作業統制中心のフローチャートとここにあるようなIT業務処理統制中心のフローチャートを分けて作成するか、それとも両方の目的を満たすようなフローチャートを作成するかは議論の分かれるところです。ユーザー部門（現業部門）が手作業統制、IT部門がIT業務処理統制の3点セットをそれぞれ作成するような場合と、業務とITの両方に精通したメンバーが両方あわせて作成するような場合でも違うと思います。

RCMを見ると、いわゆる統制評価手続についての例示もあります。3点セットまでは作成したが、その後の整備、運用のテストをどうすればよいかわからない、またはテストの結果をどのようにまとめればよいかわからない、という方も少なくないと思いますが、この様式はとても参考になります。ただ、整備状況については「リスク評価手続（デザインの評価と業務への適用を検証する手続）」、運用状況については「運用評価手続」と記載されているところが用語の面で少々異なります。

IT業務処理統制の評価については、各社とも非常に苦労しているのではないでしょうか。ユーザー部門はITのことがわからない、IT部門は業務のことがわからない、さらにIT部門が自社のITがどうなっているか把握しきっていないといったことから、責任のなすりあいになってしまうようなケースもあるのではないでしょうか。IT部門が自社のITのことがわからないなどというのは一昔前では考えられないかもしれませんが、外部に開発が任されたり、導入当初及びその後の変更のドキュメントが残っていなかったり、あまりにシステムが複雑になりすぎ、かつ分業化が進みすぎて、誰もその全貌がわからなくなってしまっているなどといった現実があります。IT業務処理統制を評価するには、こういう状態の中で断片的な情報を多くの関係者から聞き出して整理しなければなりません。そして業務についてもITについても、そして会計についてもそれなりの知識を持っていないければならない。こんな人材は社内にも社外にも、監査法人ですらなかなかいないというのが現状です。そんな状況で財務諸表監査におけるIT統制リスクの評価、内部統制監査におけるIT統制に係る経営者の評価及びそれに対する監査が適切に行いうるのかというのは、J-SoXにおける最大の懸念事項の一つといっても過言ではありません。IT統制とはいっても、全般統制に議論が偏りすぎ、業務処理統制に関する議論があまりに少ないというのも問題です。

この研究報告案は、そうした懸念を少しでも払拭するのに役立つのではないかと思います。

実施基準、システム管理基準追補版と合わせて熟読することをおススメします。

投稿者 AH 時刻 01時16分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年12月13日 (木)

久々に八田教授の新刊を読む

久々に八田教授の新刊を読む。

「これだけは知っておきたい内部統制の考え方と実務 (評価・監査編) 」

日本経済新聞出版社

実施基準の解説本としては「いまさら」の内容ではありますが、とにかく、アメリカ式を否定して、リスクの高いところにリソースを絞り込んで評価せよ、というリスクアプローチの考え方をしつこいほど繰り返し述べています。そして、米国式の勘定科目アプローチと日本式の事業拠点アプローチの違いについても述べ、米国の実務であった「すべての事業拠点について勘定科目の９０～９５％」というのも批判しています。まず事業拠点を絞り込むだけでもずいぶん手間が省け、その分リスクの高いところにリソースを集中できるはずだ、ということです。実際にやってみると、全社的統制、全社的観点で評価する決算財務報告プロセスを売上高の95％基準で選んだ事業拠点にやるだけでも相当大変な作業です。それを業務プロセスの3点セットにまで広げることを考えると、気が遠くなる。。。。規模の大きな事業拠点はそれなりに人材もそろっているのでまだよいのですが、小規模な事業拠点では対応は絶望的。また、仮に3点セットを作れたとしても、小規模であるがゆえに規程はない、職務の分離、内部牽制も難しい、など、形式的に見れば不備だらけ。その是正まで考えると現実ではないし、数人の規模の拠点に独自の規定やマニュアルを整備させたり、職務の分離のためにわざわざ人を入れたりなどというのはあまりにナンセンス。リスクをきちっと認識できないコンサルや会計士ほど、そういうところにまで形式主義で規程を作らせたがる傾向がありますから、企業としては地獄です。

そんなことを考えると、2/3基準で事業拠点を絞りこめるというのはありがたい規程です。

ところが、一方で、選定した事業拠点については、売上プロセスなどは原則すべて評価対象にしなければならない。これが非常に重荷になるケースがある。しかも、金額的重要性だけでなく「主たる事業との関連性が低い場合」というような除外条件をつけてしまい、JICPAも金融庁もその適切な事例を示せないでいるものだから、枝葉末節な売上パターンまで評価対象に入れろなどと、リスクアプローチの本来のあり方からすれば本末転倒な解釈がまかり通る。金融庁担当官の解説本では、除外できる例として「社員食堂の売上」などという事例を紹介していますが、そもそも、一般事業会社で自分の会社の社員食堂の収入を「売上高」で計上しているでしょうか？　そんなことはまずありえません。そんな会計実務とはかけ離れた事例しか示せない。JICPAは、「店頭売上」と「卸売売上」に例を挙げていますが、これも「関連性が低い」という事例としてはイマイチよくわからない。

ということで、例えば事業拠点が1つしかない（本社工場のみ）場合には、リスクの大きさ、重要性にかかわりなく、例外なくすべての売上パターンについて業務プロセスの評価対象としなければならないということになってしまいます。たとえ事業拠点が一つであっても、その中でリスクアプローチを適用することは実施基準の理念からは問題ないはずです。

企業側も会計士側も、そして金融庁も、そのことをもっと深く考え、示していくべきではないかと思います。事業拠点の選定基準が2/3なのに、事業拠点が一つしかない企業で売上の95％（僅少の基準が５％）を評価対象にしろというのは、明らかに矛盾した取り扱いです。実施基準の趣旨は積極的に評価範囲の絞込みを行わせ、重要な虚偽記載リスクにきちっと対応してもらうことだと思います。

実施基準はあくまで多数の事業拠点が存在する企業のケースを想定して「事業拠点アプローチ」を採用しているのであって、拠点が一つまたは特定の一つの拠点だけで全体の９５％を超えてしまうようなケースはまた違ったリスクアプローチの適用方法があると考えてもよいのでは。実務において「あくまで例示であって、企業の実態に応じて」ということをもっと重視すべきではないかと思います。

リスクアプローチの本質を理解すること、それが求められる。これが八田教授の本のメッセージではないかと個人的には思いました。

なお、あくまで個人的な感想なので、この考え方で監査人と議論して通るかどうかは保証の限りではまったくありませんのでご了承ください。

投稿者 AH 時刻 00時50分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年11月17日 (土)

新EDINET仕様公開

金融庁から新EDINETの仕様が正式に公表されました。

ＥＤＩＮＥＴ再構築に係る各種仕様等の公開について

http://www.fsa.go.jp/singi/edinet/20071116.html

今回は、主としてタクソノミとEDINET上での画面表示に関する仕様です。

パイロットテストの結果を踏まえたものだそうです。

これを前提に利用者側の分析ツールなどの開発が進むのではないかと思われます。ただ、タクソノミの適用、運用についてはいまだよくわからないところがあります。

投稿者 AH 時刻 23時21分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年10月25日 (木)

会計士協会、内部統制監査実務指針公表

日本公認会計士協会（JICPA）がついに内部統制監査実務指針の確定版を公表しました。正式名称は「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」です。

以下のページからダウンロードできます。

http://www.hp.jicpa.or.jp/specialized_field/main/82.html

J-SoX関係で正式に公表されるのはこれで最後ではないかと思います。

公開草案からの変更は本質的にはありませんが、内閣府令、ガイドライン、Q&Aの内容を踏まえた他、記載がより具体的になった部分、例示がわかりやすくなった部分が若干あるようです。

これは、監査人が内部統制監査を実施する時の実務指針ではありますが、内部統制構築･評価を行う上でも大変参考になるものです。実施基準の記述を引用しながらより具体的な例、考え方を示しています。

例えば、海外子会社がある場合の全社的統制の考え方（評価単位）などはとても参考になります。海外子会社の内部統制構築や評価は距離や言葉、文化の違いなどによって容易ならざるものがあり、各社とも頭を悩ませているところかと思いますが、どういう場合に親会社と同一の内部統制とみなし、どういう場合に独自の全社的統制を評価しなければならないのかなどについての考え方が示してあります。

その他、財務報告の範囲の考え方についても、実施基準より踏み込んだ説明になっています。

Q&Aにも書かれていましたが、ダイレクトレポーティングを採用しないが、実質は監査人が直接監査証拠を入手するという点がここでも強調されています。

「内部統制監査の実践において、意見書がダイレクト・レポーティングを採用しないとしながらも、「内部統制の有効性の評価結果をすべての重要な点において適正に表示しているかどうかについて、監査人自らが入手した監査証拠に基づいて判断した結果を意見として表明すること」を求めていることに留意すべきである。」

つまり、意見の表明の形が違うだけで、やること自体はダイレクトレポーティングの場合とあまり変わらないということです。ですから、内部統制自体が有効に構築・運用されていることと、監査人が自ら監査証拠を入手できるよう、内部統制の証跡をいかに残していくかというのが重要な課題となります。反面、経営者の評価における運用テストのサンプリングの仕方とかについては、それ自体を評価することはない。ということになります。評価文書については評価範囲の決定や統制上の要点の識別方法・結果さえきちっと文書化しておけば、あとは経営者自身がきちっと評価できている限りにおいては、評価文書の形式は問わない、ということになるかと思います。評価文書がどうであろうと監査人は自分で内部統制の有効性を評価するからです。米国では、企業側の負担を軽くするためにダイレクトレポーティングだけにする方向とのことです。

この指針によって、内部統制をきちっとすることより3点セットを監査がしやすいように完璧に作ることが優先されてしまうような本末転倒な対応が行われないようになるとよいのですが。

監査人向けで非常にわかりにくいかもしれませんが、とにかく熟読することをおススメします。

投稿者 AH 時刻 01時09分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (2) | トラックバック (0)

2007年10月13日 (土)

上場審査とJ-SoX

マザーズ以来の上場基準緩和の流れ。数値基準だけでなく、内部統制（内部管理体制）についてもかなり緩くなっているような印象を受けます。

そんな中で上場した会社の中には、J-SoX対応で四苦八苦している会社も少なからずあるのではないかと懸念しています。上場さえしてしまえばということで、上場後に内部統制のレベルを下げてしまった会社もあれば、もともとさほど高いレベルの内部統制ではないにもかかわらず、業績がよい、新規性、成長性があるということで上場が認められた会社もあるのではないか。いずれにせよ、上場後に内部統制をおろそかにしていた会社は、結果としていまそのツケを払わされることになるわけです。

一方、上場審査基準そのものは、緩くなったり厳しくなったりの繰り返し。なにか不祥事が起きると厳しくするのですけど、それでも内部管理体制の不備で上場できなかった例というのは極めて少なかったのではないでしょうか。

さて、最近では緩和の動きと強化の動きがともに出てきているという、きわめてまれな状況にあるのではないか。強化の動きとしては、主幹事証券による審査の強化であり、J-SoX対応です。J-SoXそのものは上場申請時には適用されませんが、上場年度には適用される。となると、上場していきなり「内部統制に重大な欠陥あり」というわけにもいかない。したがって、上場審査時にもJ-SoXに対応できる状態かどうかというのが判断規準のひとつにならざるを得ない。最近の上場会社でJ-SoX対応が出来ない会社があるとすれば、そういう会社は今後は上場できなくなる可能性もある。

当初予定では、今月中には、東証から何らかの上場基準の変更が公表されるのではないかと思いますが、果たしてどうなるのでしょうか？

投稿者 AH 時刻 02時02分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年10月 5日 (金)

J-SoX Q&A公表されるも

10月2日にJ-SoXの「Q&A」が「ガイドライン」とともに金融庁から公表されました。

http://www.fsa.go.jp/news/19/syouken/20071002-1.html

正式には

「内部統制報告制度に関するＱ＆Ａ」です。

実施基準をわかりやすく解説したものというよりも。FAQ（よくある質問と回答）という感じのものになっています。「以下は、内部統制報告制度に関して寄せられた照会等に対して行った回答等のうち、先例的な価値があると認められるものを整理したものである。」だそうです。

全部で20問からなっています。

基本的には実施基準に沿った説明にはなっていますが、一部のUS SoXを前提とした行き過ぎた反応（過剰反応）や対応に対して「釘をさす」ようなものもあります。

個人的な印象ですが、評価文書を作成するのにあまり手間をかけるな、ということを暗に匂わせているような気がします。例えば、監査法人の提示するツール（特に早い時期に示されたものの多くはUS SoX対応をベースにしていて記載項目が多い）を使わなければならないということはない、と明言したり、フローチャートを必ずしも作らなければならないということではないといったり、といったことです。全社的統制の評価範囲についても、明言は避けているものの、95％基準を黙認するような書きぶりになっています。

理解が難しいのが、

（問１８）内部統制監査において、監査人が監査するのは基本的に経営者の評価結果で
あり、評価の手続についての詳細な検証は求められていないとの理解でよいか

です。

これに対する回答は

「統制上の要点の識別の妥当性の検証は、評価手続の検証に属するものと考えられるが、実施基準では、それ以上に、内部統制の整備状況及び運用状況の有効性に関する経営者評価の検討において、監査人が経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったか（例えば、運用テストの具体的内容等）についての検証は求められておらず、監査人が監査するのは、ご指摘のとおり、経営者の評価結果についてである。」

となっています。私の個人的解釈では、内部統制監査において「二重責任の原則」の観点からダイレクトレポーティングは採用しないものの、実態は、ダイレクトレポーティングと同様に監査人が直接内部統制の有効性評価を行い、経営者の評価結果と同じであれば「適正意見」を出すということを容認しているのではないか。つまり、3点セット、とりわけRCMさらに具体的な運用テストに関する詳細文書の内容の検証まではしないので、監査対応のためにあまり細かく書かなくてもいい、あくまで、実施基準に沿って経営者自身が有効性を判断できる最低限のレベルでよいということをいっているのではないか、と思われます。例えば、RCMに統制の種類や頻度などをこと細かく書くような様式もありますが、実施基準に示されているサンプルのレベルでも、経営者が有効性を評価できるなら十分ということでは。

ただし、評価範囲、評価手続の概要（統制上の要点の識別）の内部統制報告書への記載が妥当かどうかは、評価文書を見て監査する。

それと私自身も忘れがちになりますが、内部統制監査はあくまで内部統制報告書の記載内容（評価範囲、評価手続の概要、評価結果）の妥当性の監査です。評価結果が適正かは見ますが、統制上の要点の選定以外の詳細な評価手続については記載内容ではないので、評価結果の妥当性を判断するために理解することはあっても、それ自体を詳細に検討してその妥当性を検討するわけではないということなのでしょうか。

一方、監査人が直接内部統制の有効性を判断するための証拠集めをするということは、内部統制の証跡はきちっと残しておかないといけない、そちらの方で厳しくされるかもしれないという懸念はあります。とりわけ、IT化、ペーパーレス化が進んでいる業務において、内部統制の証跡をどのように残し、監査人が検証可能な状態にしておくかは結構難しい問題ではないかと思います。また、紙の場合でもどの程度の期間保存すればよいか、保存場所等の問題はあると思います。

