XBRLと内部統制、J-SoX

以前予告したとおり、金融庁は4月2日に、「内部統制報告制度に関するＱ＆Ａ」の再追加を公表しました。

新たに主として以下の内容の24問を追加。

◇「重要な欠陥」の判断（問68～70、75、77）

◇子会社の売却・業績悪化等により重要な事業拠点の選定指標が一定の割合に達しない等の場合の取扱い（問73、74）

◇内部統制報告書の記載内容（問101～107）

重要な欠陥については、判断基準や金額的影響額の算定方法といったことではなく、実務的に決算早期化の影響でチェック前の決算書を監査人に見せて指摘を受けた場合とか、決算短信の修正があった場合に、直ちに重要な欠陥になるわけではないといったことが記載されています。

「内部統制報告書の記載内容」は、いわば記載例、文例ともいえます。いままでずっと「記載例は公表しない」といい続けてきた金融庁ですが、アンケートや問い合わせの結果を踏まえ、実務の混乱が予想されることに配慮したのでしょう。

一応、「記載内容については、各企業の実情等に応じて記載することが適当であり、記載内容の例については、あくまでも参考であることに留意する必要がある。」という立場は崩していないものの、事実上のスタンダードになるのではないかと思われます。

この中には、監査人の過度な要求（といおうか、実施基準に対する誤解による誤った指導）により、期末直前になって評価範囲の変更を余儀なくされそうになっている上場会社にとっては「救い」となるようなものが含まれています。

例えば

「企業が重要な事業拠点を選定する際の一定割合として、「概ね２/３」というように選定の方針を記載しているのであれば、実績値は不要であり、方針とした一定割合を記載することで足りるものと考えられる。」

というのであれば、業績の変動等があっても2/3を絶対に割り込まないように、保守的に評価範囲を広めに取っておくといったことも必要なくなります。

今回一番驚いたのは、内部統制報告書文例の中で、「内部統制を整備せず評価を実施しなかった場合」の文例が示されていることです。こんなことは元々想定外ではあったはずですが、実際にふたを開けてみると、こういう上場会社も現実に出てくる可能性が十分あるということと、仮に、「内部統制を整備せず評価を実施しなかった」ということで、結論不表明の内部統制報告書を提出し、同じく監査意見不表明の内部統制監査報告書が提出されてもペナルティがないこともあり、初年度はある程度やむなし、という実質的な救済策を提示したともいえます。しかも「やむをえない事情で」評価できなかったということではない以下のようなケースを想定していることには正直驚きを隠しえません。

「財務報告の信頼性に関するリスクの評価と対応を実施しなかった理由は、連結グループ全体において、間接部門を中心に人員を削減しており、連結子会社において経理及び財務の知識・経験を有した者をリスクの評価に従事させることが困難であったためである。」「一方、財務報告に係る内部統制の整備及び運用の重要性は認識しており、これらの人員の制約はあるものの、環境を整備し、今後×年間で評価を完了させる方針である。」

これで許されるなら、今までの苦労は一体なんだったのか？と怒られる方もいらっしゃるかもしれません。整備を数年かけて、ではなく、評価そのものも数年かけてということなのです。

おりしも世界的な不況で、リストラが盛んに行われつつありますが、それで内部統制評価ができなくてもやむなし、というくらいの感じにも見えます。制度は導入するが、実質的には出来なくても仕方がないという妥協です。制度の緩和または「徳政令」といってもいいかもしれません。ただ、元々、評価自体が目的というよりは、内部統制を整備して適切な財務諸表を作成することが目的なので、そういう意味では、極めて現実的な解決をしたのかもしれません。

いずれにせよ、かなり衝撃的な内容も含んでいるので、是非早いうちに目を通されることを強くおススメいたします。

いよいよ決算期も近づき、内部統制報告書にどのように記載すればよいのかについて悩み始めている上場会社も少なくないと思います。金融庁では、内部統制が各社各様であるということから、内部統制報告書の記載例を公表しない方針で来たようですが、やはり上場会社からの要望が多いようで、「Q&A」の追加の形で記載例を示す方向で検討しているようです。また、金融庁に問い合わせが多かった事項についても、Q&Aに反映するみたいです。金融庁としては今月中には何とかしたいようですが、もし出たらお知らせします。

また、監査人側の実務指針である監査保証実務委員会報告第82号が改正されました。重要な欠陥の説明や、必要な評価を実施できなかった場合の監査報告書上の取り扱い、IT全般統制の不備の取り扱いなどが追加されています。様々な理由で、上場会社が評価が終わらなかった場合であっても、評価した範囲内で重要な欠陥がある場合には、その旨を内部統制報告書に記載することになりますが、その場合に、監査人は適正意見を出せるかということが問題になります。評価できなかった部分が重要であれば、監査意見不表明にするということのようです。

http://www.hp.jicpa.or.jp/specialized_field/82_3.html

日本公認会計士協会は、内部統制監査実務指針改正案を公表しました。

「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正について」（公開草案）の公表について
http://www.hp.jicpa.or.jp/specialized_field/82_2.html

主な改正点は、

・IT全般統制の不備の取り扱い

・全社的統制の不備の取り扱い

・重要な欠陥の判断基準の明確化

ですが、記述は若干詳しくなったものの、なおかつこれだけ読んでも具体的なイメージが思い浮かばないというのが読んでみての実感です。

特に重要な欠陥については、重要な誤謬が「発生可能性」を判断するのがなかなか難しい。統制エラーの発生可能性を運用テストにおける統計的サンプリングである程度推測することはできますが、統制エラーが必ずしも会計処理の誤謬や不正に結びつくわけではないので、統制エラーから財務報告の重要な虚偽記載の発生可能性を推測するのはかなり困難。もちろん、統制エラーによって虚偽記載が生じるケースもありますが、多くの場合、上司がちゃんとみていなくても担当者がちゃんとやっていれば誤謬は発生しません。

などと考えているとますますわからなくなります。

理屈では説明できても、現実にはとても難しい判断です。監査人もとても困惑するのではないかと思うのですが。

理解できるかどうかはともかく、最低限目を通されておくことはオススメします。

内部統制の評価基準日まであと2ヶ月ちょっと。

ところが、ここにきて内部統制整備にとっては大逆風が吹いています。いうまでもなく、不況の影響。あちらこちらで人員削減。いまは、期間工や派遣社員を中心とした工場での生産ラインの作業者が注目されていますが、そう遠くないうちに、正社員、派遣社員を問わず管理部門にもメスが入れられることは、過去の例からおおよそ察しがつきます。また、システム統制も抑制されざるを得ないでしょう。

そうなった時に、果たしてここ数年で構築してきた内部統制が維持できるのか、または、重要な欠陥が解消できるのか、といった問題は、どうも表にでてきていないようですが、業務の効率化まで踏み込めていない表面的なJ-SOX対応で済ませてきたところは、もしかしたら耐えられないかもしれません。

また、このような状況下で、「重要な欠陥」を表明することが、株価や企業経営にどのような影響を与えるのかというのも懸念材料です。業績がよく、株価も好調な時であればあまり影響ないかもしれませんが、今のような状況では一体どうなるのか見当もつきません。

人員削減、コスト削減の中で、いかに内部統制のレベルを下げずに維持するか、また、三点セットのメンテナンスや評価要員をいかにして確保するのか、ということを、今から真剣に考えておく必要があるのではないかと思います。

経団連もJ-SOX適用延期の要望などは今のところ出していないようですが、上場会社側の実態というのはどうなっているのでしょう？

現時点で議論することは時期尚早かもしれませんが、個人的には、内部統制報告書において「重要な欠陥」があり、かつ改善されていない旨が記載された場合に、経営にどのような影響が出るかを、「危機管理」の一環として考えておく必要はないのかということが気になっています。

著名な会計士や学者の先生は、制度の趣旨は、内部統制を改善していくことにあるのだから、初年度はどんどん重要な欠陥を出した方がよいというようなことをおっしゃいますし、取引所も重要な欠陥があることをもって上場廃止の対象にはしないということは明らかにしてはいますが、だからといって、重要な欠陥が次から次へと開示された場合に、上場廃止にならないからいい、で済まされるのでしょうか？昨今の株価の状況や、実体経済の悪化に伴う企業の業績悪化という不安定要因がある中で、仮にそれが経営に直結しない内容であっても、株価にネガティブな影響を与える可能性が皆無といえるでしょうか？　最悪のシナリオでは、株価下落→信用不安→資金繰り悪化→倒産といったスパイラルに陥る可能性はないのでしょうか？　もちろん、ゴーイングコンサーン注記に比較すればインパクトは小さいかもしれませんが、ネガティブな情報であることは間違いありません。

時価会計の見直しという超法規的な措置まで取りざたされている中で、果たしてこの経済状況で何が何でもJ-SoXを当期から適用するだけの重要性はあるのでしょうか？業績が急激に悪化する中でコスト負担に耐えられない上場会社が出てきたらどうなるのでしょう？監査人も、経済状況が悪化すれば粉飾のリスクが高まりますから、もっとリスクの高いところにリソースをつぎ込まないと、とんでもない失敗をやらかしてしまわないでしょうか？

と、考えると、状況次第では、適用の1年延期などということも経団連あたりから申し入れをするなどという可能性はないのでしょうか？

これは全くの個人的感覚なので、実際にそうなるかどうかはまったくわかりませんが、何となくそのくらいのことはやってもよいのでは・・・という気持ちはあります。

そもそも、八田教授のように「重要な欠陥」という訳語が適切ではないのではないか、ということをおっしゃる方もいらっしゃいます。あたかも致命的な欠陥があるようなとらえ方をされてしまいますが、致命的ということではないということのようです。つまり、言葉の持つイメージと実際に生じている問題の重要性にはギャップがあるようです。しかしこのギャップは、投資家をミスリードする可能性はあるということ。であれば、なおさら、用語の見直しを行うべきです。用語が不適切であったがために投資家をミスリードし、必要以上に株価に影響が及び、市場の混乱に結びつくようなことを避けるべきではないかと思います。

実務的にも、「重要な欠陥」になるかどうかのレベル感がさっぱり見えてこない。監査人一人ひとりによってレベル感がバラバラ、などという状況では、投資家のミスリードのリスクは高くなる一方。当然、経営リスクも高まってしまうわけで、企業を取り巻く環境事態が危機的な状態の中で果たしてそれだけのリスクを企業に負わせることができるのか。

どういうわけか、新聞などを読んでもそういう論調のことはほとんど出てきていません。「いまさら」ということはもちろんありますが、もし、内部統制に重要な不備のある上場企業を証券市場から退場させようということではなく、内部統制を是正していくことが制度の趣旨であるならば、何もことを急ぐ必要はない。上場会社が安心して重要な欠陥を開示して、かつ適切に対応できる環境を整備した上で導入しても遅くないのではないか。

考えすぎ、心配しすぎかもしれませんが、最近の株価の状況を見ていると、やはり、心配になります。果たして誰か声を上げるのでしょうか？

あちらこちらでJ-SOXの対応状況等に関するアンケート調査の結果が公表され、意外と対応が遅れている上場会社が多いなという感覚をお持ちの方も少なくないのではないかと思います。

それはともかく、具体的に作業を進めていくと、どうしても「茶番」になりがちな場面に遭遇することになります。実態が全く伴っていないのに、形式ばかり整えさせられる。内部統制の不備を是正することより、3点セットの書き方を直す方が優先させられる。そんな、どう考えても本末転倒なことに納得できない、という方もいらっしゃるでしょう。

例えば、数人しか社員がおらず、経理も会計事務所任せ、チェックは監査人任せの子会社の中で、決算財務報告プロセスに係る内部統制を整備しろといわれても、経理知識が全くない人が財務諸表を形式的にチェックするという程度が精一杯で、事実上、監査人の監査に頼らざるを得ないにもかかわらず、それでは内部統制の不備といわれる。では、経理の専門家を高い給料で雇わなくてはならないのか。せいぜい、親会社が子会社の業務委託先や監査人に親会社の方針を伝えて、それに基づいて経理処理なり監査をしてもらうということくらいしか出来ません。

こういう実態は、どこにでもあるにもかかわらず、金融庁は、この問題には触れようとしない。せいぜい業務分掌の問題までです。つまり、解決不能な「内部統制の不備」が厳然と存在するということに目をつぶって建前で処理するしかないということです。

さらに、決算財務報告プロセスの内部統制の評価というのも、極めて形式的になりがちです。経理実務がよくわからない内部監査部門の「シロウト」さんが、実質的に内部統制が有効に機能しているかをチェックしようと思っても、なかなか難しいでしょう。経理部門がチェックリストを作ったりしてお膳立てをして、それを内部監査部門が形式的にこなす。承認印の有無はチェックできても、その中身が本当にきちっとしているのかどうか、つまり実質的に統制が効いているのかどうかを確かめることがなかなかできません。繰延税金資産の回収可能性の判断をきちっと見ているか、などということは結果から判断するしかありませんが、単純な計算チェックや元データとの照合程度ならできても、判断に係ることが内部監査部門にそう簡単にできるとは思えません。これも実質的には監査人がチェックするしか方法がない。

決算財務報告プロセスだけでなく、IT統制についても、IT部門がお膳立てしたチェックリストなどで形式的にチェックすることはできても、内部監査部門が実質的に統制が効いているかどうかを検証することはなかなか難しい。あくまでも表面的なチェックにとどまらざるを得ない。こんなことで、内部統制のレベルを向上させることができるのか。形式的な「評価」自体が自己目的化してしまい、本来の目的である財務報告の信頼性向上に寄与しないのではないか。

J-SOXがすべて茶番とは言わない。実質的に役立つ部分もたくさんある。しかし、目的からして最も重要な決算財務報告プロセスの評価が「茶番」ということになると、果たしてここまで手間をかけてやるほどのことなのだろうか、という気もしないではありません。

J-SOXは、ダイレクトレポーティングを採用しないということをメリットの一つとしていますが、逆にそれが、「内部統制評価」に対する監査人の要求を厳しくし、茶番をよりいっそう本末転倒なものにしてしまってはいないか。

本末転倒なことについては、どしどし声を出していただきたい。大事なことは、適正な財務報告を作成し、投資家に提供することであって、3点セットを監査人の主義に合わせて理論的に完璧に美しく作ることではない。

金融庁もたびたびそういうことをいっているのにもかかわらず、個々の監査人に届かないのはなぜか。Q&Aなどを出しっぱなしにするのではなく、監査法人とよくディスカッションすべきだ。昔は、監査人は、不適正意見を出すことが目的で監査をしているのではなく、正しい財務諸表を作成させ、適正意見を出すために監査をしているのだといわれていました。しかし、正しい財務諸表を作成させるために指導性を発揮せず、批判性ばかり発揮していると、結局、不適正意見や意見不表明ばかりが連発されることになり、投資家のためにはならない。投資家は不適正意見がほしいのではなく、適正な財務諸表を必要としているのです。内部統制監査については、適正な財務諸表の作成が可能となる内部統制が構築されていることを求めるのであって、3点セットの作り方が悪いといって不適正意見を出すことを求めているわけではありません。

景気後退期にあって、上場会社も茶番に金をかけている余裕はなくなってくるはずです。コストをかけられないからこそ、本来の目的が達成されるように大事に金をかけるべきです。

本番年度に入ってしばらく静かだったJ-SOX関係。ここのところアンケート結果が公表されたりして、再び話題が出てきました。文書化の遅れとか、全社的統制整備の遅れとか、相変わらずIT統制に係るツールの導入とか・・・。

しかし、私が業界人として一番心配なのは、内部統制監査が実質的にちゃんとできるのかどうか、監査人、特に若手会計士に内部統制の不備を見抜く力があるのか、及び内部統制の不備を会社自身に改善させる道しるべ的に役割を果たすことができるのか（監査人の指導性）ということです。

形式的な規程の有無や更新状態だとか、3点セットの書き方だとか、そういうところばかり指摘し、重要な財務報告の虚偽記載リスクに関係する内部統制の不備を見逃すことはないだろうか？3点セットだけ見ると良好そうに見えるが、いざ現場に行って実態を調べてみたら全く形式的で実効性がなかったにもかかわらず、それを見逃すことはないだろうか？

業界内でも古株会計士が気にしているのが、「最近の監査は、部屋の中でPCに向かうばかりで現場に行かない、現場の人に質問しない」ということです。実施基準やJICPAの監査実務指針でもウォークスルーとか視察とか質問とか再実施とかそういった監査手続が求められていますが（例示ではありますが）、そういうことをあまりやらずに3点セットの閲覧と監査の部屋の中で資料を持ってきてもらってできる運用評価手続だけで済ませてしまう。現場に行かずに質問しなくていいように、3点セットにより詳細な記述を求める。だから、形式的なことばかり言われて本当に問題になりそうな指摘はしてくれないし、内部統制を改善しようとしている上場会社にとってもあまり監査を受けているメリットが感じられない。なにせ時間がないというのが最大の原因で、監査人もとても気の毒なのではありますが。

それと、RCMやフローチャートを見て「不備」を見つけたとしても、それによって実際に誤謬や不正が生じているわけではないと上場会社が認識しており、特に手をつけたくないというところについて、監査的手法で本気で調べたら実はガタガタボロボロ、間違いだらけだったということになると、会社も手をつけざるを得なくなる。こういうことが監査現場でちゃんと出てきているか。遠山の金さんではないですが、動かぬ証拠を突きつけることで、会社も対応せざるを得なくなる。これがすばやくできることが監査人といおうか公認会計士の能力といっても過言ではないと思います。様々な監査上の経験から、不正や誤謬が生じやすいところをとっさに見抜き、そこを集中的に、しかも深く突っ込んで不正や誤謬を見つけ出す。そしてさらに大事なのは、原因を徹底的に調べて具体的な改善策が講じられるようなレベルに持っていくこと。原因調査が甘いとリスクに対処する適切な統制が構築できない。その手本を示せるのは、経験豊富な監査人。もちろん、不正や誤謬を発見すること自体が目的なのではなく、内部統制の不備によって実際に問題が生じているので改善する必要があるという監査人の主張に説得力を持たせることが目的ではありますが。ですからすべての不正や誤謬を洗い出す必要はない。

それと、統計的サンプリングの誤った適用によって、リスクの高いところの運用の不備がが見逃されてしまうのではないかという懸念もあります。昔の監査は、異常点だとかリスクの高いところを狙い撃ちしてサンプリングしていましたが、特にJ-SOXの運用テストでは実施基準の影響もあって機械的な統計的サンプリング中心になりがち。監査人もそれに近い。本来の統計学的考え方や監査マニュアルの考え方から言えば、すべてを一律に統計的サンプリングで行うのではなく、異常点だとか危なそうなところについてある程度集中的に見た上で、残りの部分について統計的サンプリングを実施するというような考え方だったのではないかと思います。たとえば、帳簿上のたな卸資産残高がマイナスになっているケースでは、その原因を確かめれば、多くの場合何らかの内部統制上の不備が見つかるはずです。整備状況レベルのものもあれば運用状況のものもあるでしょう。整備状況レベルで不備であれば運用評価にはいきませんので、統計的サンプリングの話は出てこないのですが、運用の不備が発見された場合に、不備があった統制についてそこから先統計的サンプリングを実施するのかどうか判断に困るところです。それがたまたまなのか、そもそもちゃんとやっていないからなのか、ということをどうやって判断するかです。そういうところにも監査人の知見というのは役立つはずです。社内の内部監査人（評価担当）が運用の不備を見つけて泥沼に陥ってしまうところを、監査人がうまく切りわけをして、迅速かつ的確に結論を出してみて、その手法なり判断の仕方を内部監査人が学び、次回から社内できちっと判断ができるようになる。

そんな指導的役割を監査人が果たすことができるのか。監査人なり個々の公認会計士の力量が問われるところです。

正直、監査現場はとっくの昔に限界を超えてしまい、内部統制なんかまともに見ている暇がないので期待されても困る、という声もあれば、仮に内部統制の不備を発見したとしても、それを指摘すれば上場会社から「具体的な改善策」を求められ、独立性の観点や監査契約範囲内での監査人の責任をできるだけ限定したい（余計なリスクを抱えたくない）という保守的な姿勢から内部統制の不備の指摘に消極的な監査人が増えてきているという声も聞きます。そうしているうちに、会計士の内部統制に関する能力（現場を見て実質を判断する力）もどんどん落ちてしまい、今度は内部統制監査における形式的なチェックや指摘に走ってしまうという状況になりかねないという懸念を持っています。そうならないよう、特に若手会計士には、少しでも機会があればPCからはなれて現場に赴いて、内部統制の実態をよく見て学んでいただきたいと思います。

また、内部統制コンサルといわれる人たちも、単なる3点セット作成代行で終わることなく、より現場の実態に密着し、理屈だけでなく不備により実際に問題が生じている証拠をつかみ、本当に問題があるところとないところ、リスクの高いところと低いところを見極めて改善のアドバイスをしていただければと思います。財務報告に係る内部統制の不備は、よくよく調べると経営的にも問題になるケースが少なくないです。J-SOXコンサルを契機として、より深い経営コンサルが行われ、企業の成長に結びついてくれれば、会社にとってもJ-SOXの支出はムダではなかった、ということになると思います。

監査を離れて数年になりますが、「えっ？こんな基本的なことも監査人は見てないの？」「こんなに問題があるのに監査人に指摘されていないの？」と驚いて心配になることがある反面、最近、監査って実はすごいんだ、本気でやればまじめな会社の役に立つんだ、ということを改めて感じて魅力的な仕事にも思えている次第です（じっくり監査をする時間さえあればですが・・・）。

果たして内部統制監査が監査現場の内部統制を見る力の向上に役立つのかどうか。。。

日本公認会計士協会(JICPA）は、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」（いわゆる内部統制監査実務指針）の英訳版を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/82_1.html

諸外国における日本の制度への理解を高めるという目的もあると思いますが、日本の監査人が、海外子会社の監査を担当する海外の監査人（他の監査人）に日本の内部統制監査の中身を知ってもらう場合にも大いに役立つのではないかと思います。正直、ビッグ4などにおいても、日本におけるメンバーファームが日本の制度を説明しようと思ってもなかなか難しい面もあり、日本の制度に適合した監査マニュアル上の取り扱いなどを決める際にこの英訳及び実施基準の英訳を示すことで、ずいぶん理解が深まるのではないかと思います。海外の監査人が海外子会社に係る「他の監査人」として内部統制監査を行う際には、原則として、日本の内部統制監査基準、そしてこのJICPAの実務指針に従うことになりますので、日本のルールの理解をしてもらうことはとても大事なことです。

それとともに、上場会社が海外子会社において内部統制構築、評価を行う際にも、海外子会社への理解を深めるものとして役立つのではないかと思います。また、例えば、親会社の3点セットなどを海外展開する際には英語化が欠かせませんが、その際の訳語もこの実務指針に使われている訳語を参考にできるのではないかと思います。専門用語が多くて、普通の社員や翻訳専門家には翻訳がなかなか難しい面もあったかと思いますが、この英訳は一応専門家の目を通してはいるはずなので、さほどおかしな訳語にはなっていないはずです。

ということで、地味な公表ではありますが、上場会社におかれてもうまく活用していただければと思います。

いよいよ初めての金商法ベースの四半期決算が佳境を迎えています。まもなく監査人のレビューもはじまることと思います。

今日は、EDINET XBRL化に伴い、経理担当者が監査またはレビューにどのように対応すればよいか、JICPAの公式文書をもとに考えてみたいと思います。

JICPAの公式文書そのものは以前にご紹介していますが、改めて読み返してみます。

http://bcj.way-nifty.com/xbrl/2008/06/jicpa_edinet_xb_d90c.html

１．XBRL文書そのものは監査(レビュー）対象ではない

　XBRL文書は、EDINETに正式に提出されるのですが、実は、XBRL文書自体は監査対象ではありません。また、監査人の多くはXBRLを処理できるツールを持っていません。したがって、XBRL文書(ファイル）の提出を監査人から求められるケースは極めてまれではないかと思います。逆にいえば、XBRL文書が適切に作成されているかどうかは、会社の責任でチェックしなければなりません。印刷会社のXBRL作成機能の中にも、EDINETの登録機能の中にも様々なチェック機能が組み込まれていますので、入力等さえ間違わなければ大丈夫とは思いますが。。。

監査報告書（写）にも記載が・・・。

EDINET上に掲載される監査報告書(写）には、JICPAが定めた決まり文句が入ることになります。そこには、XBRL化された財務諸表が監査対象ではない旨が記載されることになります。印刷会社に任せている場合には問題ないと思いますが、自社で監査報告書のHTML化をしている会社は要注意です。

２．HTML化された財務諸表の提出を求められる

　従来と同じように、XBRL化された財務諸表（XBRL文書）ではなく、HTML化されたファイルまたはそれをブラウザ（IE）を使って紙に印刷したものの提出を監査人から求められます。監査人はHTMLで渡せばそれを画面を見てチェックするか紙に打ち出してチェックするか、または会社が印刷したものを見てチェックすることになります。

　HTMLファイルは、印刷会社の提供する仕組みを使ってXBRLファイルから作成することもできますし、EDINETに仮登録してEDINETの機能を使って作成することもできます。正式にEDINETに提出するのは、EDINETの仕組みを使って作成されたHTMLファイルですが、印刷会社の仕組みを使っても、ほぼ同等のものができます。EDINETへの仮登録は、提出直前ということになる場合もあり、監査に間に合わない可能性もあるので、監査人と相談して、どのタイミングにどちらから作成されたHTMLまたはその印刷物を提供すればよいかを聞いておくといいでしょう。監査人は、もしかしたら印刷会社の仕組みを使ったものをチェックし、それとEDINET上で生成されたHTMLが同一内容かどうかを確かめるといったことをやるかもしれません。

　今回のXBRL化の対象はあくまで財務諸表本表なので、それ以外の部分は、従来と全く同じ扱いになります。

３．勘定科目の新旧対照表を作成しておく

　四半期は当期が初めてなので関係ないかもしれませんが、期末において、XBRL化に伴い勘定科目をEDINETタクソノミに定義されている科目に変更する場合に、監査人は、その変更が妥当かどうかを検討することになります。変更の理由はすでに金融庁より「正当な理由による変更」として取り扱うことが明確にされていますので、あとはその勘定科目で表示して本当にいいのかということを判断することになります。その際に、新旧対照表、または組替表等を作成提示し、変更点が明確にしておくとよいのではないかと思います。

　決算監査時は内部統制監査もあり忙しいので、早めに監査人に相談しておくとよいでしょう。

４．財規様式の改正に注意

　この四半期から財規等に定められている財務諸表の様式が大幅に変更になっています。今までのような罫線がありません。また、株主資本等変動計算書が縦型になっています。百分比、構成比の記載もなくなりました。

http://bcj.way-nifty.com/xbrl/2008/06/xbrl_c416.html

　いずれも、XBRL化に対応した改正ですが、これを「見栄えが悪い」ということで、従来どおりの様式でHTMLで作成するのはNGです。いかに見栄えが気に入らなくても、EDINET上でXBRLから自動的に生成されるHTMLをイメージして財規様式が作られていますので、あくまでXBRLからEDINET上でHTMLを作成していただく必要があります。社内の偉い方や監査人の偉い先生には、事前に改正の趣旨をよく説明しておきましょう。

５．内部統制報告制度（J-SOX）における取り扱い

　以前、XBRL化作業も決算財務報告プロセスとして評価対象になる可能性があるということを述べたことがありましたが、XBRL文書そのものが金商法上の正式な開示書類ではないという取り扱いになったため、従来と同じようにHTMLファイルを画面表示または印刷して、原稿とあっているかをチェックしていれば、印刷会社を外部委託先としてその内部統制を評価する必要がないといえるのではないかと思われます(全くの個人的見解ですが）。確かに、印刷会社の提供するITを利用して有価証券報告書等のHTMLファイルを作成していますが、だからといって、そのITに係る統制を評価しなくても、原稿と結果があっていることを確認すればそれでよい。XBRL文書は、本来画面表示や印刷しただけではその正確性は確かめることができないのですが、どちらかといえば、HTMLファイル作成のための中間生成物、副産物のような扱いで提出だけは強制という法的な位置づけになっているようなので、内部統制評価上無視しても。。。

ちなみに、EDINETのXBRLダウンロードページを見ると

「XBRLデータのうちEDINETにて公衆縦覧に供されていない情報については、金融商品取引法上で定められた開示情報ではありません。当該データは、利用者の責任において利用頂くことにご留意下さい。 」

とあります。

６．英語勘定科目は監査対象外

　XBRL文書から作成されるHTMLファイルには含まれませんが、XBRL文書をXBRLツールで読むと英語の勘定科目を表示させることができます。この英語の勘定科目についても、監査の対象ではありません。あくまでHTMLで表示される科目だけが監査対象です。

　EDINETタクソノミに設定されている英語勘定科目はそのまま使うことになっていますが、勘定科目を独自に追加する場合には、自社で英語勘定科目を設定しなければなりません。その勘定科目名も監査の対象外です。

　EDINETには次の記載があります。

「一覧表よりダウンロードされるXBRLデータに含まれる英語情報については、参考訳であり、その正確性が保証されるものではありません。」

このように、勘定科目の妥当性等を除けば、監査対応自体はいままでとあまり変わらないということになります。

いずれにせよ、初年度で監査人も十分に理解していない可能性もあるので、できるだけ早い段階で対応を協議しておくことをオススメします。

金融庁が、「内部統制報告制度に関するＱ＆Ａ」を大幅追加しました。今回の追加でなんと50問近く設問が増えて、とても充実しました。http://www.fsa.go.jp/news/19/syouken/20080624-3.html

大部分は、実施基準も含めて、今まで出されたものをよく読めば読み取れるような類のものが多く、新たに緩和されたというようなものでも取り扱いが明確になったわけでもありませんが、その中でいくつか注目したいものを挙げておきます。

（問２２）【評価の対象となる委託業務の例】

具体的に例示されました。『取引の記帳、会計帳簿の作成等に係るコンピューター処理を共同事務センターに委託する場合や年金資産の運用管理を信託銀行に委託する場合など、財務諸表や開示事項の作成の基礎となる取引の承認、実行、計算、集計、記録等に関するもの』

（問２９）【内部統制の評価体制】

『評価を実施する者が評価の対象となる業務から独立し、客観性を保っていれば、例えば、同じ部内の別のチームが経営者を補助して評価を実施することは可能である』

内部監査室の人員が不足している場合や海外への対応が難しい場合などに、評価主体の選択の幅が広がり、大規模な組織でなくても対応可能になるかもしれません。

（問３３）【取引の流れを追跡する手続の実施】

いわゆる『ウォークスルー』ですが、『経営者が必ず実施しなければならない手続とはされていない。』と書かれています。もともと「監査人が内部統制の整備状況に関する理解を確実なものとする上で、有用な手続」ですので、社内の方が評価を行う場合には、監査人よりはるかに業務に精通している場合も考えられ(多くの場合、ベテラン社員が多い）、したがってウォークスルーをやるまでもない場合もあるでしょう。

また、『監査人は、経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったかについての妥当性の検証は求められておらず、上記の手続を経営者が実施しないことが直ちに監査人の指摘の対象となることはない。』という記述も重要です。実務上は、監査人が、監査マニュアルに書かれている監査人のための手続を会社側にも求めるケースが少なくないと考えられ、それが会社側の負担増加につながっているという面を考えれば、虚偽記載リスクや統制内容の把握が不十分であると認められる場合を除き、ウォークスルーを行うかどうかは評価主体の状況次第ということが認められる効果は少なくないです。

（問３５）【期中における運用評価の実施】

いわゆるロールフォワード。『期中に運用状況の評価を実施した場合、その後、担当者への質問等により、評価対象とした内部統制の整備状況に重要な変更がないことが確認されたときには、新たに追加的な運用状況の評価は要しないものと考えられる。』とありますが、整備状況の重要な変更の有無を「質問等」で確認すればよく、いわゆる1件テストましてや運用テストを行わなくてもよいというのは、運用テストの実施時期の選択の幅を広げるものと思われます。評価対象事業拠点が多く、内部監査室の人員が少ない場合には助かります。逆に、変更がある可能性のある場合には、運用テストを後回しにするということも考えられるでしょう。

