(日本取締役協会 内部統制研究会 議事録2007年4月19日)
Ⅰ.はじめに
今回は、事務局からの要望として、制度の概要は詳しく話をせず、監査人との連携を中心に話をさせていただく。次回は八田先生がいらっしゃるようだが、私が言った事と八田先生がおっしゃる事で内容が違うということがあるかもしれないが、それは監査法人としての話と制度を作った方の思いの差であり、その点はご容赦願いたい。
全体の内容としては、上場会社にとっては評価範囲が当面の課題であり、それにより作業量が変わる。「評価範囲を監査人と協議をする」となっているので、皆さん方は監査人と協議をされているかあるいはこれからされようとしていると思う。アサーションの考え方を簡単に説明すると、実施基準では適切な財務情報を作成するための要点となっている。次に、システム開発は内部統制と非常に大きな関連があるが、あまり触れられていないので触れたい。最後に、監査人が独立性を守らなければならないので、何処までを監査人に依頼できて、できないのは何処で、外部コンサルに何を依頼するか。それについてお悩みの会社もあろうから、その点をお話しする。
Ⅱ.評価範囲の決定と監査人との協議
1.評価範囲
上場会社は内部統制報告書を出し、監査法人は内部統制報告書が適正に表示されているという意見表明をする。会社として、まず内部統制が有効だといわなければならないこととなっている。これを噛み砕いて説明すると、税引き前利益100億円の会社があるとして、例示として税引き前利益の5%がでているのはご存知だと思うが、これをそのまま当てはめると、財務報告に5億円以上の影響を及ぼす可能性が高い内部統制の不備はない、ということが、内部統制が有効だという意味になる。これは量的な話で、利益が小さい会社はメッシュが小さくなり、利益が大きな会社はメッシュが大きくなる。
2.統合監査1
監査法人は内部統制監査だけを実施するのではなく、これまで通り、財務諸表監査も実施するが、それを一体として実施しなさいとなっている。監査報告書は基本的に一枚になる。対象になるのは、財務諸表監査と内部統制監査で、どちらも経営者のアサーション、経営者がこういう主張をしている、ということについて監査法人の意見を述べる、というたてつけになっている。
統合監査の中身は、内部統制監査の結果を財務諸表監査にも利用する。内部統制の報告書をまず会社が作らなければならないので、会社が内部統制の評価を実施しているはずだ。会社は決めた評価範囲についてだけを評価して、それに追加して監査人が独自に検証する。会社が評価していない範囲にも追加して監査人が何らかの検証をする。その結果を内部統制の意見の形成、内部統制監査の結果に反映する。内部統制の評価結果は、財務諸表の監査にも利用する。元々、財務諸表を監査するときに、監査人は内部統制を評価していたが、もう一度内部統制の監査以外に同じような監査をする必要はない。
財務諸表監査の範囲の中に、全社的な内部統制、決算・財務報告統制、業務プロセス統制の3種類の内部統制があるのはご存知の通りである。委託先の内部統制も当然範囲に入る。今回の内部統制の制度では、大株主の状況など、これまで財務諸表と呼んでいなかったものも、財務報告という名称で含まれる。財務諸表に係る内部統制以外の部分も入ってくる。監査人がこれまで内部統制の評価をしていた範囲、財務諸表の監査をしていた範囲は、財務諸表監査の範囲内である。今回、内部統制の監査、内部統制報告制度が導入された場合に、会社が評価するのはこの部分だとした場合、会社が評価した範囲だけを監査人が評価をするのかというとそうではない。財務諸表監査のために監査人は自分で考え、自分で危ないと思ったところは、内部統制の評価をするということになる。会社の評価範囲に係わらず、監査人は何処でも評価をしにいく。会社として評価をしない部分があったとしても、監査人がここは評価をしないといけないということがあるかもしれない。そういうところから重要な欠陥はでないだろうか。内部統制の監査をするということは、財務諸表監査と一体であるが、範囲が合っていない場合があり得るし、監査人が評価をする範囲を会社も評価しておく方が安全だということになる。
3.統合監査2
次に、財務諸表監査の結果を利用する。財務諸表監査で財務諸表に重要な記載誤りが発見されることがある。これは最終的に決算が間違いだということで、財務諸表の監査報告書に限定付適正意見とか、不適正意見がでる場合だけではなく、監査をする過程の中で間違いを発見し、修正するよう、監査人から会社に依頼する場合もあると思う。そのまま放って置くと不適正になるとか、限定付になるというレベルのものを監査で発見した場合に、財務諸表の修正依頼をして適正意見がでる形になる。財務諸表は直っても、一旦間違うということは、内部統制が機能していなかったということになる。会社として間違いを発見できずに、監査人が発見したのだから、内部統制が有効に機能していなかったとなるので、内部統制の報告書上、会社が有効でないと書くと適正意見になり、有効だと書くと不適正意見になる。基本的に財務諸表の決算の中で、重要な誤りをしないようにしなくてはならない。
