XBRLと内部統制、J-SoX

日本内部統制学会、日本公認会計士協会（JICPA）主催の「内部統制報告制度ラウンドテーブル」が開催された。上場企業（大手、ベンチャー）、監査人、投資家（アナリスト）、弁護士、監査役、内部監査人といった関係者に金融庁、東証、JICPA、学者、経産省といったメンバー。各種アンケート調査なども踏まえ、3月決算の結果と今後の展開について議論された。司会は「ミスター内部統制」八田教授。

http://www.hp.jicpa.or.jp/specialized_field/post_1234.html

上場企業側からは、J-SoX導入でよかった点と共に、コストや手間がかかりすぎる制度や特に監査人に対する不満の声が上がっていた。一方、監査人側は、「上場会社も監査人もよくがんばってこんなによくできた」みたいな話でどうもかみ合わず歯切れが悪い。それとまるで雲の上での話のようで、出席者が偉すぎて、現場での具体的な話に結びつかないので、切迫感がない。

いくつか気になった点を。

１．会計士側にはあまり反省がない

JICPAから、監査人に対するアンケート結果が公表されたが、監査の効率性を上げる必要性については言及されているものの、上場会社側の不満については、あまり意識していないように感じられた。判断のばらつきとか、ドキュメンテーションだとか、現場の判断と品質管理部門の見解の相違だとか、そういうことについては、問題があったとは思っていないようだ。

２．プリンシプルベースとルールベース

J-SoXの基本的なスタンスはプリンシプルベース（原則ベース）であって、上場会社と監査人がそれぞれの会社の事情に合わせて内部統制を構築するという建前にはなっているが、実際には、判断のばらつきを抑えるために監査法人の画一的なマニュアル等や金融庁の諸文書をその通りにやろうとしてによってルールベース的な運用になっている点が指摘されていた。IFRS導入においても同様の問題が生じる可能性がある点が懸念されている。この点をどうしていくかということについての突っ込んだ議論がなされなかったのは残念。監査法人のマニュアルもアメリカ式のルールベース的な考え方だから、それを取り入れている日本の大手監査法人が同じようになるのもやむなしか。一方、中堅監査法人は、中小規模の上場会社に対するルール見直しの必要性に言及していた。

３．内部監査の利用

監査効率のアップのために、内部監査結果をもっと活用すべきだという意見が監査人側から提言されていたが、そもそも、内部監査体制が十分に整備されていない、また内部監査の目的が財務報告の信頼性ということに重点が置かれていなかったこと、支店などの監査が中心で本社、特に経理部門の監査が行われていなかったこと、などから内部監査の充実の必要性が主張されていた。一方、実務側からの視点の議論として欠けていたと思われるのが、運用テストにおけるサンプリングチェックの問題である。内部監査による運用テストの結果に依拠するということは、監査人のマニュアルに定められた監査人のためのがんじがらめのサンプルチェックの方法を内部監査人に要求することになるということ。本当にそれでいいのか。監査人は楽になるかもしれないが、内部監査の負担はどうなるのか。

４．ドキュメンテーション

これも議論がかみ合わなかったテーマの一つ。いわゆる3点セットの話と、電子化された伝票を紙で打ち出して捺印するといった内部統制の証跡を残すことがぐちゃぐちゃに議論されていた。上場会社側が問題にしているのは、どちらかといえば、画面を見てチェックするだとか電子承認するだとかいったペーパーレスの方向性に逆行する紙での保存や紙上での捺印などを監査人が要求するのはやめてほしい、ということであって、3点セットの問題ではない。これも、運用テストの問題である。紙の書類なり伝票に捺印がなされていなければ、監査人が運用テストができないということなのだと思うが、これに対して、監査人側が何も答えなかったのは残念。

５．重要な欠陥

これについては、鋭い指摘も出たものの、「事なかれ」ではないが、何となくあいまいな形で議論が収束してしまった印象がある。「本当にこんなに少ないのか？」「決算での間違いなどといった内容の欠陥しかないのか？」「IT統制の欠陥はないのか？」などといった疑問が出されたにもかかわらず「上場会社と監査人ががんばった結果である」「経営者と監査人のコミュニケーションが米国よりはるかによく、事前に問題が解決された」だけで済まされてしまった。それ自体は否定するものではないが、内部統制報告書の詳細分析や、有効であるとされた企業におけるその後の不正等の状況を見る必要があろう。

なお、重要な欠陥について、東証では適時開示の対象とする方向性であるとの説明があった。上場会社自体が適時開示を通じて自ら重要な欠陥について説明することが、誤解に基づく風評リスクを防止する観点からも重要という考え方のようである。

その他、内閣府令の改正等もあるようである。

4時間にわたるラウンドテーブルであったが、ここから何か新しい動き、方向性が見えてくるのだろうか？米国では、ラウンドテーブルをきっかけにかなり変わったようであるが、今日の議論だけでは具体的な方策にはなかなか結びつきそうもないような気がする。

いずれ、会計･監査ジャーナルでも取り上げられるはずなので、ご興味のある方は目を通していただきたい。

以前予告したとおり、金融庁は4月2日に、「内部統制報告制度に関するＱ＆Ａ」の再追加を公表しました。

新たに主として以下の内容の24問を追加。

◇「重要な欠陥」の判断（問68～70、75、77）

◇子会社の売却・業績悪化等により重要な事業拠点の選定指標が一定の割合に達しない等の場合の取扱い（問73、74）

◇内部統制報告書の記載内容（問101～107）

重要な欠陥については、判断基準や金額的影響額の算定方法といったことではなく、実務的に決算早期化の影響でチェック前の決算書を監査人に見せて指摘を受けた場合とか、決算短信の修正があった場合に、直ちに重要な欠陥になるわけではないといったことが記載されています。

「内部統制報告書の記載内容」は、いわば記載例、文例ともいえます。いままでずっと「記載例は公表しない」といい続けてきた金融庁ですが、アンケートや問い合わせの結果を踏まえ、実務の混乱が予想されることに配慮したのでしょう。

一応、「記載内容については、各企業の実情等に応じて記載することが適当であり、記載内容の例については、あくまでも参考であることに留意する必要がある。」という立場は崩していないものの、事実上のスタンダードになるのではないかと思われます。

この中には、監査人の過度な要求（といおうか、実施基準に対する誤解による誤った指導）により、期末直前になって評価範囲の変更を余儀なくされそうになっている上場会社にとっては「救い」となるようなものが含まれています。

例えば

「企業が重要な事業拠点を選定する際の一定割合として、「概ね２/３」というように選定の方針を記載しているのであれば、実績値は不要であり、方針とした一定割合を記載することで足りるものと考えられる。」

というのであれば、業績の変動等があっても2/3を絶対に割り込まないように、保守的に評価範囲を広めに取っておくといったことも必要なくなります。

今回一番驚いたのは、内部統制報告書文例の中で、「内部統制を整備せず評価を実施しなかった場合」の文例が示されていることです。こんなことは元々想定外ではあったはずですが、実際にふたを開けてみると、こういう上場会社も現実に出てくる可能性が十分あるということと、仮に、「内部統制を整備せず評価を実施しなかった」ということで、結論不表明の内部統制報告書を提出し、同じく監査意見不表明の内部統制監査報告書が提出されてもペナルティがないこともあり、初年度はある程度やむなし、という実質的な救済策を提示したともいえます。しかも「やむをえない事情で」評価できなかったということではない以下のようなケースを想定していることには正直驚きを隠しえません。

「財務報告の信頼性に関するリスクの評価と対応を実施しなかった理由は、連結グループ全体において、間接部門を中心に人員を削減しており、連結子会社において経理及び財務の知識・経験を有した者をリスクの評価に従事させることが困難であったためである。」「一方、財務報告に係る内部統制の整備及び運用の重要性は認識しており、これらの人員の制約はあるものの、環境を整備し、今後×年間で評価を完了させる方針である。」

これで許されるなら、今までの苦労は一体なんだったのか？と怒られる方もいらっしゃるかもしれません。整備を数年かけて、ではなく、評価そのものも数年かけてということなのです。

おりしも世界的な不況で、リストラが盛んに行われつつありますが、それで内部統制評価ができなくてもやむなし、というくらいの感じにも見えます。制度は導入するが、実質的には出来なくても仕方がないという妥協です。制度の緩和または「徳政令」といってもいいかもしれません。ただ、元々、評価自体が目的というよりは、内部統制を整備して適切な財務諸表を作成することが目的なので、そういう意味では、極めて現実的な解決をしたのかもしれません。

いずれにせよ、かなり衝撃的な内容も含んでいるので、是非早いうちに目を通されることを強くおススメいたします。

いよいよ決算期も近づき、内部統制報告書にどのように記載すればよいのかについて悩み始めている上場会社も少なくないと思います。金融庁では、内部統制が各社各様であるということから、内部統制報告書の記載例を公表しない方針で来たようですが、やはり上場会社からの要望が多いようで、「Q&A」の追加の形で記載例を示す方向で検討しているようです。また、金融庁に問い合わせが多かった事項についても、Q&Aに反映するみたいです。金融庁としては今月中には何とかしたいようですが、もし出たらお知らせします。

また、監査人側の実務指針である監査保証実務委員会報告第82号が改正されました。重要な欠陥の説明や、必要な評価を実施できなかった場合の監査報告書上の取り扱い、IT全般統制の不備の取り扱いなどが追加されています。様々な理由で、上場会社が評価が終わらなかった場合であっても、評価した範囲内で重要な欠陥がある場合には、その旨を内部統制報告書に記載することになりますが、その場合に、監査人は適正意見を出せるかということが問題になります。評価できなかった部分が重要であれば、監査意見不表明にするということのようです。

http://www.hp.jicpa.or.jp/specialized_field/82_3.html

日本公認会計士協会は、内部統制監査実務指針改正案を公表しました。

「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について」（公開草案）の公表について
http://www.hp.jicpa.or.jp/specialized_field/82_2.html

主な改正点は、

・IT全般統制の不備の取り扱い

・全社的統制の不備の取り扱い

・重要な欠陥の判断基準の明確化

ですが、記述は若干詳しくなったものの、なおかつこれだけ読んでも具体的なイメージが思い浮かばないというのが読んでみての実感です。

特に重要な欠陥については、重要な誤謬が「発生可能性」を判断するのがなかなか難しい。統制エラーの発生可能性を運用テストにおける統計的サンプリングである程度推測することはできますが、統制エラーが必ずしも会計処理の誤謬や不正に結びつくわけではないので、統制エラーから財務報告の重要な虚偽記載の発生可能性を推測するのはかなり困難。もちろん、統制エラーによって虚偽記載が生じるケースもありますが、多くの場合、上司がちゃんとみていなくても担当者がちゃんとやっていれば誤謬は発生しません。

などと考えているとますますわからなくなります。

理屈では説明できても、現実にはとても難しい判断です。監査人もとても困惑するのではないかと思うのですが。

理解できるかどうかはともかく、最低限目を通されておくことはオススメします。

内部統制の評価基準日まであと2ヶ月ちょっと。

ところが、ここにきて内部統制整備にとっては大逆風が吹いています。いうまでもなく、不況の影響。あちらこちらで人員削減。いまは、期間工や派遣社員を中心とした工場での生産ラインの作業者が注目されていますが、そう遠くないうちに、正社員、派遣社員を問わず管理部門にもメスが入れられることは、過去の例からおおよそ察しがつきます。また、システム統制も抑制されざるを得ないでしょう。

そうなった時に、果たしてここ数年で構築してきた内部統制が維持できるのか、または、重要な欠陥が解消できるのか、といった問題は、どうも表にでてきていないようですが、業務の効率化まで踏み込めていない表面的なJ-SOX対応で済ませてきたところは、もしかしたら耐えられないかもしれません。

また、このような状況下で、「重要な欠陥」を表明することが、株価や企業経営にどのような影響を与えるのかというのも懸念材料です。業績がよく、株価も好調な時であればあまり影響ないかもしれませんが、今のような状況では一体どうなるのか見当もつきません。

人員削減、コスト削減の中で、いかに内部統制のレベルを下げずに維持するか、また、三点セットのメンテナンスや評価要員をいかにして確保するのか、ということを、今から真剣に考えておく必要があるのではないかと思います。

経団連もJ-SOX適用延期の要望などは今のところ出していないようですが、上場会社側の実態というのはどうなっているのでしょう？

現時点で議論することは時期尚早かもしれませんが、個人的には、内部統制報告書において「重要な欠陥」があり、かつ改善されていない旨が記載された場合に、経営にどのような影響が出るかを、「危機管理」の一環として考えておく必要はないのかということが気になっています。

著名な会計士や学者の先生は、制度の趣旨は、内部統制を改善していくことにあるのだから、初年度はどんどん重要な欠陥を出した方がよいというようなことをおっしゃいますし、取引所も重要な欠陥があることをもって上場廃止の対象にはしないということは明らかにしてはいますが、だからといって、重要な欠陥が次から次へと開示された場合に、上場廃止にならないからいい、で済まされるのでしょうか？昨今の株価の状況や、実体経済の悪化に伴う企業の業績悪化という不安定要因がある中で、仮にそれが経営に直結しない内容であっても、株価にネガティブな影響を与える可能性が皆無といえるでしょうか？　最悪のシナリオでは、株価下落→信用不安→資金繰り悪化→倒産といったスパイラルに陥る可能性はないのでしょうか？　もちろん、ゴーイングコンサーン注記に比較すればインパクトは小さいかもしれませんが、ネガティブな情報であることは間違いありません。

時価会計の見直しという超法規的な措置まで取りざたされている中で、果たしてこの経済状況で何が何でもJ-SoXを当期から適用するだけの重要性はあるのでしょうか？業績が急激に悪化する中でコスト負担に耐えられない上場会社が出てきたらどうなるのでしょう？監査人も、経済状況が悪化すれば粉飾のリスクが高まりますから、もっとリスクの高いところにリソースをつぎ込まないと、とんでもない失敗をやらかしてしまわないでしょうか？

と、考えると、状況次第では、適用の1年延期などということも経団連あたりから申し入れをするなどという可能性はないのでしょうか？

これは全くの個人的感覚なので、実際にそうなるかどうかはまったくわかりませんが、何となくそのくらいのことはやってもよいのでは・・・という気持ちはあります。

そもそも、八田教授のように「重要な欠陥」という訳語が適切ではないのではないか、ということをおっしゃる方もいらっしゃいます。あたかも致命的な欠陥があるようなとらえ方をされてしまいますが、致命的ということではないということのようです。つまり、言葉の持つイメージと実際に生じている問題の重要性にはギャップがあるようです。しかしこのギャップは、投資家をミスリードする可能性はあるということ。であれば、なおさら、用語の見直しを行うべきです。用語が不適切であったがために投資家をミスリードし、必要以上に株価に影響が及び、市場の混乱に結びつくようなことを避けるべきではないかと思います。

実務的にも、「重要な欠陥」になるかどうかのレベル感がさっぱり見えてこない。監査人一人ひとりによってレベル感がバラバラ、などという状況では、投資家のミスリードのリスクは高くなる一方。当然、経営リスクも高まってしまうわけで、企業を取り巻く環境事態が危機的な状態の中で果たしてそれだけのリスクを企業に負わせることができるのか。

どういうわけか、新聞などを読んでもそういう論調のことはほとんど出てきていません。「いまさら」ということはもちろんありますが、もし、内部統制に重要な不備のある上場企業を証券市場から退場させようということではなく、内部統制を是正していくことが制度の趣旨であるならば、何もことを急ぐ必要はない。上場会社が安心して重要な欠陥を開示して、かつ適切に対応できる環境を整備した上で導入しても遅くないのではないか。

考えすぎ、心配しすぎかもしれませんが、最近の株価の状況を見ていると、やはり、心配になります。果たして誰か声を上げるのでしょうか？

あちらこちらでJ-SOXの対応状況等に関するアンケート調査の結果が公表され、意外と対応が遅れている上場会社が多いなという感覚をお持ちの方も少なくないのではないかと思います。

それはともかく、具体的に作業を進めていくと、どうしても「茶番」になりがちな場面に遭遇することになります。実態が全く伴っていないのに、形式ばかり整えさせられる。内部統制の不備を是正することより、3点セットの書き方を直す方が優先させられる。そんな、どう考えても本末転倒なことに納得できない、という方もいらっしゃるでしょう。

例えば、数人しか社員がおらず、経理も会計事務所任せ、チェックは監査人任せの子会社の中で、決算財務報告プロセスに係る内部統制を整備しろといわれても、経理知識が全くない人が財務諸表を形式的にチェックするという程度が精一杯で、事実上、監査人の監査に頼らざるを得ないにもかかわらず、それでは内部統制の不備といわれる。では、経理の専門家を高い給料で雇わなくてはならないのか。せいぜい、親会社が子会社の業務委託先や監査人に親会社の方針を伝えて、それに基づいて経理処理なり監査をしてもらうということくらいしか出来ません。

こういう実態は、どこにでもあるにもかかわらず、金融庁は、この問題には触れようとしない。せいぜい業務分掌の問題までです。つまり、解決不能な「内部統制の不備」が厳然と存在するということに目をつぶって建前で処理するしかないということです。

さらに、決算財務報告プロセスの内部統制の評価というのも、極めて形式的になりがちです。経理実務がよくわからない内部監査部門の「シロウト」さんが、実質的に内部統制が有効に機能しているかをチェックしようと思っても、なかなか難しいでしょう。経理部門がチェックリストを作ったりしてお膳立てをして、それを内部監査部門が形式的にこなす。承認印の有無はチェックできても、その中身が本当にきちっとしているのかどうか、つまり実質的に統制が効いているのかどうかを確かめることがなかなかできません。繰延税金資産の回収可能性の判断をきちっと見ているか、などということは結果から判断するしかありませんが、単純な計算チェックや元データとの照合程度ならできても、判断に係ることが内部監査部門にそう簡単にできるとは思えません。これも実質的には監査人がチェックするしか方法がない。

決算財務報告プロセスだけでなく、IT統制についても、IT部門がお膳立てしたチェックリストなどで形式的にチェックすることはできても、内部監査部門が実質的に統制が効いているかどうかを検証することはなかなか難しい。あくまでも表面的なチェックにとどまらざるを得ない。こんなことで、内部統制のレベルを向上させることができるのか。形式的な「評価」自体が自己目的化してしまい、本来の目的である財務報告の信頼性向上に寄与しないのではないか。

J-SOXがすべて茶番とは言わない。実質的に役立つ部分もたくさんある。しかし、目的からして最も重要な決算財務報告プロセスの評価が「茶番」ということになると、果たしてここまで手間をかけてやるほどのことなのだろうか、という気もしないではありません。

J-SOXは、ダイレクトレポーティングを採用しないということをメリットの一つとしていますが、逆にそれが、「内部統制評価」に対する監査人の要求を厳しくし、茶番をよりいっそう本末転倒なものにしてしまってはいないか。

本末転倒なことについては、どしどし声を出していただきたい。大事なことは、適正な財務報告を作成し、投資家に提供することであって、3点セットを監査人の主義に合わせて理論的に完璧に美しく作ることではない。

金融庁もたびたびそういうことをいっているのにもかかわらず、個々の監査人に届かないのはなぜか。Q&Aなどを出しっぱなしにするのではなく、監査法人とよくディスカッションすべきだ。昔は、監査人は、不適正意見を出すことが目的で監査をしているのではなく、正しい財務諸表を作成させ、適正意見を出すために監査をしているのだといわれていました。しかし、正しい財務諸表を作成させるために指導性を発揮せず、批判性ばかり発揮していると、結局、不適正意見や意見不表明ばかりが連発されることになり、投資家のためにはならない。投資家は不適正意見がほしいのではなく、適正な財務諸表を必要としているのです。内部統制監査については、適正な財務諸表の作成が可能となる内部統制が構築されていることを求めるのであって、3点セットの作り方が悪いといって不適正意見を出すことを求めているわけではありません。

景気後退期にあって、上場会社も茶番に金をかけている余裕はなくなってくるはずです。コストをかけられないからこそ、本来の目的が達成されるように大事に金をかけるべきです。

本番年度に入ってしばらく静かだったJ-SOX関係。ここのところアンケート結果が公表されたりして、再び話題が出てきました。文書化の遅れとか、全社的統制整備の遅れとか、相変わらずIT統制に係るツールの導入とか・・・。

しかし、私が業界人として一番心配なのは、内部統制監査が実質的にちゃんとできるのかどうか、監査人、特に若手会計士に内部統制の不備を見抜く力があるのか、及び内部統制の不備を会社自身に改善させる道しるべ的に役割を果たすことができるのか（監査人の指導性）ということです。

形式的な規程の有無や更新状態だとか、3点セットの書き方だとか、そういうところばかり指摘し、重要な財務報告の虚偽記載リスクに関係する内部統制の不備を見逃すことはないだろうか？3点セットだけ見ると良好そうに見えるが、いざ現場に行って実態を調べてみたら全く形式的で実効性がなかったにもかかわらず、それを見逃すことはないだろうか？

業界内でも古株会計士が気にしているのが、「最近の監査は、部屋の中でPCに向かうばかりで現場に行かない、現場の人に質問しない」ということです。実施基準やJICPAの監査実務指針でもウォークスルーとか視察とか質問とか再実施とかそういった監査手続が求められていますが（例示ではありますが）、そういうことをあまりやらずに3点セットの閲覧と監査の部屋の中で資料を持ってきてもらってできる運用評価手続だけで済ませてしまう。現場に行かずに質問しなくていいように、3点セットにより詳細な記述を求める。だから、形式的なことばかり言われて本当に問題になりそうな指摘はしてくれないし、内部統制を改善しようとしている上場会社にとってもあまり監査を受けているメリットが感じられない。なにせ時間がないというのが最大の原因で、監査人もとても気の毒なのではありますが。

それと、RCMやフローチャートを見て「不備」を見つけたとしても、それによって実際に誤謬や不正が生じているわけではないと上場会社が認識しており、特に手をつけたくないというところについて、監査的手法で本気で調べたら実はガタガタボロボロ、間違いだらけだったということになると、会社も手をつけざるを得なくなる。こういうことが監査現場でちゃんと出てきているか。遠山の金さんではないですが、動かぬ証拠を突きつけることで、会社も対応せざるを得なくなる。これがすばやくできることが監査人といおうか公認会計士の能力といっても過言ではないと思います。様々な監査上の経験から、不正や誤謬が生じやすいところをとっさに見抜き、そこを集中的に、しかも深く突っ込んで不正や誤謬を見つけ出す。そしてさらに大事なのは、原因を徹底的に調べて具体的な改善策が講じられるようなレベルに持っていくこと。原因調査が甘いとリスクに対処する適切な統制が構築できない。その手本を示せるのは、経験豊富な監査人。もちろん、不正や誤謬を発見すること自体が目的なのではなく、内部統制の不備によって実際に問題が生じているので改善する必要があるという監査人の主張に説得力を持たせることが目的ではありますが。ですからすべての不正や誤謬を洗い出す必要はない。

それと、統計的サンプリングの誤った適用によって、リスクの高いところの運用の不備がが見逃されてしまうのではないかという懸念もあります。昔の監査は、異常点だとかリスクの高いところを狙い撃ちしてサンプリングしていましたが、特にJ-SOXの運用テストでは実施基準の影響もあって機械的な統計的サンプリング中心になりがち。監査人もそれに近い。本来の統計学的考え方や監査マニュアルの考え方から言えば、すべてを一律に統計的サンプリングで行うのではなく、異常点だとか危なそうなところについてある程度集中的に見た上で、残りの部分について統計的サンプリングを実施するというような考え方だったのではないかと思います。たとえば、帳簿上のたな卸資産残高がマイナスになっているケースでは、その原因を確かめれば、多くの場合何らかの内部統制上の不備が見つかるはずです。整備状況レベルのものもあれば運用状況のものもあるでしょう。整備状況レベルで不備であれば運用評価にはいきませんので、統計的サンプリングの話は出てこないのですが、運用の不備が発見された場合に、不備があった統制についてそこから先統計的サンプリングを実施するのかどうか判断に困るところです。それがたまたまなのか、そもそもちゃんとやっていないからなのか、ということをどうやって判断するかです。そういうところにも監査人の知見というのは役立つはずです。社内の内部監査人（評価担当）が運用の不備を見つけて泥沼に陥ってしまうところを、監査人がうまく切りわけをして、迅速かつ的確に結論を出してみて、その手法なり判断の仕方を内部監査人が学び、次回から社内できちっと判断ができるようになる。

そんな指導的役割を監査人が果たすことができるのか。監査人なり個々の公認会計士の力量が問われるところです。

正直、監査現場はとっくの昔に限界を超えてしまい、内部統制なんかまともに見ている暇がないので期待されても困る、という声もあれば、仮に内部統制の不備を発見したとしても、それを指摘すれば上場会社から「具体的な改善策」を求められ、独立性の観点や監査契約範囲内での監査人の責任をできるだけ限定したい（余計なリスクを抱えたくない）という保守的な姿勢から内部統制の不備の指摘に消極的な監査人が増えてきているという声も聞きます。そうしているうちに、会計士の内部統制に関する能力（現場を見て実質を判断する力）もどんどん落ちてしまい、今度は内部統制監査における形式的なチェックや指摘に走ってしまうという状況になりかねないという懸念を持っています。そうならないよう、特に若手会計士には、少しでも機会があればPCからはなれて現場に赴いて、内部統制の実態をよく見て学んでいただきたいと思います。

また、内部統制コンサルといわれる人たちも、単なる3点セット作成代行で終わることなく、より現場の実態に密着し、理屈だけでなく不備により実際に問題が生じている証拠をつかみ、本当に問題があるところとないところ、リスクの高いところと低いところを見極めて改善のアドバイスをしていただければと思います。財務報告に係る内部統制の不備は、よくよく調べると経営的にも問題になるケースが少なくないです。J-SOXコンサルを契機として、より深い経営コンサルが行われ、企業の成長に結びついてくれれば、会社にとってもJ-SOXの支出はムダではなかった、ということになると思います。

監査を離れて数年になりますが、「えっ？こんな基本的なことも監査人は見てないの？」「こんなに問題があるのに監査人に指摘されていないの？」と驚いて心配になることがある反面、最近、監査って実はすごいんだ、本気でやればまじめな会社の役に立つんだ、ということを改めて感じて魅力的な仕事にも思えている次第です（じっくり監査をする時間さえあればですが・・・）。

果たして内部統制監査が監査現場の内部統制を見る力の向上に役立つのかどうか。。。

日本公認会計士協会(JICPA）は、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」（いわゆる内部統制監査実務指針）の英訳版を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/82_1.html

諸外国における日本の制度への理解を高めるという目的もあると思いますが、日本の監査人が、海外子会社の監査を担当する海外の監査人（他の監査人）に日本の内部統制監査の中身を知ってもらう場合にも大いに役立つのではないかと思います。正直、ビッグ4などにおいても、日本におけるメンバーファームが日本の制度を説明しようと思ってもなかなか難しい面もあり、日本の制度に適合した監査マニュアル上の取り扱いなどを決める際にこの英訳及び実施基準の英訳を示すことで、ずいぶん理解が深まるのではないかと思います。海外の監査人が海外子会社に係る「他の監査人」として内部統制監査を行う際には、原則として、日本の内部統制監査基準、そしてこのJICPAの実務指針に従うことになりますので、日本のルールの理解をしてもらうことはとても大事なことです。

それとともに、上場会社が海外子会社において内部統制構築、評価を行う際にも、海外子会社への理解を深めるものとして役立つのではないかと思います。また、例えば、親会社の3点セットなどを海外展開する際には英語化が欠かせませんが、その際の訳語もこの実務指針に使われている訳語を参考にできるのではないかと思います。専門用語が多くて、普通の社員や翻訳専門家には翻訳がなかなか難しい面もあったかと思いますが、この英訳は一応専門家の目を通してはいるはずなので、さほどおかしな訳語にはなっていないはずです。

ということで、地味な公表ではありますが、上場会社におかれてもうまく活用していただければと思います。

いよいよ初めての金商法ベースの四半期決算が佳境を迎えています。まもなく監査人のレビューもはじまることと思います。

今日は、EDINET XBRL化に伴い、経理担当者が監査またはレビューにどのように対応すればよいか、JICPAの公式文書をもとに考えてみたいと思います。

JICPAの公式文書そのものは以前にご紹介していますが、改めて読み返してみます。

http://bcj.way-nifty.com/xbrl/2008/06/jicpa_edinet_xb_d90c.html

１．XBRL文書そのものは監査(レビュー）対象ではない

　XBRL文書は、EDINETに正式に提出されるのですが、実は、XBRL文書自体は監査対象ではありません。また、監査人の多くはXBRLを処理できるツールを持っていません。したがって、XBRL文書(ファイル）の提出を監査人から求められるケースは極めてまれではないかと思います。逆にいえば、XBRL文書が適切に作成されているかどうかは、会社の責任でチェックしなければなりません。印刷会社のXBRL作成機能の中にも、EDINETの登録機能の中にも様々なチェック機能が組み込まれていますので、入力等さえ間違わなければ大丈夫とは思いますが。。。

監査報告書（写）にも記載が・・・。

EDINET上に掲載される監査報告書(写）には、JICPAが定めた決まり文句が入ることになります。そこには、XBRL化された財務諸表が監査対象ではない旨が記載されることになります。印刷会社に任せている場合には問題ないと思いますが、自社で監査報告書のHTML化をしている会社は要注意です。

２．HTML化された財務諸表の提出を求められる

　従来と同じように、XBRL化された財務諸表（XBRL文書）ではなく、HTML化されたファイルまたはそれをブラウザ（IE）を使って紙に印刷したものの提出を監査人から求められます。監査人はHTMLで渡せばそれを画面を見てチェックするか紙に打ち出してチェックするか、または会社が印刷したものを見てチェックすることになります。

　HTMLファイルは、印刷会社の提供する仕組みを使ってXBRLファイルから作成することもできますし、EDINETに仮登録してEDINETの機能を使って作成することもできます。正式にEDINETに提出するのは、EDINETの仕組みを使って作成されたHTMLファイルですが、印刷会社の仕組みを使っても、ほぼ同等のものができます。EDINETへの仮登録は、提出直前ということになる場合もあり、監査に間に合わない可能性もあるので、監査人と相談して、どのタイミングにどちらから作成されたHTMLまたはその印刷物を提供すればよいかを聞いておくといいでしょう。監査人は、もしかしたら印刷会社の仕組みを使ったものをチェックし、それとEDINET上で生成されたHTMLが同一内容かどうかを確かめるといったことをやるかもしれません。

　今回のXBRL化の対象はあくまで財務諸表本表なので、それ以外の部分は、従来と全く同じ扱いになります。

３．勘定科目の新旧対照表を作成しておく

　四半期は当期が初めてなので関係ないかもしれませんが、期末において、XBRL化に伴い勘定科目をEDINETタクソノミに定義されている科目に変更する場合に、監査人は、その変更が妥当かどうかを検討することになります。変更の理由はすでに金融庁より「正当な理由による変更」として取り扱うことが明確にされていますので、あとはその勘定科目で表示して本当にいいのかということを判断することになります。その際に、新旧対照表、または組替表等を作成提示し、変更点が明確にしておくとよいのではないかと思います。

　決算監査時は内部統制監査もあり忙しいので、早めに監査人に相談しておくとよいでしょう。

４．財規様式の改正に注意

　この四半期から財規等に定められている財務諸表の様式が大幅に変更になっています。今までのような罫線がありません。また、株主資本等変動計算書が縦型になっています。百分比、構成比の記載もなくなりました。

http://bcj.way-nifty.com/xbrl/2008/06/xbrl_c416.html

　いずれも、XBRL化に対応した改正ですが、これを「見栄えが悪い」ということで、従来どおりの様式でHTMLで作成するのはNGです。いかに見栄えが気に入らなくても、EDINET上でXBRLから自動的に生成されるHTMLをイメージして財規様式が作られていますので、あくまでXBRLからEDINET上でHTMLを作成していただく必要があります。社内の偉い方や監査人の偉い先生には、事前に改正の趣旨をよく説明しておきましょう。

５．内部統制報告制度（J-SOX）における取り扱い

　以前、XBRL化作業も決算財務報告プロセスとして評価対象になる可能性があるということを述べたことがありましたが、XBRL文書そのものが金商法上の正式な開示書類ではないという取り扱いになったため、従来と同じようにHTMLファイルを画面表示または印刷して、原稿とあっているかをチェックしていれば、印刷会社を外部委託先としてその内部統制を評価する必要がないといえるのではないかと思われます(全くの個人的見解ですが）。確かに、印刷会社の提供するITを利用して有価証券報告書等のHTMLファイルを作成していますが、だからといって、そのITに係る統制を評価しなくても、原稿と結果があっていることを確認すればそれでよい。XBRL文書は、本来画面表示や印刷しただけではその正確性は確かめることができないのですが、どちらかといえば、HTMLファイル作成のための中間生成物、副産物のような扱いで提出だけは強制という法的な位置づけになっているようなので、内部統制評価上無視しても。。。

ちなみに、EDINETのXBRLダウンロードページを見ると

「XBRLデータのうちEDINETにて公衆縦覧に供されていない情報については、金融商品取引法上で定められた開示情報ではありません。当該データは、利用者の責任において利用頂くことにご留意下さい。 」

とあります。

６．英語勘定科目は監査対象外

　XBRL文書から作成されるHTMLファイルには含まれませんが、XBRL文書をXBRLツールで読むと英語の勘定科目を表示させることができます。この英語の勘定科目についても、監査の対象ではありません。あくまでHTMLで表示される科目だけが監査対象です。

　EDINETタクソノミに設定されている英語勘定科目はそのまま使うことになっていますが、勘定科目を独自に追加する場合には、自社で英語勘定科目を設定しなければなりません。その勘定科目名も監査の対象外です。

　EDINETには次の記載があります。

「一覧表よりダウンロードされるXBRLデータに含まれる英語情報については、参考訳であり、その正確性が保証されるものではありません。」

このように、勘定科目の妥当性等を除けば、監査対応自体はいままでとあまり変わらないということになります。

いずれにせよ、初年度で監査人も十分に理解していない可能性もあるので、できるだけ早い段階で対応を協議しておくことをオススメします。

金融庁が、「内部統制報告制度に関するＱ＆Ａ」を大幅追加しました。今回の追加でなんと50問近く設問が増えて、とても充実しました。http://www.fsa.go.jp/news/19/syouken/20080624-3.html

大部分は、実施基準も含めて、今まで出されたものをよく読めば読み取れるような類のものが多く、新たに緩和されたというようなものでも取り扱いが明確になったわけでもありませんが、その中でいくつか注目したいものを挙げておきます。

（問２２）【評価の対象となる委託業務の例】

具体的に例示されました。『取引の記帳、会計帳簿の作成等に係るコンピューター処理を共同事務センターに委託する場合や年金資産の運用管理を信託銀行に委託する場合など、財務諸表や開示事項の作成の基礎となる取引の承認、実行、計算、集計、記録等に関するもの』

（問２９）【内部統制の評価体制】

『評価を実施する者が評価の対象となる業務から独立し、客観性を保っていれば、例えば、同じ部内の別のチームが経営者を補助して評価を実施することは可能である』

内部監査室の人員が不足している場合や海外への対応が難しい場合などに、評価主体の選択の幅が広がり、大規模な組織でなくても対応可能になるかもしれません。

（問３３）【取引の流れを追跡する手続の実施】

いわゆる『ウォークスルー』ですが、『経営者が必ず実施しなければならない手続とはされていない。』と書かれています。もともと「監査人が内部統制の整備状況に関する理解を確実なものとする上で、有用な手続」ですので、社内の方が評価を行う場合には、監査人よりはるかに業務に精通している場合も考えられ(多くの場合、ベテラン社員が多い）、したがってウォークスルーをやるまでもない場合もあるでしょう。

また、『監査人は、経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったかについての妥当性の検証は求められておらず、上記の手続を経営者が実施しないことが直ちに監査人の指摘の対象となることはない。』という記述も重要です。実務上は、監査人が、監査マニュアルに書かれている監査人のための手続を会社側にも求めるケースが少なくないと考えられ、それが会社側の負担増加につながっているという面を考えれば、虚偽記載リスクや統制内容の把握が不十分であると認められる場合を除き、ウォークスルーを行うかどうかは評価主体の状況次第ということが認められる効果は少なくないです。

（問３５）【期中における運用評価の実施】

いわゆるロールフォワード。『期中に運用状況の評価を実施した場合、その後、担当者への質問等により、評価対象とした内部統制の整備状況に重要な変更がないことが確認されたときには、新たに追加的な運用状況の評価は要しないものと考えられる。』とありますが、整備状況の重要な変更の有無を「質問等」で確認すればよく、いわゆる1件テストましてや運用テストを行わなくてもよいというのは、運用テストの実施時期の選択の幅を広げるものと思われます。評価対象事業拠点が多く、内部監査室の人員が少ない場合には助かります。逆に、変更がある可能性のある場合には、運用テストを後回しにするということも考えられるでしょう。

（問３９）【中小規模企業におけるIT 環境】

『例えば、販売されているパッケージ・ソフトウエアをそのまま利用するような比較的簡易なシステムを有している場合には、個々のITに係る業務処理統制よりも、ITに係る全般統制に重点を置く必要がある』とありますが、この場合の全般統制についての具体的なイメージが相変わらずわきません。全般統制といえば、情報システム部門が管理している大規模で複雑なシステムに適用される統制というイメージになりがちで、パッケージソフトといえば、スタンドアローンPC上で使われており、むしろ「EUC」の範疇に属するイメージで、多くの場合、情報システム部門は面倒見てくれません。スタンドアローンPCに係る全般統制といわれてもピンときません。アクセス管理、データ改ざんされないまたは改ざんを発見するための管理等がIT統制としては考えられますが、EUCレベルでの全般統制のあり方をもう少し具体的に示してもらいたいものです。

（問４０）【重要な欠陥の判断（人材不足や書類整備不十分）】

これはかなり多くの会社で気になるところではないかと思います。

『会計処理に関する知識・経験のある人材が不足している場合や会計に関するマニュアルや規程の整備が不十分である場合であっても、直ちに重要な欠陥に該当するものではなく、関連する業務プロセスに係る内部統制にどのような影響を及ぼすかを含め、重要な虚偽記載をもたらす可能性を検討する必要がある。』とありますが、マニュアル、規程の整備はともかく、人員不足、能力不足によって決算書がまともに作れないとなれば、これは「重要な虚偽記載」どころの騒ぎではないですので、果たして重要な欠陥といわないことができるのでしょうか？現実は、監査人が決算書(特に連結）作成を手伝うまたは事実上監査人が作っていたケースも皆無とはいえず、その場合には、監査人がそれをやめてしまえばもはや決算書が作れないのですから、重要な欠陥といわざるを得ないと思いますが、どうなのでしょう？とはいっても、能力がある経理マンを採用することは至難の業で、いつモアでも重要な欠陥が是正されないということになってしまうのですが・・・。

（問４２）【外部の専門家の利用】

（問４０）とセットの設問ですが、監査人以外の外部の専門家の利用はそれによってただちに重要な欠陥にならないとのことなので、人員を採用するより、こちらの方が現実的かもしれません。とはいえ、この類のサービスが果たしてどれだけあるのか、中小企業の記帳代行をやっている税理士事務所で連結財務諸表の作成は可能なのでしょうか？

（問４３）【重要な欠陥の判断（監査人に対する照会・相談）】

二重責任の原則や独立性の観点から認められる範囲で監査人に照会、相談したら重要な欠陥などというバカなことは常識的にありえないのですが、責任逃れのために照会、相談に応じない監査人が増えてくるとなれば、そういう過度に保守的な対応への歯止めとしては意味のある項目かも知れません。実質的には「連結財務諸表作成」に近いことを監査人がやっていても、「監査人の指導性（誤りの修正指示）」「紹介･相談への対応」の範囲で説明できるなら、それが一番現実的かもしれません。

（問４４）【識別するリスクの内容】

これは会社にとってありがたい項目です。『業務プロセスにおいて、すべてのリスクを網羅的に把握してこれを低減するための統制を識別することまでは求められておらず、リスクのうち重要な虚偽記載が発生するリスクとこれを低減するための統制を把握することで足りる。』とあります。RCM上ですべての虚偽記載リスクを洗い出した上で、重要かどうかを判断するというやり方を求めている監査人もいますが、それが筋とはいえ、そこまでやらなくても、重要なリスクがRCM上に洗い出されていればそれ以上は求めないということであれば、ある程度リスクの絞込みをした上でRCM等を作れますからずいぶん楽になると思います。

（問４５）【期末日後の重要な欠陥の是正措置】

これは、特に決算財務報告プロセスに重要な欠陥があって、期末決算までに是正されたケースでは、整備状況としては期末日までに是正が確認でき、運用テストは是正後の期末決算作業における運用状況をつかって行って問題なければ期末には有効であるといえるということで、助かります。

（問４７）【関連書類への印鑑の押印等】

これは悩ましい問題ですが、「すべての関連資料」への押印は必要ないとしながらも、、『経営者による評価や監査人による監査が実施できる記録が保存』する必要はあるので、かなりの負担感は残ります。まして上級管理職や経営レベルの方の押印であればなおさらで、かえって統制が形骸化してしまわないかという懸念はあります。

（問４９）【ダイレクト・レポーティングの不採用】

今回、初めて『通常、評価範囲や評価対象となる統制上の要点は経営者と監査人で一致することになり、経営者が評価対象としていない統制上の要点を監査人が独自に追加検証することにはならず』という記述が登場し、なぜダイレクトレポーティングを採用しないことで、米国より負担が軽くなるのか、ということが理解されやすくなったのではないでしょうか。

（問５０）【監査人の監査の開始時期】

『内部統制の整備状況及び運用状況の有効性の検証については、経営者の評価がすべて完了していない場合であっても、監査人は検証することが可能である』というのは、会社側にとっては助かります。3点セットさえできていれば、監査人が先に整備状況等について検討し、その結果を会社にフィードバックし、問題点が是正されるという効果も期待できますし、会社の評価時期の選択肢も増えます。ただ、効率性からすると、会社が評価した後の方がやりやすいとは思うので、監査人がすんなり認めるかは疑問です。

（問５５）【中小規模企業における内部統制の記録】

（問５６）【中小規模企業における職務分掌に係る代替的な統制】

この2問は、「監査人の対応」について触れたものですが、評価における対応については何も言っていません。監査人が、監査マニュアルに従って中小規模会社にも一律に大規模企業並みの内部統制の記録や職務の分離を求めることに対し、釘をさしたということでしょうか。評価における取り扱いについても述べてほしかったです。

（問６５）【監査役等に対する報告の方法や時期】

（問６６）【監査役等の監査報告の後に発見した不備】

会社法と内部統制報告制度の関係ですが、この2問によってスケジュール感がずいぶん明確になったことは評価できます。

『監査人は、通常、会社法監査終了時点において大部分の内部統制監査の手続は終了していることが想定されるが、会社法監査に関連しない部分（例えば、有価証券報告書の作成に係る決算・財務報告プロセスの評価の検討）については、内部統制監査の手続が終了していないことが考えられる』

ということで、会社法監査終了時点までにすべての内部統制評価、監査手続を終了させる必要ないということがわかります。適用初年度において、決算財務報告プロセスのように前年度の評価結果を利用することができない場合には助かります。

以上です。いままで監査人から指摘を受けたこととずいぶん違うと思われる方もいらっしゃるかもしれませんが、その場合には、是非これを見せて協議することをオススメします。

日本公認会計士協会は、５月２０日に「ＥＤＩＮＥＴへのＸＢＲＬ導入に伴う財務諸表作成プロセスの変更及び監査人の留意点について」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/post_1006.html

EDINETにおける財務諸表のXBRL化は、事実上３月決算会社の2008年度第一四半期に係る四半期（連結）財務諸表から強制されますが、監査人による四半期レビューの取り扱いと並んで、XBRL化への対応がどうなるのか注目されていましたが、ようやく公表され、これで制度上の対応はほぼ終了したといえます。

基本的には、最終的にEDINET上で公衆縦覧に供されるのがXBRL形式のファイルからEDINET上で自動的にHTML形式に変換されたものであるということで、途中でXBRL形式のファイルが介在するということ以外は、従来の枠組みとなんら変わりません。また、XBRL化の対象は財務諸表本表のみで、注記や附属明細表といった監査対象部分は従来どおりです。

ただし、従来は、印刷会社で作成されたHTML形式の財務諸表を印刷してチェックした上で、それに監査報告書を袋綴じするなどして監査対象とした財務諸表を確定することが行われていましたが、今後は、HTML化がEDINET上で行われるため、EDINETでHTML化したものを印刷して綴じこむか、XBRL形式のファイルから印刷会社のほうでHTML化したものをブラウザの印刷機能で印刷するか、または各社で用意したXBRLツールを使って印刷するか、それとも、XBRL化する前の原稿を印刷して監査報告書と綴じこむか、といったことを考える必要があります。XBRL化の手順やスケジュールは印刷会社によって異なると思いますので、印刷会社から情報を得た上で、監査人と監査スケジュールや財務諸表の受け渡しなどについて協議するのがよいのではないかと思われます。

なお、監査人が監査対象とする財務諸表は、提出会社の適切な機関によって承認されたものであることが望まれるとされています。したがって、監査人としては、少なくとも財務諸表がどの時点で作成されたのか、またどのような手続によって承認されたのかを確認できるような手段を講じることが必要です。上場会社側では、会社法上の計算書類と異なり、いままで有価証券報告書に掲載される財務諸表を承認する手続が不明確なケースがあったかと思いますが、J-SoXの決算財務報告プロセスの整備の一環として、有報ベースの財務諸表や有価証券報告書の承認手続きを明確にし、承認の証跡を残しておくことが必要かと思われます。

この文書には、監査人がXBRL化に対応するために必要な最低限の知識も掲載されています。金融庁のEDINET関連文書にも書いてあることではありますが、あまりに分量が多く、読むのも大変だと思われますので、「ここだけは押さえておきたい」という上場会社の経理担当者の方にもおススメです。

まだ、前年度の有価証券報告書の作成中かと思いますが、そろそろ四半期財務諸表の勘定科目表示などについて検討し、監査人と協議しておいた方がよいのではないかと思います。その際にも、本文書を参考にしていただければと思います。

金融庁、日本公認会計士協会、日本経済団体連合会は、共同で「内部統制報告制度相談・照会窓口」を設置しました。電話、ＦＡＸ、電子メール、郵送により相談・照会できるそうです。

くわしくは

http://www.fsa.go.jp/receipt/soudansitu/internal-control.html

個人的には、どんどん利用した方がよいと思います。監査人によっていうことがばらばらだったり、初期のUS-SoX的な考え方に引きずられたりということが無きにしも非ずで、その結果過度な負担がかかるということもありうるので。

ついにJ-SoX本番年度に突入してしまいました。

とはいえ、まだまだIT全般統制の整備がスムーズに終わっていない、または監査人やコンサルから会社の実態に照らして非現実的な要求を突きつけられて途方にくれている会社も中にはあるのではないかと思います。

そんな中、日本公認会計士協会からIT委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の改訂版が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/main/31_1.html

これはあくまで財務諸表監査において監査人がITに係る統制リスクを評価する場合に適用される考え方ではありますが、J-SoXにおいて経営者がIT全般統制をどこまで整備すれば有効といえるのかを考える際に参考になるものと思われます。不慣れな会計士がチェックリストで機械的に「IT全般統制の不備」として扱おうとした場合に、会社の実態を考えた場合に経営者としてどのように対処すべきかという点からも参考になります。

特筆すべきは、「全般統制に不備がある場合の取扱いの考え方の例示」が示された点です。

冒頭で、「全般統制に不備があるとして指摘をする際には、そのシステムの状況や実際に財務諸表の数値にどのような影響があるかを考慮して意見を述べることが肝要です。」と述べています。経営者がIT全般統制の評価を行う場合にも、同じことがいえると思います。

具体的には以下の３点についてです。

① バックアップデータの保管

② アクセスログの取得

③ 職務の分離と権限の分掌について

① バックアップデータの保管　については、「バックアップデータの外部保管と混同される場合がありますが、財務報告目的のリスク評価においては、財務報告の作成のための基礎データが全て失われるリスクを低減することにあります。よって、要請される管理レベルは、財務報告目的としては、データの復旧が可能なレベルです。」と書かれており、必ずしも外部にバックアップを保管しなければならないということではない、と考えられます。

② アクセスログの取得については、「情報システムに関するあらゆるアクセスログをとることが必須ではありません。アクセスログを取得し保管することが統制の目的ではなく、正当な職務権限による財務データへのアクセス以外の不当な入力や改ざんが無いかを監視することに意味があります。」と書かれています。アクセスログをとっているだけではダメで、それを使って財務データへの不正アクセス、改ざん等がないかを確かめる統制（モニタリング）があることが必要とされます。逆にいえば、それが可能な範囲内でアクセスログ等を取得、保存しておけばよいということにもなります。

「ログはあくまで事後的な発見的統制であり、正当な権限のある入力者でない人が入力できないような防止的な統制、アクセス権と入力の職務権限が一致している等の統制と組み合わせて財務報告目的のリスクを低減することが重要です。」

とも書かれています。

情報セキュリティの観点からあらゆるアクセスログを保存することを求められるケースもありますが、J-SoXにおいてはあくまで上記のような発見的統制としてのモニタリングが可能になるような範囲内でアクセスログを取得、保管し、モニタリングを行っていれば不備とはならないということかと思います。