（問３９）【中小規模企業におけるIT 環境】

『例えば、販売されているパッケージ・ソフトウエアをそのまま利用するような比較的簡易なシステムを有している場合には、個々のITに係る業務処理統制よりも、ITに係る全般統制に重点を置く必要がある』とありますが、この場合の全般統制についての具体的なイメージが相変わらずわきません。全般統制といえば、情報システム部門が管理している大規模で複雑なシステムに適用される統制というイメージになりがちで、パッケージソフトといえば、スタンドアローンPC上で使われており、むしろ「EUC」の範疇に属するイメージで、多くの場合、情報システム部門は面倒見てくれません。スタンドアローンPCに係る全般統制といわれてもピンときません。アクセス管理、データ改ざんされないまたは改ざんを発見するための管理等がIT統制としては考えられますが、EUCレベルでの全般統制のあり方をもう少し具体的に示してもらいたいものです。

（問４０）【重要な欠陥の判断（人材不足や書類整備不十分）】

これはかなり多くの会社で気になるところではないかと思います。

『会計処理に関する知識・経験のある人材が不足している場合や会計に関するマニュアルや規程の整備が不十分である場合であっても、直ちに重要な欠陥に該当するものではなく、関連する業務プロセスに係る内部統制にどのような影響を及ぼすかを含め、重要な虚偽記載をもたらす可能性を検討する必要がある。』とありますが、マニュアル、規程の整備はともかく、人員不足、能力不足によって決算書がまともに作れないとなれば、これは「重要な虚偽記載」どころの騒ぎではないですので、果たして重要な欠陥といわないことができるのでしょうか？現実は、監査人が決算書(特に連結）作成を手伝うまたは事実上監査人が作っていたケースも皆無とはいえず、その場合には、監査人がそれをやめてしまえばもはや決算書が作れないのですから、重要な欠陥といわざるを得ないと思いますが、どうなのでしょう？とはいっても、能力がある経理マンを採用することは至難の業で、いつモアでも重要な欠陥が是正されないということになってしまうのですが・・・。

（問４２）【外部の専門家の利用】

（問４０）とセットの設問ですが、監査人以外の外部の専門家の利用はそれによってただちに重要な欠陥にならないとのことなので、人員を採用するより、こちらの方が現実的かもしれません。とはいえ、この類のサービスが果たしてどれだけあるのか、中小企業の記帳代行をやっている税理士事務所で連結財務諸表の作成は可能なのでしょうか？

（問４３）【重要な欠陥の判断（監査人に対する照会・相談）】

二重責任の原則や独立性の観点から認められる範囲で監査人に照会、相談したら重要な欠陥などというバカなことは常識的にありえないのですが、責任逃れのために照会、相談に応じない監査人が増えてくるとなれば、そういう過度に保守的な対応への歯止めとしては意味のある項目かも知れません。実質的には「連結財務諸表作成」に近いことを監査人がやっていても、「監査人の指導性（誤りの修正指示）」「紹介･相談への対応」の範囲で説明できるなら、それが一番現実的かもしれません。

（問４４）【識別するリスクの内容】

これは会社にとってありがたい項目です。『業務プロセスにおいて、すべてのリスクを網羅的に把握してこれを低減するための統制を識別することまでは求められておらず、リスクのうち重要な虚偽記載が発生するリスクとこれを低減するための統制を把握することで足りる。』とあります。RCM上ですべての虚偽記載リスクを洗い出した上で、重要かどうかを判断するというやり方を求めている監査人もいますが、それが筋とはいえ、そこまでやらなくても、重要なリスクがRCM上に洗い出されていればそれ以上は求めないということであれば、ある程度リスクの絞込みをした上でRCM等を作れますからずいぶん楽になると思います。

（問４５）【期末日後の重要な欠陥の是正措置】

これは、特に決算財務報告プロセスに重要な欠陥があって、期末決算までに是正されたケースでは、整備状況としては期末日までに是正が確認でき、運用テストは是正後の期末決算作業における運用状況をつかって行って問題なければ期末には有効であるといえるということで、助かります。

（問４７）【関連書類への印鑑の押印等】

これは悩ましい問題ですが、「すべての関連資料」への押印は必要ないとしながらも、、『経営者による評価や監査人による監査が実施できる記録が保存』する必要はあるので、かなりの負担感は残ります。まして上級管理職や経営レベルの方の押印であればなおさらで、かえって統制が形骸化してしまわないかという懸念はあります。

（問４９）【ダイレクト・レポーティングの不採用】

今回、初めて『通常、評価範囲や評価対象となる統制上の要点は経営者と監査人で一致することになり、経営者が評価対象としていない統制上の要点を監査人が独自に追加検証することにはならず』という記述が登場し、なぜダイレクトレポーティングを採用しないことで、米国より負担が軽くなるのか、ということが理解されやすくなったのではないでしょうか。

（問５０）【監査人の監査の開始時期】

『内部統制の整備状況及び運用状況の有効性の検証については、経営者の評価がすべて完了していない場合であっても、監査人は検証することが可能である』というのは、会社側にとっては助かります。3点セットさえできていれば、監査人が先に整備状況等について検討し、その結果を会社にフィードバックし、問題点が是正されるという効果も期待できますし、会社の評価時期の選択肢も増えます。ただ、効率性からすると、会社が評価した後の方がやりやすいとは思うので、監査人がすんなり認めるかは疑問です。

（問５５）【中小規模企業における内部統制の記録】

（問５６）【中小規模企業における職務分掌に係る代替的な統制】

この2問は、「監査人の対応」について触れたものですが、評価における対応については何も言っていません。監査人が、監査マニュアルに従って中小規模会社にも一律に大規模企業並みの内部統制の記録や職務の分離を求めることに対し、釘をさしたということでしょうか。評価における取り扱いについても述べてほしかったです。

（問６５）【監査役等に対する報告の方法や時期】

（問６６）【監査役等の監査報告の後に発見した不備】

会社法と内部統制報告制度の関係ですが、この2問によってスケジュール感がずいぶん明確になったことは評価できます。

『監査人は、通常、会社法監査終了時点において大部分の内部統制監査の手続は終了していることが想定されるが、会社法監査に関連しない部分（例えば、有価証券報告書の作成に係る決算・財務報告プロセスの評価の検討）については、内部統制監査の手続が終了していないことが考えられる』

ということで、会社法監査終了時点までにすべての内部統制評価、監査手続を終了させる必要ないということがわかります。適用初年度において、決算財務報告プロセスのように前年度の評価結果を利用することができない場合には助かります。

以上です。いままで監査人から指摘を受けたこととずいぶん違うと思われる方もいらっしゃるかもしれませんが、その場合には、是非これを見せて協議することをオススメします。

日本公認会計士協会は、５月２０日に「ＥＤＩＮＥＴへのＸＢＲＬ導入に伴う財務諸表作成プロセスの変更及び監査人の留意点について」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/post_1006.html

EDINETにおける財務諸表のXBRL化は、事実上３月決算会社の2008年度第一四半期に係る四半期（連結）財務諸表から強制されますが、監査人による四半期レビューの取り扱いと並んで、XBRL化への対応がどうなるのか注目されていましたが、ようやく公表され、これで制度上の対応はほぼ終了したといえます。

基本的には、最終的にEDINET上で公衆縦覧に供されるのがXBRL形式のファイルからEDINET上で自動的にHTML形式に変換されたものであるということで、途中でXBRL形式のファイルが介在するということ以外は、従来の枠組みとなんら変わりません。また、XBRL化の対象は財務諸表本表のみで、注記や附属明細表といった監査対象部分は従来どおりです。

ただし、従来は、印刷会社で作成されたHTML形式の財務諸表を印刷してチェックした上で、それに監査報告書を袋綴じするなどして監査対象とした財務諸表を確定することが行われていましたが、今後は、HTML化がEDINET上で行われるため、EDINETでHTML化したものを印刷して綴じこむか、XBRL形式のファイルから印刷会社のほうでHTML化したものをブラウザの印刷機能で印刷するか、または各社で用意したXBRLツールを使って印刷するか、それとも、XBRL化する前の原稿を印刷して監査報告書と綴じこむか、といったことを考える必要があります。XBRL化の手順やスケジュールは印刷会社によって異なると思いますので、印刷会社から情報を得た上で、監査人と監査スケジュールや財務諸表の受け渡しなどについて協議するのがよいのではないかと思われます。

なお、監査人が監査対象とする財務諸表は、提出会社の適切な機関によって承認されたものであることが望まれるとされています。したがって、監査人としては、少なくとも財務諸表がどの時点で作成されたのか、またどのような手続によって承認されたのかを確認できるような手段を講じることが必要です。上場会社側では、会社法上の計算書類と異なり、いままで有価証券報告書に掲載される財務諸表を承認する手続が不明確なケースがあったかと思いますが、J-SoXの決算財務報告プロセスの整備の一環として、有報ベースの財務諸表や有価証券報告書の承認手続きを明確にし、承認の証跡を残しておくことが必要かと思われます。

この文書には、監査人がXBRL化に対応するために必要な最低限の知識も掲載されています。金融庁のEDINET関連文書にも書いてあることではありますが、あまりに分量が多く、読むのも大変だと思われますので、「ここだけは押さえておきたい」という上場会社の経理担当者の方にもおススメです。

まだ、前年度の有価証券報告書の作成中かと思いますが、そろそろ四半期財務諸表の勘定科目表示などについて検討し、監査人と協議しておいた方がよいのではないかと思います。その際にも、本文書を参考にしていただければと思います。

金融庁、日本公認会計士協会、日本経済団体連合会は、共同で「内部統制報告制度相談・照会窓口」を設置しました。電話、ＦＡＸ、電子メール、郵送により相談・照会できるそうです。

くわしくは

http://www.fsa.go.jp/receipt/soudansitu/internal-control.html

個人的には、どんどん利用した方がよいと思います。監査人によっていうことがばらばらだったり、初期のUS-SoX的な考え方に引きずられたりということが無きにしも非ずで、その結果過度な負担がかかるということもありうるので。

ついにJ-SoX本番年度に突入してしまいました。

とはいえ、まだまだIT全般統制の整備がスムーズに終わっていない、または監査人やコンサルから会社の実態に照らして非現実的な要求を突きつけられて途方にくれている会社も中にはあるのではないかと思います。

そんな中、日本公認会計士協会からIT委員会研究報告第31号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Ｑ＆Ａ」の改訂版が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/main/31_1.html

これはあくまで財務諸表監査において監査人がITに係る統制リスクを評価する場合に適用される考え方ではありますが、J-SoXにおいて経営者がIT全般統制をどこまで整備すれば有効といえるのかを考える際に参考になるものと思われます。不慣れな会計士がチェックリストで機械的に「IT全般統制の不備」として扱おうとした場合に、会社の実態を考えた場合に経営者としてどのように対処すべきかという点からも参考になります。

特筆すべきは、「全般統制に不備がある場合の取扱いの考え方の例示」が示された点です。

冒頭で、「全般統制に不備があるとして指摘をする際には、そのシステムの状況や実際に財務諸表の数値にどのような影響があるかを考慮して意見を述べることが肝要です。」と述べています。経営者がIT全般統制の評価を行う場合にも、同じことがいえると思います。

具体的には以下の３点についてです。

① バックアップデータの保管

② アクセスログの取得

③ 職務の分離と権限の分掌について

① バックアップデータの保管　については、「バックアップデータの外部保管と混同される場合がありますが、財務報告目的のリスク評価においては、財務報告の作成のための基礎データが全て失われるリスクを低減することにあります。よって、要請される管理レベルは、財務報告目的としては、データの復旧が可能なレベルです。」と書かれており、必ずしも外部にバックアップを保管しなければならないということではない、と考えられます。

② アクセスログの取得については、「情報システムに関するあらゆるアクセスログをとることが必須ではありません。アクセスログを取得し保管することが統制の目的ではなく、正当な職務権限による財務データへのアクセス以外の不当な入力や改ざんが無いかを監視することに意味があります。」と書かれています。アクセスログをとっているだけではダメで、それを使って財務データへの不正アクセス、改ざん等がないかを確かめる統制（モニタリング）があることが必要とされます。逆にいえば、それが可能な範囲内でアクセスログ等を取得、保存しておけばよいということにもなります。

「ログはあくまで事後的な発見的統制であり、正当な権限のある入力者でない人が入力できないような防止的な統制、アクセス権と入力の職務権限が一致している等の統制と組み合わせて財務報告目的のリスクを低減することが重要です。」

とも書かれています。

情報セキュリティの観点からあらゆるアクセスログを保存することを求められるケースもありますが、J-SoXにおいてはあくまで上記のような発見的統制としてのモニタリングが可能になるような範囲内でアクセスログを取得、保管し、モニタリングを行っていれば不備とはならないということかと思います。

③ 職務の分離と権限の分掌については、「職務の分離と権限の分掌は、職務を分離することが内部統制の目的ではなく、兼務すると牽制機能が働かなくなる職務を分けることにより、財務報告の正当性を確保することが目的です。よって少人数で職務の分離が困難な場合については全体として財務諸表に与える影響を考慮して、リスクとその統制の有効性を検討し、職務の分離と権限の分掌の不備を補完する統制を検討することになります。」と書かれています。これは、先日金融庁から公表された「１１の誤解」にもかかれている小規模組織における職務の分離等の考え方とも一致します。特に、開発・プログラム保守と運用の職務の分離については、小規模企業ではIT部門の人員が少なく、これを教科書どおりに実現することは極めて困難な場合も少なくないと思われますが、「プログラム保守の正当性、つまり、不正なプログラムの作成をどのように防止もしくは発見する統制があるかを検討することになります。」と書かれている通り、プログラム変更には管理者が必ず、事前に承認することや、プログラム保守の記録を取り、管理者が確認するなどの補完統制について、リスクが十分に低減されているかを評価することになります。

とはいえ、このような補完統制ですら十分に実施できる状態にない場合も少なくないと思われますので、職務の分離で行くか、補完統制で行くかをよく考えた上で改善することになります。

もう一つ、外部委託先の内部統制の評価に、いわゆる「１８号報告書（「内部統制の整備状況報告書」または「内部統制の整備及び運用状況報告書」）」を用いる場合の考え方も書かれています。１８号報告書は、あくまで、財務諸表監査の中で実施される統制リスクの評価の一環として実施されるものであり、委託業務に係る内部統制の認証業務でもなければ、経営者が内部統制評価を行う場合に利用することを想定した業務でもありません。といいながら、一方で同じJICPAから公表された監査保証実務委員会報告第82号では、「その他受託会社からの報告書の例としては、日本公認会計士協会が公表している監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」（以下「監査基準委員会報告書第18号」という。）に定める「内部統制の整備及び運用状況報告書」、米国公認会計士協会（AICPA）が策定した監査基準書第70号（SAS70、改訂後AICPA Professional Standards Vol.1、AU sec324）による報告書等の諸外国の制度における報告書が考えられる。」とも書かれており、少々整合性が？？なような気もします。

また、、「虚偽表示リスクを評価するには、「内部統制の整備及び運用状況報告書」を入手し、検討する必要があります。」とあるとおり、整備状況のみならず、運用状況についても検討する必要があるのは、委託業務でも社内で行っていても同じです。

以上、ポイントだけを挙げましたが、とにかく、これを熟読して、監査人のチェックリストに付き合って形式的でコストに比べ実効性が乏しかったり過度な統制にならないよう、しっかりとリスク評価と対応を行っていただきたいと思います。

金融庁の公認会計士・監査審査会（CPAAOB）が、2月27日に「監査の品質管理に関する検査指摘事例集」を公表しました。

http://www.fsa.go.jp/cpaaob/shinsakensa/kouhyou/20080227.html

正直これを読むと、このような調子で内部統制監査が果たして実施できるのだろうか？という気になってきます。それ以上に、監査法人ですらこんな状況なのに、果たして経営者が自ら内部統制の評価を適切に実施することなどできるのだろうか？という懸念もあります。

一方、これらの指摘事項がすべて解決するような監査を行ったらJ-SoXはどうなるか？ということも考えておきたいと思います。特に「５．監査業務の実施」については、監査を受ける立場の上場会社にも関係してくることですので、是非目を通しておいていただければと思います。

「(1) リスク・アプローチに基づく監査計画の立案② 重要な虚偽表示のリスクの評価」については、内部統制報告制度への対応にも影響を及ぼす可能性があります。というのも、上場会社側に重要な内部統制上の欠陥があると、もはや財務諸表監査を実施することが事実上難しくなるという判断を監査人側がせざるを得ない状況に追い込まれてしまう可能性がよりいっそう高まるからです。

「当監査事務所の監査実施者は固有リスクの評価を更新していない。」については、監査人独自で情報を収集し、独自で判断することになるとしても、その際に上場会社側が自ら経営環境の変化に応じて虚偽記載リスクを評価していればその結果を参考にするということは十分にありえます。逆に、上場会社が経営環境等を踏まえた虚偽記載リスクの評価を適切に行っていないとすれば、監査人としても監査リスクが高まるので、監査を受託するかどうかという判断をする際に問題となる可能性もあります。

「③ リスク対応手続の決定」には、「内部統制が有効ではなく、統制リスクが高いと評価しているにもかかわらず、内部統制に依拠した監査手続を実施している。」と書かれていますが、経営者自身による内部統制評価の結果、重要な欠陥があるとして内部統制が有効ではないと判断された場合に、監査人は内部統制に依拠した監査を実施できないということが徹底されるということを意味します。そして、例えば、販売プロセスや購買プロセスにおいて内部統制に依拠せずに実証テスト中心に監査手続を実施ということになると、かなりの時間がかかるか、または事実上監査実施が不可能ということにもなりかねません。もちろん、J-SoXの場合は内部統制全体にかかる有効性ですし、上記は部分的に有効ではないという場合も含むので、一概には言えませんが。

従来から監査人による内部統制の評価が不十分、または評価した結果依拠できない水準であるにもかかわらず、依拠できるものとして実証テストを十分に行っていないということはあったのではないか。ほんの数年前までIT統制をほとんど評価しないで内部統制に依拠した監査を実施していた時期がずっと続いていたことからも想像できます。でもそれではまずいということで、IT統制の評価を数年前から本格的に実施し始めたということは皆さんもよくご存知かと思います。つまり、この文言は、財務諸表監査がますます厳しくなり、時間もかかるようになることを意味します。そうならないようにするためにも、上場会社側も内部統制をきちっとしておく必要があると思います。

「(2) 経営者等とのディスカッション」については、監査人側が経営者ときちっと話をしなさいというのが趣旨ではありますが、裏を返せば、経営者も監査人とディスカッションできるよう、「企業及び企業環境の理解」「不正及び誤謬に起因する財務諸表の重要な虚偽の表示の可能性」についてディスカッションできるようにしておかなければならないということでもあります。そのためにも、内部統制構築の基本方針、基本計画策定の段階で、これらをきちっと把握･整理しておくことが重要ではないかと思います。

「(3) 継続企業の前提」について、「継続企業の前提に重要な疑義を抱かせる事象等が存在している被監査会社について、当監査事務所の業務執行社員は、経営計画の実行可能性に関する詳細な検討を行っていない。」とありますが、これは上場会社側からすれば、そもそも経営計画が適切に作成されておらず、実行可能性も明確に説明できない、という状態であるならば、監査人は監査上の結論を出せないため、最悪監査意見が出ずに上場廃止になる可能性もあるということでもあります。つまり、継続企業の前提に重要な疑義のある子会社等については、まずきちっと経営計画を作成し、親会社においてもその実行可能性を評価し、監査人に説明できるようにしておく必要があるということです。

「今後の事業計画の実行可能性の検討や増資資金の入金の確認等を行ったとしているものの、再生スキームや支援を引き受けるとされている主要株主について把握していないなど、継続企業の前提に関する注記の内容について十分な検討を行っていない。」についても同様です。上場会社としては、継続企業の前提の注記に係る内部統制を整備しておかなければならないということです。

「(4) 会計上の見積りの監査」については、もちろん、監査人側がそもそも監査手続を実施していないケースと、監査手続を実施しようとしたが、上場会社側の内部統制の不備、つまり見積の根拠がきちっと示されていない（文書化されていない）ために、監査手続の実施が不能というケースがあるかと思います。今までは、会社側の資料が少々不明瞭であったり不完全であっても監査人が許してくれたということもあったかもしれませんが、今後は、上場会社側から見積もりの根拠がきちっと示されない限り、監査人は重要な監査手続を実施できず、監査意見を出せないということになると思います。

以下、きりがないのでやめておきますが、要は、監査人のスタッフ不足、能力不足や怠慢で監査手続が実施できない場合はともかく、上場会社側の内部統制の不備によって監査手続が十分に実施できない場合には、ことごとく監査意見不表明という事態が起きうるということを念頭においておく必要があるということです。そして、このような監査手続に耐えうる内部統制の整備及び内部統制の証跡の確保を考えておかないとならないということです。

この指摘事項はそういう意味で、上場会社が構築すべき内部統制のレベル感を示すものとしても注目できると思います。

監査業界の恥をさらすようなものではありますが、敢えてご一読をお勧めしたいと思います。

この調子で内部統制監査に係る検査を実施されるとなると、内部統制監査において相当証拠固めをしなければならず、そのために、できるだけ客観的な根拠、文書を上場会社に対して求めるようになり、結果として「11の誤解」に書かれているような金融庁の望むような方向性には行かないだろうというように考えている人が少なくないと思いますが、どう思われますでしょうか？

再び「内部統制報告制度に関する11の誤解」ネタを。

上場会社を含むJ-SoX関係者の間でここ数日この話題で持ちきりですが、正直、金融庁の担当官には悪いですが、全く評価されていないといおうか、評判悪いですね。これが出たからといって監査人の対応は何も変わらないだろう、というのが大方の見方。会計士協会あたりがもっと具体的に説明でも出せば違うのでしょうけど。

それと、「別に「有効でない」という報告書を出したって上場廃止にならないのだったらいいじゃない」という姿勢が、どうも上場会社のJ-SoX担当者としては気に食わない。そういうわけには行かない。監査人の言うことを聞かないということがどういう結果を招くのか、そのことが金融庁はわかっているのか。監査契約の打ち切りもありうるし、監査意見形成の際にネガティブな印象、特に「財務報告及び内部統制構築に消極的」という印象を与えてしまうのはこわい。一方、監査人は「金融庁の検査が厳しい」「米国提携先がうるさいので仕方なく」といって、チェックリストを画一的、機械的に適用しようとして、やっていないことがあると、その会社で発生可能性がどの程度あるのかも考えずに「不備」と決め付けられてしまう。軽微な不備でも積み重なれば「重要な欠陥」になりうる。何でもかんでも不備扱いされてはたまらない。ましては虚偽記載リスクを会社として評価し、その結果として発生可能性や影響が小さいということでリスクを受容しているにもかかわらず、それが不備といわれては、経営は成り立たない。

監査人には、「経営者としてのバランス感覚」などというものはあまり関係ない。それで利益が増えようが減ろうが、監査上のリスクさえ下がればよい。極端な場合、「赤字になろうがどうなろうが、チェックリストでいい成績をとって「有効」にするためには人を入れて職務の分離をしろ」、といういうことになる。そのくらいでないと監査人としてはリスクを負いきれない。

たしかに、バランス感覚の崩れた売上至上主義、利益至上主義で、財務報告やそれに係る内部統制をおろそかに考えている経営者もいないわけではないと思います。だからといって、利益を無視して教科書的、理想的な内部統制を構築しろというのも、もともとJ-SoXの「経営者の視点で内部統制を構築」するという根本思想からすれば明らかにバランスを欠いている。

バランスをどこで取るか。そのカギはやはり虚偽記載リスクの評価。リスクに応じた対応を考えればよい。虚偽記載リスクは、チェックリスト、3点セットを表面的に作成しているだけでは本当の意味で評価しているとはいえない。経営者の資質であり、社風・社内の人間関係であり、従業員・役員のスキルであり、会社を取り巻く環境であり、そういったもろもろのもの（外部環境、統制環境）を総合的に勘案して、リスクを評価しなければならない。

「うちの会社にそんなことできるほど仕組みを理解している人はいないからリスクは低い」などと会社の人が言うと、監査人は「でもそんなことはわからない。もしかしたら」といって、不正操作ができるほど仕組みを理解している人がどこにでもいることを前提にリスクを評価しようと考える。この時点で、リスクの発生可能性の評価がわかれ、経営者が考える有効な内部統制のレベルと監査人の考えるレベルに乖離が生じてしまう。J-SoXの前提は、おそらく経営者の方が監査人よりも自社のことはよくわかっていてリスクも適切に評価できる。だから必ずしも監査人やコンサルのいうことを聞かなくてもいいということになる。しかし、実際には、監査人の評価を受け入れて統制を構築せざるを得なくなる。

例えば、小規模組織について、「11の誤解」には「職務分掌に代わる代替的な統制：マンパワーが不足している場合などには、経営者や他の部署の者が適切にモニタリングを実施することで可。」とあります。これに対し、監査人は「職務の分離」や「独立した内部監査」を求める。一方、経営者（会社）は、「少人数で誰が何をやっているかは見通せるので、悪いことはしにくいし、もしやったとしても上司や社長が普段から見ているからすぐにわかる。だから、職務の分離や独立した内部監査機能は不要」と主張する。まさに「11の誤解」の通りです。しかし問題なのは、本当に上司や社長が普段から部下の仕事をきちっと見ているか、コミュニケーションが取れているか、ということです。「小規模だからできるはず」ではなく実際にやっていなければダメなのです。小規模組織で起きる不正の多くは、結局上司や社長も忙しくて（主として営業や付き合い）、管理的なことは部下に任せっぱなしになっていて全くチェックしていないケースかと思います。小規模組織では現金出納と経理を一人の人がやっていて「職務の分離」どころではないようなケースもあると思うのですが、それで任せっぱなしでは不正が起きたとしても不思議はない。監査人としては、「上司が見ている」とはいっても、営業事務や経理関係については多くの場合そうはなっておらず任せっぱなしで「彼（彼女）ならまじめにちゃんとやるだろう」という期待を持っているだけということを知っているので、にわかには会社の主張を承服しかねる。こういうところでも構築すべき内部統制のレベル間に差が出てきます。この場合には、監査人のほうが会社の実態を経営者よりもよく把握していて適切にリスクの評価ができていることもある。

一番難しいのが経営者自身に関する評価の部分（統制環境）。会社自身の評価では、恐らく実態は別として、形式的に財務報告を重視する姿勢に関する文書かなんかが出されていれば、それで「有効」と考えるのかもしれませんが、監査人は、あくまで直接経営者とディスカッションして得た心証や他の役職員、外部の関係者等からの情報による心証から、客観的に評価しようとする。「どうもそういう話を聞いた限りでは、あそこの経営者は売上至上主義、利益至上主義で、会計や内部統制重視しているようには思えない」ということになる。ここで、監査人は「重要な欠陥」になる大きな可能性または監査上のリスクを認識する。財務諸表監査であれば、「不正への対応」ということで監査人が厳しくチェックすればよいのですが、内部統制となるとどうか。監査人も会社も、形式だけ整っていればで済ませてしまおうとするか、それとも、経営者の本当の姿勢及びそれによってもたらされる社風や従業員の行動心理にまで踏み込んで、個々の統制の有効性を考え、経営者の意向にあまり左右されずに実質的に有効に機能するような仕組みを考えていくか。J-SoXの趣旨からすれば後者の対応になるように思いますが、実際には、経営者の本質的な部分に触れるよりは、ことを荒立たせずに形式的、表面的な対応で済ませようという場合が少なくないような気がします。

こういうことをやっている限り、経営者と監査人の溝は一向に埋まらない。

監査人にちゃんと説明して議論すればわかってもらえるはずなのにそれをしようとしない会社側、そして、リスクを表面的にとらえてマニュアル・チェックリストを機械的に適用しようとする監査人。この組み合わせだとどんどんコストが膨らみ、あまり意味のない実効性のない統制手続ばかりが増えてしまいます。

「虚偽記載リスクの評価と対応」にいかに客観性と経営的な視点･バランス感覚を持たせるか、それが大きな課題かと思います。

「11の誤解」が「自社のリスクを最も把握している経営者が、主体的に判断。」「監査人の指摘は、内部統制の構築等に係る作業や決定が、あくまで企業・経営者によって行われるとの前提の下で、適切な範囲で行われる必要。」というだけではおそらく不十分で、

「経営者は、虚偽記載リスクについて、判断の根拠を示した上で評価する。基本的には、経営者は自らの虚偽記載リスクの評価結果に応じた内部統制を構築し、それが有効に運用されていれば内部統制は有効であると判断することができる。監査人が経営者の虚偽記載リスク評価結果が明らかに合理的ではないと判断した場合には、監査人は経営者と十分にディスカッションする必要がある。監査人は、監査人自身が財務諸表監査において実施する虚偽記載リスク評価結果のみに基づき経営者による内部統制の有効性評価の妥当性について意見を述べてはならない。ましてや、経営者による虚偽記載リスク評価を踏まえずに機械的にマニュアルやチェックリストで求められている統制行為を経営者に求めたり、経営者がリスクがないまたは低いと評価しているにもかかわらず対応する統制行為の実施を求めたり、対応する統制行為が存在しないまたは統制が弱いことをもって「内部統制の不備」として取り扱ってはならない。こういうことが行われていないかどうかを、公認会計士監査審査会及び日本公認会計士協会においても検査・レビューの重点項目とする。これがあくまでJ-SoXのスタンスであって、経営者のリスク評価結果を受け入れるのか、監査人のリスク評価結果によるのか、そこが米国のダイレクトレポーティングとの違いである。」

というくらいまで書けば効果はあるかもしれません（ちょっと無理があるので難しいでしょうけど）。とはいえ、ディスカッションにもかかわらず、虚偽記載リスクの評価結果にかかる両者の溝が埋まらないと結局最後の監査意見のところで「不適正」になってしまう可能性があります。

たしかに、経営者が客観的な根拠・証拠を示して虚偽記載リスクを評価、監査人に説明するのは難しい。どうしても経営者自身の主観といおうか、「勘」といおうか、感覚的なものが入り込んでくる。少しでも客観的な証拠がなければ監査人が会社の判断を全く認めないというのは、裁判対策といおうか自分の身を守るためにはいいかもしれませんが、監査人にしても、専門家としての「経験」と「勘」に頼る部分が全くないわけではなく、それがあるからこそ「職業専門家（プロ）」といえるところもあります。経営者が本当にそう考えているのか客観的な証拠がないと判断できないとなれば「ウソ発見器」でも使うしかないのか。とそんな状況になるとすれば、監査人のいうとおりに形式だけ整えておいた方が楽、というように思ってしまう経営者または担当者の気持ちもわからないではありません。しかし、それではJ-SoXの本来のあり方からは外れてしまうことになります。

金融庁も会計士協会も、もっと経営者の立場に立った「虚偽記載リスクの評価」と「対応」についての議論が深まり、形式論に走らなくてもすむような具体的な考え方なり例を示してくれるとよいのですが。

金融庁からいきなり　「内部統制報告制度に関する11の誤解」　なるものが公表されました。

http://www.fsa.go.jp/news/19/syouken/20080311-1.html

実務の現場では、一部に過度に保守的な対応が行われていることへの対応だそうです。（本当に「一部」といえるのかどうかは疑問ですが）

ここに書かれていることは、１年前なら「誤解」といえたかもしれませんが、いまの段階にいたってまだ誤解をしている会社がどれほどあるのでしょうか？会社自身は誤解はしていないが、現実問題監査人からの要請がある以上、適正意見をもらうためにはやむをえないというケースが多いのではないか。