4.基準・実施基準の基本的な考え方
トップダウン・リスクアプローチということで、基準にも実施基準にも非常に強調されている。これは財務報告の信頼性に重点をおいており、八田先生の言葉を借りると、財務諸表監査が主で内部統制監査は従だ。本来の目的は決算が正しいかという財務報告の信頼性であって、その補完的な意味で内部統制監査を入れてある。投資家が保護されるためには、内部統制がいくら有効でも直接的には意味がなく、投資家保護のためには財務諸表が適正でなくてはならない。
重要な欠陥がなければ良いということなので、5億円以上の記載誤りが発生する可能性がない、会社としてそれがないという自信があれば、見なくても良い。見る部分と見なくても良い部分を自分で判断して分けるのがトップダウン・リスクアプローチである。まず業務プロセスの内部統制を良くして、結果として決算をきっちりしようと考える方も多いが、要は決算が正しい内部統制があればそれで良いのである。一番決算に近い内部統制が重要で、要するに経理部門が一番重要で、そこで全ての間違いを発見できるのであれば、現場部門がいくら間違っていても結果として正しい決算を作れるのであれば、それで良いというのも、今回のトップダウン・リスクアプローチの意味でもある。
5.評価範囲の決定
財務報告は適正でなくてはならないが、まず全社的な内部統制があり、これを評価することになるが、全社的な内部統制だけで全てカバーするのは難しいので、決算・財務報告の内部統制がある。経理部門が決算を適正に作るために色々なチェックをするという、内部統制がしっかりしていれば、業務プロセスの全てを見なくても良い。例えば少量多品種で、売り上げの多い会社であれば、先ほどの例でいうと5億円の間違いを経理部門で発見し直すという、要は決算が正しいという内部統制を組み込めば良い。ここで評価する業務プロセスと、そうでない業務プロセスが区別されていく。決算と全社的な内部統制は、僅少でない限り全て対象となるので、この部分で評価範囲を決めるということはないが、業務プロセスのところで評価範囲を決めるという作業が生じる。
6.業務プロセス評価範囲の決定の基準
以下は個人的な定義であるが、2/3基準:売上高の概ね2/3程度、事業目的基準:事業目的に大きく関わる勘定科目に至るプロセス質的基準:リスクが大きい、見積もり・予測を伴う、非定型・不規則といった業務プロセスと、それぞれ呼んでいる。
2/3が基準なので、決算以外の業務プロセスの内、どこでも良い2/3を選べば良い。選びたくないところを1/3にしてしまい、選びたいところだけを2/3にしても良い。どこを選べとは書いていないから、どこを選んでも良い。順番に足し込んで2/3になるまで入れろといっているだけで、例えば中国の子会社の内部統制が危なそうだから外す、それでも構わない。
次に事業目的基準で、売り上げ、在庫等のプロセスについて見ることになっているから、これら事業目的基準に掛かれば、評価範囲になる。次に質的基準はどこが選ばれるかというと、2/3基準で外れたところになる。先ほどの中国子会社は質的基準に掛かることもある。2/3基準、事業目的基準の後で、質的基準で最後に拾うことになる。これが評価対象範囲となる。
7.監査人との協議
範囲については監査人と協議することとなっている。協議はするが、監査人としてこれがファイナルアンサーだとは言わないと思う。言えない理由は、外部監査の実務指針が出ていないからだ。経営者Q&Aというのも出るという噂だが、まだ出ていない。内閣府令も確定していない。監査人としてどこへ落とせば良いかについては迷うところだ。これらのものが出されて、実務上の課題が確定しない限り、監査人として明確な範囲は出せない。しかし全社的な内部統制や決算財務報告の内部統制については、まずこちらをやってもらいたい。不備があれば改善してもらいたい。業務プロセスについては、当然入るだろうというところは入れていただき、迷うところは後回しで良い。このように文書化等の作業を進めていっていただきたい。
先ほども言ったように、会社が評価したところだけを監査人が見るのと勘違いをされる方も多いが、内部統制監査基準に書いてあるのは内部統制監査のためのものであり、財務諸表監査は別なものであり、会社が評価したところ以外も監査人はいつでも評価することができるので、その点を考慮して評価範囲を決める必要がある。
8.全社的な内部統制と決算財務報告に係る内部統制の留意点