③ 職務の分離と権限の分掌については、「職務の分離と権限の分掌は、職務を分離することが内部統制の目的ではなく、兼務すると牽制機能が働かなくなる職務を分けることにより、財務報告の正当性を確保することが目的です。よって少人数で職務の分離が困難な場合については全体として財務諸表に与える影響を考慮して、リスクとその統制の有効性を検討し、職務の分離と権限の分掌の不備を補完する統制を検討することになります。」と書かれています。これは、先日金融庁から公表された「１１の誤解」にもかかれている小規模組織における職務の分離等の考え方とも一致します。特に、開発・プログラム保守と運用の職務の分離については、小規模企業ではIT部門の人員が少なく、これを教科書どおりに実現することは極めて困難な場合も少なくないと思われますが、「プログラム保守の正当性、つまり、不正なプログラムの作成をどのように防止もしくは発見する統制があるかを検討することになります。」と書かれている通り、プログラム変更には管理者が必ず、事前に承認することや、プログラム保守の記録を取り、管理者が確認するなどの補完統制について、リスクが十分に低減されているかを評価することになります。

とはいえ、このような補完統制ですら十分に実施できる状態にない場合も少なくないと思われますので、職務の分離で行くか、補完統制で行くかをよく考えた上で改善することになります。

もう一つ、外部委託先の内部統制の評価に、いわゆる「１８号報告書（「内部統制の整備状況報告書」または「内部統制の整備及び運用状況報告書」）」を用いる場合の考え方も書かれています。１８号報告書は、あくまで、財務諸表監査の中で実施される統制リスクの評価の一環として実施されるものであり、委託業務に係る内部統制の認証業務でもなければ、経営者が内部統制評価を行う場合に利用することを想定した業務でもありません。といいながら、一方で同じJICPAから公表された監査保証実務委員会報告第82号では、「その他受託会社からの報告書の例としては、日本公認会計士協会が公表している監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」（以下「監査基準委員会報告書第18号」という。）に定める「内部統制の整備及び運用状況報告書」、米国公認会計士協会（AICPA）が策定した監査基準書第70号（SAS70、改訂後AICPA Professional Standards Vol.1、AU sec324）による報告書等の諸外国の制度における報告書が考えられる。」とも書かれており、少々整合性が？？なような気もします。

また、、「虚偽表示リスクを評価するには、「内部統制の整備及び運用状況報告書」を入手し、検討する必要があります。」とあるとおり、整備状況のみならず、運用状況についても検討する必要があるのは、委託業務でも社内で行っていても同じです。

以上、ポイントだけを挙げましたが、とにかく、これを熟読して、監査人のチェックリストに付き合って形式的でコストに比べ実効性が乏しかったり過度な統制にならないよう、しっかりとリスク評価と対応を行っていただきたいと思います。

金融庁の公認会計士・監査審査会（CPAAOB）が、2月27日に「監査の品質管理に関する検査指摘事例集」を公表しました。

http://www.fsa.go.jp/cpaaob/shinsakensa/kouhyou/20080227.html

正直これを読むと、このような調子で内部統制監査が果たして実施できるのだろうか？という気になってきます。それ以上に、監査法人ですらこんな状況なのに、果たして経営者が自ら内部統制の評価を適切に実施することなどできるのだろうか？という懸念もあります。

一方、これらの指摘事項がすべて解決するような監査を行ったらJ-SoXはどうなるか？ということも考えておきたいと思います。特に「５．監査業務の実施」については、監査を受ける立場の上場会社にも関係してくることですので、是非目を通しておいていただければと思います。

「(1) リスク・アプローチに基づく監査計画の立案② 重要な虚偽表示のリスクの評価」については、内部統制報告制度への対応にも影響を及ぼす可能性があります。というのも、上場会社側に重要な内部統制上の欠陥があると、もはや財務諸表監査を実施することが事実上難しくなるという判断を監査人側がせざるを得ない状況に追い込まれてしまう可能性がよりいっそう高まるからです。

「当監査事務所の監査実施者は固有リスクの評価を更新していない。」については、監査人独自で情報を収集し、独自で判断することになるとしても、その際に上場会社側が自ら経営環境の変化に応じて虚偽記載リスクを評価していればその結果を参考にするということは十分にありえます。逆に、上場会社が経営環境等を踏まえた虚偽記載リスクの評価を適切に行っていないとすれば、監査人としても監査リスクが高まるので、監査を受託するかどうかという判断をする際に問題となる可能性もあります。

「③ リスク対応手続の決定」には、「内部統制が有効ではなく、統制リスクが高いと評価しているにもかかわらず、内部統制に依拠した監査手続を実施している。」と書かれていますが、経営者自身による内部統制評価の結果、重要な欠陥があるとして内部統制が有効ではないと判断された場合に、監査人は内部統制に依拠した監査を実施できないということが徹底されるということを意味します。そして、例えば、販売プロセスや購買プロセスにおいて内部統制に依拠せずに実証テスト中心に監査手続を実施ということになると、かなりの時間がかかるか、または事実上監査実施が不可能ということにもなりかねません。もちろん、J-SoXの場合は内部統制全体にかかる有効性ですし、上記は部分的に有効ではないという場合も含むので、一概には言えませんが。

従来から監査人による内部統制の評価が不十分、または評価した結果依拠できない水準であるにもかかわらず、依拠できるものとして実証テストを十分に行っていないということはあったのではないか。ほんの数年前までIT統制をほとんど評価しないで内部統制に依拠した監査を実施していた時期がずっと続いていたことからも想像できます。でもそれではまずいということで、IT統制の評価を数年前から本格的に実施し始めたということは皆さんもよくご存知かと思います。つまり、この文言は、財務諸表監査がますます厳しくなり、時間もかかるようになることを意味します。そうならないようにするためにも、上場会社側も内部統制をきちっとしておく必要があると思います。

「(2) 経営者等とのディスカッション」については、監査人側が経営者ときちっと話をしなさいというのが趣旨ではありますが、裏を返せば、経営者も監査人とディスカッションできるよう、「企業及び企業環境の理解」「不正及び誤謬に起因する財務諸表の重要な虚偽の表示の可能性」についてディスカッションできるようにしておかなければならないということでもあります。そのためにも、内部統制構築の基本方針、基本計画策定の段階で、これらをきちっと把握･整理しておくことが重要ではないかと思います。

「(3) 継続企業の前提」について、「継続企業の前提に重要な疑義を抱かせる事象等が存在している被監査会社について、当監査事務所の業務執行社員は、経営計画の実行可能性に関する詳細な検討を行っていない。」とありますが、これは上場会社側からすれば、そもそも経営計画が適切に作成されておらず、実行可能性も明確に説明できない、という状態であるならば、監査人は監査上の結論を出せないため、最悪監査意見が出ずに上場廃止になる可能性もあるということでもあります。つまり、継続企業の前提に重要な疑義のある子会社等については、まずきちっと経営計画を作成し、親会社においてもその実行可能性を評価し、監査人に説明できるようにしておく必要があるということです。

「今後の事業計画の実行可能性の検討や増資資金の入金の確認等を行ったとしているものの、再生スキームや支援を引き受けるとされている主要株主について把握していないなど、継続企業の前提に関する注記の内容について十分な検討を行っていない。」についても同様です。上場会社としては、継続企業の前提の注記に係る内部統制を整備しておかなければならないということです。

「(4) 会計上の見積りの監査」については、もちろん、監査人側がそもそも監査手続を実施していないケースと、監査手続を実施しようとしたが、上場会社側の内部統制の不備、つまり見積の根拠がきちっと示されていない（文書化されていない）ために、監査手続の実施が不能というケースがあるかと思います。今までは、会社側の資料が少々不明瞭であったり不完全であっても監査人が許してくれたということもあったかもしれませんが、今後は、上場会社側から見積もりの根拠がきちっと示されない限り、監査人は重要な監査手続を実施できず、監査意見を出せないということになると思います。

以下、きりがないのでやめておきますが、要は、監査人のスタッフ不足、能力不足や怠慢で監査手続が実施できない場合はともかく、上場会社側の内部統制の不備によって監査手続が十分に実施できない場合には、ことごとく監査意見不表明という事態が起きうるということを念頭においておく必要があるということです。そして、このような監査手続に耐えうる内部統制の整備及び内部統制の証跡の確保を考えておかないとならないということです。

この指摘事項はそういう意味で、上場会社が構築すべき内部統制のレベル感を示すものとしても注目できると思います。

監査業界の恥をさらすようなものではありますが、敢えてご一読をお勧めしたいと思います。

この調子で内部統制監査に係る検査を実施されるとなると、内部統制監査において相当証拠固めをしなければならず、そのために、できるだけ客観的な根拠、文書を上場会社に対して求めるようになり、結果として「11の誤解」に書かれているような金融庁の望むような方向性には行かないだろうというように考えている人が少なくないと思いますが、どう思われますでしょうか？

再び「内部統制報告制度に関する11の誤解」ネタを。

上場会社を含むJ-SoX関係者の間でここ数日この話題で持ちきりですが、正直、金融庁の担当官には悪いですが、全く評価されていないといおうか、評判悪いですね。これが出たからといって監査人の対応は何も変わらないだろう、というのが大方の見方。会計士協会あたりがもっと具体的に説明でも出せば違うのでしょうけど。

それと、「別に「有効でない」という報告書を出したって上場廃止にならないのだったらいいじゃない」という姿勢が、どうも上場会社のJ-SoX担当者としては気に食わない。そういうわけには行かない。監査人の言うことを聞かないということがどういう結果を招くのか、そのことが金融庁はわかっているのか。監査契約の打ち切りもありうるし、監査意見形成の際にネガティブな印象、特に「財務報告及び内部統制構築に消極的」という印象を与えてしまうのはこわい。一方、監査人は「金融庁の検査が厳しい」「米国提携先がうるさいので仕方なく」といって、チェックリストを画一的、機械的に適用しようとして、やっていないことがあると、その会社で発生可能性がどの程度あるのかも考えずに「不備」と決め付けられてしまう。軽微な不備でも積み重なれば「重要な欠陥」になりうる。何でもかんでも不備扱いされてはたまらない。ましては虚偽記載リスクを会社として評価し、その結果として発生可能性や影響が小さいということでリスクを受容しているにもかかわらず、それが不備といわれては、経営は成り立たない。

監査人には、「経営者としてのバランス感覚」などというものはあまり関係ない。それで利益が増えようが減ろうが、監査上のリスクさえ下がればよい。極端な場合、「赤字になろうがどうなろうが、チェックリストでいい成績をとって「有効」にするためには人を入れて職務の分離をしろ」、といういうことになる。そのくらいでないと監査人としてはリスクを負いきれない。

たしかに、バランス感覚の崩れた売上至上主義、利益至上主義で、財務報告やそれに係る内部統制をおろそかに考えている経営者もいないわけではないと思います。だからといって、利益を無視して教科書的、理想的な内部統制を構築しろというのも、もともとJ-SoXの「経営者の視点で内部統制を構築」するという根本思想からすれば明らかにバランスを欠いている。

バランスをどこで取るか。そのカギはやはり虚偽記載リスクの評価。リスクに応じた対応を考えればよい。虚偽記載リスクは、チェックリスト、3点セットを表面的に作成しているだけでは本当の意味で評価しているとはいえない。経営者の資質であり、社風・社内の人間関係であり、従業員・役員のスキルであり、会社を取り巻く環境であり、そういったもろもろのもの（外部環境、統制環境）を総合的に勘案して、リスクを評価しなければならない。

「うちの会社にそんなことできるほど仕組みを理解している人はいないからリスクは低い」などと会社の人が言うと、監査人は「でもそんなことはわからない。もしかしたら」といって、不正操作ができるほど仕組みを理解している人がどこにでもいることを前提にリスクを評価しようと考える。この時点で、リスクの発生可能性の評価がわかれ、経営者が考える有効な内部統制のレベルと監査人の考えるレベルに乖離が生じてしまう。J-SoXの前提は、おそらく経営者の方が監査人よりも自社のことはよくわかっていてリスクも適切に評価できる。だから必ずしも監査人やコンサルのいうことを聞かなくてもいいということになる。しかし、実際には、監査人の評価を受け入れて統制を構築せざるを得なくなる。

例えば、小規模組織について、「11の誤解」には「職務分掌に代わる代替的な統制：マンパワーが不足している場合などには、経営者や他の部署の者が適切にモニタリングを実施することで可。」とあります。これに対し、監査人は「職務の分離」や「独立した内部監査」を求める。一方、経営者（会社）は、「少人数で誰が何をやっているかは見通せるので、悪いことはしにくいし、もしやったとしても上司や社長が普段から見ているからすぐにわかる。だから、職務の分離や独立した内部監査機能は不要」と主張する。まさに「11の誤解」の通りです。しかし問題なのは、本当に上司や社長が普段から部下の仕事をきちっと見ているか、コミュニケーションが取れているか、ということです。「小規模だからできるはず」ではなく実際にやっていなければダメなのです。小規模組織で起きる不正の多くは、結局上司や社長も忙しくて（主として営業や付き合い）、管理的なことは部下に任せっぱなしになっていて全くチェックしていないケースかと思います。小規模組織では現金出納と経理を一人の人がやっていて「職務の分離」どころではないようなケースもあると思うのですが、それで任せっぱなしでは不正が起きたとしても不思議はない。監査人としては、「上司が見ている」とはいっても、営業事務や経理関係については多くの場合そうはなっておらず任せっぱなしで「彼（彼女）ならまじめにちゃんとやるだろう」という期待を持っているだけということを知っているので、にわかには会社の主張を承服しかねる。こういうところでも構築すべき内部統制のレベル間に差が出てきます。この場合には、監査人のほうが会社の実態を経営者よりもよく把握していて適切にリスクの評価ができていることもある。

一番難しいのが経営者自身に関する評価の部分（統制環境）。会社自身の評価では、恐らく実態は別として、形式的に財務報告を重視する姿勢に関する文書かなんかが出されていれば、それで「有効」と考えるのかもしれませんが、監査人は、あくまで直接経営者とディスカッションして得た心証や他の役職員、外部の関係者等からの情報による心証から、客観的に評価しようとする。「どうもそういう話を聞いた限りでは、あそこの経営者は売上至上主義、利益至上主義で、会計や内部統制重視しているようには思えない」ということになる。ここで、監査人は「重要な欠陥」になる大きな可能性または監査上のリスクを認識する。財務諸表監査であれば、「不正への対応」ということで監査人が厳しくチェックすればよいのですが、内部統制となるとどうか。監査人も会社も、形式だけ整っていればで済ませてしまおうとするか、それとも、経営者の本当の姿勢及びそれによってもたらされる社風や従業員の行動心理にまで踏み込んで、個々の統制の有効性を考え、経営者の意向にあまり左右されずに実質的に有効に機能するような仕組みを考えていくか。J-SoXの趣旨からすれば後者の対応になるように思いますが、実際には、経営者の本質的な部分に触れるよりは、ことを荒立たせずに形式的、表面的な対応で済ませようという場合が少なくないような気がします。

こういうことをやっている限り、経営者と監査人の溝は一向に埋まらない。

監査人にちゃんと説明して議論すればわかってもらえるはずなのにそれをしようとしない会社側、そして、リスクを表面的にとらえてマニュアル・チェックリストを機械的に適用しようとする監査人。この組み合わせだとどんどんコストが膨らみ、あまり意味のない実効性のない統制手続ばかりが増えてしまいます。

「虚偽記載リスクの評価と対応」にいかに客観性と経営的な視点･バランス感覚を持たせるか、それが大きな課題かと思います。

「11の誤解」が「自社のリスクを最も把握している経営者が、主体的に判断。」「監査人の指摘は、内部統制の構築等に係る作業や決定が、あくまで企業・経営者によって行われるとの前提の下で、適切な範囲で行われる必要。」というだけではおそらく不十分で、

「経営者は、虚偽記載リスクについて、判断の根拠を示した上で評価する。基本的には、経営者は自らの虚偽記載リスクの評価結果に応じた内部統制を構築し、それが有効に運用されていれば内部統制は有効であると判断することができる。監査人が経営者の虚偽記載リスク評価結果が明らかに合理的ではないと判断した場合には、監査人は経営者と十分にディスカッションする必要がある。監査人は、監査人自身が財務諸表監査において実施する虚偽記載リスク評価結果のみに基づき経営者による内部統制の有効性評価の妥当性について意見を述べてはならない。ましてや、経営者による虚偽記載リスク評価を踏まえずに機械的にマニュアルやチェックリストで求められている統制行為を経営者に求めたり、経営者がリスクがないまたは低いと評価しているにもかかわらず対応する統制行為の実施を求めたり、対応する統制行為が存在しないまたは統制が弱いことをもって「内部統制の不備」として取り扱ってはならない。こういうことが行われていないかどうかを、公認会計士監査審査会及び日本公認会計士協会においても検査・レビューの重点項目とする。これがあくまでJ-SoXのスタンスであって、経営者のリスク評価結果を受け入れるのか、監査人のリスク評価結果によるのか、そこが米国のダイレクトレポーティングとの違いである。」

というくらいまで書けば効果はあるかもしれません（ちょっと無理があるので難しいでしょうけど）。とはいえ、ディスカッションにもかかわらず、虚偽記載リスクの評価結果にかかる両者の溝が埋まらないと結局最後の監査意見のところで「不適正」になってしまう可能性があります。

たしかに、経営者が客観的な根拠・証拠を示して虚偽記載リスクを評価、監査人に説明するのは難しい。どうしても経営者自身の主観といおうか、「勘」といおうか、感覚的なものが入り込んでくる。少しでも客観的な証拠がなければ監査人が会社の判断を全く認めないというのは、裁判対策といおうか自分の身を守るためにはいいかもしれませんが、監査人にしても、専門家としての「経験」と「勘」に頼る部分が全くないわけではなく、それがあるからこそ「職業専門家（プロ）」といえるところもあります。経営者が本当にそう考えているのか客観的な証拠がないと判断できないとなれば「ウソ発見器」でも使うしかないのか。とそんな状況になるとすれば、監査人のいうとおりに形式だけ整えておいた方が楽、というように思ってしまう経営者または担当者の気持ちもわからないではありません。しかし、それではJ-SoXの本来のあり方からは外れてしまうことになります。

金融庁も会計士協会も、もっと経営者の立場に立った「虚偽記載リスクの評価」と「対応」についての議論が深まり、形式論に走らなくてもすむような具体的な考え方なり例を示してくれるとよいのですが。

金融庁からいきなり　「内部統制報告制度に関する11の誤解」　なるものが公表されました。

http://www.fsa.go.jp/news/19/syouken/20080311-1.html

実務の現場では、一部に過度に保守的な対応が行われていることへの対応だそうです。（本当に「一部」といえるのかどうかは疑問ですが）

ここに書かれていることは、１年前なら「誤解」といえたかもしれませんが、いまの段階にいたってまだ誤解をしている会社がどれほどあるのでしょうか？会社自身は誤解はしていないが、現実問題監査人からの要請がある以上、適正意見をもらうためにはやむをえないというケースが多いのではないか。

ということで、私が会社の担当者だったらこんな愚痴を言いたくなるというのを書いてみました。

１．米国SOX法と同じか

　これについて、違うことは誰でもわかっていますが、では実務上どのように対応が異なるのかという点については、事業拠点の選定以外は実はあまり変わらないのではないか。という感覚の方も少なくないのでは。また、監査法人も、US SoXのノウハウやツールをJ-SoXに移植している場合もあり、日本とのガバナンスの違いなどはあまり考慮されていないケースにまじめな会社が戸惑うケースはないのか。

２．特別な文書化が必要か

　企業の作成・使用している記録等を適宜、利用。といっても、現実には使えるものがほとんどなく、まして財務報告の虚偽記載リスクを評価した文書や統制について記述したものなどは皆無。であれば、最初から３点セットの形でつくってしまったほうが楽なのではないか。ただ、何せ慣れないので大変ですし、監査人からは書き方まで厳しく指導されるので、完璧を求められると現実問題かなりつらい。

３．すべての業務に内部統制が必要か

　「どんなに小さな業務（プロセス）でも内部統制を整備・評価しなければならない。」ということよりも、「どんな小さなリスクでもすべて洗い出して、しかもすべてに対して低減策を講じなければならない」という方がつらいのではないか。RCMを作るとどうしてもそういうことになりがち。すべてのリスクを洗い出さなければそれが重要性があるかどうかはわからないのではないかといわれればごもっともではあるが、細かいリスクを上げだせばきりがないし、「木を見て森を見ず」にもなりがち。それに、長年やっていれば、どのあたりに財務報告に重要な影響のあるような誤謬や不正が生じるかはだいたいわかっているので、そこを重点的に整備したい。リスクの高いところに重点的に資源を配分するというのが、リスクアプローチの本来の考え方ではないのか。監査人は十分に理解しているはずではありますが・・・。

４．中小企業でも大がかりな対応が必要か

上場会社を中小企業と呼ぶべきかどうかはともかく、中小規模の会社でやたらと規程やマニュアルの整備を要求したり、職務の分離を形式的に要求したりということは十分にありうることだと思います。しかし、ではどういう統制であればよいのか、ということについて、監査人（といおうか、経験の浅い若手会計士）が必ずしも十分な知識やノウハウをもっていないケースもまったくないとはいえず、自信をもってこの程度であれば大丈夫だろうという見極めが難しい場面もあるのではないか。だからつい形式的、教科書的な指摘になってしまいがち。コンサルも同様。そして会社自体も、自社においてこのような統制で十分にリスクを低減できているのかどうかについてよく考えていないので、コンサルや監査人のいいなりになりがち。よく考えれば十分という場合もあるにもかかわらず・・・。または、監査人への説明不足があったり。コミュニケーションの問題もありますね。

５．問題があると罰則等の対象になるのか

「内部統制報告書の評価結果に問題がある場合、上場廃止になったり、罰則の対象と
なる。」という誤解があるとのことですが、経営者は上場廃止などというレベルで経営しているのではなく、仮に内部統制に重要な欠陥があり、有効ではないという報告書を提出した場合のその他もろもろのインパクト、リスクを考えて経営しているはず。風評リスクや株価への影響も気になるし、会社法内部統制に関連して株主からの責任追及も怖い。買収リスクなども考えなければならない。日本の風土を考えると、経営者が「有効ではない」報告書を公表することについてはかなり心理的に抵抗があると思われますし、だからこそ何とか内部統制を改善しようという気にもなっているところなので、「上場廃止にならないから、罰則の対象にならないからいいんだ」ということではないでしょう。「初年度は有効でなくてもいい」といわれても、経営者はそうは簡単には割り切れないでしょう。

６．監査人等の指摘には必ず従うべきか

　監査人からの指摘に従わなければ、不適正意見が出て、虚偽記載扱いで上場廃止や罰則となれば、従わざるを得ないという気持ちはわかります。それと同時に、従っていた方が楽、という心理もあります。「自社のリスクを最も把握している経営者が、主体的に判断。」とはいっても、経営者は内部統制の専門家ではないですし、まして、「大丈夫だという証拠を見せろ、客観的に証明せよ」と監査人からいわれれば、なかなか苦しい。やはり心のどこかで社員を信じて経営者自身がリスクを負っている（受容している）ところがあるので、そこをつつかれると反論できない。しかし、信頼関係がないことを前提には経営はできない。そんなことを議論している暇があったら、少々不満でも監査人のいうことを聞いて、ほかのことをやったほうがいい、と割り切る経営者や担当者もいるでしょう。

「だって先生、実際にうちでは大きな間違いや不正が起きていないでしょう？内部統制がいまのままで十分な証拠ですよ」で済めば苦労はしないのですが・・・。まして、監査人から小さい金額ながらも頻繁に間違いを指摘されたり不正が発見されたりという「実績」があると、何を説明してもどうにも説得力がないのが・・・。監査人からの指摘事項を、その都度、確実につぶして再発防止策を講じているとだいぶ心証が違うのではありますが。

　また、「監査法人やコンサルティング会社の開発したマニュアル（内部統制ツールなど） 、システムを使用しなければならないということはない。」とはいっても、では自分たちで考えろといわれても。統制上の要点を選定する根拠または整備状況が有効であることの根拠として「統制の粒度」「予防的統制か発見的統制か」「手作業か自動化か」「統制の頻度は」などということのRCM上の記述を求められると、実施基準の例示では到底対応できず、結局、監査法人のフォームに限りなく近づかざるを得なくなる。

　「統制上の要点」の選定基準というのは、実施基準上も極めてあいまいで、会計士協会においても統一的な見解はない。しかし、統制上の要点の選定理由の説明を監査人から求められる。であれば、あとからRCMを作り直すよりは、最初から大変でも監査人のフォームを使ったほうが楽という判断になる。または、監査人のツールを使えば、監査担当者も自分でリスクを負って判断する余地が小さくなるので、細かいことをあとからいわれずに監査も通りやすくなる（はず）。

　従ったほうが楽なこともある。これが経営者や担当者の本音でしょう。

　Q&Aの改訂版では、是非統制上の要点の選定根拠の示し方などについても触れていただければと思います。

７．監査コストは倍増するのか

　これは必ずしも誤解ともいえないのでは。あくまで個々の会社の状況によって異なりますし、監査人の姿勢によっても異なるでしょう。金融庁が監査報酬の抑制を暗に会計士業界に要求しているというのであれば別ですが。

８．非上場の取引先も内部統制の整備が必要か

　これはそれなりに誤解もあるかもしれません。特に最初の頃にIT業界があおった面も無きにしも非ず。そしてあくまでも財務報告に係る内部統制に限定した話であり、それ以外のことは関係ない。

９．プロジェクトチーム等がないと問題か

　プロジェクトチームがないと現実問題動かないということは、各社とも異論はないと思います。特に初年度については、片手間でできるような仕事でもない。評価については、内部監査部門がやるということであまり異論はない。プロジェクトチーム云々以前に「人手が足りない」「スキル・ノウハウがない」というのが本当の悩み。

　２年目以降に財務報告の虚偽記載リスクをどこの部署が取りまとめて対応するか（リスクの評価と対応の主体）というのは、各社ともそろそろ悩み始めているかもしれません。プロジェクトチームは時限的のつもりなので、３点セットは各部署で、取りまとめはどこかの部署で、ということになりますが、どの部署も既存の業務で手一杯。いずれにしても、仕事はいまより間違いなく増えるのです！

１０．適用日までに準備を完了する必要があるのか

　「もう間に合わない。」と思っていたとしても、それでは「有効でない」という報告を出す、または内部統制報告書を提出するのをあきらめて上場廃止への道を選ぶか、というとそこまでの覚悟もない。やはり何とかしなければならないがどうしていいかわからない、というのが出遅れ会社の悩みでは。「あきらめないでがんばれ！」というメッセージとしてとらえるのであればいいのですが。。。

　ただ、問題は、監査人の監査の都合上、評価作業、特に全社的統制の評価作業がある時期までに終わっていないと監査ができないという問題も現実にはあります。おそらく監査人は、四半期レビューの合間を縫って内部統制監査を実施するはずですが、あまり期末ぎりぎりになってあわてて監査手続を実施するのは避けたい。あまり期末近くまで内部統制が固まらないとなると、会社自体の内部統制評価も実施できず、監査手続の実施を先送りせざるを得ない。ここはなかなか悩ましい問題です。最悪のケースは、会社自体が内部統制評価をできそうになく、従って内部統制監査も実施できない可能性があるといった場合に、監査人として監査契約を締結できるかというレベルです。評価範囲の一部除外というレベルで済めばよいですが。

１１．期末のシステム変更等は延期が必要か

　ここは確かに誤解があるかもしれません。ただし、「やむを得ない事情」というのはあくまで個別判断なので、事前に監査人と協議が必要でしょう。また、万が一システム変更に失敗した場合のリスクをどう低減させるかということも考えておく必要があります。

以上のことは、どちらかといえば中堅以下の上場会社のケースを想定しているので、巨大グローバル企業には当てはまらないかもしれませんが、数としては中堅以下のほうがはるかに多いので、金融庁も経団連の役員になっているような企業だけでなく、中堅以下の企業の状況にも目を向けていただきたいと思います。　

また、円滑な実施に向けた行政の対応も公表され、会社・監査人へのヒアリング、追加Q&Aの公表、相談窓口の設置、指導中心の行政対応などといったことが書かれています。

しかし、そもそも保守的な対応が行われる背景がどこにあるのかをよく考えないと、あまり実効性のない対応になってしまいます。監査人の責任の大幅軽減（民事訴訟への対応を含む）、監査法人への検査における形式重視から実質重視への転換など、金融庁自体が監査法人への締め付けをゆるめればある程度解決するような問題もあれば、監査人の不勉強による混乱が原因のものもある。一方、会社側の不勉強や監査人の言いなりになったふりをして何かあったときの責任を監査人に押し付けようという風潮が原因になっている場合もある。監査法人における海外の提携先からの圧力のように国内だけではどうしようもない問題もある。とにかくよく分析して適切に対応してもらいたいとおもいます。

とまぁ、追い詰められたJ-SoX担当者にとってはほとんど慰めにもならない「１１の誤解」ではありますが、「まだ間に合う。がんばれ！」という応援メッセージだと思って、あきらめずに一つずつ課題を解決していきましょう。

JICPAは、ＩＴ委員会研究報告第36号「自動化された業務処理統制等に関する評価手続」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/main/36.html

先日公表された35号「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」と一体として理解することが推奨されています。

本研究報告では、ＩＴに係る内部統制のうち、自動化された業務処理統制等及び財務諸表監査におけるリスク評価手続並びにリスク評価手続のうち運用評価手続の具体的例示を挙げ、解説しています。フローチャート、業務記述書、RCMの例示もあります。

ここで「リスク評価手続」というのは、J-SoX実施基準で言えば「整備状況の評価」に対応するものと言ってもよいかと思います。

自動化されたIT業務処理統制等の評価について、具体的なイメージがわかない、どの程度やればいいのかレベル感がつかめない、事例がないなどといった悩みも聞かれましたが、これは一つの参考にはなると思います。

興味深いのは、運用評価手続。整備状況の評価と一体として評価するケースが少なからず挙げられています。例えば、整備状況の評価におけるウォークスルー時に実施するといったことになるかと思います。どの程度サンプルを採るのかということにもよりますが、IT全般統制が有効であれば、例えば1件採ればよいということにもなりますので、そういう場合には、ウォークスルー時に1件チェックすればよく、改めて別途運用テストを行う必要もないのではないか、ということなのでしょうか。

ただし、これはあくまで例示なので、個々の会社の実態に合わせて、ということはいうまでもありません。

いまごろなぜ？という見方もあると思いますが、財務諸表監査におけるIT統制の評価手続の中でどうしても全般統制中心の評価になってしまい、業務処理統制がおろそかになりがちまたは手が回っていなかったということも無きにしも非ずなのでしょう。いままでここまでの監査手続を受けたことがないというIT部門の方もいらっしゃるかもしれません。それだけに企業のIT部門もなかなかなじみがないということもあるかと思います。そういう方々にも参考になると思います。

もう2月も終り。J-SoX本番まで1ヶ月少々しかありません。

比較的順調にいっている会社でも、評価の練習のフェーズに入って、統計的サンプリングだのといった世界に足を踏み入れ、3点セットの不備の修正に頭を悩ませ、そして、IT統制の評価に呆然とし、あきらめムードといおうか無力感がただよい始めている頃ではないかと思います。

「あれもやらなきゃ」「これもやらなきゃ」と、課題が片付くスピードより課題が増えるスピードの方がなぜか速い。課題は増える一方。しかし一向によくならないし出口も見えない。

そういう心境に陥っているときには、ひょっとしたら「減点主義」のわなにはまっているのかもしれません。会計士の理屈による「理想論」を並べたチェックリストで「○」がついていないところが「不備」つまり「減点」になるということで、それを片っ端からつぶしていって、「不備」をなくそうとする。しかし、「それをやって本当に意味があるのか？」「わが社でそこまで本当に必要なのか？」「これをやっていなくてもわが社はうまくいっているのではないか？」そんな疑問を抱きながら・・・。

しかし、チェックリストを「やっていないこと」を探すのではなく、「やっていること」を探すための参考例、と考えるとずいぶん気が楽になります。つまり、加点主義の考え方です。実際に企業の方とディスカッションをしていると、「そういわれてみれば、こんなこともやっている」ということが次々とでてきて、それを積み上げていくと、気がつけば「意外とちゃんとやっているな」ということになることが少なくありません。全社的統制のチェックリストなどというのは、どちらかというとそういう性格のものです。日常的モニタリングとか情報と伝達に関係するところなども、「いわれてみれば・・・」というのが多いような気がします。

もともとは別の目的で行っている統制行為なので、「財務報告」には関係ないと思っていることも、よくよく考えると財務報告の信頼性確保に役立つようなモニタリングになっていたりすることはよくあります。毎月行っている予実分析、損益分析などというのもそういう類です。なぜ今月はこんなに利益率が悪かったのかを分析しているうちに、実は帳簿の数字が間違っていた、などということを発見するというのはこうした例です。

統制目標をきちっと理解したうえで、その目標を達成するためにどんなことが役立っているか、を色々考えてみると、案外、様々な統制が利いていて、その結果として財務報告に係る不正、誤謬が防げたり発見できたりしている。チェックリストの項目は決して「理想論」ではなく、あくまで例にすぎません。他の方法で目標が達成されていればそれでもよいのです。

人間どうしても他人の欠点を探して批判するのは得意でも、長所を見つけてきちっとほめてのばす（単なるお世辞ごますりではなく）ことは苦手です。私自身もそうですが、会計士とか検査官、調査官といった人種はとりわけそういう傾向があることは否めません。自信をもって長所をほめる、「大丈夫だ」というお墨付きを与えるというのは、簡単そうでいて難しいです。J-SoXも「監査制度」を入れてしまったので、何となく減点主義的な色彩が強くなっていますが、八田先生の解説などを読んでいると、上場会社側の「評価」については、性善説といおうか、加点主義のイメージがあるような気がしてなりません。ダメなところを見つけて減点をするためというよりは、今やっていることを評価の素人である経営者が自信と責任をもって「大丈夫だ」といえるためには、どういう理論構成、説明をすればよいか、という視点で書かれているようにも感じられます。

残り少ないですが、是非そういう視点でいまやられていることをもう一度見つめなおしてみてください。

あと2ヶ月で本番年度だというのに、なかなか実務対応が見えてこないJ-SoX。とりわけIT統制については、あいかわらず企業として構築、評価をどこまでやればよいのか見えてこないことに不安を覚えていらっしゃる方も少なからずいらっしゃるのではないかと思います。

先日ご紹介したJICPAの「IT統制の枠組み」についても、J-SoXにおける内部統制監査にどのように適用されうるのかが見えてこない。

となると、最後は会社と監査人との交渉ごとになりうることも覚悟しなければならないのではないか。つまり、監査人が必要だということをやるのではなく、会社が必要だと考えることをやり、監査人に対し、必要と考える理由または必要ないと考える理由をきちっと説明できるようにしておくこと。「できないからやらない」ではなく「やる必要がないからやらない」という説明ができること。そして監査人を説得できること。

理論的に言えば、例えば、現実的に生じうる「リスク」を洗い出した上で、その発生可能性及び影響額が低いものについては低いと考える理由を説明。そこについては、教科書的に内部統制の不備があったとしても、敢えて対応しない、ということを説明し、リスクが一定水準以下に抑えられているということで「不備」として扱わないことを監査人に認めてもらうといったことになるかと思います。

これは、内部統制の構築に係る例ですが、評価範囲や評価方法、3点セットの記載方法についても監査人を説得するケースが出てくるのではないかと思います。例えば、「誰が読んでもわかるように」と監査人から指導されたとしても、それは社外の部外者にまでわかるレベルまで必要なのか、社内の関係者（関係部門、内部監査等）及び監査人が理解できればよいのか、というところはずいぶんレベル感の違いが出てくる可能性があります。関係者に統制の内容が理解ができて、かつ、実際にウォークスルーや運用テストを実施する際に読んで統制の内容が理解できていればよいという考え方もできるかもしれません。内部監査室の方が読んで何を言っているのか具体的なことをいちいちこまかく質問しないとわからない、というのは困るかもしれませんが、逆にいえば、質問すれば理解ができて適切な評価が行いうるのであれば、3点セットの記載が少々大雑把でも許される場合があるかもしれない。大きな会社であれば、評価する社内のことがよくわかっていない内部監査人が評価を行うことはありえるでしょうけど、小さな会社であれば、内部監査人も当該業務（統制）に精通しているので、業務記述書などが少々大雑把でも統制の内容を正確に理解して適切な運用テストを実施できるかもしれません。とはいえ、権限と責任に関係するような「誰が」などというように最低限書いておかなければならない情報は記載しておかないとまずいと思いますが。監査人は、粉飾を見抜けなかった場合の訴訟に備えて文書を作るくせがついているので、訴訟に耐えうるレベル、裁判官が理解できるレベルまで求めるかもしれません。必要とされるレベル感はまちまちにならざるを得ません。

というように、それぞれの会社の事情に合わせて、本当にリスクが適切に洗い出され、それに対する統制によってどの程度リスクが低減されているか、及び適切な評価結果を導き出すのに十分かどうかといったことを説明できるように会社側でも考えておかないと、監査人のある意味理想論に付き合っていていつまでたっても出口が見えないということにもなりかねません。

ということは、会社側も相当勉強して、しっかりと理論武装をしておかないといけないということですし、逆に社内の状況は監査人より経営者自身の方がよくわかっているはずなので、事実の認定に誤りがなく理論武装さえきちっと正しくしておけば、監査人が会社の考え方を完全に否定することはなかなか難しいのではないかと思います。監査人としても、会社側が理論武装をきちっとしており、内部統制についてきちっと理解していれば、それ自体はいいことなのではないかと思いますし。

ということで、そろそろ本番に向けてどこまでやるかという「落としどころ」を探るタイミングになってきています。監査人の「指示」を待つばかりでなく、自らも考えていただければと思います。

前回、前々回と自問自答モードになってしまいましたが、結局のところ、

・ITを利用した自動計算、自動処理が適切になされているか

・ITを利用した統制が有効に機能しているか

・なおかつ、これらが継続しうる状態になっているか

ということを確かめるテストを行えばよい、ということになるのではないかと思います。

具体的には、

1.ITで自動化された処理、統制等（自動化された業務処理統制等）を仕様書閲覧、質問等で把握・理解する

2.これらが実際に有効かどうかを、再実施、検算等で確かめる

3.上記を支える全般統制を評価して、上記が継続的に維持される仕組みになっているかを確かめる

とこんなことかと。

なお、会計監査の考え方からすれば1.2.は最初の年及び変更があった年のみ整備、運用状況の有効性の評価を実施。全般統制は毎年。ということになるかとも思いますが、どうなのでしょう？

順番としては、

・自動化された業務処理統制等の把握、整備状況の評価

・当該アプリケーションの基盤の把握及び全般統制の評価

・全般統制の有効性に応じた自動化された業務処理統制の運用状況の評価（運用テスト）

という感じでしょうか。

あとは、それぞれの監査人に聞いていただければと思います。

前回、JICPAの研究報告について取り上げましたが、これについたトラックバックの記事の中で、以下のような記述がありました。

『2007年11月8日に公開していた草案との変更点の1つは、自動化された業務処理統制の考え方で、確定版では、自動化された会計処理手続きと、システムから出力した情報のうち、手作業で実施する業務処理統制に利用する情報を、自動化された業務処理統制に入ると明記されたことだ。』

トラックバックをつけてもらって文句を言うのも何なのですが、私はこの部分には少々違和感を覚えました。というのも、私の理解では、「自動化された業務処理統制」の概念を広げて「自動化された会計処理手続」や「手作業の統制に利用されるシステムから自動生成された情報」を含んだわけではなく、これらを一応別物と定義した上で「等」として同様の扱いをすることにしたということではないかと思うからです。

では、実施基準やJICPA監査保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」における「ITに係る業務処理統制」との関係はどのように考えればよいのか。さらにシステム管理基準追補版とはどうか。少々前のJICPA IT委員会報告第3号及び関連する研究報告との整合性は？

ということで、すべてに目を通してみました。正直、実施基準と82号は一致しているものの、あとは整合性が取れているとはいえないなと感じました。監査をする立場で見た場合には、IT3号と82号と今回の「枠組み」の定義の関連性を説明してくれるか、概念をどれかで統一してくれないと訳がわからない。

例えば、実施基準や82号の「ITに係る業務処理統制」は、

「ＩＴに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたＩＴに係る内部統制である。」

とあります。

システム管理基準追補版流の解釈によれば、

「情報処理そのものは、IT 業務処理統制ではない。例えば、リベート計算をする際、IT を利用した計算は情報処理そのものであり、リベート計算が承認された規則に沿って正確に実施されているか確かめることが統制である。」

となり、自動計算や自動化された会計処理手続（自動仕訳）自体は「統制ではない」ということのようなのですが、となると、J-SoXにおけるIT統制の評価上は対象にならないのか。という疑問がわいてきます。

IT3号のQ&AのQ7では、販売システムに係るIT業務処理統制の検証手続例が記載されていますが（図表2）、ここでの売上に係る自動仕訳（売上計上）については

（アプリケーションシステムの機能）

月次で自動仕訳を生成し、会計システムに接続させる

（情報システムの業務処理統制）

販売システムから会計システムへのインターフェースのコントロール

と書かれています。自動仕訳の生成そのものを検証するというより、システム間のインターフェースのコントロールを検証するという手続になっています。

一方、Q9の末尾に「いずれの場合においても、計上金額の自動計算の方法が適切であるか・・は重要な留意点となります」とあり、「IT業務処理統制」ではないが、内部統制としては自動計算を検証する必要性について言及している。

これに対して、「枠組み」とセットで現在公開草案が公表されている「自動化された業務処理統制等に関する評価手続」の「（別紙２）Ⅸ 販売サイクルに関するリスクと統制活動及びその評価手続の例示」では、同様の部分につき、全く異なるアプローチをしています。

つまり

（想定されるリスク）

売上高等の計算を誤るリスク

（統制行為）

販売管理システムでは、「出荷済み」となった受注データについて、出荷数量、商品マスタ、得意先マスタに基づき売上額が計算され、売上データが作成される。

（想定されるリスク）

売上及び関連科目が財務諸表に適切に計上されないリスク

（統制行為）

仕訳データが、出荷日を取引日として、売上データ１件ごとに自動生成され、会計システムへ計上される。

これは、「枠組み」でいうところの「ＩＴにより自動化された機能」のうちの「自動化された会計処理手続」に該当します。なお、これと一緒に例示されているフローチャートでは、実は、販売管理システムと会計システムのインターフェースに関する「統制」つまり「取り込みエラーリスト」の出力と内容確認、修正確認という手続が示されていますが、（別紙２）では自動化された統制等のみ記載しているようなので、載っていません。

システム管理基準追補版の事例でも、「自動化された情報処理」は「統制」の範疇に含まれていないため、RCM等の例示の中には出てこないようにも思えます。

では、実施基準では、従来どおりの考え方での狭義の「IT業務処理統制」のみ評価対象にするのか、それとも「自動化された会計処理手続」なども業務処理統制同様の評価を行うのか。全般統制によってプログラムが適切であることを「間接的に」保証するだけではダメなのか。

これらの公式文書だけみていたのでは、なかなかわかりません。

ただ、監査実務上は、CAATなどの手法を使って、「自動化された会計処理手続」が実際にきちっと機能しているかどうかを確かめているということになっていると思いますので、監査実務上の混乱はないのかもしれません。ただ、経営者の評価としてはどうなのか？？？

とにかく、JICPAには、是非これらの概念の整理をしていただきたいと思います。

日本公認会計士協会（JICPA）は、ＩＴ委員会研究報告第35号「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/35_1.html

昨年11月に公表された公開草案の最終確定版です。

研究報告というのは、監査人にとって拘束力のあるものではなく、あくまで参考にするといった性格のものです。また、あくまで財務諸表監査を行う監査人のための研究報告であり、J-SoXにおける経営者の評価を想定したものではありません。ただ、企業側にも十分参考になりますし、恐らく監査人が実施する内部統制監査においてもそのまま使えるものであると思われます。

それはさておき、内容については、まず実施基準やシステム管理基準追補版などを見ても非常にわかりにくかった「IT業務処理統制等」または「ITにより自動化された機能」についてわかりやすくシンプルに3つに区分したことが特徴です。

(1) 自動化された業務処理統制
(2) 自動化された会計処理手続
(3) 手作業の統制に利用されるシステムから自動生成された情報

「(1)自動化された業務処理統制」がいわゆる狭義の「IT業務処理統制」といわれるものであり、「統制」そのものです。(2)は「統制」そのものではありませんが、会計処理が自動化されることで、財務報告の虚偽記載リスクが低減されるという点から、統制に準じた取り扱いがなされますが、厳密にいえば「統制」ではありません。(3)はITを利用した統制において使われる情報の生成であり、これも統制そのものではありませんが、「手作業+自動化」のような感じで認識されているものです。これら3つをあわせて「IT業務処理統制」と呼んでいるケースも無きにしも非ずですが、厳密には（1)だけが「IT業務処理統制」と呼べるものです。このあたりの概念の混乱が、IT業務処理統制の理解の妨げになっていたような気はしますが、この研究報告でわかりやすく整理されたので、今後は理解が進むでしょう。

そして、これらについて具体的な例示も掲げられています。いままで「IT業務処理統制」として理解していたものが実は違ったといったこともよくわかると思います。

さて、IT全般統制との関係も具体的に説明されています。IT全般統制というとすぐに「セキュリティ」とか「情報システム部門の仕事」みたいな印象で説明されてしまい、中には「J-SoX対応のキーはISMS」などといった？？？な説明も聞かれますが、全般統制は、会計監査の世界では、あくまで、「IT業務処理統制や自動化された処理の有効性を継続的に支える統制」という理解がなされていまして、それ以上でもなければそれ以下でもない。上記(1)から(3）のそれぞれを全般統制がどのように支えているのか、また、全般統制がどのようにこれらをモニタリングしているのかという視点での説明がなされています。

さらに、IT全般統制の適用範囲決定手順も明らかにしています。

(1) 自動化された業務処理統制等がある場合は、当該機能を提供するアプリケーションシステムを特定する。
(2) 当該アプリケーションシステムが依存している全般統制を対象とする。

つまり、全般統制はアプリケーションシステムを支えるものという観点であり、リスクについても以下のようなことが例示されています。

・ＩＴに関わる開発管理手続（プログラムの開発管理）

・ＩＴに関わる変更管理手続（プログラムの変更管理）

・ＩＴに関わる運用管理手続（コンピュータの運用管理）

・ＩＴに関わる情報セキュリティ管理手続（プログラムとデータの情報セキュリティ管理）

これをみても、ISMSの領域とは一部重なる点があるものの、イコールではないことがわかります。経済産業省のシステム関係の基準でいえば、システム管理基準と情報セキュリティ管理基準の両方に関係してくることになります。

繰り返しになりますが、IT全般統制の有効性というのは、IT業務処理統制等の有効性に関連付けて検討される必要があります。IT業務処理統制等を継続的に有効ならしめるものになっていなければ、IT全般統制が有効とはいえません。ところが、IT業務処理統制等を識別することをせずにIT全般統制のみを切り離して評価すればよいといったような風潮がやや見受けられるのは残念なことです。特に、会計システムとIT全般統制の関係というのは、J-SoX上は非常に重要です。ITに係る規程を作ったはいいけれど、肝心な会計システムは考慮されていなかったとか適用範囲外で、結果的に会計システムに係る全般統制が未整備、ということになってしまったのでは意味がありません。

また、「IT全般統制の評価を行って有効であれば、IT業務処理統制の評価を行う必要がない」という声も聞こえますが、「全般統制が有効＝業務処理統制が有効」でもなければ「全般統制が有効でない＝業務処理統制が有効でない」ということでもありません。全般統制が有効でなければ、仮に業務処理統制がある時点で有効であったとしても、次の日には有効でなくなっている可能性もありますが、全般統制が有効であればそういう心配はあまりないので例えば最初に1件チェックすればよい、ということであって、業務処理統制の有効性（特に運用テスト）を全く評価しなくてもよいということではありません。逆に、全般統制が有効でないからといって直ちに業務処理統制が有効ではないということでもない。業務処理統制の有効性を何度も繰り返ししかもサンプリングの範囲を広げて評価し、その都度有効であれば、ある一定期間にわたって有効だといえないわけでもありません。ただ、財務諸表監査では、全般統制が弱い場合にそう何度も業務処理統制の評価を行うことはあまり現実的ではないので、そういう場合には、IT統制をあてにしない（依拠しない）という扱いで、IT業務処理統制の評価を行わないというケースはあります。財務諸表監査で監査人が内部統制に依拠しないことはありえますが、それと経営者自身がIT統制を評価しなくてもよいというのは全然別の話です。

この研究報告では、EUC、スプレッドシート統制についても言及しています。

その使い方により自動化された業務処理統制等と同じようなＩＴ特有のリスクが存在する場合には、ＩＴ特有のリスクを低減するために、リスクを低減させる内部統制が必要である。

というのが基本的なスタンスであり、その場合、IT業務処理統制及び全般統制を評価することになりますが、一方で、

スプレッドシートについては、作成者以外の再計算等の手作業の統制で十分な場合もある。

とも述べており、スプレッドシートについてIT統制として評価しない場合もあることを示しています。実務上は、使い方が高度で複雑であるかどうかなどを勘案して、再計算、検算などといった手作業統制を適用するにとどめるケースも少なからずあるのではないかと思います。

以上、簡単に内容をご紹介しましたが、もともとITにあまり強くない一般の公認会計士を対象に書かれていることもあり、ITに関する専門的な知識があまりなくても感覚的に理解できる部分が少なくないです。J-SoXに取り組まれるIT部門以外の方にもおススメします。

特に、情報システム部門とのコミュニケーションがうまく行かず、IT業務処理統制について躓いている方には必読書です。

日本公認会計士協会から、業種別委員会報告「銀行等金融機関における財務報告に係る内部統制の監査の留意事項（中間報告）」（公開草案）が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/post_948.html

基本的には実施基準やJICPAの内部統制監査の実務上の取り扱いに沿ったものになっていますが、銀行特有の勘定科目ついて実施基準の解釈上どのように取り扱うのかといった考え方や評価範囲の考え方などが書かれています。