あとは、会計士協会の実務指針で、このQ&Aの趣旨をどの程度取り込むかにかかっていると思います。評価手続の詳細を試査で確認するというようなやりかたか、それともダイレクトレポーティングに近いやり方をメインにするかで、上場企業側の対応もずいぶん変わってくるような気がします。

とにかく、評価文書を作ること自体によって内部統制がよくなるわけではないので、出来るだけ簡単にして、むしろ、内部統制そのものの改善に力をいれたほうがいい、と個人的には思います。

何はともあれ、待望のQ&Aなので、まず目を通してみてください。

投稿者 AH 時刻 01時14分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年9月26日 (水)

「アサーション」の壁

だいぶご無沙汰してしまいましたが、そろそろ再開します。

ここ数ヶ月で一番の壁は「アサーション」または「経営者の主張」と呼ばれるもの、実施基準では「適切な財務情報を作成するための要件」、すなわち

　・実在性

　・網羅性

　・権利と義務の帰属

　・期間配分の適切性

　・評価の妥当性

　・表示の妥当性

だということを強く感じました。

もう少しいえば、RCMでこれらのアサーションのどれに該当するか、○をつけるのですが、これが難しいし、そもそもこれらのアサーションが具体的にイメージできないのです。

RCMというのは、実施基準の以下の手続を表形式で文書化したものなのですが、アサーションが理解できないと、この肝心な手続の意味を理解できず、RCM作成に苦しみます。

② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別

イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。

　このリスクを識別するに当たっては、当該不正又は誤謬が発生した場合に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となる。

ロ．虚偽記載が発生するリスクを低減するための統制上の要点を識別する。

　経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点から識別する。

　経営者は、個々の重要な勘定科目に関係する個々の統制上の要点について、内部統制が適切に機能し、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった要件を確保する合理的な保証を提供しているかを判断することを通じて、財務報告に係る内部統制についての基本的要素が有効に機能しているかを判断する。

　これを読んでもわかるとおり、「不正･誤謬によって発生する虚偽記載リスクが要件に与える影響」「要件を確保するための内部統制」というように、「要件」が理解できなければ、RCMは作成不能なのです。そこが、フローチャートや業務記述書との大きな違いです。

　実施基準にも一応の説明はあります。しかし、これを読んだだけではどうにも理解できない。特に、会計にあまり詳しくない各部門担当者や内部監査部門にとってはまさに「鬼門」であり、それがRCM作成の最大の障害になっているように思えます。

　では、どうすればよいか。経理部門が勘定科目別のアサーション（要件）をそれ以外の内部統制関係者に具体的にわかりやすく示してあげることです。

例えば仕入で言えば

「実在性」：架空仕入ではない。

・未納品、品違い、注文していないにもかかわらず物が届き仕入を計上するということがない

「網羅性」：仕入計上もれがない

・納品、検収したにもかかわらず、仕入（買掛金）計上がなされていないということがない

「権利と義務の帰属」：所有権が自社に移転し、支払義務が発生している

・取引条件（契約）によってあらかじめ決められた、所有権移転の要件が満たされている（例えば検収によって所有権が移転）にもかかわらず仕入計上されないということがない

「評価の妥当性」：仕入計上金額が正しい

・決められた単価と異なる単価で仕入が計上されるということがない

「期間配分の適切性」：決められた計上基準で計上されている

・検収基準であれば、検収時に仕入計上されないということがない

「表示の妥当性」　：適切な勘定科目で計上され、仕訳が起きている

・経理規程などで決められた勘定科目以外の勘定科目で計上されるということがない（仕入にもかかわらず販管費で計上する等）

　これであれば、例えば資材･購買部門や情報システム部門、内部監査部門でもある程度具体的にイメージできます。ここで「～ということがない」と書かれていますが、これは「要件を満たさない＝虚偽記載」リスクがないということを示しています。

適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点

というのは、「実在性」でいえば、「架空仕入を防ぐためにどのような内部統制が必要か」と言い換えることが出来ます。「評価の妥当性」でいえば、「計上金額間違いを防ぐためにはどのような内部統制が必要か」となります。

イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。

というのはRCM作成の第一歩ですが、識別すべきリスクは「虚偽記載リスク」であることを忘れてはなりません。そして、虚偽記載に結びつく不正または誤謬がITを含む業務プロセスのどこでどのように発生する可能性があるのかを識別するということです。単なる「不正」「誤謬」のリスクではないことに注意する必要があります。

例えば、仕入検収したにもかかわらず、検収入力を担当者が失念すれば、「仕入計上もれ」または「仕入計上遅れ」に結びつきますので「網羅性」または「期間配分の適切性」に関係することになります。逆に検収されていないのに検収入力してしまえば「架空仕入計上」に結びつきますので「実在性」に関係することになります。検収入力の際に納品書の金額を入力することになっている場合の金額入力間違いは「評価の妥当性」です。一方、検収入力時には勘定科目を入力するわけではないので、「表示の妥当性」には関係ないということになります。

ではこれらを防止するためにどんな内部統制が考えられるでしょう？例えば、入力担当者以外による入力チェックとかいった方法がまず考えられます。

このように考えながらフローチャートを追っていけば、RCMはさほど難しいものではありません。いつもこのようなことを考えて仕事を行っているわけですから。

久々だったので少々長くなってしまいました。続きは後日（気が向いたら）

投稿者 AH 時刻 23時44分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年8月22日 (水)

内部統制府令ガイドライン案公表

金融庁から内部統制府令ガイドライン案（「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令（平成19年内閣府令第62号。以下「内部統制府令」という。）」の取扱いに関する留意事項について（内部統制府令ガイドライン）案」が公表されました。あわせて四半期開示等に係るガイドライン案も公表されています。9/20まで意見募集中です。

http://www.fsa.go.jp/news/19/syouken/20070822-1.html

いわゆる「Q&A」とは別のもので、主として内部統制報告書の記載について述べられています。

・内部統制報告書に署名捺印する最高財務責任者

・記載内容の例示

準備段階ではあまり関係ありませんが、最終的な成果物のイメージをつかむ上では有用かと思います。

投稿者 AH 時刻 21時51分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

金融庁に訊く、内部統制府令とＱ＆Ａの行方

「金融庁に訊く、内部統制府令とＱ＆Ａの行方」

http://www.itcomp.jp/a/article.aspx?aid=177

たまたま見つけたこの記事は、翔泳社の「IT Compliance Web」というサイトで見つけたもの。

ここで注目は「Q&A」についてふれていること。

金融庁では「Ｑ＆Ａはあくまで基準、実施基準の内容の明確化を図るためのものであり、基準等の内容を実質的に緩和するものではなく、このあたりを誤解されないようにしていただきたい。Ｑ＆Ａの公表を待つということではなく、あくまで基準、実施基準をベースに、着実かつ計画的に内部統制の整備に努めていただきたい」と警鐘を鳴らす。（引用終り）

とのことです。やはり、私が思っていた通りのようで、ほっと一息です。

また、

金融庁総務企画局企業開示課　の担当官は、「先行して米国でＳＯＸ制度が導入されたこともあり、日本企業でも米国のように保守的な対応をとらなければならないのではないかという、誤解があった」と語る。

とも書かれています。

そして最後に

すでに米国流に取り組んでいる企業にとっては、日本独自のやり方に違和感を覚えることもあるかもしれない。

と述べています。

対応が早かった企業ほど、米国流にはまって途中で力尽きて、もう一度日本流でやり直し。しかし、どうしても米国流の発想から抜けきれずに苦労、などという話も聞きます。米国式をそのまま輸入したようなRCMのテンプレートと実施基準の例示を見ると、その項目数のあまりの違いに驚かされると思いますが、実施基準の項目数で作成したらだめということはないのではと思えるのですが、どうなのでしょう。

それと、全社的統制の実質的な不備を改善することによって、その後の業務プロセスレベルの構築が楽になるなどということも、経験上徐々に理解されてきているような気がします
。実施基準に書かれていることがようやく実感できるようになってきたといってもよいかもしれません。

こうやって考えると、今年の2月くらいに「もう手遅れ」とか「すべての上場会社が対応するのはムリ」などという声に対し、八田教授が「そんなことはない」といっていたことが現実味を帯びてきます。

とにかく、あわててむやみに米国式で3点セットを作りまくるというような対応ではなく、じっくり作戦を立てて、もっとも効率的効果的の最低限の対応で乗り切り、その余力をもって企業経営の本質的な改善に振り向けるべきではないかと思います。企業及びコンサルタントの創意工夫が問われるところです。

まずは、この記事をお読みになることをお勧めします。

投稿者 AH 時刻 01時56分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年8月14日 (火)

EDINET　XBRLパイロットデータ公開

現在、金融庁ではEDINET XBRL化に係るパイロットプログラムを実施中ですが、金融庁からそのサンプルデータが公開されています。

ＥＤＩＮＥＴパイロット・プログラムに関する開示書類閲覧用ページ

http://www.fsa.go.jp/singi/edinet/20070813.html

ＵＲＬ：　https://info.edinet-p.fsa.go.jp/
利用可能時間：平日午前９時～午後７時
公開期間：2007年８月31日まで

なお、意見、要望も受け付けているそうです。

私はまだ見ていませんが、何とか時間を作ってみたいと思います。

投資家など利用者の方に是非ご覧いただきたいと思います。

投稿者 AH 時刻 00時05分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年8月11日 (土)

内部統制内閣府令公布

8月10日に内部統制内閣府令、四半期財務諸表等規則、四半期連結財務諸表規則が公布されました。

内部統制内閣府令：財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令（内閣府令第62号）

あとは、Q&Aと会計士協会の実務指針の最終版を待つばかりです。

投稿者 AH 時刻 00時29分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年8月 2日 (木)

内部統制府令公布へ～パブコメ結果公表

金融庁から内部統制府令案に対するパブコメの結果が公表されました。まもなく、同府令が正式に公布される予定です。

http://www.fsa.go.jp/news/19/syouken/20070731-7.html

パブコメの結果を見た限りでは、大幅な変更はなさそうです。

なお、パブコメに対する意見の多くは、SEC基準で提出している上場会社や外国会社に関するもので、多くの上場企業にはあまり関係ないもののようです。ただ、その中で、連結子会社の決算期が親会社と異なる場合の取り扱いについては、注目すべきであると思います。

例えば、親会社が3月決算で子会社が12月決算の場合、親会社は3月末現在で内部統制の有効性を評価し、子会社は12月末現在で評価する。ただし、12月末から3月末までに内部統制の重要な変更があった場合には、3月末についても評価するといったことが書いてあったかと思います（実際にパブコメを見て確かめてください）。ということは、3月決算会社の12月決算の子会社がある場合には、今年の12月末決算からJ-SoX本番適用となり、親会社より早く準備を進めなければならなくなる可能性があるということです。無論、本番に入ってから内部統制を改善し、最初の評価期末である来年12月までに重要な欠陥をすべてつぶした上で、評価するという対応も可能ではありますが、期の途中で内部統制が変わるということによる評価作業の煩雑さという問題はあります。普通は、親会社を先に整備し、後から子会社を整備していると思われますので、これは結構つらいかもしれません。特に海外子会社の場合には難しい問題がいろいろでてくるかもしれません。

適用初年度期首でどこまで欠陥をつぶせ、また初年度期中に是正することによってどのような問題が生じるのか。期首までにすべてつぶせればよいですが、現実的には難しい場合も多いのではないかと思われます。そのような場合の対応も監査人に相談しておくとよいかもしれません。

投稿者 AH 時刻 23時31分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年7月19日 (木)

JICPA内部統制監査指針案公表

日本公認会計士協会（JICPA）は、待ちに待った内部統制監査の指針案をついに公表しました。8月13日まで意見募集中です。

監査・保証実務委員会報告「財務報告に係る内部統制の監査に関する実務上の取扱い」（公開草案）の公表について

http://www.hp.jicpa.or.jp/specialized_field/post_890.html

さて、あまりに長く難解な文章が続くので、ざっと目を通しただけですが、上場会社の皆様にも是非目を通しておいていただきたいと思います。

基本的には、（当然のことながら）実施基準の枠からは一歩も出ていませんし、先日の日経記事のように「緩和」されているわけでもありません。このタイミングで公表されているということは、おそらく金融庁から出されるであろうQ&Aの考え方とも整合性を取っているはずですので、Q&Aも実施基準の考え方を変更することはないのではないかと個人的には思います。

それはともあれ、まずは、プレスリリース本文に概要が記載されていますので、それをお読みになられることをお勧めします。

ポイントは以下のとおりです。

１．経営者と監査人の協議時期

　監査計画の策定より前、具体的には監査対象期間の相当初期の時点か、又は監査対象期間が開始する日以前が考えられること

　適用初年度においては、遅くとも来年の3月以前には監査人と協議を行って評価範囲等について決めるということになるのではないかと思います。

　さらに、本文では、監査人が監査と同時提供できるアドバイザリー業務（助言）等についても示されています。これによって、監査人が過度に保守的になって助言を躊躇するようなケースも徐々に少なくなってくるのではないかと期待されます。監査人にとっても、独立性の問題がクリアできさえすれば、初年度において内部統制の重要な欠陥や内部統制報告書の不適正が生じるリスクを回避するためにも、ある程度助言をすることも必要だと考えていると思いますので、今後は、監査人とのやり取りがいくらかスムーズになってくるでしょう。

２．内部統制監査の時期

　監査人は実施する内部統制の評価の検討の時期等に十分留意する必要があること

　逆にいえば、経営者は、監査人の監査実施時期と自らの内部統制評価実施時期について調整が必要になるということです。

３．業務プロセスに係る内部統制の評価範囲

　経営者が実施基準に示されたような手続に従い評価対象を適切に識別している限り、選定した重要な事業拠点の企業の事業目的に大きく関わる勘定科目残高のうちに連結財務諸表における当該勘定科目残高に対して、一定の割合（２／３）に達していないものがある場合でも許容されることを具体的な数値を用いて示したこと

　これは、実施基準の解釈上認められていたことではあると思いますので「緩和」ということが適切かどうかは疑問ですが、この指針案で具体的な数値を用いて示されたことは非常に重要です。

　また、一般事業会社以外の会社の場合の考え方が示されたことも重要です。

４．全社的な内部統制

　全社的な内部統制について、まずは、運用状況の評価について監査人が検討を行うことが従来の財務諸表監査と異なることが述べられています。そして、子会社を含む事業拠点における全社的統制の運用状況については、内部統制の同一性をモニタリングする内部監査が良好に運用されていることを前提に、親会社の本社等で評価の検討を行うことになるが、財務報告に係る重要な虚偽記載の発生するリスクが高いと判断される場合に事業拠点への往査の実施を検討することになるとの考え方が示されています。

　逆に子会社等の経営的独立性が認められており、内部統制の同一性が認められない場合には、それぞれの事業拠点ごとに往査する可能性もあるということです。監査人が往査するということは、その前に経営者が評価しなければならないということになります。

５．決算財務報告プロセス

　まず、全社的統制と同様に、運用状況の評価について監査人の検討対象となることが財務諸表監査と異なるという点について述べています。そして、ここで重要なのは、全社的な観点で検討することが適切と考えられる内部統制を例示するとともに、個別に評価対象に追加することが適切とされる内部統制の例とそれに対して実施する手続を示したこと、及び、決算・財務報告プロセスにおいては、表計算ソフトが広く用いられている現状を踏まえて、マクロや計算式の検証等の検討事項を示したことです。決算財務報告プロセスのうち全社的な観点で評価するものについて、実施基準だけではイマイチ具体性がなく、どうしたらよいのか困っていた向きもあったと思いますが、今回の指針案でそれが具体的にイメージできるようになったことは大変有意義です。