ということで、私が会社の担当者だったらこんな愚痴を言いたくなるというのを書いてみました。

１．米国SOX法と同じか

　これについて、違うことは誰でもわかっていますが、では実務上どのように対応が異なるのかという点については、事業拠点の選定以外は実はあまり変わらないのではないか。という感覚の方も少なくないのでは。また、監査法人も、US SoXのノウハウやツールをJ-SoXに移植している場合もあり、日本とのガバナンスの違いなどはあまり考慮されていないケースにまじめな会社が戸惑うケースはないのか。

２．特別な文書化が必要か

　企業の作成・使用している記録等を適宜、利用。といっても、現実には使えるものがほとんどなく、まして財務報告の虚偽記載リスクを評価した文書や統制について記述したものなどは皆無。であれば、最初から３点セットの形でつくってしまったほうが楽なのではないか。ただ、何せ慣れないので大変ですし、監査人からは書き方まで厳しく指導されるので、完璧を求められると現実問題かなりつらい。

３．すべての業務に内部統制が必要か

　「どんなに小さな業務（プロセス）でも内部統制を整備・評価しなければならない。」ということよりも、「どんな小さなリスクでもすべて洗い出して、しかもすべてに対して低減策を講じなければならない」という方がつらいのではないか。RCMを作るとどうしてもそういうことになりがち。すべてのリスクを洗い出さなければそれが重要性があるかどうかはわからないのではないかといわれればごもっともではあるが、細かいリスクを上げだせばきりがないし、「木を見て森を見ず」にもなりがち。それに、長年やっていれば、どのあたりに財務報告に重要な影響のあるような誤謬や不正が生じるかはだいたいわかっているので、そこを重点的に整備したい。リスクの高いところに重点的に資源を配分するというのが、リスクアプローチの本来の考え方ではないのか。監査人は十分に理解しているはずではありますが・・・。

４．中小企業でも大がかりな対応が必要か

上場会社を中小企業と呼ぶべきかどうかはともかく、中小規模の会社でやたらと規程やマニュアルの整備を要求したり、職務の分離を形式的に要求したりということは十分にありうることだと思います。しかし、ではどういう統制であればよいのか、ということについて、監査人（といおうか、経験の浅い若手会計士）が必ずしも十分な知識やノウハウをもっていないケースもまったくないとはいえず、自信をもってこの程度であれば大丈夫だろうという見極めが難しい場面もあるのではないか。だからつい形式的、教科書的な指摘になってしまいがち。コンサルも同様。そして会社自体も、自社においてこのような統制で十分にリスクを低減できているのかどうかについてよく考えていないので、コンサルや監査人のいいなりになりがち。よく考えれば十分という場合もあるにもかかわらず・・・。または、監査人への説明不足があったり。コミュニケーションの問題もありますね。

５．問題があると罰則等の対象になるのか

「内部統制報告書の評価結果に問題がある場合、上場廃止になったり、罰則の対象と
なる。」という誤解があるとのことですが、経営者は上場廃止などというレベルで経営しているのではなく、仮に内部統制に重要な欠陥があり、有効ではないという報告書を提出した場合のその他もろもろのインパクト、リスクを考えて経営しているはず。風評リスクや株価への影響も気になるし、会社法内部統制に関連して株主からの責任追及も怖い。買収リスクなども考えなければならない。日本の風土を考えると、経営者が「有効ではない」報告書を公表することについてはかなり心理的に抵抗があると思われますし、だからこそ何とか内部統制を改善しようという気にもなっているところなので、「上場廃止にならないから、罰則の対象にならないからいいんだ」ということではないでしょう。「初年度は有効でなくてもいい」といわれても、経営者はそうは簡単には割り切れないでしょう。

６．監査人等の指摘には必ず従うべきか

　監査人からの指摘に従わなければ、不適正意見が出て、虚偽記載扱いで上場廃止や罰則となれば、従わざるを得ないという気持ちはわかります。それと同時に、従っていた方が楽、という心理もあります。「自社のリスクを最も把握している経営者が、主体的に判断。」とはいっても、経営者は内部統制の専門家ではないですし、まして、「大丈夫だという証拠を見せろ、客観的に証明せよ」と監査人からいわれれば、なかなか苦しい。やはり心のどこかで社員を信じて経営者自身がリスクを負っている（受容している）ところがあるので、そこをつつかれると反論できない。しかし、信頼関係がないことを前提には経営はできない。そんなことを議論している暇があったら、少々不満でも監査人のいうことを聞いて、ほかのことをやったほうがいい、と割り切る経営者や担当者もいるでしょう。

「だって先生、実際にうちでは大きな間違いや不正が起きていないでしょう？内部統制がいまのままで十分な証拠ですよ」で済めば苦労はしないのですが・・・。まして、監査人から小さい金額ながらも頻繁に間違いを指摘されたり不正が発見されたりという「実績」があると、何を説明してもどうにも説得力がないのが・・・。監査人からの指摘事項を、その都度、確実につぶして再発防止策を講じているとだいぶ心証が違うのではありますが。

　また、「監査法人やコンサルティング会社の開発したマニュアル（内部統制ツールなど） 、システムを使用しなければならないということはない。」とはいっても、では自分たちで考えろといわれても。統制上の要点を選定する根拠または整備状況が有効であることの根拠として「統制の粒度」「予防的統制か発見的統制か」「手作業か自動化か」「統制の頻度は」などということのRCM上の記述を求められると、実施基準の例示では到底対応できず、結局、監査法人のフォームに限りなく近づかざるを得なくなる。

　「統制上の要点」の選定基準というのは、実施基準上も極めてあいまいで、会計士協会においても統一的な見解はない。しかし、統制上の要点の選定理由の説明を監査人から求められる。であれば、あとからRCMを作り直すよりは、最初から大変でも監査人のフォームを使ったほうが楽という判断になる。または、監査人のツールを使えば、監査担当者も自分でリスクを負って判断する余地が小さくなるので、細かいことをあとからいわれずに監査も通りやすくなる（はず）。

　従ったほうが楽なこともある。これが経営者や担当者の本音でしょう。

　Q&Aの改訂版では、是非統制上の要点の選定根拠の示し方などについても触れていただければと思います。

７．監査コストは倍増するのか

　これは必ずしも誤解ともいえないのでは。あくまで個々の会社の状況によって異なりますし、監査人の姿勢によっても異なるでしょう。金融庁が監査報酬の抑制を暗に会計士業界に要求しているというのであれば別ですが。

８．非上場の取引先も内部統制の整備が必要か

　これはそれなりに誤解もあるかもしれません。特に最初の頃にIT業界があおった面も無きにしも非ず。そしてあくまでも財務報告に係る内部統制に限定した話であり、それ以外のことは関係ない。

９．プロジェクトチーム等がないと問題か

　プロジェクトチームがないと現実問題動かないということは、各社とも異論はないと思います。特に初年度については、片手間でできるような仕事でもない。評価については、内部監査部門がやるということであまり異論はない。プロジェクトチーム云々以前に「人手が足りない」「スキル・ノウハウがない」というのが本当の悩み。

　２年目以降に財務報告の虚偽記載リスクをどこの部署が取りまとめて対応するか（リスクの評価と対応の主体）というのは、各社ともそろそろ悩み始めているかもしれません。プロジェクトチームは時限的のつもりなので、３点セットは各部署で、取りまとめはどこかの部署で、ということになりますが、どの部署も既存の業務で手一杯。いずれにしても、仕事はいまより間違いなく増えるのです！

１０．適用日までに準備を完了する必要があるのか

　「もう間に合わない。」と思っていたとしても、それでは「有効でない」という報告を出す、または内部統制報告書を提出するのをあきらめて上場廃止への道を選ぶか、というとそこまでの覚悟もない。やはり何とかしなければならないがどうしていいかわからない、というのが出遅れ会社の悩みでは。「あきらめないでがんばれ！」というメッセージとしてとらえるのであればいいのですが。。。

　ただ、問題は、監査人の監査の都合上、評価作業、特に全社的統制の評価作業がある時期までに終わっていないと監査ができないという問題も現実にはあります。おそらく監査人は、四半期レビューの合間を縫って内部統制監査を実施するはずですが、あまり期末ぎりぎりになってあわてて監査手続を実施するのは避けたい。あまり期末近くまで内部統制が固まらないとなると、会社自体の内部統制評価も実施できず、監査手続の実施を先送りせざるを得ない。ここはなかなか悩ましい問題です。最悪のケースは、会社自体が内部統制評価をできそうになく、従って内部統制監査も実施できない可能性があるといった場合に、監査人として監査契約を締結できるかというレベルです。評価範囲の一部除外というレベルで済めばよいですが。

１１．期末のシステム変更等は延期が必要か

　ここは確かに誤解があるかもしれません。ただし、「やむを得ない事情」というのはあくまで個別判断なので、事前に監査人と協議が必要でしょう。また、万が一システム変更に失敗した場合のリスクをどう低減させるかということも考えておく必要があります。

以上のことは、どちらかといえば中堅以下の上場会社のケースを想定しているので、巨大グローバル企業には当てはまらないかもしれませんが、数としては中堅以下のほうがはるかに多いので、金融庁も経団連の役員になっているような企業だけでなく、中堅以下の企業の状況にも目を向けていただきたいと思います。　

また、円滑な実施に向けた行政の対応も公表され、会社・監査人へのヒアリング、追加Q&Aの公表、相談窓口の設置、指導中心の行政対応などといったことが書かれています。

しかし、そもそも保守的な対応が行われる背景がどこにあるのかをよく考えないと、あまり実効性のない対応になってしまいます。監査人の責任の大幅軽減（民事訴訟への対応を含む）、監査法人への検査における形式重視から実質重視への転換など、金融庁自体が監査法人への締め付けをゆるめればある程度解決するような問題もあれば、監査人の不勉強による混乱が原因のものもある。一方、会社側の不勉強や監査人の言いなりになったふりをして何かあったときの責任を監査人に押し付けようという風潮が原因になっている場合もある。監査法人における海外の提携先からの圧力のように国内だけではどうしようもない問題もある。とにかくよく分析して適切に対応してもらいたいとおもいます。

とまぁ、追い詰められたJ-SoX担当者にとってはほとんど慰めにもならない「１１の誤解」ではありますが、「まだ間に合う。がんばれ！」という応援メッセージだと思って、あきらめずに一つずつ課題を解決していきましょう。

JICPAは、ＩＴ委員会研究報告第36号「自動化された業務処理統制等に関する評価手続」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/main/36.html

先日公表された35号「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」と一体として理解することが推奨されています。

本研究報告では、ＩＴに係る内部統制のうち、自動化された業務処理統制等及び財務諸表監査におけるリスク評価手続並びにリスク評価手続のうち運用評価手続の具体的例示を挙げ、解説しています。フローチャート、業務記述書、RCMの例示もあります。

ここで「リスク評価手続」というのは、J-SoX実施基準で言えば「整備状況の評価」に対応するものと言ってもよいかと思います。

自動化されたIT業務処理統制等の評価について、具体的なイメージがわかない、どの程度やればいいのかレベル感がつかめない、事例がないなどといった悩みも聞かれましたが、これは一つの参考にはなると思います。

興味深いのは、運用評価手続。整備状況の評価と一体として評価するケースが少なからず挙げられています。例えば、整備状況の評価におけるウォークスルー時に実施するといったことになるかと思います。どの程度サンプルを採るのかということにもよりますが、IT全般統制が有効であれば、例えば1件採ればよいということにもなりますので、そういう場合には、ウォークスルー時に1件チェックすればよく、改めて別途運用テストを行う必要もないのではないか、ということなのでしょうか。

ただし、これはあくまで例示なので、個々の会社の実態に合わせて、ということはいうまでもありません。

いまごろなぜ？という見方もあると思いますが、財務諸表監査におけるIT統制の評価手続の中でどうしても全般統制中心の評価になってしまい、業務処理統制がおろそかになりがちまたは手が回っていなかったということも無きにしも非ずなのでしょう。いままでここまでの監査手続を受けたことがないというIT部門の方もいらっしゃるかもしれません。それだけに企業のIT部門もなかなかなじみがないということもあるかと思います。そういう方々にも参考になると思います。

もう2月も終り。J-SoX本番まで1ヶ月少々しかありません。

比較的順調にいっている会社でも、評価の練習のフェーズに入って、統計的サンプリングだのといった世界に足を踏み入れ、3点セットの不備の修正に頭を悩ませ、そして、IT統制の評価に呆然とし、あきらめムードといおうか無力感がただよい始めている頃ではないかと思います。

「あれもやらなきゃ」「これもやらなきゃ」と、課題が片付くスピードより課題が増えるスピードの方がなぜか速い。課題は増える一方。しかし一向によくならないし出口も見えない。

そういう心境に陥っているときには、ひょっとしたら「減点主義」のわなにはまっているのかもしれません。会計士の理屈による「理想論」を並べたチェックリストで「○」がついていないところが「不備」つまり「減点」になるということで、それを片っ端からつぶしていって、「不備」をなくそうとする。しかし、「それをやって本当に意味があるのか？」「わが社でそこまで本当に必要なのか？」「これをやっていなくてもわが社はうまくいっているのではないか？」そんな疑問を抱きながら・・・。

しかし、チェックリストを「やっていないこと」を探すのではなく、「やっていること」を探すための参考例、と考えるとずいぶん気が楽になります。つまり、加点主義の考え方です。実際に企業の方とディスカッションをしていると、「そういわれてみれば、こんなこともやっている」ということが次々とでてきて、それを積み上げていくと、気がつけば「意外とちゃんとやっているな」ということになることが少なくありません。全社的統制のチェックリストなどというのは、どちらかというとそういう性格のものです。日常的モニタリングとか情報と伝達に関係するところなども、「いわれてみれば・・・」というのが多いような気がします。

もともとは別の目的で行っている統制行為なので、「財務報告」には関係ないと思っていることも、よくよく考えると財務報告の信頼性確保に役立つようなモニタリングになっていたりすることはよくあります。毎月行っている予実分析、損益分析などというのもそういう類です。なぜ今月はこんなに利益率が悪かったのかを分析しているうちに、実は帳簿の数字が間違っていた、などということを発見するというのはこうした例です。

統制目標をきちっと理解したうえで、その目標を達成するためにどんなことが役立っているか、を色々考えてみると、案外、様々な統制が利いていて、その結果として財務報告に係る不正、誤謬が防げたり発見できたりしている。チェックリストの項目は決して「理想論」ではなく、あくまで例にすぎません。他の方法で目標が達成されていればそれでもよいのです。

人間どうしても他人の欠点を探して批判するのは得意でも、長所を見つけてきちっとほめてのばす（単なるお世辞ごますりではなく）ことは苦手です。私自身もそうですが、会計士とか検査官、調査官といった人種はとりわけそういう傾向があることは否めません。自信をもって長所をほめる、「大丈夫だ」というお墨付きを与えるというのは、簡単そうでいて難しいです。J-SoXも「監査制度」を入れてしまったので、何となく減点主義的な色彩が強くなっていますが、八田先生の解説などを読んでいると、上場会社側の「評価」については、性善説といおうか、加点主義のイメージがあるような気がしてなりません。ダメなところを見つけて減点をするためというよりは、今やっていることを評価の素人である経営者が自信と責任をもって「大丈夫だ」といえるためには、どういう理論構成、説明をすればよいか、という視点で書かれているようにも感じられます。

残り少ないですが、是非そういう視点でいまやられていることをもう一度見つめなおしてみてください。

あと2ヶ月で本番年度だというのに、なかなか実務対応が見えてこないJ-SoX。とりわけIT統制については、あいかわらず企業として構築、評価をどこまでやればよいのか見えてこないことに不安を覚えていらっしゃる方も少なからずいらっしゃるのではないかと思います。

先日ご紹介したJICPAの「IT統制の枠組み」についても、J-SoXにおける内部統制監査にどのように適用されうるのかが見えてこない。

となると、最後は会社と監査人との交渉ごとになりうることも覚悟しなければならないのではないか。つまり、監査人が必要だということをやるのではなく、会社が必要だと考えることをやり、監査人に対し、必要と考える理由または必要ないと考える理由をきちっと説明できるようにしておくこと。「できないからやらない」ではなく「やる必要がないからやらない」という説明ができること。そして監査人を説得できること。

理論的に言えば、例えば、現実的に生じうる「リスク」を洗い出した上で、その発生可能性及び影響額が低いものについては低いと考える理由を説明。そこについては、教科書的に内部統制の不備があったとしても、敢えて対応しない、ということを説明し、リスクが一定水準以下に抑えられているということで「不備」として扱わないことを監査人に認めてもらうといったことになるかと思います。

これは、内部統制の構築に係る例ですが、評価範囲や評価方法、3点セットの記載方法についても監査人を説得するケースが出てくるのではないかと思います。例えば、「誰が読んでもわかるように」と監査人から指導されたとしても、それは社外の部外者にまでわかるレベルまで必要なのか、社内の関係者（関係部門、内部監査等）及び監査人が理解できればよいのか、というところはずいぶんレベル感の違いが出てくる可能性があります。関係者に統制の内容が理解ができて、かつ、実際にウォークスルーや運用テストを実施する際に読んで統制の内容が理解できていればよいという考え方もできるかもしれません。内部監査室の方が読んで何を言っているのか具体的なことをいちいちこまかく質問しないとわからない、というのは困るかもしれませんが、逆にいえば、質問すれば理解ができて適切な評価が行いうるのであれば、3点セットの記載が少々大雑把でも許される場合があるかもしれない。大きな会社であれば、評価する社内のことがよくわかっていない内部監査人が評価を行うことはありえるでしょうけど、小さな会社であれば、内部監査人も当該業務（統制）に精通しているので、業務記述書などが少々大雑把でも統制の内容を正確に理解して適切な運用テストを実施できるかもしれません。とはいえ、権限と責任に関係するような「誰が」などというように最低限書いておかなければならない情報は記載しておかないとまずいと思いますが。監査人は、粉飾を見抜けなかった場合の訴訟に備えて文書を作るくせがついているので、訴訟に耐えうるレベル、裁判官が理解できるレベルまで求めるかもしれません。必要とされるレベル感はまちまちにならざるを得ません。

というように、それぞれの会社の事情に合わせて、本当にリスクが適切に洗い出され、それに対する統制によってどの程度リスクが低減されているか、及び適切な評価結果を導き出すのに十分かどうかといったことを説明できるように会社側でも考えておかないと、監査人のある意味理想論に付き合っていていつまでたっても出口が見えないということにもなりかねません。

ということは、会社側も相当勉強して、しっかりと理論武装をしておかないといけないということですし、逆に社内の状況は監査人より経営者自身の方がよくわかっているはずなので、事実の認定に誤りがなく理論武装さえきちっと正しくしておけば、監査人が会社の考え方を完全に否定することはなかなか難しいのではないかと思います。監査人としても、会社側が理論武装をきちっとしており、内部統制についてきちっと理解していれば、それ自体はいいことなのではないかと思いますし。

ということで、そろそろ本番に向けてどこまでやるかという「落としどころ」を探るタイミングになってきています。監査人の「指示」を待つばかりでなく、自らも考えていただければと思います。

前回、前々回と自問自答モードになってしまいましたが、結局のところ、

・ITを利用した自動計算、自動処理が適切になされているか

・ITを利用した統制が有効に機能しているか

・なおかつ、これらが継続しうる状態になっているか

ということを確かめるテストを行えばよい、ということになるのではないかと思います。

具体的には、

1.ITで自動化された処理、統制等（自動化された業務処理統制等）を仕様書閲覧、質問等で把握・理解する

2.これらが実際に有効かどうかを、再実施、検算等で確かめる

3.上記を支える全般統制を評価して、上記が継続的に維持される仕組みになっているかを確かめる

とこんなことかと。

なお、会計監査の考え方からすれば1.2.は最初の年及び変更があった年のみ整備、運用状況の有効性の評価を実施。全般統制は毎年。ということになるかとも思いますが、どうなのでしょう？

順番としては、

・自動化された業務処理統制等の把握、整備状況の評価

・当該アプリケーションの基盤の把握及び全般統制の評価

・全般統制の有効性に応じた自動化された業務処理統制の運用状況の評価（運用テスト）

という感じでしょうか。

あとは、それぞれの監査人に聞いていただければと思います。

前回、JICPAの研究報告について取り上げましたが、これについたトラックバックの記事の中で、以下のような記述がありました。

『2007年11月8日に公開していた草案との変更点の1つは、自動化された業務処理統制の考え方で、確定版では、自動化された会計処理手続きと、システムから出力した情報のうち、手作業で実施する業務処理統制に利用する情報を、自動化された業務処理統制に入ると明記されたことだ。』

トラックバックをつけてもらって文句を言うのも何なのですが、私はこの部分には少々違和感を覚えました。というのも、私の理解では、「自動化された業務処理統制」の概念を広げて「自動化された会計処理手続」や「手作業の統制に利用されるシステムから自動生成された情報」を含んだわけではなく、これらを一応別物と定義した上で「等」として同様の扱いをすることにしたということではないかと思うからです。

では、実施基準やJICPA監査保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」における「ITに係る業務処理統制」との関係はどのように考えればよいのか。さらにシステム管理基準追補版とはどうか。少々前のJICPA IT委員会報告第3号及び関連する研究報告との整合性は？

ということで、すべてに目を通してみました。正直、実施基準と82号は一致しているものの、あとは整合性が取れているとはいえないなと感じました。監査をする立場で見た場合には、IT3号と82号と今回の「枠組み」の定義の関連性を説明してくれるか、概念をどれかで統一してくれないと訳がわからない。

例えば、実施基準や82号の「ITに係る業務処理統制」は、

「ＩＴに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたＩＴに係る内部統制である。」

とあります。

システム管理基準追補版流の解釈によれば、

「情報処理そのものは、IT 業務処理統制ではない。例えば、リベート計算をする際、IT を利用した計算は情報処理そのものであり、リベート計算が承認された規則に沿って正確に実施されているか確かめることが統制である。」

となり、自動計算や自動化された会計処理手続（自動仕訳）自体は「統制ではない」ということのようなのですが、となると、J-SoXにおけるIT統制の評価上は対象にならないのか。という疑問がわいてきます。

IT3号のQ&AのQ7では、販売システムに係るIT業務処理統制の検証手続例が記載されていますが（図表2）、ここでの売上に係る自動仕訳（売上計上）については

（アプリケーションシステムの機能）

月次で自動仕訳を生成し、会計システムに接続させる

（情報システムの業務処理統制）

販売システムから会計システムへのインターフェースのコントロール

と書かれています。自動仕訳の生成そのものを検証するというより、システム間のインターフェースのコントロールを検証するという手続になっています。

一方、Q9の末尾に「いずれの場合においても、計上金額の自動計算の方法が適切であるか・・は重要な留意点となります」とあり、「IT業務処理統制」ではないが、内部統制としては自動計算を検証する必要性について言及している。

これに対して、「枠組み」とセットで現在公開草案が公表されている「自動化された業務処理統制等に関する評価手続」の「（別紙２）Ⅸ 販売サイクルに関するリスクと統制活動及びその評価手続の例示」では、同様の部分につき、全く異なるアプローチをしています。

つまり

（想定されるリスク）

売上高等の計算を誤るリスク

（統制行為）

販売管理システムでは、「出荷済み」となった受注データについて、出荷数量、商品マスタ、得意先マスタに基づき売上額が計算され、売上データが作成される。

（想定されるリスク）

売上及び関連科目が財務諸表に適切に計上されないリスク

（統制行為）

仕訳データが、出荷日を取引日として、売上データ１件ごとに自動生成され、会計システムへ計上される。

これは、「枠組み」でいうところの「ＩＴにより自動化された機能」のうちの「自動化された会計処理手続」に該当します。なお、これと一緒に例示されているフローチャートでは、実は、販売管理システムと会計システムのインターフェースに関する「統制」つまり「取り込みエラーリスト」の出力と内容確認、修正確認という手続が示されていますが、（別紙２）では自動化された統制等のみ記載しているようなので、載っていません。

システム管理基準追補版の事例でも、「自動化された情報処理」は「統制」の範疇に含まれていないため、RCM等の例示の中には出てこないようにも思えます。

では、実施基準では、従来どおりの考え方での狭義の「IT業務処理統制」のみ評価対象にするのか、それとも「自動化された会計処理手続」なども業務処理統制同様の評価を行うのか。全般統制によってプログラムが適切であることを「間接的に」保証するだけではダメなのか。

これらの公式文書だけみていたのでは、なかなかわかりません。

ただ、監査実務上は、CAATなどの手法を使って、「自動化された会計処理手続」が実際にきちっと機能しているかどうかを確かめているということになっていると思いますので、監査実務上の混乱はないのかもしれません。ただ、経営者の評価としてはどうなのか？？？

とにかく、JICPAには、是非これらの概念の整理をしていただきたいと思います。

日本公認会計士協会（JICPA）は、ＩＴ委員会研究報告第35号「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/35_1.html

昨年11月に公表された公開草案の最終確定版です。

研究報告というのは、監査人にとって拘束力のあるものではなく、あくまで参考にするといった性格のものです。また、あくまで財務諸表監査を行う監査人のための研究報告であり、J-SoXにおける経営者の評価を想定したものではありません。ただ、企業側にも十分参考になりますし、恐らく監査人が実施する内部統制監査においてもそのまま使えるものであると思われます。

それはさておき、内容については、まず実施基準やシステム管理基準追補版などを見ても非常にわかりにくかった「IT業務処理統制等」または「ITにより自動化された機能」についてわかりやすくシンプルに3つに区分したことが特徴です。

(1) 自動化された業務処理統制
(2) 自動化された会計処理手続
(3) 手作業の統制に利用されるシステムから自動生成された情報

「(1)自動化された業務処理統制」がいわゆる狭義の「IT業務処理統制」といわれるものであり、「統制」そのものです。(2)は「統制」そのものではありませんが、会計処理が自動化されることで、財務報告の虚偽記載リスクが低減されるという点から、統制に準じた取り扱いがなされますが、厳密にいえば「統制」ではありません。(3)はITを利用した統制において使われる情報の生成であり、これも統制そのものではありませんが、「手作業+自動化」のような感じで認識されているものです。これら3つをあわせて「IT業務処理統制」と呼んでいるケースも無きにしも非ずですが、厳密には（1)だけが「IT業務処理統制」と呼べるものです。このあたりの概念の混乱が、IT業務処理統制の理解の妨げになっていたような気はしますが、この研究報告でわかりやすく整理されたので、今後は理解が進むでしょう。

そして、これらについて具体的な例示も掲げられています。いままで「IT業務処理統制」として理解していたものが実は違ったといったこともよくわかると思います。

さて、IT全般統制との関係も具体的に説明されています。IT全般統制というとすぐに「セキュリティ」とか「情報システム部門の仕事」みたいな印象で説明されてしまい、中には「J-SoX対応のキーはISMS」などといった？？？な説明も聞かれますが、全般統制は、会計監査の世界では、あくまで、「IT業務処理統制や自動化された処理の有効性を継続的に支える統制」という理解がなされていまして、それ以上でもなければそれ以下でもない。上記(1)から(3）のそれぞれを全般統制がどのように支えているのか、また、全般統制がどのようにこれらをモニタリングしているのかという視点での説明がなされています。

さらに、IT全般統制の適用範囲決定手順も明らかにしています。

(1) 自動化された業務処理統制等がある場合は、当該機能を提供するアプリケーションシステムを特定する。
(2) 当該アプリケーションシステムが依存している全般統制を対象とする。

つまり、全般統制はアプリケーションシステムを支えるものという観点であり、リスクについても以下のようなことが例示されています。

・ＩＴに関わる開発管理手続（プログラムの開発管理）

・ＩＴに関わる変更管理手続（プログラムの変更管理）

・ＩＴに関わる運用管理手続（コンピュータの運用管理）

・ＩＴに関わる情報セキュリティ管理手続（プログラムとデータの情報セキュリティ管理）

これをみても、ISMSの領域とは一部重なる点があるものの、イコールではないことがわかります。経済産業省のシステム関係の基準でいえば、システム管理基準と情報セキュリティ管理基準の両方に関係してくることになります。

繰り返しになりますが、IT全般統制の有効性というのは、IT業務処理統制等の有効性に関連付けて検討される必要があります。IT業務処理統制等を継続的に有効ならしめるものになっていなければ、IT全般統制が有効とはいえません。ところが、IT業務処理統制等を識別することをせずにIT全般統制のみを切り離して評価すればよいといったような風潮がやや見受けられるのは残念なことです。特に、会計システムとIT全般統制の関係というのは、J-SoX上は非常に重要です。ITに係る規程を作ったはいいけれど、肝心な会計システムは考慮されていなかったとか適用範囲外で、結果的に会計システムに係る全般統制が未整備、ということになってしまったのでは意味がありません。

また、「IT全般統制の評価を行って有効であれば、IT業務処理統制の評価を行う必要がない」という声も聞こえますが、「全般統制が有効＝業務処理統制が有効」でもなければ「全般統制が有効でない＝業務処理統制が有効でない」ということでもありません。全般統制が有効でなければ、仮に業務処理統制がある時点で有効であったとしても、次の日には有効でなくなっている可能性もありますが、全般統制が有効であればそういう心配はあまりないので例えば最初に1件チェックすればよい、ということであって、業務処理統制の有効性（特に運用テスト）を全く評価しなくてもよいということではありません。逆に、全般統制が有効でないからといって直ちに業務処理統制が有効ではないということでもない。業務処理統制の有効性を何度も繰り返ししかもサンプリングの範囲を広げて評価し、その都度有効であれば、ある一定期間にわたって有効だといえないわけでもありません。ただ、財務諸表監査では、全般統制が弱い場合にそう何度も業務処理統制の評価を行うことはあまり現実的ではないので、そういう場合には、IT統制をあてにしない（依拠しない）という扱いで、IT業務処理統制の評価を行わないというケースはあります。財務諸表監査で監査人が内部統制に依拠しないことはありえますが、それと経営者自身がIT統制を評価しなくてもよいというのは全然別の話です。

この研究報告では、EUC、スプレッドシート統制についても言及しています。

その使い方により自動化された業務処理統制等と同じようなＩＴ特有のリスクが存在する場合には、ＩＴ特有のリスクを低減するために、リスクを低減させる内部統制が必要である。

というのが基本的なスタンスであり、その場合、IT業務処理統制及び全般統制を評価することになりますが、一方で、

スプレッドシートについては、作成者以外の再計算等の手作業の統制で十分な場合もある。

とも述べており、スプレッドシートについてIT統制として評価しない場合もあることを示しています。実務上は、使い方が高度で複雑であるかどうかなどを勘案して、再計算、検算などといった手作業統制を適用するにとどめるケースも少なからずあるのではないかと思います。

以上、簡単に内容をご紹介しましたが、もともとITにあまり強くない一般の公認会計士を対象に書かれていることもあり、ITに関する専門的な知識があまりなくても感覚的に理解できる部分が少なくないです。J-SoXに取り組まれるIT部門以外の方にもおススメします。

特に、情報システム部門とのコミュニケーションがうまく行かず、IT業務処理統制について躓いている方には必読書です。

日本公認会計士協会から、業種別委員会報告「銀行等金融機関における財務報告に係る内部統制の監査の留意事項（中間報告）」（公開草案）が公表されました。

http://www.hp.jicpa.or.jp/specialized_field/post_948.html

基本的には実施基準やJICPAの内部統制監査の実務上の取り扱いに沿ったものになっていますが、銀行特有の勘定科目ついて実施基準の解釈上どのように取り扱うのかといった考え方や評価範囲の考え方などが書かれています。

一般事業会社や他の業種については一見関係ないようにも思えますが、例えば、業績変動が大きな場合における重要性基準値の考え方や、財務情報に似ている情報をもとに作成されている開示事項等で財務報告の範囲に含まれるか否かの考え方とか、支店が多数ある場合の取り扱いとか、金融検査マニュアルとの関係とか、参考になるものもあります。