一般事業会社や他の業種については一見関係ないようにも思えますが、例えば、業績変動が大きな場合における重要性基準値の考え方や、財務情報に似ている情報をもとに作成されている開示事項等で財務報告の範囲に含まれるか否かの考え方とか、支店が多数ある場合の取り扱いとか、金融検査マニュアルとの関係とか、参考になるものもあります。

それと、最近一般事業会社または持ち株会社が企業グループ内で銀行業を営む場合もありますが、その場合にも部分的に適用できるものであることに留意する必要があると思います。

今後、他の業種についても同様の取り扱いが公表されるかどうかはわかりませんが、目を通しておいて損はないでしょう。

金融庁は、12月21日に「金融・資本市場競争力強化プラン」を公表。この中でEDINETにおけるXBRL導入時期について言及しました。

「金融・資本市場競争力強化プラン」の公表について

http://www.fsa.go.jp/policy/competitiveness/index.html

このP.8には以下の記述があります。

ＥＤＩＮＥＴにおけるＸＢＲＬの導入

有価証券報告書等の法定開示書類を電子的に提出・縦覧するシステムであるＥＤＩＮＥＴ（Electronic Disclosure for Investors' NETwork）において、利用者が財務情報の分析・加工を容易に行えるよう、平成２０年４月以降に開始する事業年度に係る提出書類からＸＢＲＬを導入する。

つまり、平成21年3月決算会社から順次適用されることになります。これは、四半期報告書制度、内部統制報告制度の導入と同様です。ということは、3月決算会社においては、平成20年8月頃提出する最初の四半期報告書（平成21年3月期第一四半期）からXBRLで四半期財務諸表本表を作成･提出することになります。適用のもっとも遅い2月決算会社においては、平成21年7月頃提出される平成22年2月期の第一四半期に係る四半期報告書から適用になります。これで、すべての決算期の会社についてXBRL化することになります。

最初に作成する四半期財務諸表がいきなりXBRLということになりますが、すでに、四半期財務諸表用タクソノミが金融庁において作成されていますので、これを利用して作成します。四半期財務諸表の表示科目を今後検討することになると思いますが、その際には、年度財務諸表の表示科目、過去において取引所において公表している四半期財務諸表の表示科目だけでなく、XBRLの四半期財務諸表タクソノミに定義された勘定科目のどれが使えるのかということも考慮する必要があります。年度財務諸表においてXBRLを適用する段階では、前事業年度に使った勘定科目からXBRL　EDINETタクソノミに定義された勘定科目に「表示方法の変更」を行うことになる可能性がありますが、すでに最初の四半期報告書作成の段階から、期末の表示も意識しておくべきではないかと思います。

「2008年問題」などと陰でささやかれているように、四半期報告、内部統制報告、そしてXBRL、さらにIFRSに合わせた会計基準の改正など一度にやってきますので、経理部門にとっては容易ならざる状態にあるとは思いますが、考えようによっては、段階的に毎年変更があるよりは、一気に対応してしまった方が結果的には楽かもしれません。四半期やXBRL、子会社の会計処理の統一などへの対応を踏まえて、財務報告に係る内部統制を再構築することで、大変ではありますが、無駄な作業を避けることができるのではないかと思います。

内部統制を構築するに当たっては、このような制度変更への対応をきちっと踏まえた上で行うのが合理的です。是非、XBRL対応についても十分に理解しておいていただければと思います。

日本公認会計士協会IT委員会は、2007年12月17日に

ＩＴ委員会研究報告

「自動化された業務処理統制等に関する評価手続」（公開草案）

を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/post_943.html

これは、あくまで監査人が財務諸表監査を行う際のIT統制評価の一環としてのIT業務処理統制を評価する場合の手続を示したもので、経営者が内部統制評価を行う際や監査人が内部統制監査を行う際にそのまま使うものではありません。いわば、IT委員会報告第3号のより詳細かつ具体的な説明または事例を示したものです。

しかしながら、経営者による内部統制評価の手法の多くが、もともと監査人による財務諸表監査における内部統制評価手法であったことを考えると、ここで示されたIT業務処理統制の評価手続を経営者がIT業務処理統制を評価する場合の参考とすることは十分可能なのではないかと思います。

説明部分については、11月8日に公表されたＩＴ委員会研究報告公開草案

ＩＴに係る内部統制の枠組み
～自動化された業務処理統制等と全般統制～

http://www.hp.jicpa.or.jp/specialized_field/post_930.html

とあわせて利用することが推奨されています。

さて、時間のない方は、卸売業におけるフローチャート、業務記述書、そしてRCMの記載例をご覧いただくとよいと思います。実施基準の事例と比較すると、IT業務処理統制に係る記載にかなり力点が置かれていることに気づくと思います。経営者がフローチャートを作成する場合、実施基準のような手作業統制中心のフローチャートとここにあるようなIT業務処理統制中心のフローチャートを分けて作成するか、それとも両方の目的を満たすようなフローチャートを作成するかは議論の分かれるところです。ユーザー部門（現業部門）が手作業統制、IT部門がIT業務処理統制の3点セットをそれぞれ作成するような場合と、業務とITの両方に精通したメンバーが両方あわせて作成するような場合でも違うと思います。

RCMを見ると、いわゆる統制評価手続についての例示もあります。3点セットまでは作成したが、その後の整備、運用のテストをどうすればよいかわからない、またはテストの結果をどのようにまとめればよいかわからない、という方も少なくないと思いますが、この様式はとても参考になります。ただ、整備状況については「リスク評価手続（デザインの評価と業務への適用を検証する手続）」、運用状況については「運用評価手続」と記載されているところが用語の面で少々異なります。

IT業務処理統制の評価については、各社とも非常に苦労しているのではないでしょうか。ユーザー部門はITのことがわからない、IT部門は業務のことがわからない、さらにIT部門が自社のITがどうなっているか把握しきっていないといったことから、責任のなすりあいになってしまうようなケースもあるのではないでしょうか。IT部門が自社のITのことがわからないなどというのは一昔前では考えられないかもしれませんが、外部に開発が任されたり、導入当初及びその後の変更のドキュメントが残っていなかったり、あまりにシステムが複雑になりすぎ、かつ分業化が進みすぎて、誰もその全貌がわからなくなってしまっているなどといった現実があります。IT業務処理統制を評価するには、こういう状態の中で断片的な情報を多くの関係者から聞き出して整理しなければなりません。そして業務についてもITについても、そして会計についてもそれなりの知識を持っていないければならない。こんな人材は社内にも社外にも、監査法人ですらなかなかいないというのが現状です。そんな状況で財務諸表監査におけるIT統制リスクの評価、内部統制監査におけるIT統制に係る経営者の評価及びそれに対する監査が適切に行いうるのかというのは、J-SoXにおける最大の懸念事項の一つといっても過言ではありません。IT統制とはいっても、全般統制に議論が偏りすぎ、業務処理統制に関する議論があまりに少ないというのも問題です。

この研究報告案は、そうした懸念を少しでも払拭するのに役立つのではないかと思います。

実施基準、システム管理基準追補版と合わせて熟読することをおススメします。

久々に八田教授の新刊を読む。

「これだけは知っておきたい内部統制の考え方と実務 (評価・監査編) 」

日本経済新聞出版社

実施基準の解説本としては「いまさら」の内容ではありますが、とにかく、アメリカ式を否定して、リスクの高いところにリソースを絞り込んで評価せよ、というリスクアプローチの考え方をしつこいほど繰り返し述べています。そして、米国式の勘定科目アプローチと日本式の事業拠点アプローチの違いについても述べ、米国の実務であった「すべての事業拠点について勘定科目の９０～９５％」というのも批判しています。まず事業拠点を絞り込むだけでもずいぶん手間が省け、その分リスクの高いところにリソースを集中できるはずだ、ということです。実際にやってみると、全社的統制、全社的観点で評価する決算財務報告プロセスを売上高の95％基準で選んだ事業拠点にやるだけでも相当大変な作業です。それを業務プロセスの3点セットにまで広げることを考えると、気が遠くなる。。。。規模の大きな事業拠点はそれなりに人材もそろっているのでまだよいのですが、小規模な事業拠点では対応は絶望的。また、仮に3点セットを作れたとしても、小規模であるがゆえに規程はない、職務の分離、内部牽制も難しい、など、形式的に見れば不備だらけ。その是正まで考えると現実ではないし、数人の規模の拠点に独自の規定やマニュアルを整備させたり、職務の分離のためにわざわざ人を入れたりなどというのはあまりにナンセンス。リスクをきちっと認識できないコンサルや会計士ほど、そういうところにまで形式主義で規程を作らせたがる傾向がありますから、企業としては地獄です。

そんなことを考えると、2/3基準で事業拠点を絞りこめるというのはありがたい規程です。

ところが、一方で、選定した事業拠点については、売上プロセスなどは原則すべて評価対象にしなければならない。これが非常に重荷になるケースがある。しかも、金額的重要性だけでなく「主たる事業との関連性が低い場合」というような除外条件をつけてしまい、JICPAも金融庁もその適切な事例を示せないでいるものだから、枝葉末節な売上パターンまで評価対象に入れろなどと、リスクアプローチの本来のあり方からすれば本末転倒な解釈がまかり通る。金融庁担当官の解説本では、除外できる例として「社員食堂の売上」などという事例を紹介していますが、そもそも、一般事業会社で自分の会社の社員食堂の収入を「売上高」で計上しているでしょうか？　そんなことはまずありえません。そんな会計実務とはかけ離れた事例しか示せない。JICPAは、「店頭売上」と「卸売売上」に例を挙げていますが、これも「関連性が低い」という事例としてはイマイチよくわからない。

ということで、例えば事業拠点が1つしかない（本社工場のみ）場合には、リスクの大きさ、重要性にかかわりなく、例外なくすべての売上パターンについて業務プロセスの評価対象としなければならないということになってしまいます。たとえ事業拠点が一つであっても、その中でリスクアプローチを適用することは実施基準の理念からは問題ないはずです。

企業側も会計士側も、そして金融庁も、そのことをもっと深く考え、示していくべきではないかと思います。事業拠点の選定基準が2/3なのに、事業拠点が一つしかない企業で売上の95％（僅少の基準が５％）を評価対象にしろというのは、明らかに矛盾した取り扱いです。実施基準の趣旨は積極的に評価範囲の絞込みを行わせ、重要な虚偽記載リスクにきちっと対応してもらうことだと思います。

実施基準はあくまで多数の事業拠点が存在する企業のケースを想定して「事業拠点アプローチ」を採用しているのであって、拠点が一つまたは特定の一つの拠点だけで全体の９５％を超えてしまうようなケースはまた違ったリスクアプローチの適用方法があると考えてもよいのでは。実務において「あくまで例示であって、企業の実態に応じて」ということをもっと重視すべきではないかと思います。

リスクアプローチの本質を理解すること、それが求められる。これが八田教授の本のメッセージではないかと個人的には思いました。

なお、あくまで個人的な感想なので、この考え方で監査人と議論して通るかどうかは保証の限りではまったくありませんのでご了承ください。

日本公認会計士協会（JICPA）がついに内部統制監査実務指針の確定版を公表しました。正式名称は「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」です。

以下のページからダウンロードできます。

http://www.hp.jicpa.or.jp/specialized_field/main/82.html

J-SoX関係で正式に公表されるのはこれで最後ではないかと思います。

公開草案からの変更は本質的にはありませんが、内閣府令、ガイドライン、Q&Aの内容を踏まえた他、記載がより具体的になった部分、例示がわかりやすくなった部分が若干あるようです。

これは、監査人が内部統制監査を実施する時の実務指針ではありますが、内部統制構築･評価を行う上でも大変参考になるものです。実施基準の記述を引用しながらより具体的な例、考え方を示しています。

例えば、海外子会社がある場合の全社的統制の考え方（評価単位）などはとても参考になります。海外子会社の内部統制構築や評価は距離や言葉、文化の違いなどによって容易ならざるものがあり、各社とも頭を悩ませているところかと思いますが、どういう場合に親会社と同一の内部統制とみなし、どういう場合に独自の全社的統制を評価しなければならないのかなどについての考え方が示してあります。

その他、財務報告の範囲の考え方についても、実施基準より踏み込んだ説明になっています。

Q&Aにも書かれていましたが、ダイレクトレポーティングを採用しないが、実質は監査人が直接監査証拠を入手するという点がここでも強調されています。

「内部統制監査の実践において、意見書がダイレクト・レポーティングを採用しないとしながらも、「内部統制の有効性の評価結果をすべての重要な点において適正に表示しているかどうかについて、監査人自らが入手した監査証拠に基づいて判断した結果を意見として表明すること」を求めていることに留意すべきである。」

つまり、意見の表明の形が違うだけで、やること自体はダイレクトレポーティングの場合とあまり変わらないということです。ですから、内部統制自体が有効に構築・運用されていることと、監査人が自ら監査証拠を入手できるよう、内部統制の証跡をいかに残していくかというのが重要な課題となります。反面、経営者の評価における運用テストのサンプリングの仕方とかについては、それ自体を評価することはない。ということになります。評価文書については評価範囲の決定や統制上の要点の識別方法・結果さえきちっと文書化しておけば、あとは経営者自身がきちっと評価できている限りにおいては、評価文書の形式は問わない、ということになるかと思います。評価文書がどうであろうと監査人は自分で内部統制の有効性を評価するからです。米国では、企業側の負担を軽くするためにダイレクトレポーティングだけにする方向とのことです。

この指針によって、内部統制をきちっとすることより3点セットを監査がしやすいように完璧に作ることが優先されてしまうような本末転倒な対応が行われないようになるとよいのですが。

監査人向けで非常にわかりにくいかもしれませんが、とにかく熟読することをおススメします。

マザーズ以来の上場基準緩和の流れ。数値基準だけでなく、内部統制（内部管理体制）についてもかなり緩くなっているような印象を受けます。

そんな中で上場した会社の中には、J-SoX対応で四苦八苦している会社も少なからずあるのではないかと懸念しています。上場さえしてしまえばということで、上場後に内部統制のレベルを下げてしまった会社もあれば、もともとさほど高いレベルの内部統制ではないにもかかわらず、業績がよい、新規性、成長性があるということで上場が認められた会社もあるのではないか。いずれにせよ、上場後に内部統制をおろそかにしていた会社は、結果としていまそのツケを払わされることになるわけです。

一方、上場審査基準そのものは、緩くなったり厳しくなったりの繰り返し。なにか不祥事が起きると厳しくするのですけど、それでも内部管理体制の不備で上場できなかった例というのは極めて少なかったのではないでしょうか。

さて、最近では緩和の動きと強化の動きがともに出てきているという、きわめてまれな状況にあるのではないか。強化の動きとしては、主幹事証券による審査の強化であり、J-SoX対応です。J-SoXそのものは上場申請時には適用されませんが、上場年度には適用される。となると、上場していきなり「内部統制に重大な欠陥あり」というわけにもいかない。したがって、上場審査時にもJ-SoXに対応できる状態かどうかというのが判断規準のひとつにならざるを得ない。最近の上場会社でJ-SoX対応が出来ない会社があるとすれば、そういう会社は今後は上場できなくなる可能性もある。

当初予定では、今月中には、東証から何らかの上場基準の変更が公表されるのではないかと思いますが、果たしてどうなるのでしょうか？

10月2日にJ-SoXの「Q&A」が「ガイドライン」とともに金融庁から公表されました。

http://www.fsa.go.jp/news/19/syouken/20071002-1.html

正式には

「内部統制報告制度に関するＱ＆Ａ」です。

実施基準をわかりやすく解説したものというよりも。FAQ（よくある質問と回答）という感じのものになっています。「以下は、内部統制報告制度に関して寄せられた照会等に対して行った回答等のうち、先例的な価値があると認められるものを整理したものである。」だそうです。

全部で20問からなっています。

基本的には実施基準に沿った説明にはなっていますが、一部のUS SoXを前提とした行き過ぎた反応（過剰反応）や対応に対して「釘をさす」ようなものもあります。

個人的な印象ですが、評価文書を作成するのにあまり手間をかけるな、ということを暗に匂わせているような気がします。例えば、監査法人の提示するツール（特に早い時期に示されたものの多くはUS SoX対応をベースにしていて記載項目が多い）を使わなければならないということはない、と明言したり、フローチャートを必ずしも作らなければならないということではないといったり、といったことです。全社的統制の評価範囲についても、明言は避けているものの、95％基準を黙認するような書きぶりになっています。

理解が難しいのが、

（問１８）内部統制監査において、監査人が監査するのは基本的に経営者の評価結果で
あり、評価の手続についての詳細な検証は求められていないとの理解でよいか

です。

これに対する回答は

「統制上の要点の識別の妥当性の検証は、評価手続の検証に属するものと考えられるが、実施基準では、それ以上に、内部統制の整備状況及び運用状況の有効性に関する経営者評価の検討において、監査人が経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったか（例えば、運用テストの具体的内容等）についての検証は求められておらず、監査人が監査するのは、ご指摘のとおり、経営者の評価結果についてである。」

となっています。私の個人的解釈では、内部統制監査において「二重責任の原則」の観点からダイレクトレポーティングは採用しないものの、実態は、ダイレクトレポーティングと同様に監査人が直接内部統制の有効性評価を行い、経営者の評価結果と同じであれば「適正意見」を出すということを容認しているのではないか。つまり、3点セット、とりわけRCMさらに具体的な運用テストに関する詳細文書の内容の検証まではしないので、監査対応のためにあまり細かく書かなくてもいい、あくまで、実施基準に沿って経営者自身が有効性を判断できる最低限のレベルでよいということをいっているのではないか、と思われます。例えば、RCMに統制の種類や頻度などをこと細かく書くような様式もありますが、実施基準に示されているサンプルのレベルでも、経営者が有効性を評価できるなら十分ということでは。

ただし、評価範囲、評価手続の概要（統制上の要点の識別）の内部統制報告書への記載が妥当かどうかは、評価文書を見て監査する。

それと私自身も忘れがちになりますが、内部統制監査はあくまで内部統制報告書の記載内容（評価範囲、評価手続の概要、評価結果）の妥当性の監査です。評価結果が適正かは見ますが、統制上の要点の選定以外の詳細な評価手続については記載内容ではないので、評価結果の妥当性を判断するために理解することはあっても、それ自体を詳細に検討してその妥当性を検討するわけではないということなのでしょうか。

一方、監査人が直接内部統制の有効性を判断するための証拠集めをするということは、内部統制の証跡はきちっと残しておかないといけない、そちらの方で厳しくされるかもしれないという懸念はあります。とりわけ、IT化、ペーパーレス化が進んでいる業務において、内部統制の証跡をどのように残し、監査人が検証可能な状態にしておくかは結構難しい問題ではないかと思います。また、紙の場合でもどの程度の期間保存すればよいか、保存場所等の問題はあると思います。

あとは、会計士協会の実務指針で、このQ&Aの趣旨をどの程度取り込むかにかかっていると思います。評価手続の詳細を試査で確認するというようなやりかたか、それともダイレクトレポーティングに近いやり方をメインにするかで、上場企業側の対応もずいぶん変わってくるような気がします。

とにかく、評価文書を作ること自体によって内部統制がよくなるわけではないので、出来るだけ簡単にして、むしろ、内部統制そのものの改善に力をいれたほうがいい、と個人的には思います。

何はともあれ、待望のQ&Aなので、まず目を通してみてください。

だいぶご無沙汰してしまいましたが、そろそろ再開します。

ここ数ヶ月で一番の壁は「アサーション」または「経営者の主張」と呼ばれるもの、実施基準では「適切な財務情報を作成するための要件」、すなわち

　・実在性

　・網羅性

　・権利と義務の帰属

　・期間配分の適切性

　・評価の妥当性

　・表示の妥当性

だということを強く感じました。

もう少しいえば、RCMでこれらのアサーションのどれに該当するか、○をつけるのですが、これが難しいし、そもそもこれらのアサーションが具体的にイメージできないのです。

RCMというのは、実施基準の以下の手続を表形式で文書化したものなのですが、アサーションが理解できないと、この肝心な手続の意味を理解できず、RCM作成に苦しみます。

② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別

イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。

　このリスクを識別するに当たっては、当該不正又は誤謬が発生した場合に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となる。

ロ．虚偽記載が発生するリスクを低減するための統制上の要点を識別する。

　経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点から識別する。

　経営者は、個々の重要な勘定科目に関係する個々の統制上の要点について、内部統制が適切に機能し、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった要件を確保する合理的な保証を提供しているかを判断することを通じて、財務報告に係る内部統制についての基本的要素が有効に機能しているかを判断する。

　これを読んでもわかるとおり、「不正･誤謬によって発生する虚偽記載リスクが要件に与える影響」「要件を確保するための内部統制」というように、「要件」が理解できなければ、RCMは作成不能なのです。そこが、フローチャートや業務記述書との大きな違いです。

　実施基準にも一応の説明はあります。しかし、これを読んだだけではどうにも理解できない。特に、会計にあまり詳しくない各部門担当者や内部監査部門にとってはまさに「鬼門」であり、それがRCM作成の最大の障害になっているように思えます。

　では、どうすればよいか。経理部門が勘定科目別のアサーション（要件）をそれ以外の内部統制関係者に具体的にわかりやすく示してあげることです。

例えば仕入で言えば

「実在性」：架空仕入ではない。

・未納品、品違い、注文していないにもかかわらず物が届き仕入を計上するということがない

「網羅性」：仕入計上もれがない

・納品、検収したにもかかわらず、仕入（買掛金）計上がなされていないということがない

「権利と義務の帰属」：所有権が自社に移転し、支払義務が発生している

・取引条件（契約）によってあらかじめ決められた、所有権移転の要件が満たされている（例えば検収によって所有権が移転）にもかかわらず仕入計上されないということがない

「評価の妥当性」：仕入計上金額が正しい

・決められた単価と異なる単価で仕入が計上されるということがない

「期間配分の適切性」：決められた計上基準で計上されている

・検収基準であれば、検収時に仕入計上されないということがない

「表示の妥当性」　：適切な勘定科目で計上され、仕訳が起きている

・経理規程などで決められた勘定科目以外の勘定科目で計上されるということがない（仕入にもかかわらず販管費で計上する等）

　これであれば、例えば資材･購買部門や情報システム部門、内部監査部門でもある程度具体的にイメージできます。ここで「～ということがない」と書かれていますが、これは「要件を満たさない＝虚偽記載」リスクがないということを示しています。

適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点

というのは、「実在性」でいえば、「架空仕入を防ぐためにどのような内部統制が必要か」と言い換えることが出来ます。「評価の妥当性」でいえば、「計上金額間違いを防ぐためにはどのような内部統制が必要か」となります。

イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。

というのはRCM作成の第一歩ですが、識別すべきリスクは「虚偽記載リスク」であることを忘れてはなりません。そして、虚偽記載に結びつく不正または誤謬がITを含む業務プロセスのどこでどのように発生する可能性があるのかを識別するということです。単なる「不正」「誤謬」のリスクではないことに注意する必要があります。

例えば、仕入検収したにもかかわらず、検収入力を担当者が失念すれば、「仕入計上もれ」または「仕入計上遅れ」に結びつきますので「網羅性」または「期間配分の適切性」に関係することになります。逆に検収されていないのに検収入力してしまえば「架空仕入計上」に結びつきますので「実在性」に関係することになります。検収入力の際に納品書の金額を入力することになっている場合の金額入力間違いは「評価の妥当性」です。一方、検収入力時には勘定科目を入力するわけではないので、「表示の妥当性」には関係ないということになります。

ではこれらを防止するためにどんな内部統制が考えられるでしょう？例えば、入力担当者以外による入力チェックとかいった方法がまず考えられます。

このように考えながらフローチャートを追っていけば、RCMはさほど難しいものではありません。いつもこのようなことを考えて仕事を行っているわけですから。

久々だったので少々長くなってしまいました。続きは後日（気が向いたら）

金融庁から内部統制府令ガイドライン案（「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令（平成19年内閣府令第62号。以下「内部統制府令」という。）」の取扱いに関する留意事項について（内部統制府令ガイドライン）案」が公表されました。あわせて四半期開示等に係るガイドライン案も公表されています。9/20まで意見募集中です。

http://www.fsa.go.jp/news/19/syouken/20070822-1.html

いわゆる「Q&A」とは別のもので、主として内部統制報告書の記載について述べられています。

・内部統制報告書に署名捺印する最高財務責任者

・記載内容の例示

準備段階ではあまり関係ありませんが、最終的な成果物のイメージをつかむ上では有用かと思います。

「金融庁に訊く、内部統制府令とＱ＆Ａの行方」

http://www.itcomp.jp/a/article.aspx?aid=177

たまたま見つけたこの記事は、翔泳社の「IT Compliance Web」というサイトで見つけたもの。

ここで注目は「Q&A」についてふれていること。

金融庁では「Ｑ＆Ａはあくまで基準、実施基準の内容の明確化を図るためのものであり、基準等の内容を実質的に緩和するものではなく、このあたりを誤解されないようにしていただきたい。Ｑ＆Ａの公表を待つということではなく、あくまで基準、実施基準をベースに、着実かつ計画的に内部統制の整備に努めていただきたい」と警鐘を鳴らす。（引用終り）

とのことです。やはり、私が思っていた通りのようで、ほっと一息です。

また、

金融庁総務企画局企業開示課　の担当官は、「先行して米国でＳＯＸ制度が導入されたこともあり、日本企業でも米国のように保守的な対応をとらなければならないのではないかという、誤解があった」と語る。

とも書かれています。

そして最後に

すでに米国流に取り組んでいる企業にとっては、日本独自のやり方に違和感を覚えることもあるかもしれない。

と述べています。

対応が早かった企業ほど、米国流にはまって途中で力尽きて、もう一度日本流でやり直し。しかし、どうしても米国流の発想から抜けきれずに苦労、などという話も聞きます。米国式をそのまま輸入したようなRCMのテンプレートと実施基準の例示を見ると、その項目数のあまりの違いに驚かされると思いますが、実施基準の項目数で作成したらだめということはないのではと思えるのですが、どうなのでしょう。

それと、全社的統制の実質的な不備を改善することによって、その後の業務プロセスレベルの構築が楽になるなどということも、経験上徐々に理解されてきているような気がします
。実施基準に書かれていることがようやく実感できるようになってきたといってもよいかもしれません。

こうやって考えると、今年の2月くらいに「もう手遅れ」とか「すべての上場会社が対応するのはムリ」などという声に対し、八田教授が「そんなことはない」といっていたことが現実味を帯びてきます。

とにかく、あわててむやみに米国式で3点セットを作りまくるというような対応ではなく、じっくり作戦を立てて、もっとも効率的効果的の最低限の対応で乗り切り、その余力をもって企業経営の本質的な改善に振り向けるべきではないかと思います。企業及びコンサルタントの創意工夫が問われるところです。

まずは、この記事をお読みになることをお勧めします。

8月10日に内部統制内閣府令、四半期財務諸表等規則、四半期連結財務諸表規則が公布されました。

内部統制内閣府令：財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令（内閣府令第62号）

あとは、Q&Aと会計士協会の実務指針の最終版を待つばかりです。

金融庁から内部統制府令案に対するパブコメの結果が公表されました。まもなく、同府令が正式に公布される予定です。

http://www.fsa.go.jp/news/19/syouken/20070731-7.html

パブコメの結果を見た限りでは、大幅な変更はなさそうです。

なお、パブコメに対する意見の多くは、SEC基準で提出している上場会社や外国会社に関するもので、多くの上場企業にはあまり関係ないもののようです。ただ、その中で、連結子会社の決算期が親会社と異なる場合の取り扱いについては、注目すべきであると思います。

例えば、親会社が3月決算で子会社が12月決算の場合、親会社は3月末現在で内部統制の有効性を評価し、子会社は12月末現在で評価する。ただし、12月末から3月末までに内部統制の重要な変更があった場合には、3月末についても評価するといったことが書いてあったかと思います（実際にパブコメを見て確かめてください）。ということは、3月決算会社の12月決算の子会社がある場合には、今年の12月末決算からJ-SoX本番適用となり、親会社より早く準備を進めなければならなくなる可能性があるということです。無論、本番に入ってから内部統制を改善し、最初の評価期末である来年12月までに重要な欠陥をすべてつぶした上で、評価するという対応も可能ではありますが、期の途中で内部統制が変わるということによる評価作業の煩雑さという問題はあります。普通は、親会社を先に整備し、後から子会社を整備していると思われますので、これは結構つらいかもしれません。特に海外子会社の場合には難しい問題がいろいろでてくるかもしれません。

適用初年度期首でどこまで欠陥をつぶせ、また初年度期中に是正することによってどのような問題が生じるのか。期首までにすべてつぶせればよいですが、現実的には難しい場合も多いのではないかと思われます。そのような場合の対応も監査人に相談しておくとよいかもしれません。

日本公認会計士協会（JICPA）は、待ちに待った内部統制監査の指針案をついに公表しました。8月13日まで意見募集中です。

監査・保証実務委員会報告「財務報告に係る内部統制の監査に関する実務上の取扱い」（公開草案）の公表について

http://www.hp.jicpa.or.jp/specialized_field/post_890.html

さて、あまりに長く難解な文章が続くので、ざっと目を通しただけですが、上場会社の皆様にも是非目を通しておいていただきたいと思います。

基本的には、（当然のことながら）実施基準の枠からは一歩も出ていませんし、先日の日経記事のように「緩和」されているわけでもありません。このタイミングで公表されているということは、おそらく金融庁から出されるであろうQ&Aの考え方とも整合性を取っているはずですので、Q&Aも実施基準の考え方を変更することはないのではないかと個人的には思います。

それはともあれ、まずは、プレスリリース本文に概要が記載されていますので、それをお読みになられることをお勧めします。

ポイントは以下のとおりです。

１．経営者と監査人の協議時期

　監査計画の策定より前、具体的には監査対象期間の相当初期の時点か、又は監査対象期間が開始する日以前が考えられること

　適用初年度においては、遅くとも来年の3月以前には監査人と協議を行って評価範囲等について決めるということになるのではないかと思います。

　さらに、本文では、監査人が監査と同時提供できるアドバイザリー業務（助言）等についても示されています。これによって、監査人が過度に保守的になって助言を躊躇するようなケースも徐々に少なくなってくるのではないかと期待されます。監査人にとっても、独立性の問題がクリアできさえすれば、初年度において内部統制の重要な欠陥や内部統制報告書の不適正が生じるリスクを回避するためにも、ある程度助言をすることも必要だと考えていると思いますので、今後は、監査人とのやり取りがいくらかスムーズになってくるでしょう。

２．内部統制監査の時期

　監査人は実施する内部統制の評価の検討の時期等に十分留意する必要があること

　逆にいえば、経営者は、監査人の監査実施時期と自らの内部統制評価実施時期について調整が必要になるということです。

３．業務プロセスに係る内部統制の評価範囲

　経営者が実施基準に示されたような手続に従い評価対象を適切に識別している限り、選定した重要な事業拠点の企業の事業目的に大きく関わる勘定科目残高のうちに連結財務諸表における当該勘定科目残高に対して、一定の割合（２／３）に達していないものがある場合でも許容されることを具体的な数値を用いて示したこと

　これは、実施基準の解釈上認められていたことではあると思いますので「緩和」ということが適切かどうかは疑問ですが、この指針案で具体的な数値を用いて示されたことは非常に重要です。

　また、一般事業会社以外の会社の場合の考え方が示されたことも重要です。

４．全社的な内部統制

　全社的な内部統制について、まずは、運用状況の評価について監査人が検討を行うことが従来の財務諸表監査と異なることが述べられています。そして、子会社を含む事業拠点における全社的統制の運用状況については、内部統制の同一性をモニタリングする内部監査が良好に運用されていることを前提に、親会社の本社等で評価の検討を行うことになるが、財務報告に係る重要な虚偽記載の発生するリスクが高いと判断される場合に事業拠点への往査の実施を検討することになるとの考え方が示されています。

　逆に子会社等の経営的独立性が認められており、内部統制の同一性が認められない場合には、それぞれの事業拠点ごとに往査する可能性もあるということです。監査人が往査するということは、その前に経営者が評価しなければならないということになります。

５．決算財務報告プロセス

　まず、全社的統制と同様に、運用状況の評価について監査人の検討対象となることが財務諸表監査と異なるという点について述べています。そして、ここで重要なのは、全社的な観点で検討することが適切と考えられる内部統制を例示するとともに、個別に評価対象に追加することが適切とされる内部統制の例とそれに対して実施する手続を示したこと、及び、決算・財務報告プロセスにおいては、表計算ソフトが広く用いられている現状を踏まえて、マクロや計算式の検証等の検討事項を示したことです。決算財務報告プロセスのうち全社的な観点で評価するものについて、実施基準だけではイマイチ具体性がなく、どうしたらよいのか困っていた向きもあったと思いますが、今回の指針案でそれが具体的にイメージできるようになったことは大変有意義です。

６．内部統制の重要な欠陥における重要性基準値の適用

　実施基準に掲げられた重要な欠陥に該当する全社的統制の不備の例が示されていますが、内容的には実施基準と変わりません。ただ、具体的にその影響をどう考えるかについての考え方が示されています。また、「連結税引前利益の概ね５％程度」については、例年と比較して連結税引前利益の金額が著しく小さくなったような場合や事業年度ごとに著しく変動する場合などは、金額的重要性の判断基準として当該数値を機械的に適用することは適当でないことを示し、このような場合には、財務諸表監査における重要性判断基準と同様に、実態に応じ、比率の修正や最近数事業年度の平均値を用いること等を検討する。としています。

　これも監査人にとっては極当たり前のことですが、ここで明らかにされたことによって、上場企業側にも考え方が伝わるという意味では大変重要です。これも、「緩和」とはいえないものではあると思います。

　以上、ざっとご紹介しました。日経記事の方向性は間違っていなかったものの、実施基準が「緩和」されるというのはいいすぎではないかということが、これを読むとよくわかると思います。

　一般の方には至極難解な指針案ではありますが、是非挑戦してみてください。

あいかわらず、日経「緩和」記事で盛り上がっていますが、それもあってか、「評価範囲」については「どうなるんだ」という期待と不安が。しかし、「評価範囲」について正しく理解している方は意外と少ない。「評価範囲以外は内部統制整備しなくていい」という誤解や、業務プロセスの評価範囲と全社的統制・決算財務報告プロセスの評価範囲の取り扱いの違いを正しく理解していない、一方、「評価範囲に入ったら必ず規程や内部監査制度を整備しなければならない」といった誤解もあります。１０人もいない会社で、権限委譲などもほとんどない中で、びしっとした規程や専任の内部監査が必要でしょうか？従業員の数より規程の数の方が多いなんて、よくよく考えるとおかしいですね。こういう会社では、大企業とは異なる全社的統制のあり方があってもよいはずです。また、親会社の規程を準用するようなことでもいいし、親会社の内部監査を受けることでもいいはず。リスクが異なればコントロールのあり方も変わる。この原理原則に沿って内部統制整備を進めていかないととんでもないことになります。こういうことをきちっと整理できるスキルがとても重要なのではないかと思います。

チェックリスト方式で全社的統制の整備を進めると、つい教科書的に満点を取りたくなってしまうのですが、チェックリストでNoをなくすのが大事なのではなく、どのようなリスクがあってどれがどのように低減されているか、または業務プロセスにどのような影響を与えるかということを見るのが大事です。

小規模の会社にとって重要なのは、こと全社的統制でいえば、おそらく経営者自身によるリスクの評価と対応、そしてモニタリングでしょう。「情報と伝達」は、１０人程度であれば、さほど問題ないはずです。１０人で風通しが悪いようでは・・。統制活動は、ダブルチェックなどしようにも・・・。人手を倍にするわけにもいきませんし。ただし、会計的な点については、経営者は専門ではないので、親会社の経理が面倒見るということもありうるでしょう。連結ベースで見た場合に、子会社だけで完結させずに、親会社の目が通るということがコツではないかと思います。

そういう考え方で進めれば、評価範囲が少々広がっても何とか対応できます。

しかし、チェックリスト方式で質問表を子会社に出して、「No」があれば「規程を作れ」とかいう感じで機械的にYesにするような対応になってしまうと。。。

実施基準の全社的統制の評価項目例は、あくまでリスクとコントロールを見る際の視点を提供しているに過ぎません。どのようなリスクへの対応なのかをしっかり考えて、その趣旨に沿ってあるべきコントロールを考えるべきです。

IT統制、J-SoXでもっとも悩ましいところ。お金がかかるところ。。。

特に、IT全般統制といわれる統制は、コンピュータの専門家の力が不可欠で、中小規模の上場会社では対応が難しい。それ以前に、IT統制そのものを理解することが難しい。一口にIT技術者といっても、経理と人事と総務の違い以上の違いがある。IT統制を理解しているシステム監査技術者というのは、極めて特殊なIT技術者。ハードとアプリとネットワーク、さらにWeb系も全然別な人種。このような極めて異なるスキルをもった人材をすべて社内でそろえることは現実的ではありません。

では、どうすることもできないのか。といえば、そんなことはない。ユーザー部門による人手によるチェックという方法があります。特に、IT業務処理統制のジャンルでは有効です。例えば、アウトプット帳票と入力原票を照合して入力の正確性、完全性をチェックするとか、システム間のデータ連動であれば、それぞれのシステム帳票を照合するとか、異常な残高が発生していないかをざっとみるとか、検算してみるとか、そういう方法でコンピュータデータがおかしくないかを確かめることは出来ます。昔から、中小規模の会社はそうやってコンピュータデータが使えるかどうかを確かめているはずです。

データが落とせるのであれば、CSV形式で落としてExcelや監査ソフトで検算や異常データを抽出して、確かめることが出来ます。

IT全般統制は、IT業務処理統制を継続的に有効足らしめるための統制と位置づけられていますが、もし、上記のようなチェックを頻繁にやっているのであれば、もしかしたらIT全般統制に多少の不備があったり、評価手続が十分でなかったとしても、それをもってIT統制に重要な欠陥がある、または、十分な評価が行われていないということにはならない可能性もあります。

ただし、データ量が多く、システムが複雑で、しかもペーパーレス化が進んで、もはや上記のような人手によるチェックが出来ないような場合には、ユーザ部門の人手による統制だけでは十分とはいえない場合もあるでしょう。

ITを高度に利用していなければ、人手での統制でも結構役に立ちますし、システムに何か問題があれば、それを探し出すこともさほど難しくないような気がします。実際、さほど高度なシステムでなければ、開発段階で、開発をアウトソーシングしているような場合の、社内での検査、検収は、ユーザ部門が行う場合も少なくない。

また、IT部門があったとしても、プログラムを改ざんできるような人材がいないということであれば、プログラムの改ざんのリスクは低い。といったことで、あまり厳しい評価手続を実施しなくても、虚偽記載リスクにつながるようなケースは少ないのではないか。

逆に、重要な虚偽記載に結びつくようなリスクがあるような問題のあるシステムであれば、人手によるチェックでもある程度わかると思います。

さて、忘れがちなのですが、会計システムにおいて、仕訳を訂正する際の履歴をどのように残しているか、というのは、内部統制上非常に重要なテーマです。会計処理データが改ざんするのがもっとも手っ取り早い粉飾手口です。手書きの帳簿であれば、二重線を引いて訂正印を押すというようなことを必ずやるとか、消しゴムで消せないボールペンで記入するとかを必ずやっていますが、これがコンピュータになると、いつでも修正でき、しかも修正履歴を残さないようにすることが出来る場合があります。特に中小企業向け会計ソフトウェアにはこういう機能が見られます。しかし、重要な虚偽記載に結びつく改ざん等を発見するためには、加除訂正履歴を後で確認できるようにしておくことが重要です。電子帳簿保存法対応しているソフトウェアであれば、迷わず加除訂正履歴を残すオプションを選択するか、翌日以降のデータ変更が出来ないようにし、マイナス伝票と訂正後伝票を起票して、上司の承認を受けた上で入力するといったことをやる必要があります。これとて、高度なITの知識が必要なわけではなく、ユーザ側である程度対応できることでしょう。

このように考えると、IT統制について何も対応できていないということはない。何らかの人手による統制が存在する可能性が高い。まずは、それを把握した上で、それだけでは低減できないリスクを考えて対応することになるのではないでしょうか。

東京証券取引所のJ-SoX対応が注目されていますが、6月22日に東証から公表された「上場制度総合整備プログラム２００７に基づく上場制度の整備等について」は、少々要注意ではないかと思います。

http://www.tse.or.jp/about/press/070622s.pdf

なかでも、特設注意市場に指定された場合に、上場申請のための有価証券報告書（IIの部）に準じた「内部管理体制確認書」を提出しなければならず、、内部管理体制確認書の提出が３回目となる場合で、当該確認書の内容等に引き続き問題が認められるときは、上場廃止するものとする、といったことが書かれている点には注目です。

特設注意市場については、有価証券報告書等の虚偽記載、監査意見が不適正、意見不表明の場合などで、該当して上場廃止のおそれが生じたものの、審査の結果、影響が重大とはいえないと認められ上場廃止に至らない場合において、内部管理体制等について改善を求める必要性が高いと認めるときは、投資者へ注意喚起する観点から、本則市場及びマザーズとは市場表示を分離した、特設注意市場（仮称）に指定するとされています。

即上場廃止にはならない程度であっても、3年間内部管理体制に改善が見られなければ上場廃止になるということでしょうか。

これ自体は、J-SoXについては何も言及していません。しかし、内部統制に東証として改善を求める必要性が高いような重要な欠陥があり、その結果、有価証券報告書等の虚偽記載、監査人の不適正意見等が実際に生じてしまえば、改善が見られない限り遅くとも3年後には上場廃止になるということです。内部統制報告書の虚偽記載、内部統制監査報告書の不適正意見または意見不表明の取り扱いがどうなるかはわかりません。では、自ら「内部統制に重要な欠陥があり、有効ではない」と会社が自ら宣言した場合はどうなのか。「正直に欠陥があることを開示すれば、実際に有価証券報告書に虚偽記載がなく、監査意見も適正である限りにおいては上場廃止にはしない」ということなのか？それとも、「内部管理体制確認書」の内容に問題がある（改善されない）場合と同様に扱い、3年間で上場廃止するのか？

このあたりは、先日の日経の記事からだけでは何とも判断できません。ただ、これを読む限り、東証が改善を求める必要性が高いような内部統制の重要な欠陥が長期間にわたり改善されない状態を是とは考えていないことは明らかです。改善を求める必要性が高いような内部統制の重要な欠陥による虚偽記載リスクが顕在化し、実際に虚偽記載が生じてしまった場合には、即上場廃止か3年間を期限として「特設注意市場」に指定されるかということははっきりしている。問題は、内部統制の重要な欠陥があり、虚偽記載リスクは潜在的にはあるものの、リスクが顕在化していない状態を東証がどう評価するか。

それはそれとして、内部統制の重要な欠陥が放置されている場合の投資家からの評価、というものにも注目しなければなりません。投資家の評価は、資金調達など財務戦略にも影響を与えます。

とにかく、情報に振り回されず、有価証券報告書、財務諸表を適正に作成するためにはどうしたらよいか、ということを考えて、しっかり対応しておくことが基本かと思います。立派な3点セットをたくさん作ったからよいというのではなく、重要な虚偽記載が発生しないような体制になっていることが確認できることが重要です。それを経営者自身が創意工夫して考える、というのが実施基準のもともとの考え方です。そして、実際に虚偽記載が発生していないこと。J-SoXは「結果」ではなく「プロセス」を見るといわれていますが、結果がでていなければ、プロセスも不十分ということにならざるを得ません。プロセスを改善し、結果を出すこと。それがなければ、結局上場廃止に結びついてしまうということは理解しておいた方がよいと思います。「緩和」という言葉に踊らされないよう、やるべきことをしっかりやりましょう。

今日は、朝から例の日経記事の話題で持ちきり。私の関与先でも、そんな話が出ましたが、ほとんどの方が「実施基準ですでに言っていることじゃないか」という印象をもたれていたようで、安心しました。

さて、この無名ブログも記録的なアクセス数でした。初めて公開するのですが、7月2日で

でした。

そしてそのほとんどが検索エンジンで「内部統制　緩和」といったキーワードで検索してきているのです。いかに多くの方が、あの記事に興味を持ったかがわかります。

それはともかく、ある会計士の方がおっしゃるには、実施基準というのはある意味どうにでも解釈できるように書いてあるとのことです。解釈で厳しくもできるし緩くもできる。画一的な適用を求めるのではなく、それぞれの企業の実態にあったやり方で、ということなのでしょう。Q&Aが本当にでるのかはわかりませんが、今までの金融庁から出たQ&Aの性格から考えると、実施基準より緩和するということはない。もともと緩和するような解釈が可能な実施基準の解釈指針として、緩和できる点を明確にするといったことになるのではないかと思っているのですが。全く個人的な想像です。もし本当に緩和するなら、実施基準そのものを改正せざるを得ない。しかしそういう話は出ていない。

とにかく、仮に実施基準そのものが緩くならなくてもがっかりする必要はないと思います。緩い解釈が出来るということが明らかになるだけでも十分意味はあると思います。

とはいえ、中小規模の上場会社にとってはあまり関係ない緩和策ですし、逆に、緩和されていたとしても、今まであまり内部統制にこだわってこなかったところは、新たにやらなければならないことが増えることには変わりないでしょうから。

形式主義ではなく、目的指向、実質主義でいきましょう。

いわゆるsmaller COSOといわれる、中小規模上場会社向けCOSO「簡易版COSO内部統制ガイダンス」の日本語訳が出版されました（同文館出版）。

これは、小規模ではなく中小規模ということで、かなりの会社が適用できるのではないかと思います。日本の上場会社のうちのかなりの割合は、中小規模といおうか、あまり多角化しておらず、組織も割合と複雑ではない。そういう場合には、これが使えそうです。

注目すべきは、SoXへの適用のために財務報告に係る内部統制にしぼりこんでいることと、COSOのフレームワークは全くそのままということかと思います。COSOのフレームワークを中小規模に上場会社に適用する場合の考え方が示されているということです。また、訳について言えば、実施基準作成にたずさわった方が中心ということで、実施基準に使われているような用語、例えば「全社的統制」を使ってくれているのもうれしいです。まず、概要をお読みになり、基本的な考え方を理解してからツールの中身に目を通されることをお勧めします。でないと、適用の仕方を間違えて、過度な負担の割には効果が上がらないということになってしまいます。

全社的統制のうち、取締役会や監査委員会に係るところは、我が国の会社法の制度や経営スタイルなどとは少々異なるので、注意が必要です。

この本の中でもCOSOのツール編をチェックリスト的に使い、企業の実態に合わない、あまり効果のないものまでやろうとすることの弊害が述べられています。そして、内部統制があくまで目的指向だということもいわれています。COSOが悪いというよりは、目的を忘れた使い方に問題があるということなのでしょうか。今回の簡易版の中でも「ガイダンスであってマニュアルではない」ということがいわれています。考え方は大いに参考にすべきですが、ツールをそのまま使うことは、日米の制度の違いもあることですし、避けるべきなのではないかと思います。

このようなことはあるにせよ、私はこの本をある程度大規模な上場企業の内部統制担当役員の方にも是非ご一読いただきたいと思います。読み方さえ間違わなければ、目的を忘れ、チェックリストに振り回され、過度な負担に苦しむ、そんな日々から人々を救い出してくれる、そんな救いの本ではないかと思います。

今朝の日経新聞一面に「内部統制ルール実質緩和」という見出しが躍っていました。これを見て大喜びした方もいらっしゃったのでは。

しかし、よく読むと、東証の上場廃止基準に関する記述を除いては、すでに実施基準で述べられていることなのではないか、という気がしてきました。

１．毎年の点検範囲

　そもそも「点検」というのが、いわゆる部門における自主点検のことをいうのか、内部統制評価のことをいうのかは定かではありませんが、もし、評価範囲のことをいっているのであれば、実施基準では次のような記載があり、今回の記事で「緩和策」とされているものはすでに解釈上可能になっている。

（注２）一定割合をどう考えるかについては、企業により事業又は業務の特性等が異なることから、一律に示すことは困難であると考えられるが、全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合を概ね２／３程度とし、これに以下②で記述する、重要性の大きい個別の業務プロセスの評価対象への追加を適切に行うことが考えられる。

つまり、全社的統制がきわめて良好であれば、2/3よりさらに範囲を狭めることも可能である。これは、八田教授が解説しているところでもあります。すくなくとも、記事にあるように2/3を「義務化」しているわけではないと思います。逆に、2/3というのは全部やらなくてもよいということで、緩和策でもあります。

２．導入時の文書化作業、システム投資など

記事では実施基準では「全拠点」について求められており、緩和策では売上高で計5%未満の小規模拠点は対象外も、と書かれていますが、これもどうもよくわからない。

そもそも、システム投資をしなければならないとはどこにも書いていません。それどころか、内部統制の構築そのものの範囲はあくまで企業の任意という考え方が基本にある。これに対して、評価範囲は上記売上高基準などによって決められますが、これはあくまで業務プロセスの評価。全社的統制は原則すべての事業拠点について全社的観点で評価することが必要です。ただし、「財務報告に対する影響の重要性が僅少である事業拠点に係るものについて、その重要性を勘案して、評価対象としないことを妨げるものではない。」とされており、重要性が僅少であれば全社的統制も業務プロセス統制も評価対象としないことができることになっています。この「僅少」の例が示されるというのであれば、それはそれで意味があることです。評価範囲に該当する事業拠点はいやおうがなく内部統制を整備する必要があると思いますが、それ以外について整備しなくてよいということではなく、あくまで経営者が自らの判断、責任でどうするかを決めることが重要です。

つまり、これもQ&Aで緩和といえるかどうか。

３．「重要な欠陥」の公表

　これは、実施基準の以下の記述に関するものと思われます。

a. 金額的な重要性の判断
金額的重要性は、連結総資産、連結売上高、連結税引前利益などに対する比率で判断する。これらの比率は画一的に適用するのではなく、企業の業種、規模、特性など、会社の状況に応じて適切に用いる必要がある。
（注）例えば、連結税引前利益については、概ねその５％程度とすることが考えられるが、最終的には、財務諸表監査における金額的重要性との関連に留意する必要がある。