６．内部統制の重要な欠陥における重要性基準値の適用

　実施基準に掲げられた重要な欠陥に該当する全社的統制の不備の例が示されていますが、内容的には実施基準と変わりません。ただ、具体的にその影響をどう考えるかについての考え方が示されています。また、「連結税引前利益の概ね５％程度」については、例年と比較して連結税引前利益の金額が著しく小さくなったような場合や事業年度ごとに著しく変動する場合などは、金額的重要性の判断基準として当該数値を機械的に適用することは適当でないことを示し、このような場合には、財務諸表監査における重要性判断基準と同様に、実態に応じ、比率の修正や最近数事業年度の平均値を用いること等を検討する。としています。

　これも監査人にとっては極当たり前のことですが、ここで明らかにされたことによって、上場企業側にも考え方が伝わるという意味では大変重要です。これも、「緩和」とはいえないものではあると思います。

　以上、ざっとご紹介しました。日経記事の方向性は間違っていなかったものの、実施基準が「緩和」されるというのはいいすぎではないかということが、これを読むとよくわかると思います。

　一般の方には至極難解な指針案ではありますが、是非挑戦してみてください。

投稿者 AH 時刻 01時47分ニュース, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (1)

2007年7月13日 (金)

小規模子会社を考える

あいかわらず、日経「緩和」記事で盛り上がっていますが、それもあってか、「評価範囲」については「どうなるんだ」という期待と不安が。しかし、「評価範囲」について正しく理解している方は意外と少ない。「評価範囲以外は内部統制整備しなくていい」という誤解や、業務プロセスの評価範囲と全社的統制・決算財務報告プロセスの評価範囲の取り扱いの違いを正しく理解していない、一方、「評価範囲に入ったら必ず規程や内部監査制度を整備しなければならない」といった誤解もあります。１０人もいない会社で、権限委譲などもほとんどない中で、びしっとした規程や専任の内部監査が必要でしょうか？従業員の数より規程の数の方が多いなんて、よくよく考えるとおかしいですね。こういう会社では、大企業とは異なる全社的統制のあり方があってもよいはずです。また、親会社の規程を準用するようなことでもいいし、親会社の内部監査を受けることでもいいはず。リスクが異なればコントロールのあり方も変わる。この原理原則に沿って内部統制整備を進めていかないととんでもないことになります。こういうことをきちっと整理できるスキルがとても重要なのではないかと思います。

チェックリスト方式で全社的統制の整備を進めると、つい教科書的に満点を取りたくなってしまうのですが、チェックリストでNoをなくすのが大事なのではなく、どのようなリスクがあってどれがどのように低減されているか、または業務プロセスにどのような影響を与えるかということを見るのが大事です。

小規模の会社にとって重要なのは、こと全社的統制でいえば、おそらく経営者自身によるリスクの評価と対応、そしてモニタリングでしょう。「情報と伝達」は、１０人程度であれば、さほど問題ないはずです。１０人で風通しが悪いようでは・・。統制活動は、ダブルチェックなどしようにも・・・。人手を倍にするわけにもいきませんし。ただし、会計的な点については、経営者は専門ではないので、親会社の経理が面倒見るということもありうるでしょう。連結ベースで見た場合に、子会社だけで完結させずに、親会社の目が通るということがコツではないかと思います。

そういう考え方で進めれば、評価範囲が少々広がっても何とか対応できます。

しかし、チェックリスト方式で質問表を子会社に出して、「No」があれば「規程を作れ」とかいう感じで機械的にYesにするような対応になってしまうと。。。

実施基準の全社的統制の評価項目例は、あくまでリスクとコントロールを見る際の視点を提供しているに過ぎません。どのようなリスクへの対応なのかをしっかり考えて、その趣旨に沿ってあるべきコントロールを考えるべきです。

投稿者 AH 時刻 00時06分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年7月10日 (火)

ジャストシステムがEDINET対応XBRLツール発表

一太郎で有名なジャストシステムが、EDINET対応ツールの試用版を発表しました。

xfy XBRL EDINET対応版（試用版）

http://www.xfy.com/jp/edinet_trial/index.html

XBRLに詳しくない担当者でもEDINET作成データを提出できる、というのが売りのようです。

上記URLより無償ダウンロードできます。

これを使って、EDINETパイロットプログラム用のXBRL文書を作成し、提出できるとのことです。一方、XBRLデータを利用して分析や資料作成などの活用を行う機能もあるそうです。

このツールを使って、EDINETパイロットプログラムに参加できない上場企業や利用者側が、ためしにEDINETタクソノミによりXBRLインスタンスを作成し、それを分析するような実証実験または体験が可能なのかとも思い、ライセンス条件を読んでみたのですが、

2.2 開示書類の作成・提出
本ソフトウェアを利用した開示書類の作成・提出は金融庁が実施する「EDINET再構築に伴うパイロット・プログラム」に限られるものとします。

と書いてある。これが、EDINETパイロットプログラムに参加する企業がパイロットプログラムにおいてXBRL文書を作成する場合のみ使用可能ということなのか、それとも、本番では使わないこと、ということを言っているに過ぎないのかがイマイチわかりません。せっかく分析機能がついているのですから、単に作成だけでなく、分析機能も試してみたいのですが。。。機会があれば、ジャストシステムの方に確認してみたいと思います。

ジャストシステムといえば、一太郎やATOKというイメージでしたが、最近はこのXMLツール「xfy」にとても力を入れています。数年前からXBRL対応を謳っており、様々な機会にデモを行っています。技術の専門家ではないので、いまいちピンと来ないのですが、サーバサイドではなくクライアントサイドで使えるということで、個人投資家などにとってもかなり色々な使い方ができそうです。それだけに、実際に手にとって確かめたいのですが・・・。

投稿者 AH 時刻 02時56分 XBRL, ニュース, パソコン・インターネット, 経済・政治・国際 | 固定リンク | コメント (2) | トラックバック (0)

2007年7月 6日 (金)

人手によるIT統制と会計システム

IT統制、J-SoXでもっとも悩ましいところ。お金がかかるところ。。。

特に、IT全般統制といわれる統制は、コンピュータの専門家の力が不可欠で、中小規模の上場会社では対応が難しい。それ以前に、IT統制そのものを理解することが難しい。一口にIT技術者といっても、経理と人事と総務の違い以上の違いがある。IT統制を理解しているシステム監査技術者というのは、極めて特殊なIT技術者。ハードとアプリとネットワーク、さらにWeb系も全然別な人種。このような極めて異なるスキルをもった人材をすべて社内でそろえることは現実的ではありません。

では、どうすることもできないのか。といえば、そんなことはない。ユーザー部門による人手によるチェックという方法があります。特に、IT業務処理統制のジャンルでは有効です。例えば、アウトプット帳票と入力原票を照合して入力の正確性、完全性をチェックするとか、システム間のデータ連動であれば、それぞれのシステム帳票を照合するとか、異常な残高が発生していないかをざっとみるとか、検算してみるとか、そういう方法でコンピュータデータがおかしくないかを確かめることは出来ます。昔から、中小規模の会社はそうやってコンピュータデータが使えるかどうかを確かめているはずです。

データが落とせるのであれば、CSV形式で落としてExcelや監査ソフトで検算や異常データを抽出して、確かめることが出来ます。

IT全般統制は、IT業務処理統制を継続的に有効足らしめるための統制と位置づけられていますが、もし、上記のようなチェックを頻繁にやっているのであれば、もしかしたらIT全般統制に多少の不備があったり、評価手続が十分でなかったとしても、それをもってIT統制に重要な欠陥がある、または、十分な評価が行われていないということにはならない可能性もあります。

ただし、データ量が多く、システムが複雑で、しかもペーパーレス化が進んで、もはや上記のような人手によるチェックが出来ないような場合には、ユーザ部門の人手による統制だけでは十分とはいえない場合もあるでしょう。

ITを高度に利用していなければ、人手での統制でも結構役に立ちますし、システムに何か問題があれば、それを探し出すこともさほど難しくないような気がします。実際、さほど高度なシステムでなければ、開発段階で、開発をアウトソーシングしているような場合の、社内での検査、検収は、ユーザ部門が行う場合も少なくない。

また、IT部門があったとしても、プログラムを改ざんできるような人材がいないということであれば、プログラムの改ざんのリスクは低い。といったことで、あまり厳しい評価手続を実施しなくても、虚偽記載リスクにつながるようなケースは少ないのではないか。

逆に、重要な虚偽記載に結びつくようなリスクがあるような問題のあるシステムであれば、人手によるチェックでもある程度わかると思います。

さて、忘れがちなのですが、会計システムにおいて、仕訳を訂正する際の履歴をどのように残しているか、というのは、内部統制上非常に重要なテーマです。会計処理データが改ざんするのがもっとも手っ取り早い粉飾手口です。手書きの帳簿であれば、二重線を引いて訂正印を押すというようなことを必ずやるとか、消しゴムで消せないボールペンで記入するとかを必ずやっていますが、これがコンピュータになると、いつでも修正でき、しかも修正履歴を残さないようにすることが出来る場合があります。特に中小企業向け会計ソフトウェアにはこういう機能が見られます。しかし、重要な虚偽記載に結びつく改ざん等を発見するためには、加除訂正履歴を後で確認できるようにしておくことが重要です。電子帳簿保存法対応しているソフトウェアであれば、迷わず加除訂正履歴を残すオプションを選択するか、翌日以降のデータ変更が出来ないようにし、マイナス伝票と訂正後伝票を起票して、上司の承認を受けた上で入力するといったことをやる必要があります。これとて、高度なITの知識が必要なわけではなく、ユーザ側である程度対応できることでしょう。

このように考えると、IT統制について何も対応できていないということはない。何らかの人手による統制が存在する可能性が高い。まずは、それを把握した上で、それだけでは低減できないリスクを考えて対応することになるのではないでしょうか。

投稿者 AH 時刻 01時10分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年7月 5日 (木)

内部管理体制確認書と特設注意市場

東京証券取引所のJ-SoX対応が注目されていますが、6月22日に東証から公表された「上場制度総合整備プログラム２００７に基づく上場制度の整備等について」は、少々要注意ではないかと思います。

http://www.tse.or.jp/about/press/070622s.pdf

なかでも、特設注意市場に指定された場合に、上場申請のための有価証券報告書（IIの部）に準じた「内部管理体制確認書」を提出しなければならず、、内部管理体制確認書の提出が３回目となる場合で、当該確認書の内容等に引き続き問題が認められるときは、上場廃止するものとする、といったことが書かれている点には注目です。

特設注意市場については、有価証券報告書等の虚偽記載、監査意見が不適正、意見不表明の場合などで、該当して上場廃止のおそれが生じたものの、審査の結果、影響が重大とはいえないと認められ上場廃止に至らない場合において、内部管理体制等について改善を求める必要性が高いと認めるときは、投資者へ注意喚起する観点から、本則市場及びマザーズとは市場表示を分離した、特設注意市場（仮称）に指定するとされています。

即上場廃止にはならない程度であっても、3年間内部管理体制に改善が見られなければ上場廃止になるということでしょうか。

これ自体は、J-SoXについては何も言及していません。しかし、内部統制に東証として改善を求める必要性が高いような重要な欠陥があり、その結果、有価証券報告書等の虚偽記載、監査人の不適正意見等が実際に生じてしまえば、改善が見られない限り遅くとも3年後には上場廃止になるということです。内部統制報告書の虚偽記載、内部統制監査報告書の不適正意見または意見不表明の取り扱いがどうなるかはわかりません。では、自ら「内部統制に重要な欠陥があり、有効ではない」と会社が自ら宣言した場合はどうなのか。「正直に欠陥があることを開示すれば、実際に有価証券報告書に虚偽記載がなく、監査意見も適正である限りにおいては上場廃止にはしない」ということなのか？それとも、「内部管理体制確認書」の内容に問題がある（改善されない）場合と同様に扱い、3年間で上場廃止するのか？

このあたりは、先日の日経の記事からだけでは何とも判断できません。ただ、これを読む限り、東証が改善を求める必要性が高いような内部統制の重要な欠陥が長期間にわたり改善されない状態を是とは考えていないことは明らかです。改善を求める必要性が高いような内部統制の重要な欠陥による虚偽記載リスクが顕在化し、実際に虚偽記載が生じてしまった場合には、即上場廃止か3年間を期限として「特設注意市場」に指定されるかということははっきりしている。問題は、内部統制の重要な欠陥があり、虚偽記載リスクは潜在的にはあるものの、リスクが顕在化していない状態を東証がどう評価するか。

それはそれとして、内部統制の重要な欠陥が放置されている場合の投資家からの評価、というものにも注目しなければなりません。投資家の評価は、資金調達など財務戦略にも影響を与えます。

とにかく、情報に振り回されず、有価証券報告書、財務諸表を適正に作成するためにはどうしたらよいか、ということを考えて、しっかり対応しておくことが基本かと思います。立派な3点セットをたくさん作ったからよいというのではなく、重要な虚偽記載が発生しないような体制になっていることが確認できることが重要です。それを経営者自身が創意工夫して考える、というのが実施基準のもともとの考え方です。そして、実際に虚偽記載が発生していないこと。J-SoXは「結果」ではなく「プロセス」を見るといわれていますが、結果がでていなければ、プロセスも不十分ということにならざるを得ません。プロセスを改善し、結果を出すこと。それがなければ、結局上場廃止に結びついてしまうということは理解しておいた方がよいと思います。「緩和」という言葉に踊らされないよう、やるべきことをしっかりやりましょう。

投稿者 AH 時刻 00時19分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年7月 3日 (火)

大反響、内部統制「緩和」

今日は、朝から例の日経記事の話題で持ちきり。私の関与先でも、そんな話が出ましたが、ほとんどの方が「実施基準ですでに言っていることじゃないか」という印象をもたれていたようで、安心しました。

さて、この無名ブログも記録的なアクセス数でした。初めて公開するのですが、7月2日で

アクセス数：	776
訪問者数：	374

でした。

そしてそのほとんどが検索エンジンで「内部統制　緩和」といったキーワードで検索してきているのです。いかに多くの方が、あの記事に興味を持ったかがわかります。

それはともかく、ある会計士の方がおっしゃるには、実施基準というのはある意味どうにでも解釈できるように書いてあるとのことです。解釈で厳しくもできるし緩くもできる。画一的な適用を求めるのではなく、それぞれの企業の実態にあったやり方で、ということなのでしょう。Q&Aが本当にでるのかはわかりませんが、今までの金融庁から出たQ&Aの性格から考えると、実施基準より緩和するということはない。もともと緩和するような解釈が可能な実施基準の解釈指針として、緩和できる点を明確にするといったことになるのではないかと思っているのですが。全く個人的な想像です。もし本当に緩和するなら、実施基準そのものを改正せざるを得ない。しかしそういう話は出ていない。