それと、最近一般事業会社または持ち株会社が企業グループ内で銀行業を営む場合もありますが、その場合にも部分的に適用できるものであることに留意する必要があると思います。

今後、他の業種についても同様の取り扱いが公表されるかどうかはわかりませんが、目を通しておいて損はないでしょう。

金融庁は、12月21日に「金融・資本市場競争力強化プラン」を公表。この中でEDINETにおけるXBRL導入時期について言及しました。

「金融・資本市場競争力強化プラン」の公表について

http://www.fsa.go.jp/policy/competitiveness/index.html

このP.8には以下の記述があります。

ＥＤＩＮＥＴにおけるＸＢＲＬの導入

有価証券報告書等の法定開示書類を電子的に提出・縦覧するシステムであるＥＤＩＮＥＴ（Electronic Disclosure for Investors' NETwork）において、利用者が財務情報の分析・加工を容易に行えるよう、平成２０年４月以降に開始する事業年度に係る提出書類からＸＢＲＬを導入する。

つまり、平成21年3月決算会社から順次適用されることになります。これは、四半期報告書制度、内部統制報告制度の導入と同様です。ということは、3月決算会社においては、平成20年8月頃提出する最初の四半期報告書（平成21年3月期第一四半期）からXBRLで四半期財務諸表本表を作成･提出することになります。適用のもっとも遅い2月決算会社においては、平成21年7月頃提出される平成22年2月期の第一四半期に係る四半期報告書から適用になります。これで、すべての決算期の会社についてXBRL化することになります。

最初に作成する四半期財務諸表がいきなりXBRLということになりますが、すでに、四半期財務諸表用タクソノミが金融庁において作成されていますので、これを利用して作成します。四半期財務諸表の表示科目を今後検討することになると思いますが、その際には、年度財務諸表の表示科目、過去において取引所において公表している四半期財務諸表の表示科目だけでなく、XBRLの四半期財務諸表タクソノミに定義された勘定科目のどれが使えるのかということも考慮する必要があります。年度財務諸表においてXBRLを適用する段階では、前事業年度に使った勘定科目からXBRL　EDINETタクソノミに定義された勘定科目に「表示方法の変更」を行うことになる可能性がありますが、すでに最初の四半期報告書作成の段階から、期末の表示も意識しておくべきではないかと思います。

「2008年問題」などと陰でささやかれているように、四半期報告、内部統制報告、そしてXBRL、さらにIFRSに合わせた会計基準の改正など一度にやってきますので、経理部門にとっては容易ならざる状態にあるとは思いますが、考えようによっては、段階的に毎年変更があるよりは、一気に対応してしまった方が結果的には楽かもしれません。四半期やXBRL、子会社の会計処理の統一などへの対応を踏まえて、財務報告に係る内部統制を再構築することで、大変ではありますが、無駄な作業を避けることができるのではないかと思います。

内部統制を構築するに当たっては、このような制度変更への対応をきちっと踏まえた上で行うのが合理的です。是非、XBRL対応についても十分に理解しておいていただければと思います。

日本公認会計士協会IT委員会は、2007年12月17日に

ＩＴ委員会研究報告

「自動化された業務処理統制等に関する評価手続」（公開草案）

を公表しました。

http://www.hp.jicpa.or.jp/specialized_field/post_943.html

これは、あくまで監査人が財務諸表監査を行う際のIT統制評価の一環としてのIT業務処理統制を評価する場合の手続を示したもので、経営者が内部統制評価を行う際や監査人が内部統制監査を行う際にそのまま使うものではありません。いわば、IT委員会報告第3号のより詳細かつ具体的な説明または事例を示したものです。

しかしながら、経営者による内部統制評価の手法の多くが、もともと監査人による財務諸表監査における内部統制評価手法であったことを考えると、ここで示されたIT業務処理統制の評価手続を経営者がIT業務処理統制を評価する場合の参考とすることは十分可能なのではないかと思います。

説明部分については、11月8日に公表されたＩＴ委員会研究報告公開草案

ＩＴに係る内部統制の枠組み
～自動化された業務処理統制等と全般統制～

http://www.hp.jicpa.or.jp/specialized_field/post_930.html

とあわせて利用することが推奨されています。

さて、時間のない方は、卸売業におけるフローチャート、業務記述書、そしてRCMの記載例をご覧いただくとよいと思います。実施基準の事例と比較すると、IT業務処理統制に係る記載にかなり力点が置かれていることに気づくと思います。経営者がフローチャートを作成する場合、実施基準のような手作業統制中心のフローチャートとここにあるようなIT業務処理統制中心のフローチャートを分けて作成するか、それとも両方の目的を満たすようなフローチャートを作成するかは議論の分かれるところです。ユーザー部門（現業部門）が手作業統制、IT部門がIT業務処理統制の3点セットをそれぞれ作成するような場合と、業務とITの両方に精通したメンバーが両方あわせて作成するような場合でも違うと思います。

RCMを見ると、いわゆる統制評価手続についての例示もあります。3点セットまでは作成したが、その後の整備、運用のテストをどうすればよいかわからない、またはテストの結果をどのようにまとめればよいかわからない、という方も少なくないと思いますが、この様式はとても参考になります。ただ、整備状況については「リスク評価手続（デザインの評価と業務への適用を検証する手続）」、運用状況については「運用評価手続」と記載されているところが用語の面で少々異なります。

IT業務処理統制の評価については、各社とも非常に苦労しているのではないでしょうか。ユーザー部門はITのことがわからない、IT部門は業務のことがわからない、さらにIT部門が自社のITがどうなっているか把握しきっていないといったことから、責任のなすりあいになってしまうようなケースもあるのではないでしょうか。IT部門が自社のITのことがわからないなどというのは一昔前では考えられないかもしれませんが、外部に開発が任されたり、導入当初及びその後の変更のドキュメントが残っていなかったり、あまりにシステムが複雑になりすぎ、かつ分業化が進みすぎて、誰もその全貌がわからなくなってしまっているなどといった現実があります。IT業務処理統制を評価するには、こういう状態の中で断片的な情報を多くの関係者から聞き出して整理しなければなりません。そして業務についてもITについても、そして会計についてもそれなりの知識を持っていないければならない。こんな人材は社内にも社外にも、監査法人ですらなかなかいないというのが現状です。そんな状況で財務諸表監査におけるIT統制リスクの評価、内部統制監査におけるIT統制に係る経営者の評価及びそれに対する監査が適切に行いうるのかというのは、J-SoXにおける最大の懸念事項の一つといっても過言ではありません。IT統制とはいっても、全般統制に議論が偏りすぎ、業務処理統制に関する議論があまりに少ないというのも問題です。

この研究報告案は、そうした懸念を少しでも払拭するのに役立つのではないかと思います。

実施基準、システム管理基準追補版と合わせて熟読することをおススメします。

久々に八田教授の新刊を読む。

「これだけは知っておきたい内部統制の考え方と実務 (評価・監査編) 」

日本経済新聞出版社

実施基準の解説本としては「いまさら」の内容ではありますが、とにかく、アメリカ式を否定して、リスクの高いところにリソースを絞り込んで評価せよ、というリスクアプローチの考え方をしつこいほど繰り返し述べています。そして、米国式の勘定科目アプローチと日本式の事業拠点アプローチの違いについても述べ、米国の実務であった「すべての事業拠点について勘定科目の９０～９５％」というのも批判しています。まず事業拠点を絞り込むだけでもずいぶん手間が省け、その分リスクの高いところにリソースを集中できるはずだ、ということです。実際にやってみると、全社的統制、全社的観点で評価する決算財務報告プロセスを売上高の95％基準で選んだ事業拠点にやるだけでも相当大変な作業です。それを業務プロセスの3点セットにまで広げることを考えると、気が遠くなる。。。。規模の大きな事業拠点はそれなりに人材もそろっているのでまだよいのですが、小規模な事業拠点では対応は絶望的。また、仮に3点セットを作れたとしても、小規模であるがゆえに規程はない、職務の分離、内部牽制も難しい、など、形式的に見れば不備だらけ。その是正まで考えると現実ではないし、数人の規模の拠点に独自の規定やマニュアルを整備させたり、職務の分離のためにわざわざ人を入れたりなどというのはあまりにナンセンス。リスクをきちっと認識できないコンサルや会計士ほど、そういうところにまで形式主義で規程を作らせたがる傾向がありますから、企業としては地獄です。

そんなことを考えると、2/3基準で事業拠点を絞りこめるというのはありがたい規程です。

ところが、一方で、選定した事業拠点については、売上プロセスなどは原則すべて評価対象にしなければならない。これが非常に重荷になるケースがある。しかも、金額的重要性だけでなく「主たる事業との関連性が低い場合」というような除外条件をつけてしまい、JICPAも金融庁もその適切な事例を示せないでいるものだから、枝葉末節な売上パターンまで評価対象に入れろなどと、リスクアプローチの本来のあり方からすれば本末転倒な解釈がまかり通る。金融庁担当官の解説本では、除外できる例として「社員食堂の売上」などという事例を紹介していますが、そもそも、一般事業会社で自分の会社の社員食堂の収入を「売上高」で計上しているでしょうか？　そんなことはまずありえません。そんな会計実務とはかけ離れた事例しか示せない。JICPAは、「店頭売上」と「卸売売上」に例を挙げていますが、これも「関連性が低い」という事例としてはイマイチよくわからない。

ということで、例えば事業拠点が1つしかない（本社工場のみ）場合には、リスクの大きさ、重要性にかかわりなく、例外なくすべての売上パターンについて業務プロセスの評価対象としなければならないということになってしまいます。たとえ事業拠点が一つであっても、その中でリスクアプローチを適用することは実施基準の理念からは問題ないはずです。

企業側も会計士側も、そして金融庁も、そのことをもっと深く考え、示していくべきではないかと思います。事業拠点の選定基準が2/3なのに、事業拠点が一つしかない企業で売上の95％（僅少の基準が５％）を評価対象にしろというのは、明らかに矛盾した取り扱いです。実施基準の趣旨は積極的に評価範囲の絞込みを行わせ、重要な虚偽記載リスクにきちっと対応してもらうことだと思います。

実施基準はあくまで多数の事業拠点が存在する企業のケースを想定して「事業拠点アプローチ」を採用しているのであって、拠点が一つまたは特定の一つの拠点だけで全体の９５％を超えてしまうようなケースはまた違ったリスクアプローチの適用方法があると考えてもよいのでは。実務において「あくまで例示であって、企業の実態に応じて」ということをもっと重視すべきではないかと思います。

リスクアプローチの本質を理解すること、それが求められる。これが八田教授の本のメッセージではないかと個人的には思いました。

なお、あくまで個人的な感想なので、この考え方で監査人と議論して通るかどうかは保証の限りではまったくありませんのでご了承ください。

日本公認会計士協会（JICPA）がついに内部統制監査実務指針の確定版を公表しました。正式名称は「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」です。

以下のページからダウンロードできます。

http://www.hp.jicpa.or.jp/specialized_field/main/82.html

J-SoX関係で正式に公表されるのはこれで最後ではないかと思います。

公開草案からの変更は本質的にはありませんが、内閣府令、ガイドライン、Q&Aの内容を踏まえた他、記載がより具体的になった部分、例示がわかりやすくなった部分が若干あるようです。

これは、監査人が内部統制監査を実施する時の実務指針ではありますが、内部統制構築･評価を行う上でも大変参考になるものです。実施基準の記述を引用しながらより具体的な例、考え方を示しています。

例えば、海外子会社がある場合の全社的統制の考え方（評価単位）などはとても参考になります。海外子会社の内部統制構築や評価は距離や言葉、文化の違いなどによって容易ならざるものがあり、各社とも頭を悩ませているところかと思いますが、どういう場合に親会社と同一の内部統制とみなし、どういう場合に独自の全社的統制を評価しなければならないのかなどについての考え方が示してあります。

その他、財務報告の範囲の考え方についても、実施基準より踏み込んだ説明になっています。

Q&Aにも書かれていましたが、ダイレクトレポーティングを採用しないが、実質は監査人が直接監査証拠を入手するという点がここでも強調されています。

「内部統制監査の実践において、意見書がダイレクト・レポーティングを採用しないとしながらも、「内部統制の有効性の評価結果をすべての重要な点において適正に表示しているかどうかについて、監査人自らが入手した監査証拠に基づいて判断した結果を意見として表明すること」を求めていることに留意すべきである。」

つまり、意見の表明の形が違うだけで、やること自体はダイレクトレポーティングの場合とあまり変わらないということです。ですから、内部統制自体が有効に構築・運用されていることと、監査人が自ら監査証拠を入手できるよう、内部統制の証跡をいかに残していくかというのが重要な課題となります。反面、経営者の評価における運用テストのサンプリングの仕方とかについては、それ自体を評価することはない。ということになります。評価文書については評価範囲の決定や統制上の要点の識別方法・結果さえきちっと文書化しておけば、あとは経営者自身がきちっと評価できている限りにおいては、評価文書の形式は問わない、ということになるかと思います。評価文書がどうであろうと監査人は自分で内部統制の有効性を評価するからです。米国では、企業側の負担を軽くするためにダイレクトレポーティングだけにする方向とのことです。

この指針によって、内部統制をきちっとすることより3点セットを監査がしやすいように完璧に作ることが優先されてしまうような本末転倒な対応が行われないようになるとよいのですが。

監査人向けで非常にわかりにくいかもしれませんが、とにかく熟読することをおススメします。

マザーズ以来の上場基準緩和の流れ。数値基準だけでなく、内部統制（内部管理体制）についてもかなり緩くなっているような印象を受けます。

そんな中で上場した会社の中には、J-SoX対応で四苦八苦している会社も少なからずあるのではないかと懸念しています。上場さえしてしまえばということで、上場後に内部統制のレベルを下げてしまった会社もあれば、もともとさほど高いレベルの内部統制ではないにもかかわらず、業績がよい、新規性、成長性があるということで上場が認められた会社もあるのではないか。いずれにせよ、上場後に内部統制をおろそかにしていた会社は、結果としていまそのツケを払わされることになるわけです。

一方、上場審査基準そのものは、緩くなったり厳しくなったりの繰り返し。なにか不祥事が起きると厳しくするのですけど、それでも内部管理体制の不備で上場できなかった例というのは極めて少なかったのではないでしょうか。

さて、最近では緩和の動きと強化の動きがともに出てきているという、きわめてまれな状況にあるのではないか。強化の動きとしては、主幹事証券による審査の強化であり、J-SoX対応です。J-SoXそのものは上場申請時には適用されませんが、上場年度には適用される。となると、上場していきなり「内部統制に重大な欠陥あり」というわけにもいかない。したがって、上場審査時にもJ-SoXに対応できる状態かどうかというのが判断規準のひとつにならざるを得ない。最近の上場会社でJ-SoX対応が出来ない会社があるとすれば、そういう会社は今後は上場できなくなる可能性もある。

当初予定では、今月中には、東証から何らかの上場基準の変更が公表されるのではないかと思いますが、果たしてどうなるのでしょうか？

10月2日にJ-SoXの「Q&A」が「ガイドライン」とともに金融庁から公表されました。

http://www.fsa.go.jp/news/19/syouken/20071002-1.html

正式には

「内部統制報告制度に関するＱ＆Ａ」です。

実施基準をわかりやすく解説したものというよりも。FAQ（よくある質問と回答）という感じのものになっています。「以下は、内部統制報告制度に関して寄せられた照会等に対して行った回答等のうち、先例的な価値があると認められるものを整理したものである。」だそうです。

全部で20問からなっています。

基本的には実施基準に沿った説明にはなっていますが、一部のUS SoXを前提とした行き過ぎた反応（過剰反応）や対応に対して「釘をさす」ようなものもあります。

個人的な印象ですが、評価文書を作成するのにあまり手間をかけるな、ということを暗に匂わせているような気がします。例えば、監査法人の提示するツール（特に早い時期に示されたものの多くはUS SoX対応をベースにしていて記載項目が多い）を使わなければならないということはない、と明言したり、フローチャートを必ずしも作らなければならないということではないといったり、といったことです。全社的統制の評価範囲についても、明言は避けているものの、95％基準を黙認するような書きぶりになっています。

理解が難しいのが、

（問１８）内部統制監査において、監査人が監査するのは基本的に経営者の評価結果で
あり、評価の手続についての詳細な検証は求められていないとの理解でよいか

です。

これに対する回答は

「統制上の要点の識別の妥当性の検証は、評価手続の検証に属するものと考えられるが、実施基準では、それ以上に、内部統制の整備状況及び運用状況の有効性に関する経営者評価の検討において、監査人が経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったか（例えば、運用テストの具体的内容等）についての検証は求められておらず、監査人が監査するのは、ご指摘のとおり、経営者の評価結果についてである。」

となっています。私の個人的解釈では、内部統制監査において「二重責任の原則」の観点からダイレクトレポーティングは採用しないものの、実態は、ダイレクトレポーティングと同様に監査人が直接内部統制の有効性評価を行い、経営者の評価結果と同じであれば「適正意見」を出すということを容認しているのではないか。つまり、3点セット、とりわけRCMさらに具体的な運用テストに関する詳細文書の内容の検証まではしないので、監査対応のためにあまり細かく書かなくてもいい、あくまで、実施基準に沿って経営者自身が有効性を判断できる最低限のレベルでよいということをいっているのではないか、と思われます。例えば、RCMに統制の種類や頻度などをこと細かく書くような様式もありますが、実施基準に示されているサンプルのレベルでも、経営者が有効性を評価できるなら十分ということでは。

ただし、評価範囲、評価手続の概要（統制上の要点の識別）の内部統制報告書への記載が妥当かどうかは、評価文書を見て監査する。

それと私自身も忘れがちになりますが、内部統制監査はあくまで内部統制報告書の記載内容（評価範囲、評価手続の概要、評価結果）の妥当性の監査です。評価結果が適正かは見ますが、統制上の要点の選定以外の詳細な評価手続については記載内容ではないので、評価結果の妥当性を判断するために理解することはあっても、それ自体を詳細に検討してその妥当性を検討するわけではないということなのでしょうか。

一方、監査人が直接内部統制の有効性を判断するための証拠集めをするということは、内部統制の証跡はきちっと残しておかないといけない、そちらの方で厳しくされるかもしれないという懸念はあります。とりわけ、IT化、ペーパーレス化が進んでいる業務において、内部統制の証跡をどのように残し、監査人が検証可能な状態にしておくかは結構難しい問題ではないかと思います。また、紙の場合でもどの程度の期間保存すればよいか、保存場所等の問題はあると思います。

あとは、会計士協会の実務指針で、このQ&Aの趣旨をどの程度取り込むかにかかっていると思います。評価手続の詳細を試査で確認するというようなやりかたか、それともダイレクトレポーティングに近いやり方をメインにするかで、上場企業側の対応もずいぶん変わってくるような気がします。

とにかく、評価文書を作ること自体によって内部統制がよくなるわけではないので、出来るだけ簡単にして、むしろ、内部統制そのものの改善に力をいれたほうがいい、と個人的には思います。

何はともあれ、待望のQ&Aなので、まず目を通してみてください。

だいぶご無沙汰してしまいましたが、そろそろ再開します。

ここ数ヶ月で一番の壁は「アサーション」または「経営者の主張」と呼ばれるもの、実施基準では「適切な財務情報を作成するための要件」、すなわち

　・実在性

　・網羅性

　・権利と義務の帰属

　・期間配分の適切性

　・評価の妥当性

　・表示の妥当性

だということを強く感じました。

もう少しいえば、RCMでこれらのアサーションのどれに該当するか、○をつけるのですが、これが難しいし、そもそもこれらのアサーションが具体的にイメージできないのです。

RCMというのは、実施基準の以下の手続を表形式で文書化したものなのですが、アサーションが理解できないと、この肝心な手続の意味を理解できず、RCM作成に苦しみます。

② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別

イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。

　このリスクを識別するに当たっては、当該不正又は誤謬が発生した場合に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となる。

ロ．虚偽記載が発生するリスクを低減するための統制上の要点を識別する。

　経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点から識別する。

　経営者は、個々の重要な勘定科目に関係する個々の統制上の要点について、内部統制が適切に機能し、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった要件を確保する合理的な保証を提供しているかを判断することを通じて、財務報告に係る内部統制についての基本的要素が有効に機能しているかを判断する。

　これを読んでもわかるとおり、「不正･誤謬によって発生する虚偽記載リスクが要件に与える影響」「要件を確保するための内部統制」というように、「要件」が理解できなければ、RCMは作成不能なのです。そこが、フローチャートや業務記述書との大きな違いです。

　実施基準にも一応の説明はあります。しかし、これを読んだだけではどうにも理解できない。特に、会計にあまり詳しくない各部門担当者や内部監査部門にとってはまさに「鬼門」であり、それがRCM作成の最大の障害になっているように思えます。

　では、どうすればよいか。経理部門が勘定科目別のアサーション（要件）をそれ以外の内部統制関係者に具体的にわかりやすく示してあげることです。

例えば仕入で言えば

「実在性」：架空仕入ではない。

・未納品、品違い、注文していないにもかかわらず物が届き仕入を計上するということがない

「網羅性」：仕入計上もれがない

・納品、検収したにもかかわらず、仕入（買掛金）計上がなされていないということがない

「権利と義務の帰属」：所有権が自社に移転し、支払義務が発生している

・取引条件（契約）によってあらかじめ決められた、所有権移転の要件が満たされている（例えば検収によって所有権が移転）にもかかわらず仕入計上されないということがない

「評価の妥当性」：仕入計上金額が正しい

・決められた単価と異なる単価で仕入が計上されるということがない

「期間配分の適切性」：決められた計上基準で計上されている

・検収基準であれば、検収時に仕入計上されないということがない

「表示の妥当性」　：適切な勘定科目で計上され、仕訳が起きている

・経理規程などで決められた勘定科目以外の勘定科目で計上されるということがない（仕入にもかかわらず販管費で計上する等）

　これであれば、例えば資材･購買部門や情報システム部門、内部監査部門でもある程度具体的にイメージできます。ここで「～ということがない」と書かれていますが、これは「要件を満たさない＝虚偽記載」リスクがないということを示しています。

適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点

というのは、「実在性」でいえば、「架空仕入を防ぐためにどのような内部統制が必要か」と言い換えることが出来ます。「評価の妥当性」でいえば、「計上金額間違いを防ぐためにはどのような内部統制が必要か」となります。

イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。

というのはRCM作成の第一歩ですが、識別すべきリスクは「虚偽記載リスク」であることを忘れてはなりません。そして、虚偽記載に結びつく不正または誤謬がITを含む業務プロセスのどこでどのように発生する可能性があるのかを識別するということです。単なる「不正」「誤謬」のリスクではないことに注意する必要があります。

例えば、仕入検収したにもかかわらず、検収入力を担当者が失念すれば、「仕入計上もれ」または「仕入計上遅れ」に結びつきますので「網羅性」または「期間配分の適切性」に関係することになります。逆に検収されていないのに検収入力してしまえば「架空仕入計上」に結びつきますので「実在性」に関係することになります。検収入力の際に納品書の金額を入力することになっている場合の金額入力間違いは「評価の妥当性」です。一方、検収入力時には勘定科目を入力するわけではないので、「表示の妥当性」には関係ないということになります。

ではこれらを防止するためにどんな内部統制が考えられるでしょう？例えば、入力担当者以外による入力チェックとかいった方法がまず考えられます。

このように考えながらフローチャートを追っていけば、RCMはさほど難しいものではありません。いつもこのようなことを考えて仕事を行っているわけですから。

久々だったので少々長くなってしまいました。続きは後日（気が向いたら）

金融庁から内部統制府令ガイドライン案（「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令（平成19年内閣府令第62号。以下「内部統制府令」という。）」の取扱いに関する留意事項について（内部統制府令ガイドライン）案」が公表されました。あわせて四半期開示等に係るガイドライン案も公表されています。9/20まで意見募集中です。

http://www.fsa.go.jp/news/19/syouken/20070822-1.html

いわゆる「Q&A」とは別のもので、主として内部統制報告書の記載について述べられています。

・内部統制報告書に署名捺印する最高財務責任者

・記載内容の例示

準備段階ではあまり関係ありませんが、最終的な成果物のイメージをつかむ上では有用かと思います。

「金融庁に訊く、内部統制府令とＱ＆Ａの行方」

http://www.itcomp.jp/a/article.aspx?aid=177

たまたま見つけたこの記事は、翔泳社の「IT Compliance Web」というサイトで見つけたもの。

ここで注目は「Q&A」についてふれていること。

金融庁では「Ｑ＆Ａはあくまで基準、実施基準の内容の明確化を図るためのものであり、基準等の内容を実質的に緩和するものではなく、このあたりを誤解されないようにしていただきたい。Ｑ＆Ａの公表を待つということではなく、あくまで基準、実施基準をベースに、着実かつ計画的に内部統制の整備に努めていただきたい」と警鐘を鳴らす。（引用終り）

とのことです。やはり、私が思っていた通りのようで、ほっと一息です。

また、

金融庁総務企画局企業開示課　の担当官は、「先行して米国でＳＯＸ制度が導入されたこともあり、日本企業でも米国のように保守的な対応をとらなければならないのではないかという、誤解があった」と語る。

とも書かれています。

そして最後に

すでに米国流に取り組んでいる企業にとっては、日本独自のやり方に違和感を覚えることもあるかもしれない。

と述べています。

対応が早かった企業ほど、米国流にはまって途中で力尽きて、もう一度日本流でやり直し。しかし、どうしても米国流の発想から抜けきれずに苦労、などという話も聞きます。米国式をそのまま輸入したようなRCMのテンプレートと実施基準の例示を見ると、その項目数のあまりの違いに驚かされると思いますが、実施基準の項目数で作成したらだめということはないのではと思えるのですが、どうなのでしょう。

それと、全社的統制の実質的な不備を改善することによって、その後の業務プロセスレベルの構築が楽になるなどということも、経験上徐々に理解されてきているような気がします
。実施基準に書かれていることがようやく実感できるようになってきたといってもよいかもしれません。

こうやって考えると、今年の2月くらいに「もう手遅れ」とか「すべての上場会社が対応するのはムリ」などという声に対し、八田教授が「そんなことはない」といっていたことが現実味を帯びてきます。

とにかく、あわててむやみに米国式で3点セットを作りまくるというような対応ではなく、じっくり作戦を立てて、もっとも効率的効果的の最低限の対応で乗り切り、その余力をもって企業経営の本質的な改善に振り向けるべきではないかと思います。企業及びコンサルタントの創意工夫が問われるところです。

まずは、この記事をお読みになることをお勧めします。

8月10日に内部統制内閣府令、四半期財務諸表等規則、四半期連結財務諸表規則が公布されました。

内部統制内閣府令：財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令（内閣府令第62号）

あとは、Q&Aと会計士協会の実務指針の最終版を待つばかりです。

金融庁から内部統制府令案に対するパブコメの結果が公表されました。まもなく、同府令が正式に公布される予定です。

http://www.fsa.go.jp/news/19/syouken/20070731-7.html

パブコメの結果を見た限りでは、大幅な変更はなさそうです。

なお、パブコメに対する意見の多くは、SEC基準で提出している上場会社や外国会社に関するもので、多くの上場企業にはあまり関係ないもののようです。ただ、その中で、連結子会社の決算期が親会社と異なる場合の取り扱いについては、注目すべきであると思います。

例えば、親会社が3月決算で子会社が12月決算の場合、親会社は3月末現在で内部統制の有効性を評価し、子会社は12月末現在で評価する。ただし、12月末から3月末までに内部統制の重要な変更があった場合には、3月末についても評価するといったことが書いてあったかと思います（実際にパブコメを見て確かめてください）。ということは、3月決算会社の12月決算の子会社がある場合には、今年の12月末決算からJ-SoX本番適用となり、親会社より早く準備を進めなければならなくなる可能性があるということです。無論、本番に入ってから内部統制を改善し、最初の評価期末である来年12月までに重要な欠陥をすべてつぶした上で、評価するという対応も可能ではありますが、期の途中で内部統制が変わるということによる評価作業の煩雑さという問題はあります。普通は、親会社を先に整備し、後から子会社を整備していると思われますので、これは結構つらいかもしれません。特に海外子会社の場合には難しい問題がいろいろでてくるかもしれません。

適用初年度期首でどこまで欠陥をつぶせ、また初年度期中に是正することによってどのような問題が生じるのか。期首までにすべてつぶせればよいですが、現実的には難しい場合も多いのではないかと思われます。そのような場合の対応も監査人に相談しておくとよいかもしれません。

日本公認会計士協会（JICPA）は、待ちに待った内部統制監査の指針案をついに公表しました。8月13日まで意見募集中です。

監査・保証実務委員会報告「財務報告に係る内部統制の監査に関する実務上の取扱い」（公開草案）の公表について

http://www.hp.jicpa.or.jp/specialized_field/post_890.html

さて、あまりに長く難解な文章が続くので、ざっと目を通しただけですが、上場会社の皆様にも是非目を通しておいていただきたいと思います。

基本的には、（当然のことながら）実施基準の枠からは一歩も出ていませんし、先日の日経記事のように「緩和」されているわけでもありません。このタイミングで公表されているということは、おそらく金融庁から出されるであろうQ&Aの考え方とも整合性を取っているはずですので、Q&Aも実施基準の考え方を変更することはないのではないかと個人的には思います。

それはともあれ、まずは、プレスリリース本文に概要が記載されていますので、それをお読みになられることをお勧めします。

ポイントは以下のとおりです。

１．経営者と監査人の協議時期

　監査計画の策定より前、具体的には監査対象期間の相当初期の時点か、又は監査対象期間が開始する日以前が考えられること

　適用初年度においては、遅くとも来年の3月以前には監査人と協議を行って評価範囲等について決めるということになるのではないかと思います。

　さらに、本文では、監査人が監査と同時提供できるアドバイザリー業務（助言）等についても示されています。これによって、監査人が過度に保守的になって助言を躊躇するようなケースも徐々に少なくなってくるのではないかと期待されます。監査人にとっても、独立性の問題がクリアできさえすれば、初年度において内部統制の重要な欠陥や内部統制報告書の不適正が生じるリスクを回避するためにも、ある程度助言をすることも必要だと考えていると思いますので、今後は、監査人とのやり取りがいくらかスムーズになってくるでしょう。

２．内部統制監査の時期

　監査人は実施する内部統制の評価の検討の時期等に十分留意する必要があること

　逆にいえば、経営者は、監査人の監査実施時期と自らの内部統制評価実施時期について調整が必要になるということです。

３．業務プロセスに係る内部統制の評価範囲

　経営者が実施基準に示されたような手続に従い評価対象を適切に識別している限り、選定した重要な事業拠点の企業の事業目的に大きく関わる勘定科目残高のうちに連結財務諸表における当該勘定科目残高に対して、一定の割合（２／３）に達していないものがある場合でも許容されることを具体的な数値を用いて示したこと

　これは、実施基準の解釈上認められていたことではあると思いますので「緩和」ということが適切かどうかは疑問ですが、この指針案で具体的な数値を用いて示されたことは非常に重要です。

　また、一般事業会社以外の会社の場合の考え方が示されたことも重要です。

４．全社的な内部統制

　全社的な内部統制について、まずは、運用状況の評価について監査人が検討を行うことが従来の財務諸表監査と異なることが述べられています。そして、子会社を含む事業拠点における全社的統制の運用状況については、内部統制の同一性をモニタリングする内部監査が良好に運用されていることを前提に、親会社の本社等で評価の検討を行うことになるが、財務報告に係る重要な虚偽記載の発生するリスクが高いと判断される場合に事業拠点への往査の実施を検討することになるとの考え方が示されています。

　逆に子会社等の経営的独立性が認められており、内部統制の同一性が認められない場合には、それぞれの事業拠点ごとに往査する可能性もあるということです。監査人が往査するということは、その前に経営者が評価しなければならないということになります。