これも例示の一つに過ぎず、かつ、画一的に適用すべきものではないことがすでに明確にされています。一時的な要因で５％を超えた場合についても、そのときの状況で判断するということをすでに許容していると思われます。似たようなことは、財務諸表監査上の監査人による重要性の判断や連結範囲の判断の場合にもありますが、その場合でも、一時的な要因による場合については個別に判断していると思いますが、それと同じかと思います。

以上のことから考えると、すでに実施基準の段階で、本来経営者が自らの責任で決めるべきものに一応の「目安」を設け、過度に保守的にならないように数値基準を「例示」し、「画一的に適用しない」ことを明確にすることで、「緩和策」が講じられていると考えられます。しかしながら、US SoXの実務にひきずられた誤った報道やセミナー、監査人やコンサルタントの指導などによって、なかなか実施基準の趣旨が伝わらず、負担感が減らないことから、Q&Aを出して実施基準の趣旨を徹底する、ということなのではないかと思います。

一方、日本公認会計士協会の監査人向け実務指針は、監査人のあまりに重い責任に照らして、どうしても企業に対して厳しい見方をせざるを得ない。その結果、実施基準でいくら手当てしても、企業に負担を強いてしまう可能性がある。したがって、Q&Aよりもこちらの方がはるかに実務に与える影響が大きい可能性があります。

本当に企業の負担を減らし、緩和したいのであれば、経営者の責任（財務諸表、内部統制報告書の虚偽記載に対する刑罰）を重くした上で、監査人の責任を軽くするのが一番。「監査」などといわずに、「消極的保証」とか「合意された手続に基づく保証」くらいにしておけば、監査人のリスクが広がり、責任が重くなるということも監査ほどはなく、あくまでも企業の自己責任で内部統制構築が可能になる。いくらダイレクトレポーティングではないとはいっても、有効であるという評価結果に対して適正を出せば、それは監査人が有効のお墨付きを与えたのと同じこと。評価範囲についても重要な欠陥の判断規準にしても、保守的に考えざるを得なくなる。しかも、大手監査法人は、US SoXに対応した内部統制監査の国際的基準を持っており、ある程度それに引きずられてしまう。US SoXが国際標準だなどということはありえないのですが、力関係でそうなってしまう。はたして、JICPAの実務指針が、どういうものになるか注目です。

この記事が誤解に基づくものなのか、当局との「あうん」の呼吸で世の中の誤解を解くためにあえてこのような「緩和策」と取れるような書き方をしているのかは定かでありませんが、いずれにせよ、実施基準の趣旨をQ&Aを読むことで正しく理解し、有効でかつ効率的、コストパフォーマンスのいいものにしていくことが重要でしょう。以前も書きましたが、各企業や指導するコンサルタントの創意工夫が求められると思います。

それにしても、J-SoXの議論をする時に、日立のUS SoX対応の例を毎回引き合いに出すのもそろそろやめてほしいなと思います。大部分の上場会社は日立とは全然事情が違うわけですし。。。

あるIT系大手コンサルティング会社の有名なコンサルタントの方のSoXがらみの講演を聴いてきました。残念ながら、J-SoXというよりはSoXの話が中心で、トップダウン型リスクアプローチなどという考え方も出てきませんでしたし、よほど大規模でお金のある企業でないととても実施できないような話が多くて、少々違和感を禁じ得ませんでした。

また、アウトソーシングの利用を薦めるような発言もありましたが、一方で、委託業務の内部統制の業務の問題をどう解決するかについては一言も触れずじまい。全体的には、US-SoXというよりも、さらに財務報告に係る内部統制の周辺にある内部統制分野のコンサルやシステム導入、業務の効率化といったところに視野が広がっているな、という印象を受けました。やはり、監査法人の監査人とコンサル会社では視点が違うと感じました。

ただ、そうした中でも、なかなかいいことをいっているなと感心したのは、「リスクをプロセスにマッピングする」という表現です。プロセスにはリスクを低減するコントロールが埋め込まれているわけで、リスクをプロセスにマッピングした上で、そこにコントロールが埋め込まれているかを見る、ともいえると思います。この場合のリスクは、個々のタスクから生じるリスクというよりは、プロセス全体から生じるリスクであり、プロセスの目的達成を阻害する要因であり、財務報告の虚偽記載リスクです。売上に関する業務プロセスであれば、「売上が正しく計上されない（要件を満たさない）」リスクということになります。売上が正しく計上されない要因が、プロセスの中のどこにどのように存在するかを見つけ出して、そこに対策を施してリスクを低減させるのがコントロールといってもよいでしょうか。間違ったRCMやフローチャートというのは、この大事なことをしばしば忘れている。または、リスクの整理が出来ていない。「プロセス」の様々な目的及びリスクを同時に議論しようとして、「財務報告の信頼性」という目的がぼやけてしまい、泥沼にはまり、時間だけが過ぎ去っていく。「プロセス」ではなく、個々のタスク、手続に目が行き過ぎているのでしょう。これはあまり強調されませんでしたが、とても重要なポイントだと思います。

そしてもう一点、「プロセスオーナー」の考え方、メリットなどが強調されていましたが、その一方で、そのメリットがきちっと出るようにすることの難しさもきちっと説明されていたのは立派だと思いました。各社ともプロセスオーナーというのは決めてはいるようですが、何をする人なのか、組織的な意義付けは何なのか、J-SoX初期対応のための臨時的な役割なのか、それとも、部長、課長などといった役職と同様に、常時設置されるものなのか。。などといったことがイマイチはっきりしません。各部署の長をそのままプロセスオーナーにした場合、既存の組織や役職との違いがわかりません。せいぜい、３点セットを作る担当者、内部統制プロジェクトと各部門の窓口といった程度の位置づけしかしていないため、本来のメリットが出ていないようにも思えます。特に中小規模や単一事業の上場会社の場合には、果たしてどこまでメリットがあるのか。

さて、この日一番の不満は「システムの標準化」という言葉を連発していたことです。親子間、部門間で全く異なるシステムと異なる業務プロセスを持っているのはよくないので、標準化しろ」ということです。それ自体は悪いことではないとは思いますが、私から見れば、システムの標準化だけでなく、データの標準化というのが重要ではないか。地域や事業によって業務のやり方も異なり、コントロールも異なり、システムも異なるというのはある程度やむをえないとしても、データさえ標準化されていれば、一元的な管理は出来る。「勘定科目はそろえるべき」ということをおっしゃっていましたが、これはデータ標準化の一例。そして、データにコントロール証跡を埋め込んでおき、さらに集約された財務情報から明細データへのドリルダウンが可能であれば、内部統制上も望ましい。

こんなことが出来る仕組みが果たしてあるのか？その点に触れなかったのが残念で仕方ありません。もちろん、あります。XBRL GL(Global Ledger）です。これを使えば、システムを１００％標準化しなくてもこの日の講師が目指すものは実現できる。しかも比較的安く。データ標準化をすれば、用語は標準化されます。XBRL GLは、伝票などの項目（データ項目）のタクソノミです。EDINETタクソノミでは、勘定科目名が定義されますが、XBRL GLでは、伝票の項目名が定義されるといってもよいでしょう。

USでもSoX対応が一段落して、いよいよ本来解決すべき課題に取り組めると思いますが、そこでXBRL GLがどう活用されるのか、期待しています。

最後はXBRLネタになってしまいましたが、やはり今は目先のことを考えなければ・・・と反省です。

毎日毎日、あきれるほど社会保険庁のずさんな実態が報道されています。

私の自宅の最寄り駅からは「社会保険庁行き」というバスが出ていますが、石を投げつけられないかと心配になるくらいです。いま、苦情電話が殺到している例のところです。

それはさておき、今回の不祥事をJ-SoX的に解説すると、次のようなことになるかと。

まず、IT業務処理統制の統制目標たる、つまり、入力の完全性、正確性、正当性のいずれも著しく欠けており、IT業務処理統制が全く機能していなかった、もしかしたらそれ以前の悲惨な状況であったといえましょう。しかし、仮にIT業務処理統制が整備されていたとしても、全社的統制（全庁的統制）に著しい重要な欠陥が存在していたために、運用がなされておらず、IT業務処理統制がまったく機能していなかった。といえるのではないでしょうか。全社的統制の中でもとりわけ統制環境ががたがた。全社的統制の不備が業務プロセスレベルの統制に悪い影響を与える典型的な悪い見本です。

でも、仮に全社的統制を評価したとしても、果たしてこれだけひどい現場の実態というものを想定できるでしょうか。日本人はまじめな民族で、組織ががたがたでも個人のまじめさとがんばりで何とかしてしまう。そういう風に考えてしまいがちです。したがって、全社的統制の不備というのは机上論としては登場しても、実害が余り表に出てこないので、ついつい安易に考えがちです。しかし、現場でひどいことになっている原因をたどるとやはり全社的統制の問題に帰結してしまう。

実施基準では、全社的統制を評価し、良好であれば、業務プロセス評価における運用テストのサンプル数を減らせるとされていますが、現場の実態を見ないと本当に全社的統制が良好かどうかは見極めがつかないのではないか。と最近思っています。

運用テストまで行かなくても、整備状況の評価の過程でウォークスルーである程度実際に運用されているかを確かめて、もし、あまり芳しくないようであれば、全社的統制に原因がないかを再確認し、是正する。そうした上で、サンプリングによる運用テストを行うということも考えられます。

日本企業は、規程を軽視しがちです。規程がないケースも多いですが、規程があっても守られていない、空文化しているケースも非常に多いと思います。メンテナンスがなされていないことや、とりあえず規程があればよい、形式が整っていればそれでいいという誤った風潮がまかり通っています。守ることを前提に規程が作られていないケースさえあります。それが当たり前になっているというのは、明らかに全社的統制の不備です。そんなものを運用テストで把握するより、実務を把握し、業務記述書やフローチャートを作成し、ウォークスルーを実施する過程で、規程と乖離していないかどうかを確認し、全社的統制のレベルから改善していったほうがよいと思います。

今回のJ-SoXでも「規程、マニュアルさえあれば」「３点セットさえ作れば」「形式的に内部監査室を設置すれば・・・」と大いなる勘違いをしている人もいるかもしれませんが、あくまでも形式ではなく実態重視です。実態として虚偽記載リスクが低減されているか、ということが重要です。守る気のない、守らなくても支障がないと経営者が考えているような規程を山のように作るのはやめましょう。運用がきちっとなされ、効率よく目的が達成される仕組みや社風を作りましょう。

社会保険庁ほどひどくはないでしょうけど、本質的には社会保険庁と大して変わらない体質を持った企業も中にはあるでしょう。是非、他山の石としてこの問題をわが身に照らしてみて考えてみてください。

今日は久々の独り言モード。

実施基準では、まず全社的統制を評価し、業務プロセス統制に与える影響を把握し、業務プロセスを評価する、というプロセスになっています。ということで、実施基準の例示によって全社的統制を評価してみます。答えを書いてみると一見何も問題ないように思えるし、業務プロセス統制に与える影響というのがどうもピンと来ない。ところが、業務プロセス統制の評価、とりわけ運用状況を確認すると、色々と不備が出てくる。そして不備の原因を突き詰めていくと、全社的統制の不備の問題に帰結する場合が少なくない。

同様に、IT業務処理統制の運用上の不備の原因を突き詰めていくと、IT全般統制、さらにIT全社的統制の問題に帰結することがある。

つまり、全社的統制の不備の業務プロセスへの影響を考えてから業務プロセスを考えるのではなく、ざっと全社的統制を評価したら、とりあえず業務プロセスの評価をやってみる。そしてそこで不備が見つかれば全社的統制の不備に起因するものかどうかを確認し、全社的統制の評価を見直し、改善する。こういうサイクルの繰り返しなのではないかと思います。結局、理屈で考えてどうか、というよりも、実際に問題がどのようにおきているかを考えた方が、影響や改善すべき点をより明確に認識できるということでしょうか。

さて、全社統制の不備が即重要な欠陥になるケースというのも現場では議論の的になっていますが、どうも、決算財務報告プロセスを含む業務プロセス統制のレベルで実際に問題が起きているかどうか、そしてそれが全社的統制の不備に起因するか、というところで判断せざるを得ないのではないか、という考え方もあるようです。「結果オーライ」とまではいわないものの、業務プロセスレベルであちこちで問題が生じている。内部統制の不備があり、虚偽記載「リスク」が低減されていないどころか、現実にリスクが顕在化してしまっているケース、つまり不正が誤謬が全社的にあちらこちらで生じてしまっているケースなどは、全社的統制に問題がある場合が少なくない。なかでも統制環境、特に経営者の姿勢がどうなのか、ということは注目する必要があるのでは。コンプライアンス、内部統制軽視、利益最優先のような社風で、不正が頻発しているような会社であれば、それは全社的統制に重要な欠陥があるといわざるを得ない。財務報告に関係しなくても、法令違反、不正が多い会社は財務報告にも問題があるのではないかと疑いの目を向けたくなる。すると、全社的統制の不備を「重要な欠陥」と判断したくなる。出来れば監査を引き受けたくない。監査人にはそういうところがないとはいえません。

全社的統制の評価って、そういうものなのではないか、ふとそんなことを考える今日この頃です。

今日は、実施基準をマニアックに読んでみました。とはいっても、本文ではなく、（参考２）のフローチャートと業務記述書、そして（参考３）のRCMのサンプル。この中でフローチャートの右上の方にある「得意先マスタ」から「受注ファイル」への矢印に注目してみたいと思います。

このフローチャートだけ見たとして、まず最初に読み取れるのは、得意先マスタに得意先コードとか住所とか登録されていて、それを受注入力する時に参照すればいいから、入力が楽で間違いも少ない。つまり、「入力の正確性」というコントロール目標を思い浮かべると思います。

では、業務記述書を見てみましょう。

（２） 販売管理システムの受注入力は、得意先マスタに登録されている得意先の注文のみ入力することができる。

ちょっと意外な気はしませんか？

多くのJ-SoX担当者の方が業務記述書を書くとしたら、きっとこう書くでしょう。

「受注入力の際には、得意先マスタに登録された得意先情報を呼び出して、受注入力する」

全然違います。

さらにRCMを見てみます。

（リスクの内容）与信限度額を超過した受注を受ける

（統制の内容）受注入力は、得意先の登録条件に適合した注文のみ入力できる

（要件）評価の妥当性（資産及び負債を適切な価額で計上していること）

これらはあくまで例示なので、完全に整合性が取れた形で書かれているわけではありませんが、いずれもJ-SoXにおけるマスタファイルの意味合いというのを端的に表しているのではないかと思います。

つまり、マスタファイルの読み込み、参照は、受注プロセスにおける統制（コントロール）だと解釈されているのです。ただし、マスタに登録された得意先に対し、決められた条件の範囲内でしか受注できないという仕組みにした場合に限りますが。未登録の取引先であろうと、与信限度額を超えた金額であろうと受注入力が可能な仕組みにすれば、コントロールとしての性格はかなり弱まります。

コントロールとして有効であるためには

・得意先マスタのメンテナンスが適切に行われていること

・得意先マスタを参照し、条件に合致しない入力はエラーにする（入力できないようにする）プログラムが有効に機能していること

後者は典型的なIT全般統制です。前者をもう少し具体的に言えば、

・与信管理規程に基づき正式に承認された得意先及び与信限度額が、正式な権限を持つ入力者によって適切に得意先マスタに登録され、かつ、不正に改ざんされない

ということになるかと思います。そして、受注マスタメンテナンスに関する統制を評価することになります。

このようなITを利用した統制をいかに適切に評価するかというのは、ITの活用が進んでいる企業においてはとても重要なことです。同じことであっても、見方が違うと、業務記述書もRCMも全く違った内容になってしまいます。

さりげないところではありますが、さすが実施基準は本質的なところをきちっと書いているなと改めて感心しました。

それにしても、売上プロセス全体でフローチャートが一枚。業務記述書もRCMもとても簡単に書いてある。事例だから簡単に書いてあるというよりは、大事なところさえ押さえていればこの程度記載しておけばいい、ということでもあるように思えます。山のようにフローチャートと業務記述書、RCMを作っている企業もあるようで、そういう企業の話を聞いてビビッてしまう企業の方もいらっしゃると思いますが、もし本当にこの程度でもいいとなれば、ずいぶん対応が楽になるのではないでしょうか。

今年の３月決算作業も最終段階を迎えていることと思いますが、そろそろ、今年の決算作業を振り返りながら「決算・財務報告プロセス」を見直してみてはいかがでしょう？

決算・財務報告プロセスについては、正確には「決算・財務報告に係る業務プロセスの評価」であり、実施基準（参考図２）で、「全社的な内部統制の評価」の次に来ている点に注目すべきであると思います。そして、全社的な観点での評価が適切なものについては、全社的な内部統制に準じて評価し、それ以外の決算・財務報告プロセスについては、それ自体を固有の業務プロセスとして評価することになります。

また、運用状況の評価について慎重な対応が求められています。いかに、個々の業務プロセスについて内部統制を整備・運用しても、肝心の財務諸表を作成する段階で不正や誤謬が生じてしまうようでは意味がありません。

もちろん、監査人は、精査に近い形でかなり慎重にチェックします。内部統制に重要な欠陥があったとしても自ら虚偽記載を発見できるように監査手続を実施します。残高試算表から財務諸表を作成するプロセスや連結財務諸表作成プロセスは、かなり細かくチェックしますので、そこでの誤謬は発見されやすい。しかし、記載されている事項が適切かを確かめることは出来ても、本来記載されるべき事項が記載されているか（記載の網羅性）について確かめることはなかなか難しい。稟議書や取締役会議事録などを閲覧したり、質問したりしながら、会社で何が起きたのかをある程度頭に入れて記載すべき事項にもれがないのかを確かめます。しかし、すべての資料をしらみつぶしに見ることはできませんので、記載すべき事項をすべて把握できるわけではありませんし、さらに、監査上の判断をするための情報の多くは、会社の内部統制によって収集されるため、その情報が間違っていれば監査人は正しい判断が出来ない可能性があります。決算・財務報告プロセスであっても、やはり監査人は内部統制、特に「統制環境」「情報と伝達」に依拠せざるを得ないのです。

ところで、決算・財務報告プロセスの評価をする際に、コントロールの一つとして「監査法人によるチェック」を書く人がいますが、これはご法度です。「監査法人がチェックするから自分たちはチェックしなくてもいい」といっているようなもので、これでは、経営者が内部統制の構築という自らの責任を放棄しているという印象を与えてしまいます。内部統制評価は、監査人のチェックを受ける前に自分たちでどれだけちゃんとチェックするかということを評価するわけで、監査人のチェックというのは内部統制には入りません。

話を元に戻すと、重要な後発事象や資産の評価、負債の見積もりに関する判断に必要な情報などが、どのように経理部門に伝えられ、その情報にどの程度の信頼性があるかというところについて、慎重に検討する必要があります。さらに、このような情報に基づき、どのようなルールに従い、どのようなプロセスで会社としての会計上の判断が行われているか、という点にも留意する必要があります。

ここで気をつけたいのは、このような「情報と伝達」の機能は、財務報告の信頼性を確保する目的のためだけに単独で構築されるものではなく、他の目的のため、例えば、業務の有効性、効率性やコンプライアンス、資産の保全といった目的を達成するためのものであり、「財務報告の虚偽記載リスクの評価と対応」以外の「リスクの評価と対応」という要素が有効に機能するために不可欠なものとして構築されるということです。売掛金の回収遅延や不良在庫の存在、偶発債務の発生などは、財務報告云々以前に資産の保全という観点から対応されるべきものです。

それはさておき、売掛金回収遅延、不良在庫などは、「売上計上」「仕入計上」という会計処理に係る業務プロセスの評価だけでは浮かび上がってこない。フローチャートにも出てこない。ところが、決算・財務プロセス統制の評価において「売掛金の回収可能性評価」「たな卸資産の販売可能性評価」に係る業務プロセスの評価をやると浮かび上がってくる。そしてこれらは、判断を伴うこともあり、財務報告の重要な虚偽記載に結びつきやすい。

監査人が内部統制評価を行う際には、「売掛金回収」に係る内部統制というのは「販売サイクル」の一部として「受注」「販売」などと一緒に評価し、決算・財務報告プロセスということはあまり意識しません。しかし、決算・財務報告プロセスとして認識することで、経理部門への「伝達」や「売掛金評価」と「売掛金回収」の内部統制の関係をより鮮明に意識することができるのではないかと思います。

こんなことからも、決算・財務報告プロセスを他の業務プロセスよりも先にやるという実施基準の（参考図２）に示された順序というのは、よく考えられているな、と思います。

J-SoXといえば3点セット、なかでもフローチャートというのがその代表格。「文書化＝フローチャート作成＝J-SoX対応」という考え方を持った方も少なくなかったように思えます。確かに業務流れ図を使って理解するといったことは実施基準にも書かれていますし、その実例も掲げられています。しかし、その真意、ポイントがどれほど理解されているのか。

フローチャートを作成する意味・目的というのは3つあるのではないかと思います。

・業務手順書として業務の流れに関するルールを示すもの

・コンピュータシステムを構築する時に、プログラム上のロジックを示すもの

・監査人が業務全体の大まかな流れと会計処理ポイント、内部統制上のポイント（統制上の要点）、システム上のデータフローとの関係等を把握するためのもの

どの目的で作成するかで作り方が全く異なってしまいます。

さすがにJ-SoX対応の場面でコンピュータシステム用のフローチャート書く人はまれかと思いますが（システムに関するドキュメントが一切残っていない場合を除き）、多くの会社では、最初の「業務手順書」としてのフローチャートを作成しているように思えます。つまり、規程やマニュアルを整備する一環としてフローチャートも作成する。となると、現場で実際に業務をする人向けにどうしても細かい手順まで具体的に入れざるを得なくなる。

ところが、監査人の作るフローチャートは、財務報告の信頼性に重要な影響を与えるポイントに絞って、全体としてうまく行く仕組みなのかをチェックするものなので、業務手順書レベルのようなフローチャートでは全体が見渡せない。どうも「評価」ということを考えると、J-SoXが本来求めているフローチャートというのは、この3番目のフローチャートではないかという気がしています。つまり、チェックしたいところだけは細かく、どうでもいいところは思い切り省略してしまう、そして、ITを意識する。業務の流れとデータの流れ（生成プロセス）とITを利用したコントロールの組み合わせ。そうすると、大雑把ではありますが、書くべきことは書いてあり、分量が少ないので更新も有利。更新がきちっとできるというのも重要なポイントです。業務、個々の処理の網羅性よりも、ポイントを押さえているかが問われる。

このようなフローチャートは、監査人、システム監査人以外には世の中ではほとんど知られていないようですし、書き方を教えられる人もあまりいない。網羅性を敢えて捨てている点もどうもなじめない。漏れがあると「正確ではない」という指摘を受けるのではないかと不安。何より、全体を見渡してポイントをきちっと理解・説明出来る人がなかなかいない。現場担当者レベルに書かせてしまったのでは、自分のやっている業務の範囲でしか物事が見えないので、全体を見渡して書くことはムリ。ということで、どうしても業務手順書的なフローチャートを描いてしまい、網羅性、正確性を求めるあまり、泥沼に陥っていく。そして、見たいものが見えなくなってくる。フローチャートで「見える化」するつもりがますます見えなくなるという皮肉な結果に陥る。

これはITについても同じ。担当するシステムがあまりに細分化されてしまい、システム全体がどうなっていてどうつながっているのかを理解できる人は極めて限られている。まして、手作業とITの組み合わせで、全体として重要な虚偽記載を防止できる仕組みになっているかを判断できるくらいの理解をしている人は、社内でも数人いるかいないかではないか。

要は、細かい現場での作業をすべて知っている必要はなく、自社の内部統制の思想と何をどうコントロールするかとどこを押さえておかなければならないか、ということを理解している人が、それを整理するために必要な最低限の概略を記述する、そういうフローチャートが必要であり、そういう観点を持った人を育てる必要があるということです。

このようなことを考えると、仮に現場にフローチャートを書かせたとしても、それだけで終わるのではなく、それをまとめて、全体の中での自分の担当する業務の位置づけ、なぜそうしなければならないのかを正しく理解できるような場を設けることが重要なのではないかと思います。

マニュアルに従って、いわれたとおりにただ業務をこなすだけでなく、なぜそうしなければならないのかを理解したうえで業務をこなす人材の育成。もしかしたら、これがJ-SoXの一番大きな効果なのではないかと思います。

もちろん、社内には、理解して行動すべき立場の人と、そういうことは必要ない、むしろ余計なことは考えずにルールどおりにやればよいという立場の人がいると思いますが、J-SoXで3点セットを作る人は、前者の様に社内で位置づけられた人であるべきだと思います。マニュアルどおりに動けばそれでいいという人には書かせるべきではない。むしろ、どうあるべきかを考えて指示する立場に身をおいている、または将来そういう立場に身をおくであろう人に教育面も兼ねてやらせるべきではないかと思います。

3点セットを外部に作らせればよい、と思っている人は、こういう側面についてどう考えているのか。また、仮に外部の力を借りるにしても、どうやって社内の意識を高め、視点を変えるかということについて十分に議論し、それができるレベルのコンサルを選んでいるか。もう一度見つめなおしていただければと思います。

もちろん、現場で使えるマニュアル、手順書は必要ですし、それをフローチャートにすることで理解しやすくなるのであれば、それはそれで作ればよいと思いますが、フローチャートにするかどうかはあくまでも日常業務を行うのに必要な場合に限ってよいと思います。評価する側はそういうものではなく、内部統制の有効性を判断するために必要なフローチャートを必要な範囲内でつくればよい。そのように割り切って考えないと、残りの短い期間でJ-SoX対応を完了させることは出来ません。

時間が足りないと悩んでいる方は、是非発想の転換をしてみてください。

最近、若干グチっぽくなってきたかもしれません。今日も半分グチです。

内部統制府令案で、正式に「公正妥当と認められる内部統制評価の基準」として認知された企業会計審議会の「基準」及びその実務指針ともいえる「実施基準」では、「トップダウン型リスクアプローチ」を採用しています。ということは、企業は、「トップダウン型リスクアプローチ」の考え方に沿って内部統制の評価を行わなければならないわけです。

ところが、現場レベルでの業務プロセスのフローチャートを書き始めると、どうも、「トップダウン」とか「リスクアプローチ」といわれてもピンと来ないし、違和感すら覚えてしまう。特にIT系とりわけ開発系の人にはそういう傾向が強いような気がする。やはり、現場の末端から順番にヒアリングをして、最後に財務報告なり経営者にたどり着く、という発想が前面に出てしまう。そして、現場のすべての業務をフローチャート化しなければ気がすまなくなる。さらに、現場の業務をとことん細分化してとらえ、すべてを理解しようとする。つまり、上に行くどころか、ますます枝葉末節なところに下りていってしまう。

なぜそうなるのか。なぜ、トップダウンとかリスクアプローチという考え方が受け入れにくいのか。

私も弱い頭を絞って考えたのですが、データの流れを中心に考える人と、統制を中心に考える人の違いではないかと徐々に感じるようになりました。

データというのは、取引が発生したところで生成され、徐々に集計されていき、最後は財務諸表または財務報告として集約される。原始証憑から会計伝票、総勘定元帳、合計残高試算表、そして財務諸表という流れ。まさに簿記の世界である。データが生成、集計、集約される業務処理を含むプロセスを把握し、それに付随する統制を見ていこうというのが、フローチャート的な発想。

一方、統制というのはどうか。これは目的指向であり、基本的にはトップダウン。ここでいう目的とは、いうまでもなく「経営目的」であり、内部統制の4つの目的である。そして統制は、目的を達成するための手段であり、目的の達成を阻害する要因、つまりリスクへの対応手段。ということは、RCMは目的指向であり、トップダウン的な発想が不可欠ということになります。ところが、RCMをフローチャートと同じような感覚で作ってしまう。

例えば、企業全体の組織とか、人員配置（人事といってもよいかもしれない）は、本社が経営目的の達成のために決めるもの。人員配置というのは、限られた企業内リソースの配分であり、現場の人間が自ら決められるものではない。部門レベルになれば、部門内の役割分担などは部門の目的に沿って部門責任者が決めるのが普通でしょう。もちろん、現場は希望は出すにしても、結局は経営者がどう人材を配分するかの考え方なり方針次第です。これも立派な統制ですが、フローチャートには書けない全社的統制。

ではITシステムはどうか。現場の実務を把握することは、ITシステムを構築する上では重要だと思います。しかし、現場の人間が、自分が入力したデータが最後どのようになるか、そしてそのデータがどのように使われるかなどということは通常余り意識していないのではないか。または、知らされていない、意識付けされていないのではないか。むしろ、そんなことを意識させて、自分の判断で勝手なことをされてはたまらないので、目的は教えないということすらあるのではないか。「そんなことは知らなくていいから、決められたとおりにやれ」ということも少なくないのではないか。そういう状態で現場の声を聞いたところで、システム全体をどう構築するかなどということは浮かび上がってこない。それより、組織、人事などといった体制に合わせて、業務を組み立て、それにあわせてシステムを構築するということにならざるを得ないのではないか。となると、現場の作業を積み重ねてシステムを作るというよりは、目的達成のために、資源を適切に配分し、それにあった統制のデザインを考え、それにITをどう利用するかという視点で開発されることになる。これはまさにトップダウンの発想ではないでしょうか。しかし、データフローはあくまで現場から経営。

さて、利根川の源流がどこにあるかを探すとします。本流も含め、すべての水源を探すこととする。水の流れは水源から河口であるが、水源を探す時には、逆に下降から上流へ向かうのが普通ではないか。または、宇宙から水源地を直接発見し、それが本流にどうつながり、どう河口までたどり着くかを確かめるかもしれない。いずれにせよ、最初からいきなり利根川の水源にたどり着くことは不可能です。監査人が内部統制なりデータフローを把握する時の発想というのはこれに似ているような気がします。しかし、ウォークスルーはデータの流れに沿っていく。

さらにこれに条件をつけてみます。いくつかの水源には宝がある。それを探すとする。まず、何が宝で何がガラクタなのかを認識することが必要です。そして、物を見たときにそれが宝なのかガラクタなのかを見分ける眼が必要です。ただし、宝がおいてあるところには条件がある。たとえば、必ず船で上れること。つまり、船で宝を運び込めるところにある。さて、それではどうやって宝を探すか。まず、船で河口から上流に上っていき、一つずつ探すことを考える。しかし、船で上れないところは探す必要はない。とはいえ、船が上れなくなるところまで実際に行ってみないとわからないので、大変な時間がかかる。しかし、もし地図があれば、あらかじめ船が水源までいけそうもないところは想像がつくので、そこは最初から捜索対象からはずす。これだけでもずいぶん効率が上がる。

内部統制評価において、宝が「リスク」、宝のありかが「統制上の要点」のようなものです。フローチャートを作るのは地図を作るような感覚であり、RCMを作るのは実際に宝を探しにいくようなもの。いくらいい地図があっても、何が宝なのかがわからず、また実際に探しにも行けない人にとっては、それこそ宝の持ち腐れです。また、地図に川の深さとか幅とかいう、船が通れるかどうかの情報があればよいですが、もしそれがなければ、やはり実際にいってみなければわからないということになってしまいます。ということは、「宝は船が上れるところにある」ということを念頭において、船が上れるかどうかの情報が書き込まれた地図を入手する、または事前に作成するならそれを記入しておくことが効率よく成功するポイントかと思います。

となると、やはり、フローチャートもその目的を明確にし（宝がどんなものなのか）、目的達成に必要な情報なりポイントを必ず入れるようにし、必ず目的地にたどり着くようにした方がよいのではないかと思います。データフローおよび処理プロセスを記述するだけでは不十分です。そして、RCMは、あくまで目的指向、リスク指向で作る。リスクを低減する仕組みがどこにどのように組み込まれ、それが全体としてどう機能しているかを見ながら、フローチャートに描かれた個別の統制活動に入っていく。

と、まあ、これが実施基準で言うところの「業務プロセスの評価」なのかな、などと思っているのですが、考えすぎでしょうか？

監査人は、細かいところを知らないし、細かいところまで把握する時間もないので、どうしても概要または全体像を把握してから要領よく必要なところに入って行こうとするのですが、会社の方は、現場の細かい実務をよく知っていて、知らなくても社内の人に聞けばよいので、ついつい最初から細かいところに行き過ぎて、目的を見失い、木を見て森を見ずになりがちです。そういう時に、何をアドバイスしてあげられるのか。。。いいアイデアが思い浮かびません。

内部統制府令案を改めて読み返してみました。

まず、重要なキーワードを整理してみたいと思います。

１．財務報告（府令2条1号）

「財務諸表（連結財務諸表を含む）及び財務諸表の信頼性に重要な影響を及ぼす開示に関する事項に係る外部報告をいう。」

財務諸表は、本表だけでなく、注記、附属明細表を含みます。関連当事者、リース、セグメント情報などはすべて注記であり、当然財務報告の中に入ります。一方、経理の状況の中でも財務諸表以外の記載事項（主な資産負債明細等）は、「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」に入ります。財務諸表監査との関係でいえば、財務諸表監査の対象となるのが「財務諸表」、ならないのが「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」です。ところが、内部統制監査は「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」も対象に入ってきます。ただし、財務諸表の信頼性への影響との関連で見ることになると思います。

２．財務報告に係る内部統制（2条2号）

「会社における財務報告が法令等に従って適正に作成されるための体制をいう。」

さらにこれに関連して、第3条

「法第二十四条の四の四第一項に規定する当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要な体制として内閣府令で定めるものは、当該会社における財務報告が法令等に従って適正に作成されるための体制をいう。」

これで、金商法の規定と「財務報告に係る内部統制」という概念が結びつくことになります。

さて、同時に導入された「確認書」制度における確認書の記載内容は、開示府令案様式4号の2に定められていますが、その記載上の注意には、次のようなことが書いてあります。

「ｂ 代表者及び最高財務責任者（会社が（４）にいう最高財務責任者を定めている場合に限る。）が有価証券報告書の記載内容が金融商品取引法令に基づき適正であることを確認した旨を記載すること。」

内部統制報告制度の対象が「財務報告」となっているのに対し、確認書はあくまで「有価証券報告書の記載内容」とされており、範囲が異なる点に注意が必要です。つまり、内部統制の評価、監査の対象は財務報告ですが、それとは別に、財務報告以外の記載事項の適正性を確保するための体制整備及びその運用状況の確認は必要ということになるだろうと思います。

では、文書化の過程でこれをどう区別していくのか。会社にとってはどうでもいいことかもしれませんが、監査人にとっては、責任範囲を明確にするという意味でも、できれば内部統制報告制度の部分とそうでない部分を明確に区別してほしい、ということになると思います。

もう一点、「財務報告が法令等に従って適正に作成」とありますが、これは、HTML化、そして20年4月からはXBRL化まで含めて適正に行われる体制、と考えるのか、HTML化、XBRL化作業そのものは「財務報告の作成」の範疇外と考えるのか。これは、隠れた論点です。常識的には、財務報告を記載すべき事項を作成するだけでなく、それをファイルに記述し、EDINETで提出、公衆縦覧に供することが出来る状態にまですることをもって「財務報告を作成」と考えるのではないかとも思われますが、そうなると、XBRL化によって決算・財務報告プロセスに変更が生じます。そして、監査人はXBRL化のプロセスの内部統制も評価しなければならなくなります。しかも、XBRL化のプロセスは多くの場合、印刷会社に外部委託していますので、問題はさらに複雑になります。一体、当局はどのような解釈を示すのでしょう。

３．重要な欠陥（2条9号）

「財務報告に重要な影響を及ぼす可能性が高い財務報告に係る内部統制の不備をいう。」

ここは、実施基準の段階とかわらないのですが、一応挙げておきます。

さて、内部統制報告書の様式等も初めて明らかにされました。

内部統制報告書は、有価証券報告書等の一部ではなく、別途有価証券報告書と併せて3部提出することになります。内国会社の場合には内部統制内閣府令第1号様式に基づいて作成します。内容的には「基準」と変わりません。おそらくA4で１～２枚の体裁になるでしょう。

内閣府令案が出たことで、何か実務上の懸念材料が解決するかと思いましたが、基準、実施基準をオーソライズし、内部統制報告書様式を正式に決めたという以外には何もなし。ただし、内閣府令案の公表を待って登場してくる他の文書もあるようですので、そちらに期待したいと思います。

ついに待ちに待った内部統制内閣府令案が公表されました。

ほかに四半期開示の内閣府令案、関連する開示関係府令案、監査証明府令案も公表されています。

証券取引法等の一部を改正する法律の施行等に伴う関係内閣府令案の公表について

http://www.fsa.go.jp/news/18/syouken/20070517-1.html

内部統制評価・監査基準及び実施基準に記載されている内容とは特に変わらないため、SEC基準で作成している会社を除き、対応作業への実質的な影響はおそらくないと思われます。

強いてあげるとすれば、最高財務責任者にも内部統制報告書への署名捺印を求めている点でしょうか。

とにもかくにも、この府令によって、「基準」が「一般に公正妥当と認められる内部統制の評価及び監査に関する基準に該当するもの」と公式に認知されることになり、法的な根拠を与えられました。

このほか、関連当事者やリースなどの開示関係の改正がありますが、内部統制に与える影響を検討するという意味でも見ておかれるとよろしいかと思います。

1週間ほど前に会計とJ-SoXについて書きましたが、今日も似たような・・・。

「道に迷ったら仕訳に戻れ」

業務プロセスを細かく見だすと、あれもこれもと気になって、何のためにやっているのか、どこに向かおうとしているのかわからなくなるときがあります。何を確かめようとしてやっていたのか・・・。

そんな時は、迷わず仕訳に立ち戻ってみるべきです。

例えば

　　売掛金　××　／売上　××

という仕訳について、「適切な財務情報を作成するための要件」ということが具体的にはどういうことを満たすことを要件としているのか。実在性、権利と義務の帰属、期間配分の適切性などを満たすためには何が必要で、それが満たされて初めて仕訳が起きるようにするためには、どのような統制が必要なのか。逆にいえば、どのようなケースに「要件」を満たさないような仕訳が起きるのかを考えて、再び個々の統制に戻ることです。「統制上の要点」か否かも、あくまで「要件」を満たすための統制、言い換えれば要件を満たさない（＝虚偽記載）会計処理が行われないようにするために重要な統制行為はどのようなものか、ということで識別する。

手で仕訳伝票を起こす場合でも、システム的に自動仕訳が起きる場合でも、考え方は同じです。IT業務処理統制や全般統制を評価する際には、自動仕訳及び会計システムでのその後の処理というところを出発点として、元データを生成する業務システムにさかのぼっていくという考え方が、会計士を含む経理畑の方には理解しやすいと思います。

おそらく、自動仕訳にどんなのがあるかはすでに社内で整理されていると思いますが、もし整理されていないようであれば、会計帳簿を手がかりに、例えば、仕訳コードで自動仕訳を示すような仕訳を調べれば素人でもわかります。もちろん、IT部門に聞けばわかるはずではありますが。また、フローチャートやRCMに記載されている「統制上の要点」に、自動仕訳に関する統制（IT統制）が含まれているかは必ずチェックした方がよいと思います。

サブシステムから会計システムのデータ連動がうまく行っていれば、自動仕訳のところが問題になることは極めて少ないとは思いますが、逆にここがおかしければ致命的です。たとえば、自動的にリアルタイムでどんどん自動仕訳が起きる場合はいいですが、バッチ処理で自動仕訳を起こす場合でかつ人が操作をしなければならないような場合には、その操作を忘れてしまったり2度やってしまうと、まとめて1日分なり1か月分のデータがもれたり二重計上になったりします。

このような日々のフローとは別に、残高管理が適切に行いうるかという視点での統制があります。

内部統制の6つの基本的要素の一つである「リスクの評価と対応」。これは、ERMにおいてより強調されているところ。そして、内部統制報告制度の対象が、「財務報告の信頼性確保」という目的に係る「財務報告の虚偽記載リスクを低減させる内部統制の有効性評価」というまさに「リスクの評価と対応」そのもの。実施基準でもこの項目についてはかなりのスペースを割いているように思えます。

さて、4つの目的は相互に関連し、ある目的のための内部統制が他の目的にも機能していることがあるとのことですが、「リスクの評価と対応」という基本的要素についても、このことがいえるのではないかと思います。

色々な局面があるかと思いますが、「リスクの回避」、例えば、あるビジネスをやらないとかある種類の取引を禁止するなどというのは、そのビジネスなり取引に起因する財務報告の虚偽記載リスクについても回避することになる。ところが、禁止されている取引を無断で行ってしまう、または禁止するというルールが有名無実化しているような場合には、財務報告の虚偽記載リスクも存在、そしてリスクが高いことが考えられます。このようなことを考えれば、単に行われている取引に係る虚偽記載リスク及び対応する内部統制を評価するだけでなく、そもそも取引の禁止に係る内部統制を評価し、もしそれが有効であれば、当該取引に起因する虚偽記載リスクに係る内部統制を評価対象からはずす、といったことも考えられるのではないでしょうか。

つまり、いかに「財務報告に係る内部統制」が内部統制報告制度の目的であったとしても、あまり視野を狭くしてしまうと、虚偽記載リスクの識別が適切に行えない可能性があるということを意識すべきではないかということです。

例えば、価格変動リスクを低減させるために、単価が決まらないままに発注することを禁止する統制があるとします。もしこれが有効に機能していれば、納品されても単価が決まらないために仕入計上できない、というリスクはないはずです。逆に、単価が決まらないまま発注が行われ、「仮伝票」で納品されているような場合には、仕入計上もれのリスクが高まります。したがって、仕入計上方法についてのルールの明確化と仕入計上もれを防ぐ統制を評価しなければなりません。

売上の場合の単価未決定も、仕入と同様に売上計上もれにつながるリスクが高いですが、逆にひょっとしたら正式な注文ではない、つまり、仮に出荷したとしても売上に計上できないにもかかわらず売上を計上してしまう（架空計上）リスクもあります。キャンセルになる可能性もあります。もし、実際に注文が存在しているのであれば、仮単価で計上する方法もありますが、この仮単価を高く設定して売上を計上し、翌期に売上戻しを行うような決算操作も考えられます。となると、それを防止する統制についても評価しなければなりません。

単価に関する統制が正しい値段で販売するための統制か、売上を正しく計上するための統制か、そしてそのどちらかによってJ-SoXの評価対象になるかどうか、という議論がありますが、間違った値段で販売してもその値段で売上が計上されていればJ-SoX的には問題ないと考えるのか、間違った値段で販売されるような状況では、故意に操作することで虚偽記載を行うリスクがあるというようにとらえるのか。このように考えていくと、どこまでが「財務報告に係る内部統制」なのかというのは意外と難しい。そのビジネスの中で現実的に起こりうる虚偽記載リスクの原因となるのか否かというところが判断規準になるのではないでしょうか。

このことは、財務報告の信頼性のための内部統制を整備する上で、他のリスクの評価と対応をどのように行っているかを把握することが非常に重要であることを示していると思います。ということは、今まで企業が無意識のうちにやってきたリスクの評価と対応（ルール作りと運用状況）を文書化する必要性が生じるかもしれません。

これは意外とハードルが高いかもしれない・・・。

前回は「極論」でしたが、今回は大先生方の受け売り。

実施基準が確定したあたりから、会計士や学者の先生方など、基準や実施基準の作成に関わられた先生方から、「木を見て森を見ず」というたとえが頻繁に聞かれるようになったような気がします。

我が国でいわゆる「US SoX対応方式」といわれている（本当にそうなのかはともかく）別名「積み上げ方式」の進め方に対して、日本版SoX法のトップダウン型リスクアプローチの効用を説く際の一つのうたい文句なのかもしれません。

トップダウン型リスクアプローチのうたい文句としては、当初、「絞込みによる効率的で低コストな方法」ということが繰り返し強調されていました。これは、US SoX流で頭が凝り固まってしまった人達の抵抗感、恐怖感を和らげる効果を狙ったものではありますが、どうもそれは本質ではないのではないか。特に、小規模企業の場合には、絞込み、とりわけ事業拠点の絞込みというのはあまり意味がない。もともと拠点数が少なくて、しかも似たようなことをやっていたり、わずかな機能、権限しかもっていなかったりということで、絞り込みようがない。勘定科目にしても、組織やビジネスが単純なので、全部作ってもたいした数にはならない。となると、「絞込み」というよりは、「リスクのあるところに資源を集中する」「メリハリをつける」という言い方のほうがその本質に近いのではないか。しかも、そもそもUS SoXがリスクアプローチを採用していないわけでもない。違いといえば、数値基準を明確に例示したところか。

となると、もう一つ、「トップダウン型」というのが日本型の特色なのか。これは、「全社的統制」で網をかけておけば個別の業務処理プロセスを細かく見なくてもよいケースもあるということで、絞込みを思い切ってやってももれはない、ということを意味しているようにも思えます。全社的な観点から見る決算・財務報告プロセスはまさにそんな感じです。しかし、本質は「いくら現場ががんばっても、本社、経営陣や全社的な体制が弱ければ、現場の苦労が報われない」または現場レベルでの部分最適的なやり方では限度があり、全社的なレベルでの対応が必要なこともあるというようなことをいっているのではないか。現場の管理者から聞こえてくる「自分たちだけが一所懸命考えてよくしようと思ってももどうしようもない。もっと本社なり経営陣が本気で考えて取り組んでくれないと」という声は、まさに内部統制のこうした一面をとらえているのではないかと思います。

現場レベルの管理者にだけJ-SoX対応を任せておくと、自分の裁量の範囲内でしか対応できないですし、その中だけで細かく分析して何とか対応しようとせざるを得ない。しかし、自部門だけではどうしようもない問題も多い。また、自分の部門だけでなく、他の部門でも同じような問題を抱えていることもある。若しくは、他部門と利益相反する場合で他部門の「部分最適」なやり方が自部門に悪影響を与えているケースもある。そういう状態に対して、全社的な観点で調整し、全体最適を目指せるような人がいない、というケースが少なくない。部門長会議や執行役員会という場や本社部門、内部監査人などが全体最適をトップダウンで決めてくれればよいのに、と思っている現場管理者も少なくないと思います。

また、フローチャートに載ってこない統制というのがあります。例えば、定期的な人事異動とかいうのは、社員のキャリアアップ手段であると共に不正を防止するための内部統制の一種でもありますが、これは「業務プロセス」における統制の中ではなかなか表現しづらい。しかも、人事異動をした当初は、当該業務に対する理解が低い場合などに一時的に業務プロセス統制のレベルが下がることすらある。３月決算の会社で経理の主力担当者を４月１日の人事異動で他部門に動かしたら、これは決算・財務報告プロセスの内部統制のレベルを著しく下げることになりかねない。

このようなことも含め、フローチャートには表現できない一つの業務プロセスや部門を越えた内部統制というのも存在し、それを組み立てるのは、本社の役割。そういう内部統制の一面に着目したのが「トップダウン型」なのではないか。

ところが、積み上げ式だと、いつまでも現場レベルの細かい話にこだわりすぎて、極めて局所的なフローチャートに書かれる統制だけに目が奪われてしまう。それでは、内部統制の全体像も本質もいつまでたっても見えてこない。どんなに細かくやってもやっても「合理的保証」水準の心証が得られない。これは、やっている会社だけでなく監査人も同様。

まさに「木を見て森を見ず」になってしまうのです。

一方、経営者と話をしていると、「うちの会社はこういうことはやらせていないので、こういう大きなことが起こるとは思えない（リスクがあるとは思えない）」という答えが返ってくることがあります。経営者が現場の細かい統制を知っているわけではない。にもかかわらず、きちっと根拠を示してリスクが低い理由を説明できる。つまり、押さえるべきところはきちっと押さえている。あとはそれを文書化すればよい。まさに森を見ているのです。ただ、現場と経営者の認識が乖離している（経営者が実態を見えていない）とすれば、それは重大な問題です。

そういう場合はさておき、細かいところにいきなり入るのではなく、ある程度全体を概観し、作戦を立ててからの方が、押さえるべきところのもれがない。局地的な戦況だけを見て戦うのではなく、全体の戦局の中で戦略的にどうするべきかを考える必要があるのです。

「文書化の時間がない」という理由で、あせって細かいレベルでの３点セット作成からいきなり入って、やってもやっても終わらない、そのうち出口・方向性、そして当初の目的すらも見えなくなってしまい、泥沼に陥り、しかも、網羅的に攻めていたつもりが敵のいないところにばかり砲弾を撃ち込んで穴だらけ。肝心の敵兵のいるところや戦略的拠点には全く手付かず。そんな状態に陥ってしまう企業が多い。「木を見て森を見ず」発言が関係者から増えたのには、こういう実態が少なからずある、ということなのではないでしょうか。

泥沼に陥ったら、まず原点に戻って「財務報告の信頼性」の確保が目的だということをあらためて思い出し、そのために「適切な財務情報を作成するために要件」とそれを満たさないリスクがどのあたりで考えられるかを意識しながら全体をながめてみる。そして、特にポイントとなりそうなところを集中的に深掘りしていく。それと同時に、内部統制全体に影響を与えそうな全社レベルの統制（本社による統制）にも気を配る。これは、まさに経営レベルの視点。「トップダウン型」というのは、まさに経営者の視点から内部統制を見るということでもあるのです。

現場の強さ、そしてそれが可能にするボトムアップ型経営が日本企業の強さ。逆にいえば、トップダウン、コントロールが弱いのかもしれない。一人一人は優秀でも組織力が弱い。そんな組織のありようにもJ-SoXは一石を投じるのではないかと思えます。