とにかく、仮に実施基準そのものが緩くならなくてもがっかりする必要はないと思います。緩い解釈が出来るということが明らかになるだけでも十分意味はあると思います。

とはいえ、中小規模の上場会社にとってはあまり関係ない緩和策ですし、逆に、緩和されていたとしても、今まであまり内部統制にこだわってこなかったところは、新たにやらなければならないことが増えることには変わりないでしょうから。

形式主義ではなく、目的指向、実質主義でいきましょう。

投稿者 AH 時刻 00時53分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年7月 2日 (月)

ＣＯＳＯ内部統制ガイダンス　簡易版

いわゆるsmaller COSOといわれる、中小規模上場会社向けCOSO「簡易版COSO内部統制ガイダンス」の日本語訳が出版されました（同文館出版）。

これは、小規模ではなく中小規模ということで、かなりの会社が適用できるのではないかと思います。日本の上場会社のうちのかなりの割合は、中小規模といおうか、あまり多角化しておらず、組織も割合と複雑ではない。そういう場合には、これが使えそうです。

注目すべきは、SoXへの適用のために財務報告に係る内部統制にしぼりこんでいることと、COSOのフレームワークは全くそのままということかと思います。COSOのフレームワークを中小規模に上場会社に適用する場合の考え方が示されているということです。また、訳について言えば、実施基準作成にたずさわった方が中心ということで、実施基準に使われているような用語、例えば「全社的統制」を使ってくれているのもうれしいです。まず、概要をお読みになり、基本的な考え方を理解してからツールの中身に目を通されることをお勧めします。でないと、適用の仕方を間違えて、過度な負担の割には効果が上がらないということになってしまいます。

全社的統制のうち、取締役会や監査委員会に係るところは、我が国の会社法の制度や経営スタイルなどとは少々異なるので、注意が必要です。

この本の中でもCOSOのツール編をチェックリスト的に使い、企業の実態に合わない、あまり効果のないものまでやろうとすることの弊害が述べられています。そして、内部統制があくまで目的指向だということもいわれています。COSOが悪いというよりは、目的を忘れた使い方に問題があるということなのでしょうか。今回の簡易版の中でも「ガイダンスであってマニュアルではない」ということがいわれています。考え方は大いに参考にすべきですが、ツールをそのまま使うことは、日米の制度の違いもあることですし、避けるべきなのではないかと思います。

このようなことはあるにせよ、私はこの本をある程度大規模な上場企業の内部統制担当役員の方にも是非ご一読いただきたいと思います。読み方さえ間違わなければ、目的を忘れ、チェックリストに振り回され、過度な負担に苦しむ、そんな日々から人々を救い出してくれる、そんな救いの本ではないかと思います。

投稿者 AH 時刻 02時01分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月30日 (土)

内部統制ルール実質緩和は本当か？

今朝の日経新聞一面に「内部統制ルール実質緩和」という見出しが躍っていました。これを見て大喜びした方もいらっしゃったのでは。

しかし、よく読むと、東証の上場廃止基準に関する記述を除いては、すでに実施基準で述べられていることなのではないか、という気がしてきました。

１．毎年の点検範囲

　そもそも「点検」というのが、いわゆる部門における自主点検のことをいうのか、内部統制評価のことをいうのかは定かではありませんが、もし、評価範囲のことをいっているのであれば、実施基準では次のような記載があり、今回の記事で「緩和策」とされているものはすでに解釈上可能になっている。

（注２）一定割合をどう考えるかについては、企業により事業又は業務の特性等が異なることから、一律に示すことは困難であると考えられるが、全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合を概ね２／３程度とし、これに以下②で記述する、重要性の大きい個別の業務プロセスの評価対象への追加を適切に行うことが考えられる。

つまり、全社的統制がきわめて良好であれば、2/3よりさらに範囲を狭めることも可能である。これは、八田教授が解説しているところでもあります。すくなくとも、記事にあるように2/3を「義務化」しているわけではないと思います。逆に、2/3というのは全部やらなくてもよいということで、緩和策でもあります。

２．導入時の文書化作業、システム投資など

記事では実施基準では「全拠点」について求められており、緩和策では売上高で計5%未満の小規模拠点は対象外も、と書かれていますが、これもどうもよくわからない。

そもそも、システム投資をしなければならないとはどこにも書いていません。それどころか、内部統制の構築そのものの範囲はあくまで企業の任意という考え方が基本にある。これに対して、評価範囲は上記売上高基準などによって決められますが、これはあくまで業務プロセスの評価。全社的統制は原則すべての事業拠点について全社的観点で評価することが必要です。ただし、「財務報告に対する影響の重要性が僅少である事業拠点に係るものについて、その重要性を勘案して、評価対象としないことを妨げるものではない。」とされており、重要性が僅少であれば全社的統制も業務プロセス統制も評価対象としないことができることになっています。この「僅少」の例が示されるというのであれば、それはそれで意味があることです。評価範囲に該当する事業拠点はいやおうがなく内部統制を整備する必要があると思いますが、それ以外について整備しなくてよいということではなく、あくまで経営者が自らの判断、責任でどうするかを決めることが重要です。

つまり、これもQ&Aで緩和といえるかどうか。

３．「重要な欠陥」の公表

　これは、実施基準の以下の記述に関するものと思われます。

a. 金額的な重要性の判断
金額的重要性は、連結総資産、連結売上高、連結税引前利益などに対する比率で判断する。これらの比率は画一的に適用するのではなく、企業の業種、規模、特性など、会社の状況に応じて適切に用いる必要がある。
（注）例えば、連結税引前利益については、概ねその５％程度とすることが考えられるが、最終的には、財務諸表監査における金額的重要性との関連に留意する必要がある。

これも例示の一つに過ぎず、かつ、画一的に適用すべきものではないことがすでに明確にされています。一時的な要因で５％を超えた場合についても、そのときの状況で判断するということをすでに許容していると思われます。似たようなことは、財務諸表監査上の監査人による重要性の判断や連結範囲の判断の場合にもありますが、その場合でも、一時的な要因による場合については個別に判断していると思いますが、それと同じかと思います。

以上のことから考えると、すでに実施基準の段階で、本来経営者が自らの責任で決めるべきものに一応の「目安」を設け、過度に保守的にならないように数値基準を「例示」し、「画一的に適用しない」ことを明確にすることで、「緩和策」が講じられていると考えられます。しかしながら、US SoXの実務にひきずられた誤った報道やセミナー、監査人やコンサルタントの指導などによって、なかなか実施基準の趣旨が伝わらず、負担感が減らないことから、Q&Aを出して実施基準の趣旨を徹底する、ということなのではないかと思います。

一方、日本公認会計士協会の監査人向け実務指針は、監査人のあまりに重い責任に照らして、どうしても企業に対して厳しい見方をせざるを得ない。その結果、実施基準でいくら手当てしても、企業に負担を強いてしまう可能性がある。したがって、Q&Aよりもこちらの方がはるかに実務に与える影響が大きい可能性があります。

本当に企業の負担を減らし、緩和したいのであれば、経営者の責任（財務諸表、内部統制報告書の虚偽記載に対する刑罰）を重くした上で、監査人の責任を軽くするのが一番。「監査」などといわずに、「消極的保証」とか「合意された手続に基づく保証」くらいにしておけば、監査人のリスクが広がり、責任が重くなるということも監査ほどはなく、あくまでも企業の自己責任で内部統制構築が可能になる。いくらダイレクトレポーティングではないとはいっても、有効であるという評価結果に対して適正を出せば、それは監査人が有効のお墨付きを与えたのと同じこと。評価範囲についても重要な欠陥の判断規準にしても、保守的に考えざるを得なくなる。しかも、大手監査法人は、US SoXに対応した内部統制監査の国際的基準を持っており、ある程度それに引きずられてしまう。US SoXが国際標準だなどということはありえないのですが、力関係でそうなってしまう。はたして、JICPAの実務指針が、どういうものになるか注目です。

この記事が誤解に基づくものなのか、当局との「あうん」の呼吸で世の中の誤解を解くためにあえてこのような「緩和策」と取れるような書き方をしているのかは定かでありませんが、いずれにせよ、実施基準の趣旨をQ&Aを読むことで正しく理解し、有効でかつ効率的、コストパフォーマンスのいいものにしていくことが重要でしょう。以前も書きましたが、各企業や指導するコンサルタントの創意工夫が求められると思います。

それにしても、J-SoXの議論をする時に、日立のUS SoX対応の例を毎回引き合いに出すのもそろそろやめてほしいなと思います。大部分の上場会社は日立とは全然事情が違うわけですし。。。

投稿者 AH 時刻 22時10分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月29日 (金)

リスクをプロセスにマッピングする

あるIT系大手コンサルティング会社の有名なコンサルタントの方のSoXがらみの講演を聴いてきました。残念ながら、J-SoXというよりはSoXの話が中心で、トップダウン型リスクアプローチなどという考え方も出てきませんでしたし、よほど大規模でお金のある企業でないととても実施できないような話が多くて、少々違和感を禁じ得ませんでした。

また、アウトソーシングの利用を薦めるような発言もありましたが、一方で、委託業務の内部統制の業務の問題をどう解決するかについては一言も触れずじまい。全体的には、US-SoXというよりも、さらに財務報告に係る内部統制の周辺にある内部統制分野のコンサルやシステム導入、業務の効率化といったところに視野が広がっているな、という印象を受けました。やはり、監査法人の監査人とコンサル会社では視点が違うと感じました。

ただ、そうした中でも、なかなかいいことをいっているなと感心したのは、「リスクをプロセスにマッピングする」という表現です。プロセスにはリスクを低減するコントロールが埋め込まれているわけで、リスクをプロセスにマッピングした上で、そこにコントロールが埋め込まれているかを見る、ともいえると思います。この場合のリスクは、個々のタスクから生じるリスクというよりは、プロセス全体から生じるリスクであり、プロセスの目的達成を阻害する要因であり、財務報告の虚偽記載リスクです。売上に関する業務プロセスであれば、「売上が正しく計上されない（要件を満たさない）」リスクということになります。売上が正しく計上されない要因が、プロセスの中のどこにどのように存在するかを見つけ出して、そこに対策を施してリスクを低減させるのがコントロールといってもよいでしょうか。間違ったRCMやフローチャートというのは、この大事なことをしばしば忘れている。または、リスクの整理が出来ていない。「プロセス」の様々な目的及びリスクを同時に議論しようとして、「財務報告の信頼性」という目的がぼやけてしまい、泥沼にはまり、時間だけが過ぎ去っていく。「プロセス」ではなく、個々のタスク、手続に目が行き過ぎているのでしょう。これはあまり強調されませんでしたが、とても重要なポイントだと思います。

そしてもう一点、「プロセスオーナー」の考え方、メリットなどが強調されていましたが、その一方で、そのメリットがきちっと出るようにすることの難しさもきちっと説明されていたのは立派だと思いました。各社ともプロセスオーナーというのは決めてはいるようですが、何をする人なのか、組織的な意義付けは何なのか、J-SoX初期対応のための臨時的な役割なのか、それとも、部長、課長などといった役職と同様に、常時設置されるものなのか。。などといったことがイマイチはっきりしません。各部署の長をそのままプロセスオーナーにした場合、既存の組織や役職との違いがわかりません。せいぜい、３点セットを作る担当者、内部統制プロジェクトと各部門の窓口といった程度の位置づけしかしていないため、本来のメリットが出ていないようにも思えます。特に中小規模や単一事業の上場会社の場合には、果たしてどこまでメリットがあるのか。

さて、この日一番の不満は「システムの標準化」という言葉を連発していたことです。親子間、部門間で全く異なるシステムと異なる業務プロセスを持っているのはよくないので、標準化しろ」ということです。それ自体は悪いことではないとは思いますが、私から見れば、システムの標準化だけでなく、データの標準化というのが重要ではないか。地域や事業によって業務のやり方も異なり、コントロールも異なり、システムも異なるというのはある程度やむをえないとしても、データさえ標準化されていれば、一元的な管理は出来る。「勘定科目はそろえるべき」ということをおっしゃっていましたが、これはデータ標準化の一例。そして、データにコントロール証跡を埋め込んでおき、さらに集約された財務情報から明細データへのドリルダウンが可能であれば、内部統制上も望ましい。

こんなことが出来る仕組みが果たしてあるのか？その点に触れなかったのが残念で仕方ありません。もちろん、あります。XBRL GL(Global Ledger）です。これを使えば、システムを１００％標準化しなくてもこの日の講師が目指すものは実現できる。しかも比較的安く。データ標準化をすれば、用語は標準化されます。XBRL GLは、伝票などの項目（データ項目）のタクソノミです。EDINETタクソノミでは、勘定科目名が定義されますが、XBRL GLでは、伝票の項目名が定義されるといってもよいでしょう。

USでもSoX対応が一段落して、いよいよ本来解決すべき課題に取り組めると思いますが、そこでXBRL GLがどう活用されるのか、期待しています。

最後はXBRLネタになってしまいましたが、やはり今は目先のことを考えなければ・・・と反省です。

投稿者 AH 時刻 01時28分 XBRL, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月28日 (木)

XBRL EDINETタクソノミ草案公開

まもなく、EDINET XBRL化パイロットテストが始まりますが、これに先立ち、EDINETタクソノミ草案が金融庁から公表されました。

EDINETタクソノミ（草案）の公開について

http://www.fsa.go.jp/singi/edinet/20070627.html

EDINETタクソノミの取り扱いについては

「新EDINETにおいて各提出会社は、EDINETタクソノミを使い、設定された勘定科目及びタクソノミが保有する属性情報に基づいて財務諸表を作成することとなります。

なお、EDINETタクソノミに適切な勘定科目が無い場合には、各提出会社において勘定科目を追加できることとします。」

とされています。原則としてEDINETタクソノミに設定された勘定科目を使い、適切な勘定科目が設定されていなかった場合には、自社で追加作業を行います。何をもって「適切な」とするかの判断は難しいところです。少々表現が違っても内容的に同じであれば、EDINETタクソノミの科目をそのまま使いますが、「ほぼ同じ」場合にどうするのかというのは判断を要します。

上場会社各社で自社の財務諸表の勘定科目がEDINETタクソノミにないということで、そこに加えるよう意見を出すのは可能です。ただし、他社での利用状況などを総合的に考慮し、標準的な勘定科目として取り扱うことが適当であれば始めて追加されるのではないかと思います。自社特有の、しかも臨時的に出てくるような科目は自社で追加していただくことになります。一方、業種で共通の勘定科目がないような場合には、EDINETタクソノミにおいて標準的な勘定科目として登録される可能性がないとはいえません。

今回は、上場会社のみならず、利用者側にも広く公開し、意見を求めています。しかも、通常のパブリックコメントと異なり、期限が書いてありません。利用者側の立場から見た場合に、勘定科目が標準化されているとはいえ、似たようなものが多く設定されていることなどから、もう少し大胆に標準化を進めてほしいといった意見もあるかもしれません。そろそろ利用者側の意見も聞いたほうがよいのではないかと個人的には思います。

いずれにせよ、明瞭性を損なわない（投資家に誤解を与えない）範囲で、比較可能性を重視して勘定科目の標準化を目指そうというのが流れかと思います。そうした視点からご意見があれば是非出していただければと思います。

投稿者 AH 時刻 01時35分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月21日 (木)