５．決算財務報告プロセス

　まず、全社的統制と同様に、運用状況の評価について監査人の検討対象となることが財務諸表監査と異なるという点について述べています。そして、ここで重要なのは、全社的な観点で検討することが適切と考えられる内部統制を例示するとともに、個別に評価対象に追加することが適切とされる内部統制の例とそれに対して実施する手続を示したこと、及び、決算・財務報告プロセスにおいては、表計算ソフトが広く用いられている現状を踏まえて、マクロや計算式の検証等の検討事項を示したことです。決算財務報告プロセスのうち全社的な観点で評価するものについて、実施基準だけではイマイチ具体性がなく、どうしたらよいのか困っていた向きもあったと思いますが、今回の指針案でそれが具体的にイメージできるようになったことは大変有意義です。

６．内部統制の重要な欠陥における重要性基準値の適用

　実施基準に掲げられた重要な欠陥に該当する全社的統制の不備の例が示されていますが、内容的には実施基準と変わりません。ただ、具体的にその影響をどう考えるかについての考え方が示されています。また、「連結税引前利益の概ね５％程度」については、例年と比較して連結税引前利益の金額が著しく小さくなったような場合や事業年度ごとに著しく変動する場合などは、金額的重要性の判断基準として当該数値を機械的に適用することは適当でないことを示し、このような場合には、財務諸表監査における重要性判断基準と同様に、実態に応じ、比率の修正や最近数事業年度の平均値を用いること等を検討する。としています。

　これも監査人にとっては極当たり前のことですが、ここで明らかにされたことによって、上場企業側にも考え方が伝わるという意味では大変重要です。これも、「緩和」とはいえないものではあると思います。

　以上、ざっとご紹介しました。日経記事の方向性は間違っていなかったものの、実施基準が「緩和」されるというのはいいすぎではないかということが、これを読むとよくわかると思います。

　一般の方には至極難解な指針案ではありますが、是非挑戦してみてください。

あいかわらず、日経「緩和」記事で盛り上がっていますが、それもあってか、「評価範囲」については「どうなるんだ」という期待と不安が。しかし、「評価範囲」について正しく理解している方は意外と少ない。「評価範囲以外は内部統制整備しなくていい」という誤解や、業務プロセスの評価範囲と全社的統制・決算財務報告プロセスの評価範囲の取り扱いの違いを正しく理解していない、一方、「評価範囲に入ったら必ず規程や内部監査制度を整備しなければならない」といった誤解もあります。１０人もいない会社で、権限委譲などもほとんどない中で、びしっとした規程や専任の内部監査が必要でしょうか？従業員の数より規程の数の方が多いなんて、よくよく考えるとおかしいですね。こういう会社では、大企業とは異なる全社的統制のあり方があってもよいはずです。また、親会社の規程を準用するようなことでもいいし、親会社の内部監査を受けることでもいいはず。リスクが異なればコントロールのあり方も変わる。この原理原則に沿って内部統制整備を進めていかないととんでもないことになります。こういうことをきちっと整理できるスキルがとても重要なのではないかと思います。

チェックリスト方式で全社的統制の整備を進めると、つい教科書的に満点を取りたくなってしまうのですが、チェックリストでNoをなくすのが大事なのではなく、どのようなリスクがあってどれがどのように低減されているか、または業務プロセスにどのような影響を与えるかということを見るのが大事です。

小規模の会社にとって重要なのは、こと全社的統制でいえば、おそらく経営者自身によるリスクの評価と対応、そしてモニタリングでしょう。「情報と伝達」は、１０人程度であれば、さほど問題ないはずです。１０人で風通しが悪いようでは・・。統制活動は、ダブルチェックなどしようにも・・・。人手を倍にするわけにもいきませんし。ただし、会計的な点については、経営者は専門ではないので、親会社の経理が面倒見るということもありうるでしょう。連結ベースで見た場合に、子会社だけで完結させずに、親会社の目が通るということがコツではないかと思います。

そういう考え方で進めれば、評価範囲が少々広がっても何とか対応できます。

しかし、チェックリスト方式で質問表を子会社に出して、「No」があれば「規程を作れ」とかいう感じで機械的にYesにするような対応になってしまうと。。。

実施基準の全社的統制の評価項目例は、あくまでリスクとコントロールを見る際の視点を提供しているに過ぎません。どのようなリスクへの対応なのかをしっかり考えて、その趣旨に沿ってあるべきコントロールを考えるべきです。

IT統制、J-SoXでもっとも悩ましいところ。お金がかかるところ。。。

特に、IT全般統制といわれる統制は、コンピュータの専門家の力が不可欠で、中小規模の上場会社では対応が難しい。それ以前に、IT統制そのものを理解することが難しい。一口にIT技術者といっても、経理と人事と総務の違い以上の違いがある。IT統制を理解しているシステム監査技術者というのは、極めて特殊なIT技術者。ハードとアプリとネットワーク、さらにWeb系も全然別な人種。このような極めて異なるスキルをもった人材をすべて社内でそろえることは現実的ではありません。

では、どうすることもできないのか。といえば、そんなことはない。ユーザー部門による人手によるチェックという方法があります。特に、IT業務処理統制のジャンルでは有効です。例えば、アウトプット帳票と入力原票を照合して入力の正確性、完全性をチェックするとか、システム間のデータ連動であれば、それぞれのシステム帳票を照合するとか、異常な残高が発生していないかをざっとみるとか、検算してみるとか、そういう方法でコンピュータデータがおかしくないかを確かめることは出来ます。昔から、中小規模の会社はそうやってコンピュータデータが使えるかどうかを確かめているはずです。

データが落とせるのであれば、CSV形式で落としてExcelや監査ソフトで検算や異常データを抽出して、確かめることが出来ます。

IT全般統制は、IT業務処理統制を継続的に有効足らしめるための統制と位置づけられていますが、もし、上記のようなチェックを頻繁にやっているのであれば、もしかしたらIT全般統制に多少の不備があったり、評価手続が十分でなかったとしても、それをもってIT統制に重要な欠陥がある、または、十分な評価が行われていないということにはならない可能性もあります。

ただし、データ量が多く、システムが複雑で、しかもペーパーレス化が進んで、もはや上記のような人手によるチェックが出来ないような場合には、ユーザ部門の人手による統制だけでは十分とはいえない場合もあるでしょう。

ITを高度に利用していなければ、人手での統制でも結構役に立ちますし、システムに何か問題があれば、それを探し出すこともさほど難しくないような気がします。実際、さほど高度なシステムでなければ、開発段階で、開発をアウトソーシングしているような場合の、社内での検査、検収は、ユーザ部門が行う場合も少なくない。

また、IT部門があったとしても、プログラムを改ざんできるような人材がいないということであれば、プログラムの改ざんのリスクは低い。といったことで、あまり厳しい評価手続を実施しなくても、虚偽記載リスクにつながるようなケースは少ないのではないか。

逆に、重要な虚偽記載に結びつくようなリスクがあるような問題のあるシステムであれば、人手によるチェックでもある程度わかると思います。

さて、忘れがちなのですが、会計システムにおいて、仕訳を訂正する際の履歴をどのように残しているか、というのは、内部統制上非常に重要なテーマです。会計処理データが改ざんするのがもっとも手っ取り早い粉飾手口です。手書きの帳簿であれば、二重線を引いて訂正印を押すというようなことを必ずやるとか、消しゴムで消せないボールペンで記入するとかを必ずやっていますが、これがコンピュータになると、いつでも修正でき、しかも修正履歴を残さないようにすることが出来る場合があります。特に中小企業向け会計ソフトウェアにはこういう機能が見られます。しかし、重要な虚偽記載に結びつく改ざん等を発見するためには、加除訂正履歴を後で確認できるようにしておくことが重要です。電子帳簿保存法対応しているソフトウェアであれば、迷わず加除訂正履歴を残すオプションを選択するか、翌日以降のデータ変更が出来ないようにし、マイナス伝票と訂正後伝票を起票して、上司の承認を受けた上で入力するといったことをやる必要があります。これとて、高度なITの知識が必要なわけではなく、ユーザ側である程度対応できることでしょう。

このように考えると、IT統制について何も対応できていないということはない。何らかの人手による統制が存在する可能性が高い。まずは、それを把握した上で、それだけでは低減できないリスクを考えて対応することになるのではないでしょうか。

東京証券取引所のJ-SoX対応が注目されていますが、6月22日に東証から公表された「上場制度総合整備プログラム２００７に基づく上場制度の整備等について」は、少々要注意ではないかと思います。

http://www.tse.or.jp/about/press/070622s.pdf

なかでも、特設注意市場に指定された場合に、上場申請のための有価証券報告書（IIの部）に準じた「内部管理体制確認書」を提出しなければならず、、内部管理体制確認書の提出が３回目となる場合で、当該確認書の内容等に引き続き問題が認められるときは、上場廃止するものとする、といったことが書かれている点には注目です。

特設注意市場については、有価証券報告書等の虚偽記載、監査意見が不適正、意見不表明の場合などで、該当して上場廃止のおそれが生じたものの、審査の結果、影響が重大とはいえないと認められ上場廃止に至らない場合において、内部管理体制等について改善を求める必要性が高いと認めるときは、投資者へ注意喚起する観点から、本則市場及びマザーズとは市場表示を分離した、特設注意市場（仮称）に指定するとされています。

即上場廃止にはならない程度であっても、3年間内部管理体制に改善が見られなければ上場廃止になるということでしょうか。

これ自体は、J-SoXについては何も言及していません。しかし、内部統制に東証として改善を求める必要性が高いような重要な欠陥があり、その結果、有価証券報告書等の虚偽記載、監査人の不適正意見等が実際に生じてしまえば、改善が見られない限り遅くとも3年後には上場廃止になるということです。内部統制報告書の虚偽記載、内部統制監査報告書の不適正意見または意見不表明の取り扱いがどうなるかはわかりません。では、自ら「内部統制に重要な欠陥があり、有効ではない」と会社が自ら宣言した場合はどうなのか。「正直に欠陥があることを開示すれば、実際に有価証券報告書に虚偽記載がなく、監査意見も適正である限りにおいては上場廃止にはしない」ということなのか？それとも、「内部管理体制確認書」の内容に問題がある（改善されない）場合と同様に扱い、3年間で上場廃止するのか？

このあたりは、先日の日経の記事からだけでは何とも判断できません。ただ、これを読む限り、東証が改善を求める必要性が高いような内部統制の重要な欠陥が長期間にわたり改善されない状態を是とは考えていないことは明らかです。改善を求める必要性が高いような内部統制の重要な欠陥による虚偽記載リスクが顕在化し、実際に虚偽記載が生じてしまった場合には、即上場廃止か3年間を期限として「特設注意市場」に指定されるかということははっきりしている。問題は、内部統制の重要な欠陥があり、虚偽記載リスクは潜在的にはあるものの、リスクが顕在化していない状態を東証がどう評価するか。

それはそれとして、内部統制の重要な欠陥が放置されている場合の投資家からの評価、というものにも注目しなければなりません。投資家の評価は、資金調達など財務戦略にも影響を与えます。

とにかく、情報に振り回されず、有価証券報告書、財務諸表を適正に作成するためにはどうしたらよいか、ということを考えて、しっかり対応しておくことが基本かと思います。立派な3点セットをたくさん作ったからよいというのではなく、重要な虚偽記載が発生しないような体制になっていることが確認できることが重要です。それを経営者自身が創意工夫して考える、というのが実施基準のもともとの考え方です。そして、実際に虚偽記載が発生していないこと。J-SoXは「結果」ではなく「プロセス」を見るといわれていますが、結果がでていなければ、プロセスも不十分ということにならざるを得ません。プロセスを改善し、結果を出すこと。それがなければ、結局上場廃止に結びついてしまうということは理解しておいた方がよいと思います。「緩和」という言葉に踊らされないよう、やるべきことをしっかりやりましょう。

今日は、朝から例の日経記事の話題で持ちきり。私の関与先でも、そんな話が出ましたが、ほとんどの方が「実施基準ですでに言っていることじゃないか」という印象をもたれていたようで、安心しました。

さて、この無名ブログも記録的なアクセス数でした。初めて公開するのですが、7月2日で

でした。

そしてそのほとんどが検索エンジンで「内部統制　緩和」といったキーワードで検索してきているのです。いかに多くの方が、あの記事に興味を持ったかがわかります。

それはともかく、ある会計士の方がおっしゃるには、実施基準というのはある意味どうにでも解釈できるように書いてあるとのことです。解釈で厳しくもできるし緩くもできる。画一的な適用を求めるのではなく、それぞれの企業の実態にあったやり方で、ということなのでしょう。Q&Aが本当にでるのかはわかりませんが、今までの金融庁から出たQ&Aの性格から考えると、実施基準より緩和するということはない。もともと緩和するような解釈が可能な実施基準の解釈指針として、緩和できる点を明確にするといったことになるのではないかと思っているのですが。全く個人的な想像です。もし本当に緩和するなら、実施基準そのものを改正せざるを得ない。しかしそういう話は出ていない。

とにかく、仮に実施基準そのものが緩くならなくてもがっかりする必要はないと思います。緩い解釈が出来るということが明らかになるだけでも十分意味はあると思います。

とはいえ、中小規模の上場会社にとってはあまり関係ない緩和策ですし、逆に、緩和されていたとしても、今まであまり内部統制にこだわってこなかったところは、新たにやらなければならないことが増えることには変わりないでしょうから。

形式主義ではなく、目的指向、実質主義でいきましょう。

いわゆるsmaller COSOといわれる、中小規模上場会社向けCOSO「簡易版COSO内部統制ガイダンス」の日本語訳が出版されました（同文館出版）。

これは、小規模ではなく中小規模ということで、かなりの会社が適用できるのではないかと思います。日本の上場会社のうちのかなりの割合は、中小規模といおうか、あまり多角化しておらず、組織も割合と複雑ではない。そういう場合には、これが使えそうです。

注目すべきは、SoXへの適用のために財務報告に係る内部統制にしぼりこんでいることと、COSOのフレームワークは全くそのままということかと思います。COSOのフレームワークを中小規模に上場会社に適用する場合の考え方が示されているということです。また、訳について言えば、実施基準作成にたずさわった方が中心ということで、実施基準に使われているような用語、例えば「全社的統制」を使ってくれているのもうれしいです。まず、概要をお読みになり、基本的な考え方を理解してからツールの中身に目を通されることをお勧めします。でないと、適用の仕方を間違えて、過度な負担の割には効果が上がらないということになってしまいます。

全社的統制のうち、取締役会や監査委員会に係るところは、我が国の会社法の制度や経営スタイルなどとは少々異なるので、注意が必要です。

この本の中でもCOSOのツール編をチェックリスト的に使い、企業の実態に合わない、あまり効果のないものまでやろうとすることの弊害が述べられています。そして、内部統制があくまで目的指向だということもいわれています。COSOが悪いというよりは、目的を忘れた使い方に問題があるということなのでしょうか。今回の簡易版の中でも「ガイダンスであってマニュアルではない」ということがいわれています。考え方は大いに参考にすべきですが、ツールをそのまま使うことは、日米の制度の違いもあることですし、避けるべきなのではないかと思います。

このようなことはあるにせよ、私はこの本をある程度大規模な上場企業の内部統制担当役員の方にも是非ご一読いただきたいと思います。読み方さえ間違わなければ、目的を忘れ、チェックリストに振り回され、過度な負担に苦しむ、そんな日々から人々を救い出してくれる、そんな救いの本ではないかと思います。

今朝の日経新聞一面に「内部統制ルール実質緩和」という見出しが躍っていました。これを見て大喜びした方もいらっしゃったのでは。

しかし、よく読むと、東証の上場廃止基準に関する記述を除いては、すでに実施基準で述べられていることなのではないか、という気がしてきました。

１．毎年の点検範囲

　そもそも「点検」というのが、いわゆる部門における自主点検のことをいうのか、内部統制評価のことをいうのかは定かではありませんが、もし、評価範囲のことをいっているのであれば、実施基準では次のような記載があり、今回の記事で「緩和策」とされているものはすでに解釈上可能になっている。

（注２）一定割合をどう考えるかについては、企業により事業又は業務の特性等が異なることから、一律に示すことは困難であると考えられるが、全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合を概ね２／３程度とし、これに以下②で記述する、重要性の大きい個別の業務プロセスの評価対象への追加を適切に行うことが考えられる。

つまり、全社的統制がきわめて良好であれば、2/3よりさらに範囲を狭めることも可能である。これは、八田教授が解説しているところでもあります。すくなくとも、記事にあるように2/3を「義務化」しているわけではないと思います。逆に、2/3というのは全部やらなくてもよいということで、緩和策でもあります。

２．導入時の文書化作業、システム投資など

記事では実施基準では「全拠点」について求められており、緩和策では売上高で計5%未満の小規模拠点は対象外も、と書かれていますが、これもどうもよくわからない。

そもそも、システム投資をしなければならないとはどこにも書いていません。それどころか、内部統制の構築そのものの範囲はあくまで企業の任意という考え方が基本にある。これに対して、評価範囲は上記売上高基準などによって決められますが、これはあくまで業務プロセスの評価。全社的統制は原則すべての事業拠点について全社的観点で評価することが必要です。ただし、「財務報告に対する影響の重要性が僅少である事業拠点に係るものについて、その重要性を勘案して、評価対象としないことを妨げるものではない。」とされており、重要性が僅少であれば全社的統制も業務プロセス統制も評価対象としないことができることになっています。この「僅少」の例が示されるというのであれば、それはそれで意味があることです。評価範囲に該当する事業拠点はいやおうがなく内部統制を整備する必要があると思いますが、それ以外について整備しなくてよいということではなく、あくまで経営者が自らの判断、責任でどうするかを決めることが重要です。

つまり、これもQ&Aで緩和といえるかどうか。

３．「重要な欠陥」の公表

　これは、実施基準の以下の記述に関するものと思われます。

a. 金額的な重要性の判断
金額的重要性は、連結総資産、連結売上高、連結税引前利益などに対する比率で判断する。これらの比率は画一的に適用するのではなく、企業の業種、規模、特性など、会社の状況に応じて適切に用いる必要がある。
（注）例えば、連結税引前利益については、概ねその５％程度とすることが考えられるが、最終的には、財務諸表監査における金額的重要性との関連に留意する必要がある。

これも例示の一つに過ぎず、かつ、画一的に適用すべきものではないことがすでに明確にされています。一時的な要因で５％を超えた場合についても、そのときの状況で判断するということをすでに許容していると思われます。似たようなことは、財務諸表監査上の監査人による重要性の判断や連結範囲の判断の場合にもありますが、その場合でも、一時的な要因による場合については個別に判断していると思いますが、それと同じかと思います。

以上のことから考えると、すでに実施基準の段階で、本来経営者が自らの責任で決めるべきものに一応の「目安」を設け、過度に保守的にならないように数値基準を「例示」し、「画一的に適用しない」ことを明確にすることで、「緩和策」が講じられていると考えられます。しかしながら、US SoXの実務にひきずられた誤った報道やセミナー、監査人やコンサルタントの指導などによって、なかなか実施基準の趣旨が伝わらず、負担感が減らないことから、Q&Aを出して実施基準の趣旨を徹底する、ということなのではないかと思います。

一方、日本公認会計士協会の監査人向け実務指針は、監査人のあまりに重い責任に照らして、どうしても企業に対して厳しい見方をせざるを得ない。その結果、実施基準でいくら手当てしても、企業に負担を強いてしまう可能性がある。したがって、Q&Aよりもこちらの方がはるかに実務に与える影響が大きい可能性があります。

本当に企業の負担を減らし、緩和したいのであれば、経営者の責任（財務諸表、内部統制報告書の虚偽記載に対する刑罰）を重くした上で、監査人の責任を軽くするのが一番。「監査」などといわずに、「消極的保証」とか「合意された手続に基づく保証」くらいにしておけば、監査人のリスクが広がり、責任が重くなるということも監査ほどはなく、あくまでも企業の自己責任で内部統制構築が可能になる。いくらダイレクトレポーティングではないとはいっても、有効であるという評価結果に対して適正を出せば、それは監査人が有効のお墨付きを与えたのと同じこと。評価範囲についても重要な欠陥の判断規準にしても、保守的に考えざるを得なくなる。しかも、大手監査法人は、US SoXに対応した内部統制監査の国際的基準を持っており、ある程度それに引きずられてしまう。US SoXが国際標準だなどということはありえないのですが、力関係でそうなってしまう。はたして、JICPAの実務指針が、どういうものになるか注目です。

この記事が誤解に基づくものなのか、当局との「あうん」の呼吸で世の中の誤解を解くためにあえてこのような「緩和策」と取れるような書き方をしているのかは定かでありませんが、いずれにせよ、実施基準の趣旨をQ&Aを読むことで正しく理解し、有効でかつ効率的、コストパフォーマンスのいいものにしていくことが重要でしょう。以前も書きましたが、各企業や指導するコンサルタントの創意工夫が求められると思います。

それにしても、J-SoXの議論をする時に、日立のUS SoX対応の例を毎回引き合いに出すのもそろそろやめてほしいなと思います。大部分の上場会社は日立とは全然事情が違うわけですし。。。

あるIT系大手コンサルティング会社の有名なコンサルタントの方のSoXがらみの講演を聴いてきました。残念ながら、J-SoXというよりはSoXの話が中心で、トップダウン型リスクアプローチなどという考え方も出てきませんでしたし、よほど大規模でお金のある企業でないととても実施できないような話が多くて、少々違和感を禁じ得ませんでした。

また、アウトソーシングの利用を薦めるような発言もありましたが、一方で、委託業務の内部統制の業務の問題をどう解決するかについては一言も触れずじまい。全体的には、US-SoXというよりも、さらに財務報告に係る内部統制の周辺にある内部統制分野のコンサルやシステム導入、業務の効率化といったところに視野が広がっているな、という印象を受けました。やはり、監査法人の監査人とコンサル会社では視点が違うと感じました。

ただ、そうした中でも、なかなかいいことをいっているなと感心したのは、「リスクをプロセスにマッピングする」という表現です。プロセスにはリスクを低減するコントロールが埋め込まれているわけで、リスクをプロセスにマッピングした上で、そこにコントロールが埋め込まれているかを見る、ともいえると思います。この場合のリスクは、個々のタスクから生じるリスクというよりは、プロセス全体から生じるリスクであり、プロセスの目的達成を阻害する要因であり、財務報告の虚偽記載リスクです。売上に関する業務プロセスであれば、「売上が正しく計上されない（要件を満たさない）」リスクということになります。売上が正しく計上されない要因が、プロセスの中のどこにどのように存在するかを見つけ出して、そこに対策を施してリスクを低減させるのがコントロールといってもよいでしょうか。間違ったRCMやフローチャートというのは、この大事なことをしばしば忘れている。または、リスクの整理が出来ていない。「プロセス」の様々な目的及びリスクを同時に議論しようとして、「財務報告の信頼性」という目的がぼやけてしまい、泥沼にはまり、時間だけが過ぎ去っていく。「プロセス」ではなく、個々のタスク、手続に目が行き過ぎているのでしょう。これはあまり強調されませんでしたが、とても重要なポイントだと思います。

そしてもう一点、「プロセスオーナー」の考え方、メリットなどが強調されていましたが、その一方で、そのメリットがきちっと出るようにすることの難しさもきちっと説明されていたのは立派だと思いました。各社ともプロセスオーナーというのは決めてはいるようですが、何をする人なのか、組織的な意義付けは何なのか、J-SoX初期対応のための臨時的な役割なのか、それとも、部長、課長などといった役職と同様に、常時設置されるものなのか。。などといったことがイマイチはっきりしません。各部署の長をそのままプロセスオーナーにした場合、既存の組織や役職との違いがわかりません。せいぜい、３点セットを作る担当者、内部統制プロジェクトと各部門の窓口といった程度の位置づけしかしていないため、本来のメリットが出ていないようにも思えます。特に中小規模や単一事業の上場会社の場合には、果たしてどこまでメリットがあるのか。

さて、この日一番の不満は「システムの標準化」という言葉を連発していたことです。親子間、部門間で全く異なるシステムと異なる業務プロセスを持っているのはよくないので、標準化しろ」ということです。それ自体は悪いことではないとは思いますが、私から見れば、システムの標準化だけでなく、データの標準化というのが重要ではないか。地域や事業によって業務のやり方も異なり、コントロールも異なり、システムも異なるというのはある程度やむをえないとしても、データさえ標準化されていれば、一元的な管理は出来る。「勘定科目はそろえるべき」ということをおっしゃっていましたが、これはデータ標準化の一例。そして、データにコントロール証跡を埋め込んでおき、さらに集約された財務情報から明細データへのドリルダウンが可能であれば、内部統制上も望ましい。

こんなことが出来る仕組みが果たしてあるのか？その点に触れなかったのが残念で仕方ありません。もちろん、あります。XBRL GL(Global Ledger）です。これを使えば、システムを１００％標準化しなくてもこの日の講師が目指すものは実現できる。しかも比較的安く。データ標準化をすれば、用語は標準化されます。XBRL GLは、伝票などの項目（データ項目）のタクソノミです。EDINETタクソノミでは、勘定科目名が定義されますが、XBRL GLでは、伝票の項目名が定義されるといってもよいでしょう。

USでもSoX対応が一段落して、いよいよ本来解決すべき課題に取り組めると思いますが、そこでXBRL GLがどう活用されるのか、期待しています。

最後はXBRLネタになってしまいましたが、やはり今は目先のことを考えなければ・・・と反省です。

毎日毎日、あきれるほど社会保険庁のずさんな実態が報道されています。

私の自宅の最寄り駅からは「社会保険庁行き」というバスが出ていますが、石を投げつけられないかと心配になるくらいです。いま、苦情電話が殺到している例のところです。

それはさておき、今回の不祥事をJ-SoX的に解説すると、次のようなことになるかと。

まず、IT業務処理統制の統制目標たる、つまり、入力の完全性、正確性、正当性のいずれも著しく欠けており、IT業務処理統制が全く機能していなかった、もしかしたらそれ以前の悲惨な状況であったといえましょう。しかし、仮にIT業務処理統制が整備されていたとしても、全社的統制（全庁的統制）に著しい重要な欠陥が存在していたために、運用がなされておらず、IT業務処理統制がまったく機能していなかった。といえるのではないでしょうか。全社的統制の中でもとりわけ統制環境ががたがた。全社的統制の不備が業務プロセスレベルの統制に悪い影響を与える典型的な悪い見本です。

でも、仮に全社的統制を評価したとしても、果たしてこれだけひどい現場の実態というものを想定できるでしょうか。日本人はまじめな民族で、組織ががたがたでも個人のまじめさとがんばりで何とかしてしまう。そういう風に考えてしまいがちです。したがって、全社的統制の不備というのは机上論としては登場しても、実害が余り表に出てこないので、ついつい安易に考えがちです。しかし、現場でひどいことになっている原因をたどるとやはり全社的統制の問題に帰結してしまう。

実施基準では、全社的統制を評価し、良好であれば、業務プロセス評価における運用テストのサンプル数を減らせるとされていますが、現場の実態を見ないと本当に全社的統制が良好かどうかは見極めがつかないのではないか。と最近思っています。

運用テストまで行かなくても、整備状況の評価の過程でウォークスルーである程度実際に運用されているかを確かめて、もし、あまり芳しくないようであれば、全社的統制に原因がないかを再確認し、是正する。そうした上で、サンプリングによる運用テストを行うということも考えられます。

日本企業は、規程を軽視しがちです。規程がないケースも多いですが、規程があっても守られていない、空文化しているケースも非常に多いと思います。メンテナンスがなされていないことや、とりあえず規程があればよい、形式が整っていればそれでいいという誤った風潮がまかり通っています。守ることを前提に規程が作られていないケースさえあります。それが当たり前になっているというのは、明らかに全社的統制の不備です。そんなものを運用テストで把握するより、実務を把握し、業務記述書やフローチャートを作成し、ウォークスルーを実施する過程で、規程と乖離していないかどうかを確認し、全社的統制のレベルから改善していったほうがよいと思います。

今回のJ-SoXでも「規程、マニュアルさえあれば」「３点セットさえ作れば」「形式的に内部監査室を設置すれば・・・」と大いなる勘違いをしている人もいるかもしれませんが、あくまでも形式ではなく実態重視です。実態として虚偽記載リスクが低減されているか、ということが重要です。守る気のない、守らなくても支障がないと経営者が考えているような規程を山のように作るのはやめましょう。運用がきちっとなされ、効率よく目的が達成される仕組みや社風を作りましょう。

社会保険庁ほどひどくはないでしょうけど、本質的には社会保険庁と大して変わらない体質を持った企業も中にはあるでしょう。是非、他山の石としてこの問題をわが身に照らしてみて考えてみてください。

今日は久々の独り言モード。

実施基準では、まず全社的統制を評価し、業務プロセス統制に与える影響を把握し、業務プロセスを評価する、というプロセスになっています。ということで、実施基準の例示によって全社的統制を評価してみます。答えを書いてみると一見何も問題ないように思えるし、業務プロセス統制に与える影響というのがどうもピンと来ない。ところが、業務プロセス統制の評価、とりわけ運用状況を確認すると、色々と不備が出てくる。そして不備の原因を突き詰めていくと、全社的統制の不備の問題に帰結する場合が少なくない。

同様に、IT業務処理統制の運用上の不備の原因を突き詰めていくと、IT全般統制、さらにIT全社的統制の問題に帰結することがある。

つまり、全社的統制の不備の業務プロセスへの影響を考えてから業務プロセスを考えるのではなく、ざっと全社的統制を評価したら、とりあえず業務プロセスの評価をやってみる。そしてそこで不備が見つかれば全社的統制の不備に起因するものかどうかを確認し、全社的統制の評価を見直し、改善する。こういうサイクルの繰り返しなのではないかと思います。結局、理屈で考えてどうか、というよりも、実際に問題がどのようにおきているかを考えた方が、影響や改善すべき点をより明確に認識できるということでしょうか。

さて、全社統制の不備が即重要な欠陥になるケースというのも現場では議論の的になっていますが、どうも、決算財務報告プロセスを含む業務プロセス統制のレベルで実際に問題が起きているかどうか、そしてそれが全社的統制の不備に起因するか、というところで判断せざるを得ないのではないか、という考え方もあるようです。「結果オーライ」とまではいわないものの、業務プロセスレベルであちこちで問題が生じている。内部統制の不備があり、虚偽記載「リスク」が低減されていないどころか、現実にリスクが顕在化してしまっているケース、つまり不正が誤謬が全社的にあちらこちらで生じてしまっているケースなどは、全社的統制に問題がある場合が少なくない。なかでも統制環境、特に経営者の姿勢がどうなのか、ということは注目する必要があるのでは。コンプライアンス、内部統制軽視、利益最優先のような社風で、不正が頻発しているような会社であれば、それは全社的統制に重要な欠陥があるといわざるを得ない。財務報告に関係しなくても、法令違反、不正が多い会社は財務報告にも問題があるのではないかと疑いの目を向けたくなる。すると、全社的統制の不備を「重要な欠陥」と判断したくなる。出来れば監査を引き受けたくない。監査人にはそういうところがないとはいえません。

全社的統制の評価って、そういうものなのではないか、ふとそんなことを考える今日この頃です。

今日は、実施基準をマニアックに読んでみました。とはいっても、本文ではなく、（参考２）のフローチャートと業務記述書、そして（参考３）のRCMのサンプル。この中でフローチャートの右上の方にある「得意先マスタ」から「受注ファイル」への矢印に注目してみたいと思います。

このフローチャートだけ見たとして、まず最初に読み取れるのは、得意先マスタに得意先コードとか住所とか登録されていて、それを受注入力する時に参照すればいいから、入力が楽で間違いも少ない。つまり、「入力の正確性」というコントロール目標を思い浮かべると思います。