内部統制プロジェクトの推進責任者の方は、最前線の小隊長のような感覚ではなく、是非、全体を統括する大将のような感覚で進めていっていただきたいと思います。そして、現場との乖離を防ぎ、正しい判断を下すための「情報と伝達（一方的な伝達ではなく、コミュニケーション）」の充実に努めていただきたいと思います。

昨日は訳のわからないひとりごとですが、今日は極論。

「会計知識なくしてJ-SoX対応なし」

でも、この当たり前のことが、案外忘れられているような気がします。

公認会計士が監査できるのは、会計知識と内部統制知識と監査ノウハウ（監査実務経験）があるから。考えてみれば、それと同じようなことを内部監査人がしようというのですから、内部監査人にも相当高いレベルの会計知識が求められている。

実施基準を見ても、内部統制評価の補助者の資質面での要件として

評価に必要な能力を有していること、すなわち、内部統制の整備及びその評価業務に精通していること、評価の方法及び手続を十分に理解し適切な判断力を有することが必要である。

と書かれていますが、内部統制の目的である「財務報告の信頼性」というのがどういうことなのか、ということについて精通していなければ、目的に照らした適切な判断が出来るわけがありませんので、会計、開示に関する知識が不可欠であるのは明らかです。もう少しいえば、財務諸表項目等に係る「適切な財務情報を作成するための要件」または「経営者のアサーション」、監査人の立場からは「監査要点」を理解していなければ、いくらフローチャートを作ってもその「要件」を満たさないリスク（虚偽記載リスク）も正しく理解できませんし、内部統制が虚偽記載リスクを低減できているかどうかも判断できません。まして、どのような統制が虚偽記載リスクを低減するのに重要となるのか、つまり「統制上の要点」も識別できません。さらに、運用テストをどのように行ったらよいかも分かりませんし、その結果についての適切な判断も出来ません。つまり、RCMが書けないのです。

逆に、会計、開示に関する知識があり、「財務情報を適切に作成するための要件」を財務諸表項目等に対して適切に設定することが出来れば、それを満たすためにはどのような業務要件が必要で、それが適切に行われるためにはどのような統制が必要なのか、つまり、「あるべき統制上の要点」もわかります。この「あるべき統制上の要点」が、実際に自社の業務プロセスでどのように実装され、実施されているかを調べて、漏れや不足、または不適切な状態になっていないかを見ればよいのです。

そして、「統制上の要点」について、社内の判断規準及び判断規準への適合性を証明する証跡（例えば請求書、物品受領書、検収書、注文書、契約書等と実際に判断した際の記録など）を元に、それが実際に有効に機能しているのかを判断します。適切な判断規準がなければそもそも判断が適切であるかを客観的に示すことは出来ません。判断規準があっても、その適合性を確かめるためのものがなければ判断しようがありません。これは取引の際もそうですし、期末残高の評価を行う際にもそうです。「これは一体いくらで売ったのか」「これは売上を計上するための要件を満たしているのか」を証明するものがあるのか。ないとしたらどうやって要件を満たしていることを証明するのか。それとも、要件を満たしているかを確認することなく売上が計上されてしまうのか。そんなことから内部統制を構築、評価する。

さて、同じ勘定科目でも業種やビジネスモデルによって会計処理が異なるので、具体的な「適切な財務情報を作成する要件」も変わってきます。売上の場合、「実在性」「権利義務の帰属」という「要件」を満たすかどうかの基準が出荷基準と検収基準では当然異なります。したがって構築すべき内部統制、「統制上の要点」も異なります。

RCMで統制上の要点に該当する統制が、どの要件に影響を及ぼすかを記述（○をつける）するのですが、もし、ある勘定科目にかかる業務プロセスにおいて、その勘定科目において満たすべき「要件」のところに全く○がついていなければ、それは統制のデザインが適切ではなく、欠陥があるということになります。資産に係る最も重要な「要件」は「実在性」ですが、もし、当該科目に係る業務プロセスのRCMを作って「実在性」に○がつかなければ、RCMへの「統制上の要点」の記述がもれているか、統制のデザインに不備があるか、そもそも虚偽記載リスクがないか極めて小さいか（普通はあまり考えられませんが）のいずれかの可能性が高いです。統制ごとに○をつけることが重要なのではなく、一連のプロセスにおいて○がついているべきところについているか、ついていなかった場合にその理由をきちっと把握し、適切な是正措置が講じられるかが重要なのです。

ということで、まずはビジネスモデルを把握し、金・モノ・サービスの流れ、適切な会計処理を理解し、それにかかる勘定科目の「適切な財務情報を作成するために要件」、そして考えられる虚偽記載リスク（要件を満たさないリスク）とそれに対応する「統制上の要点」（あるべき論）を認識し、それと実際を比較する、というのが、会計監査的なアプローチです。

そういうことから、会計・開示に関する知識と虚偽記載リスク、統制上の要点を識別するための見識、経験が重要になってくるし、それなしにはJ-SoXにおける内部統制評価も不備の改善も出来ないのではないかと思うわけです。

とはいえ、ビジネスそのもの、業務やコントロールへの深い造詣、人を見る鋭い目は十分に持ち合わせている内部監査人は非常に多いものの、会計に精通している内部監査人は必ずしも多くない。まして、ITにも精通しているとなると・・・・。外から呼んでくるのも難しいし、やはり、本質的に優秀な内部監査人の方々に会計について学んでいただくのが一番ではないかと思うのですが・・・・。

訳がわからないタイトルをご覧いただいておわかりの通り、今日はひとりごとです。

水（H2O)を理解するのに元素レベルに分解して「2つの水素（H2）と一つの酸素（O）が結合したもの」という説明があったとします。そして、酸素と水素の性質等の説明を延々とします。しかし、酸素と水素の性質をいくら説明したところで、水の性質を説明したことにはならないし、理解することはできない。

内部統制についても同じことがいえるのでは。個々の統制手続がすべて有効であることと、内部統制全体として有効というのは違うのではないか。逆に無効な統制手続が仮にあったとしても内部統制全体としては有効でないとは言い切れない。つまり、内部統制というのは1+1=2という単純な世界ではないのではないか。だからこそ、積み上げ式の評価だけでは内部統制全体としての評価に関する正しい結論は導き出せないのではないか。逆にトップダウンで内部統制を細かく分析していったとして、果たしてどこまで意味があることなのか。細かく分ければ分けるほど、本質を見失いはしないか。特に複数の要因が複雑に絡み合って一つの統制をなしているまたは複数の統制が一つのリスクに対応しているようなケースは、個々に統制を見てもあまり意味がないのかもしれない。

一方で、「神とは何か」を延々何千年も追及し続けてきた人々がいる。普通の日本人には（信じられるかどうかは別として）理解しがたい発想。父たる神、子たる神、精霊の三位一体というのは、神が三位一体の存在なのか、それともそれぞれの位格が独立した存在なのか。神というのは感じるもので、分析してその本質を説明できるようなものではないという感覚が私にはありますが、「神とは何か」で何千年も議論しているというのは信じがたい。そして、何千年経っても結論が一つにまとまっているわけではない。内部統制のフレームワークも内部統制報告制度も、もともとこういう発想をする人達が考えたもの。もちろん、信じることに理屈はいらないという点では、一般信徒レベルではあまり変わらないのかもしれませんが、聖職者、神学者となるとそうもいかないのかもしれません。新約聖書などは、なぜ信じるものが救われるのか、とか、なぜイエス・キリストが神の子なのかということを、旧約聖書という判断規準と様々な預言の実現という「証拠」を結びつけることで説明しようとしている。旧約聖書に書かれた神の言葉（預言）に沿って実際にイエス・キリストに起こったことを客観的に判断すると、イエスは神の子であったという結論に達する。この論理展開は、会計監査における会計基準と監査基準と監査証拠、そして内部統制評価制度における判断規準としての「枠組み」と「評価基準」と内部統制の記録（証拠）の関係を説明するのにとても似ているような気がする。

内部統制については、「性善説」vs「性悪説」で日本は性善説だから受け入れられにくいという説明がなされることが多いですが、私はそれよりむしろ、感じるものですら理論的に説明しようとするという彼らの習慣を日本人が受け入れがたいという面が大きいのではないかと思います。「私は彼を信じているのだから」で済む日本と「私がなぜ彼を信じているのか」を分析し、説明する彼ら。日本語の「信じる」に対応する英語の単語がいかに多いか。「信じる」の中身の違いで使い分けるのか。「財務報告の信頼性（Reliability of financial reportingまたはaccurate financial reporting）」といった場合の「信頼」とはどういうことか。

なんてたまに考えて、文化の違いってこういうことなのかな。そして、COSOとか会計監査の理屈って、本当に世界共通の普遍的な価値判断規準なのかな、なんて思うことがあります。

つまらないひとりごとでごめんなさい。

前回取り上げた「統制」を「評価」するということに関しては、私自身もイマイチすっきりしません。「統制」が「統制活動」だけならまだよいのですが、「日常的モニタリング」やリスクの評価・対応などというのが複雑に絡み合ってきて、しかも独立的モニタリングそのものも「統制」、つまり「統制を評価する」こと自体が「統制」であるなどというと、まるで無限ループにはまったような感覚です。そんなこともあって、COSOはもちろん、ERMにも目を通してみました。残念ながらCOSOをそのまま持ってきている部分も少なくなく、あまり参考にはなりませんでしたが、ERMの日本語訳は比較的わかりやすかったので理解には役立ちました。

それはそうと、ERMの日本語訳である「全社的リスクマネジメント」適用技法編（八田進二監訳）を読んでいたら、なんと、「情報と伝達」の項の説明の中にXBRLが登場しているではありませんか！P.90-93「図表8-5システムの統合」「図表8-6データとシステムの統合」というところで、XBRLとウェブサービスを使った貸付金や売掛金の報告プロセスの効率化、監査証跡の例が挙げられています。タクソノミーを「分類法」と訳してしまっているのはご愛嬌として、ここにこのようないまだに実現していない例がすでに掲げられているということは驚くべきことであり、もっと注目されてもよいのではないかと思います（ERMもXBRLも共にPwCが中心になっていたとしても）。

以前、「内部統制とXBRLとどういう関係があるのか？」というご質問を受けたことがありましたが、ここを読んでいただくのが一番早いかと思います。もし、ERMにご興味のある方は、是非、ご一読ください。

内部統制評価制度は、いうまでもなく財務報告に係る内部統制の有効性を経営者が評価し、投資家に報告する制度ですが、そもそもなぜ「統制」を評価するのか、ということについてはあまり語られてこなかったような気がします。

そもそも現場では業務プロセスまたは業務フローの中での「処理」と「（狭義の）統制（コントロール）」の区別もあまりついていないように思えますし、なぜ「処理」の結果の妥当性を直接評価するのでなく、「統制」を評価するのかということについてもあまり理解されていないのではないかというような気がします。「処理」は例えば経理担当者が仕訳伝票を起票し、会計システムに入力することや、コンピュータがプログラム化された計算ロジックに従い加算計算をするとかいうことであり、「統制」は、仕訳伝票が正しく起票、正しく入力されているかをチェックすることや、プログラム化された計算ロジックが正しいこと、また正しい状態が継続していることをチェックすることを言います。

たとえはあまりよくありませんが、統制を評価することによって処理の信頼性を間接的に保証しようというのは、親を見て子供を評価するようなものです。「あの親の子供だったらこうに違いない」「親のしつけを見ていれば、子供がどうかがわかる」、というようなことだと言ってもよいでしょうか。

また、会社の中でも「あの課長の下にいれば安心だ。間違ったことはしないだろう」といったことはあるかと思います。課員一人ひとりの行動を経営者が直接監視するのではなく、課員を統制する課長の仕事ぶり、管理の状況を評価すれば、部下がまちがったことをしない、またはたとえ間違ったことをしても課長がフォロー、リカバリーできるかどうかについて、ある程度の心証を得ることができる。経営者が全社員を直接監視（モニタリング）するわけにも行かないので、課員の監視は課長に任せ、課長の監視は部長に任せ、営業部門全体の監視は内部監査部門に任せ、ということになります。課長が課員をしっかりコントロールしていれば、その課での間違いや不正はかなり少ないのではないかということがいえるかと思います。

では、具体的に上司が部下をコントロールするか。それは様々な場面で様々な方法で行われます。仮に自由放任主義だったとしても、リスクが高いところ、押さえるところは押さえているはずです。もし押さえていなければ、それは管理職としての適性を問われることになります。

これが「内部統制」という次元で評価するとなると、一課長の個人的素養に依存するのではなく、経営者として、組織としてどうするか、という視点が入ってきます。

一方、課長など管理職（上司）がチェックするのではなく、コンピュータにチェックルールを設定して、自動的にチェックする場合もあります。この場合、コンピュータに埋め込まれたチェックルールが適切か、改ざんされて無効になっていないかを確かめるチェックの仕組みが必要になります。これがたぶんIT統制ですね。

さて、外部監査人や内部監査人が、直接処理された結果が正しいかどうかを確かめる、いわゆる実証テストと、チェックが正しく行われている（統制が有効に機能している）ことを確かめる運用テスト又は統制評価テストとは、似て非なるもので、間違いやすいものです。内部統制評価制度で求められているサンプリングというのは、後者といってもよいでしょう。前者と後者では、サンプリングの考え方も、その結論も異なる場合があります。

内部統制評価制度は、あくまで「統制（コントロール）」に焦点を合わせて評価するものであって、個々の処理のやり方又はその結果そのものの妥当性を直接評価するわけではありません。フローチャートや業務記述書でも、どういうコントロールがどのタイミングで必要か、ということを理解するために、処理についての記述をしますが、メインはコントロールの記述です。RCMには通常「処理」は書かず、「処理」に起因して生じるリスクとそれに対応する「統制（コントロール）」だけ書くことになると思います。

実施基準では、「ITの利用」と「ITの統制」というのをしつこいくらい区別していますが、「ITの利用」は「ITを利用した内部統制」だといわれると、頭がこんがらがってしまうのですが・・・。前者はITを使って「処理」された結果を「統制」に使うこと、後者は統制のためのITを使った処理が正しく行われるかどうかを統制することと理解できるのでは、と勝手に思っています。

とりとめもない話で、またしても「ひとりごと」モードになってしまいました。

今日は、「ひとりごと」ですので、真に受けないでください。

財務諸表監査においては、国際的な監査基準の動向を踏まえ、ビジネスリスクアプローチを採用しています。監査基準はもとより、JICPAの最近の監査基準委員会報告書や監査･保証実務委員会第19号、IT委員会報告第3号などは、このアプローチによっています。

監査基準前文の表現を借りれば

「リスク・アプローチの適用において、リスク評価の対象を広げ、監査人に、内部統制を含む、企業及び企業環境を十分に理解し、財務諸表に重要な虚偽の表示をもたらす可能性のある事業上のリスク等を考慮すること」及び「財務諸表における「重要な虚偽表示のリスク」を「財務諸表全体」及び「財務諸表項目」の二つのレベルで評価」

ということになります。

「財務諸表項目」レベルでは、

「内部統制の整備状況の調査を行い、重要な虚偽表示のリスクを暫定的に評価し、次に、当該リスク評価に対応した監査手続として、内部統制の有効性を評価する手続と監査要点の直接的な立証を行う実証手続を実施する」　

ことになります。

さらに、監査計画立案時には

「２ 監査人は、監査計画の策定に当たり、景気の動向、企業が属する産業の状況、企業の事業内容及び組織、経営者の経営理念、経営方針、内部統制の整備状況、情報技術の利用状況その他企業の経営活動に関わる情報を入手し、企業及び企業環境に内在する事業上のリスク等がもたらす財務諸表における重要な虚偽表示のリスクを暫定的に評価しなければならない。」

「４ 監査人は、財務諸表項目に関連して暫定的に評価した重要な虚偽表示のリスクに対応する、内部統制の運用状況の評価手続及び発見リスクの水準に応じた実証手続に係る監査計画を策定し、実施すべき監査手続、実施の時期及び範囲を決定しなければならない。」

とされています。

さて、内部統制監査において、このビジネスリスクアプローチとの関連はどうなっているのか気になっています。

まずわかりやすい監査計画から。基準では

「監査人は､企業の置かれた環境や事業の特性等を踏まえて、経営者による内部統
制の整備及び運用状況並びに評価の状況を十分に理解し、監査上の重要性を勘案
して監査計画を策定しなければならない。」

とあります。

実施基準では

「内部統制監査は、原則として、財務諸表監査と同一の監査人が実施することから、監
査人は、内部統制監査の計画を財務諸表監査の監査計画に含めて策定することとなる。」

とあるので、財務諸表監査と内部統制監査の監査計画は共に「ビジネスリスクアプローチ」の考え方に立脚することになると思えなくもないのですが、基準に書かれているこれって「ビジネスリスクアプローチ」と同じことなんでしょうか？

さて、経営者による評価・構築に目を向けてみると、こちらはいうまでもなく「トップダウン型リスクアプローチ」という考え方が採用され、「重要な虚偽記載リスク」というものに焦点が当てられています。ここでの「重要な虚偽記載リスク」と監査基準等における「重要な虚偽表示リスク（固有リスク×統制リスク）」は同じ概念なのか、違うのか。J-SoXにおける「重要な虚偽記載リスク」には、固有リスクも含まれるのか、それとも統制リスクだけなのか。どうもよくわからない。

さらに、6つの基本的要素である「リスクの評価と対応」の説明では、

「リスクとは、組織目標の達成を阻害する要因をいう。具体的には、天災、盗難、市場
競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システ
ムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報及び高度な経営判断に関わる情報の流失又は漏洩といった組織の中で生ずる内部的要因など、様々なものが挙げられる。」

とある。「財務報告に係る内部統制構築の要点」では、

○ 財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応が
なされること
・重要な虚偽記載が発生する可能性のあるリスクの識別、分析

とあります。そして、先ほどの「リスクの対応と評価」における全社的リスクの説明の中で、

「財務報告の信頼性に関して、例えば、適正な会計上の見積りや予測を行っていくた
めには、全社的なリスクへの適切な対応が重要な要素となる。」

とあります。

となると、内部的な要因のみならず、外部的な要因も適切に評価、対応することを前提として、財務報告の重要な虚偽記載リスクを識別、評価、対応しなければならないということになるのではと思うのですが、いかがでしょう？

結局、外部的要因、内部的要因を含め、経営者は企業及び企業環境を十分に理解し、財務諸表に重要な虚偽の表示をもたらす可能性のある事業上のリスク等を考慮する、という意味では、経営者によるビジネスリスクアプローチ、若しくはそれを受けた監査人によるビジネスリスクアプローチといってもよいような気がします。

どうも、監査基準と内部統制基準の書きぶりが違っていて、「ビジネスリスクアプローチ」という枠の中で果たして同じように監査できるのか、というところがちょっと気になります。

この関係を、JICPAが計画している内部統制監査に係る監査人向け実務指針でうまく整理してくれるとよいのですが。

ひとりごとでした。

J-SoXに対応するための体制をどうするか。すでに3月決算のほとんどの会社が体制を作り終わっていると思いますが、果たしてうまく機能しているでしょうか?

いざはじめてみると、いろいろな問題がでてくると思います。例えば

・内部監査部門中心に体制を構築したが、経理やディスクロージャー、ITの知識に乏しく、一方で、経理部門の協力があまり得られず、トップダウン型リスクアプローチがうまくできない

・経理部門中心に体制を構築したが、決算等で忙しくて対応できない。他の部門が協力してくれない。そのため、決算時期に作業がストップしてしまっている。

・運用時のことを考えると、実際に当該業務にかかわっている人達、規程やフローチャートをメンテナンスする人達が関わって、実際に運用できるものを作らなければならないにもかかわらず、これらの人々が関わってくれず、外部コンサルに形式的に3点セットを作らせて済ませてしまっている

・「評価」ができる人材が社内に育っていない。内部監査部門は業務監査しか経験がなく、財務報告の信頼性確保という観点からの監査を行ってきていないため、ノウハウがなく、人数的にも不足している

・分業化が進みすぎて、全社的な流れ等を理解している人材がほとんどいないため、手探り状態

やはり、経理、開示業務、ITに精通している人材が経営陣も含め絶対的に不足しているのと、分業化が進みすぎて全体が見えなくなっていること、そして評価主体としての内部監査部門が弱体でノウハウもない、というのが「重要な虚偽記載リスク」を考えることのネックになって、トップダウン型リスクアプローチをやろうにもできない、という会社が少なくないのではないかと見ているのですが。

トップダウン型リスクアプローチは、要領はいいものの、かなり高度な判断を要し、豊富な業務経験と会計、経営に関する知識がないとなかなか難しい。そして、全体を見渡せることが必要。実は、会計監査の現場でもリスクアプローチをきちっと理解し、それにより統制リスクの評価がきちっとできるようになるためには、かなりの経験が必要であるにもかかわらず、そういう人材が絶対的に足りない。監査の経験はあっても、知識面で会計基準に偏りすぎて、ITとか内部統制のことをおろそかにする風潮が長年続いていた。そんな具合ですから、まして会社の内部でそういう人材を探すのは相当に難しい。

正直、人海戦術で3点セットをしらみつぶしに機械的に作るほうが、熟練者は要らないかもしれません。しかし、J-SoXは「重要な虚偽記載リスクの識別」をしなければならないので、それだけでは不十分。J-SoXにおけるトップダウン型リスクアプローチは上場会社の負担を減らすということもありますが、もしかしたら、本質的には「少数精鋭による効率化」といった方がよいのかもしれません。

いずれにせよ、「少数精鋭」を育成するしかない。関係者には、まず、経理、開示に関する最低限の知識は身につけてもらうべきです。それと、ITについても、一般の会計士が理解するのと同じ程度には理解してもらい、外部のIT専門家に具体的に指示し、その結果をきちっと理解して虚偽記載リスクと結び付けて評価できるくらいにはなってもらわなければなりません。

3点セットや規程類の整備、ITの導入のようなことに眼を奪われがちですが、まず真っ先にやらなければならないのは、関係者に経理と開示の知識を持ってもらうための研修を行い、さらに会社の業務全体、会社がどのような仕組みで動いており、どのようなビジネスリスクを抱えているかを理解してもらうことではないかと思います。これからの時代、経営幹部になるためには経理の知識は不可欠。となると、経営者、役員クラスを中心に、人材育成をかねて将来の経営幹部候補クラスにもJ-SoX対応に参加させるとよいのではないかと思うのですが。

久々に八田教授のインタビュー記事を読みました。

ITmediaエグゼクティブ

内部統制部会長八田氏インタビュー：「日本の経営者は何をやってきたのか」

http://executive.itmedia.co.jp/hensyubu/archive/42/0

相変わらず鋭い切り口ですが、今回は、経営者の意識と一人歩きがちのIT業界の誤解への痛烈な言葉が続いています。

内部統制は第一に経営者の目で見た議論でなければならない。と、経営者の意識改革の必要性を述べているのですが、残念ながら、どういう経営者の意識をどう変えるのか、ということがあまり読み取れませんでした。

ここはJ-SoX対応を進める上で最も重要なポイントと、多くのJ-SoX対応担当者や我々のようなコンサルタントが口をそろえるところですが、実は、経営者の意識も千差万別。よくわかっていないというところから、よくわかっているがどうしてよいのかわからない、経営者が自ら他の役員や従業員に内部統制の重要性を語るというレベルまで。それと、経営者自身に当事者意識がなく、経理に任せておけばよい、コンサルに任せておけばよいという安易な認識、法律で決まっているから仕方なしにやるという意識など様々。そしてJ-SoX対応の実質的な責任者になった役員などの悩みもまた多様。それだけに、もう少し突っ込んだコメントがほしかったというのが正直なところです。

一人歩きIT業界のJ-SoX騒動については、実施基準が出た後は少し収まったのか、それともレベルの低い便乗セールストークが淘汰されたのか、最近はそれほどおかしなことを言うところもないようにも思えます。また、IT導入を失敗するとJ-SoX対応ができなくなるというネガティブキャンペーンもあり、J-SoX対応にはIT導入が必須などというのは、全般統制関連を除いては言われなくなってきたのでは。

財務報告における重要な虚偽記載リスクとそれを低減させる統制上の要点（キーコントロール）などという概念と、IT統制におけるコントロール目標の関係について、導入対象となる企業に関してきちっと理解、把握できるIT系企業というのがどれほどあるのか。とまじめに考えると、そこをやってくれるコンサルなり会計士がつかないと自社製品の導入も難しいのではないか、と考えるIT企業が出てきてもさほど不思議ではないと思います。そうなれば、自然と便乗商法的なものは減ってくるのでは。

>特に気を付けなければならないは、今回の議論は財務報告に係る内部統制にもかかわらず、財務や会計的な知識のない者がITと騒ぎすぎている点だ。日本版SOX法の本来の趣旨であるディスクロジャーを担保するためのITブームではなく、法の要求に直接貢献しない業務の末端部分での議論になっている。

という部分と

>ITを使ってどこまでの深みと広がりを持って内部統制を確保するか、は経営者が判断すればよいこと。人にとやかく言われるようなものではない。最初から重装備なこともやるのは無理だし、必要もない。（中略）制度の趣旨は最低限ここまではやってほしいというものを示すことにある。

という部分に、今回のインタビューの骨子が表れているような気がします。

財務報告に関係しない部分については、あくまでも経営者が自ら判断すればよいことで、制度で強制するようなものではない。財務報告に関係するITについても、身の丈にあわせて最低限対応してくれればよい、ということかと。

実際にITの利用について考えてみると、小規模な企業でもかなり奥が深い問題を抱えているなという気がしています。

実施基準でもそうですし、一般的な内部統制評価というのは、まずデザイン「整備状況」を見て、整備状況が良好であれば運用を見て最終的に有効性を確かめる、という流れだったかと思います。

しかし、会計監査もそうですが、実際に現場で内部統制に関わっていると、運用状況を見ているうちにデザインの問題点が浮かび上がってくるということもあります。特にITのデザインに関してはそう思うことがしばしばあります。

現場（ユーザー）での運用がうまく行っていないシステム、つまり、ユーザーがうまく使いこなせずに入力がなかなか行われなかったり入力間違いが多いシステムというのは、ユーザビリティといわれるような使い勝手の悪さだけでなく、例えば、業務とシステムが合っていないとか、業務改善を前提にシステムを入れたのに、業務改善が行われていないとか、開発時の要件定義における業務とのすり合わせ（ユーザーとの打ち合わせ）が不十分、またはやり方に問題があってやりたい業務ができないといったことがあるのではないか。もちろん、入力担当者が不慣れとか怠慢という場合もあるとは思いますが、現実に処理できないケースはどうするのか。いわゆる「業務がまわらない」というケースです。

理論上はうまくいくはずで、またコントロールもかかっている。デザインは問題ないはず。にも関わらず実際に動かしてみると、いろいろな問題がでてきて、結果的には運用が適切に行われなかったり、コントロールが事実上無効にされてしまうことで内部統制の不備になってしまう。となると、場合によってはデザインから直さなければならないかもしれないということになります。

ということもあるので、あまり「デザイン→運用」という実施基準の教科書的な内部統制評価の順序にこだわらず、会社として問題点をとらえやすければ、運用状況から見てそこからデザインの問題をあぶりだすという方法もあるのではないかと最近思っています。内部監査も、実際の数字や帳票、又はエラーから追っていったほうが業務の流れ、統制活動も現実に起きている管理上の問題点もつかみやすいのでは。

いかがでしょう？

最近、J-SoXで大事なことは「人材育成」だという声が少しずつ増えてきているように思えます。1年前であれば「IT」だとか「文書化」だということだったかと思います。

もちろん、ITも文書化も重要な課題ではあります。しかし、最後は「人」の問題に帰結してしまう。まずは、経営者、取締役からはじまって、組織のすべての人々が主役。そして、それぞれの意識とスキルがすべての根幹にある。逆に言えば、どんなに立派な3点セットを作っても、内部統制を担う人々のスキルが足りなかったり、人手不足で十分に力を発揮できなかったりすれば、それが内部統制の重要な欠陥になりうるということです。例えば、経理担当のスキルが足りず、連結財務諸表を正しく作成できないとなれば、連結財務諸表に係る重要な虚偽記載リスクはきわめて高い。人手不足で期限までに決算作業が終わらず財務諸表が作成できなければ、虚偽記載以前の問題。いずれもまさに「重要な欠陥」です。こんなことありえないと思うかもしれませんが、上場したての新興企業では十分にありうることです。ではなぜ連結財務諸表を提出し、監査を受け、上場できたのか。。。それは、会計士である外部コンサルタントに連結決算を任せていたり、監査法人が監査で検出された誤謬の修正仕訳を作ってあげることで、事実上監査人が作成したのと同じような感じになっているからです。正直、すべての上場会社が自前で連結財務諸表を作成できるのでしょうか？　経理のレベルアップを図るためには、外部からスキルの高い人材を連れてくるか今いる人材のスキルをアップするしかありませんが、優秀な経理マンは慢性的に極度の人材不足。結局、今いる人材のスキルアップを図るしかない。しかし、これにはある程度の時間が必要ですし、独学では難しいかもしれない。

こういう「重要な欠陥」状態を是正するのが一番大変ではないか、と思います。

これとは別に、J-SoXに対応しながら業務フローやRCMを作っていく過程で、経理以外の人材を育成するということも念頭に置くべきかと思います。「財務報告」に係るものに限定されているとはいえ、リスクマネジメントやコントロールの概念を身につけさせることも重要ですし、財務報告以外の目的にもこの考え方は応用できます。それと、財務報告という視点を入れることで、経理以外の社員に金銭感覚を植え付けることにもなるのではないかと思います。今まで、物の動き、伝票の流れとしか見えなかったものが、そこに「金額」の概念が入ってくることで、ずいぶん意識が変わるのではないかと思います。将来幹部社員、役員になる可能性のある候補生であれば、ある程度の経理知識と、物の流れが金額としてどのように把握され、儲けにつながるのかということを学ぶことができると思います。

しかし、外部コンサルタント任せで、形式的に3点セットをそろえるだけでは内部統制のレベルは上がりませんし、人材も育ちません。あくまで、役員、従業員のそれぞれがきちっと理解し、考えて創意工夫を凝らすことが重要です。

私自身も、コンサルとして自分でやった方が早いし楽と思うこともあります。しかし、それは短期的にはよくても、長期的には望ましくありません。そこで、いろいろ言いたいのを我慢して、社員･従業員の方に考えていただくようにしています。

上場準備でも同じようなことがいえますが、その結果、単に資金調達ができるだけでなく、いい人材が確保でき、また育てることができる。しかし、上場してかなりたってしまうと、なかなか人を育てる機会がない。そういう会社にとっては、J-SoXは人材育成のチャンスです。

少々時間がかかっても、人材育成を中心にして作業を進めた方がよいのではないかと思います。

たいして役に立つネタではありませんが、内部統制基準・実施基準の英語版が金融庁から公表されました。

http://www.fsa.go.jp/news/18/singi/20070420-1.html

これは内部統制部会長の八田教授の強い要望によって実現したようです。というのも、「J-SoXはUS SoXと比べかなりゆるいルーズソックスだ」などという間違った評価が国際的に広まってしまっていることに対する危機感の表れということのようです。本家「ルーズソックス」はルーズであってもそれが愛好され広まった。それと同じだと冗句を飛ばしながらも、会計基準を初めとする「日本は特殊」という日本市場に対する誤解をなんとしても解消したいという強い意思が感じられます。

さて、J-SoXの場合には、海外子会社についてそれぞれの国でJ-SoXと同様の制度があって、その対象となっている場合には、「財務報告の範囲」の違いによる影響を除けばその制度による評価結果をそのまま使えることになっていますが、逆のことが認められないということがあれば、日本に進出する海外企業にJ-SoX＋本国基準での評価が強制されることになり、日本市場の弱体化にもつながりかねない。また、日本企業が海外で上場し、進出先でSoX相当の規制があった場合には、J-SoXと進出先の基準で二重に対処しなければならず、負担が増えるということも考えられます。こういうことを避ける意味でも、J-SoXが国際的に見ても遜色ないようなレベルのものであることを国際的にアピールしておく必要があるということです。会計基準のコンバージェンスと同じようなことです。

実は、XBRLも日本の開示制度が国際的に見て遜色ないものであることを示すという目的があります。会計基準、内部統制、そして開示手段であるXBRL、さらに会計監査。これらが国際的に通用するものになることが、日本企業にとってもメリットがあるというのが、金融庁の考え方ではないかと思います。

J-SoX対応を考える上で、最も重要な概念の一つが「重要な欠陥」であることに異を唱える方はおそらくいらっしゃらないでしょう。「重要な欠陥がない＝内部統制が有効」ということであり、この制度が有効な内部統制によって適正な財務報告がなされることを目的としていることから考えても、異の唱えようがないところです。

一方、この概念ほど理解しにくいのもないのではないかという印象を受けます。「基準」では「財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいう」とあり、「実施基準」には、「財務報告全般に関する虚偽記載の発生可能性と影響の大きさのそれぞれから判断される。」「質的、金額的重要性から判断」などといった記述があります。そして金額的重要性や発生可能性の考え方が示されている。5%基準もある。しかし、そもそも影響額を測定することがそう簡単ではなさそうだ。「勘定科目残高×発生可能性」と考えればよいのではありますが。また、全社的な統制の不備の事例を見ると、かなり広範囲な「内部統制の不備」が重要な欠陥になる可能性を感じずにはいられません。

一方、こういう記述とは全く別の視点からの記述があります。

「一般に、財務報告に係る内部統制に重要な欠陥があり有効でない場合、財務諸表監査において、監査基準の定める内部統制に依拠した通常の試査による監査は実施できないと考えられる。」

これと似たような表現は、監査基準委員会報告書第26号や廃止された同20号にもあります。これも一般の人には非常にわかりにくい表現ですが、監査人にとっては何となくその程度がつかめる表現であるといえます。「試査による監査ができない」というのは、営業サイクルであれば極めて異例のこと。通常の監査現場では滅多にお目にかかれないほどひどい状態というイメージがあります。設立まもなく公開準備を始めたばかりの会社とか、経営者が管理部門に対してあまりにコストカットを進めすぎて従業員がばたばた倒れて、経理業務が全くまわっていないとか、そんなイメージです。また、実際に実証テストをやるとエラー（間違い）があまりに多いというのもそうです。ここまでくると、もはや「監査不能」または「リスクが高すぎて監査を引き受けられない」という感じです。そう考えると、実は「重要な欠陥」があり内部統制が有効ではないという評価結果が出される、又は監査人が重要な欠陥を見つけるケースというのはよほどのことで、そんなに多くないのではないかという気がします。

しかし、実施基準等の例をチェックリスト的に使って、全社的内部統制の不備が一つでもあれば「重要な欠陥がある」として「内部統制が有効ではない」という評価が経営者又は監査人によってなされる可能性は少なからずあります。米国はもしかしたらそういう傾向があったのかもしれません。

監査人は、最終的には、「財務報告への重要な影響」という判断基準の他に「内部統制に依拠した試査による監査が可能かどうか」という判断の仕方をするのではないかと思います。

このあたりの考え方を、監査人との間で機会があるごとにすり合わせるとよいかもしれません。

まさに「実務の成熟を待って」という感じなのかもしれませんが、このような中では「内部統制の不備」はできるだけ保守的につぶしておいた方がよいのかもしれません。

皆様はいかがお考えでしょうか？

いま、3月決算監査の真っ最中。毎日会計士が会社にやってきて色々書類を求めたり、質問してきたりしています。忙しいのに面倒くさいし毎度毎度同じようなことやられたり聞かれたりといい加減うんざりすることもあるでしょう。

しかし、J-SoX施行を1年後に控えた今、敢えて申し上げたいと思います。

「監査をしっかり受けましょう！」

どれだけ監査をしっかり受け、監査人と自社の会計処理や内部統制の有効性について意見交換をするかがJ-SoX対応の近道です。そして、監査人から内部統制上の問題点については文書で指摘してもらうといいです。監査人には、会計処理や内部統制に関して重大な問題があった場合には、経営者や監査役等に報告する義務があります。

監査基準委員会報告書第35号「不正への対応」の99項には、次のようなことが書かれています。

「監査人は、不正を防止し発見するための内部統制のデザインと業務への適用に係る重大な欠陥に気付いた場合、速やかに、適切なレベルの経営者、監査役等又は適切なレベルの責任者に報告しなければならない」

100項には

「監査人は、内部統制が存在しない若しくは内部統制が不十分であるために生じた不正による重要な虚偽表示のリスクを識別した場合、又は企業のリスク評価プロセスに重大な欠陥があると判断した場合、当該欠陥を企業のガバナンスに係る監査上の問題点として取り上げる」

と書かれています。同様の記載は監査基準委員会報告書第29号にもあります。財務諸表監査そのものには不正を発見する目的はありませんが、それが重要な虚偽表示に結びつくものである場合には、慎重に対処しなければなりません。

監査基準委員会報告書第25号には、監査役とのコミュニケーションの内容として以下の事が例示されています。

「（３）内部統制に関する事項

・統制環境に関連する重要な問題（経営者の誠実性に関連する問題を含む）

・監査人が発見した内部統制の重大な欠陥

・内部統制に関する経営者の評価、その範囲及び頻度」

これは、J-SoXができる前の平成16年2月に出されたものですが、ここにすでに「内部統制に関する経営者の評価、その範囲及び頻度」と書かれています。つまり、もし、監査人が監査役と協議の上監査役の職務遂行に関連して重要と判断すれば、J-SoXということではなく会社が独自に内部統制を評価している場合に、その範囲等を議論することができるし、重大な内部統制の欠陥について議論できるということです。

また、監査人が、財務諸表監査における統制リスクの評価を行う際に、経営者が内部統制についてどう考えているかを知ることは非常に重要です。もし、経営者の側から監査契約継続の話に絡めて内部統制の議論を持ちかけたとして、監査人が無碍に断るでしょうか？また、担当者レベルであっても、内部統制上社内で問題になっているようなことを監査人に話したとして、監査人はそれを無視するでしょうか？

巷では、監査法人がアドバイザリー契約を結ばなければ内部統制の話を一切しない、というような誤解をもたれている方もいらっしゃるようですが、監査基準委員会報告書に書かれていることは、現行の財務諸表監査の枠内で監査人が従わなければならないことなので、一切の議論、意見交換を拒絶することはできないはずです。J-SoXのHow To的な話はしないと思いますが、内部統制の状況に関する話はすべきなのです。もし、こうしたことなしに監査が行われていたとすれば、監査役は会社法上、会計監査人の監査を相当と認めることができるのでしょうか？

ただし、会社又は経営者としてしっかりと現状を認識し、考え方を持っていることが重要です。それなしに監査人に「どうしたらいいですか？」と聞けば、「自分の責任で考えなさい」といわれるだけです。自分の意見がないままに、監査人に言われたとおりにやればよいというのは最もよくないことですし、最も監査人に敬遠されることだということを肝に銘じておいてください。監査人の助言はうけても、最終的には会社が自らの責任でやり方を決めて実行するというスタンスで望まなければなりません。

さて、いま、前の監査法人から監査契約を打ち切られて次の監査法人が見つからない会社が少なくないような報道がなされていますし、会計士協会からもそのような話が出ているようですが、報酬が安い、会計上の問題点があり前任監査人ともめた、事業上のリスク（ビジネスリスク）が極めて高いにもかかわらず経営者によるリスクの評価及び対応が適切になされていない、若しくは内部統制に重大な欠陥があり内部統制に依拠した試査による監査が実施できないと判断された、などといったことがある場合には、なかなか監査の引き受け手が見つからないということもありえます。内部統制に重大な欠陥があり、是正される見込みがない、経営者に是正する気がないなどといった場合には、監査契約を打ち切られるということも十分ありえます。裏を返せば、監査契約を継続するか否かを監査人が判断する際には、経営者の内部統制やディスクロージャーに対する姿勢、誠実性が大変重要で、それだけに監査人として経営者と内部統制について議論するインセンティブというのは十分にある。また、監査役の意見を聞きたいということもあるでしょう。

そういうことも十分に意識した上で、決算監査、そして来年度の監査契約継続交渉に臨むことにより、監査人とのコミュニケーションがうまくいき、内部統制の重要な欠陥への対応もスムーズに行き、結果としてJ-SoX対応もうまくいくのではないかと思います。

まずは、経営者、監査役が自社の内部統制について現状をきちっと認識すること。そして現状認識について監査人と意見交換すること。これが本質的なJ-SoX対応の第1歩です。

「財務報告プロセスの評価とXBRL」

いかにもこのブログらしいタイトルで今書くべきかどうか迷いました。

しかし、EDINET XBRL化のパイロットプログラムへの参加を促すために、敢えて書こうと思います。

平成20年4月以降EDINETで提出する（つまり、平成20年1月期以降）有価証券報告書の財務諸表本表については、XBRLになる予定です。いまのところ、原則すべての提出会社に求める予定ともいわれています。そうなると、間違いなくJ-SoXにおける「財務報告プロセス」及びその評価は大きく変わってきます。そのことに気づいている上場会社の方はまだまだ少ないと思います。

作成方法も変わりますし、チェックの仕方も変わるはずです。

印刷会社に頼むとしても、今までとは異なる作業が発生してきます。チェックの仕方も、今までのように画面表示なり紙に印刷してチェックするだけでは十分でなくなるかもしれません。実務的にはまだまだわからないことが少なからずあります。

それだけに、本番に近い環境で行われるであろうパイロットプログラムに参加することは、XBRL化された後の財務報告プロセスを構築するのに間違いなく役立ちますし、最低でも不安を解消することには役立つはずです。

パイロットプログラムに参加した上で、本番で勘定科目表示をどうするかを前もって決めておき、企業独自タクソノミを決算前にあらかじめ作成しておけば、決算時のXBRL化の作業は極めて簡単にできるはずです。

TDnetへのXBRLによる決算短信及び添付資料としての財務諸表提出は、少々導入が遅くなるかもしれませんが、EDINET XBRL化に際して表示方法の変更が行われるのであれば、それにあわせて決算短信の財務諸表も変更後の表示で提出することが必要になるかもしれません。決算発表前にあわてて勘定科目の見直しを行うだけの余裕もないですし、従来の科目表記を踏襲するとすれば、XBRL化にはそれなりの手間がかかってしまいます。

そして、財務報告プロセスのみなおし。

平成20年3月期はJ-SoXはまだ適用になっていませんが、任意で「確認書」を提出している上場会社は、その裏づけとして、XBRL化に係る内部統制もきちっと評価する、または、適切にXBRL化されていることを保証することが必要になるかもしれません。しかし、現状ではどのように行えばよいか全く見えてこない。

とにかく、一番忙しい時期にかなりややこしい問題を抱えるよりは、前もってXBRL化の準備をしておいた方がよいと思います。そのためには、パイロット･プログラムに参加するのが一番有効です。

J-SoX対応でそれどころでないという方も多いと思いますが、XBRL化も決して侮れませんし、すべてを印刷会社任せにするわけにもいきませんので、是非注目してください。

EDINET再構築に伴うパイロット・プログラム実施のご案内（金融庁）

http://www.fsa.go.jp/singi/edinet/20070403.html

待望の内閣府令案がついに出たか！と思いきや、J-SoXとは関係ない部分ばかり。資料を読むと、後刻パブコメにかけると書いてありました。がっかり・・・。

とはいえ、金融商品取引法施行令案の方で、関係のある規定があるので、ご紹介します。

資料からの抜粋です。

http://www.fsa.go.jp/news/18/syouken/20070413-3/03-1.pdf

⑥ 有価証券報告書の記載内容に係る確認書を提出しなければならない会社の範
囲は、上場有価証券又は店頭売買有価証券のうち、株券、優先出資証券、株券・
優先出資証券の性質を有する外国の証券・証書、これらの有価証券を信託財産と
する有価証券信託受益証券又はこれらの権利を表示する預託証券・証書の発行会
社とする（改正案４条の２の５）。
⑦ 内部統制報告書を提出しなければならない会社の範囲は、上記⑥と同様とする
（改正案４条の２の７・36 条）。
⑧ 四半期報告書を提出しなければならない会社の範囲は、上記⑥と同様とする
（改正案４条の２の10）。
⑨ 事業年度の期間を３月ごとに区分した各期間のうち最後の期間（第４四半期）
は、四半期報告書の提出義務の対象としないこととする（改正案４条の２の10）。
⑩ 四半期報告書は、各期間経過後45 日以内に提出するものとする。ただし、銀
行、保険会社にあっては、第２四半期については当該期間経過後60 日以内、他
の期間については当該期間経過後45 日以内に提出するものとする（改正案４条
の２の10）。

とのことです。○数字は使わないのがネット上の鉄則ですが、原文の通りにしました。

要は、上場会社だけが対象ということです。

用語、様式、作成方法等は、内閣府令で定められる予定です。

J-SoXにおけるIT統制の評価の切り札とも期待されている経済産業省の「システム管理基準追補版」が確定し、公表されました。

http://www.meti.go.jp/press/20070330002/20070330002.html

パブリックコメントの結果については公表されていないので、どこが変わったのかは細かく読んでみないとわかりません。

今回は、概要版が公表されていますが、その中で

「システム管理基準等を活用している企業が「ＩＴへの対応」を行っていくための「参考情報」として、主要なケースを想定しつつ、それぞれの企業がＩＴ統制をどのように構築し、経営者がその有効性をどのように評価するかについての具体的対応事例集である「システム管理基準追補版(財務報告に係るＩＴ統制ガイダンス)」を策定。」

「本追補版はあくまでもIT統制の構築と経営者による有効性評価までを対象としていることに留意。」

と書かれています。

中小レベルの上場会社ですと、そもそもシステム管理基準そのものを使っていないので、果たしてこの追補版がどれだけ役に立つかはわかりませんが、これを使ってIT統制の考え方をしっかり理解してもらうことで、今まで意識していなかったようなことまで意識して管理できるようになるといったことはあるのではないかと思います。

私も実際にこれを使ってみようと思います。

「リスクが先か統制手続が先か・・・」

実施基準を読むと、まずある業務プロセスについて統制手続をフローチャート、業務記述書、RCMで列挙して、それからこれらの統制手続を経営者のアサーションに照らし合わせて虚偽記載リスクを低減しているかを評価する、といった流れのように思えます。トップダウン型のリスクアプローチといいながら、まるで積上げ式のようです。

しかし、監査をしていると、こういう流れにはどうも違和感があります。監査人が監査をする時には、まず、「監査要点」、経営者の立場からは経営者のアサーションがあって、それを満たすためにはどういう統制手続がどういう状態で運用されていることが必要なのかを想定し、それを実証するための監査手続を適用し、会社の統制手続が監査要点を満たしているかを確かめます。言い方を変えれば、まず、虚偽記載リスクがあって、虚偽記載を生じさせる不正や誤謬がどんな形で行われると想定され、会社がそれを低減（防止または発見・是正）するためにどのような統制手続が必要で、それに対して会社がどのような統制手続を実施しているか、そしてその結果どの程度低減されているか、という見方をするのです。このような見方をすると、プロセスの中でポイントとなる統制手続というのがある程度絞り込まれてきます。そこを重点的に見るのです。ですから、必ずしもすべての統制手続について運用状況まで含めて検討するわけではありません。

一方、すべての手続を列挙して、それに対して経営者のアサーションのどれに関連するかを1つ1つ把握し、運用状況も検討し（チェックリスト方式）、一つ一つの手続が決められたとおりに行われていたとして、その結果を単純に積上げたからといって一連のプロセスの中で内部統制が有効に機能しているとは必ずしもいえない。押さえるべきところをしっかり押さえておかなければなりませんが、このやり方だと、今やっていることをベースに考えるので、本来やるべきポイントとなる統制手続が抜け落ちてしまうかもしれません。また、不正や誤謬は単独の統制手続で防止できるわけではなく、複数の統制手続の組み合わせが必要なことも多々あります。他の業務プロセスまたは他の内部統制目的で行われている統制手続に依存することもありえます。そういうことが見落とされ、まさに「木を見て森を見ず」になってしまう恐れがあると思います。さらに、統制手続の網羅性を重視するあまり、ついついやりすぎになってしまうということも十分にありえます。

もっとも、予想される不正等とそれを防止するための効率のよい統制手続を考えられるのは、監査人に経験、ノウハウがあるからで、一般の人はそれができないから積み上げでいくしかないし、その方がたとえ少々力作業が増えても楽、という見方もあるでしょう。創意工夫を凝らしてJ-SoX流をやるよりは、US-SoX流にとにかくマニュアルどおり、チェックリストどおりに力作業をやった方が楽、という考え方もあると思います。しかし、それで本当にそれでよいのか。社内のベテランであれば、経験上どこが危ないかすぐにわかるはずです。日本の経営陣はおおむね生え抜きですから、長年の経験で、どういうことに関するリスクなのかさえきちっと理解していれば、そのリスクがどこにあるのかはわかるはずです。そして、リスクを低減させる方法を知っています。にもかかわらず・・・。3点セットを形だけ作ることで構築･評価が終わったなどと考えずに、リスクを識別し、その低減策をきちっと講じる事が大切でしょう。3点セットを作成する際にも、漫然と現状作業を文書化するのではなく、重要な虚偽記載をもたらす不正、誤謬及び統制環境、さらにビジネスそのものに内在するリスク、これを低減させるうえでのコントロール目標を常に意識することが大切です。個々の統制手続というよりも、それが組み合わさって全体としてどのように虚偽記載リスクに対応しているかが重要です。内部統制デザイン（整備状況）の評価はできるだけ大きな視点で行うことがポイントです。

財務報告の信頼性を確保するための内部統制目的というのは、言い換えれば、財務報告に係る重要な虚偽記載が発生するリスクをいかに低減するかという「リスクの評価と是正」の一つの適用例であるような気がします。ですから、リスクの内容について正しく理解していない、評価の仕方を知らないと、正しい評価、是正措置を講じることができません。「やっているかやっていないか」ということをチェックリスト的に判断することは誰でもできますが、そもそもやっていることがリスクに対して有効なのか、を判断することは意外と難しいかもしれません。そこをどうやって会社にわかりやすく説明して、ポイントをはずさずに内部統制評価を行うか、それが我々の課題です。