社会保険庁

毎日毎日、あきれるほど社会保険庁のずさんな実態が報道されています。

私の自宅の最寄り駅からは「社会保険庁行き」というバスが出ていますが、石を投げつけられないかと心配になるくらいです。いま、苦情電話が殺到している例のところです。

それはさておき、今回の不祥事をJ-SoX的に解説すると、次のようなことになるかと。

まず、IT業務処理統制の統制目標たる、つまり、入力の完全性、正確性、正当性のいずれも著しく欠けており、IT業務処理統制が全く機能していなかった、もしかしたらそれ以前の悲惨な状況であったといえましょう。しかし、仮にIT業務処理統制が整備されていたとしても、全社的統制（全庁的統制）に著しい重要な欠陥が存在していたために、運用がなされておらず、IT業務処理統制がまったく機能していなかった。といえるのではないでしょうか。全社的統制の中でもとりわけ統制環境ががたがた。全社的統制の不備が業務プロセスレベルの統制に悪い影響を与える典型的な悪い見本です。

でも、仮に全社的統制を評価したとしても、果たしてこれだけひどい現場の実態というものを想定できるでしょうか。日本人はまじめな民族で、組織ががたがたでも個人のまじめさとがんばりで何とかしてしまう。そういう風に考えてしまいがちです。したがって、全社的統制の不備というのは机上論としては登場しても、実害が余り表に出てこないので、ついつい安易に考えがちです。しかし、現場でひどいことになっている原因をたどるとやはり全社的統制の問題に帰結してしまう。

実施基準では、全社的統制を評価し、良好であれば、業務プロセス評価における運用テストのサンプル数を減らせるとされていますが、現場の実態を見ないと本当に全社的統制が良好かどうかは見極めがつかないのではないか。と最近思っています。

運用テストまで行かなくても、整備状況の評価の過程でウォークスルーである程度実際に運用されているかを確かめて、もし、あまり芳しくないようであれば、全社的統制に原因がないかを再確認し、是正する。そうした上で、サンプリングによる運用テストを行うということも考えられます。

日本企業は、規程を軽視しがちです。規程がないケースも多いですが、規程があっても守られていない、空文化しているケースも非常に多いと思います。メンテナンスがなされていないことや、とりあえず規程があればよい、形式が整っていればそれでいいという誤った風潮がまかり通っています。守ることを前提に規程が作られていないケースさえあります。それが当たり前になっているというのは、明らかに全社的統制の不備です。そんなものを運用テストで把握するより、実務を把握し、業務記述書やフローチャートを作成し、ウォークスルーを実施する過程で、規程と乖離していないかどうかを確認し、全社的統制のレベルから改善していったほうがよいと思います。

今回のJ-SoXでも「規程、マニュアルさえあれば」「３点セットさえ作れば」「形式的に内部監査室を設置すれば・・・」と大いなる勘違いをしている人もいるかもしれませんが、あくまでも形式ではなく実態重視です。実態として虚偽記載リスクが低減されているか、ということが重要です。守る気のない、守らなくても支障がないと経営者が考えているような規程を山のように作るのはやめましょう。運用がきちっとなされ、効率よく目的が達成される仕組みや社風を作りましょう。

社会保険庁ほどひどくはないでしょうけど、本質的には社会保険庁と大して変わらない体質を持った企業も中にはあるでしょう。是非、他山の石としてこの問題をわが身に照らしてみて考えてみてください。

投稿者 AH 時刻 23時57分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月20日 (水)

EDINET XBRLパイロット参加に当たって

いよいよ、EDINET XBRL化パイロットプログラムが始まりますが、説明会に出席してもどうもわかったようなわからないような。。。という方のために、少々余計なおせっかいを。

１．XBRLについていまいちよくわからない。。という方は

◇東京証券取引所

http://www.tse.or.jp/rules/td/xbrl/about.html

（決算短信サンプルデータ＆ソフトウェア）

http://www.tse.or.jp/rules/td/xbrl/data/index.html

⇒XBRLを体験できます。

◇日本公認会計士協会

「ちょっと教えて！XBRL」

http://www.hp.jicpa.or.jp/

アニメでXBRLをわかりやすく説明。会計士向けですが、一般の方でもイメージはつかめます。

◇XBRL Japan

http://www.xbrl-jp.org

XBRLの日本における普及団体。過去のセミナーの資料などがわかりやすい。

◇会計人のためのXBRL入門 · 坂上学著同文館出版

以前このブログでもご紹介しました。

http://www.dobunkan.co.jp/books/book.cgi?Isbn=ISBN4-495-18931-0

http://bcj.way-nifty.com/xbrl/2007/03/xbrl_7fc0.html

今月末から来月にかけて、２冊XBRL関係の書物が出版予定です。

２．「思いっきりパイロット」のすすめ

今回はあくまでパイロットテストです。あまり固いことを考えずに、参加してみましょう。

今まで、セミナーや説明会や公表資料で知った情報、その他流れてくる情報を総合すると、以下のことがいえそうです。

（１）過去の表示形式、勘定科目には一切こだわらない

　今回はあくまでパイロットなので、今まで実際の有報でどのような表示方法、勘定科目を採用していたかを無視して、一からEDINETタクソノミで決められている勘定科目を使って表示したらどうなるか、という気持ちで作ってみる。どうしても該当する科目がない場合に限り、勘定科目を追加（拡張）する。ただし、財務諸表規則や業法で決められた表示方法には従う。なお、HTML部分での「表示方法の変更」の記載はパイロットでは不要とのことのようです。正当な理由による表示方法の変更か否かも気にしなくてよいようです。ただ、そもそも表示方法が財規や会計基準に照らして妥当ではないといった表示は認められないので、EIDINETタクソノミの勘定科目のどの科目を使うかについては、監査人にも相談するとよいかもしれません。なお、科目を追加した場合には、英語の科目名の追加ほか、かなり多くの項目を追加設定しなければならないので、結構面倒です。

本番でやる時にはどういうことを考えなければならないかを念頭に置きながら取り組みましょう。

（２）当期のも前期のも同じ勘定科目でよい

（１）とも関連しますが、有報では財務諸表は２期掲記ですが、重要性の原則による別掲などによる表示方法の変更も気にせずに作成する。

また、会計基準の変更によって科目や様式の変更が生じている場合、例えば、「純資産の部」や株主資本等変動計算書の導入などについてですが、EDINETタクソノミには、旧基準用の勘定科目と新基準用の勘定科目が設定されているはずなので、前期分は旧基準用の勘定科目を使い、当期分は新基準の勘定科目を使うことになります。そこだけは勘定科目が別になる場合があります。

（３）監査のことは気にしない

本来、パイロットの中に監査プロセスも入れておくとよいのですが、実は、監査をどうするかが決まっていないため、どのタイミングでどのように監査人に作成したXBRLデータを渡すかとかそういうことは一切考慮されていません。したがって、監査を受けずに提出するつもりで作業を進めていただいてよいと思います。ただ、監査も含め、本番になったらどういうことに気をつけなければならないかということは、気にしておいた方がよいでしょう。

（４）印刷業者を使っている会社は印刷業者のサポートを受ける

市販されている汎用的なXBRLツールを使って自社で作業をやってもよいのですが、印刷会社を使っているところは、印刷会社にXBRL対応について問いあわせてみましょう。印刷会社は、EDINET（有報等）に特化した使いやすいツールを開発していると思います。勘定科目の追加を行う場合等の場合に、どのような追加作業が必要かも相談して見ましょう。

（５）J-SoXの「決算･財務報告プロセス」を意識して作業を行う

パイロットプログラムでは、仮提出し、EDINETサーバ上でXBRLから公衆縦覧用のHTMLを自動生成し、上場会社は画面上でそれをチェックすることになります。HTMLをダウンロードして印刷してチェックということはできないようです。公衆縦覧用HTMLが適切に表示されているかをチェックしただけでは、XBRLデータが正しく作成されていることを確かめることは出来ないのですが、最低限、HTML化されたものがどうなっているかだけはチェックする必要がありますし、決算･財務報告プロセスにもそうしたチェック作業が組み込まれてくるということを念頭に置いたほうがよいと思います。

本番で、どこまでチェックすれば経営者の責任を果たした、または決算･財務報告プロセスの統制に問題がないといえるのか、という議論はこれからかと思います。

以上、いくつか挙げてみましたが、今回はとにかく、実際にXBRLに触れていただき、実感していただくとともに、今後各社においてどのような対応が考えられるかを把握していただくためのものです。ということで、気楽にいきましょう。

投稿者 AH 時刻 19時34分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月16日 (土)

全社的統制と業務プロセス統制

今日は久々の独り言モード。

実施基準では、まず全社的統制を評価し、業務プロセス統制に与える影響を把握し、業務プロセスを評価する、というプロセスになっています。ということで、実施基準の例示によって全社的統制を評価してみます。答えを書いてみると一見何も問題ないように思えるし、業務プロセス統制に与える影響というのがどうもピンと来ない。ところが、業務プロセス統制の評価、とりわけ運用状況を確認すると、色々と不備が出てくる。そして不備の原因を突き詰めていくと、全社的統制の不備の問題に帰結する場合が少なくない。

同様に、IT業務処理統制の運用上の不備の原因を突き詰めていくと、IT全般統制、さらにIT全社的統制の問題に帰結することがある。

つまり、全社的統制の不備の業務プロセスへの影響を考えてから業務プロセスを考えるのではなく、ざっと全社的統制を評価したら、とりあえず業務プロセスの評価をやってみる。そしてそこで不備が見つかれば全社的統制の不備に起因するものかどうかを確認し、全社的統制の評価を見直し、改善する。こういうサイクルの繰り返しなのではないかと思います。結局、理屈で考えてどうか、というよりも、実際に問題がどのようにおきているかを考えた方が、影響や改善すべき点をより明確に認識できるということでしょうか。

さて、全社統制の不備が即重要な欠陥になるケースというのも現場では議論の的になっていますが、どうも、決算財務報告プロセスを含む業務プロセス統制のレベルで実際に問題が起きているかどうか、そしてそれが全社的統制の不備に起因するか、というところで判断せざるを得ないのではないか、という考え方もあるようです。「結果オーライ」とまではいわないものの、業務プロセスレベルであちこちで問題が生じている。内部統制の不備があり、虚偽記載「リスク」が低減されていないどころか、現実にリスクが顕在化してしまっているケース、つまり不正が誤謬が全社的にあちらこちらで生じてしまっているケースなどは、全社的統制に問題がある場合が少なくない。なかでも統制環境、特に経営者の姿勢がどうなのか、ということは注目する必要があるのでは。コンプライアンス、内部統制軽視、利益最優先のような社風で、不正が頻発しているような会社であれば、それは全社的統制に重要な欠陥があるといわざるを得ない。財務報告に関係しなくても、法令違反、不正が多い会社は財務報告にも問題があるのではないかと疑いの目を向けたくなる。すると、全社的統制の不備を「重要な欠陥」と判断したくなる。出来れば監査を引き受けたくない。監査人にはそういうところがないとはいえません。

全社的統制の評価って、そういうものなのではないか、ふとそんなことを考える今日この頃です。

投稿者 AH 時刻 00時21分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月 9日 (土)

マスターファイル

今日は、実施基準をマニアックに読んでみました。とはいっても、本文ではなく、（参考２）のフローチャートと業務記述書、そして（参考３）のRCMのサンプル。この中でフローチャートの右上の方にある「得意先マスタ」から「受注ファイル」への矢印に注目してみたいと思います。

このフローチャートだけ見たとして、まず最初に読み取れるのは、得意先マスタに得意先コードとか住所とか登録されていて、それを受注入力する時に参照すればいいから、入力が楽で間違いも少ない。つまり、「入力の正確性」というコントロール目標を思い浮かべると思います。

では、業務記述書を見てみましょう。

（２）販売管理システムの受注入力は、得意先マスタに登録されている得意先の注文のみ入力することができる。

ちょっと意外な気はしませんか？

多くのJ-SoX担当者の方が業務記述書を書くとしたら、きっとこう書くでしょう。

「受注入力の際には、得意先マスタに登録された得意先情報を呼び出して、受注入力する」

全然違います。

さらにRCMを見てみます。

（リスクの内容）与信限度額を超過した受注を受ける

（統制の内容）受注入力は、得意先の登録条件に適合した注文のみ入力できる

（要件）評価の妥当性（資産及び負債を適切な価額で計上していること）

これらはあくまで例示なので、完全に整合性が取れた形で書かれているわけではありませんが、いずれもJ-SoXにおけるマスタファイルの意味合いというのを端的に表しているのではないかと思います。

つまり、マスタファイルの読み込み、参照は、受注プロセスにおける統制（コントロール）だと解釈されているのです。ただし、マスタに登録された得意先に対し、決められた条件の範囲内でしか受注できないという仕組みにした場合に限りますが。未登録の取引先であろうと、与信限度額を超えた金額であろうと受注入力が可能な仕組みにすれば、コントロールとしての性格はかなり弱まります。

コントロールとして有効であるためには

・得意先マスタのメンテナンスが適切に行われていること

・得意先マスタを参照し、条件に合致しない入力はエラーにする（入力できないようにする）プログラムが有効に機能していること

後者は典型的なIT全般統制です。前者をもう少し具体的に言えば、

・与信管理規程に基づき正式に承認された得意先及び与信限度額が、正式な権限を持つ入力者によって適切に得意先マスタに登録され、かつ、不正に改ざんされない

ということになるかと思います。そして、受注マスタメンテナンスに関する統制を評価することになります。

このようなITを利用した統制をいかに適切に評価するかというのは、ITの活用が進んでいる企業においてはとても重要なことです。同じことであっても、見方が違うと、業務記述書もRCMも全く違った内容になってしまいます。

さりげないところではありますが、さすが実施基準は本質的なところをきちっと書いているなと改めて感心しました。

それにしても、売上プロセス全体でフローチャートが一枚。業務記述書もRCMもとても簡単に書いてある。事例だから簡単に書いてあるというよりは、大事なところさえ押さえていればこの程度記載しておけばいい、ということでもあるように思えます。山のようにフローチャートと業務記述書、RCMを作っている企業もあるようで、そういう企業の話を聞いてビビッてしまう企業の方もいらっしゃると思いますが、もし本当にこの程度でもいいとなれば、ずいぶん対応が楽になるのではないでしょうか。

投稿者 AH 時刻 02時19分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月 7日 (木)

決算財務報告プロセスを振り返る

今年の３月決算作業も最終段階を迎えていることと思いますが、そろそろ、今年の決算作業を振り返りながら「決算・財務報告プロセス」を見直してみてはいかがでしょう？

決算・財務報告プロセスについては、正確には「決算・財務報告に係る業務プロセスの評価」であり、実施基準（参考図２）で、「全社的な内部統制の評価」の次に来ている点に注目すべきであると思います。そして、全社的な観点での評価が適切なものについては、全社的な内部統制に準じて評価し、それ以外の決算・財務報告プロセスについては、それ自体を固有の業務プロセスとして評価することになります。

また、運用状況の評価について慎重な対応が求められています。いかに、個々の業務プロセスについて内部統制を整備・運用しても、肝心の財務諸表を作成する段階で不正や誤謬が生じてしまうようでは意味がありません。