では、業務記述書を見てみましょう。

（２） 販売管理システムの受注入力は、得意先マスタに登録されている得意先の注文のみ入力することができる。

ちょっと意外な気はしませんか？

多くのJ-SoX担当者の方が業務記述書を書くとしたら、きっとこう書くでしょう。

「受注入力の際には、得意先マスタに登録された得意先情報を呼び出して、受注入力する」

全然違います。

さらにRCMを見てみます。

（リスクの内容）与信限度額を超過した受注を受ける

（統制の内容）受注入力は、得意先の登録条件に適合した注文のみ入力できる

（要件）評価の妥当性（資産及び負債を適切な価額で計上していること）

これらはあくまで例示なので、完全に整合性が取れた形で書かれているわけではありませんが、いずれもJ-SoXにおけるマスタファイルの意味合いというのを端的に表しているのではないかと思います。

つまり、マスタファイルの読み込み、参照は、受注プロセスにおける統制（コントロール）だと解釈されているのです。ただし、マスタに登録された得意先に対し、決められた条件の範囲内でしか受注できないという仕組みにした場合に限りますが。未登録の取引先であろうと、与信限度額を超えた金額であろうと受注入力が可能な仕組みにすれば、コントロールとしての性格はかなり弱まります。

コントロールとして有効であるためには

・得意先マスタのメンテナンスが適切に行われていること

・得意先マスタを参照し、条件に合致しない入力はエラーにする（入力できないようにする）プログラムが有効に機能していること

後者は典型的なIT全般統制です。前者をもう少し具体的に言えば、

・与信管理規程に基づき正式に承認された得意先及び与信限度額が、正式な権限を持つ入力者によって適切に得意先マスタに登録され、かつ、不正に改ざんされない

ということになるかと思います。そして、受注マスタメンテナンスに関する統制を評価することになります。

このようなITを利用した統制をいかに適切に評価するかというのは、ITの活用が進んでいる企業においてはとても重要なことです。同じことであっても、見方が違うと、業務記述書もRCMも全く違った内容になってしまいます。

さりげないところではありますが、さすが実施基準は本質的なところをきちっと書いているなと改めて感心しました。

それにしても、売上プロセス全体でフローチャートが一枚。業務記述書もRCMもとても簡単に書いてある。事例だから簡単に書いてあるというよりは、大事なところさえ押さえていればこの程度記載しておけばいい、ということでもあるように思えます。山のようにフローチャートと業務記述書、RCMを作っている企業もあるようで、そういう企業の話を聞いてビビッてしまう企業の方もいらっしゃると思いますが、もし本当にこの程度でもいいとなれば、ずいぶん対応が楽になるのではないでしょうか。

今年の３月決算作業も最終段階を迎えていることと思いますが、そろそろ、今年の決算作業を振り返りながら「決算・財務報告プロセス」を見直してみてはいかがでしょう？

決算・財務報告プロセスについては、正確には「決算・財務報告に係る業務プロセスの評価」であり、実施基準（参考図２）で、「全社的な内部統制の評価」の次に来ている点に注目すべきであると思います。そして、全社的な観点での評価が適切なものについては、全社的な内部統制に準じて評価し、それ以外の決算・財務報告プロセスについては、それ自体を固有の業務プロセスとして評価することになります。

また、運用状況の評価について慎重な対応が求められています。いかに、個々の業務プロセスについて内部統制を整備・運用しても、肝心の財務諸表を作成する段階で不正や誤謬が生じてしまうようでは意味がありません。

もちろん、監査人は、精査に近い形でかなり慎重にチェックします。内部統制に重要な欠陥があったとしても自ら虚偽記載を発見できるように監査手続を実施します。残高試算表から財務諸表を作成するプロセスや連結財務諸表作成プロセスは、かなり細かくチェックしますので、そこでの誤謬は発見されやすい。しかし、記載されている事項が適切かを確かめることは出来ても、本来記載されるべき事項が記載されているか（記載の網羅性）について確かめることはなかなか難しい。稟議書や取締役会議事録などを閲覧したり、質問したりしながら、会社で何が起きたのかをある程度頭に入れて記載すべき事項にもれがないのかを確かめます。しかし、すべての資料をしらみつぶしに見ることはできませんので、記載すべき事項をすべて把握できるわけではありませんし、さらに、監査上の判断をするための情報の多くは、会社の内部統制によって収集されるため、その情報が間違っていれば監査人は正しい判断が出来ない可能性があります。決算・財務報告プロセスであっても、やはり監査人は内部統制、特に「統制環境」「情報と伝達」に依拠せざるを得ないのです。

ところで、決算・財務報告プロセスの評価をする際に、コントロールの一つとして「監査法人によるチェック」を書く人がいますが、これはご法度です。「監査法人がチェックするから自分たちはチェックしなくてもいい」といっているようなもので、これでは、経営者が内部統制の構築という自らの責任を放棄しているという印象を与えてしまいます。内部統制評価は、監査人のチェックを受ける前に自分たちでどれだけちゃんとチェックするかということを評価するわけで、監査人のチェックというのは内部統制には入りません。

話を元に戻すと、重要な後発事象や資産の評価、負債の見積もりに関する判断に必要な情報などが、どのように経理部門に伝えられ、その情報にどの程度の信頼性があるかというところについて、慎重に検討する必要があります。さらに、このような情報に基づき、どのようなルールに従い、どのようなプロセスで会社としての会計上の判断が行われているか、という点にも留意する必要があります。

ここで気をつけたいのは、このような「情報と伝達」の機能は、財務報告の信頼性を確保する目的のためだけに単独で構築されるものではなく、他の目的のため、例えば、業務の有効性、効率性やコンプライアンス、資産の保全といった目的を達成するためのものであり、「財務報告の虚偽記載リスクの評価と対応」以外の「リスクの評価と対応」という要素が有効に機能するために不可欠なものとして構築されるということです。売掛金の回収遅延や不良在庫の存在、偶発債務の発生などは、財務報告云々以前に資産の保全という観点から対応されるべきものです。

それはさておき、売掛金回収遅延、不良在庫などは、「売上計上」「仕入計上」という会計処理に係る業務プロセスの評価だけでは浮かび上がってこない。フローチャートにも出てこない。ところが、決算・財務プロセス統制の評価において「売掛金の回収可能性評価」「たな卸資産の販売可能性評価」に係る業務プロセスの評価をやると浮かび上がってくる。そしてこれらは、判断を伴うこともあり、財務報告の重要な虚偽記載に結びつきやすい。

監査人が内部統制評価を行う際には、「売掛金回収」に係る内部統制というのは「販売サイクル」の一部として「受注」「販売」などと一緒に評価し、決算・財務報告プロセスということはあまり意識しません。しかし、決算・財務報告プロセスとして認識することで、経理部門への「伝達」や「売掛金評価」と「売掛金回収」の内部統制の関係をより鮮明に意識することができるのではないかと思います。

こんなことからも、決算・財務報告プロセスを他の業務プロセスよりも先にやるという実施基準の（参考図２）に示された順序というのは、よく考えられているな、と思います。

J-SoXといえば3点セット、なかでもフローチャートというのがその代表格。「文書化＝フローチャート作成＝J-SoX対応」という考え方を持った方も少なくなかったように思えます。確かに業務流れ図を使って理解するといったことは実施基準にも書かれていますし、その実例も掲げられています。しかし、その真意、ポイントがどれほど理解されているのか。

フローチャートを作成する意味・目的というのは3つあるのではないかと思います。

・業務手順書として業務の流れに関するルールを示すもの

・コンピュータシステムを構築する時に、プログラム上のロジックを示すもの

・監査人が業務全体の大まかな流れと会計処理ポイント、内部統制上のポイント（統制上の要点）、システム上のデータフローとの関係等を把握するためのもの

どの目的で作成するかで作り方が全く異なってしまいます。

さすがにJ-SoX対応の場面でコンピュータシステム用のフローチャート書く人はまれかと思いますが（システムに関するドキュメントが一切残っていない場合を除き）、多くの会社では、最初の「業務手順書」としてのフローチャートを作成しているように思えます。つまり、規程やマニュアルを整備する一環としてフローチャートも作成する。となると、現場で実際に業務をする人向けにどうしても細かい手順まで具体的に入れざるを得なくなる。

ところが、監査人の作るフローチャートは、財務報告の信頼性に重要な影響を与えるポイントに絞って、全体としてうまく行く仕組みなのかをチェックするものなので、業務手順書レベルのようなフローチャートでは全体が見渡せない。どうも「評価」ということを考えると、J-SoXが本来求めているフローチャートというのは、この3番目のフローチャートではないかという気がしています。つまり、チェックしたいところだけは細かく、どうでもいいところは思い切り省略してしまう、そして、ITを意識する。業務の流れとデータの流れ（生成プロセス）とITを利用したコントロールの組み合わせ。そうすると、大雑把ではありますが、書くべきことは書いてあり、分量が少ないので更新も有利。更新がきちっとできるというのも重要なポイントです。業務、個々の処理の網羅性よりも、ポイントを押さえているかが問われる。

このようなフローチャートは、監査人、システム監査人以外には世の中ではほとんど知られていないようですし、書き方を教えられる人もあまりいない。網羅性を敢えて捨てている点もどうもなじめない。漏れがあると「正確ではない」という指摘を受けるのではないかと不安。何より、全体を見渡してポイントをきちっと理解・説明出来る人がなかなかいない。現場担当者レベルに書かせてしまったのでは、自分のやっている業務の範囲でしか物事が見えないので、全体を見渡して書くことはムリ。ということで、どうしても業務手順書的なフローチャートを描いてしまい、網羅性、正確性を求めるあまり、泥沼に陥っていく。そして、見たいものが見えなくなってくる。フローチャートで「見える化」するつもりがますます見えなくなるという皮肉な結果に陥る。

これはITについても同じ。担当するシステムがあまりに細分化されてしまい、システム全体がどうなっていてどうつながっているのかを理解できる人は極めて限られている。まして、手作業とITの組み合わせで、全体として重要な虚偽記載を防止できる仕組みになっているかを判断できるくらいの理解をしている人は、社内でも数人いるかいないかではないか。

要は、細かい現場での作業をすべて知っている必要はなく、自社の内部統制の思想と何をどうコントロールするかとどこを押さえておかなければならないか、ということを理解している人が、それを整理するために必要な最低限の概略を記述する、そういうフローチャートが必要であり、そういう観点を持った人を育てる必要があるということです。

このようなことを考えると、仮に現場にフローチャートを書かせたとしても、それだけで終わるのではなく、それをまとめて、全体の中での自分の担当する業務の位置づけ、なぜそうしなければならないのかを正しく理解できるような場を設けることが重要なのではないかと思います。

マニュアルに従って、いわれたとおりにただ業務をこなすだけでなく、なぜそうしなければならないのかを理解したうえで業務をこなす人材の育成。もしかしたら、これがJ-SoXの一番大きな効果なのではないかと思います。

もちろん、社内には、理解して行動すべき立場の人と、そういうことは必要ない、むしろ余計なことは考えずにルールどおりにやればよいという立場の人がいると思いますが、J-SoXで3点セットを作る人は、前者の様に社内で位置づけられた人であるべきだと思います。マニュアルどおりに動けばそれでいいという人には書かせるべきではない。むしろ、どうあるべきかを考えて指示する立場に身をおいている、または将来そういう立場に身をおくであろう人に教育面も兼ねてやらせるべきではないかと思います。

3点セットを外部に作らせればよい、と思っている人は、こういう側面についてどう考えているのか。また、仮に外部の力を借りるにしても、どうやって社内の意識を高め、視点を変えるかということについて十分に議論し、それができるレベルのコンサルを選んでいるか。もう一度見つめなおしていただければと思います。

もちろん、現場で使えるマニュアル、手順書は必要ですし、それをフローチャートにすることで理解しやすくなるのであれば、それはそれで作ればよいと思いますが、フローチャートにするかどうかはあくまでも日常業務を行うのに必要な場合に限ってよいと思います。評価する側はそういうものではなく、内部統制の有効性を判断するために必要なフローチャートを必要な範囲内でつくればよい。そのように割り切って考えないと、残りの短い期間でJ-SoX対応を完了させることは出来ません。

時間が足りないと悩んでいる方は、是非発想の転換をしてみてください。

最近、若干グチっぽくなってきたかもしれません。今日も半分グチです。

内部統制府令案で、正式に「公正妥当と認められる内部統制評価の基準」として認知された企業会計審議会の「基準」及びその実務指針ともいえる「実施基準」では、「トップダウン型リスクアプローチ」を採用しています。ということは、企業は、「トップダウン型リスクアプローチ」の考え方に沿って内部統制の評価を行わなければならないわけです。

ところが、現場レベルでの業務プロセスのフローチャートを書き始めると、どうも、「トップダウン」とか「リスクアプローチ」といわれてもピンと来ないし、違和感すら覚えてしまう。特にIT系とりわけ開発系の人にはそういう傾向が強いような気がする。やはり、現場の末端から順番にヒアリングをして、最後に財務報告なり経営者にたどり着く、という発想が前面に出てしまう。そして、現場のすべての業務をフローチャート化しなければ気がすまなくなる。さらに、現場の業務をとことん細分化してとらえ、すべてを理解しようとする。つまり、上に行くどころか、ますます枝葉末節なところに下りていってしまう。

なぜそうなるのか。なぜ、トップダウンとかリスクアプローチという考え方が受け入れにくいのか。

私も弱い頭を絞って考えたのですが、データの流れを中心に考える人と、統制を中心に考える人の違いではないかと徐々に感じるようになりました。

データというのは、取引が発生したところで生成され、徐々に集計されていき、最後は財務諸表または財務報告として集約される。原始証憑から会計伝票、総勘定元帳、合計残高試算表、そして財務諸表という流れ。まさに簿記の世界である。データが生成、集計、集約される業務処理を含むプロセスを把握し、それに付随する統制を見ていこうというのが、フローチャート的な発想。

一方、統制というのはどうか。これは目的指向であり、基本的にはトップダウン。ここでいう目的とは、いうまでもなく「経営目的」であり、内部統制の4つの目的である。そして統制は、目的を達成するための手段であり、目的の達成を阻害する要因、つまりリスクへの対応手段。ということは、RCMは目的指向であり、トップダウン的な発想が不可欠ということになります。ところが、RCMをフローチャートと同じような感覚で作ってしまう。

例えば、企業全体の組織とか、人員配置（人事といってもよいかもしれない）は、本社が経営目的の達成のために決めるもの。人員配置というのは、限られた企業内リソースの配分であり、現場の人間が自ら決められるものではない。部門レベルになれば、部門内の役割分担などは部門の目的に沿って部門責任者が決めるのが普通でしょう。もちろん、現場は希望は出すにしても、結局は経営者がどう人材を配分するかの考え方なり方針次第です。これも立派な統制ですが、フローチャートには書けない全社的統制。

ではITシステムはどうか。現場の実務を把握することは、ITシステムを構築する上では重要だと思います。しかし、現場の人間が、自分が入力したデータが最後どのようになるか、そしてそのデータがどのように使われるかなどということは通常余り意識していないのではないか。または、知らされていない、意識付けされていないのではないか。むしろ、そんなことを意識させて、自分の判断で勝手なことをされてはたまらないので、目的は教えないということすらあるのではないか。「そんなことは知らなくていいから、決められたとおりにやれ」ということも少なくないのではないか。そういう状態で現場の声を聞いたところで、システム全体をどう構築するかなどということは浮かび上がってこない。それより、組織、人事などといった体制に合わせて、業務を組み立て、それにあわせてシステムを構築するということにならざるを得ないのではないか。となると、現場の作業を積み重ねてシステムを作るというよりは、目的達成のために、資源を適切に配分し、それにあった統制のデザインを考え、それにITをどう利用するかという視点で開発されることになる。これはまさにトップダウンの発想ではないでしょうか。しかし、データフローはあくまで現場から経営。

さて、利根川の源流がどこにあるかを探すとします。本流も含め、すべての水源を探すこととする。水の流れは水源から河口であるが、水源を探す時には、逆に下降から上流へ向かうのが普通ではないか。または、宇宙から水源地を直接発見し、それが本流にどうつながり、どう河口までたどり着くかを確かめるかもしれない。いずれにせよ、最初からいきなり利根川の水源にたどり着くことは不可能です。監査人が内部統制なりデータフローを把握する時の発想というのはこれに似ているような気がします。しかし、ウォークスルーはデータの流れに沿っていく。

さらにこれに条件をつけてみます。いくつかの水源には宝がある。それを探すとする。まず、何が宝で何がガラクタなのかを認識することが必要です。そして、物を見たときにそれが宝なのかガラクタなのかを見分ける眼が必要です。ただし、宝がおいてあるところには条件がある。たとえば、必ず船で上れること。つまり、船で宝を運び込めるところにある。さて、それではどうやって宝を探すか。まず、船で河口から上流に上っていき、一つずつ探すことを考える。しかし、船で上れないところは探す必要はない。とはいえ、船が上れなくなるところまで実際に行ってみないとわからないので、大変な時間がかかる。しかし、もし地図があれば、あらかじめ船が水源までいけそうもないところは想像がつくので、そこは最初から捜索対象からはずす。これだけでもずいぶん効率が上がる。

内部統制評価において、宝が「リスク」、宝のありかが「統制上の要点」のようなものです。フローチャートを作るのは地図を作るような感覚であり、RCMを作るのは実際に宝を探しにいくようなもの。いくらいい地図があっても、何が宝なのかがわからず、また実際に探しにも行けない人にとっては、それこそ宝の持ち腐れです。また、地図に川の深さとか幅とかいう、船が通れるかどうかの情報があればよいですが、もしそれがなければ、やはり実際にいってみなければわからないということになってしまいます。ということは、「宝は船が上れるところにある」ということを念頭において、船が上れるかどうかの情報が書き込まれた地図を入手する、または事前に作成するならそれを記入しておくことが効率よく成功するポイントかと思います。

となると、やはり、フローチャートもその目的を明確にし（宝がどんなものなのか）、目的達成に必要な情報なりポイントを必ず入れるようにし、必ず目的地にたどり着くようにした方がよいのではないかと思います。データフローおよび処理プロセスを記述するだけでは不十分です。そして、RCMは、あくまで目的指向、リスク指向で作る。リスクを低減する仕組みがどこにどのように組み込まれ、それが全体としてどう機能しているかを見ながら、フローチャートに描かれた個別の統制活動に入っていく。

と、まあ、これが実施基準で言うところの「業務プロセスの評価」なのかな、などと思っているのですが、考えすぎでしょうか？

監査人は、細かいところを知らないし、細かいところまで把握する時間もないので、どうしても概要または全体像を把握してから要領よく必要なところに入って行こうとするのですが、会社の方は、現場の細かい実務をよく知っていて、知らなくても社内の人に聞けばよいので、ついつい最初から細かいところに行き過ぎて、目的を見失い、木を見て森を見ずになりがちです。そういう時に、何をアドバイスしてあげられるのか。。。いいアイデアが思い浮かびません。

内部統制府令案を改めて読み返してみました。

まず、重要なキーワードを整理してみたいと思います。

１．財務報告（府令2条1号）

「財務諸表（連結財務諸表を含む）及び財務諸表の信頼性に重要な影響を及ぼす開示に関する事項に係る外部報告をいう。」

財務諸表は、本表だけでなく、注記、附属明細表を含みます。関連当事者、リース、セグメント情報などはすべて注記であり、当然財務報告の中に入ります。一方、経理の状況の中でも財務諸表以外の記載事項（主な資産負債明細等）は、「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」に入ります。財務諸表監査との関係でいえば、財務諸表監査の対象となるのが「財務諸表」、ならないのが「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」です。ところが、内部統制監査は「財務諸表の信頼性に重要な影響を及ぼす開示に関する事項」も対象に入ってきます。ただし、財務諸表の信頼性への影響との関連で見ることになると思います。

２．財務報告に係る内部統制（2条2号）

「会社における財務報告が法令等に従って適正に作成されるための体制をいう。」

さらにこれに関連して、第3条

「法第二十四条の四の四第一項に規定する当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要な体制として内閣府令で定めるものは、当該会社における財務報告が法令等に従って適正に作成されるための体制をいう。」

これで、金商法の規定と「財務報告に係る内部統制」という概念が結びつくことになります。

さて、同時に導入された「確認書」制度における確認書の記載内容は、開示府令案様式4号の2に定められていますが、その記載上の注意には、次のようなことが書いてあります。

「ｂ 代表者及び最高財務責任者（会社が（４）にいう最高財務責任者を定めている場合に限る。）が有価証券報告書の記載内容が金融商品取引法令に基づき適正であることを確認した旨を記載すること。」

内部統制報告制度の対象が「財務報告」となっているのに対し、確認書はあくまで「有価証券報告書の記載内容」とされており、範囲が異なる点に注意が必要です。つまり、内部統制の評価、監査の対象は財務報告ですが、それとは別に、財務報告以外の記載事項の適正性を確保するための体制整備及びその運用状況の確認は必要ということになるだろうと思います。

では、文書化の過程でこれをどう区別していくのか。会社にとってはどうでもいいことかもしれませんが、監査人にとっては、責任範囲を明確にするという意味でも、できれば内部統制報告制度の部分とそうでない部分を明確に区別してほしい、ということになると思います。

もう一点、「財務報告が法令等に従って適正に作成」とありますが、これは、HTML化、そして20年4月からはXBRL化まで含めて適正に行われる体制、と考えるのか、HTML化、XBRL化作業そのものは「財務報告の作成」の範疇外と考えるのか。これは、隠れた論点です。常識的には、財務報告を記載すべき事項を作成するだけでなく、それをファイルに記述し、EDINETで提出、公衆縦覧に供することが出来る状態にまですることをもって「財務報告を作成」と考えるのではないかとも思われますが、そうなると、XBRL化によって決算・財務報告プロセスに変更が生じます。そして、監査人はXBRL化のプロセスの内部統制も評価しなければならなくなります。しかも、XBRL化のプロセスは多くの場合、印刷会社に外部委託していますので、問題はさらに複雑になります。一体、当局はどのような解釈を示すのでしょう。

３．重要な欠陥（2条9号）

「財務報告に重要な影響を及ぼす可能性が高い財務報告に係る内部統制の不備をいう。」

ここは、実施基準の段階とかわらないのですが、一応挙げておきます。

さて、内部統制報告書の様式等も初めて明らかにされました。

内部統制報告書は、有価証券報告書等の一部ではなく、別途有価証券報告書と併せて3部提出することになります。内国会社の場合には内部統制内閣府令第1号様式に基づいて作成します。内容的には「基準」と変わりません。おそらくA4で１～２枚の体裁になるでしょう。

内閣府令案が出たことで、何か実務上の懸念材料が解決するかと思いましたが、基準、実施基準をオーソライズし、内部統制報告書様式を正式に決めたという以外には何もなし。ただし、内閣府令案の公表を待って登場してくる他の文書もあるようですので、そちらに期待したいと思います。

ついに待ちに待った内部統制内閣府令案が公表されました。

ほかに四半期開示の内閣府令案、関連する開示関係府令案、監査証明府令案も公表されています。

証券取引法等の一部を改正する法律の施行等に伴う関係内閣府令案の公表について

http://www.fsa.go.jp/news/18/syouken/20070517-1.html

内部統制評価・監査基準及び実施基準に記載されている内容とは特に変わらないため、SEC基準で作成している会社を除き、対応作業への実質的な影響はおそらくないと思われます。

強いてあげるとすれば、最高財務責任者にも内部統制報告書への署名捺印を求めている点でしょうか。

とにもかくにも、この府令によって、「基準」が「一般に公正妥当と認められる内部統制の評価及び監査に関する基準に該当するもの」と公式に認知されることになり、法的な根拠を与えられました。

このほか、関連当事者やリースなどの開示関係の改正がありますが、内部統制に与える影響を検討するという意味でも見ておかれるとよろしいかと思います。

1週間ほど前に会計とJ-SoXについて書きましたが、今日も似たような・・・。

「道に迷ったら仕訳に戻れ」

業務プロセスを細かく見だすと、あれもこれもと気になって、何のためにやっているのか、どこに向かおうとしているのかわからなくなるときがあります。何を確かめようとしてやっていたのか・・・。

そんな時は、迷わず仕訳に立ち戻ってみるべきです。

例えば

　　売掛金　××　／売上　××

という仕訳について、「適切な財務情報を作成するための要件」ということが具体的にはどういうことを満たすことを要件としているのか。実在性、権利と義務の帰属、期間配分の適切性などを満たすためには何が必要で、それが満たされて初めて仕訳が起きるようにするためには、どのような統制が必要なのか。逆にいえば、どのようなケースに「要件」を満たさないような仕訳が起きるのかを考えて、再び個々の統制に戻ることです。「統制上の要点」か否かも、あくまで「要件」を満たすための統制、言い換えれば要件を満たさない（＝虚偽記載）会計処理が行われないようにするために重要な統制行為はどのようなものか、ということで識別する。

手で仕訳伝票を起こす場合でも、システム的に自動仕訳が起きる場合でも、考え方は同じです。IT業務処理統制や全般統制を評価する際には、自動仕訳及び会計システムでのその後の処理というところを出発点として、元データを生成する業務システムにさかのぼっていくという考え方が、会計士を含む経理畑の方には理解しやすいと思います。

おそらく、自動仕訳にどんなのがあるかはすでに社内で整理されていると思いますが、もし整理されていないようであれば、会計帳簿を手がかりに、例えば、仕訳コードで自動仕訳を示すような仕訳を調べれば素人でもわかります。もちろん、IT部門に聞けばわかるはずではありますが。また、フローチャートやRCMに記載されている「統制上の要点」に、自動仕訳に関する統制（IT統制）が含まれているかは必ずチェックした方がよいと思います。

サブシステムから会計システムのデータ連動がうまく行っていれば、自動仕訳のところが問題になることは極めて少ないとは思いますが、逆にここがおかしければ致命的です。たとえば、自動的にリアルタイムでどんどん自動仕訳が起きる場合はいいですが、バッチ処理で自動仕訳を起こす場合でかつ人が操作をしなければならないような場合には、その操作を忘れてしまったり2度やってしまうと、まとめて1日分なり1か月分のデータがもれたり二重計上になったりします。

このような日々のフローとは別に、残高管理が適切に行いうるかという視点での統制があります。

内部統制の6つの基本的要素の一つである「リスクの評価と対応」。これは、ERMにおいてより強調されているところ。そして、内部統制報告制度の対象が、「財務報告の信頼性確保」という目的に係る「財務報告の虚偽記載リスクを低減させる内部統制の有効性評価」というまさに「リスクの評価と対応」そのもの。実施基準でもこの項目についてはかなりのスペースを割いているように思えます。

さて、4つの目的は相互に関連し、ある目的のための内部統制が他の目的にも機能していることがあるとのことですが、「リスクの評価と対応」という基本的要素についても、このことがいえるのではないかと思います。

色々な局面があるかと思いますが、「リスクの回避」、例えば、あるビジネスをやらないとかある種類の取引を禁止するなどというのは、そのビジネスなり取引に起因する財務報告の虚偽記載リスクについても回避することになる。ところが、禁止されている取引を無断で行ってしまう、または禁止するというルールが有名無実化しているような場合には、財務報告の虚偽記載リスクも存在、そしてリスクが高いことが考えられます。このようなことを考えれば、単に行われている取引に係る虚偽記載リスク及び対応する内部統制を評価するだけでなく、そもそも取引の禁止に係る内部統制を評価し、もしそれが有効であれば、当該取引に起因する虚偽記載リスクに係る内部統制を評価対象からはずす、といったことも考えられるのではないでしょうか。

つまり、いかに「財務報告に係る内部統制」が内部統制報告制度の目的であったとしても、あまり視野を狭くしてしまうと、虚偽記載リスクの識別が適切に行えない可能性があるということを意識すべきではないかということです。

例えば、価格変動リスクを低減させるために、単価が決まらないままに発注することを禁止する統制があるとします。もしこれが有効に機能していれば、納品されても単価が決まらないために仕入計上できない、というリスクはないはずです。逆に、単価が決まらないまま発注が行われ、「仮伝票」で納品されているような場合には、仕入計上もれのリスクが高まります。したがって、仕入計上方法についてのルールの明確化と仕入計上もれを防ぐ統制を評価しなければなりません。

売上の場合の単価未決定も、仕入と同様に売上計上もれにつながるリスクが高いですが、逆にひょっとしたら正式な注文ではない、つまり、仮に出荷したとしても売上に計上できないにもかかわらず売上を計上してしまう（架空計上）リスクもあります。キャンセルになる可能性もあります。もし、実際に注文が存在しているのであれば、仮単価で計上する方法もありますが、この仮単価を高く設定して売上を計上し、翌期に売上戻しを行うような決算操作も考えられます。となると、それを防止する統制についても評価しなければなりません。

単価に関する統制が正しい値段で販売するための統制か、売上を正しく計上するための統制か、そしてそのどちらかによってJ-SoXの評価対象になるかどうか、という議論がありますが、間違った値段で販売してもその値段で売上が計上されていればJ-SoX的には問題ないと考えるのか、間違った値段で販売されるような状況では、故意に操作することで虚偽記載を行うリスクがあるというようにとらえるのか。このように考えていくと、どこまでが「財務報告に係る内部統制」なのかというのは意外と難しい。そのビジネスの中で現実的に起こりうる虚偽記載リスクの原因となるのか否かというところが判断規準になるのではないでしょうか。

このことは、財務報告の信頼性のための内部統制を整備する上で、他のリスクの評価と対応をどのように行っているかを把握することが非常に重要であることを示していると思います。ということは、今まで企業が無意識のうちにやってきたリスクの評価と対応（ルール作りと運用状況）を文書化する必要性が生じるかもしれません。

これは意外とハードルが高いかもしれない・・・。

前回は「極論」でしたが、今回は大先生方の受け売り。

実施基準が確定したあたりから、会計士や学者の先生方など、基準や実施基準の作成に関わられた先生方から、「木を見て森を見ず」というたとえが頻繁に聞かれるようになったような気がします。

我が国でいわゆる「US SoX対応方式」といわれている（本当にそうなのかはともかく）別名「積み上げ方式」の進め方に対して、日本版SoX法のトップダウン型リスクアプローチの効用を説く際の一つのうたい文句なのかもしれません。

トップダウン型リスクアプローチのうたい文句としては、当初、「絞込みによる効率的で低コストな方法」ということが繰り返し強調されていました。これは、US SoX流で頭が凝り固まってしまった人達の抵抗感、恐怖感を和らげる効果を狙ったものではありますが、どうもそれは本質ではないのではないか。特に、小規模企業の場合には、絞込み、とりわけ事業拠点の絞込みというのはあまり意味がない。もともと拠点数が少なくて、しかも似たようなことをやっていたり、わずかな機能、権限しかもっていなかったりということで、絞り込みようがない。勘定科目にしても、組織やビジネスが単純なので、全部作ってもたいした数にはならない。となると、「絞込み」というよりは、「リスクのあるところに資源を集中する」「メリハリをつける」という言い方のほうがその本質に近いのではないか。しかも、そもそもUS SoXがリスクアプローチを採用していないわけでもない。違いといえば、数値基準を明確に例示したところか。

となると、もう一つ、「トップダウン型」というのが日本型の特色なのか。これは、「全社的統制」で網をかけておけば個別の業務処理プロセスを細かく見なくてもよいケースもあるということで、絞込みを思い切ってやってももれはない、ということを意味しているようにも思えます。全社的な観点から見る決算・財務報告プロセスはまさにそんな感じです。しかし、本質は「いくら現場ががんばっても、本社、経営陣や全社的な体制が弱ければ、現場の苦労が報われない」または現場レベルでの部分最適的なやり方では限度があり、全社的なレベルでの対応が必要なこともあるというようなことをいっているのではないか。現場の管理者から聞こえてくる「自分たちだけが一所懸命考えてよくしようと思ってももどうしようもない。もっと本社なり経営陣が本気で考えて取り組んでくれないと」という声は、まさに内部統制のこうした一面をとらえているのではないかと思います。