日本公認会計士協会の機関誌「会計・監査ジャーナル」4月号に、「内部統制実施基準の公表をめぐって」という座談会が掲載されています。

内部統制部会長の八田教授、金融庁総務企画局企業開示課長の他、実施基準の作成にたずさわった企業の代表、そしてJICPA機関誌らしく公認会計士が参加しています。

内部統制に関しては、すでにいくつかの座談会記事が雑誌に掲載されているようですが、この座談会で特徴的なのは、なんといっても、監査人のかかわりについて多くの紙面を費やしているということです。

「監査人が保守的で、何もしてくれない」という不満の声が企業側から出ているという話を聞きますが、経営者と監査人のコミュニケーション、つまり、監査人としてどう対応すべきかということと、経営者として監査人とどう折り合いをつけながらこの制度に対応していくか、ということに対する当局及び企業会計審議会の考え方というのが、この座談会の議論から読み取ることができます。また、監査人の判断が保守的で、企業に過度な負担を求める結果になったという米国の失敗例を踏まえた我が国としてのあるべき対応というものも述べられています。

テクニカルな話ではありますが、財務諸表監査と内部統制監査の関係を実務的にどう考え、監査手続を実施するか（いわゆる統合監査）、という点についても言及されています。大枠はすでに実施基準で示されているのですが、今後、JICPAから内部統制監査に関する指針が出るようなので、それを読んでみたいと思います。

「監査人が何もしてくれない」のには、いくつかの理由があると思います。例えば、

・忙しくて手が回らない

・ただ働きはしたくない（別途報酬をくれればやる）

・監査人の独立性という法令上の要請

・「会計士の言うとおりにやった」という経営者の責任逃れに使われたくない

・監査の手の内を会社に見破られたくない

・内部統制のこと、とりわけITのことがよくわからず、指導できない

しかし、現に、監査人はビジネスリスクアプローチによる財務諸表監査をやっていて、内部統制（統制リスク）の評価を含む、重要な虚偽記載リスクの評価を行っているわけで、その結果を踏まえて監査手続を実施している。つまり、どのような監査手続を実施しているかを見れば、どこに重要な虚偽記載リスクがあると監査人が判断しているかがわかるわけです。つまり、企業側が監査を受ける姿勢を変えて、監査について監査人と積極的に意見交換をすることによって、内部統制制度の最も重要なポイント（トップダウンのリスクアプローチ）を押さえることができ、その後の対応作業を効率的に行うことができるのです。このことは、監査人にとっても、統制リスクを含む監査リスクを低減させ、監査をより深度のある効率的なものとしていく上でとても有用なことです（内部統制のことがよくわかっていないで監査をしているというのはそもそも論外なので、理屈としてはありえないのですが・・・）。

もうじき3月決算。経営者や経営部門、J-SoX対応部隊でまずできることは、決算作業をやりながら問題点を洗い出していくこと、そして監査の中でどこが自社のJ-SoX対応のポイントなのかをつかむことです。それなしには、いかなる作業もすべて無意味になってしまいかねません。

ただし、監査人は決算手続については、あまり内部統制を評価していません。内部統制に依拠するよりも直接、監査人自身が監査証拠を入手して（例えば自ら計算チェックや元資料との突合を行う、残高確認で実在性をチェックするなど）、心証を形成することが多いのです。とはいえ、連結子会社の数が多い場合などの連結監査では、内部統制に依拠した試査も行われているかもしれません。会社としては、監査人がやっているようなことを事前に企業自身が行っているか、という視点で監査人のやっていることを見ていただければと思います。

そんなことをこの座談会記事で是非ご理解いただき、監査を内部統制改善に役立てていただきたいと思います。

気象庁のサクラの開花予想がプログラムミスで間違っていたとのこと。

http://www.jma.go.jp/jma/press/0703/14c/sakura2007_wng.html

気温データから統計的に開花予想するプログラムのようで、実際につぼみの状況を見ているわけではないようです。

さて、J-SoXでIT統制の評価を行おうとしている方は、これを聞いてどのような印象をもたれましたでしょうか？

・プログラムのチェックが不十分だった（開発の内部統制の不備）

・データの連携に問題があった

・出て来た結果のチェックが甘かった

・モニタリングが不十分であった

気温データを手入力するのであれば入力ミス、気温を把握する統計システムから気温データを取り込むのであればシステム間の連携に係るプログラムなどのミスですが、そこのあたりはわかりません。おそらく自動的に取り込んでいるのではないかと思いますが。

となると、根本的な問題は「プログラムのチェック」ではありますが、複雑なシステムですべてのバグを最初からすべて洗い出すことは難しい。となると、運用段階でいかにバグが原因と思われる異常な結果を見つけ出し、プログラムを修正するか、というのが実務上は重要なポイントになるような気がします。

全件、または無作為サンプリングで抽出して再計算する方法もありますが、人間が目で見て感覚的におかしいなと思うようなものを抽出して再計算する方法もあります。今回の場合、いくら暖冬だからといっても早すぎる。しかも、他のところよりもかなり早いとなると、明らかにおかしいと思った方も少なくなかったはずです。やはりそういうところは再計算してみるのが当然です。コンピュータだから間違うはずがないという意識があったのかどうかはわかりませんが、IT統制としては極めてまずい。人間の経験値と感からして異常であることを認識した上で、やはり、再計算するなり実際につぼみを見て最終結論を出すといったことが必要だったのではないでしょうか。

これを財務報告の信頼性に関連する情報システムに置き換えてみれば、例えば、在庫や売上の異常値を部門長なり経営者が見て、おかしいと思えば、情報システム部門に調査を依頼するといったコントロールが機能していないということになります。監査人として棚卸立会を行う際には、例えば倉庫の責任者に「ここにはどのくらいの金額の在庫があるのか？」とか「今回は多いのか少ないのか」など聞いてみます。そうすると、経験豊富で、しかもきちっとマネジメントができている場合には、帳簿を見なくても、現物を見ればおおよその金額がわかるものです。逆に、帳簿を見て「こんなに多いはずがない」とか、在庫と帳簿を比べて一目で「おかしい」と気づきます。

こういうことって、内部統制においてとても重要なことです。そうやって常にITに起因する異常を識別できることは、ITのレベルを上げることにつながり、内部統制のレベルも上げます。

中小規模の会社においては、開発が外部業者任せになり、かつ、情報システム部門がプログラムを一つ一つチェックするだけのリソースも時間もノウハウもない。となれば、出て来た数字を見て、現物などと比較（棚卸、残高確認など）、是正するか、経験則から異常値を見つけてそこを開発会社の協力も得ながら重点的に調べて、その結果に基づき改善する、といった統制手続というのもありえます。

要は、状況によって色々できることはあるので、システム管理基準や実施基準に書かれている例示の通りにできないからといってあきらめないこと。ダメだと決め付けないことが重要なのです。創意工夫です。

今日は、東京証券取引所でＸＢＲＬシンポジウムが開催され、その中で八田進二教授の内部統制に関する講演がありました。基本的には内部統制基準の解説なのですが、そのなかで、米国ＣＯＳＯ及びSoX法と我が国の制度との比較を様々な比喩で繰り返し述べていました。

なかでも面白かったのは、「内部統制の本がたくさん出ているが、そのうちの80％は米国ＳｏＸ法に関するもの。まさにあるある大辞典だ」というもの。日本版SoX対応といいながら、米国ＳｏＸのことを書いているが、日本版と米国版は違うので、米国版の説明をしているにもかかわらず日本版SoX解説だというのは「あるある大辞典と同じ」だというのです。

また、日本版SoXは米国版に比べてルーズだといわれているが、それをファッションにたとえてルーズはルーズでデザインとしては受け入れられており、むしろそういうのがおしゃれといわれているとかいう表現もありました。

そんな皮肉めいたことはともかく、やはり、企業の創意工夫の重要性を繰り返し強調していました。また、重要な評価範囲の目安である2/3については、もし会社が1/2で十分と考えるならそれはそれでいい、とまでおっしゃっていました。リスクがないまたはきわめて低いとわかっていれば、評価の対象にしなくてもよいということです。逆にリスクが高ければ2/3では不十分かもしれない。リスクアプローチというのはそういうことです。「木を見て森を見ずにならないように」ということもおっしゃっていました。

金融庁の企業開示課長も、現在の内部統制騒動には重大な懸念を持っているようでした。情報に振り回されず、実施基準をしっかり読んで自ら考えることの重要性を八田教授は改めて強調していました。

J-SoXの特徴の一つに、「トップダウンによるリスクアプローチ」というのがあることは、どなたでもご存知かと思いますが、果たしてその意味をきちっと理解し、J-SoX対応の中でいかそうと考えている人がどれほどいるのか。

トップダウンによるリスクアプローチといってまず思い浮かべるのは、「効率化」「コスト削減」「評価対象事業の選定」。そして、「全社的統制」と「サンプリング範囲の縮小」。それはそれで間違っていないのですが、何か大事なことを忘れていないか。

J-SoXで一番大事なことは、いうまでもなく、財務報告の重要な虚偽記載のリスクを低減することです。では、「財務報告の重要な虚偽記載」というのがどういうことで、何を原因として起こりうるのか。それを有価証券報告書を見ながら経営陣や幹部社員の間で考えたことがあるでしょうか？財務報告は財務諸表本表だけでなく、注記、付属明細表、その他有報の財務諸表に関係する記載に広がっています。そして、それらについて、あるべき姿に対してどのような状態であるのが「重要な虚偽記載」なのか。

「重要な虚偽記載」は、監査対象となる財務諸表等であれば、まず監査報告書で不適正意見が表明される。それ以外では監査証明がつくわけではないが、訂正命令や課徴金などの処罰が待っている。そして、特に重要性が高く悪質な場合には上場廃止になり、最悪企業の存亡にも影響を与える。そういう性格のものだという認識をきちっと持つべきです。粉飾決算とはいえない大株主の状況及び財務諸表注記の一つである関連当事者取引の記載誤りですら、重要な虚偽記載として上場廃止の原因になりうるのです。

重要な虚偽記載は誤謬によってのみ生じるのではありません。意図して行われる、いわゆる粉飾決算もあります。自社で考えられる粉飾決算の手法にはどんなものがあるでしょうか？会社ぐるみの粉飾でなくても、重要な部門での売上水増しなどの粉飾の手法にはどんなものが考えられるでしょうか？それを考えてみてください。そして、現実に起こりうる可能性の高い、または実行しうるものについて、すべてその道をふさいでおく。経営者自身も、自ら一切の粉飾の手法を封印して、使えない状態にする。仮に使えたとしてもすぐに発覚するため、事実上使えないような状態にしておく。そして監査人がそういう状態であることを確かめる。J-SoXの本質というのはそういうことです。これは、当たり前のこと、やさしいことのように思えますが、業績不振なり業績向上のプレッシャーの高い企業の経営者にとっては相当な覚悟が必要でしょう。それでもやらなければならない。やったふりでは、内部統制報告書の虚偽記載になり、これ自体で上場廃止に追い込まれるかもしれない。

これをやらずに、事業単位ごとの末端の業務プロセスでの統制活動にのみ気をとられて、RCMを山ほど作っても、重要な虚偽記載のリスクは浮かび上がってきません。細かいリスクを積み重ねたら重要な虚偽記載リスクになるということもありますが、金額的、質的に重要な虚偽記載というのは、過去のケースを見ても、業種固有のリスクを考えれば、ある程度本社レベルで察しがつくものです。そういうものは確実につぶさなければなりません。逆に末端ではそういうリスクは識別できない可能性があります。中小規模の上場会社であれば、まず間違いなくそれは可能でしょうし、大規模な企業でも、事業部門なりセグメント別に考えれば、ある程度浮かび上がってくるはずです。事業部なりセグメント別の財務諸表レベルで、実在性、網羅性、期間帰属等の要点（経営者の主張または監査要点）に照らし合わせてどのような虚偽記載リスクがあるのかを考えてみればよいのです。たとえば、「架空売上」「先行売上」「架空在庫」「簿外取引」といったリスクは、個々の業務プロセスのリスクを評価しなくても、ある程度思い浮かぶでしょう。粉飾の手法は業種によって異なると思いますが、それをある程度想定した上で、個別のプロセスの評価に入っていくことが大事なのではないかと思います。

トップダウンによるリスクアプローチというのは、単に評価範囲を狭めてコストを下げるということではなく、経営者自身に起因するものも含め、経営者レベルで重要な虚偽記載リスクを確実に識別し、そこから各業務プロセスにブレークダウンし、それを確実につぶしていく、ということでもあるのです。言い方を変えれば、「木を見て森を見ず」にならないための手法なのです。

現場任せで個別業務の個別のプロセスのリスクを評価してRCMを積み重ねてボトムアップでリスクを評価するだけでは、J-SoXに従っているとはいえません。もちろんやって悪いことはありませんが、それだけでは不十分なのです。トップダウンのリスクアプローチによっていなければ、監査人の内部統制報告書に対する監査報告書は「不適正」になる可能性があります。このことに注意して、もう一度、経営陣で「重要な虚偽記載リスク」を考えてみましょう。そして、監査人としっかりディスカッションして、虚偽記載リスクに関する問題意識を共有しておきましょう。それをやっておくだけで、監査人の心証は格段によくなりますし、その後のJ-SoX対応への協力も得られるようになるでしょう。

いわゆるJ-SoX法、内部統制評価制度に関する意見書が承認され確定された企業会計審議会総会の議事録が金融庁ホームページで公開されました。

http://www.fsa.go.jp/singi/singi_kigyou/gijiroku/soukai/20070215.pdf

上場会社の方にも監査人の方にも是非目を通しておいていただきたい内容です。

細かい中身について議論がなされているわけではありませんが、制度の骨子や運用上の考え方についての議論がなされています。

八田教授から、制度の趣旨等について簡潔な説明がなされていますので、当日の配布資料とあわせてご覧いただければと思います。

http://www.fsa.go.jp/singi/singi_kigyou/siryou/soukai/20070215.html

内部統制部会でも出席者から質問が出されていましたが、

・内部統制に重要な欠陥があり、内部統制報告書上内部統制が有効ではない、とされた場合の財務諸表監査との関係、上場廃止基準等との関係

について、確認の意味で議論がなされています。内部統制の重要な欠陥があることをもって、それが財務諸表監査における不適正意見につながるとは限らないということなのですが、財務諸表監査における不適正意見は、上場廃止につながるところから、経営者の方もかなりナーバスになっている。そこで、誤解がないように、ということです。

・重要な欠陥の判断基準としての重要性（５％）について、その数字が一人歩きしないようにということも議論になっていました。利益が100億円あるときの５％は5億円ですが、それがたまたま1億円しかない事業年度では500万円の影響でも重要な欠陥になる、ということがあるのかというようなことなのですが、監査人との協議次第ということのようです。しかし、財務諸表監査における重要性基準値は、普通は監査法人は被監査会社には絶対開示しない。果たして協議ができるのか、ということは実務的には課題になると思います。

・監査人が過度に保守的にならないよう、趣旨を現場の会計士に周知徹底する必要性、及びこれに対するJICPAの対応などについての意見交換もなされていました。

・今後、内閣府令、ガイドライン等で明確にする部分もあるそうですが、それでも足りないということであれば、Q&Aの作成が必要か検討するとのことですが、一方であまり細かく決めすぎて運用できないといったことがないようにという配慮もあるようです。

とにかく、米国SoXの反省を踏まえて作られたJ-SoXですが、これを監査法人が提携先のSoX対応マニュアルをそのまま使って監査するなどということになると、米国SoXの悪い点がそのまま踏襲されてしまい、かつ、日本の法制度に合致しないなどということも起こりえます。監査法人において、どこまでJ-SoXに対応したマニュアル、ツールの開発・カスタマイズ・運用が行われるか、ということも今後の注目点であり、さらに、日本公認会計士協会の監査人向け実務指針がその最低限のラインを示すものになるのではないかと思います。

しばらくは、JICPAの動きに注目したいと思います。

「ITへの対応」のいきさつはわかった。今までやるべきことをちゃんとやればいい。いままでもある程度やってきたはずだから、そのレベルを上げればいい。。。

と関係者はおっしゃる。

とはいっても、小規模上場会社では現実問題やるべきことがなんだかわからないし、どうしてよいかもわからない。。。システム監査基準や管理基準を読んで理解できるようなシステム監査の専門家など社内にはいない。情報システム部門は２～３人しかおらず、職務の分離などできるわけがない。開発担当が運用してはいけない。理屈はわかる。しかし、社内で開発するわけでもなし、そんなに社内に人員を抱えるわけにはいかない。アウトソースすればしたで、厄介な委託業務の評価がある。とてもじゃないが対応できない。「企業の実態に合わせて」とはいっても、今までのままでよいと監査人が判断してくれるとは到底思えない。だからといって、監査人がどうすればよいかこと細かくアドバイスしてくれるわけではない。まさに八方ふさがり。

ということで、何かすぐにできることがないか考えてみる。

ポイントは、重要な欠陥となりうるような不正や誤謬、データの改ざん・破損・欠落、会計に関係する業務のボトルネックをまず探すこと。以前会計監査で指摘された事項や監査を受けていて、いつも資料の出が遅いとか、会計士に監査がしにくいと文句を言われるところなどは、内部統制としても問題となる最悪重要な欠陥になる可能性が高いところです。次に、これらに関連して手続や業務分掌、決裁基準等が文書化されていないところを探すこと。そして、優先順位を決めた上でスケジュールを立てて改善に取り組むこと。ではないかと思います。

注意すべきは、ITだけで考えないこと。完全に自動化された統制だけではなく手作業での組み合わせでの統制、そして手作業だけの統制も視野に入れることです。中小規模の企業こそ人手による相互牽制が働きにくいということもあり、システムに自動化された統制をより多く入れるべきだという考え方もあります。しかし、それでは融通が利かず顧客ニーズに対応できず業務がまわらないとか、開発コストが負担できないといった理由から、手作業による統制が中心ということが実際には多いのでは。また、中小規模の企業では、必ずしもシステムが統合されているわけでもないので、財務情報の信頼性に影響を与えるシステムを対象にするということで、関係するシステムを業務処理統制の側から洗い出すというのも手でしょう。

これらは、具体的には業種によっても会社の規模によっても社風によっても異なりますので、一概には言えません。とはいえ、会計監査をやっていて、こんなところは気になるというのはありますので、思いついたものを徐々にここでご紹介していきたいと思います。

はじめに

昨日、みすず監査法人が重要な記者発表を行いました。このことが各社のJ-SoX対応にどのような影響を与えるのかは気になるところではないかと思います。ただ、実施基準がある以上、監査法人によってやり方が大きく変わることはないと思いますので、評価の範囲や重要性に関する判断を除き、あまり心配する必要はないのではないかと思います。いずれにせよ、今度の3月決算の監査をしっかり受けること、その中で発見された問題点（会計上の問題及び内部統制上の問題）は先送りせずきちっと対応しておくこと、そして何より企業自体が主体的にJ-SoX対応に取り組むことが重要ではないでしょうか。

それでは今日の本題に。。。

どうして、システム監査が盛り上がらないのか・・・。

J-SoX（厳密にはJ-COSOといったほうがよいかもしれませんが）の中で、ひときわ存在感があるのが「ITへの対応」。当初の関係者の思惑を超えて一人歩きしている印象があり、IT業界では「J-SoX特需」ともいえる状況。八田教授などがしばしば「誤解」として戒めるような場面も見られます。ところが、内部統制評価制度のキーとなるべきシステム監査の話題というのは意外と少ないように思えます。「システム監査部門を大幅に増強した」「システム監査に関する資格取得、研修等人材の育成を始めた」といった声も監査法人以外ではあまり聞こえてきません。人手不足の中でこれ以上忙しくなると大変だから宣伝しない、といった理由もあるのかもしれませんが、全般統制ソリューションビジネスがこれだけ盛り上がっている中で、どうしてこういう状況が起きているのでしょうか？

もちろん、システム監査と今回の内部統制評価制度におけるIT統制の評価とは、目的、対象となるシステム等で違いがあります。システム監査は財務報告に関係ないシステムも対象として効率性も重視するのに対し、内部統制評価制度におけるIT統制の評価は、あくまで財務報告に関連するシステムを対象に効率性より有効性が重視されるという違いはあるものの、必要とされるスキルというのは財務報告に関係するシステムに関してより深い理解が必要ということを除けば、なんら変わるところがないはずです。

そんなことも含め、「ITへの対応」というのが第6の基本的要素になるに至った関係者の思いというのを私なりに考えてみようと思います。

１．「IT統制評価」の歴史を紐解く

（１）コンピュータが会計業務に用いられて以来、監査人によるITの評価は行われている

財務報告に係るIT統制の評価というのは、実はすでに半世紀近い歴史があるようです。システム監査の歴史より古い。1950年代から60年代にかけて会計業務にコンピュータが使われだすと、監査人は、コンピュータ化が監査にどのような影響を与えるかを考え出し、徐々にシステムの評価を始めます。我が国でも日本公認会計士協会（JICPA）が昭和40年代はじめ頃から研究を始めていたようです。そこから始まってやがてシステム全体に、そして、財務諸表監査という領域を超えて経営の視点からシステムの信頼性、安全性、有効性、効率性などを評価し改善するといったいまの内部監査としてのシステム監査へと進化していく。そんなこともあって、システム監査の手法やシステム監査基準には、会計監査のノウハウがかなり移植されており、システム監査基準･管理基準やCOBITの策定にもかなりの公認会計士が深く関わってきています。一方、監査人による財務諸表監査における内部統制評価の一環としてのシステム評価というのはこの間ずっと続けられており、JICPAもそのためのガイドラインや手続書を出し続けてきました。遅くとも1980年代初めには、現在と同じような評価の指針が出来上がっています。私が監査法人に入った20年位前に習ったシステム評価の基本的な考え方は、今でも十分通用します。しかし、実際の監査現場ではどの程度システム評価が行われていたのか。また、企業におけるシステム開発や運用の現場で、システム監査が重視する考え方というのがどのくらい取り入れられてきたのか。そこに、「ITへの対応」という基本的要素が登場したカギがあります。

（２）しかし、我が国では、なかなか浸透しなかった

監査の現場では、一部の大規模な企業、ITに関し先進的な考え方を経営者が持っていた企業を除き、つい最近までシステムは「ブラックボックス」として内部統制評価の範囲からは外れていました。多くの場合、何の評価もせずコンピュータは間違いを起こさないものという前提でそこから出てきた帳票を監査で使っていたり、紙の帳票を電卓で検算したり入力チェック用のリストと元の伝票等をあまりに少ない件数チェックすることで済ませていました（これもインプットとアウトプットを照合するという立派な評価手続の一つではありますが、仕組みはブラックボックスのまま）。しかし、パッケージソフトではなく自前のシステムが中心だった時代には、プログラムのバグは当然ありますし、新システムを導入すると最初は必ずトラブり、経理担当者が怒りまくっていた、ということは決して珍しくなく、監査人もそれはよく知っていました。つまり、コンピュータであっても間違いはあるということは知っていたのです。にもかかわらず、ブラックボックスをブラックボックスにしたままにせざるを得ずに最近まで来てしまった。そこには以下のような事情や考え方があったのではないかと思います。

【経営者、会社側の意識】

・コンピュータに入っているデータやプログラムを外部の人間に見られたくない、触られたくない（壊されたらどうしよう）

・システム監査と財務諸表監査におけるシステム評価の混同（どうして会計監査でシステム監査をやらなければならないのだ？関係ないのではないか。期待された効果（期待ギャップがある中で）が上がっていない等）

・システムは業務が効率化できればそれでよいのであって、下手に「コントロール」機能など入れるとコストがかかり業務効率がかかる。そういうことを監査人からうるさくいわれたくない

・会計士に何がわかる！

・監査報酬を安く抑えたい（余計なことをされて報酬を多く払いたくない）

【監査人側の意識】

・コンピュータのことはよくわからない。わかる人間がいない。我々は会計士なんだからコンピュータのことはわからなくていい！

・下手にいじって壊したらどう責任を取るのだ

・コンピュータは会社または開発会社に任せておけばよい。ITについて責任を負わされたくない

・報酬をもらえないことはやりたくない

・インプットとアウトプットを何件かチェックしたり、コンピュータがまともに動いているかを経理部がチェックしているかを確かめればそれで十分なのではないか

・ITを高度に利用していないと理解し、IT統制に依拠しない監査（実証テスト中心の監査手続）を実施したという説明をすることで何とかなるだろう

こうした環境の中で、「報酬が取れないからやらない→やらないからできるようにならない→人材開発の遅れ→ますますできなくなる」という悪循環が何十年にもわたって続いていたのです。ある大手監査法人は、新人へのシステム監査研修を数年にわたってやめてしまうなどという、いまから思えばとんでもない過ちを犯してしまいました。

また、監査の中でIT評価を行っていた会社でも、会計士と非会計士のシステム監査担当者のコミュニケーションがうまく取れずに、目的の共有が必ずしも十分になされていないままに行われ（つまり通常のシステム監査のノリで行われ）、IT統制の評価結果がその後の監査手続に生かされないといった問題もあったようです（この問題は後日取り上げたいと思います）。

（３）関係者の危機意識と「ITへの対応」への流れ

◇IT利活用の高度化

ところが、いわゆるe-Businessが普及したり、コンピュータを高度に活用する、さらにリストラなどによる人員不足でシステムの問題点があちらこちらに見られ、それが財務報告の信頼性にも影響を与えてきたり、ペーパーレスが進むことで、もはやインプットとアウトプットを突合する方法または実証性テストだけでは対処できないといった問題がでてきた。

◇監査基準の国際化と監査人によるIT統制評価の重視

監査基準は国際的な監査品質を目指しリスクアプローチに変わり、その中で内部統制の評価（統制リスクの評価）というのが今まで以上に重視されるようになる。そして、JICPAの監査基準委員会報告書の中にもIT評価に関して明記される（IT委員会報告第3号というのは、もともと監査基準委員会報告書を補完するもの）。これは、ITを余り使っていないケースを除き、原則としてIT統制の評価を行わなければならないというもので、これに違反すれば、監査基準違反になるという性格のもので、かなり強制力があります。さらに、国際的にもシステムの評価をきちっとするようにという圧力が提携先の会計事務所から日本の大手監査法人にかけられる。米国でSoX法導入が決まり、PCAOBの監視下に大手会計事務所が入ってからは、その傾向にますます拍車がかかる。

この時代、一般的に「情報の信頼性」を確保するために「情報システムの信頼性」を確保する必要があるという認識が徐々に広まり、その一つとして「会計情報の信頼性」を確保するための「会計情報システムの信頼性」を位置づけるという考え方もでてきました。IT委員会報告にもこのような考え方が垣間見えるはずです。

◇個人情報保護法施行などによるセキュリティ意識の高まりとIT統制

さらに個人情報保護法施行やインターネット周りの事故によってセキュリティに関する企業の意識はものすごく高まった。そして、それに便乗する形で、何とか監査人によるIT統制の評価を軌道に乗せようという考え方もありました。会計監査でもJ-SoXでも、あくまで財務報告に関係するIT統制に評価範囲が絞られるのですが、個人情報保護等に関するコンプライアンスへの対応というのがどこまでどのように関係するのか、というところはかなり慎重に考えなければなりません。「個人情報保護→セキュリティ→全般統制」という流れもありますし、企業内の会計情報には個人情報がかなり含まれているということもあり、財務報告に関係するIT統制にも直接、間接に影響があることは間違いない。しかし、余り範囲を広げてしまうと監査人としてもやることが増えすぎ、また、会計監査の一環としてのIT統制評価といわゆるプライバシー監査が企業側から混同されてしまい、個人情報保護というコンプライアンスの問題に監査人が責任を持たざるを得なくなる危険があるのではないか、という点から、個人情報保護への対応との関係はかなり限定的に考えられているのではないかと思います。実施基準の中でも個人情報保護法との関連は、例示としてとりあげられていないのではないでしょうか。

◇ついにJ-SoX。そしてIT統制の整備が経営者の義務に

このような状況下においても、主として監査人側の人材不足と報酬の問題（これは裏を返せば経営者の意識）から、なかなか会計監査におけるIT統制の評価は進まない。この段階で、今回のJ-SoXに関わっている人々で実態をよくわかっている人達は、IT統制ということに関し、かなりの危機意識を持っていました。このままでは国際的水準からどんどんおくれを取ってしまう。そして、虚偽記載を監査人が発見できなくなる。いままでどおり監査人側からだけいくらやれといっても、経営者の意識が変わらない以上、限界がある。そう思ったのではないでしょうか。そこに、有価証券報告書の虚偽記載事件が続発し、ついに、ＩＴ統制を初めとする内部統制に関する経営者の責任を明確にし、経営者自身によって整備、評価することが義務付けられるに至った。そして、最も危機的な状況にあるIT統制に関する経営者の意識を何が何でも変えてもらう必要がある。ということで、「ITへの対応」という基本的要素を明記したという流れではないかと思います。

２．「ITへの対応」のねらいをどう理解すべきか

企業、または経営者にすれば、いきなり言われたような感覚になっているかもしれませんが、歴史を紐解くと、昔からずっと同じことが言われていたのを真摯に受け止めて対応してこなかったツケがいまになってまわってきた、ということに他なりません。「今までもやっておくべきだったあたりまえのことをあたりまえにやってもらえばいいだけで、目新しいことは何もやる必要はありません」というようなニュアンスのことが関係者から聞かれるのには、そういう背景があります。

業務効率性（といおうか省力化）重視で、情報の信頼性を確保するとかコンプライアンスとかいういう視点からの「コントロール」機能、特に業務処理統制をおろそかにしてきたことに対して、意識の転換が求められているのです。こういう意識の企業では、全般統制についてはもっとお留守になっている可能性もあり、そうなると、改善すべき点はかなりなボリュームになってしまう。

もちろん、従来から財務諸表監査の中で監査人によってきちっとしたIT統制の評価が行われていたり、企業が自らシステム監査を導入しており、コントロールという点にも十分に気を配ってきた企業というのは少なくありません。ITを十分活用して利益を上げてきたような会社、例えば、小売業でも単品レベルで商品を管理して不良在庫を作らないような管理をしてきた会社では、「情報の信頼性が命」なので、システムも運用もコントロールを非常に重視してきています。ただ、そういう企業でも、IT全般統制のところではまだまだ弱点が見られる。情報システム部門の人員削減やシステムの分散化、外部委託利用の増加などというのも、全般統制に影響を与えます。

また、「システム監査」的な発想を持った人材を真剣に育ててこなかった監査法人、IT業界は、この機会に人材の育成を考えるべきでしょう。IT業界で「実施基準だけでは何をしていいのかわからない」などという声が出ているという記事もよく目にしますが、システム監査経験者であれば、やるべきことは明らか。ただ、目的とするところの重点が若干違うので少々対象が狭くなるだけ。そして、どの程度やればよいかの加減も難しいという程度で、何をしていいかわからないということはないはず。IT業界が「J-SoX対応ソリューション」を提供するのであれば、そのチームの中に一人はシステム監査的な発想を持ったメンバーを入れておくべきでしょう。

実施基準やシステム管理基準追補版の作成に関わったメンバーを初めとする、J-SoX基準に関わるメンバーには、このような歴史的背景及び意識があるのだということを知った上で、「ITへの対応」の真の狙いというものを理解し、適切な対応を取っていただきたいと思います。

さて、この記事にはもう一つ面白いなと思うソフトウェアのことが書かれていました。

「財務諸表などの作成にMicrosoft Excelを利用する部署に対して，Excelの操作履歴や計算式の変更履歴などを記録するソフト」

【NET&COM2007】Excelの変更履歴を取得する内部統制支援ソフトが参考出展

http://itpro.nikkeibp.co.jp/article/NEWS/20070207/260986/?ST=newtech

米国SoX法が施行された当初、Microsoft Excelがかなりたたかれていました。というのも、かなり重要な業務に使われているにもかかわらず、改ざんリスクなどさまざまな問題を抱えていたからです。Excelを利用している業務の評価に関するチェックリストなどというものも作られ、かなりの項目がありました。このソフトは、おそらく、そういうことを意識したのではないでしょうか。

我が国でも、特に上場準備中や上場して間もない新興企業では、資金的な問題や業務が頻繁に変わることから本格的なパッケージソフトを入れることに抵抗があり、Excelをかなり広範囲に用いているようです。決算業務のみならず、売掛金管理や現金出納管理など基幹業務にまでExcelが使われている状態で、これでは監査するほうとしては非常にリスクが高い。まず、どれが本物または現在の最新版なのかがわからない。監査をしていて途中で修正が入った場合にも、バージョン管理が難しいために、一度直したものが元に戻ってしまったりということもあります。履歴が残っておらず、監査日現在の状況をリアルタイムで把握することができても、期末日時点の状況がさかのぼってわからない。計算式が間違っていて縦計と横計が違っていても気がつかない。改ざんされていてもわからない。などなどそもそも決算業務や監査の使い物にならなかったり、信頼性を確かめるのにえらく大変だったりと、監査人にとっては悩みの種です。正直、米国では、このような状況では日本流に言えば重要な欠陥があるといわざるを得ない（米国の分類は違いますが）。

そこで、少なくとも不正による改ざんとかバージョン管理の部分だけは何とかしようということで、このようなソフトウェアが登場したのでは、と思うのですが。ということで、私もちょっと気になります。残念ながらデモには気づかなかったのですが。

さて、これだけ袋叩きにされたExcelですが、肝心のMicrosoftはどう考えているのか。

これは私の想像ですが、「こちらがもともと想定していないような使われ方をされて、それで問題があるといわれても･･･」ということはないでしょうか。つまり、彼らからしてみれば、Excelというのは、基幹業務をこなし、重要なデータをExcel形式でローカルPC上で保存するといったことをそもそも想定していないのではないか。データはサーバ上に保存し、しかるべきDBソフトで管理し、Excelはあくまで入力フォームであったり、DB上のデータを集計分析するためのエンドユーザ向けツールとして考えているのではないか。以前からXML形式でデータを保存することが可能でしたが、今度のVista版では、そういう方向性がますます強く示され、さらにそれに対応した様々なサーバ商品も提供されているようです。MicrosoftもSoX対応という意味でExcelを表に出すことはあまりないようですが、Excelで作成したものをサーバに流し込んで、というサーバ周りに関してSoX対応をうたっているものが多いような。SoXに限らず、例えば、個人情報流出事件などというのは、ほとんどローカルPC上にExcel形式で顧客名簿を入れておいて、そのPCやExcelファイルが流出するというパターンが圧倒的に多いでしょうから、個人情報はExcelに落として加工してもすぐに消して、データそのものはサーバ上においておくといったようなことをしないとこういう事故は防げない。ですからそういう方向性は理解できます。

ということで、決算時の連結精算表や組替表はともかく、あとの基幹業務はできるだけパッケージを使ってもらうか、XML形式でサーバ上でハンドリングするというのが本筋なのでしょう。もちろん、財務データであれば、XML形式の中でもXBRL(GL)というのも選択肢です。そうした上で、どうしてもExcelでやらざるを得ないような業務については、最初にご紹介したようなソフトを使う、ということになるのかもしれません。

また、J-SoXにおける文書化、または文書管理や進捗管理にExcelを使うケースもかなりあると思いますが、そうしたExcelで作成された内部統制評価文書の管理というところにも役立つかもしれません。これについてもバージョン管理や改ざん防止というのは気をつけなければならないところです。

いずれにせよ、J-SoXにおいても、Excelを使った業務をどう評価しどう整理していくかというのは、中小規模の企業にとって課題になるのではないでしょうか。

本日午前中の企業会計審議会総会で、J-SoXが正式に決定しました。

「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」

http://www.fsa.go.jp/singi/singi_kigyou/tosin/20070215.html

企業会計審議会総会資料は

http://www.fsa.go.jp/singi/singi_kigyou/siryou/soukai/20070215.html

あとは、Q&Aなどがでるかもしれません。それと、内部統制監査については、日本公認会計士協会（JICPA）での対応もあります。この中でどのくらい具体的なものがでてくるかも注目です。

まずはご覧あれ。

とはいっても、あまりに多いので、まず、末尾の（参考図１～３）と企業会計審議会資料１－２「財務報告に係る内部統制の整備」をしっかり頭の中に叩き込んでおきましょう。それが、「木を見て森を見ず」にならないポイントです。

そういえば書いてありますね。３点セットについての八田先生のお考え。

「なお、記録の形式、方法等については、一律に規定されるものではなく、企業の作成・使用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることに留意する。」（実施基準P.54）

またまたITProを読んでの感想

「企業情報システム/通信における今年のキーワード」

http://itpro.nikkeibp.co.jp/article/OPINION/20070213/261785/

よく読むと「NET&COM2007」の感想ということなので、仕方がないのかな、と思いますが、「企業情報システム」のキーワードに「XBRL」が入っていないのが何ともさびしい。XBRLがなかなかIT系のイベントに登場してこない。「企業の中にある情報」の中で、財務情報の占める位置というのは決して低くないはず。それを扱い、かつ今までにない変革をもたらすかもしれないのだから、もう少し注目されてもいいはず。まだまだ知られていないのか。。。

さて、この記事の中で「ログ保存・分析ソフトで蓄積した内部統制関連のログ情報と，社内の別の業務データを組み合わせたレポートを簡単に作成する」もののデモをたまたま聞きました。このデモには、ジャストシステムのxfyというソフトが使われているようですが、そこで配られていたパンフには、ずいぶんとXBRLのことが書かれていました。ジャストシステムといえば一太郎ですが、最近ではこういうこともやっているようです。技術的なことはよくわかりませんが、パンフを見ると一太郎のデータと表示を分ける（XML的発想ですが）ことを考えているうちに出てきたアイデアのようです。今回はログ解析の結果をXMLで吐き出して、それをxfyで加工してみせるといったデモのようですが、是非、社内のXBRL形式の財務データをxfyで加工して見せるといったデモも見たいと思いました（その方がJ-SoXにはふさわしいデモなのではないかと個人的には思いましたので、説明員の方に注文つけましたが）。

【NET&COM2007】ログ管理ソフトとXMLエディタで内部統制支援，JIECとジャストがデモ

http://itpro.nikkeibp.co.jp/article/NEWS/20070207/261018/?ST=newtech

【Net&Com2007】における八田進二教授の講演の模様が、ITProに掲載されていました。

【NET&COM2007】「『3点セット』とは一言も書いていない」、青学八田教授がJ-SOX実施基準を語る

http://itpro.nikkeibp.co.jp/article/NEWS/20070209/261666/?ST=newtech

中身は読んでいただくとして、個人的には「３点セットを作ることが内部統制を整備することではなく、つくりさえすれば内部統制を評価したということにもならない」及び「３点セット」は必須ではなく、その目的が達成されていればよく、経営者が内部統制評価を行うのにふさわしいツールだと思えば使えばよいという類のものだということもおっしゃっているようにも思えました。３点セットは外部コンサルティングに任せておけば作れるかもしれませんが、それだけでは内部統制を整備したとはいえない。本当に内部統制をきちっと整備しようと思えば、経営者が自ら取り組まざるを得ないはずだ、という思いがあるのではないでしょうか。「内部統制の整備=文書化」というのは間違いで、「文書化」は重要ではあるがその一部に過ぎない。

３点セットのうち「RCM」は、米国SoX法が導入されるはるかに前から米国で会計監査人がCOSOフレームワークに基づき内部統制を評価する場合のツールとして使われてきたものですし、その経験が蓄積されてできたものです。日本の大手監査法人でも似たようなものを使っているはずです。そのことは当然八田先生もご存知のはずです。しかし、これはもともとプロ用のツール。監査について経験豊富で内部統制について熟知している会計士が使うもの。リスクアプローチに基づき自らリスク評価を行い、どの程度使うか、どこまで細かくやるかということをきちっとわかった上で、必要最小限の評価を行っているわけです。そして、基本的には枠があるだけで、すべて自分で考えて記入します。仮にテンプレート化してある程度中身が入っていたとしても、その中でどれを重視するかを考えて、重要でない項目は思い切り省く。RCMについては、COSO(J-COSO)フレームワークと結びつけて自社の内部統制の状況を整理･評価し、対外的に説明するにはよいツールかもしれません。いままでも、企業は内部統制を構築してきたわけですが、COSOフレームワークに基づき整理し、説明できるようにしてきたかというと、必ずしもそうではない。COSOフレームワークに当てはめて説明するには、こと統制活動については、RCMは便利なツールといえるのでは。他の方法でCOSOに当てはめて説明できればそれはそれでよいとは思いますが。

八田教授は「どんな企業であっても、何らかの規定集やマニュアル、業務の手順を示した文書はあるもの。企業が元から持っている文書を利用して欲しい。作りっぱなしになっている文書があれば、それをアップデートすればいい。必ずしも新たな文書を作成する必要はない」ということをおっしゃったようですが、これは主として「業務フロー図（流れ図）」「業務記述書」を指しているのではないかと思います。RCMについては、それに相当するものというのはあまりないはずです。ただ、業務フロー図については、どちらかといえば業務マニュアル的な位置づけで、リスクとかコントロールとかの概念はあまり意識されていないケースも多く、RCMとうまく結びつかないということはあるかもしれません。私が若い頃に習ったフローチャートは、システム監査などで時々使われますが、いわゆる産能大方式ではなく、業務フローとシステムフローを一緒にしたようなもので（ただしプログラムロジックを記述したものではない）、コントロール、しかも手作業とITの両方にまたがるコントロールを強調したものでした。おそらく企業の既存のフローチャートには、ITによるコントロール（主として業務処理統制）があまり書き込まれていないのではないかと思われます。そこをどうするかというのはちょっとつらいかもしれませんが、大事なポイントかと思います。

また、ITへの対応については、「金融庁からこれ以上、ITについては詳しい解説は出ない」との見通しを示したとのことですが、すでに先日のシステム管理基準追補版のようなものもあり、手法そのものはある程度確立していて、あとは財務報告の信頼性ということとどう結びつけるか、ということだけのような気もしますし、金融庁と経産省の担当業務の境目みたいなところでもありますから（システム監査基準、管理基準は経産省管轄）、まぁ八田先生がおっしゃる通りなんだろうなとは思います。

それにしても、IT業界のイベントで「システムを作り変えろ、とはどこにも書いていない」「あくまで例として示しただけ。実施基準内では、この3種類の文書を必ず作りなさい、とは一言も書いていない」といえるとはさすが八田先生！これを聞いた人達や、Net&Comで内部統制関連の展示をしているIT関係の会社の人はどう感じたのでしょうか？八田先生の権威で、自社製品が売れるきっかけにしたいなどと考えている人にとっては打撃かもしれませんが、一方で、実施基準のことがきちっとわかっている会社は、実施基準についてそれなりの説明をきちっと用意して、しかも、自社製品をどのように使えば効率よく目的が達成できるかを説明できるようにしておくでしょう。「システムを作り変えろ」とは書いていなくても、重要な不備があってシステムを変えざるを得ないケースというのは間違いなくあるわけで、そこをちゃんと狙えればよいわけです。本当は必要ないのに「J-SoX対応で自社のシステムが必須」みたいな安易な売り方は通用しなくなるかもしれませんが・・・。

さて、３月１３日には、XBRLのイベントに八田教授が登場します。XBRLをやっている人達はもちろんIT系の方も多いですが、東証をはじめ内部統制にうるさい会計士や学者といった人達も少なからず関係しており、J-SoXや実施基準を作成したメンバーにも極めて近い人達が集まっていて、IT系と監督者そして会計士系のコラボレーションがうまくできているというのが特徴です。果たしてそういう組織が企画したセミナーで、上場会社の経理担当者を前に、八田先生がどんなお話をされるのか、個人的にはとても楽しみです。

http://www.disclosure.tse.or.jp/event/symposium.html

昨日も書いたとおり、NET&COM2007にいってきました。中山会計士の講演のほかに、展示を一通り見てきましたが、相変わらず「内部統制」とか「J-SoX」という言葉があちらこちらで踊っています。

これらをごく大雑把に分類すると

・IT全般統制に関連する製品：主としてセキュリティ、メール、監査ツール

・IT業務処理統制を組み込んだERPなど会計システム、業務システム

・内部統制評価のための文書化支援ツール

というところかと思います。

あまりの数の多さに驚いたというのもあるのですが、パンフを見ても説明を聞いてもいまいちピンと来ないものもあり、なんだか頭が混乱したまま帰ってきてしまいました。一応、内部統制やITについてはある程度わかったつもりではいたのですが。。。

どうして混乱してしまったのか、ちょっと考えてみました。たぶんこんなことかな。

・内部統制評価の全体的なプロセスや枠組みの説明がなく、その製品の位置づけがよくわからない。内部統制評価プロセスに沿った説明ができていない

・IT全般統制関連製品で「J-SoX対応」といっているのに、財務報告の信頼性確保という点からの説明が全くない。いったい、財務報告の信頼性、財務報告に関する経営者のアサーションとどう関係するのかが不明(直接的には関係しないのではありますが、どういう業務処理統制を支える仕組みなのかということから説明は可能）

・業務処理統制に関係するのか全般統制に関係するのか、など、J-SoX及びその実施基準等の用語に沿った説明が少ない

・説明(展示パネルやパンフ）の際の用語の使い方が間違っている

・IT専門家向けの製品・説明なのか、内部統制担当部署向け製品・説明なのか、業務系(経理部門など）向け製品・説明なのかよくわからない

・文書化支援については上流のプロセス、つまり全社的評価、トップダウンのリスクアプローチ、スケジュール管理といったところのツールが見当たらず、フローチャート、コントロールマトリックスのような各論レベルのものがほとんど。会計士は上流から現場までみるので、一部分だけ説明されてもどうもわからない・・・。

ということなのですが、果たして実際の営業活動や導入支援でもこんな具合なのでしょうか？製品のデモを見る限りは結構しっかりしたものができているような気もするのですが。。。。

考えてみれば、会計士やシステム監査技術者ですら、全員がきちっと理解しているわけではないのに、こんなに多くの内部統制や監査の専門家でもない人が、難解な用語（一般の方から見れば言葉のトリックではないかと思うような表現も！）があふれかえる内部統制を勉強して関連ビジネスをしているわけです。しかも、多くの方はいわば独学のはず。きちっと教えられる会計士はそんなにいないはずですし。大企業は、会計士以上に精通した人材をそろえているようですが、それでも監査的な発想というのは、なかなか理解しがたいものがあります。「重要性」「リスク評価」などというのも日本語としてはわかっても、監査論的な意味できちっと理解するのは難しい。監査要点、または経営者のアサーションとか、ITの統制目標などというのもわかりにくい。このあたりは会計士以外が読んでパッとわかるような本もなかなかないですし。明らかに間違ったことをいっていると、つい「それは違う」といいたくなってしまうこともしばしばです。仕方がないのかもしれませんが、もったいないですね。

IT業界としては、「内部統制」「J-SoX」といういまはやりのキーワードで商売をしたいという気持ちはわからなくはないですが、これらの言葉を正しく理解したうえで、製品なりサービスとの関連をきちっと説明できるようにしておかないと、ユーザーに誤解を与えかねないですし、せっかくの製品へのイメージも悪くなってしまうのではないでしょうか。「財務情報の信頼性」「内部統制」「J-Sox対応」というのは、ちょっと前にはやった「個人情報保護」「情報セキュリティ」などといったキーワードと比較すると、IT業界の人達には極めてなじみにくいキーワード。そして、今まであまり考慮されてこなかったところ。そういう分野であるということをよく自覚した上で、言葉を使った方がよいのではないかと思います。特に、「J-SoX対応」は、どのような機能がどの基準にどの程度のレベルで対応しているのか、その根拠をきちっと示せなければなりません。そして、自社製品を導入しただけではJ-SoXが求めることのすべてに対応できるわけではないということもきちっと説明すべきです。

内部統制コンサルができる会計士やコンサルタントの数が極めて限られている以上、IT系の企業にその製品とともに内部統制構築のサポートを依頼せざるを得ない状況も生まれてくるでしょうし、そのときにどれだけのサポートができるかも売上に影響してくるのではないでしょうか。そういう点からも、J-SoXの正しい理解と顧客に適切な説明、アドバイスができるだけのノウハウを実につけることがIT業界にとっても課題になるのではないでしょうか。

実施基準案やシステム管理基準追補版、そしてIT委員会報告や監査基準委員会報告などIT統制に関わる一連の作業に関わり続けてきた中山清美公認会計士が、東京ビッグサイトで行われたNet&Comの一環として、会計監査とIT統制の関係について講演しました。私も受付開始30分前から並んで、前から2列目をgetして聞かせていただきました。

その中で特に印象に残った説明を私自身の備忘録として書いておきたいと思います。

１．会計監査は結果オーライでもよいが、内部統制評価はプロセスが大事

正確な言い方ではありませんが、会計監査と内部統制評価または内部統制監査の違いを中山会計士はこのように表現していました。つまり、今まで会計監査の一環として行われてきた内部統制の評価(統制リスクの評価）では、たとえ、内部統制に重要な欠陥があっても、結果的に正しく会計処理され、適正な財務諸表が作成されていると監査人が確認できればそれでよかった。そして、内部統制に著しい欠陥がある場合には、内部統制を詳細に評価することをやめ、内部統制に依拠せずに別の監査手続で結論を出すということもありましたし、内部統制に依拠しなくても十分な監査証拠が得られればあえて内部統制評価を行わないということもあった。つまり、財務諸表という最終成果物、結果がすべてであって、プロセスの信頼性、有効性そのものを評価することが目的ではない。しかし、内部統制評価・監査制度は、むしろプロセスをきちっとすることを目的として、プロセスの信頼性、有効性をまずは経営者自身が評価しようというもので、たまたま間違いや不正がなかったからそれでいい(結果オーライ）ということではない。間違いや不正が生じないようにし、その結果として間違いや不正が生じていないことが重要なのです。また、監査人が内部統制に依拠しない場合であっても、経営者は内部統制を整備し、適切に運用し、その状況を評価しなければならないというケースがある。ですから、ケースバイケースではありますが、今まで会計士が行ってきた統制リスクの評価よりも、経営者自身による評価の方が範囲が広く、深度あるものを求められる可能性がある、というようなことでした。私も同感です。