もちろん、監査人は、精査に近い形でかなり慎重にチェックします。内部統制に重要な欠陥があったとしても自ら虚偽記載を発見できるように監査手続を実施します。残高試算表から財務諸表を作成するプロセスや連結財務諸表作成プロセスは、かなり細かくチェックしますので、そこでの誤謬は発見されやすい。しかし、記載されている事項が適切かを確かめることは出来ても、本来記載されるべき事項が記載されているか（記載の網羅性）について確かめることはなかなか難しい。稟議書や取締役会議事録などを閲覧したり、質問したりしながら、会社で何が起きたのかをある程度頭に入れて記載すべき事項にもれがないのかを確かめます。しかし、すべての資料をしらみつぶしに見ることはできませんので、記載すべき事項をすべて把握できるわけではありませんし、さらに、監査上の判断をするための情報の多くは、会社の内部統制によって収集されるため、その情報が間違っていれば監査人は正しい判断が出来ない可能性があります。決算・財務報告プロセスであっても、やはり監査人は内部統制、特に「統制環境」「情報と伝達」に依拠せざるを得ないのです。

ところで、決算・財務報告プロセスの評価をする際に、コントロールの一つとして「監査法人によるチェック」を書く人がいますが、これはご法度です。「監査法人がチェックするから自分たちはチェックしなくてもいい」といっているようなもので、これでは、経営者が内部統制の構築という自らの責任を放棄しているという印象を与えてしまいます。内部統制評価は、監査人のチェックを受ける前に自分たちでどれだけちゃんとチェックするかということを評価するわけで、監査人のチェックというのは内部統制には入りません。

話を元に戻すと、重要な後発事象や資産の評価、負債の見積もりに関する判断に必要な情報などが、どのように経理部門に伝えられ、その情報にどの程度の信頼性があるかというところについて、慎重に検討する必要があります。さらに、このような情報に基づき、どのようなルールに従い、どのようなプロセスで会社としての会計上の判断が行われているか、という点にも留意する必要があります。

ここで気をつけたいのは、このような「情報と伝達」の機能は、財務報告の信頼性を確保する目的のためだけに単独で構築されるものではなく、他の目的のため、例えば、業務の有効性、効率性やコンプライアンス、資産の保全といった目的を達成するためのものであり、「財務報告の虚偽記載リスクの評価と対応」以外の「リスクの評価と対応」という要素が有効に機能するために不可欠なものとして構築されるということです。売掛金の回収遅延や不良在庫の存在、偶発債務の発生などは、財務報告云々以前に資産の保全という観点から対応されるべきものです。

それはさておき、売掛金回収遅延、不良在庫などは、「売上計上」「仕入計上」という会計処理に係る業務プロセスの評価だけでは浮かび上がってこない。フローチャートにも出てこない。ところが、決算・財務プロセス統制の評価において「売掛金の回収可能性評価」「たな卸資産の販売可能性評価」に係る業務プロセスの評価をやると浮かび上がってくる。そしてこれらは、判断を伴うこともあり、財務報告の重要な虚偽記載に結びつきやすい。

監査人が内部統制評価を行う際には、「売掛金回収」に係る内部統制というのは「販売サイクル」の一部として「受注」「販売」などと一緒に評価し、決算・財務報告プロセスということはあまり意識しません。しかし、決算・財務報告プロセスとして認識することで、経理部門への「伝達」や「売掛金評価」と「売掛金回収」の内部統制の関係をより鮮明に意識することができるのではないかと思います。

こんなことからも、決算・財務報告プロセスを他の業務プロセスよりも先にやるという実施基準の（参考図２）に示された順序というのは、よく考えられているな、と思います。

投稿者 AH 時刻 23時44分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月 2日 (土)

J-SoXとフローチャート

J-SoXといえば3点セット、なかでもフローチャートというのがその代表格。「文書化＝フローチャート作成＝J-SoX対応」という考え方を持った方も少なくなかったように思えます。確かに業務流れ図を使って理解するといったことは実施基準にも書かれていますし、その実例も掲げられています。しかし、その真意、ポイントがどれほど理解されているのか。

フローチャートを作成する意味・目的というのは3つあるのではないかと思います。

・業務手順書として業務の流れに関するルールを示すもの

・コンピュータシステムを構築する時に、プログラム上のロジックを示すもの

・監査人が業務全体の大まかな流れと会計処理ポイント、内部統制上のポイント（統制上の要点）、システム上のデータフローとの関係等を把握するためのもの

どの目的で作成するかで作り方が全く異なってしまいます。

さすがにJ-SoX対応の場面でコンピュータシステム用のフローチャート書く人はまれかと思いますが（システムに関するドキュメントが一切残っていない場合を除き）、多くの会社では、最初の「業務手順書」としてのフローチャートを作成しているように思えます。つまり、規程やマニュアルを整備する一環としてフローチャートも作成する。となると、現場で実際に業務をする人向けにどうしても細かい手順まで具体的に入れざるを得なくなる。

ところが、監査人の作るフローチャートは、財務報告の信頼性に重要な影響を与えるポイントに絞って、全体としてうまく行く仕組みなのかをチェックするものなので、業務手順書レベルのようなフローチャートでは全体が見渡せない。どうも「評価」ということを考えると、J-SoXが本来求めているフローチャートというのは、この3番目のフローチャートではないかという気がしています。つまり、チェックしたいところだけは細かく、どうでもいいところは思い切り省略してしまう、そして、ITを意識する。業務の流れとデータの流れ（生成プロセス）とITを利用したコントロールの組み合わせ。そうすると、大雑把ではありますが、書くべきことは書いてあり、分量が少ないので更新も有利。更新がきちっとできるというのも重要なポイントです。業務、個々の処理の網羅性よりも、ポイントを押さえているかが問われる。

このようなフローチャートは、監査人、システム監査人以外には世の中ではほとんど知られていないようですし、書き方を教えられる人もあまりいない。網羅性を敢えて捨てている点もどうもなじめない。漏れがあると「正確ではない」という指摘を受けるのではないかと不安。何より、全体を見渡してポイントをきちっと理解・説明出来る人がなかなかいない。現場担当者レベルに書かせてしまったのでは、自分のやっている業務の範囲でしか物事が見えないので、全体を見渡して書くことはムリ。ということで、どうしても業務手順書的なフローチャートを描いてしまい、網羅性、正確性を求めるあまり、泥沼に陥っていく。そして、見たいものが見えなくなってくる。フローチャートで「見える化」するつもりがますます見えなくなるという皮肉な結果に陥る。

これはITについても同じ。担当するシステムがあまりに細分化されてしまい、システム全体がどうなっていてどうつながっているのかを理解できる人は極めて限られている。まして、手作業とITの組み合わせで、全体として重要な虚偽記載を防止できる仕組みになっているかを判断できるくらいの理解をしている人は、社内でも数人いるかいないかではないか。

要は、細かい現場での作業をすべて知っている必要はなく、自社の内部統制の思想と何をどうコントロールするかとどこを押さえておかなければならないか、ということを理解している人が、それを整理するために必要な最低限の概略を記述する、そういうフローチャートが必要であり、そういう観点を持った人を育てる必要があるということです。

このようなことを考えると、仮に現場にフローチャートを書かせたとしても、それだけで終わるのではなく、それをまとめて、全体の中での自分の担当する業務の位置づけ、なぜそうしなければならないのかを正しく理解できるような場を設けることが重要なのではないかと思います。

マニュアルに従って、いわれたとおりにただ業務をこなすだけでなく、なぜそうしなければならないのかを理解したうえで業務をこなす人材の育成。もしかしたら、これがJ-SoXの一番大きな効果なのではないかと思います。

もちろん、社内には、理解して行動すべき立場の人と、そういうことは必要ない、むしろ余計なことは考えずにルールどおりにやればよいという立場の人がいると思いますが、J-SoXで3点セットを作る人は、前者の様に社内で位置づけられた人であるべきだと思います。マニュアルどおりに動けばそれでいいという人には書かせるべきではない。むしろ、どうあるべきかを考えて指示する立場に身をおいている、または将来そういう立場に身をおくであろう人に教育面も兼ねてやらせるべきではないかと思います。

3点セットを外部に作らせればよい、と思っている人は、こういう側面についてどう考えているのか。また、仮に外部の力を借りるにしても、どうやって社内の意識を高め、視点を変えるかということについて十分に議論し、それができるレベルのコンサルを選んでいるか。もう一度見つめなおしていただければと思います。

もちろん、現場で使えるマニュアル、手順書は必要ですし、それをフローチャートにすることで理解しやすくなるのであれば、それはそれで作ればよいと思いますが、フローチャートにするかどうかはあくまでも日常業務を行うのに必要な場合に限ってよいと思います。評価する側はそういうものではなく、内部統制の有効性を判断するために必要なフローチャートを必要な範囲内でつくればよい。そのように割り切って考えないと、残りの短い期間でJ-SoX対応を完了させることは出来ません。

時間が足りないと悩んでいる方は、是非発想の転換をしてみてください。

投稿者 AH 時刻 09時16分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年6月 1日 (金)

EDINET XBRLパイロット参加受付開始

金融庁は、7月から8月にかけて行われるEDINET XBRL化のパイロットプログラムの参加申込受付を開始しました。

http://www.fsa.go.jp/singi/edinet/20070601.html

参加申込受付期間：平成19年６月１日（金）～平成19年７月27日（金）

説明会に参加しなくてもパイロットテストそのものには参加できるようです。

説明会については、

http://www.fsa.go.jp/singi/edinet/20070427.html

さて、上場会社の経理部門の方でもご存じない方もいらっしゃるようなのですが、参加する際には、現在有価証券報告書の印刷、HTML化を依頼している印刷会社に相談するとよいと思います。そこで、印刷会社がXBRL化についてどのようなサービスを予定しているかもわかると思います。具体的に各社がどのような対応をするのかはわかりませんが、XBRL化に対応できないということはありえないと個人的には思います。

印刷会社を使っておらず、自社でHTML化をしている会社は、自社でXBRL化ツールを調達して参加することが出来ます。EDINETようとしてどのようなツールがあるのかはわかりませんが、一般的なツール等については、XBRL Japanが発行している「XBRL FACTBOOK」に紹介されていますので、それぞれ発売している会社に問い合わせてみるとよいでしょう。

XBRL FACTBOOK

http://www.xbrl-jp.org/download/index.htm

投稿者 AH 時刻 23時25分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月31日 (木)

東証XBRLデモサイト復活

しばらく閉鎖されていた東証の決算短信XBRLデモサイトが復活しました。

http://www.tse.or.jp/rules/td/xbrl/data/index.html

平成17年3月期決算までの上場33社の決算短信（1枚目）のXBRLデータを使って、XBRLを実感することが出来ます。閲覧用、分析用のソフトウェアもダウンロードすることが出来ます。分析のみならず、例えば、日本語英語の切り替え機能なども体験することが出来ます。

2008年度には、EDINETのXBRL化に対応して、TDnetにもXBRLが本格導入され、決算短信の添付書類としての財務諸表をXBRL形式で利用できるようになる予定です。

財務諸表そのものではないので、あまり高度な分析はできませんが、複数の会社の比較、過年度比較などを体験してみるとよいと思います。

お勧めです。

投稿者 AH 時刻 23時06分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月23日 (水)

EDINET XBRLパイロット説明会盛況

EDINET　ＸＢＲＬ化のパイロットプログラムがいよいよ５月２４日からはじまりますが、すでに満員札止めの日もあるようで、なかなか盛況のようです。

金融庁の広報活動、印刷会社などからの案内が功を奏しているのでしょうか？

内部統制、四半期に目を奪われがちだったXBRL化にもようやく日があたってきました。しかし、内部統制よりも四半期よりもXBRL化のほうが早いのです！

果たしてどの程度の会社がパイロットプログラムに参加するかわかりませんが、参加した会社と参加しなかった会社の間にその後の対応状況にずいぶん差が出るかもしれません。まだ、東京、大阪共に定員に達していない日がありますので、ぜひ参加されてはと思います。

説明会の予定と応募状況は金融庁ホームページへ

http://www.fsa.go.jp/singi/edinet/20070427.html#betten

投稿者 AH 時刻 23時50分 XBRL, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月19日 (土)

データの方向性と統制の指向性

最近、若干グチっぽくなってきたかもしれません。今日も半分グチです。

内部統制府令案で、正式に「公正妥当と認められる内部統制評価の基準」として認知された企業会計審議会の「基準」及びその実務指針ともいえる「実施基準」では、「トップダウン型リスクアプローチ」を採用しています。ということは、企業は、「トップダウン型リスクアプローチ」の考え方に沿って内部統制の評価を行わなければならないわけです。

ところが、現場レベルでの業務プロセスのフローチャートを書き始めると、どうも、「トップダウン」とか「リスクアプローチ」といわれてもピンと来ないし、違和感すら覚えてしまう。特にIT系とりわけ開発系の人にはそういう傾向が強いような気がする。やはり、現場の末端から順番にヒアリングをして、最後に財務報告なり経営者にたどり着く、という発想が前面に出てしまう。そして、現場のすべての業務をフローチャート化しなければ気がすまなくなる。さらに、現場の業務をとことん細分化してとらえ、すべてを理解しようとする。つまり、上に行くどころか、ますます枝葉末節なところに下りていってしまう。

なぜそうなるのか。なぜ、トップダウンとかリスクアプローチという考え方が受け入れにくいのか。

私も弱い頭を絞って考えたのですが、データの流れを中心に考える人と、統制を中心に考える人の違いではないかと徐々に感じるようになりました。

データというのは、取引が発生したところで生成され、徐々に集計されていき、最後は財務諸表または財務報告として集約される。原始証憑から会計伝票、総勘定元帳、合計残高試算表、そして財務諸表という流れ。まさに簿記の世界である。データが生成、集計、集約される業務処理を含むプロセスを把握し、それに付随する統制を見ていこうというのが、フローチャート的な発想。

一方、統制というのはどうか。これは目的指向であり、基本的にはトップダウン。ここでいう目的とは、いうまでもなく「経営目的」であり、内部統制の4つの目的である。そして統制は、目的を達成するための手段であり、目的の達成を阻害する要因、つまりリスクへの対応手段。ということは、RCMは目的指向であり、トップダウン的な発想が不可欠ということになります。ところが、RCMをフローチャートと同じような感覚で作ってしまう。

例えば、企業全体の組織とか、人員配置（人事といってもよいかもしれない）は、本社が経営目的の達成のために決めるもの。人員配置というのは、限られた企業内リソースの配分であり、現場の人間が自ら決められるものではない。部門レベルになれば、部門内の役割分担などは部門の目的に沿って部門責任者が決めるのが普通でしょう。もちろん、現場は希望は出すにしても、結局は経営者がどう人材を配分するかの考え方なり方針次第です。これも立派な統制ですが、フローチャートには書けない全社的統制。

ではITシステムはどうか。現場の実務を把握することは、ITシステムを構築する上では重要だと思います。しかし、現場の人間が、自分が入力したデータが最後どのようになるか、そしてそのデータがどのように使われるかなどということは通常余り意識していないのではないか。または、知らされていない、意識付けされていないのではないか。むしろ、そんなことを意識させて、自分の判断で勝手なことをされてはたまらないので、目的は教えないということすらあるのではないか。「そんなことは知らなくていいから、決められたとおりにやれ」ということも少なくないのではないか。そういう状態で現場の声を聞いたところで、システム全体をどう構築するかなどということは浮かび上がってこない。それより、組織、人事などといった体制に合わせて、業務を組み立て、それにあわせてシステムを構築するということにならざるを得ないのではないか。となると、現場の作業を積み重ねてシステムを作るというよりは、目的達成のために、資源を適切に配分し、それにあった統制のデザインを考え、それにITをどう利用するかという視点で開発されることになる。これはまさにトップダウンの発想ではないでしょうか。しかし、データフローはあくまで現場から経営。