現場レベルの管理者にだけJ-SoX対応を任せておくと、自分の裁量の範囲内でしか対応できないですし、その中だけで細かく分析して何とか対応しようとせざるを得ない。しかし、自部門だけではどうしようもない問題も多い。また、自分の部門だけでなく、他の部門でも同じような問題を抱えていることもある。若しくは、他部門と利益相反する場合で他部門の「部分最適」なやり方が自部門に悪影響を与えているケースもある。そういう状態に対して、全社的な観点で調整し、全体最適を目指せるような人がいない、というケースが少なくない。部門長会議や執行役員会という場や本社部門、内部監査人などが全体最適をトップダウンで決めてくれればよいのに、と思っている現場管理者も少なくないと思います。

また、フローチャートに載ってこない統制というのがあります。例えば、定期的な人事異動とかいうのは、社員のキャリアアップ手段であると共に不正を防止するための内部統制の一種でもありますが、これは「業務プロセス」における統制の中ではなかなか表現しづらい。しかも、人事異動をした当初は、当該業務に対する理解が低い場合などに一時的に業務プロセス統制のレベルが下がることすらある。３月決算の会社で経理の主力担当者を４月１日の人事異動で他部門に動かしたら、これは決算・財務報告プロセスの内部統制のレベルを著しく下げることになりかねない。

このようなことも含め、フローチャートには表現できない一つの業務プロセスや部門を越えた内部統制というのも存在し、それを組み立てるのは、本社の役割。そういう内部統制の一面に着目したのが「トップダウン型」なのではないか。

ところが、積み上げ式だと、いつまでも現場レベルの細かい話にこだわりすぎて、極めて局所的なフローチャートに書かれる統制だけに目が奪われてしまう。それでは、内部統制の全体像も本質もいつまでたっても見えてこない。どんなに細かくやってもやっても「合理的保証」水準の心証が得られない。これは、やっている会社だけでなく監査人も同様。

まさに「木を見て森を見ず」になってしまうのです。

一方、経営者と話をしていると、「うちの会社はこういうことはやらせていないので、こういう大きなことが起こるとは思えない（リスクがあるとは思えない）」という答えが返ってくることがあります。経営者が現場の細かい統制を知っているわけではない。にもかかわらず、きちっと根拠を示してリスクが低い理由を説明できる。つまり、押さえるべきところはきちっと押さえている。あとはそれを文書化すればよい。まさに森を見ているのです。ただ、現場と経営者の認識が乖離している（経営者が実態を見えていない）とすれば、それは重大な問題です。

そういう場合はさておき、細かいところにいきなり入るのではなく、ある程度全体を概観し、作戦を立ててからの方が、押さえるべきところのもれがない。局地的な戦況だけを見て戦うのではなく、全体の戦局の中で戦略的にどうするべきかを考える必要があるのです。

「文書化の時間がない」という理由で、あせって細かいレベルでの３点セット作成からいきなり入って、やってもやっても終わらない、そのうち出口・方向性、そして当初の目的すらも見えなくなってしまい、泥沼に陥り、しかも、網羅的に攻めていたつもりが敵のいないところにばかり砲弾を撃ち込んで穴だらけ。肝心の敵兵のいるところや戦略的拠点には全く手付かず。そんな状態に陥ってしまう企業が多い。「木を見て森を見ず」発言が関係者から増えたのには、こういう実態が少なからずある、ということなのではないでしょうか。

泥沼に陥ったら、まず原点に戻って「財務報告の信頼性」の確保が目的だということをあらためて思い出し、そのために「適切な財務情報を作成するために要件」とそれを満たさないリスクがどのあたりで考えられるかを意識しながら全体をながめてみる。そして、特にポイントとなりそうなところを集中的に深掘りしていく。それと同時に、内部統制全体に影響を与えそうな全社レベルの統制（本社による統制）にも気を配る。これは、まさに経営レベルの視点。「トップダウン型」というのは、まさに経営者の視点から内部統制を見るということでもあるのです。

現場の強さ、そしてそれが可能にするボトムアップ型経営が日本企業の強さ。逆にいえば、トップダウン、コントロールが弱いのかもしれない。一人一人は優秀でも組織力が弱い。そんな組織のありようにもJ-SoXは一石を投じるのではないかと思えます。

内部統制プロジェクトの推進責任者の方は、最前線の小隊長のような感覚ではなく、是非、全体を統括する大将のような感覚で進めていっていただきたいと思います。そして、現場との乖離を防ぎ、正しい判断を下すための「情報と伝達（一方的な伝達ではなく、コミュニケーション）」の充実に努めていただきたいと思います。

昨日は訳のわからないひとりごとですが、今日は極論。

「会計知識なくしてJ-SoX対応なし」

でも、この当たり前のことが、案外忘れられているような気がします。

公認会計士が監査できるのは、会計知識と内部統制知識と監査ノウハウ（監査実務経験）があるから。考えてみれば、それと同じようなことを内部監査人がしようというのですから、内部監査人にも相当高いレベルの会計知識が求められている。

実施基準を見ても、内部統制評価の補助者の資質面での要件として

評価に必要な能力を有していること、すなわち、内部統制の整備及びその評価業務に精通していること、評価の方法及び手続を十分に理解し適切な判断力を有することが必要である。

と書かれていますが、内部統制の目的である「財務報告の信頼性」というのがどういうことなのか、ということについて精通していなければ、目的に照らした適切な判断が出来るわけがありませんので、会計、開示に関する知識が不可欠であるのは明らかです。もう少しいえば、財務諸表項目等に係る「適切な財務情報を作成するための要件」または「経営者のアサーション」、監査人の立場からは「監査要点」を理解していなければ、いくらフローチャートを作ってもその「要件」を満たさないリスク（虚偽記載リスク）も正しく理解できませんし、内部統制が虚偽記載リスクを低減できているかどうかも判断できません。まして、どのような統制が虚偽記載リスクを低減するのに重要となるのか、つまり「統制上の要点」も識別できません。さらに、運用テストをどのように行ったらよいかも分かりませんし、その結果についての適切な判断も出来ません。つまり、RCMが書けないのです。

逆に、会計、開示に関する知識があり、「財務情報を適切に作成するための要件」を財務諸表項目等に対して適切に設定することが出来れば、それを満たすためにはどのような業務要件が必要で、それが適切に行われるためにはどのような統制が必要なのか、つまり、「あるべき統制上の要点」もわかります。この「あるべき統制上の要点」が、実際に自社の業務プロセスでどのように実装され、実施されているかを調べて、漏れや不足、または不適切な状態になっていないかを見ればよいのです。

そして、「統制上の要点」について、社内の判断規準及び判断規準への適合性を証明する証跡（例えば請求書、物品受領書、検収書、注文書、契約書等と実際に判断した際の記録など）を元に、それが実際に有効に機能しているのかを判断します。適切な判断規準がなければそもそも判断が適切であるかを客観的に示すことは出来ません。判断規準があっても、その適合性を確かめるためのものがなければ判断しようがありません。これは取引の際もそうですし、期末残高の評価を行う際にもそうです。「これは一体いくらで売ったのか」「これは売上を計上するための要件を満たしているのか」を証明するものがあるのか。ないとしたらどうやって要件を満たしていることを証明するのか。それとも、要件を満たしているかを確認することなく売上が計上されてしまうのか。そんなことから内部統制を構築、評価する。

さて、同じ勘定科目でも業種やビジネスモデルによって会計処理が異なるので、具体的な「適切な財務情報を作成する要件」も変わってきます。売上の場合、「実在性」「権利義務の帰属」という「要件」を満たすかどうかの基準が出荷基準と検収基準では当然異なります。したがって構築すべき内部統制、「統制上の要点」も異なります。

RCMで統制上の要点に該当する統制が、どの要件に影響を及ぼすかを記述（○をつける）するのですが、もし、ある勘定科目にかかる業務プロセスにおいて、その勘定科目において満たすべき「要件」のところに全く○がついていなければ、それは統制のデザインが適切ではなく、欠陥があるということになります。資産に係る最も重要な「要件」は「実在性」ですが、もし、当該科目に係る業務プロセスのRCMを作って「実在性」に○がつかなければ、RCMへの「統制上の要点」の記述がもれているか、統制のデザインに不備があるか、そもそも虚偽記載リスクがないか極めて小さいか（普通はあまり考えられませんが）のいずれかの可能性が高いです。統制ごとに○をつけることが重要なのではなく、一連のプロセスにおいて○がついているべきところについているか、ついていなかった場合にその理由をきちっと把握し、適切な是正措置が講じられるかが重要なのです。

ということで、まずはビジネスモデルを把握し、金・モノ・サービスの流れ、適切な会計処理を理解し、それにかかる勘定科目の「適切な財務情報を作成するために要件」、そして考えられる虚偽記載リスク（要件を満たさないリスク）とそれに対応する「統制上の要点」（あるべき論）を認識し、それと実際を比較する、というのが、会計監査的なアプローチです。

そういうことから、会計・開示に関する知識と虚偽記載リスク、統制上の要点を識別するための見識、経験が重要になってくるし、それなしにはJ-SoXにおける内部統制評価も不備の改善も出来ないのではないかと思うわけです。

とはいえ、ビジネスそのもの、業務やコントロールへの深い造詣、人を見る鋭い目は十分に持ち合わせている内部監査人は非常に多いものの、会計に精通している内部監査人は必ずしも多くない。まして、ITにも精通しているとなると・・・・。外から呼んでくるのも難しいし、やはり、本質的に優秀な内部監査人の方々に会計について学んでいただくのが一番ではないかと思うのですが・・・・。

訳がわからないタイトルをご覧いただいておわかりの通り、今日はひとりごとです。

水（H2O)を理解するのに元素レベルに分解して「2つの水素（H2）と一つの酸素（O）が結合したもの」という説明があったとします。そして、酸素と水素の性質等の説明を延々とします。しかし、酸素と水素の性質をいくら説明したところで、水の性質を説明したことにはならないし、理解することはできない。

内部統制についても同じことがいえるのでは。個々の統制手続がすべて有効であることと、内部統制全体として有効というのは違うのではないか。逆に無効な統制手続が仮にあったとしても内部統制全体としては有効でないとは言い切れない。つまり、内部統制というのは1+1=2という単純な世界ではないのではないか。だからこそ、積み上げ式の評価だけでは内部統制全体としての評価に関する正しい結論は導き出せないのではないか。逆にトップダウンで内部統制を細かく分析していったとして、果たしてどこまで意味があることなのか。細かく分ければ分けるほど、本質を見失いはしないか。特に複数の要因が複雑に絡み合って一つの統制をなしているまたは複数の統制が一つのリスクに対応しているようなケースは、個々に統制を見てもあまり意味がないのかもしれない。

一方で、「神とは何か」を延々何千年も追及し続けてきた人々がいる。普通の日本人には（信じられるかどうかは別として）理解しがたい発想。父たる神、子たる神、精霊の三位一体というのは、神が三位一体の存在なのか、それともそれぞれの位格が独立した存在なのか。神というのは感じるもので、分析してその本質を説明できるようなものではないという感覚が私にはありますが、「神とは何か」で何千年も議論しているというのは信じがたい。そして、何千年経っても結論が一つにまとまっているわけではない。内部統制のフレームワークも内部統制報告制度も、もともとこういう発想をする人達が考えたもの。もちろん、信じることに理屈はいらないという点では、一般信徒レベルではあまり変わらないのかもしれませんが、聖職者、神学者となるとそうもいかないのかもしれません。新約聖書などは、なぜ信じるものが救われるのか、とか、なぜイエス・キリストが神の子なのかということを、旧約聖書という判断規準と様々な預言の実現という「証拠」を結びつけることで説明しようとしている。旧約聖書に書かれた神の言葉（預言）に沿って実際にイエス・キリストに起こったことを客観的に判断すると、イエスは神の子であったという結論に達する。この論理展開は、会計監査における会計基準と監査基準と監査証拠、そして内部統制評価制度における判断規準としての「枠組み」と「評価基準」と内部統制の記録（証拠）の関係を説明するのにとても似ているような気がする。

内部統制については、「性善説」vs「性悪説」で日本は性善説だから受け入れられにくいという説明がなされることが多いですが、私はそれよりむしろ、感じるものですら理論的に説明しようとするという彼らの習慣を日本人が受け入れがたいという面が大きいのではないかと思います。「私は彼を信じているのだから」で済む日本と「私がなぜ彼を信じているのか」を分析し、説明する彼ら。日本語の「信じる」に対応する英語の単語がいかに多いか。「信じる」の中身の違いで使い分けるのか。「財務報告の信頼性（Reliability of financial reportingまたはaccurate financial reporting）」といった場合の「信頼」とはどういうことか。

なんてたまに考えて、文化の違いってこういうことなのかな。そして、COSOとか会計監査の理屈って、本当に世界共通の普遍的な価値判断規準なのかな、なんて思うことがあります。

つまらないひとりごとでごめんなさい。

前回取り上げた「統制」を「評価」するということに関しては、私自身もイマイチすっきりしません。「統制」が「統制活動」だけならまだよいのですが、「日常的モニタリング」やリスクの評価・対応などというのが複雑に絡み合ってきて、しかも独立的モニタリングそのものも「統制」、つまり「統制を評価する」こと自体が「統制」であるなどというと、まるで無限ループにはまったような感覚です。そんなこともあって、COSOはもちろん、ERMにも目を通してみました。残念ながらCOSOをそのまま持ってきている部分も少なくなく、あまり参考にはなりませんでしたが、ERMの日本語訳は比較的わかりやすかったので理解には役立ちました。

それはそうと、ERMの日本語訳である「全社的リスクマネジメント」適用技法編（八田進二監訳）を読んでいたら、なんと、「情報と伝達」の項の説明の中にXBRLが登場しているではありませんか！P.90-93「図表8-5システムの統合」「図表8-6データとシステムの統合」というところで、XBRLとウェブサービスを使った貸付金や売掛金の報告プロセスの効率化、監査証跡の例が挙げられています。タクソノミーを「分類法」と訳してしまっているのはご愛嬌として、ここにこのようないまだに実現していない例がすでに掲げられているということは驚くべきことであり、もっと注目されてもよいのではないかと思います（ERMもXBRLも共にPwCが中心になっていたとしても）。

以前、「内部統制とXBRLとどういう関係があるのか？」というご質問を受けたことがありましたが、ここを読んでいただくのが一番早いかと思います。もし、ERMにご興味のある方は、是非、ご一読ください。

内部統制評価制度は、いうまでもなく財務報告に係る内部統制の有効性を経営者が評価し、投資家に報告する制度ですが、そもそもなぜ「統制」を評価するのか、ということについてはあまり語られてこなかったような気がします。

そもそも現場では業務プロセスまたは業務フローの中での「処理」と「（狭義の）統制（コントロール）」の区別もあまりついていないように思えますし、なぜ「処理」の結果の妥当性を直接評価するのでなく、「統制」を評価するのかということについてもあまり理解されていないのではないかというような気がします。「処理」は例えば経理担当者が仕訳伝票を起票し、会計システムに入力することや、コンピュータがプログラム化された計算ロジックに従い加算計算をするとかいうことであり、「統制」は、仕訳伝票が正しく起票、正しく入力されているかをチェックすることや、プログラム化された計算ロジックが正しいこと、また正しい状態が継続していることをチェックすることを言います。

たとえはあまりよくありませんが、統制を評価することによって処理の信頼性を間接的に保証しようというのは、親を見て子供を評価するようなものです。「あの親の子供だったらこうに違いない」「親のしつけを見ていれば、子供がどうかがわかる」、というようなことだと言ってもよいでしょうか。

また、会社の中でも「あの課長の下にいれば安心だ。間違ったことはしないだろう」といったことはあるかと思います。課員一人ひとりの行動を経営者が直接監視するのではなく、課員を統制する課長の仕事ぶり、管理の状況を評価すれば、部下がまちがったことをしない、またはたとえ間違ったことをしても課長がフォロー、リカバリーできるかどうかについて、ある程度の心証を得ることができる。経営者が全社員を直接監視（モニタリング）するわけにも行かないので、課員の監視は課長に任せ、課長の監視は部長に任せ、営業部門全体の監視は内部監査部門に任せ、ということになります。課長が課員をしっかりコントロールしていれば、その課での間違いや不正はかなり少ないのではないかということがいえるかと思います。

では、具体的に上司が部下をコントロールするか。それは様々な場面で様々な方法で行われます。仮に自由放任主義だったとしても、リスクが高いところ、押さえるところは押さえているはずです。もし押さえていなければ、それは管理職としての適性を問われることになります。

これが「内部統制」という次元で評価するとなると、一課長の個人的素養に依存するのではなく、経営者として、組織としてどうするか、という視点が入ってきます。

一方、課長など管理職（上司）がチェックするのではなく、コンピュータにチェックルールを設定して、自動的にチェックする場合もあります。この場合、コンピュータに埋め込まれたチェックルールが適切か、改ざんされて無効になっていないかを確かめるチェックの仕組みが必要になります。これがたぶんIT統制ですね。

さて、外部監査人や内部監査人が、直接処理された結果が正しいかどうかを確かめる、いわゆる実証テストと、チェックが正しく行われている（統制が有効に機能している）ことを確かめる運用テスト又は統制評価テストとは、似て非なるもので、間違いやすいものです。内部統制評価制度で求められているサンプリングというのは、後者といってもよいでしょう。前者と後者では、サンプリングの考え方も、その結論も異なる場合があります。

内部統制評価制度は、あくまで「統制（コントロール）」に焦点を合わせて評価するものであって、個々の処理のやり方又はその結果そのものの妥当性を直接評価するわけではありません。フローチャートや業務記述書でも、どういうコントロールがどのタイミングで必要か、ということを理解するために、処理についての記述をしますが、メインはコントロールの記述です。RCMには通常「処理」は書かず、「処理」に起因して生じるリスクとそれに対応する「統制（コントロール）」だけ書くことになると思います。

実施基準では、「ITの利用」と「ITの統制」というのをしつこいくらい区別していますが、「ITの利用」は「ITを利用した内部統制」だといわれると、頭がこんがらがってしまうのですが・・・。前者はITを使って「処理」された結果を「統制」に使うこと、後者は統制のためのITを使った処理が正しく行われるかどうかを統制することと理解できるのでは、と勝手に思っています。

とりとめもない話で、またしても「ひとりごと」モードになってしまいました。

今日は、「ひとりごと」ですので、真に受けないでください。

財務諸表監査においては、国際的な監査基準の動向を踏まえ、ビジネスリスクアプローチを採用しています。監査基準はもとより、JICPAの最近の監査基準委員会報告書や監査･保証実務委員会第19号、IT委員会報告第3号などは、このアプローチによっています。

監査基準前文の表現を借りれば

「リスク・アプローチの適用において、リスク評価の対象を広げ、監査人に、内部統制を含む、企業及び企業環境を十分に理解し、財務諸表に重要な虚偽の表示をもたらす可能性のある事業上のリスク等を考慮すること」及び「財務諸表における「重要な虚偽表示のリスク」を「財務諸表全体」及び「財務諸表項目」の二つのレベルで評価」

ということになります。

「財務諸表項目」レベルでは、

「内部統制の整備状況の調査を行い、重要な虚偽表示のリスクを暫定的に評価し、次に、当該リスク評価に対応した監査手続として、内部統制の有効性を評価する手続と監査要点の直接的な立証を行う実証手続を実施する」　

ことになります。

さらに、監査計画立案時には

「２ 監査人は、監査計画の策定に当たり、景気の動向、企業が属する産業の状況、企業の事業内容及び組織、経営者の経営理念、経営方針、内部統制の整備状況、情報技術の利用状況その他企業の経営活動に関わる情報を入手し、企業及び企業環境に内在する事業上のリスク等がもたらす財務諸表における重要な虚偽表示のリスクを暫定的に評価しなければならない。」

「４ 監査人は、財務諸表項目に関連して暫定的に評価した重要な虚偽表示のリスクに対応する、内部統制の運用状況の評価手続及び発見リスクの水準に応じた実証手続に係る監査計画を策定し、実施すべき監査手続、実施の時期及び範囲を決定しなければならない。」

とされています。

さて、内部統制監査において、このビジネスリスクアプローチとの関連はどうなっているのか気になっています。

まずわかりやすい監査計画から。基準では

「監査人は､企業の置かれた環境や事業の特性等を踏まえて、経営者による内部統
制の整備及び運用状況並びに評価の状況を十分に理解し、監査上の重要性を勘案
して監査計画を策定しなければならない。」

とあります。

実施基準では

「内部統制監査は、原則として、財務諸表監査と同一の監査人が実施することから、監
査人は、内部統制監査の計画を財務諸表監査の監査計画に含めて策定することとなる。」

とあるので、財務諸表監査と内部統制監査の監査計画は共に「ビジネスリスクアプローチ」の考え方に立脚することになると思えなくもないのですが、基準に書かれているこれって「ビジネスリスクアプローチ」と同じことなんでしょうか？

さて、経営者による評価・構築に目を向けてみると、こちらはいうまでもなく「トップダウン型リスクアプローチ」という考え方が採用され、「重要な虚偽記載リスク」というものに焦点が当てられています。ここでの「重要な虚偽記載リスク」と監査基準等における「重要な虚偽表示リスク（固有リスク×統制リスク）」は同じ概念なのか、違うのか。J-SoXにおける「重要な虚偽記載リスク」には、固有リスクも含まれるのか、それとも統制リスクだけなのか。どうもよくわからない。

さらに、6つの基本的要素である「リスクの評価と対応」の説明では、

「リスクとは、組織目標の達成を阻害する要因をいう。具体的には、天災、盗難、市場
競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システ
ムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報及び高度な経営判断に関わる情報の流失又は漏洩といった組織の中で生ずる内部的要因など、様々なものが挙げられる。」

とある。「財務報告に係る内部統制構築の要点」では、

○ 財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応が
なされること
・重要な虚偽記載が発生する可能性のあるリスクの識別、分析

とあります。そして、先ほどの「リスクの対応と評価」における全社的リスクの説明の中で、

「財務報告の信頼性に関して、例えば、適正な会計上の見積りや予測を行っていくた
めには、全社的なリスクへの適切な対応が重要な要素となる。」

とあります。

となると、内部的な要因のみならず、外部的な要因も適切に評価、対応することを前提として、財務報告の重要な虚偽記載リスクを識別、評価、対応しなければならないということになるのではと思うのですが、いかがでしょう？

結局、外部的要因、内部的要因を含め、経営者は企業及び企業環境を十分に理解し、財務諸表に重要な虚偽の表示をもたらす可能性のある事業上のリスク等を考慮する、という意味では、経営者によるビジネスリスクアプローチ、若しくはそれを受けた監査人によるビジネスリスクアプローチといってもよいような気がします。

どうも、監査基準と内部統制基準の書きぶりが違っていて、「ビジネスリスクアプローチ」という枠の中で果たして同じように監査できるのか、というところがちょっと気になります。

この関係を、JICPAが計画している内部統制監査に係る監査人向け実務指針でうまく整理してくれるとよいのですが。

ひとりごとでした。

J-SoXに対応するための体制をどうするか。すでに3月決算のほとんどの会社が体制を作り終わっていると思いますが、果たしてうまく機能しているでしょうか?

いざはじめてみると、いろいろな問題がでてくると思います。例えば

・内部監査部門中心に体制を構築したが、経理やディスクロージャー、ITの知識に乏しく、一方で、経理部門の協力があまり得られず、トップダウン型リスクアプローチがうまくできない

・経理部門中心に体制を構築したが、決算等で忙しくて対応できない。他の部門が協力してくれない。そのため、決算時期に作業がストップしてしまっている。

・運用時のことを考えると、実際に当該業務にかかわっている人達、規程やフローチャートをメンテナンスする人達が関わって、実際に運用できるものを作らなければならないにもかかわらず、これらの人々が関わってくれず、外部コンサルに形式的に3点セットを作らせて済ませてしまっている

・「評価」ができる人材が社内に育っていない。内部監査部門は業務監査しか経験がなく、財務報告の信頼性確保という観点からの監査を行ってきていないため、ノウハウがなく、人数的にも不足している

・分業化が進みすぎて、全社的な流れ等を理解している人材がほとんどいないため、手探り状態

やはり、経理、開示業務、ITに精通している人材が経営陣も含め絶対的に不足しているのと、分業化が進みすぎて全体が見えなくなっていること、そして評価主体としての内部監査部門が弱体でノウハウもない、というのが「重要な虚偽記載リスク」を考えることのネックになって、トップダウン型リスクアプローチをやろうにもできない、という会社が少なくないのではないかと見ているのですが。

トップダウン型リスクアプローチは、要領はいいものの、かなり高度な判断を要し、豊富な業務経験と会計、経営に関する知識がないとなかなか難しい。そして、全体を見渡せることが必要。実は、会計監査の現場でもリスクアプローチをきちっと理解し、それにより統制リスクの評価がきちっとできるようになるためには、かなりの経験が必要であるにもかかわらず、そういう人材が絶対的に足りない。監査の経験はあっても、知識面で会計基準に偏りすぎて、ITとか内部統制のことをおろそかにする風潮が長年続いていた。そんな具合ですから、まして会社の内部でそういう人材を探すのは相当に難しい。

正直、人海戦術で3点セットをしらみつぶしに機械的に作るほうが、熟練者は要らないかもしれません。しかし、J-SoXは「重要な虚偽記載リスクの識別」をしなければならないので、それだけでは不十分。J-SoXにおけるトップダウン型リスクアプローチは上場会社の負担を減らすということもありますが、もしかしたら、本質的には「少数精鋭による効率化」といった方がよいのかもしれません。

いずれにせよ、「少数精鋭」を育成するしかない。関係者には、まず、経理、開示に関する最低限の知識は身につけてもらうべきです。それと、ITについても、一般の会計士が理解するのと同じ程度には理解してもらい、外部のIT専門家に具体的に指示し、その結果をきちっと理解して虚偽記載リスクと結び付けて評価できるくらいにはなってもらわなければなりません。

3点セットや規程類の整備、ITの導入のようなことに眼を奪われがちですが、まず真っ先にやらなければならないのは、関係者に経理と開示の知識を持ってもらうための研修を行い、さらに会社の業務全体、会社がどのような仕組みで動いており、どのようなビジネスリスクを抱えているかを理解してもらうことではないかと思います。これからの時代、経営幹部になるためには経理の知識は不可欠。となると、経営者、役員クラスを中心に、人材育成をかねて将来の経営幹部候補クラスにもJ-SoX対応に参加させるとよいのではないかと思うのですが。

久々に八田教授のインタビュー記事を読みました。

ITmediaエグゼクティブ

内部統制部会長八田氏インタビュー：「日本の経営者は何をやってきたのか」

http://executive.itmedia.co.jp/hensyubu/archive/42/0

相変わらず鋭い切り口ですが、今回は、経営者の意識と一人歩きがちのIT業界の誤解への痛烈な言葉が続いています。

内部統制は第一に経営者の目で見た議論でなければならない。と、経営者の意識改革の必要性を述べているのですが、残念ながら、どういう経営者の意識をどう変えるのか、ということがあまり読み取れませんでした。

ここはJ-SoX対応を進める上で最も重要なポイントと、多くのJ-SoX対応担当者や我々のようなコンサルタントが口をそろえるところですが、実は、経営者の意識も千差万別。よくわかっていないというところから、よくわかっているがどうしてよいのかわからない、経営者が自ら他の役員や従業員に内部統制の重要性を語るというレベルまで。それと、経営者自身に当事者意識がなく、経理に任せておけばよい、コンサルに任せておけばよいという安易な認識、法律で決まっているから仕方なしにやるという意識など様々。そしてJ-SoX対応の実質的な責任者になった役員などの悩みもまた多様。それだけに、もう少し突っ込んだコメントがほしかったというのが正直なところです。

一人歩きIT業界のJ-SoX騒動については、実施基準が出た後は少し収まったのか、それともレベルの低い便乗セールストークが淘汰されたのか、最近はそれほどおかしなことを言うところもないようにも思えます。また、IT導入を失敗するとJ-SoX対応ができなくなるというネガティブキャンペーンもあり、J-SoX対応にはIT導入が必須などというのは、全般統制関連を除いては言われなくなってきたのでは。

財務報告における重要な虚偽記載リスクとそれを低減させる統制上の要点（キーコントロール）などという概念と、IT統制におけるコントロール目標の関係について、導入対象となる企業に関してきちっと理解、把握できるIT系企業というのがどれほどあるのか。とまじめに考えると、そこをやってくれるコンサルなり会計士がつかないと自社製品の導入も難しいのではないか、と考えるIT企業が出てきてもさほど不思議ではないと思います。そうなれば、自然と便乗商法的なものは減ってくるのでは。

>特に気を付けなければならないは、今回の議論は財務報告に係る内部統制にもかかわらず、財務や会計的な知識のない者がITと騒ぎすぎている点だ。日本版SOX法の本来の趣旨であるディスクロジャーを担保するためのITブームではなく、法の要求に直接貢献しない業務の末端部分での議論になっている。

という部分と

>ITを使ってどこまでの深みと広がりを持って内部統制を確保するか、は経営者が判断すればよいこと。人にとやかく言われるようなものではない。最初から重装備なこともやるのは無理だし、必要もない。（中略）制度の趣旨は最低限ここまではやってほしいというものを示すことにある。

という部分に、今回のインタビューの骨子が表れているような気がします。

財務報告に関係しない部分については、あくまでも経営者が自ら判断すればよいことで、制度で強制するようなものではない。財務報告に関係するITについても、身の丈にあわせて最低限対応してくれればよい、ということかと。

実際にITの利用について考えてみると、小規模な企業でもかなり奥が深い問題を抱えているなという気がしています。

実施基準でもそうですし、一般的な内部統制評価というのは、まずデザイン「整備状況」を見て、整備状況が良好であれば運用を見て最終的に有効性を確かめる、という流れだったかと思います。

しかし、会計監査もそうですが、実際に現場で内部統制に関わっていると、運用状況を見ているうちにデザインの問題点が浮かび上がってくるということもあります。特にITのデザインに関してはそう思うことがしばしばあります。

現場（ユーザー）での運用がうまく行っていないシステム、つまり、ユーザーがうまく使いこなせずに入力がなかなか行われなかったり入力間違いが多いシステムというのは、ユーザビリティといわれるような使い勝手の悪さだけでなく、例えば、業務とシステムが合っていないとか、業務改善を前提にシステムを入れたのに、業務改善が行われていないとか、開発時の要件定義における業務とのすり合わせ（ユーザーとの打ち合わせ）が不十分、またはやり方に問題があってやりたい業務ができないといったことがあるのではないか。もちろん、入力担当者が不慣れとか怠慢という場合もあるとは思いますが、現実に処理できないケースはどうするのか。いわゆる「業務がまわらない」というケースです。

理論上はうまくいくはずで、またコントロールもかかっている。デザインは問題ないはず。にも関わらず実際に動かしてみると、いろいろな問題がでてきて、結果的には運用が適切に行われなかったり、コントロールが事実上無効にされてしまうことで内部統制の不備になってしまう。となると、場合によってはデザインから直さなければならないかもしれないということになります。

ということもあるので、あまり「デザイン→運用」という実施基準の教科書的な内部統制評価の順序にこだわらず、会社として問題点をとらえやすければ、運用状況から見てそこからデザインの問題をあぶりだすという方法もあるのではないかと最近思っています。内部監査も、実際の数字や帳票、又はエラーから追っていったほうが業務の流れ、統制活動も現実に起きている管理上の問題点もつかみやすいのでは。

いかがでしょう？

最近、J-SoXで大事なことは「人材育成」だという声が少しずつ増えてきているように思えます。1年前であれば「IT」だとか「文書化」だということだったかと思います。