実際には、監査人は、内部統制に重要な欠陥があって依拠できない場合でも、内部統制に関する問題点を指摘して、改善を求めているはずです。それにどれだけ応えてきたかということで、今回の対応もずいぶん変わるのでは。

２．全般統制の不備がない会社はまずない。そして全般的に影響

今までの経験から、IT全般統制に不備のない会社はまずないとのこと。そして、その名の通り、適切な財務諸表を作成するための要件(経営者のアサーション）に全般的に影響してくるので、重要な虚偽表示リスクを生じさせるといった説明がありました。だから全般統制の整備が大事なんです、ということかと。

個人的に懸念しているのが、今までの会計監査では、「内部統制への依拠度合いを下げる」ことで、内部統制、とりわけIT全般統制の評価を監査人が回避するケースが往々にしてあったという歴史もあるので、これから初めて本格的な評価が行われ、その結果ボロボロ問題がでてきたなどということがありうるかもしれません。監査人がIT全般統制の評価をあまりやっていない会社は要注意かと思います。

３．業務処理統制には、ITと手作業の組み合わせも含まれる

業務処理統制には、完全に自動化されたITによる統制と、ITと手作業の組み合わせによる統制があり、業務処理統制に不備がある場合には、そのどちらなのかを峻別したうえで対処する必要があるとのことでした。ITと手作業の組み合わせというところが案外忘れられがちですし、ここは会計士は得意ですがシステム監査人はどちらかといえば苦手なところなので、誰が評価するかというのが結構大事なのかなと個人的には思います。これは、私がこの業界に入った20世紀から言われ続けられてきているのです。

４．外部委託先

外部委託先の内部統制評価をどうするか、ということから、IT系企業に多いアウトソーシングをやっている企業が、顧客からSAS70や監査基準委員会報告書第18号評価を求められたり、J-SoX対応のレベルによって選別されたり、ということがでてくる可能性があるとのこと。非上場会社でも例外ではない。

個人情報保護法の時にも同じような話があったと思いますが、あの時は委託側が「監督責任」を負うということで、例えば、プライバシーマークやTrusteを取得したり、セキュリティ面ではISMS取得したり、さらに品質管理や環境の領域ではISOの認証を受けたり、といったような対応がありましたが、それと同じようなことがおきるのでしょうか。顧客からいわれて仕方なしにというところもあれば、むしろ、積極的に対応することで、新規顧客獲得につなげようという思惑もありえるでしょう。

ただ、これも世の中のリソースがどれほどあるか。また、外部にSAS70報告書を公開するとなると、不特定多数に保証することになるので、監査並みの報酬と言うことも考えられます。さて、果たしてどうなるか。

話を聞いていて、中山会計士と夜の10時半過ぎまでIT統制評価について議論したころのことを思い出しました。

さて、ここからは、あくまで中小上場会社のためのJ-SoXということで、「せめてこれだけは」ということについて申し上げようと思います。立派な大企業の方は、たぶんこれでは通用しないと思いますので、参考にしても大丈夫そうなところだけ参考にしてください。

とりあえず思いついたことだけ。

１．「やったふり」は通用しない

これは日本の得意技。お家芸。運用できないような形式だけ整えてやったふりをするのが得意です。内部統制に問題がないということで上場しているはずなのに、どうして上場したての会社で不祥事が多発するのか。ISO9001の認証を受けている会社でどうしてこんなに品質の問題が生じたか（いかにずさんだったか）。結局、運用が伴わない、または認証審査や上場審査を受ける時だけやったふりをして、審査が終わるとやめてしまう。これからはそうはいきません。やったふりは法令違反。経営者はクサイメシを食うことになるかもしれないのです。

２．100点満点を目指すな

実施基準を見たり、いろいろなセミナーを聞いていると、やらなければならないことがあまりに多いし、その割にはあまり時間がない。内部統制のあるべき論、とりわけIT全般統制のあるべき論が巷にあふれかえっているものの、とてもじゃないがそんなにできない。しかし、実施基準には「重要性」という概念がある。最初から100点でなくてもよいのです。

３．できることを確実にやれ

これがJ-SoXで一番大事かもしれません。できないことを無理してやろうとしてちゃんとできないよりは、できることをちゃんとやって確実に効果を上げたほうがトータルではいい結果が出る可能性があります。業務がまわらないようなやり方をすると、結局、業務が乱れて内部統制のレベルが下がってしまいます。運用を重視しましょう。

４．物事はシンプルでガラス張りに

内部統制というと内部牽制だとかで業務が複雑になるような印象を与えがちですが、むしろできるだけシンプルにして、かつ、見えやすくすることが肝心です。仮にどこかのコントロールが弱くて不正や誤謬が生じたとしても、それをすぐに発見、是正できればよいですし、経営者が粉飾をやろうとしても会計監査などですぐにばれるようなガラス張りの状態にしておけば、そんなに大きな問題は起きないはずです。監査をしていて「なかなか根拠資料が出てこない」「監査しにくい」といった会社は、内部統制上も非常に問題であると理解しておいてよいのでは。

５．優先順位をつけ、「重要な欠陥」を確実につぶせ

重要な欠陥さえなければ、経営者の責任は最低限果たせていると考えれば、まずは重要な欠陥を探し出して徹底的につぶしていれば、それだけでも最初はいいのではないか。重要な欠陥というのは、重要性の有無、発生可能性さえつかんでおけば、詳細な評価手続を行わなくても、どこにあってどういうものかはある程度当りがつけられます。それは、会社も監査人も長年の経験でだいたいわかっているものです。たとえば、小売や外食のチェーン店であれば、まず、売上金の使い込みのリスクが発生可能性としては一番高いですが、店舗当りの売上規模が小さければ、重要性はありません。一方、仕入については、計上漏れ、そして仕入先との癒着による不正(裏リベートなど）のあたりが金額的な重要性もあれば発生可能性も低くはありません。さらに、たな卸での不正というのも考えられます。ITについても不正の可能性はある。

少なくとも、監査人はこのような見方をしてきているわけで、重要な欠陥がどの辺にありそうかは、おおよそつかんでいるはずです。

６．IT全般統制の不備が直接的に重要な欠陥になるとは限らない

ここは、実施基準などを注意深く読んでいただきたい。IT全般統制に少々の不備があっても、業務処理統制など他の統制でカバーしていれば「重要な欠陥」にならないケースもあるということです。いいかたは悪いですが、逃げ道を用意したといってもよいところです。結構前からある考え方です。もちろん、不備があるよりないほうがよいので、改善すべきところは改善していただきたいです。ただ、果たして全般統制の不備を業務処理統制でカバーできるようなケースがどれほどあるのか。どうしようもないほどの力技が必要なはずで、まずありえない、というように考えてもよいのではないかと思います。正直、これは全般統制の評価が必ずしも十分に行われていなかったり（必要性に関する世間の理解もなければ、できる人もあまりいなかったため）、不備が多かった頃に、いわば政治的な配慮で入れられたようなもの。理論的にはありうるが現実的には果たして・・・という類のものですので、あまり安易に考えない方がよいと思います。重要性がなければ、少々の不備があっても、という点は他の統制と一緒です。

７．会計士監査を積極的に受入れ、技を盗め

監査といえば面倒くさい、仕方なしに、できるだけ短時間で安くみたいな対応をしてきた会社もあると思いますが、J-SoX法対応では、会計監査を積極的に受ける法がはるかに得です。内部統制評価制度は、いうなれば、いままで監査人が監査の一環としてやっていた内部統制の評価(統制リスクの評価）を経営者自らの責任で行い、問題があれば自ら改善していくということではないのかと思います。ですから、監査人がやっていた方法のかなりの部分が応用できます。監査を受けながら監査人がどこに重点を置いてやっているのかがわかれば、経営者もそこを重点的に見ればいいですし、また、評価のポイントも何を質問され、どんな資料を求められたのかを洗い出していけば、自分たちがどうすればよいのかもわかってきます。監査計画の際に監査人と経営者または監査役との協議が行われますが、そういうときに盗んでしまうのです。

とりあえず、今日はここまで。

実施基準の最終案が出てから数日たっても、企業や内部統制コンサル、IT業界など関係者の不安はおそらく消えていないのでは。というのも、これだけではどうしていいのかわからない、もっと具体的に、さらにいえば、「これだけやっておけば絶対に大丈夫」みたいなものがほしいと期待していた向きもあるからです。

実施基準とはいっても、基本的には原理原則、枠組み、そして例示

この実施基準、「基準」とはいいながら、いわゆるマニュアルやチェックリストとはだいぶ趣が異なり、いわば「枠組み」を示し、啓蒙的な意味で例示を挙げているに過ぎない。つまり、原理原則、枠組みを理解したうえで、あとは自分たちで企業の実態等を踏まえてどうするか考えなさい、というスタンスなのです。そもそもアメリカがあまりに形式に走って企業や監査人に過度な負担をかけすぎたことへの反省から、企業の状況に応じてできるようにという考え方で進んできたのですから、こうなることは最初から見えていたのですが。あまり細かく書いてそれがすべての場合に適用され、逆に書いてあること以外はやる必要がないというような読み方をされるのはまずいという心理が働いたことは想像できます。ですから、例示は例示としてイメージをつかむために書いてあるのであって、そこに書いてある通りにしなければならないということではない。

監査の世界に長く身を置いていると、こういうやり方というのはここ10年くらいの流れの中では極当たり前のことになっています。監査基準からはじまり、日本公認会計士協会が公表する監査基準委員会(今は名称が変わっていますが）報告書他各種委員会報告など、総じて似たような感じです。ITの世界でも、最近のシステム監査基準・管理基準などというのも、これに近い世界です。というのも、結局、同じような人が中心になって作っているからです。会計士協会のIT委員会報告1号のちの3号があって、システム監査･管理基準があって、そして今回の実施基準案がありますが、手本としている米国の文書も同じですし、検討メンバーもかなり似通っています。

以前は、監査マニュアルとか標準監査手続書とかいうのがあって、それを各企業の監査人はちょっと手直しして使うということをやっていたのですが、監査アプローチがリスクアプローチに変わった時から、「原理原則、枠組みを示すのであとは自分たちで考えなさい」といきなり変わった。監査はクリエイティブな作業になった、とはいえ、マニュアル、チェックリストに慣れていた監査人にとっては、正直、どうしていいのか、何をしていいのかわからない。ちょうど、今の実施基準に対する会計士以外の反応というのはそれに近いものがあるのではないでしょうか。そして、会計士協会から多くの監査基準委員会報告書が公表されましたが、あくまで個々の手続について書いてあるわけではありません。監査手続が満たすべき要件や監査手続を立案、実施する上での留意事項を述べているというところです。しかしながら、これだけでは経験の浅い会計士では対応できませんし、手続に漏れが生じる可能性もある。そこで、各監査法人とも統制リスクの評価を含むリスク評価のためのツールや経営者のアサーション(監査要点）と結びつけた形での最低限の監査手続を提示、さらに監査手続の例を紹介するなどの工夫をして、それを電子調書パッケージとして提供、さらに、内部監査ツールとして外部へもコンサルしながら販売している。そこが監査法人のノウハウということになります。とはいえ、今でもまだまだリスクアプローチが体に十分に染み付いて実践しているとはいえない。特にITの部分についてはまだまだ。というのが、今回の実施基準作成に関わったメンバーを含む、多くの有識者の認識ではないでしょうか。

「評価計画」が重要なはずなのですが・・・・

さて、一連の議論の中で、監査基準と比較して違う、または不足しているのではないかというのが、監査基準でいうところの「監査計画」に相当する部分ではないかと思います。つまり、内部統制評価をどのように進めるかということを年度初めに決める上で何をどのような手順で行う必要があるか、ということにテーマを絞った議論が不足しているのではないかということです。例えば、財務諸表監査では、監査計画立案段階で「予備的評価」ともいわれる評価をおこない、その結果に基づき、具体的な評価手続を考える。そして実施段階で問題を発見する、または状況が変化した場合には、そこで監査計画を変更する。そういう繰り返しが本決算の監査が終わるまで続く。監査が成功するか否かはまず監査計画にかかっているといっても過言ではないでしょうし、その中で内部統制評価(監査人にとっての統制リスクの評価）は、最も重要な項目であると考えられています。内部監査においてもやり方は違うにせよ、計画が重要なはずです。それと同様に、経営者による内部統制評価においても、評価計画は重視されるべきであり、また、予備的評価というのも必要でしょう。もちろん、評価範囲の決定や統制環境の評価など初期段階で実施する内容が含まれていないわけではないので、評価計画に関する記載がないといってしまうと非常に語弊がありますが、監査基準や監査基準委員会報告書における監査計画の取り扱いと比較するとちょっと不足しているのかなぁと感じます。一方、内部統制監査においては「監査計画」についてきちっと触れてあります。また、財務報告に係る内部統制構築のプロセスについては、基本的な計画についての記述があるのですが、内部統制評価に関しては、評価範囲の決定以外には、たいした記述がない。実施基準の中で「評価計画」について述べられているのは、P.57に「評価計画に関する記録」というのが一箇所出てくるだけです。次に「評価範囲の決定に関する記録」というのがありますから、「評価計画」と「評価範囲の決定」というのは別のことであると思われます。となると、ますますもって「評価計画」についての記述が少ないなという印象。

「トップダウンのリスクアプローチ」を効果的に実施するためには、評価計画とその段階での予備的評価というのが重要なのですが、それをどうすればいいかわからない。評価に係る文書化（内部統制としての規程等の文書化ではなく）をどの段階でどう行うか、ということについてもわからない。監査人の行う従来からの枠組みの中での統制リスクの評価や内部統制監査における手続と、会社の作業タイミングの関係もよくわからない。また、内部統制構築のスケジュールとの関係もわからない。実証テスト(運用のテスト）をどのタイミングで行うべきかもわからない。そして「重要な欠陥」であるか否かを判断する上での重要性の目安を考えながらどのように優先順位をつけるかもわからない。これはみな計画段階で考えておくべきことです。それがないために、「とりあえずできるところから」とか、「IT全般統制は整備に時間がかかるからそこから」とか「コンサルの得意分野から」とそういう話になってしまう。しかし、時間が限られているからこそ、計画が重要。そして、全体の流れとタイムスケジュールのイメージがつかめている人が必要。つかめるようなガイドラインのようなものが必要、と思います。

しかし、ない以上は、ノウハウを持った人(もちろんITの評価の流れもわかる）の創意工夫に頼るしかない。果たしてそれだけの人材がどれほどいるのか。早くから準備して人も投入できる大企業はまだいい。問題はこれから限られたりソースの中で取り組まなければならない中小規模の上場会社。どこかこのノウハウを公開して小さな会社でも自分でできるようならないでしょうか。

実施基準最終案が出て、上場したての会社や上場を目指すベンチャー企業にも例外なくJ-SoXが適用されることになりました。これで、新規上場が減るのではないかとか、若い上場会社が疲れ果ててしまうのではないか、という心配もありますし、誰がJ-SoX対応の面倒を見てくれるのか、という心配もあります。監査法人は、大手企業への支援サービスはやるものの、小規模上場会社への支援は放棄。監査の範囲内での対応ということになります。では、コンサル会社はどうか。一口にコンサル会社とはいっても、経営コンサルもあれば会計事務所系コンサルもあれば、IT系コンサルもある。それぞれ得意分野が分かれていて、ワンストップで支援してくれるところがあるのか、また、中堅までは面倒見ても、小規模までは手が回らないのではないか。また、コストが高すぎて使えないのではないか・・など。もちろん、社内での対応もあり、それは整備だけでなく運用もあるので、果たして負担に耐えられるのか。

そんな絶望的な状況の中でも、できることはないか。公開準備をした経験から、いくつか挙げてみたいと思います。

なお、小規模企業には、小規模な上場会社等有報提出会社と、大規模な上場会社の子会社があると思われますが、この両者ではちょっと性格が違うと思いますので、とりあえず前者を中心に考えてみたいと思います。後者でのポイントは、各子会社単独での内部統制というよりは、親会社も含めたグループ全体としての内部統制という視点をはずさないいことかと思います。例えば、子会社独自で内部監査人をおく必要があるのか、それとも親会社の内部監査人が子会社も監査している場合にはそれでもいいのか、親会社に多くの業務を委託している場合（ITを含め）にはどうかなどということを考えていただくとよいと思います。あくまでも求められているのは連結ベースでの内部統制だということです。もちろん子会社が上場会社や大規模会社の場合には、子会社独自の内部統制も必要かもしれませんが。

では小規模上場会社について考えてみます。

１．まず、小規模上場会社に関係ある実施基準案を読んでみる

小規模上場会社を念頭に置いた記載が随所にあります。こういうところをきちっと理解しておき、分不相応な形式主義に走らないようにすることが重要です。

（前文から）

二 基準の構成及び内容等（１）内部統制の基本的枠組み

なお、具体的に内部統制をどのように整備し、運用するかは、個々の企業等が置かれた環境や事業の特性、規模等によって異なるものであり、一律に示すことは適切でない。経営者には、それぞれの企業の状況等に応じて、内部統制の機能と役割が効果的に達成されるよう、自ら適切に工夫を行っていくことが期待される。

三 実施基準の内容等

なお、実施基準では、企業等を取り巻く環境や事業の特性、規模等に応じて、内部統制を整備し、運用することが求められており、内部統制の構築・評価・監査に当たって、例えば、事業規模が小規模で、比較的簡素な組織構造を有している企業等の場合に、職務分掌に代わる代替的な統制や企業外部の専門家の利用等の可能性を含め、その特性等に応じた工夫が行われるべきことは言うまでもない。

(実施基準）

Ⅰ．内部統制の基本的枠組み１．内部統制の定義（目的）

内部統制の構築の手法等は、個々の組織が置かれた環境や事業の特性等によって異なるものであり、すべての組織に適合するものを一律に示すことはできない。経営者は、組織を取り巻く環境や事業の特性、規模等に応じて、自らの組織に適した内部統制を整備し、運用することが求められる。内部統制の整備及び運用に当たって配慮すべき事項として、例えば、製品市場の状況、製品及び顧客の特性、地理的な活動範囲、組織間の競争の度合い、技術革新の速度、事業規模、労働市場の状況、ＩＴ環境、自然環境への配慮等が挙げられる。

一方で、内部統制については、個々の組織の規模や形態等を問わず、共通の基本的枠組みが考えられる。本基準における「Ⅰ．内部統制の基本的枠組み」は、金融商品取引法に基づく財務報告に係る内部統制の評価及び報告並びに監査の実施に当たって、前提となる内部統制の基本的な枠組みを示したものである。

３．財務報告に係る内部統制の評価の方法

（１）経営者による内部統制評価

② 専門家の業務の利用
経営者は、財務報告に係る内部統制の評価作業の一部を、社外の専門家を利用して
実施することができる。専門家による作業結果を評価の証拠として利用するかどうかについては、あくまで経営者が自らの責任において判断する必要があり、評価結果の最終的な責任は経営者が負う。

（２）全社的な内部統制の評価

③ 全社的な内部統制と業務プロセスに係る内部統制

〔企業の業務の性質等によるバランスの相違〕
企業の行う業務の性質等により、全社的な内部統制と業務プロセスに係る内部統制のどちらに重点を置くかが異なることもある。例えば、組織構造が相対的に簡易な場合には、全社的な内部統制の重要性が高くなることがある。

Ⅲ. 財務報告に係る内部統制の監査

４．内部統制監査の実施　（２） 業務プロセスに係る内部統制の評価の検討
② ＩＴを利用した内部統制の評価の検討　ロ. ＩＴに係る全般統制の評価の検討

なお、販売されているパッケージ・ソフトウェアをそのまま利用するような比較的簡易なシステムを有する企業の場合には、ＩＴに係る全般統制に重点を置く必要があることに留意する。

２．監査人と勉強会を行う

評価・監査基準、実施基準には、一般には使われないような会計、監査の専門用語がかなりあります。こういうものも含め、、基準に書かれているようなことを自社に当てはめると具体的にどういうことなのか、を、今まで財務諸表監査の中で内部統制の評価をしてきた監査人に勉強会などを開いて教えてもらうことが、一番の早道です。例えば、監査法人主催セミナーに出るのもよいとは思いますが、やはり、自社の状況をよくわかっている人であれば、わかりやすいように説明してくれるでしょう。

３．監査での質問事項、内部統制に関する指摘事項を思い返す

普段監査を受けている中で、特に期中監査で監査人から内部統制がらみのことで質問されたことや、内部統制上の問題として指摘されたことをもう一度思い返してみましょう。監査人が内部統制のどこを重視しているのかがわかります。自社で経営者が内部統制の評価を行う場合にも、そこを重点的に評価し、また指摘事項については内部統制の不備に該当するはずなので、つぶしておきましょう。

４．有価証券報告書作成プロセスを復習する

（１）有報の元データの出所をまとめる

有価証券報告書の各記載項目の元データ、原稿を誰(どこの部署）が作成し、誰がチェック・承認しているのか、そのデータがどのようにしてどこから収集されてくるのか、どのようなシステムを利用しているのか、を一通りおさらいし、整理しておきましょう。また、いままで、資料が出てくるのが遅い、間違いが多い、監査人から色々指摘されたなど、いつも有報作成者が苦労する点も洗い出しておきましょう。頭の中にはなんとなく入っていると思いますが、それを整理して、書類としてまとめておきましょう。

おそらく、ベンチャー企業では、たいした情報量ではないはずなのに元データ収集にやたらと手間がかかる、というようなことがよくおきているのではないかと思います。そこが最優先の改善ポイントになるはずです。

（２）有報作成プロセスをまとめる

また、担当者が作成して、印刷会社に出して(または自分で印刷会社提供の作成システムに入力）、出来上がりをチェックして、上司や他の部署にチェックしてもらって、しかるべき機関、役職者に承認をもらって、EDINETで提出する、というプロセスもまとめておきましょう。フローチャートになればベストですが、形式にはあまりこだわる必要はありません。過去に何らかの問題があった場合には、それもまとめておきましょう。

（３）有報作成スケジュールをまとめる

上記（１）（２）については、スケジュール表を作成しておきましょう。上記の作業がいつ行われるのか、またはどのくらい時間がかかるのか、を知るためです。単なる情報収集、集計に時間がかかるのは、内部統制に不備があり(例えば、入力遅れや誤謬の発生）、また、ITを適切に活用していないからだということもできます。

５．決算プロセス、スケジュールを復習する

決算プロセスについても、４．の有報と同様にまとめておくとよいでしょう。もちろん、両者は一貫した作業ですので、両者のつながりがわかるようにしましょう。

また、連結財務諸表作成プロセスについても、まとめておきましょう。

ここまででしたら、普段やっていることですので、そんなに手間もかけずにできると思います。大事なことは、最初から形式の整った完璧な文書化にこだわらないこと。まずは、どこから手をつけるかというあたりをつけるため、というくらいに考えておいた方がよいでしょう。初年度に関しては、評価過程の文書化は、問題点をつぶしてあるべき姿にしてからでも遅くはありません。ベンチャー企業の場合には、改善しなければならないことが少なからずあると思いますので、まずは「改善」です。

内部統制の陰に隠れるXBRLではありますが、最近、上場会社の間でにわかに注目を集めつつあります。

そんな中、3月13日（火）に東京証券取引所、XBRL Japan、日本公認会計士協会主催で、XBRLシンポジウムが東証で開催されます。

「ディスクロージャーの高度化とXBRL」

～公正、正確、迅速な企業情報開示の促進に向けて～

http://www.disclosure.tse.or.jp/event/symposium.html

東証が2月から3月にかけて行うディスクロージャー促進月間というイベントの中の一つとして行われます。

主として、来年に予定されているEDINET及びTDnetでのXBRL本格採用に関連した内容になっています。金融庁や東証ホームページで公表されていることだけでは、EDINETやTDnetが具体的にいつどうなるかということはいまいちよくわからないのですが、果たしてここで何らかの方向性が見えてくるのでしょうか？

また、この紹介ページをみると、Mr.内部統制　八田進二教授の内部統制に関する講演も予定されているようです。このころは、すでにJ-SoXも最終版が確定し、内部統制報告書の雛形などもある程度見えてきているかもしれないというタイミングなので、注目です。

前にも書いたと思いますが、内部統制をやっている人には、XBRLに注目している方が少なくないので、今すぐにとはいわないまでも、将来的には、内部統制におけるXBRLの活用というのもクローズアップされてくるのではないかと思います。

まだ、プログラムの一部しか公表されていませんが、続報が入り次第、ここでもご紹介します。

昨日、企業会計審議会内部統制部会より、内部統制評価・監査基準、実施基準最終案が明らかにされました。企業会計審議会総会で最終決定となります。金融庁ホームページに掲載されています。

http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20070131.html

昨日午前中に用事があって、霞が関合同庁舎4号館に行ったら、本日の会議予定のところに企業会計審議会内部統制部会の開催予定が書いてあったので、ひょっとしたらと思いましたが。開催が夕方だったため、HP掲載も今日になったのでは。

それはともかく、中身をみるとMS-Wordの修正履歴をそのままPDF化されて見ることができるようになっています。これはとても助かります。今回のITに関する変更箇所を中心に、独断と偏見で気になった点を。

全体的に細かいところで表現の適正化、字句の整合性の確保が行われているという印象です。

１．実施時期の明記

「本基準及び実施基準は、金融商品取引法により導入される内部統制報告制度の適用時期と合わせ、平成２０年４月１日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用する。」

と明記。(前文）

２．内部統制報告制度の目的（実施基準P.4）

「金融商品取引法で導入された内部統制報告制度は、経営者による評価及び報告と監査人による監査を通じて財務報告に係る内部統制についての信頼性を確保しようとするものであり、」

表現を変えただけにも見えるのですが。「財務報告に係る内部統制についての信頼性」という概念が出てきていますが、「内部統制についての信頼性」という言い方は、検索したところ全文を通じてここにしか出てきません。一般的に使われている用語ではあるのですが、具体的にどういうことをさすのか、有効性と何が違うのか、など説明がほしいところです。評価するのはあくまで内部統制の有効性ですが。。。

３．統制環境の有効性を確保するためのＩＴの利用（実施基準P.16）

「一方で、ＩＴの利用は、例えば、経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく組織内の通信記録の保全など適切な統制活動が必要となることにも留意する必要がある。」

この例示は、私もどうかなと思っていました。通信記録を保全するだけでは防止にはならないような気はしますし。もっとも、本当にやばいことやる人は、社内メールなど使わないとは思いますが。

４．重要な欠陥の判断指針（実施基準P.31）

ずいぶんわかりやすい表現になったと思います。もっとも、それでも「わかる人にはわかるようになった」という感じではありますが。

５．業務プロセスに係る評価の範囲の決定（実施基準P.35）

・総勘定元帳から財務諸表等を作成する手続

これはわかりやすい！ついでながら、XBRL化する作業は、ここに含まれるのではないかと思います。

６．② 評価対象とする業務プロセスの識別(実施基準P.37）

「一般に、原価計算プロセスについては、期末の在庫評価に必要な範囲を評価対象とすれば足りると考えられるので、必ずしも原価計算プロセスの全工程にわたる評価を実施する必要はないことに留意する。」

確かに期末の在庫評価だけのことを考えればそうかもしれませんが、逆に言えば、期末在庫が残らない場合には、原価計算プロセスの全工程にわたる評価を行わなくてもいい？建設業とかソフトウェア開発受託業のように個別原価計算を行っているところでもそうなのでしょうか？いまいち意味がよくわからないので、この部分を追加した趣旨というのを是非聞いてみたいです。

７．「流れ図」

フローチャートを「流れ図」という言葉に替えたようなのですが、何もそこまでしなくても・・・。フローチャートの方がいまや一般的のような気が。

８．全社的な内部統制に不備がある場合(実施基準P.50）

「ｄ．ＩＴのアクセス制限に係る内部統制に不備があり、それが改善されずに放置されている。」

から次のように変更

「ｄ．財務報告に係るＩＴに関する内部統制に不備があり、それが改善されずに放置されている。」

確かに原文は全社的統制とはいえないので、修正する必要はあるものの、修正後の事例というのもいまいちぱっとしない。こういうこというなら「ITに関する」に限る必要がないのかな。というところでなかなか難しい。

９．記録の保存（実施基準P.54）

「適切な範囲及び方法（磁気媒体、紙又はフィルム等のほか必要に応じて適時に可視化することができる方法）により保存することが考えられる。」

電子化して保存するケースを想定していると思われますが、媒体の話と方法の話と見読性要件が一緒に書かれているのでちょっとわかりにくい。e-文書法とか電子帳簿保存法のいいまわし（見読性）に合わせてくれるとありがたいのですが。電子化されている場合には、「見読性」は保存方法と言うよりは、保存するファイル形式に応じた閲覧用アプリケーション及びハードを用意し、必要な時にいつでも目で見るために使えるようにしておくということかと思いますがどうなのでしょう？一応、法律に基づいて行う制度における書類等の保存に関する記載なので、やはり、法令で使われている「見読性」要件に準じた書き方にしていただければ。内部統制の世界で「可視化」というのは、単に目で書類が見えるということではない、もっと深い意味があると思いますし。

１０．ロ. ＩＴに係る全般統制の評価の検討（実施基準P.73～74）

「なお、販売されているパッケージ・ソフトウェアをそのまま利用するような比較的簡易なシステムを有する企業の場合には、ＩＴに係る全般統制に重点を置く必要があることに留意する。」

これも今回加えられたようですが、なぜこれが加えられたのか、趣旨を知りたいと思います。まるでパッケージソフトの評価は監査人はしなくてもいいといっているようにも思えるのですが、中小企業用会計パッケージソフトの中には、業務処理統制があまり組み込まれておらず、データの改ざんが容易で改ざんの履歴が残らないようなものもないきにしもあらずなので（入力情報の完全性、正確性、正当性等を確保するための手段があまり組み込まれていないなど）、機能をよく把握しておかなければならないと思います。ただし、このあとの業務処理統制のところに

「また、ＩＴを利用して自動化された内部統制については、過年度の検討結果を考慮し、検討した時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を検討した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該検討結果を継続して利用することができる。」

というのがあり、パッケージソフトは、基本的にユーザー企業では変更ができないので、導入時に業務処理統制を評価してしまえば、あとは全般統制だけ評価すればよい、とも読めるのですが、その理解で正しいのでしょうか？でも、中小企業用の比較的簡易なパッケージソフトには、もともとITを利用して自動化された内部統制」があまりなく、手作業との組み合わせでの統制が中心になると考えると、果たして全般統制の評価だけで大丈夫か不安が残るところです。いままでの監査実務でも実際には会計パッケージソフトの評価というのはあまり行ってこなかったのですが、本当は必ず行わなければならないともいわれていました。

実際に、変更履歴を残さない機能をオプションとして持っているパッケージ会計ソフトウェアがあり、上場会社でも電子帳簿保存法を適用しない場合には、変更履歴を残していない可能性がありますが、監査上、それでよいのでしょうか？会計システムに係る内部統制の不備は、即重要な欠陥に結びつきうるので、慎重な対応が必要ではないかと言う気もするのですが。中小企業は処理誤り及び修正が多いため、いちいち履歴を残しておくと帳簿がみづらくなるということかと思いますが、上場会社の場合には修正件数などというのも内部統制のレベルを図る目安になると思いますし、だいたい、修正履歴を残したらみにくくなるほど修正が多いのであれば、重要な欠陥とまではいえないものの、レベルアップが直ちに必要といえるでしょう。

「全般統制に重点を置く」ということにしたとしても、では、業務処理統制はどの程度までみればいいのかがいまいちわからない。実証テストを省略できるとかそういうことなのか。あとは、会計士協会がIT委員会報告等で出すのでそれを参照ということなのでしょうか？

それと、経営者の側からしてみれば、ある会社の会計パッケージソフトを買って使っていたら、それが「重要な欠陥」になってしまった、ということでは困るわけで、重要な欠陥にならないための最低限のコントロール機能が組み込まれた会計パッケージソフトを選ぶための目安みたいなものが必要なのではないかと思いますし、そういうことが前提にあって監査人も全般統制に重点をおくことができるのではないかと思いますが、この目安が正直ないのが現状。経産省あたりでガイドライン的なものを作ってくれるとよいのですが。

もしかして、このように思うのは読み方がそもそも間違っている(誤解）のでしょうか？どう理解していいのか、あまり自信がありません。

どなたか教えてください！！！！！

１１．小規模企業（前文P.6～7）

「なお、実施基準では、企業等を取り巻く環境や事業の特性、規模等に応じて、内部統制を整備し、運用することが求められており、内部統制の構築・評価・監査に当たって、例えば、事業規模が小規模で、比較的簡素な組織構造を有している企業等の場合に、職務分掌に代わる代替的な統制や企業外部の専門家の利用等の可能性を含め、その特性等に応じた工夫が行われるべきことは言うまでもない。」

小規模企業に例外を！という願いもむなしく、原理原則論で押し通された、と解釈する向きもあるようですが、小規模上場会社での不祥事がこれだけ多発していると、おそらく絶対に譲ることができないところだったのでは、と思います。むしろ、この制度そのものが小規模企業、特に上場して間もないようなベンチャー企業に向けられていることは明らかで、これ以上、ベンチャー企業で不祥事が発生することは、ベンチャー育成機運、さらにいえば、新事業による産業活性化という国策の足かせになりかねないという危機感はあるのではないかと思います。結局、監査人やコンサルの腕の見せ所、ということになるかと思うのですが、果たしてできる人がいるのか。。。このネタは後日取り上げたいと思います。

と、こんな感想です。

あとは、内部統制報告書の雛形が出るのを待つばかり。最終成果物のイメージがわかないと、いまいち全体の流れがつかめません。監査報告書の方は監査証明府令とJICPAの方で出されるのでしょうか。

いかん、こんなこと書いている場合じゃない！チェックしなければならないものがこんなにあるのに・・。

今回は、具体的に経理担当者の立場からコンピュータシステムへの不安の例を挙げてみようと思います。

１．財務会計システムのプログラムにバグがあったらどうする？

　・貸借の合わない合計残高試算表

　・期末帳簿在庫評価額の誤り

　・ある特定のデータがエラーとなってどうしても処理できない

２．販売管理システムのデータが財務会計システムにうまく連動しなかったらどうする

　・売上計上漏れ（網羅性）

３．システムがダウンして、または物理的に破壊されて期限までに決算作業が終わらなかったらどうする

　・決算不能

４．ウィルスに汚染されて会計データが破壊されてしまい、期限までに決算作業が終わらなかったらどうする

　・決算不能

５．財務会計システムに不法侵入されて、データが改ざんされたらどうする

　・財務報告の虚偽記載

　・不正

６．プログラムが改ざんされて、システム上の必要なコントロールが働くなった結果、誤ったデータがチェックされずに処理されたらどうする

７．プログラム漏れで必要な帳票が作成できず、データも取れなかったらどうする

　・決算不能

８．あとで税務調査や監査を受けようと思ったら、すでにデータが消去されており、紙の帳簿類も残っていなかったらどうする

９．仕入単価マスターが改ざんされ、仕入計上過大、過払いが生じたらどうする？

など、まだまだ心配事はきりがありません。きりがありませんが、しかし、財務報告のすべての項目に関連して、心配事をすべて洗い出し、そのリスク・重要性を評価したうえで具体的に検証、問題があれば是正するということになります。

上記の例の大部分は、IT全般統制に関する部分ですが、中には業務処理統制に係る部分も含まれています。

J-SoXとIT全般統制の関係については、毎日のようにセミナーが行われ、インターネット上でもさまざまな記事が飛び交っています。しかし、どうも私にはいまいちぴんと来ないのです。というのも、そもそもJ-SoXは金融商品取引法に基づき開示される財務情報の信頼性を確保するためのものであり、情報のユーザーの視点が貫かれているにもかかわらず、そのことが余り強調されず、全般統制のテクニカルな話またはIT部門、IT技術者の視点ばかりが目立ってしまっているように思えるからです。

J-SoXは財務情報の利用者（ユーザー）の視点が基本

有価証券報告書の財務情報を利用するのは、株主、投資家、債権者など外部の利害関係者。そして財務情報を作成するのは、経理部門であったり経営企画部門であったり総務部門であったりするわけですが、彼らは社内的には情報ユーザーです。もちろん、経営者自身も対外的には情報提供者ですが内部的には情報ユーザーです。彼らが用いる情報ソースの多くは、社内のITを利用した情報システムから提供される。J-SoXの究極の目的は財務情報ユーザーに対して財務情報の信頼性を経営者自身が保証することであり、情報システムの信頼性はそのための要件の一つです。つまり、情報利用者・ユーザーの立場から情報システムのアウトプットの品質が問われているわけです。そして、情報利用者・ユーザーにわかるように品質を確保する仕組みを説明しなければならない、または品質が確保されていると判断する理由を説明しなければならない。いわば、「説明責任」にぞ属することです。「経営者による評価」というのは、そういうことではないかと思います。また、公認会計士による財務諸表監査、内部統制監査というのも、基本的には情報のユーザーの視点で行われていると考えてよいでしょう。

　ところがJ-COSOのフレームワークに基づく内部統制構築そのものは、必ずしも財務情報のユーザー視点にのみ縛られるものではない。しかしながら、J-SoXに対応しているというためには、最低限、財務情報のユーザー視点での信頼性を評価、説明する責任があるということかと思います。

社内の情報ユーザーとIT統制

さて、話を社内の情報ユーザーに絞ってみると、たとえば、経理部門は、コンピュータからアウトプットされている合計残高試算表なりその他の会計帳簿のデータが信頼できるのかということを気にします。もちろん、入力ミス、判断ミスとかいう人が介することで発生する誤謬もありますが、まず心配になるのは、「うちのコンピュータは信用できるのか、使えるのか」ということです。経営者もしばしばそういうことを口にします。本当は「コンピュータが信用できるか」ではなく「コンピュータから出てきたデータなり情報は信用できるか、外部への開示や経営判断に使えるか」ということなので、IT部門や開発会社・ベンダーだけが槍玉に上がるのは不本意かと思いますが、こういうことはよくあることです。そういうユーザー部門の疑問、懸念に答えて「情報の信頼性が確保されるためには、ITを利用した情報システムがどのような要件を満たしていることが必要で、それをこうやって満たしているから大丈夫」、「ここは開発費用が足りなかったり別の理由で不備があるので、代わりにこの部分でちゃんとやってください」、「ここは人手が介するので、別の配慮が必要です」という風に説明するのが、IT統制の評価と思っていただければわかりやすいのでは。

もう少しいえば、経理部門からの「○○システムからアウトプットされる××データは信用できますか？」という問いかけに対し、IT部門なり開発･運用会社が「ITを使った情報システムはこうなっていてこう運用しているので大丈夫です」といったようなやり取りが必要と言うことです。こういうことを普段からやっている会社、または、ちょっと皮肉ではありますが、よく情報システムがトラぶって、経理部門とIT部門または開発・運用会社がもめているようなところは、ユーザー視点からのIT統制というものをIT部門もよくわかっているのではないかと思います。

分散型システムは

ところが、ちょっと前にはやったクラサバによる分散型システムだと、ユーザーが同時にシステム開発責任者であり管理者でもある、または、IT統制をユーザー自身が全面的に担っているというケースもあります。多くの場合はシステムとしては小規模で余り複雑ではないものの、リスクが低いとは決していえない。中小企業、アーリーステージの企業のシステムの多くがそうですし、上場会社クラスでも財務会計システムはスタンドアロンPCとか簡易なLANでつないだ専用クラサバ上に乗っていたりしますが、これらは重要な基幹システムで、IT部門が存在せず、IT統制も十分でないのでリスクも高いということになります。さて、こういうのをどうするのか、というのは社会的には大きな課題ではないかと思います。

それでは、情報ユーザーである経理部門の視点から、どんな疑問がIT部門に投げかけられるのか、その例を考えて見ましょう。（続く）

もうすでに多くの方がご存知かと思いますが、国際会計教育協会というところが内部統制に関するe-Learning講座を開設しています。講師陣は、「ミスター内部統制」の八田進二教授をはじめ、青山学院などで八田教授と共に内部統制に取り組んでいる教授など八田教授の同志ともいえる方々です。

http://www.jiiae.org/

また、この講座に関連した書籍も出版されています。

「内部統制の要点」国際会計教育協会編　第一法規

私はこの本のほうを買って読んでいるところです。

第１部内部統制の制度化の背景とポイント　は八田教授が執筆されていますが、繰り返し、米国SoX法との違いを強調されています。経営環境にあった自主性、創意工夫ということであり、評価としてはトップダウンのリスクアプローチということになるかと思います。

ところが、実際の対応作業では、自主性、創意工夫というのがどこまで発揮されているのか、改めて考えさせられます。自主性、創意工夫が発揮されるためには、会社側も指導する側も、そして監査人も、内部統制の本質及びその会社の経営環境やリスクをきちっと理解していなければなりません。が、本質を理解しないままにマニュアルや雛形に頼りすぎていないか、その結果、自社に合わずにコストばかりかかっているということにはなっていないか。

また、「先に第三者の力を借りることよりも、経営者が自らの責任でどのような状況におかれているかということを確認し（中略）率先して、経営者が責任ある対応を講じるべきであり・・」と述べています。コンサル会社任せで、形だけ整えたはいいものの、経営者自身が自社の実態を把握できていないようなことでは、ということなのでしょうか？これも耳の痛い話ではあります。内部統制コンサルは何をすべきなのか。経営者が自分で率先してできるようにしていくことであって、代行するということではない、ということなのでしょうか。実際には、自分たちで評価するより外部に委託した方が客観的な評価を得られることはあると思いますが、あくまで会社の主体性が保たれるようなやり方でなければならない。

他に、第５章内部統制の要となるIT統制に関する実務対応　にざっと目を通しました。著者は、会計士でありISACAの元会長でありITガバナンス協会の会長でもあります。先日ご紹介した経産省のシステム管理基準にも関わっています。特徴は、日本版COSOでなぜ「ITへの対応」という要素が入れられ、その趣旨がどういうことなのか、ということにかなりのスペースを割いているということ、「リスク」を重視していること、基本的な概念（コントロールなど）の説明が充実していること、IT統制の中でも業務処理統制の説明を先に持ってきてそのあと全般統制について説明しているということ　かと思います。「IT統制といえば全般統制」というのとはちょっと趣が違うので、物足りないかもしれませんが、内部統制評価、内部統制監査の本質からいえば、こういう説明の流れの方が自然なのかもしれません。ユニークで若干とっつきにくいかもしれませんが、本質を突いていますので、「自主性、創意工夫」をするための理解のためにはいいのではないかと個人的には思います。

他はまだ読めていません。

J-SoX対応で大変な思いをされている方々には、マニュアル本よりもこういう本で時々「原点回帰」をしていただくと、悩みが解消するかもしれません。そんな本ではと思いました。

COBIT for SoX Ver2をITガバナンス協会が日本語に翻訳したものが、同協会のウェブサイトに掲載されています。

サーベインズ・オクスリー法（企業改革法）遵守のためのIT 統制目標

財務報告に係る内部統制の設計と導入におけるIT の役割について（第2版）

http://www.itgi.jp/pdfdata/IT_Control_Objectives_for_Sarbanes-Oxley_2nd_Japanese.pdf

日本版SoX法対応で使うべきかはともかく、我が国で最近公表されているシステム管理基準追補版などにも影響を与えており、考え方を理解する上では参考になるのではないでしょうか。ただし、序文にもあるとおり、これに従っていれば問題がないという性格のものでもないので、参考にしながらも監査人等と相談しながら構築を進めるというのが基本のようです。

これも、COBITという世界とCOSO、SoXを結びつけるもので、財務報告の信頼性に関連するIT統制にターゲットを絞って解説しているものです。また、ITの世界の人に業務（この場合は会計業務）、会計監査の考え方を理解してもらう、ということが重視されているように思えます。

また、IT全社統制、全般統制のみならず、業務処理統制についても十分に触れられており、例示も豊富です。IT全般統制については企業のIT部門の方をはじめIT業界の人はとても詳しいものの、会計業務との関係についてはその影響が間接的であるがゆえになかなか理解しづらい。もちろん、IT専門家ではない業務部門の方や一般の会計士が全般統制を理解し、評価するのもかなり困難。一方、業務処理統制は、業務との関連が直接的で、業務をする方や内部監査部門などの内部統制関連部門の方にも比較的なじみやすいものの、IT部門の方にはなかなか理解しづらい。そこで、まず経営者にその趣旨をしっかりと理解していただいた上で、IT専門家に会計業務及び関連する業務処理統制を理解してもらい、COSOの統制目標とCOBITの統制目標がつながるように、ということが意識されているのではないかと思います。

我が国では、IT統制と言うと少々議論が全般統制に偏ってはいないかと思うことがあります。もちろん、経理部門など内部統制に関係する部門がいままでIT部門に任せっぱなしでほとんど気にしていなかったということもあると思いますので、それを否定するわけではありませんが、しかし、業務処理統制が継続して有効に運用することを支えるための全般統制であれば、業務処理統制についてむしろきちっと評価したうえで、関係する全般統制を評価するというのがJ-SoX的には正しい流れです。しかも、業務処理統制は業務とITがクロスするところなので、その両者がうまく連携をとってやらないと、最悪、「お見合い」または「押し付け合い」でスポッと抜けてしまう可能性のあるところです。

そういうことから、お互い完全に理解しあえないまでも、このCOBIT for SoXをIT部門と業務部門で一緒に勉強しながら相互理解を深めるというのは、とても重要なことではないかと思います。

SAS70 調査報告書を用いる際の課題

J-SoXでも外部委託先の内部統制の評価というのがクローズアップされており、委託側も受託側もどのように対応すればよいか頭を痛めているのではないかと思います。外部委託の割合が高い企業になればなるほどその影響は深刻です。そうした場合のヒントの一つとしてSAS70調査報告書の活用と言うのがありますが、その際の留意事項をまとめた項目が参考資料Lに収録されています。我が国ではSAS70的な実務は一般的ではありませんが、今後、真剣に議論されなければならないところです（議論している時間ももうないともいえるのですが）。

小規模企業への配慮～リスク評価

比較的小規模な企業については、「リスクベースのアプローチを採用することで、その状況で必要かつ関連性のあるIT統制のみを実施することが重要になる。常に例外は存在するものの、比較的小規模な企業はリスクを慎重に評価し、必要な統制のみを実施する必要がある。」と述べています。そのため、リスク評価の指針が加えられています。

我が国のJ-SoXにおいても、上場準備会社や上場したての小規模な上場会社でのIT統制評価への対応はコスト面や人材の面から難問ですが、リスク評価を行ってリスクの高いところに領域を絞って重点的にリソースを配分するなどと言うことが必要になるかもしれませんし、小規模でないところについてもリスクアプローチが採用されていることから、同じような考え方が適用できる可能性はあります（評価の結果、どの程度の対応が必要になるかは別として）。そうした対応の際に、このリスク評価の指針は役に立つ可能性があるのではないかと思います。

中身をすべて読んだわけではないので、断定的なことはいえませんが、何らかの役には立ちそうです。

さて、この日本語訳は新日本監査法人のメンバーがボランティアでやったそうです。さすが大監査法人。金にならないことは一切やらないということではなく、社会のため、またプロフェッショナルとして自分たちのノウハウを蓄積し価値を高めていくために、こういう大変な作業を進んで引き受けることには感心します。私の知る限りでは、どうもこの監査法人は翻訳と言うことに関して積極的に取り組むという文化があるのではないかという気がしてなりません。こういうことも、社会的にきちっと評価してあげてほしいなと個人的には思います。

「内部統制＝性悪説」という反発

今回の内部統制騒ぎの中で、そして株式公開準備の中で、内部統制の整備を行おうとするときに、経営者から最初に出てくる言葉は、「うちの社員に限って不正などするわけないので、内部統制など必要ない」「日本はアメリカと違うのだから性善説でよいのだ」という感じのものです。気持ちはよくわかりますが、「うちの子に限って」というその子に限って何か問題を起こすというのは珍しいことではありません。かといって、人間は生来悪であるというのも極論に過ぎるような気がします。そもそも内部統制を「性善説」「性悪説」の二元論で論じてしまってよいのでしょうか？

私は、単純な「性善説」も「性悪説」も内部統制を議論する場合にはふさわしくないと思っています。そもそも内部統制という概念が生まれてきた米国などで一般的なキリスト教的には、人間は生まれた時から罪（原罪）を背負っているといわれますので、それを持って性悪説ということなのかもしれませんが、この場合の「罪」は、「悪」というよりは、人間の弱さとか不完全さに由来するさまざまな過ち、と考えた方がしっくり来るような気がします。

また、遺伝的な性質もあるのかとは思いますが、後天的な影響、育った家庭の環境や現在の経済状態など「環境」に影響を受ける部分が少なくないと思います。貧しくて食うものに困れば、悪いことだと思っていても生きていくためにやむにやまれず盗みを働くこともあるでしょう（許されることではないですが）。倫理観が優れている人の中には、人のものを盗むくらいなら死んだ方がましという人もいるかもしれませんが、そういう意志の強い人ばかりとは限りません。