さて、利根川の源流がどこにあるかを探すとします。本流も含め、すべての水源を探すこととする。水の流れは水源から河口であるが、水源を探す時には、逆に下降から上流へ向かうのが普通ではないか。または、宇宙から水源地を直接発見し、それが本流にどうつながり、どう河口までたどり着くかを確かめるかもしれない。いずれにせよ、最初からいきなり利根川の水源にたどり着くことは不可能です。監査人が内部統制なりデータフローを把握する時の発想というのはこれに似ているような気がします。しかし、ウォークスルーはデータの流れに沿っていく。

さらにこれに条件をつけてみます。いくつかの水源には宝がある。それを探すとする。まず、何が宝で何がガラクタなのかを認識することが必要です。そして、物を見たときにそれが宝なのかガラクタなのかを見分ける眼が必要です。ただし、宝がおいてあるところには条件がある。たとえば、必ず船で上れること。つまり、船で宝を運び込めるところにある。さて、それではどうやって宝を探すか。まず、船で河口から上流に上っていき、一つずつ探すことを考える。しかし、船で上れないところは探す必要はない。とはいえ、船が上れなくなるところまで実際に行ってみないとわからないので、大変な時間がかかる。しかし、もし地図があれば、あらかじめ船が水源までいけそうもないところは想像がつくので、そこは最初から捜索対象からはずす。これだけでもずいぶん効率が上がる。

内部統制評価において、宝が「リスク」、宝のありかが「統制上の要点」のようなものです。フローチャートを作るのは地図を作るような感覚であり、RCMを作るのは実際に宝を探しにいくようなもの。いくらいい地図があっても、何が宝なのかがわからず、また実際に探しにも行けない人にとっては、それこそ宝の持ち腐れです。また、地図に川の深さとか幅とかいう、船が通れるかどうかの情報があればよいですが、もしそれがなければ、やはり実際にいってみなければわからないということになってしまいます。ということは、「宝は船が上れるところにある」ということを念頭において、船が上れるかどうかの情報が書き込まれた地図を入手する、または事前に作成するならそれを記入しておくことが効率よく成功するポイントかと思います。

となると、やはり、フローチャートもその目的を明確にし（宝がどんなものなのか）、目的達成に必要な情報なりポイントを必ず入れるようにし、必ず目的地にたどり着くようにした方がよいのではないかと思います。データフローおよび処理プロセスを記述するだけでは不十分です。そして、RCMは、あくまで目的指向、リスク指向で作る。リスクを低減する仕組みがどこにどのように組み込まれ、それが全体としてどう機能しているかを見ながら、フローチャートに描かれた個別の統制活動に入っていく。

と、まあ、これが実施基準で言うところの「業務プロセスの評価」なのかな、などと思っているのですが、考えすぎでしょうか？

監査人は、細かいところを知らないし、細かいところまで把握する時間もないので、どうしても概要または全体像を把握してから要領よく必要なところに入って行こうとするのですが、会社の方は、現場の細かい実務をよく知っていて、知らなくても社内の人に聞けばよいので、ついつい最初から細かいところに行き過ぎて、目的を見失い、木を見て森を見ずになりがちです。そういう時に、何をアドバイスしてあげられるのか。。。いいアイデアが思い浮かびません。

投稿者 AH 時刻 02時48分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月18日 (金)

内部統制府令案のキーワード

内部統制府令案を改めて読み返してみました。

まず、重要なキーワードを整理してみたいと思います。

１．財務報告（府令2条1号）

「財務諸表（連結財務諸表を含む）及び財務諸表の信頼性に重要な影響を及ぼす開示に関する事項に係る外部報告をいう。」

財務諸表は、本表だけでなく、注記、附属明細表を含みます。関連当事者、リース、セグメント情報などはすべて注記であり、当然財務報告の中に入ります。一方、経理の状況の中でも財務諸表以外の記載事項（主な資産負債明細等）は、「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」に入ります。財務諸表監査との関係でいえば、財務諸表監査の対象となるのが「財務諸表」、ならないのが「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」です。ところが、内部統制監査は「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」も対象に入ってきます。ただし、財務諸表の信頼性への影響との関連で見ることになると思います。

２．財務報告に係る内部統制（2条2号）

「会社における財務報告が法令等に従って適正に作成されるための体制をいう。」

さらにこれに関連して、第3条

「法第二十四条の四の四第一項に規定する当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要な体制として内閣府令で定めるものは、当該会社における財務報告が法令等に従って適正に作成されるための体制をいう。」

これで、金商法の規定と「財務報告に係る内部統制」という概念が結びつくことになります。

さて、同時に導入された「確認書」制度における確認書の記載内容は、開示府令案様式4号の2に定められていますが、その記載上の注意には、次のようなことが書いてあります。

「ｂ代表者及び最高財務責任者（会社が（４）にいう最高財務責任者を定めている場合に限る。）が有価証券報告書の記載内容が金融商品取引法令に基づき適正であることを確認した旨を記載すること。」

内部統制報告制度の対象が「財務報告」となっているのに対し、確認書はあくまで「有価証券報告書の記載内容」とされており、範囲が異なる点に注意が必要です。つまり、内部統制の評価、監査の対象は財務報告ですが、それとは別に、財務報告以外の記載事項の適正性を確保するための体制整備及びその運用状況の確認は必要ということになるだろうと思います。

では、文書化の過程でこれをどう区別していくのか。会社にとってはどうでもいいことかもしれませんが、監査人にとっては、責任範囲を明確にするという意味でも、できれば内部統制報告制度の部分とそうでない部分を明確に区別してほしい、ということになると思います。

もう一点、「財務報告が法令等に従って適正に作成」とありますが、これは、HTML化、そして20年4月からはXBRL化まで含めて適正に行われる体制、と考えるのか、HTML化、XBRL化作業そのものは「財務報告の作成」の範疇外と考えるのか。これは、隠れた論点です。常識的には、財務報告を記載すべき事項を作成するだけでなく、それをファイルに記述し、EDINETで提出、公衆縦覧に供することが出来る状態にまですることをもって「財務報告を作成」と考えるのではないかとも思われますが、そうなると、XBRL化によって決算・財務報告プロセスに変更が生じます。そして、監査人はXBRL化のプロセスの内部統制も評価しなければならなくなります。しかも、XBRL化のプロセスは多くの場合、印刷会社に外部委託していますので、問題はさらに複雑になります。一体、当局はどのような解釈を示すのでしょう。

３．重要な欠陥（2条9号）

「財務報告に重要な影響を及ぼす可能性が高い財務報告に係る内部統制の不備をいう。」

ここは、実施基準の段階とかわらないのですが、一応挙げておきます。

さて、内部統制報告書の様式等も初めて明らかにされました。

内部統制報告書は、有価証券報告書等の一部ではなく、別途有価証券報告書と併せて3部提出することになります。内国会社の場合には内部統制内閣府令第1号様式に基づいて作成します。内容的には「基準」と変わりません。おそらくA4で１～２枚の体裁になるでしょう。

内閣府令案が出たことで、何か実務上の懸念材料が解決するかと思いましたが、基準、実施基準をオーソライズし、内部統制報告書様式を正式に決めたという以外には何もなし。ただし、内閣府令案の公表を待って登場してくる他の文書もあるようですので、そちらに期待したいと思います。

投稿者 AH 時刻 21時49分 XBRL, 内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月17日 (木)

ついに内部統制府令案公表！

ついに待ちに待った内部統制内閣府令案が公表されました。

ほかに四半期開示の内閣府令案、関連する開示関係府令案、監査証明府令案も公表されています。

証券取引法等の一部を改正する法律の施行等に伴う関係内閣府令案の公表について

http://www.fsa.go.jp/news/18/syouken/20070517-1.html

内部統制評価・監査基準及び実施基準に記載されている内容とは特に変わらないため、SEC基準で作成している会社を除き、対応作業への実質的な影響はおそらくないと思われます。

強いてあげるとすれば、最高財務責任者にも内部統制報告書への署名捺印を求めている点でしょうか。

とにもかくにも、この府令によって、「基準」が「一般に公正妥当と認められる内部統制の評価及び監査に関する基準に該当するもの」と公式に認知されることになり、法的な根拠を与えられました。

このほか、関連当事者やリースなどの開示関係の改正がありますが、内部統制に与える影響を検討するという意味でも見ておかれるとよろしいかと思います。

投稿者 AH 時刻 20時49分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月16日 (水)

道に迷ったら仕訳に戻れ

1週間ほど前に会計とJ-SoXについて書きましたが、今日も似たような・・・。

「道に迷ったら仕訳に戻れ」

業務プロセスを細かく見だすと、あれもこれもと気になって、何のためにやっているのか、どこに向かおうとしているのかわからなくなるときがあります。何を確かめようとしてやっていたのか・・・。

そんな時は、迷わず仕訳に立ち戻ってみるべきです。

例えば

　　売掛金　××　／売上　××

という仕訳について、「適切な財務情報を作成するための要件」ということが具体的にはどういうことを満たすことを要件としているのか。実在性、権利と義務の帰属、期間配分の適切性などを満たすためには何が必要で、それが満たされて初めて仕訳が起きるようにするためには、どのような統制が必要なのか。逆にいえば、どのようなケースに「要件」を満たさないような仕訳が起きるのかを考えて、再び個々の統制に戻ることです。「統制上の要点」か否かも、あくまで「要件」を満たすための統制、言い換えれば要件を満たさない（＝虚偽記載）会計処理が行われないようにするために重要な統制行為はどのようなものか、ということで識別する。

手で仕訳伝票を起こす場合でも、システム的に自動仕訳が起きる場合でも、考え方は同じです。IT業務処理統制や全般統制を評価する際には、自動仕訳及び会計システムでのその後の処理というところを出発点として、元データを生成する業務システムにさかのぼっていくという考え方が、会計士を含む経理畑の方には理解しやすいと思います。

おそらく、自動仕訳にどんなのがあるかはすでに社内で整理されていると思いますが、もし整理されていないようであれば、会計帳簿を手がかりに、例えば、仕訳コードで自動仕訳を示すような仕訳を調べれば素人でもわかります。もちろん、IT部門に聞けばわかるはずではありますが。また、フローチャートやRCMに記載されている「統制上の要点」に、自動仕訳に関する統制（IT統制）が含まれているかは必ずチェックした方がよいと思います。

サブシステムから会計システムのデータ連動がうまく行っていれば、自動仕訳のところが問題になることは極めて少ないとは思いますが、逆にここがおかしければ致命的です。たとえば、自動的にリアルタイムでどんどん自動仕訳が起きる場合はいいですが、バッチ処理で自動仕訳を起こす場合でかつ人が操作をしなければならないような場合には、その操作を忘れてしまったり2度やってしまうと、まとめて1日分なり1か月分のデータがもれたり二重計上になったりします。

このような日々のフローとは別に、残高管理が適切に行いうるかという視点での統制があります。

投稿者 AH 時刻 22時42分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月14日 (月)

リスクの評価と対応

内部統制の6つの基本的要素の一つである「リスクの評価と対応」。これは、ERMにおいてより強調されているところ。そして、内部統制報告制度の対象が、「財務報告の信頼性確保」という目的に係る「財務報告の虚偽記載リスクを低減させる内部統制の有効性評価」というまさに「リスクの評価と対応」そのもの。実施基準でもこの項目についてはかなりのスペースを割いているように思えます。

さて、4つの目的は相互に関連し、ある目的のための内部統制が他の目的にも機能していることがあるとのことですが、「リスクの評価と対応」という基本的要素についても、このことがいえるのではないかと思います。

色々な局面があるかと思いますが、「リスクの回避」、例えば、あるビジネスをやらないとかある種類の取引を禁止するなどというのは、そのビジネスなり取引に起因する財務報告の虚偽記載リスクについても回避することになる。ところが、禁止されている取引を無断で行ってしまう、または禁止するというルールが有名無実化しているような場合には、財務報告の虚偽記載リスクも存在、そしてリスクが高いことが考えられます。このようなことを考えれば、単に行われている取引に係る虚偽記載リスク及び対応する内部統制を評価するだけでなく、そもそも取引の禁止に係る内部統制を評価し、もしそれが有効であれば、当該取引に起因する虚偽記載リスクに係る内部統制を評価対象からはずす、といったことも考えられるのではないでしょうか。

つまり、いかに「財務報告に係る内部統制」が内部統制報告制度の目的であったとしても、あまり視野を狭くしてしまうと、虚偽記載リスクの識別が適切に行えない可能性があるということを意識すべきではないかということです。

例えば、価格変動リスクを低減させるために、単価が決まらないままに発注することを禁止する統制があるとします。もしこれが有効に機能していれば、納品されても単価が決まらないために仕入計上できない、というリスクはないはずです。逆に、単価が決まらないまま発注が行われ、「仮伝票」で納品されているような場合には、仕入計上もれのリスクが高まります。したがって、仕入計上方法についてのルールの明確化と仕入計上もれを防ぐ統制を評価しなければなりません。

売上の場合の単価未決定も、仕入と同様に売上計上もれにつながるリスクが高いですが、逆にひょっとしたら正式な注文ではない、つまり、仮に出荷したとしても売上に計上できないにもかかわらず売上を計上してしまう（架空計上）リスクもあります。キャンセルになる可能性もあります。もし、実際に注文が存在しているのであれば、仮単価で計上する方法もありますが、この仮単価を高く設定して売上を計上し、翌期に売上戻しを行うような決算操作も考えられます。となると、それを防止する統制についても評価しなければなりません。

単価に関する統制が正しい値段で販売するための統制か、売上を正しく計上するための統制か、そしてそのどちらかによってJ-SoXの評価対象になるかどうか、という議論がありますが、間違った値段で販売してもその値段で売上が計上されていればJ-SoX的には問題ないと考えるのか、間違った値段で販売されるような状況では、故意に操作することで虚偽記載を行うリスクがあるというようにとらえるのか。このように考えていくと、どこまでが「財務報告に係る内部統制」なのかというのは意外と難しい。そのビジネスの中で現実的に起こりうる虚偽記載リスクの原因となるのか否かというところが判断規準になるのではないでしょうか。

このことは、財務報告の信頼性のための内部統制を整備する上で、他のリスクの評価と対応をどのように行っているかを把握することが非常に重要であることを示していると思います。ということは、今まで企業が無意識のうちにやってきたリスクの評価と対応（ルール作りと運用状況）を文書化する必要性が生じるかもしれません。

これは意外とハードルが高いかもしれない・・・。

投稿者 AH 時刻 23時51分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月12日 (土)

木を見て森を見ず

前回は「極論」でしたが、今回は大先生方の受け売り。

実施基準が確定したあたりから、会計士や学者の先生方など、基準や実施基準の作成に関わられた先生方から、「木を見て森を見ず」というたとえが頻繁に聞かれるようになったような気がします。