もちろん、ITも文書化も重要な課題ではあります。しかし、最後は「人」の問題に帰結してしまう。まずは、経営者、取締役からはじまって、組織のすべての人々が主役。そして、それぞれの意識とスキルがすべての根幹にある。逆に言えば、どんなに立派な3点セットを作っても、内部統制を担う人々のスキルが足りなかったり、人手不足で十分に力を発揮できなかったりすれば、それが内部統制の重要な欠陥になりうるということです。例えば、経理担当のスキルが足りず、連結財務諸表を正しく作成できないとなれば、連結財務諸表に係る重要な虚偽記載リスクはきわめて高い。人手不足で期限までに決算作業が終わらず財務諸表が作成できなければ、虚偽記載以前の問題。いずれもまさに「重要な欠陥」です。こんなことありえないと思うかもしれませんが、上場したての新興企業では十分にありうることです。ではなぜ連結財務諸表を提出し、監査を受け、上場できたのか。。。それは、会計士である外部コンサルタントに連結決算を任せていたり、監査法人が監査で検出された誤謬の修正仕訳を作ってあげることで、事実上監査人が作成したのと同じような感じになっているからです。正直、すべての上場会社が自前で連結財務諸表を作成できるのでしょうか？　経理のレベルアップを図るためには、外部からスキルの高い人材を連れてくるか今いる人材のスキルをアップするしかありませんが、優秀な経理マンは慢性的に極度の人材不足。結局、今いる人材のスキルアップを図るしかない。しかし、これにはある程度の時間が必要ですし、独学では難しいかもしれない。

こういう「重要な欠陥」状態を是正するのが一番大変ではないか、と思います。

これとは別に、J-SoXに対応しながら業務フローやRCMを作っていく過程で、経理以外の人材を育成するということも念頭に置くべきかと思います。「財務報告」に係るものに限定されているとはいえ、リスクマネジメントやコントロールの概念を身につけさせることも重要ですし、財務報告以外の目的にもこの考え方は応用できます。それと、財務報告という視点を入れることで、経理以外の社員に金銭感覚を植え付けることにもなるのではないかと思います。今まで、物の動き、伝票の流れとしか見えなかったものが、そこに「金額」の概念が入ってくることで、ずいぶん意識が変わるのではないかと思います。将来幹部社員、役員になる可能性のある候補生であれば、ある程度の経理知識と、物の流れが金額としてどのように把握され、儲けにつながるのかということを学ぶことができると思います。

しかし、外部コンサルタント任せで、形式的に3点セットをそろえるだけでは内部統制のレベルは上がりませんし、人材も育ちません。あくまで、役員、従業員のそれぞれがきちっと理解し、考えて創意工夫を凝らすことが重要です。

私自身も、コンサルとして自分でやった方が早いし楽と思うこともあります。しかし、それは短期的にはよくても、長期的には望ましくありません。そこで、いろいろ言いたいのを我慢して、社員･従業員の方に考えていただくようにしています。

上場準備でも同じようなことがいえますが、その結果、単に資金調達ができるだけでなく、いい人材が確保でき、また育てることができる。しかし、上場してかなりたってしまうと、なかなか人を育てる機会がない。そういう会社にとっては、J-SoXは人材育成のチャンスです。

少々時間がかかっても、人材育成を中心にして作業を進めた方がよいのではないかと思います。

たいして役に立つネタではありませんが、内部統制基準・実施基準の英語版が金融庁から公表されました。

http://www.fsa.go.jp/news/18/singi/20070420-1.html

これは内部統制部会長の八田教授の強い要望によって実現したようです。というのも、「J-SoXはUS SoXと比べかなりゆるいルーズソックスだ」などという間違った評価が国際的に広まってしまっていることに対する危機感の表れということのようです。本家「ルーズソックス」はルーズであってもそれが愛好され広まった。それと同じだと冗句を飛ばしながらも、会計基準を初めとする「日本は特殊」という日本市場に対する誤解をなんとしても解消したいという強い意思が感じられます。

さて、J-SoXの場合には、海外子会社についてそれぞれの国でJ-SoXと同様の制度があって、その対象となっている場合には、「財務報告の範囲」の違いによる影響を除けばその制度による評価結果をそのまま使えることになっていますが、逆のことが認められないということがあれば、日本に進出する海外企業にJ-SoX＋本国基準での評価が強制されることになり、日本市場の弱体化にもつながりかねない。また、日本企業が海外で上場し、進出先でSoX相当の規制があった場合には、J-SoXと進出先の基準で二重に対処しなければならず、負担が増えるということも考えられます。こういうことを避ける意味でも、J-SoXが国際的に見ても遜色ないようなレベルのものであることを国際的にアピールしておく必要があるということです。会計基準のコンバージェンスと同じようなことです。

実は、XBRLも日本の開示制度が国際的に見て遜色ないものであることを示すという目的があります。会計基準、内部統制、そして開示手段であるXBRL、さらに会計監査。これらが国際的に通用するものになることが、日本企業にとってもメリットがあるというのが、金融庁の考え方ではないかと思います。

J-SoX対応を考える上で、最も重要な概念の一つが「重要な欠陥」であることに異を唱える方はおそらくいらっしゃらないでしょう。「重要な欠陥がない＝内部統制が有効」ということであり、この制度が有効な内部統制によって適正な財務報告がなされることを目的としていることから考えても、異の唱えようがないところです。

一方、この概念ほど理解しにくいのもないのではないかという印象を受けます。「基準」では「財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいう」とあり、「実施基準」には、「財務報告全般に関する虚偽記載の発生可能性と影響の大きさのそれぞれから判断される。」「質的、金額的重要性から判断」などといった記述があります。そして金額的重要性や発生可能性の考え方が示されている。5%基準もある。しかし、そもそも影響額を測定することがそう簡単ではなさそうだ。「勘定科目残高×発生可能性」と考えればよいのではありますが。また、全社的な統制の不備の事例を見ると、かなり広範囲な「内部統制の不備」が重要な欠陥になる可能性を感じずにはいられません。

一方、こういう記述とは全く別の視点からの記述があります。

「一般に、財務報告に係る内部統制に重要な欠陥があり有効でない場合、財務諸表監査において、監査基準の定める内部統制に依拠した通常の試査による監査は実施できないと考えられる。」

これと似たような表現は、監査基準委員会報告書第26号や廃止された同20号にもあります。これも一般の人には非常にわかりにくい表現ですが、監査人にとっては何となくその程度がつかめる表現であるといえます。「試査による監査ができない」というのは、営業サイクルであれば極めて異例のこと。通常の監査現場では滅多にお目にかかれないほどひどい状態というイメージがあります。設立まもなく公開準備を始めたばかりの会社とか、経営者が管理部門に対してあまりにコストカットを進めすぎて従業員がばたばた倒れて、経理業務が全くまわっていないとか、そんなイメージです。また、実際に実証テストをやるとエラー（間違い）があまりに多いというのもそうです。ここまでくると、もはや「監査不能」または「リスクが高すぎて監査を引き受けられない」という感じです。そう考えると、実は「重要な欠陥」があり内部統制が有効ではないという評価結果が出される、又は監査人が重要な欠陥を見つけるケースというのはよほどのことで、そんなに多くないのではないかという気がします。

しかし、実施基準等の例をチェックリスト的に使って、全社的内部統制の不備が一つでもあれば「重要な欠陥がある」として「内部統制が有効ではない」という評価が経営者又は監査人によってなされる可能性は少なからずあります。米国はもしかしたらそういう傾向があったのかもしれません。

監査人は、最終的には、「財務報告への重要な影響」という判断基準の他に「内部統制に依拠した試査による監査が可能かどうか」という判断の仕方をするのではないかと思います。

このあたりの考え方を、監査人との間で機会があるごとにすり合わせるとよいかもしれません。

まさに「実務の成熟を待って」という感じなのかもしれませんが、このような中では「内部統制の不備」はできるだけ保守的につぶしておいた方がよいのかもしれません。

皆様はいかがお考えでしょうか？

いま、3月決算監査の真っ最中。毎日会計士が会社にやってきて色々書類を求めたり、質問してきたりしています。忙しいのに面倒くさいし毎度毎度同じようなことやられたり聞かれたりといい加減うんざりすることもあるでしょう。

しかし、J-SoX施行を1年後に控えた今、敢えて申し上げたいと思います。

「監査をしっかり受けましょう！」

どれだけ監査をしっかり受け、監査人と自社の会計処理や内部統制の有効性について意見交換をするかがJ-SoX対応の近道です。そして、監査人から内部統制上の問題点については文書で指摘してもらうといいです。監査人には、会計処理や内部統制に関して重大な問題があった場合には、経営者や監査役等に報告する義務があります。

監査基準委員会報告書第35号「不正への対応」の99項には、次のようなことが書かれています。

「監査人は、不正を防止し発見するための内部統制のデザインと業務への適用に係る重大な欠陥に気付いた場合、速やかに、適切なレベルの経営者、監査役等又は適切なレベルの責任者に報告しなければならない」

100項には

「監査人は、内部統制が存在しない若しくは内部統制が不十分であるために生じた不正による重要な虚偽表示のリスクを識別した場合、又は企業のリスク評価プロセスに重大な欠陥があると判断した場合、当該欠陥を企業のガバナンスに係る監査上の問題点として取り上げる」

と書かれています。同様の記載は監査基準委員会報告書第29号にもあります。財務諸表監査そのものには不正を発見する目的はありませんが、それが重要な虚偽表示に結びつくものである場合には、慎重に対処しなければなりません。

監査基準委員会報告書第25号には、監査役とのコミュニケーションの内容として以下の事が例示されています。

「（３）内部統制に関する事項

・統制環境に関連する重要な問題（経営者の誠実性に関連する問題を含む）

・監査人が発見した内部統制の重大な欠陥

・内部統制に関する経営者の評価、その範囲及び頻度」

これは、J-SoXができる前の平成16年2月に出されたものですが、ここにすでに「内部統制に関する経営者の評価、その範囲及び頻度」と書かれています。つまり、もし、監査人が監査役と協議の上監査役の職務遂行に関連して重要と判断すれば、J-SoXということではなく会社が独自に内部統制を評価している場合に、その範囲等を議論することができるし、重大な内部統制の欠陥について議論できるということです。

また、監査人が、財務諸表監査における統制リスクの評価を行う際に、経営者が内部統制についてどう考えているかを知ることは非常に重要です。もし、経営者の側から監査契約継続の話に絡めて内部統制の議論を持ちかけたとして、監査人が無碍に断るでしょうか？また、担当者レベルであっても、内部統制上社内で問題になっているようなことを監査人に話したとして、監査人はそれを無視するでしょうか？

巷では、監査法人がアドバイザリー契約を結ばなければ内部統制の話を一切しない、というような誤解をもたれている方もいらっしゃるようですが、監査基準委員会報告書に書かれていることは、現行の財務諸表監査の枠内で監査人が従わなければならないことなので、一切の議論、意見交換を拒絶することはできないはずです。J-SoXのHow To的な話はしないと思いますが、内部統制の状況に関する話はすべきなのです。もし、こうしたことなしに監査が行われていたとすれば、監査役は会社法上、会計監査人の監査を相当と認めることができるのでしょうか？

ただし、会社又は経営者としてしっかりと現状を認識し、考え方を持っていることが重要です。それなしに監査人に「どうしたらいいですか？」と聞けば、「自分の責任で考えなさい」といわれるだけです。自分の意見がないままに、監査人に言われたとおりにやればよいというのは最もよくないことですし、最も監査人に敬遠されることだということを肝に銘じておいてください。監査人の助言はうけても、最終的には会社が自らの責任でやり方を決めて実行するというスタンスで望まなければなりません。

さて、いま、前の監査法人から監査契約を打ち切られて次の監査法人が見つからない会社が少なくないような報道がなされていますし、会計士協会からもそのような話が出ているようですが、報酬が安い、会計上の問題点があり前任監査人ともめた、事業上のリスク（ビジネスリスク）が極めて高いにもかかわらず経営者によるリスクの評価及び対応が適切になされていない、若しくは内部統制に重大な欠陥があり内部統制に依拠した試査による監査が実施できないと判断された、などといったことがある場合には、なかなか監査の引き受け手が見つからないということもありえます。内部統制に重大な欠陥があり、是正される見込みがない、経営者に是正する気がないなどといった場合には、監査契約を打ち切られるということも十分ありえます。裏を返せば、監査契約を継続するか否かを監査人が判断する際には、経営者の内部統制やディスクロージャーに対する姿勢、誠実性が大変重要で、それだけに監査人として経営者と内部統制について議論するインセンティブというのは十分にある。また、監査役の意見を聞きたいということもあるでしょう。

そういうことも十分に意識した上で、決算監査、そして来年度の監査契約継続交渉に臨むことにより、監査人とのコミュニケーションがうまくいき、内部統制の重要な欠陥への対応もスムーズに行き、結果としてJ-SoX対応もうまくいくのではないかと思います。

まずは、経営者、監査役が自社の内部統制について現状をきちっと認識すること。そして現状認識について監査人と意見交換すること。これが本質的なJ-SoX対応の第1歩です。

「財務報告プロセスの評価とXBRL」

いかにもこのブログらしいタイトルで今書くべきかどうか迷いました。

しかし、EDINET XBRL化のパイロットプログラムへの参加を促すために、敢えて書こうと思います。

平成20年4月以降EDINETで提出する（つまり、平成20年1月期以降）有価証券報告書の財務諸表本表については、XBRLになる予定です。いまのところ、原則すべての提出会社に求める予定ともいわれています。そうなると、間違いなくJ-SoXにおける「財務報告プロセス」及びその評価は大きく変わってきます。そのことに気づいている上場会社の方はまだまだ少ないと思います。

作成方法も変わりますし、チェックの仕方も変わるはずです。

印刷会社に頼むとしても、今までとは異なる作業が発生してきます。チェックの仕方も、今までのように画面表示なり紙に印刷してチェックするだけでは十分でなくなるかもしれません。実務的にはまだまだわからないことが少なからずあります。

それだけに、本番に近い環境で行われるであろうパイロットプログラムに参加することは、XBRL化された後の財務報告プロセスを構築するのに間違いなく役立ちますし、最低でも不安を解消することには役立つはずです。

パイロットプログラムに参加した上で、本番で勘定科目表示をどうするかを前もって決めておき、企業独自タクソノミを決算前にあらかじめ作成しておけば、決算時のXBRL化の作業は極めて簡単にできるはずです。

TDnetへのXBRLによる決算短信及び添付資料としての財務諸表提出は、少々導入が遅くなるかもしれませんが、EDINET XBRL化に際して表示方法の変更が行われるのであれば、それにあわせて決算短信の財務諸表も変更後の表示で提出することが必要になるかもしれません。決算発表前にあわてて勘定科目の見直しを行うだけの余裕もないですし、従来の科目表記を踏襲するとすれば、XBRL化にはそれなりの手間がかかってしまいます。

そして、財務報告プロセスのみなおし。

平成20年3月期はJ-SoXはまだ適用になっていませんが、任意で「確認書」を提出している上場会社は、その裏づけとして、XBRL化に係る内部統制もきちっと評価する、または、適切にXBRL化されていることを保証することが必要になるかもしれません。しかし、現状ではどのように行えばよいか全く見えてこない。

とにかく、一番忙しい時期にかなりややこしい問題を抱えるよりは、前もってXBRL化の準備をしておいた方がよいと思います。そのためには、パイロット･プログラムに参加するのが一番有効です。

J-SoX対応でそれどころでないという方も多いと思いますが、XBRL化も決して侮れませんし、すべてを印刷会社任せにするわけにもいきませんので、是非注目してください。

EDINET再構築に伴うパイロット・プログラム実施のご案内（金融庁）

http://www.fsa.go.jp/singi/edinet/20070403.html

待望の内閣府令案がついに出たか！と思いきや、J-SoXとは関係ない部分ばかり。資料を読むと、後刻パブコメにかけると書いてありました。がっかり・・・。

とはいえ、金融商品取引法施行令案の方で、関係のある規定があるので、ご紹介します。

資料からの抜粋です。

http://www.fsa.go.jp/news/18/syouken/20070413-3/03-1.pdf

⑥ 有価証券報告書の記載内容に係る確認書を提出しなければならない会社の範
囲は、上場有価証券又は店頭売買有価証券のうち、株券、優先出資証券、株券・
優先出資証券の性質を有する外国の証券・証書、これらの有価証券を信託財産と
する有価証券信託受益証券又はこれらの権利を表示する預託証券・証書の発行会
社とする（改正案４条の２の５）。
⑦ 内部統制報告書を提出しなければならない会社の範囲は、上記⑥と同様とする
（改正案４条の２の７・36 条）。
⑧ 四半期報告書を提出しなければならない会社の範囲は、上記⑥と同様とする
（改正案４条の２の10）。
⑨ 事業年度の期間を３月ごとに区分した各期間のうち最後の期間（第４四半期）
は、四半期報告書の提出義務の対象としないこととする（改正案４条の２の10）。
⑩ 四半期報告書は、各期間経過後45 日以内に提出するものとする。ただし、銀
行、保険会社にあっては、第２四半期については当該期間経過後60 日以内、他
の期間については当該期間経過後45 日以内に提出するものとする（改正案４条
の２の10）。

とのことです。○数字は使わないのがネット上の鉄則ですが、原文の通りにしました。

要は、上場会社だけが対象ということです。

用語、様式、作成方法等は、内閣府令で定められる予定です。

J-SoXにおけるIT統制の評価の切り札とも期待されている経済産業省の「システム管理基準追補版」が確定し、公表されました。

http://www.meti.go.jp/press/20070330002/20070330002.html

パブリックコメントの結果については公表されていないので、どこが変わったのかは細かく読んでみないとわかりません。

今回は、概要版が公表されていますが、その中で

「システム管理基準等を活用している企業が「ＩＴへの対応」を行っていくための「参考情報」として、主要なケースを想定しつつ、それぞれの企業がＩＴ統制をどのように構築し、経営者がその有効性をどのように評価するかについての具体的対応事例集である「システム管理基準追補版(財務報告に係るＩＴ統制ガイダンス)」を策定。」

「本追補版はあくまでもIT統制の構築と経営者による有効性評価までを対象としていることに留意。」

と書かれています。

中小レベルの上場会社ですと、そもそもシステム管理基準そのものを使っていないので、果たしてこの追補版がどれだけ役に立つかはわかりませんが、これを使ってIT統制の考え方をしっかり理解してもらうことで、今まで意識していなかったようなことまで意識して管理できるようになるといったことはあるのではないかと思います。

私も実際にこれを使ってみようと思います。

「リスクが先か統制手続が先か・・・」

実施基準を読むと、まずある業務プロセスについて統制手続をフローチャート、業務記述書、RCMで列挙して、それからこれらの統制手続を経営者のアサーションに照らし合わせて虚偽記載リスクを低減しているかを評価する、といった流れのように思えます。トップダウン型のリスクアプローチといいながら、まるで積上げ式のようです。

しかし、監査をしていると、こういう流れにはどうも違和感があります。監査人が監査をする時には、まず、「監査要点」、経営者の立場からは経営者のアサーションがあって、それを満たすためにはどういう統制手続がどういう状態で運用されていることが必要なのかを想定し、それを実証するための監査手続を適用し、会社の統制手続が監査要点を満たしているかを確かめます。言い方を変えれば、まず、虚偽記載リスクがあって、虚偽記載を生じさせる不正や誤謬がどんな形で行われると想定され、会社がそれを低減（防止または発見・是正）するためにどのような統制手続が必要で、それに対して会社がどのような統制手続を実施しているか、そしてその結果どの程度低減されているか、という見方をするのです。このような見方をすると、プロセスの中でポイントとなる統制手続というのがある程度絞り込まれてきます。そこを重点的に見るのです。ですから、必ずしもすべての統制手続について運用状況まで含めて検討するわけではありません。

一方、すべての手続を列挙して、それに対して経営者のアサーションのどれに関連するかを1つ1つ把握し、運用状況も検討し（チェックリスト方式）、一つ一つの手続が決められたとおりに行われていたとして、その結果を単純に積上げたからといって一連のプロセスの中で内部統制が有効に機能しているとは必ずしもいえない。押さえるべきところをしっかり押さえておかなければなりませんが、このやり方だと、今やっていることをベースに考えるので、本来やるべきポイントとなる統制手続が抜け落ちてしまうかもしれません。また、不正や誤謬は単独の統制手続で防止できるわけではなく、複数の統制手続の組み合わせが必要なことも多々あります。他の業務プロセスまたは他の内部統制目的で行われている統制手続に依存することもありえます。そういうことが見落とされ、まさに「木を見て森を見ず」になってしまう恐れがあると思います。さらに、統制手続の網羅性を重視するあまり、ついついやりすぎになってしまうということも十分にありえます。

もっとも、予想される不正等とそれを防止するための効率のよい統制手続を考えられるのは、監査人に経験、ノウハウがあるからで、一般の人はそれができないから積み上げでいくしかないし、その方がたとえ少々力作業が増えても楽、という見方もあるでしょう。創意工夫を凝らしてJ-SoX流をやるよりは、US-SoX流にとにかくマニュアルどおり、チェックリストどおりに力作業をやった方が楽、という考え方もあると思います。しかし、それで本当にそれでよいのか。社内のベテランであれば、経験上どこが危ないかすぐにわかるはずです。日本の経営陣はおおむね生え抜きですから、長年の経験で、どういうことに関するリスクなのかさえきちっと理解していれば、そのリスクがどこにあるのかはわかるはずです。そして、リスクを低減させる方法を知っています。にもかかわらず・・・。3点セットを形だけ作ることで構築･評価が終わったなどと考えずに、リスクを識別し、その低減策をきちっと講じる事が大切でしょう。3点セットを作成する際にも、漫然と現状作業を文書化するのではなく、重要な虚偽記載をもたらす不正、誤謬及び統制環境、さらにビジネスそのものに内在するリスク、これを低減させるうえでのコントロール目標を常に意識することが大切です。個々の統制手続というよりも、それが組み合わさって全体としてどのように虚偽記載リスクに対応しているかが重要です。内部統制デザイン（整備状況）の評価はできるだけ大きな視点で行うことがポイントです。

財務報告の信頼性を確保するための内部統制目的というのは、言い換えれば、財務報告に係る重要な虚偽記載が発生するリスクをいかに低減するかという「リスクの評価と是正」の一つの適用例であるような気がします。ですから、リスクの内容について正しく理解していない、評価の仕方を知らないと、正しい評価、是正措置を講じることができません。「やっているかやっていないか」ということをチェックリスト的に判断することは誰でもできますが、そもそもやっていることがリスクに対して有効なのか、を判断することは意外と難しいかもしれません。そこをどうやって会社にわかりやすく説明して、ポイントをはずさずに内部統制評価を行うか、それが我々の課題です。

日本公認会計士協会の機関誌「会計・監査ジャーナル」4月号に、「内部統制実施基準の公表をめぐって」という座談会が掲載されています。

内部統制部会長の八田教授、金融庁総務企画局企業開示課長の他、実施基準の作成にたずさわった企業の代表、そしてJICPA機関誌らしく公認会計士が参加しています。

内部統制に関しては、すでにいくつかの座談会記事が雑誌に掲載されているようですが、この座談会で特徴的なのは、なんといっても、監査人のかかわりについて多くの紙面を費やしているということです。

「監査人が保守的で、何もしてくれない」という不満の声が企業側から出ているという話を聞きますが、経営者と監査人のコミュニケーション、つまり、監査人としてどう対応すべきかということと、経営者として監査人とどう折り合いをつけながらこの制度に対応していくか、ということに対する当局及び企業会計審議会の考え方というのが、この座談会の議論から読み取ることができます。また、監査人の判断が保守的で、企業に過度な負担を求める結果になったという米国の失敗例を踏まえた我が国としてのあるべき対応というものも述べられています。

テクニカルな話ではありますが、財務諸表監査と内部統制監査の関係を実務的にどう考え、監査手続を実施するか（いわゆる統合監査）、という点についても言及されています。大枠はすでに実施基準で示されているのですが、今後、JICPAから内部統制監査に関する指針が出るようなので、それを読んでみたいと思います。

「監査人が何もしてくれない」のには、いくつかの理由があると思います。例えば、

・忙しくて手が回らない

・ただ働きはしたくない（別途報酬をくれればやる）

・監査人の独立性という法令上の要請

・「会計士の言うとおりにやった」という経営者の責任逃れに使われたくない

・監査の手の内を会社に見破られたくない

・内部統制のこと、とりわけITのことがよくわからず、指導できない

しかし、現に、監査人はビジネスリスクアプローチによる財務諸表監査をやっていて、内部統制（統制リスク）の評価を含む、重要な虚偽記載リスクの評価を行っているわけで、その結果を踏まえて監査手続を実施している。つまり、どのような監査手続を実施しているかを見れば、どこに重要な虚偽記載リスクがあると監査人が判断しているかがわかるわけです。つまり、企業側が監査を受ける姿勢を変えて、監査について監査人と積極的に意見交換をすることによって、内部統制制度の最も重要なポイント（トップダウンのリスクアプローチ）を押さえることができ、その後の対応作業を効率的に行うことができるのです。このことは、監査人にとっても、統制リスクを含む監査リスクを低減させ、監査をより深度のある効率的なものとしていく上でとても有用なことです（内部統制のことがよくわかっていないで監査をしているというのはそもそも論外なので、理屈としてはありえないのですが・・・）。

もうじき3月決算。経営者や経営部門、J-SoX対応部隊でまずできることは、決算作業をやりながら問題点を洗い出していくこと、そして監査の中でどこが自社のJ-SoX対応のポイントなのかをつかむことです。それなしには、いかなる作業もすべて無意味になってしまいかねません。

ただし、監査人は決算手続については、あまり内部統制を評価していません。内部統制に依拠するよりも直接、監査人自身が監査証拠を入手して（例えば自ら計算チェックや元資料との突合を行う、残高確認で実在性をチェックするなど）、心証を形成することが多いのです。とはいえ、連結子会社の数が多い場合などの連結監査では、内部統制に依拠した試査も行われているかもしれません。会社としては、監査人がやっているようなことを事前に企業自身が行っているか、という視点で監査人のやっていることを見ていただければと思います。

そんなことをこの座談会記事で是非ご理解いただき、監査を内部統制改善に役立てていただきたいと思います。

気象庁のサクラの開花予想がプログラムミスで間違っていたとのこと。

http://www.jma.go.jp/jma/press/0703/14c/sakura2007_wng.html

気温データから統計的に開花予想するプログラムのようで、実際につぼみの状況を見ているわけではないようです。

さて、J-SoXでIT統制の評価を行おうとしている方は、これを聞いてどのような印象をもたれましたでしょうか？

・プログラムのチェックが不十分だった（開発の内部統制の不備）

・データの連携に問題があった

・出て来た結果のチェックが甘かった

・モニタリングが不十分であった

気温データを手入力するのであれば入力ミス、気温を把握する統計システムから気温データを取り込むのであればシステム間の連携に係るプログラムなどのミスですが、そこのあたりはわかりません。おそらく自動的に取り込んでいるのではないかと思いますが。

となると、根本的な問題は「プログラムのチェック」ではありますが、複雑なシステムですべてのバグを最初からすべて洗い出すことは難しい。となると、運用段階でいかにバグが原因と思われる異常な結果を見つけ出し、プログラムを修正するか、というのが実務上は重要なポイントになるような気がします。

全件、または無作為サンプリングで抽出して再計算する方法もありますが、人間が目で見て感覚的におかしいなと思うようなものを抽出して再計算する方法もあります。今回の場合、いくら暖冬だからといっても早すぎる。しかも、他のところよりもかなり早いとなると、明らかにおかしいと思った方も少なくなかったはずです。やはりそういうところは再計算してみるのが当然です。コンピュータだから間違うはずがないという意識があったのかどうかはわかりませんが、IT統制としては極めてまずい。人間の経験値と感からして異常であることを認識した上で、やはり、再計算するなり実際につぼみを見て最終結論を出すといったことが必要だったのではないでしょうか。

これを財務報告の信頼性に関連する情報システムに置き換えてみれば、例えば、在庫や売上の異常値を部門長なり経営者が見て、おかしいと思えば、情報システム部門に調査を依頼するといったコントロールが機能していないということになります。監査人として棚卸立会を行う際には、例えば倉庫の責任者に「ここにはどのくらいの金額の在庫があるのか？」とか「今回は多いのか少ないのか」など聞いてみます。そうすると、経験豊富で、しかもきちっとマネジメントができている場合には、帳簿を見なくても、現物を見ればおおよその金額がわかるものです。逆に、帳簿を見て「こんなに多いはずがない」とか、在庫と帳簿を比べて一目で「おかしい」と気づきます。

こういうことって、内部統制においてとても重要なことです。そうやって常にITに起因する異常を識別できることは、ITのレベルを上げることにつながり、内部統制のレベルも上げます。

中小規模の会社においては、開発が外部業者任せになり、かつ、情報システム部門がプログラムを一つ一つチェックするだけのリソースも時間もノウハウもない。となれば、出て来た数字を見て、現物などと比較（棚卸、残高確認など）、是正するか、経験則から異常値を見つけてそこを開発会社の協力も得ながら重点的に調べて、その結果に基づき改善する、といった統制手続というのもありえます。

要は、状況によって色々できることはあるので、システム管理基準や実施基準に書かれている例示の通りにできないからといってあきらめないこと。ダメだと決め付けないことが重要なのです。創意工夫です。

今日は、東京証券取引所でＸＢＲＬシンポジウムが開催され、その中で八田進二教授の内部統制に関する講演がありました。基本的には内部統制基準の解説なのですが、そのなかで、米国ＣＯＳＯ及びSoX法と我が国の制度との比較を様々な比喩で繰り返し述べていました。

なかでも面白かったのは、「内部統制の本がたくさん出ているが、そのうちの80％は米国ＳｏＸ法に関するもの。まさにあるある大辞典だ」というもの。日本版SoX対応といいながら、米国ＳｏＸのことを書いているが、日本版と米国版は違うので、米国版の説明をしているにもかかわらず日本版SoX解説だというのは「あるある大辞典と同じ」だというのです。

また、日本版SoXは米国版に比べてルーズだといわれているが、それをファッションにたとえてルーズはルーズでデザインとしては受け入れられており、むしろそういうのがおしゃれといわれているとかいう表現もありました。

そんな皮肉めいたことはともかく、やはり、企業の創意工夫の重要性を繰り返し強調していました。また、重要な評価範囲の目安である2/3については、もし会社が1/2で十分と考えるならそれはそれでいい、とまでおっしゃっていました。リスクがないまたはきわめて低いとわかっていれば、評価の対象にしなくてもよいということです。逆にリスクが高ければ2/3では不十分かもしれない。リスクアプローチというのはそういうことです。「木を見て森を見ずにならないように」ということもおっしゃっていました。

金融庁の企業開示課長も、現在の内部統制騒動には重大な懸念を持っているようでした。情報に振り回されず、実施基準をしっかり読んで自ら考えることの重要性を八田教授は改めて強調していました。

J-SoXの特徴の一つに、「トップダウンによるリスクアプローチ」というのがあることは、どなたでもご存知かと思いますが、果たしてその意味をきちっと理解し、J-SoX対応の中でいかそうと考えている人がどれほどいるのか。

トップダウンによるリスクアプローチといってまず思い浮かべるのは、「効率化」「コスト削減」「評価対象事業の選定」。そして、「全社的統制」と「サンプリング範囲の縮小」。それはそれで間違っていないのですが、何か大事なことを忘れていないか。

J-SoXで一番大事なことは、いうまでもなく、財務報告の重要な虚偽記載のリスクを低減することです。では、「財務報告の重要な虚偽記載」というのがどういうことで、何を原因として起こりうるのか。それを有価証券報告書を見ながら経営陣や幹部社員の間で考えたことがあるでしょうか？財務報告は財務諸表本表だけでなく、注記、付属