何をいいたいかというと、人は生まれながらに悪なのでも善なのでもなく、その環境次第で変わってしまう弱い生き物で、また不完全さがゆえにミスも犯すということなのです。そして、そうした不完全さ、弱さをお互いにカバー、助け合って、決定的に悪い方向に行かないようにするのが組織の重要な機能ではないかと思うわけです。何らかの誤りがきっかけで悪い方向に転がりだしてしまった人が、誰かにこの暴走を止めてほしいと思うことがあるようですが、そういう役割を担う人なり仕組みがないと、とんでもない泥沼にはまってしまう危険もあるわけです。また、「失敗を恐れずに思い切ってやれ」と谷底に飛び込むことを命じられた時に、失敗してもカバーしてくれる人、命綱になってくれる人がいないとどうしても失敗を恐れてしまいます。内部統制の仕組みというのは、そんな命綱のようなものでもあると思うわけです。「モニタリング」も「監視」と訳してしまうとなんだか警察とか刑務所みたいな不快な印象を与えてしまいますが、「みまもってくれている」「何かあったら救いの手を差し伸べてくれる」と考えると全然受け止め方が変わってきます。

そうやって考えると、内部統制をきちっと整備、運用することは、社員一人一人を守ることにもつながるわけです。

統制環境を評価するということ

さて、人間、そして人間の集まりである組織というのは、環境によってよい方向へも悪い方向へもいってしまう可能性がある。社員の意識、行動に対して強い影響を与える環境は経営陣の姿勢ですが、経営陣にとっては、経営環境からのプレッシャーというのが意識、行動に強い影響を与える場合もあります。環境を見ればある程度悪い方向に行く可能性があるかないかを予測し、対策を講じておくことはできる。それが統制環境を評価することだということもできるのではないでしょうか。

現実には、経営者の倫理観などが統制環境だといっても、その人間の生い立ちなど、人格を形成するすべての要因を把握、分析、評価することはできないし、限界はあります。従って、可能な範囲内で把握し、不確実、よくわからない部分は「リスク」として対応を考えるしかない。

みまもることと「情報と伝達」

さて、みまもるとはいっても、コミュニケーションが悪く、情報が適切に伝わらなければ、みまもることもできなければ、いざというときに助け舟を出すこともできません。「情報と伝達」という内部統制要素についてはこういう解釈もできるのではないかと思います。今後、在宅勤務（テレワーク）などといった勤務形態が増え、Face to Faceでのコミュニケーションや非公式な「飲みニケーション」のような場も少なくなることが予想されますが、果たして「情報と伝達」をどのように確保していくのでしょうか。

と、ちょっと見方を変えてやるだけで、内部統制への拒絶反応というのもずいぶん和らぐのではないかと思います。社会的責任とか法令面から必要性を論じることも有用な方法ではありますが、日本的な心情に合うような考え方というのも結果が同じであれば許されるのではないか。そんな気持ちでベンチャー企業の経営者には説明しています。

それにしても、米国を含む欧州文化圏の人々は、分析し、体系化して説明するのが得意ですね。

経済産業省は、1月19日に「システム管理基準 追補版（財務報告に係るIT統制ガイダンス）」の公開草案を公表しました。

http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJCD=100595&GROUP=

これは、企業会計審議会の「実施基準」に対し、IT統制にかかる具体的な指針を示そうというものです。

いくつか気になる点を。

１．IT全社的統制

　この言葉は、比較的目新しいのではないかと思います。考え方そのものは従来からシステム管理基準・監査基準に存在したものの、「実施基準」が全社的な内部統制の評価という考え方を明確にしたことに対応して整理されたのではないでしょうか。J-COSOの内部統制の要素と関連付けられて説明されていますが、この中でも、統制環境、リスクの評価と対応、情報と伝達、モニタリングに関する全社的統制の評価というのは重要ではないかと思います。

２．基準作成者

　この基準の作成に関わった人物を見ると、以下の3つのことに気づく。このメンバー構成が、この基準の中身にも影響しているように思えるので、一応気づいたことを書いておきます。ほとんどの人物は、複数の肩書きを持っており、その時々の立場によって使い分けているため、構成メンバー表だけだとなかなかその性格は明らかになってきません。

（１）公認会計士

　この基準の作成に関わった人物の名前を見ると、公認会計士として財務諸表監査を経験し、その中でIT統制を評価してきた人物、及び日本公認会計士協会IT委員会等において監査人によるIT統制の評価の実務指針のようなものを作成してきた人物が多いのに気づきます。つまり、システム系ではなく監査系の発想というのが背景にあり、財務諸表監査におけるIT統制の評価を実施した際の苦労、問題点を十分にわかっている人物です。従って、監査系とシステム系という同じシステムに関わりながらまったく人種、文化、発想が異なる人々をいかに結びつけるかということに気を使っているように思えます。財務諸表項目に関する経営者のアサーションとIT統制目標の関係をどうやってわかりやすく伝えるかということです。この問題はある意味J-SoX対応のキモでもあるので、後日取り上げようと思います。

（２）EA専門家

　次に、EA(Enterprise Architecture）の専門家が少なからず含まれているということです。彼らは、内部統制とEAの関係を重視していますが、たとえば、システム調達に係る統制のところには、EA的な発想が見え隠れしないでしょうか？政府のIT調達にはEAの手法が用いられていることはよく知られています。COSOとEAはもともと出所、切り口が違うようで、両者の関係をうまく説明することに成功している例をほとんど知らないのですが、業務要件の定義というところや情報の流れをつかむというところでつながるのでしょうか。

（３）XBRL専門家

　最後に、何人かはXBRLにも注目しており、内部統制におけるXBRLの活用について取り組んでいます。なお、金融庁のEDINETへのXBRL導入もEAの考え方に基づき進められており、EA専門家の間ではこれとは別にEAとXBRLの親和性というものも理解され始めています。

　こんな背景を頭に思い浮かべながらこの基準を読むと、彼らの熱き思いが伝わってくるかもしれません。

内部統制評価の第一歩は、「統制環境」の理解であります。

「統制環境」とは、内部統制の基本的要素であり、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びＩＴへの対応に影響を及ぼす基盤をいう（基準案）｡この要素に重大な問題があれば、どんなに統制手続を精緻化したところでうまく機能しません。

今回の原料期限切れ事件では、報道されている限りでは、ルールは存在し、文書化もなされ、内部監査のような「監視」という意味での第三者的モニタリングも有効に機能していたように思われます。それどころかISO9000の認証も取得していたというではありませんか。それでも結局あのようなことがおきてしまった。。。

「企業風土」が原因といわれますが、内部統制の用語ではこの「統制環境」に含まれる概念です。内部統制の目的及び6つの要素と絡めていえば、「統制環境」に重要な欠陥があったため、「統制活動」、「情報と伝達」が有効に機能しておらず、「モニタリング」の重要な機能である「是正」がきわめて不十分であり、その結果、「事業活動に関わる法令等の遵守」「資産の保全」などといった内部統制の目的が達成できなかったというふうにいうことができるでしょう。

統制環境評価の難しさ

さて、私は個人的には、社内の従業員である内部統制評価担当が自社の「統制環境」を全社的な内部統制の評価の一環として評価し、文書化するというのが最も難しいのではないかと思っています。会計士は一応外部の第三者であるので客観的に評価することに問題はないものの、その結果を被監査会社に見せることは到底できません。なぜなら、経営者に対する評価も入っているからです。そんなものを社長がご覧になったら怒って監査契約を解除されてしまうかもしれません。まして、社内の人間が果たして経営者の誠実性、倫理観、姿勢を評価し、そこから内部統制上のリスクを素直に評価、文書化することができるのでしょうか？各部門の統制環境であればまだしも、全社ベースとなると難しいのではないでしょうか？もちろん、内部にいるので、心の中では「うちの社長は・・・」なんて評価して飲み屋では意見を述べても、それを文書化して社長や会計士に報告となれば、あまり悪いことは書けないのが人情ではないでしょうか。まして、基準案上は経営者が自らが評価の対象である統制環境の評価を行うことになっているので、果たして客観的な評価ができるのでしょうか？つまり、内部統制の根幹を成す要素でありながら、内部統制の限界といった制約を最も強く受けてしまうのです。

傍から見れば金儲け重視で管理やコンプライアンスを軽視する社長（ある意味最大の内部統制上の重要な欠陥ともいえる）であっても、自分のことはそうは書けない。極論すれば、経営者の意識という重大な欠陥によって、すべての内部統制が無力化しかねない状況下で、経営者の意識の欠陥を否定し、重大な欠陥はないという評価することになってしまいかねないのです。

ではそのような場合に、監査人は果たして会社側の統制環境の評価にどういう判断を下すのか？監査人が感じていることと、会社の評価が違ったらどうするのか？

有価証券報告書から統制環境を読み取る

～本来の制度の趣旨に立ち戻って～

さて、統制環境というのは、有価証券報告書やその他の開示資料からもある程度読み取ることができます。たとえば、例の会社の有価証券報告書を見てどんなことがわかるかをまとめてみるとよいかと思います。もちろん財務諸表を見ることも大事。さらに最近では決算短信同様翌期の業績予測まで記載してある。これは「予測」とはいえ、「対処すべき課題」とあわせ、まさに経営者の意向及び姿勢の現れであるといえます。社内的な損益改善圧力というのは、当然、内部統制の色々なところに影響を与えます。「利益目標必達」などといって「成果主義」と合わせてはっぱをかけすぎると、危ないところに販売して代金が回収できないとか架空売り上げを上げるとか、そういうことにもつながりかねません。業績不振の会社はもちろん、業績が伸びていても「成長鈍化」などと見られたくない、少しでも株価を高くしたいがために粉飾を行うケースもあとを絶ちません。役員の構成や組織図なども統制環境です。

一方、内部統制に影響を与える外部経営環境も読み取ることができます。その業界が成長しているのか、とか取引先の状況とか、法令、制度の変更とかによっても変わってきます。

社内的な統制環境の評価の結果、もし、それが有価証券報告書に記載されていることと違っていたらどうなるのか？「コンプライアンスを重視する」と書いてあったが実際には軽視する傾向がかなり広範囲に見られたとか。そう考えると、内部統制報告書の記載に限らず、有価証券報告書全体の記載事項というのも、内部統制評価担当者は当然目を通しておく必要があるでしょう。なにせ、有価証券報告書の虚偽記載を防止するというのが今回の制度の趣旨ですから、内部統制評価担当者はその本来の目的に沿って有報の内容を十分把握しておく必要があるでしょう。

そんなことを実感するためにも、この機会に是非有価証券報告書から統制環境を読み取る訓練をしていただきたいと思います。

日本公認会計士協会（JICPA）監査・保証実務委員会は、平成１９年１月１５日に監査・保証実務委員会研究報告第19号「重要な虚偽表示のリスクの評価手法」を公表した。

http://db.jicpa.or.jp/visitor/search_detail.php?id=1003

これは、改訂監査基準（平成17年10月28日付け）及び監査基準委員会報告書第27号「監査計画」をはじめとした一連の監査リスクモデル関連の報告書を踏まえ、監査委員会研究報告第15号「経営環境等に関連した固有リスク・チェックリスト」及び同第16号「統制リスクの評価手法」の見直しを行い、新たな研究報告として取りまとめたものである。

監査人が従来の公認会計士監査の一環として行う内部統制の評価（統制リスクの評価）については、旧第１６号「統制リスクの評価手法」から引継ぎ、最新の状況に合わせてアップデートされている。

企業が自ら行う内部統制の評価や監査人による内部統制監査の手法そのものではないが、基本的な考え方はまったく同じといってもよい。各論に入る前に、「実施基準公開草案」とあわせてこの研究報告を読むことによって、財務諸表の適正表示（またはその逆としての虚偽記載が生じるリスク）との関係における内部統制評価全体像、フレームワークをよりよく理解することができる。公認会計士のための専門用語を駆使した難解な文書ではあるが、調書のサンプルなどもあるので、是非目を通していただきたい。

なぜ、使用期限切れになるのか？

さて、例の使用期限切れ原材料使用事件は、毎日次々と新事実が明らかになっているようですが、私がとても不思議に思うのは、そもそもどうして使用期限切れになるまで使われずに残ってしまったのか、ということです。もっとも使用量の多い部類の主要原材料である牛乳や生クリームで、しかも基本的には毎日入荷がある。さらに計画生産していたはず。皆さんご存知のようにスーパーなどで売っている牛乳の消費期限でも最近は１週間くらいあるのですが、それでも使用期限切れが生じてしまうということは、それを超えるようなよほど多くの在庫を抱えているか、後入れ先出し法で払い出しをしたまたは在庫の整理が悪くて古いものが残ってしまった、ということ以外にはなかなか考えにくいのです。詳しい生産工程などはわかりませんが、理想的には、翌日朝から使う分くらいの在庫があればと思ってしまうのですが。また、入出庫記録が不完全などともいわれていますが、棚卸差異の発生状況とか原価計算の実施状況はどうだったのでしょうか？生産計画、発注の方法、在庫の管理などがどのようになっていたか、気になるところです。ただ、在庫の回転期間が極めて短ければ（つまり入庫したらすぐ出庫し、使う）、在庫の管理はあまり重要ではない。そのあたり、業務やシステムが想定していた理想と実態がどう乖離していたのか。また、消費期限の表示というのは、棚卸資産の評価にも関係しているので、それに不正表示があったとすれば、これは粉飾にもつながりかねないということからも、この表示に関する統制手続がどうなっていたのか（本来は在庫評価のためではなく、品質管理のためであっても、在庫評価という財務報告に係る内部統制における統制手続が品質管理に依存している例）。

会計士監査と生産計画、在庫管理

会計士監査では、生産計画、発注、在庫管理の手法そのものを評価するわけではないのですが、発注データや入庫データを使って仕入計上が行われ、出庫データを使って原価計算がおこなわれ、帳簿上の在庫データをベースに棚卸資産の評価がおこなわれるため、少なくともその考え方や仕組み、業務プロセス、そしてそれを支えるITの仕組みと運用状況（業務処理統制及びそれを支える全般統制）は必ず把握します。また、公開準備会社のような場合には、そもそもそういう仕組みすらきちっとできていないので、そこから指導することになります。

多くの会社でまずやったのは、原材料、製品倉庫の整理、大掃除、俗に言うところの5Sです。そうやって、使えない、使う見込みのないものをまず処分させます。同時に、どうしてそのような不要在庫が生じたのかを調べさせます。すると、生産計画と調達（発注）の問題にぶつかります。発注量が多すぎた場合というのは、たとえばこんな理由が考えられます。

1.納期遅れが生じやすい、または、納品までに時間がかかる（特殊品や輸入品）ため、早めに、かつ多めに発注する

2.品質に問題がある場合が多く、多めに発注する

3.大きなロットで買った方が安いので多めに発注して結果的に半端が残る

4.販売予測や生産計画が狂ってしまい（思ったほど売れなかった）、結果的に過剰在庫が生じる。返品も含む

5.帳簿上の在庫数が不正確で、在庫がないと思って発注したら実はあった

とにかく、調達部門から生産部門、物流部門、販売部門（店舗）のあらゆるところにさまざまなリスク（不確実性）があるので、調達、生産はすべて多めに、早めに、という習慣が身についた一方で、あまりに余剰が多すぎて損益にも影響を与え、また、現場でのもったいないという心理が働きすぎて、結果的にルール違反が生じ、余分なもの、例外的なものが増えすぎて、管理そのものが複雑でかつずさんになってしまい、事故につながったというケースは珍しくない。あまり管理部門に人を割けない公開準備会社で複雑な仕組みやルールを運用し、しかもずさんになるというのは最悪です。このような状況では、適正な財務報告を行うための内部統制も機能しません。

ということで、余計なものは捨てさせ、余計なものが生じないよう改善させ、管理の仕組みやルールをシンプルにしてきちっと運用できるようにし、その上で原価計算制度などを構築するのです。その結果、会社全体の効率も上がり、経営の可視性が高まり、何か問題が起きてもすぐに把握、対処ができ、それを適正に報告することができるようになります。

「もったいない」が余剰在庫を増やす

不思議なもので、仮に余剰在庫をかかえても、「もったいない」といって捨てずにとっておくことを認めると、余剰在庫を生じさせることに対する罪悪感がなくなり、ますます余剰在庫が増えていくのです。ところが、余剰は捨てさせるということを徹底すると、短期間では損するように思えますが、「捨てる痛み」（道徳的な意味と実際の損益、自分に対する評価における痛み）を覚えるので、余剰在庫を生じさせないためにはどうすればよいかということを結構真剣に考え出しますし、物を捨てたところにスペースができるので、そのスペースを使っていろいろなことができるようになり、結果的に余剰在庫の発生を少なくすることができるのです。

会計士が「5S」？

会計専門家である会計士が「5S」まで本当にやるのか？　本当にやるのです！　もちろん、細かい技法や実施はその世界の専門家に任せます。しかし、工場往査や棚卸後の工場長講評会や内部統制の改善を求める報告書では、5Sの必要性について触れていました。

このような財務報告に係る内部統制以前のレベルが不十分な企業というのは上場会社の中にも決して少なくないと感じています。ですから、本当にきちっと財務報告に係る内部統制を機能させようと思えば、まずはそれ以前のところから手をつけなければならないと思っています。その手段としてERPの導入を中心としたITの活用はあると思いますが、それと同時に、5Sを中心とした現場での整理整頓、可視性を高める努力というのも必要なのではないでしょうか。業務の流れが複雑になればなるほど、ERPも使いづらくなります。カスタマイズすればするほどIT統制の問題が生じてきます。カスタマイズをしているうちに重要なセキュリティ上の弱点が生じるかもしれません。

繰り返しになりますが、財務報告に係る内部統制が有効であるためには、それ以前、またはその前提となるさまざまな内部統制が有効に機能していることが必要だ、ということは忘れないでいただきたいと思います。今回の事件はそのことを実感するにはよい機会ではないかと思います。

本当にまじめに財務報告の内部統制を整備しようと思ったら、ここまでやらないとだめなんですが、どうも、こういうことより文書化とかIT全般統制に注意が向きすぎているのではないかと個人的には感じているのですが。いかがでしょう？

最近話題になっている某食品メーカーでの期限切れ原料問題。しばしば日本版SoX法でいうところの内部統制との関係で論じられることも少なくないようだ。「日本版SoX法対応だけでは防げない」などといった論調も見られるが、この両者は明らかに密接な関係がある。

簡単に説明すると、原材料の評価を適切に行うためには、使用期限の管理さらにいえば在庫管理が適切に行われていることが不可欠であり、財務報告に係る内部統制は、このようなビジネスリスクマネジメントの一環としての使用期限の管理という統制手続に依拠しているのである。

つまり、使用期限の切れたものは価値がないわけで、当然ゼロ評価されなければならない。また、使用期限が切れていなくても、使用期限内に使用見込みがなければ、通常品と同様の評価はできないのである。

このことから、定期的な棚卸、内部監査、そして会計士による財務諸表監査においても、現物の使用期限のチェックは当たり前のこととして行われている。会計士は、内部統制の評価の一環として、棚卸資産の評価が正しく行われるために使用期限や品質の管理がどのように行われているかということも、棚卸や工場往査の際には必ず見ているのである。しかしながら、ある一時点、しかも予告して在庫の使用期限の管理状況をチェックするので、その時だけ取り繕ってきちっとやられているように見せかけられてしまうこともあり、会計士監査には限界がある。また、原料の出庫記録の不備なども報道されているが、これも「資産の保全」という内部統制目的のための統制手続であり、財務報告に影響を与えるものである。

一方、なぜ使用期限切れ原料が使われたのか、その動機は何なのか、ということも考えなければならない。純粋に「食べ物は大切に」「使用期限が切れていても品質に問題がなければもったいないので使う」ということもあると思うが、一方で、部門利益なり会社利益をよく見せるためにやっているという場合もあるであろう。つまり、業界用語でロス率といわれるが、できる限り廃棄する量を減らすことが利益につながるという重要な考え方があり、ロス率が部門長、工場長などの業績評価にも結びつくということである。本来であれば、生産計画、調達計画の精度を上げ、リアルタイムで在庫の状況を確認できる仕組みを構築することで無駄な発注をやめ、ロスを減らすという方向に行くのだが、業績が悪いとか、生産管理がうまくいかないということがあると、ついこういう方向に走りがちである。つまり、究極的には財務報告をよく見せるために行っているということもあるということなのだ。

これで、使用期限済み原料を使うことと日本版SoX法の関係が明らかになったであろう。

私は前から思っているのであるが、たとえば、ISO9000シリーズの品質管理の仕組みと日本版SoX法でいうところの財務報告に係る内部統制がどうして結びつかないのか、不思議でならない。ISO9000にしても、考えてみれば企業におけるビジネスリスクマネジメントの一環である。財務報告に係る内部統制は、ビジネスリスクマネジメントに依拠する部分が非常に多い。ビジネスリスクを起因とする財務報告の虚偽報告リスクを考えれば理解できるはずだ。

使用期限はなぜ決められているのか、ということも考えなければならない。使用期限が切れても品質に問題がなければ使ってもよいのではないか、という考え方がなぜ否定されなければならないのか。なぜ、飲食業や食品メーカーの「現場」においてこのようなことが必ずしも十分に理解されていないか、ということも検討に値しよう。

会計士監査の世界では、「ビジネスリスクアプローチ」というアプローチが採用されている。つまり、ビジネスリスクに起因する財務報告の虚偽表示リスクを分析し、対応するということである。ビジネスリスクアプローチとリスクアプローチの違いを述べるのはなかなか難しいのであるが、虚偽表示リスクがどこに起因するかということをより広い範囲で見ているまたはより深い原因（根本原因）までさかのぼり、その統制を検証するというようにいえるのであろうか。

企業においてビジネスリスクマネジメントが行われているのは当たり前で、それを前提に財務報告に係る内部統制が存在するといったら極論かもしれないが、少なくとも現在行われているビジネスリスクマネジメントと財務報告に係る内部統制の関係を把握して評価することは重要な作業となろう。そのことが、ビジネスリスクマネジメントのレベルを上げ、結果的に会社をよくすることにつながると考えれば、日本版SoX法対応もあながちビジネスにとって無駄なことではないと思えるのではないか。

今回の問題が、日本版SoX法との関係おいて適切に論じられることを切に希望したい。

謹賀新年

この正月休み、久々にXBRL及び内部統制関係の記事をインターネットで探す。すると、とても興味深い記事にであった。

内部統制、とりわけ企業会計審議会臨時委員で日本版SoX法におけるIT統制に詳しい日本大学商学部　堀江正之教授による2つの記事である。

■日本版SOXとIT統制のポイント

http://www.jasa.jp/naibutousei/horie1.html

■堀江教授インタビュー（後編）
「混乱は不可避、10年スパンで考えよ」　

http://itpro.nikkeibp.co.jp/article/tousei/20060821/246023/

これらの中で、堀江教授は内部統制とXBRLの活用の可能性について言及しておられる。会計システムにおけるXBRLの活用、そして、外部とのデータ等のやり取りにおけるXBRLの活用についてである。詳しくは上記の記事をお読みいただきたいが、企業会計審議会臨時委員がXBRLと内部統制について言及し、しかもITへの対応のポイントの１つに関連して言及しているというところは要注目である。

堀江教授は、XBRLについて二つの点を指摘しているように思われる。ひとつは、内部統制整備においてXBRLを活用するメリットまたはXBRLを使うことでどのように内部統制が強化されるかであり、もうひとつは、XBRL化が進むことによってどのような内部統制上のリスク、とりわけ、セキュリティ面（特に改ざん）でのリスクが生じるかである。XBRLをうまく活用することで、会計システムに有効なコントロールを組み込むことができ、効率化も進むと思われる反面、そのXBRLデータが改ざんされた場合の影響の大きさにも十分配慮すべき、とのお考えであろう。まさにそのとおりであろう。

ただし、1点だけ気になる記述があったので、取り上げておきたい。

http://itpro.nikkeibp.co.jp/article/tousei/20060821/246023/　において

>XBRL形式で財務諸表を表現し、それを会計処理することに問題はありませんか？

>　XBRLのセキュリティに関してほとんど議論されていないという問題があります。2006年の2月にハワイ大学の先生に聞いてみたのですが、ほとんど対応されていない。せいぜいエラーのリスクがあるという程度で、具体的にどういうコントロールを組み込む必要があるかという部分が非常に弱いようですね。ここが一つのネックになる可能性は十分あると思います。

というくだりがある。これについては、補足が必要だろう。確かに、XBRLコンソーシアムではXBRL特有のセキュリティの問題はあまり議論されていない。しかし、一方で、かなり以前からXBRLを導入するメリットとして、セキュリティ面でのメリット、とりわけ改ざんに対する対応が主張されていた時期がある。しかし、それは、XBRL仕様に由来する特有のメリットというよりは、メタ言語たるXMLの一般的なメリットであり、また、既存のセキュリティ技術を組み合わせることで十分対応できるということで、XBRLの標準化団体たるXBRLコンソーシアムでは特に議論がなされてこなかったと考えるべきではないか。もちろん、XMLであるので、テキストエディタで簡単に内容が読めてしまうし（読みづらいが読めないことはなく、かつ、定義が万国共通なので、慣れれば解読は比較的容易）、改ざんも容易であるので、それだけ見ればセキュリティ面で弱いといえなくもないが、この点は対応のしようはある。CSVでのデータ交換を考えればましかもしれない。

たとえば、XMLであるので暗号化は可能であるし、電子署名またはXML署名というものを使うことでXBRL文書が正規のものでかつ改ざんされていないということは立証できる。XBRL文書に含まれる個々のデータのレベルで保証することが技術的には可能である。たとえば、監査人が従来の監査報告書の代わりにXBRL化された財務諸表データに電子署名をすることで、監査済のデータであることをデータユーザーに保証できる。もちろん、有価証券報告書であれば、提出者の電子署名を付することで成りすましによる提出はある程度排除できる。改ざんされた場合には、データ利用者側のアプリケーション上で「改ざんされている」というアラートと改ざんされた箇所が示される。一方、電子署名をつけないこともできるし、暗号化しないこともできる。サーバ等への不正侵入（ハッキング）やアクセスコントロールの問題は、XBRLというよりは、ネットワークセキュリティの問題である。

つまり、XBRLのものがセキュリティ面で解決できない致命的な弱点を持っているわけでも技術的なセキュリティ面での議論が不十分なわけでもないのであるが、XBRLを利用することで、システム全体または企業のIT統制全般において、今まで想定されなかった、またはあまり生じる可能性がなかったような新たな脅威が生じるかもしれないにもかかわらず、その議論も対策もまったくなされていない。特に内部の会計システム等で利用する場合については、そうした議論以前の段階であり、実装段階での議論が全然足りないということをおっしゃりたかったのではなかろうか。もしそうであるとすれば、これは大変重要な示唆である。

XBRLはあくまでXMLによるデータフォーマットであり、XBRL文書はシステム上の用語の定義集（タクソノミ）及びそれを使ったデータである。XML平文でかつ電子署名もなされていない場合の改ざんのしやすさ、Webやメールなどインターネットを通じて行われる企業の外部とのデータのやり取りの過程での情報漏えいや改ざんなどのリスクを、XML署名を含む既存のセキュリティ技術を使っていかに低減させるか、ということを実装段階で導入または利用する側が考える必要がある。「ほとんど議論されていない」というのは、実装する段階にならなければセキュリティに関する具体的な議論ができないにもかかわらず、今まで一般の企業でXBRLが採用されておらず、官公庁や銀行などに採用が限られていたために、議論が表沙汰にならず、一般にノウハウが蓄積、公開されていないということなのかもしれない。米国FDICや日銀をはじめとする中央銀行のようなところがすでにXBRLを導入しているが、その際にセキュリティについての議論がなされていないということはありえないであろう（どのような実装になっているかはともかく）。XBRLの実装もそれにともなうセキュリティの議論も、XBRL導入が本格化する過程でなされてくるであろう。米国については、FDIC以外の導入事例はほとんどなく、EDGARのXBRL化の過程で改めてセキュリティについて議論されると思われるが、企業内部での活用となるとまだまだ先のような気がする。

XBRLについては、まだまだ一般に十分に理解されているとは言いがたく、また、実装上または実務上のさまざまな問題点の洗い出しや解決策などノウハウの蓄積も今後の課題であろう。もちろん、机上でできる議論もあるが、最後はやはり、実装する中で一つ一つ考えていくしかないのではと個人的には思っているのであるが。

金融庁のウェブサイトに11月6日の企業会計審議会内部統制部会の議事録が掲載されている。担当官の説明及びそれに対する医院との質疑応答が掲載されている。

実施基準（案）の趣旨の正しい理解のために、是非目を通されることをお薦めする。特にITに関する議論、評価補助者及び内部監査実施者に関する議論については、なかなか理解しづらい部分でもあり、質問も出ているため、要注意である。

http://www.fsa.go.jp/singi/singi_kigyou/gijiroku/naibu/20061106_naibu.pdf

金融庁より、内部統制実施基準公開草案が正式に公表されました。

http://www.fsa.go.jp/news/18/singi/20061121-2.html

正式名称は

「財務報告に係る内部統制の評価及び監査に関する実施基準－ 公開草案－」です。

意見を12月20日まで受け付けています。インターネットでの意見も可能です。

冒頭の「企業会計審議会内部統制部会作業部会名簿」をみると、私がかつてJICPAでIT委員会報告第1号作成メンバーだった時のメンバーが何人か見られます。このことからも、IT委員会報告第1号及びそれを改正した第3号が今回の実施基準におけるIT部分のベースになっていることがわかります。「ITの利用」の例示が増えている以外は、内容的にはあまり変わっていないように思えます。幸い、IT委員会報告第3号には解説やQ&Aがついていますので、これを読むことで、実施基準のIT部分に関する理解を深めることができるでしょう。

さて、決算・財務プロセスについては、

「決算・財務報告プロセスに係る内部統制は、財務報告の信頼性に関して非常に重要な業務プロセスであることに加え、その実施頻度が日常的な取引に関連する業務プロセスなどに比して低いことから評価できる実例の数は少ないものとなる。したがって、決算・財務報告プロセスに係る内部統制に対しては、一般に、他の内部統制よりも慎重に運用状況の評価を行う必要がある。」

とされています。

また、委託業務については

② 委託業務の評価
イ． 委託業務の評価の範囲
委託業務には、例えば、企業が財務諸表の基礎となる取引の承認、実行、計算、集計、記録又は開示事項の作成等の業務を外部の専門会社に委託している場合が挙げられる。
委託業務に関しては、委託者が責任を有しており、委託業務に係る内部統制についても評価の範囲に含まれる。委託業務が、企業の重要な業務プロセスの一部を構成している場合には、経営者は、当該業務を提供している外部の委託会社の業務に関し、その内部統制の有効性を評価しなければならない。

とされています。

先日も書いたとおり、XBRL化を外部に委託している場合には、開示事項の作成等の業務を外部の専門会社に委託している場合　に該当するかどうかです。決算・財務プロセスは非常に重要な業務プロセスですので、XBRL化が開示事項の作成等の業務にあたるとすれば、内部統制の評価が必要になる場合がありうるということです。恐らく、退職給付関係（年金関係）の注記の元データを外部の保険数理人に計算してもらったり、信託銀行や保険会社から入手した資料を使って記載する場合などが想定されているのではないかと個人的には思いますが、XBRL化の時期が内部統制監査制度の導入の時期と重なる可能性もあり、予断を許しません。

ITに関しては機会を見て思うところを書いてみたいと思います。

内部統制の陰に完全に隠れてしまっていますが、2008年4月頃から、EDINETに提出する有価証券報告書の一部の形式が、現行のHTMLからXBRLというXML系言語に移行します。これは、紙を単に電子化するというのとは全く次元が違う新しい開示のスタイルです。ですから、IT業者や印刷業者に任せておくだけでは不十分で、企業の経理担当、開示担当レベルでも考えておかなければならないことが少なからずあります。

現在、金融庁において仕様についての関係者による検討会が開催されています。

http://www.fsa.go.jp/singi/edinet/siryou/20061026.html

http://www.fsa.go.jp/singi/edinet/20061106.html

実は、EDINETのXBRL化は、内部統制評価、内部統制報告書監査にも影響を与えます。というのも、社内で作成された財務諸表をXBRL化するところの内部統制のあり方が変わってくる可能性があるからです。恐らく、印刷会社に作成を依頼するというのは今までとあまり変わらないと思いますが（短信は別途検討の余地がありますが）、XBRL化の委託に関し、委託先の内部統制の評価の問題が出て来る可能性があります。HTMLの場合には、上場会社が印刷会社によってHTML化されたものを画面、または紙に印刷して目でチェックすることができたので、正直、内部統制の評価をしなくても何とかなったのですが、XBRL化すると、画面上で見てとか印刷して目視でチェックすることが難しくなり、かつ、ITの知識が必要になってしまうことから、印刷会社からあがってきたものを上場会社側で完璧にチェックするということが難しくなる可能性がある。そうなると、印刷会社の内部統制を評価して、その結果、上場会社側ですべてをチェックできなくても、印刷会社に任せておけば大丈夫、という形にしておかないと内部統制上の重大な欠陥ということにもなりかねません。なにせ、社内プロセスをいくらしっかりしても、最終的な提出物の作成段階でミスをしてしまえば、ストレートに重要な虚偽記載になってしまう場合もあるからです。それだけに、印刷会社（またはその他の委託先）のXBRL化に関するノウハウや信頼性がより一層重要になってきます。

このあたりは、まだ米国（EDGARにXBRL導入）でも研究途上で、日本でも日本公認会計士協会が情報収集している段階ですので、最終的にどういう考え方、取り扱いになるかはまったくわかりませんが、XBRL化が決算作業の内部統制に何ら影響を与えないということはなかなか考えにくいのではないかと思います。

なお、2008年4月時点で強制か任意かなど、適用については、金融庁でもまだ意思決定がなされていないようです。また、四半期開示の導入時期とも重なり、果たしてどうなるか予断を許しません。

いずれにしても、内部統制にばかり気を取られていないで、XBRL化にも是非注目していただきたいと思います。

15、16の両日、東京国際フォーラムでMicrosoft Conferenceが開催されている。私も見に行ってきた。大部分はVistaとサーバ製品であるが、その中でも内部統制に関する展示やセッションもあり、盛況であった。

内部統制に関しては、Visioなどを使ったフローチャートやRCM作成管理ソフトがメインであった。非常によくできていると思った。ただ、細かく見たわけではないのではっきりとしたことはいえないが、説明として「文書管理」「IT」という言葉の使い方が混乱を招きはしないかと心配になった。「文書管理」とは言っても、実際には、内部統制評価文書の作成・管理という意味で使われている場合と、普段の業務の中で作成される証憑などの文書や規程・ルール類、決裁書類の保存という意味で使われたりといったことがある。また、IT全般統制の整備に対するソリューションと、ITを使った評価文書の作成・管理もちょっと見ただけでは混乱するかもしれない。また、それぞれの製品なりサービスが、内部統制評価プロセスのどの部分をカバーするものなのか、ということが示されていないケースもあったように思える。

残念ながら見ることはできなかったのだが、気になるのがIT統制に関する評価文書。IT統制の統制目標と財務諸表作成に関する内部統制の評価におけるアサーションは必ずしも1対１で対応するわけではなく（特に全般統制は）、そこの結びつきをどう表現するのかということと、フローチャートなどにおいて手作業による統制とITを使った統制があり、ITを使った統制をどのように表現していくのかということ。例えば、業務処理統制の評価において、人間が一つ一つ目で見てチェックする場合とコンピュータ上のマスタとの照合でエラーを自動的に示すなりエラーのあった取引を拒絶するなりといった場合をどのように表現するのか。

さて、これとは別にBizTalk serverに関するセッションもあった。Excelで入力したものをBizTalk Serverを介してそれぞれの業務アプリケーションに自動的に取り込む仕組みの説明であった。多くの企業でExcelで管理を行っているが、二重入力の問題とか改ざん防止の問題（変更履歴が残らない等）だとか、Excelではワークフローが構築できず､ということで、米国でもSoX法導入時にExcelによる管理の問題点が指摘されている。したがって、MSとしてもExcelシートですべての業務処理を行うのではなく、入力原票または入力フォーム、つまりヒューマンインターフェースの部分に利用してもらい、データそのものはExcelからXML形式で保存したものからMSのサーバ製品にあるDB等に格納し、安全性を高めたり、ワークフローの中に承認手続を設定したりできようにすることを考えているようである。

実は、Excelには簡易フォーム作成用の独自のXMLスキーマが実装されているが、このスキーマにXBRL GLを導入することで、ERP等との親和性を増すことができると考えられる。私の今の研究テーマの一つであり、中小規模の上場会社や上場準備会社では、J-SoX法対応する上で有用なソリューションを提供するであろうと思われる。詳細は別の機会にということで、今晩はこの辺で。

あまりIT系の内部統制解説本には書かれていないと思うが、日本版SoX法における経営者による内部統制評価の実務の考え方、具体的な方法論というのは、実はその考え方のほとんどが公認会計士監査による財務諸表監査における統制リスクの評価とその対応から来ている。IT関係の内部統制についても全く同様である。従って、内部統制評価実務の考え方を知る上で、財務諸表監査の考え方や手法を学ぶことが有用である。

財務諸表監査は「監査基準」に基づいて実施されているが、実際には、日本公認会計士協会監査基準委員会報告書が現場の会計士の実務指針となっている。ITの統制リスクの評価については、JICPA IT委員会報告第3号というのがこれにあたる。私は、この3号の前身である1号の作成に携わっていたが、基本的な中身は大きく変わっていない。この委員会での議論の中身というのは、恐らく経営者自身が行う評価においても問題となるであろう。

最近は、JICPAウェブサイト（www.jicpa.or.jp）でもこれらの報告書が閲覧できるので、関係者は是非目を通しておかれることをオススメする。「実施基準」よりかなり具体的な記述になっている。監査人が行う内部統制報告書監査においても、これらの報告書がベースになってくる。また、これらの報告書は国際的な基準（国際監査基準ISA）に合致するよう改訂されている。

実際には、大手監査法人は、それぞれの提携先の監査手法を用いているが、その基本は本家COSOの考え方であり、SoX法対応を踏まえてブラッシュアップされたものである。もちろん、我が国で監査証明業務を行う以上、我が国の監査基準や委員会報告書に従わなければならないわけで、両者が大きく矛盾しないように考えられているので、とりあえず委員会報告等に従っていれば問題ない。監査法人がSoX法対応のコンサル（アドバイザリー）サービスができるというのも、こうした財務諸表監査におけるノウハウが全世界的に蓄積しているからである。ITの評価についても、財務諸表監査における考え方、手法が利用できる。

さて、企業側が財務諸表監査の考え方、ノウハウを学ぶのに、JICPAの報告書を読むことももちろん必要だが、一方で、財務諸表監査を受ける立場において、監査人が何を調べてどう評価し、それがどう次のアクションに結びついているかをよく見て、盗むとよい。ただマニュアルに従って、よくわからないままでやっているようなレベルの会計士は別として、普通は、内部統制評価の際に、何のためにある手続を実施し、それをどう次ぎの監査手続または監査意見に結びつくかを考えてやっているはずなので、内部統制の評価を監査人が行っている際に、何のためにやっているのか、何を検証しようとしているのか（どのような心証を得ようとしているのか）を聞いてみるとよい。

基本的には監査調書を被監査会社には見せられないし、被監査会社が監査人の調書を参考にして内部統制評価を行うことは許されないが、なぜこのような手続をやるのか位は教えてくれるだろう。手の内を見せたくないという気持ちの反面、手続の意味を被監査会社に理解してもらうことで、監査手続の実施を円滑にし、報酬請求の際の説得材料にできるので、きちっと説明してくれるだろう。

会計監査を「仕方なくうける」というスタンスではなく、是非、内部統制整備、評価のノウハウを蓄積するために積極的、前向きな気持ちで受けていただきたい。

次回は、なぜ、内部統制評価が監査手続において重要視されるのかについて述べてみたい。

内部統制評価実施基準を読んでいると、頭が痛くなる。日本語としてはわかるが、言っていることがよくわからない。まるで謎解きをしているようだ。

ということで、もう一度原点に帰って考えてみる。

１．私の会社はいままで有価証券報告書（財務報告）を開示府令、財務諸表等規則などの要求に従い、会計基準などに準拠しながら適切に作成してきた、と自信をもって言えるか。

・記載すべき事項は漏れなく記載したか

・記載した事項は事実や会社の正式な判断に基づき適切に記載されていたか

・記載した財務諸表等は、会計基準等に基づき適切に会計処理された結果を反映していたか

・監査人が財務諸表の適正性を監査基準に基づき証明するために必要な手続を実施できる状態になっていたか

２．当期末も有価証券報告書等を開示府令、財務諸表等規則などの要求に従い、会計基準などに準拠しながら適時に適切に作成できるのか

・有価証券報告書を適切に作成する責任は経営者にある

・経営者は有価証券報告書を適切に作成するために必要な措置を講じなければならない

・経営者は、監査人が監査基準に従い、財務諸表等の適正性を証明するために必要な手続が実施できる状態になっていなければならない（監査が実施できなければ、不適正または意見不表明になり、上場廃止などのペナルティがありうる）

３．経営者は、自社が有価証券報告書を適時に適切に作成できるのか、財務諸表監査に耐えうるのかどうかを評価し、問題点があれば改善すると共に、その結果を報告することで、経営者がその責任を果たしていることを示し、かつ、適切に作成できると評価したのかの理由を示し、利害関係者の信頼を得ることが重要である

・評価結果を外部に報告する対象は財務報告に係る内部統制であるが、そもそも会社が内部統制を整備する目的は、財務報告に限らず株主や利害関係者に対する責任を果たすことにあるので、その責任を果たすための内部統制の構築、社内的な評価は財務報告に直接関係しない内部統制も対象になる

４．もし、経営者による内部統制評価及び監査人の監査の結果、問題がなかったとしても、実際に重要な虚偽記載が発生してしまい、訴訟になった場合に、経営者としてやるべきことをやり、果たすべき責任を果たしており、刑事も民事も責任はないと主張できるか

→どこまでやれば一般的に見てやるべきことをやったとみなされるのか→各社の状況によって異なるので、一律に示すことはできない→コストと効果の関係を無視してあらゆる対策を講じるか、やるべきことを必要最低限にとどめ、なぜこれで十分なのかを自ら考えて説明するか、のどちらか（またはその中間）→実務慣行の成熟に期待？

・仮に監査人が評価結果に対し適正意見を出していたとしても、それをもって経営者が免責されるのか

・やることにはなっていたが、実際には有名無実化し、それを内部監査等で発見できないまたは問題が報告されていたのに改善しなかったようなケースには、経営者がやるべきことをやっていたとはいえないのではないか

５．監査人は、内部統制報告書監査で、内部統制報告書そのもの及び財務報告の重要な虚偽記載につながるような重大な問題を発見できず、それが原因で財務情報の重要な虚偽記載が発生した場合に、訴訟や当局の捜査においてやるべきことをきちっとやったのかが問われるが、その時に自らが実施した手続について説明できるか

と、こんなことを考えていればよいのではないか。１．２はいままでも存在した考え方だが、内部統制評価・監査制度の導入によって、３．４が注目されることになる。また、５については従来の財務諸表監査の枠組みの中でも生じていた問題だが、より一層重い責任が問われる可能性がある。２は日本版COSOに関係し、日本版SoX法というのは３～５に関係する

実施基準を読む場合には、ある項目が１から５のいずれに関係し、経営者（企業）の責任に関することなのか、監査人の責任に関することなのかを整理するのがよいと思う。

例えば、「文書管理」と一言でいっても、いわゆる社内ルール・手順書のようなもの、取引記録に係る文書（帳簿や証憑類も含む）、社内決裁（意思決定）に係る文書、内部監査調書、評価の過程で作成する各種文書（フローチャートやRCMなど）、評価結果及び改善に関する文書、対外的な内部統制報告書といった全く性格の違うものが含まれる。また、法令上（例えば会社法や法人税法）の要請によって保存期間や方法が決められているものもあれば、リスクマネジメント、訴訟対策などの観点から社内規定で決めているものもある。こうした企業側の責任で作成、管理されるべきものと、監査人側の監査調書というものは区別されなければならない。どのような文書を何のためにどのようにどの程度の期間保管、管理するのかということは、その目的によって異なる。一律に決められるものではないのだ。

金融庁ウェブサイトに内部統制実施基準案が掲載されている。

http://www.fsa.go.jp/singi/singi_kigyou/siryou/naibu/20061106.html

中身はまだよく読んでいないが、とりあえず紹介だけしておこう。

新聞記事だとどうもよくわからないので、原文にあたることをオススメする。

特に重要性基準については、例示であって一律に決められるものではない性格のものとそうではないものとがあるということと、監査人（監査法人）が財務諸表監査において用いる重要性基準値との関係も影響してくるという点に注意してお読みいただければと思う。また、内部統制に関する文書等の保存期間（5年）に関連するところも注意してお読みになるとよい。ここでいっている対象となる文書等が具体的に何を指すのか、ということを読み間違えると、文書または電子データ保管コストがバカにならないということにもなりかねない。すべてのデータを保存する必要があるのか、それとも内部統制の整備、運用状況を示すもの（内部統制関連文書及び内部監査にかかる調書など）に限るのかで、ずいぶん異なってくる。例えば、電子メールを監視するという統制手続に関連してメールは何年保存するのか、さらに、サーバのアクセスログはどうするのか。すべてのアクセスログを5年間保存する必要があるのかなどといった点が気になる。「念のため」といってなんでもかんでも保存というわけにも行かないだろうし、いままで2年程度または税務調査が来る3年おきくらいのサイクルで廃棄しているものもあるだろう。また、正式文書と単なるメモ（例えば電話メモ）とか下書きのようなものをどう切り分けるかなども考えなければならないかもしれない。監査法人では、何が保存義務のある監査調書で何がそうでないのか、または何を監査調書に入れ、何を入れてはいけないのか、などということも結構シビアに考えられている。それと同じようなことを企業側もしなければならないのかもしれない。

また、案外嫌なのが、外部委託先の評価である。これは、財務諸表監査を行う監査人にとっても悩みの種である。特にITが絡むところでは、委託先のセキュリティポリシーやプライバシーポリシーの問題などもあり、一筋縄では行かない。しかしながら、アウトソーシングが当たり前になっている現在、これを無視することができないということであろう。相手のあることなので、交渉しなければならない。

気になったのはそんなところである。

最近来るメールマガジンには、日本版SoX法とか内部統制関係の記事とか広告が非常に多い。タイトルだけ見ると、えっ？というものもある。内部統制と関連付ければ何でも売れるということなのか。

では、ここで、広告でよく見かけるうたい文句を元に問題。

Q1　個人情報保護とセキュリティと日本版SoX法の関係について述べてください

・個人情報保護対応は、日本版SoX法対応に不可欠か？

・セキュリティを万全にすることが日本版SoX法対応に不可欠か？

　不可欠な場合、その理由

Q2　日本版SoX法と日本版COSOの関係について述べてください

・両者は同じものである？

Q3　日本版SoX法の目的について述べてください

・ITビジネスの発展のため？

・単なるアメリカの真似？

・会計士業界の陰謀？

Q4　実施基準の本来の目的は？

この4つに答えられるようなら、日本版SoX法についてかなりきちっと理解されているということ。宣伝文句に振り回されることもないであろう。

世の中、とりわけIT業界は「内部統制」で大賑わいである。それはそれでいいのであるが、一方、会計士の間には「なにをいまさら、内部統制」という雰囲気があるのも事実である。というのも、公認会計士監査では何十年も昔から内部統制の評価を行ってきており、また、内部統制構築指導をしているからである。そして１０年近く前からCOSOフレームワークに基づいた内部統制の考え方というものもかなり知られていた。それは、監査手続にも反映されている。そして、その内部統制評価は、あくまで財務諸表の適正性を担保するという内部統制の目的の一部にフォーカスしている（資産の保全については意見が分かれるところであるが）。日本版SoX法が施行されても、その本質は何ら変わることがない。

では、何が変わったのか。なぜ、いまこんなに大騒ぎしなければならないのか。いままで、上場企業に内部統制が全く存在していなかったのか、または必ずしも十分に機能していなかったのか。いままでのやり方ではダメなのか。そういう感覚をお持ちの方も少なくないように思われる。確かに、内部統制が存在していなかったわけではないが、COSOフレームワークに照らしてそれを外部に説明すること（内部統制報告書）がなかったのではないか。そして、監査人が内部統制について何らかの意見を述べるということもなかった。そして、もちろん、内部統制的な視点はあるにはあったが、おおむね管理より効率重視で、業務及びシステムが組まれていたのも事実である。しかし、自ら説明し、もし虚偽であれば上場廃止他社会的制裁を受け、また、内部統制報告書が監査対象になるということになると、監査人もリスクを軽減するために、より詳細な説明やその運用の説明を求めることになる。企業もそれに対応しなければならない。ではどうすれば監査人の要求にこたえられるのか、裏を返せば監査人はどういうことをどういう見方で見て適否の判断をするのかということを知りたい。それが「実施基準」である。これは試験などで評価項目や評価基準のようなもので、いい点を取れるようにあらかじめ採点項目を知っておいてそこに集中して対策を講じる（傾向と対策）、というのに似ているような気がする。

今日から、心機一転。自由な立場からXBRL、内部統制、ITベンチャーについて語ってみようと思う。特に、これからどうなるのか、実務上どう対応すればよいのか、何が問題なのかなどを書いてみたい。なお、これらはすべて私自身の個人的見解・意見である。

【XBRL】

電子開示のための最新のコンピュータ言語。いまの本職。いちいち細かい解説はしないので、詳しくは以下を参照してほしい。

http://www.xbrl-jp.org

http://www.xbrl.org

XBRLで何がどう変わるのかなどに関する私見を述べてみたい。

【内部統制】

内部統制一般のことや日本版COSO,日本版SoX法に関する世の中の大騒ぎについて思っていることを書こうと思う。多分役にはたたないが、やらされる会社担当者の共感は得られるかもしれない。

【ITベンチャー】

もともとITベンチャーの株式公開支援をやっていた。やはり、XBRLの普及のためにはITベンチャーの力が必要と考えているので、ITベンチャーの株式公開についての雑感を述べてみたい。

と、その時の気分で内容がころころ変わるかもしれないが、新しいことが起きる時はそうなる、というように思っていただければ幸いである。