我が国でいわゆる「US SoX対応方式」といわれている（本当にそうなのかはともかく）別名「積み上げ方式」の進め方に対して、日本版SoX法のトップダウン型リスクアプローチの効用を説く際の一つのうたい文句なのかもしれません。

トップダウン型リスクアプローチのうたい文句としては、当初、「絞込みによる効率的で低コストな方法」ということが繰り返し強調されていました。これは、US SoX流で頭が凝り固まってしまった人達の抵抗感、恐怖感を和らげる効果を狙ったものではありますが、どうもそれは本質ではないのではないか。特に、小規模企業の場合には、絞込み、とりわけ事業拠点の絞込みというのはあまり意味がない。もともと拠点数が少なくて、しかも似たようなことをやっていたり、わずかな機能、権限しかもっていなかったりということで、絞り込みようがない。勘定科目にしても、組織やビジネスが単純なので、全部作ってもたいした数にはならない。となると、「絞込み」というよりは、「リスクのあるところに資源を集中する」「メリハリをつける」という言い方のほうがその本質に近いのではないか。しかも、そもそもUS SoXがリスクアプローチを採用していないわけでもない。違いといえば、数値基準を明確に例示したところか。

となると、もう一つ、「トップダウン型」というのが日本型の特色なのか。これは、「全社的統制」で網をかけておけば個別の業務処理プロセスを細かく見なくてもよいケースもあるということで、絞込みを思い切ってやってももれはない、ということを意味しているようにも思えます。全社的な観点から見る決算・財務報告プロセスはまさにそんな感じです。しかし、本質は「いくら現場ががんばっても、本社、経営陣や全社的な体制が弱ければ、現場の苦労が報われない」または現場レベルでの部分最適的なやり方では限度があり、全社的なレベルでの対応が必要なこともあるというようなことをいっているのではないか。現場の管理者から聞こえてくる「自分たちだけが一所懸命考えてよくしようと思ってももどうしようもない。もっと本社なり経営陣が本気で考えて取り組んでくれないと」という声は、まさに内部統制のこうした一面をとらえているのではないかと思います。

現場レベルの管理者にだけJ-SoX対応を任せておくと、自分の裁量の範囲内でしか対応できないですし、その中だけで細かく分析して何とか対応しようとせざるを得ない。しかし、自部門だけではどうしようもない問題も多い。また、自分の部門だけでなく、他の部門でも同じような問題を抱えていることもある。若しくは、他部門と利益相反する場合で他部門の「部分最適」なやり方が自部門に悪影響を与えているケースもある。そういう状態に対して、全社的な観点で調整し、全体最適を目指せるような人がいない、というケースが少なくない。部門長会議や執行役員会という場や本社部門、内部監査人などが全体最適をトップダウンで決めてくれればよいのに、と思っている現場管理者も少なくないと思います。

また、フローチャートに載ってこない統制というのがあります。例えば、定期的な人事異動とかいうのは、社員のキャリアアップ手段であると共に不正を防止するための内部統制の一種でもありますが、これは「業務プロセス」における統制の中ではなかなか表現しづらい。しかも、人事異動をした当初は、当該業務に対する理解が低い場合などに一時的に業務プロセス統制のレベルが下がることすらある。３月決算の会社で経理の主力担当者を４月１日の人事異動で他部門に動かしたら、これは決算・財務報告プロセスの内部統制のレベルを著しく下げることになりかねない。

このようなことも含め、フローチャートには表現できない一つの業務プロセスや部門を越えた内部統制というのも存在し、それを組み立てるのは、本社の役割。そういう内部統制の一面に着目したのが「トップダウン型」なのではないか。

ところが、積み上げ式だと、いつまでも現場レベルの細かい話にこだわりすぎて、極めて局所的なフローチャートに書かれる統制だけに目が奪われてしまう。それでは、内部統制の全体像も本質もいつまでたっても見えてこない。どんなに細かくやってもやっても「合理的保証」水準の心証が得られない。これは、やっている会社だけでなく監査人も同様。

まさに「木を見て森を見ず」になってしまうのです。

一方、経営者と話をしていると、「うちの会社はこういうことはやらせていないので、こういう大きなことが起こるとは思えない（リスクがあるとは思えない）」という答えが返ってくることがあります。経営者が現場の細かい統制を知っているわけではない。にもかかわらず、きちっと根拠を示してリスクが低い理由を説明できる。つまり、押さえるべきところはきちっと押さえている。あとはそれを文書化すればよい。まさに森を見ているのです。ただ、現場と経営者の認識が乖離している（経営者が実態を見えていない）とすれば、それは重大な問題です。

そういう場合はさておき、細かいところにいきなり入るのではなく、ある程度全体を概観し、作戦を立ててからの方が、押さえるべきところのもれがない。局地的な戦況だけを見て戦うのではなく、全体の戦局の中で戦略的にどうするべきかを考える必要があるのです。

「文書化の時間がない」という理由で、あせって細かいレベルでの３点セット作成からいきなり入って、やってもやっても終わらない、そのうち出口・方向性、そして当初の目的すらも見えなくなってしまい、泥沼に陥り、しかも、網羅的に攻めていたつもりが敵のいないところにばかり砲弾を撃ち込んで穴だらけ。肝心の敵兵のいるところや戦略的拠点には全く手付かず。そんな状態に陥ってしまう企業が多い。「木を見て森を見ず」発言が関係者から増えたのには、こういう実態が少なからずある、ということなのではないでしょうか。

泥沼に陥ったら、まず原点に戻って「財務報告の信頼性」の確保が目的だということをあらためて思い出し、そのために「適切な財務情報を作成するために要件」とそれを満たさないリスクがどのあたりで考えられるかを意識しながら全体をながめてみる。そして、特にポイントとなりそうなところを集中的に深掘りしていく。それと同時に、内部統制全体に影響を与えそうな全社レベルの統制（本社による統制）にも気を配る。これは、まさに経営レベルの視点。「トップダウン型」というのは、まさに経営者の視点から内部統制を見るということでもあるのです。

現場の強さ、そしてそれが可能にするボトムアップ型経営が日本企業の強さ。逆にいえば、トップダウン、コントロールが弱いのかもしれない。一人一人は優秀でも組織力が弱い。そんな組織のありようにもJ-SoXは一石を投じるのではないかと思えます。

内部統制プロジェクトの推進責任者の方は、最前線の小隊長のような感覚ではなく、是非、全体を統括する大将のような感覚で進めていっていただきたいと思います。そして、現場との乖離を防ぎ、正しい判断を下すための「情報と伝達（一方的な伝達ではなく、コミュニケーション）」の充実に努めていただきたいと思います。

投稿者 AH 時刻 00時02分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (2) | トラックバック (0)

2007年5月10日 (木)

会計知識なくしてJ-SoX対応なし

昨日は訳のわからないひとりごとですが、今日は極論。

「会計知識なくしてJ-SoX対応なし」

でも、この当たり前のことが、案外忘れられているような気がします。

公認会計士が監査できるのは、会計知識と内部統制知識と監査ノウハウ（監査実務経験）があるから。考えてみれば、それと同じようなことを内部監査人がしようというのですから、内部監査人にも相当高いレベルの会計知識が求められている。

実施基準を見ても、内部統制評価の補助者の資質面での要件として

評価に必要な能力を有していること、すなわち、内部統制の整備及びその評価業務に精通していること、評価の方法及び手続を十分に理解し適切な判断力を有することが必要である。

と書かれていますが、内部統制の目的である「財務報告の信頼性」というのがどういうことなのか、ということについて精通していなければ、目的に照らした適切な判断が出来るわけがありませんので、会計、開示に関する知識が不可欠であるのは明らかです。もう少しいえば、財務諸表項目等に係る「適切な財務情報を作成するための要件」または「経営者のアサーション」、監査人の立場からは「監査要点」を理解していなければ、いくらフローチャートを作ってもその「要件」を満たさないリスク（虚偽記載リスク）も正しく理解できませんし、内部統制が虚偽記載リスクを低減できているかどうかも判断できません。まして、どのような統制が虚偽記載リスクを低減するのに重要となるのか、つまり「統制上の要点」も識別できません。さらに、運用テストをどのように行ったらよいかも分かりませんし、その結果についての適切な判断も出来ません。つまり、RCMが書けないのです。

逆に、会計、開示に関する知識があり、「財務情報を適切に作成するための要件」を財務諸表項目等に対して適切に設定することが出来れば、それを満たすためにはどのような業務要件が必要で、それが適切に行われるためにはどのような統制が必要なのか、つまり、「あるべき統制上の要点」もわかります。この「あるべき統制上の要点」が、実際に自社の業務プロセスでどのように実装され、実施されているかを調べて、漏れや不足、または不適切な状態になっていないかを見ればよいのです。

そして、「統制上の要点」について、社内の判断規準及び判断規準への適合性を証明する証跡（例えば請求書、物品受領書、検収書、注文書、契約書等と実際に判断した際の記録など）を元に、それが実際に有効に機能しているのかを判断します。適切な判断規準がなければそもそも判断が適切であるかを客観的に示すことは出来ません。判断規準があっても、その適合性を確かめるためのものがなければ判断しようがありません。これは取引の際もそうですし、期末残高の評価を行う際にもそうです。「これは一体いくらで売ったのか」「これは売上を計上するための要件を満たしているのか」を証明するものがあるのか。ないとしたらどうやって要件を満たしていることを証明するのか。それとも、要件を満たしているかを確認することなく売上が計上されてしまうのか。そんなことから内部統制を構築、評価する。

さて、同じ勘定科目でも業種やビジネスモデルによって会計処理が異なるので、具体的な「適切な財務情報を作成する要件」も変わってきます。売上の場合、「実在性」「権利義務の帰属」という「要件」を満たすかどうかの基準が出荷基準と検収基準では当然異なります。したがって構築すべき内部統制、「統制上の要点」も異なります。

RCMで統制上の要点に該当する統制が、どの要件に影響を及ぼすかを記述（○をつける）するのですが、もし、ある勘定科目にかかる業務プロセスにおいて、その勘定科目において満たすべき「要件」のところに全く○がついていなければ、それは統制のデザインが適切ではなく、欠陥があるということになります。資産に係る最も重要な「要件」は「実在性」ですが、もし、当該科目に係る業務プロセスのRCMを作って「実在性」に○がつかなければ、RCMへの「統制上の要点」の記述がもれているか、統制のデザインに不備があるか、そもそも虚偽記載リスクがないか極めて小さいか（普通はあまり考えられませんが）のいずれかの可能性が高いです。統制ごとに○をつけることが重要なのではなく、一連のプロセスにおいて○がついているべきところについているか、ついていなかった場合にその理由をきちっと把握し、適切な是正措置が講じられるかが重要なのです。

ということで、まずはビジネスモデルを把握し、金・モノ・サービスの流れ、適切な会計処理を理解し、それにかかる勘定科目の「適切な財務情報を作成するために要件」、そして考えられる虚偽記載リスク（要件を満たさないリスク）とそれに対応する「統制上の要点」（あるべき論）を認識し、それと実際を比較する、というのが、会計監査的なアプローチです。

そういうことから、会計・開示に関する知識と虚偽記載リスク、統制上の要点を識別するための見識、経験が重要になってくるし、それなしにはJ-SoXにおける内部統制評価も不備の改善も出来ないのではないかと思うわけです。

とはいえ、ビジネスそのもの、業務やコントロールへの深い造詣、人を見る鋭い目は十分に持ち合わせている内部監査人は非常に多いものの、会計に精通している内部監査人は必ずしも多くない。まして、ITにも精通しているとなると・・・・。外から呼んでくるのも難しいし、やはり、本質的に優秀な内部監査人の方々に会計について学んでいただくのが一番ではないかと思うのですが・・・・。

投稿者 AH 時刻 00時46分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) | トラックバック (0)

2007年5月 9日 (水)

水と酸素、神とは何か

訳がわからないタイトルをご覧いただいておわかりの通り、今日はひとりごとです。

水（H2O)を理解するのに元素レベルに分解して「2つの水素（H2）と一つの酸素（O）が結合したもの」という説明があったとします。そして、酸素と水素の性質等の説明を延々とします。しかし、酸素と水素の性質をいくら説明したところで、水の性質を説明したことにはならないし、理解することはできない。

内部統制についても同じことがいえるのでは。個々の統制手続がすべて有効であることと、内部統制全体として有効というのは違うのではないか。逆に無効な統制手続が仮にあったとしても内部統制全体としては有効でないとは言い切れない。つまり、内部統制というのは1+1=2という単純な世界ではないのではないか。だからこそ、積み上げ式の評価だけでは内部統制全体としての評価に関する正しい結論は導き出せないのではないか。逆にトップダウンで内部統制を細かく分析していったとして、果たしてどこまで意味があることなのか。細かく分ければ分けるほど、本質を見失いはしないか。特に複数の要因が複雑に絡み合って一つの統制をなしているまたは複数の統制が一つのリスクに対応しているようなケースは、個々に統制を見てもあまり意味がないのかもしれない。

一方で、「神とは何か」を延々何千年も追及し続けてきた人々がいる。普通の日本人には（信じられるかどうかは別として）理解しがたい発想。父たる神、子たる神、精霊の三位一体というのは、神が三位一体の存在なのか、それともそれぞれの位格が独立した存在なのか。神というのは感じるもので、分析してその本質を説明できるようなものではないという感覚が私にはありますが、「神とは何か」で何千年も議論しているというのは信じがたい。そして、何千年経っても結論が一つにまとまっているわけではない。内部統制のフレームワークも内部統制報告制度も、もともとこういう発想をする人達が考えたもの。もちろん、信じることに理屈はいらないという点では、一般信徒レベルではあまり変わらないのかもしれませんが、聖職者、神学者となるとそうもいかないのかもしれません。新約聖書などは、なぜ信じるものが救われるのか、とか、なぜイエス・キリストが神の子なのかということを、旧約聖書という判断規準と様々な預言の実現という「証拠」を結びつけることで説明しようとしている。旧約聖書に書かれた神の言葉（預言）に沿って実際にイエス・キリストに起こったことを客観的に判断すると、イエスは神の子であったという結論に達する。この論理展開は、会計監査における会計基準と監査基準と監査証拠、そして内部統制評価制度における判断規準としての「枠組み」と「評価基準」と内部統制の記録（証拠）の関係を説明するのにとても似ているような気がする。

内部統制については、「性善説」vs「性悪説」で日本は性善説だから受け入れられにくいという説明がなされることが多いですが、私はそれよりむしろ、感じるものですら理論的に説明しようとするという彼らの習慣を日本人が受け入れがたいという面が大きいのではないかと思います。「私は彼を信じているのだから」で済む日本と「私がなぜ彼を信じているのか」を分析し、説明する彼ら。日本語の「信じる」に対応する英語の単語がいかに多いか。「信じる」の中身の違いで使い分けるのか。「財務報告の信頼性（Reliability of financial reportingまたはaccurate financial reporting）」といった場合の「信頼」とはどういうことか。

なんてたまに考えて、文化の違いってこういうことなのかな。そして、COSOとか会計監査の理屈って、本当に世界共通の普遍的な価値判断規準なのかな、なんて思うことがあります。

つまらないひとりごとでごめんなさい。

投稿者 AH 時刻 01時14分内部統制・J-SoX, 経済・政治・国際 | 固定リンク | コメント (0) |