「僅少」という言葉があり、これをどのように判断するかだが、僅少は重要よりも小さいはずで、5%より小さく、各社で決めることになる。
全社的内部統制と決算財務報告の内部統制が、子会社毎にバラバラということが良くある。親会社に一つしかないというのが一番良い。全社的な内部統制はガバナンスの話であり、親会社にしかないのが当たり前とも思うが、実際は子会社ごとにバラバラで、独立してビジネスをしているということも多い。子会社が上場しているところは、別にしないと上場できないが、そうでない子会社でも親会社と異なるということもある。
その際、親会社で使うチェック項目を子会社に渡し現状を調査して、それぞれバラバラに全社的内部統制の文書化を始める会社も多い。個社ごとの内部統制は大事だが、全社共通のものが本来の全社的な内部統制である。
言うなれば全社的内部統制が2層になっていて、全社の全社的内部統制があり、各社の全社的内部統制がある。決算についても同じで、各社で決算のプロセスは異なるが、全社共通のものもあるだろう。それをうまく識別することが大事だし、なければ作ることが大事だ。個社毎の内部統制を文書化・評価して、それだけで安心していてはいけない。
Ⅲ.アサーションの考え方
監査法人により定義が異なっているが、アサーションは、監査基準の監査要点と合わせてあり、実施基準の経営者評価のところは現在のような表現となっている。これが内部統制上満足されないと、内部統制が有効とは言えないという指標である。実施基準には「適切な財務諸表を作成するための要件」と書いてある。
気を付けなければならないのは、この監査基準は古くて、国際監査基準と合っていないことである。会計基準を国際会計基準と合わせることをコンバージェンスというが、監査基準を合わせることもコンバージェンスという。国際監査基準と合わせないといけないという考えがあるが、合わせるとどうなるか。国際監査基準はわかりにくいが、トーマツのアサーション(実在性、網羅性、正確性、期間帰属、評価の妥当性、開示の妥当性)で括るとすっきりする。実施基準のアサーションでないといけないと思い込まずに、変わる可能性もあるので、監査人と相談してもらいたい。なおトーマツの監査先に対しては、トーマツのアサーションを使うよう依頼している。これは、業務プロセスの内部統制を評価する際に指標になるものである。
実施基準のアサーションもあり、トーマツのアサーションもあるが、結果的には全てつながる。気をつけなければならないのは、最初実施基準でやっていたが、基準が見直されて国際監査基準に変えなければならない場合、先ほどのように一つ一つ見ていき、対応関係を見直さないといけない。
アサーションの書換えには時間がかかることが多い。また教育という作業も発生するので、どういうアサーションを使うかは最初にしっかり決める必要がある。国際監査基準では、取引、残高、表示と開示というくくりでアサーションが並んでいる。
Ⅳ.システムの開発タイミング
スケジュールとしては2009年3月期が最初の年度になる。それに向けて文書化をして、有効性の評価をするのが準備で、その後に本番の有効性評価をする。
その途中でシステムを開発するという話が出て、業務プロセスを改善しよう、ビジネスプロセスをリエンジニアリングしようということになると、プロセスも変わってしまう。その際には、文書化は開発の途中で設計ができればプロセスはわかるので、システム開発と同時に行い、出来上がったら有効性評価をし、本番年度を迎えた方が良いということを薦めている。
実際に我々がお手伝いしたアメリカのSOX対応の会社が12月決算で、開発が本番直前のギリギリ12月まで掛かり、1月から新システムでの運用を開始したが新システムを開始したそのときからSOX対象となった。
その会社にアドバイスをし、会社は開発途中から文書化をしていた。ただ評価はできなかったので、本番年度で一発勝負となった。一発勝負はリスクが高いので、なるべく準備段階の評価も一旦行うよう依頼している。
特に初年度に気を付けてもらいたいことで、もちろん毎年気を付けてもらいたいこともある。基本的に監査人は、決算時、例えば3月31日時点の内部統制の有効性を評価する。海外に多数の子会社があり、また国内に多くの事業所がある会社を、ある一定の時点で一気に検証することはできない。
したがって一定期間内で評価していくことになる。監査人が評価するのは、監査法人により差はあるが、一般的に最後の3ヶ月間だ。3月決算の会社の場合だと1~3月、この期間をみなし期末日といった見方をする。この期間に一旦評価をしたら、期末日には改めて評価するということはしない。大きな変更点はないかを調べることはあるかも知れないが、追加的手続はしない。
それ以前に評価した場合は、もう一度みなし期間にチェックをする。みなし期間中はサンプルチェックをせずに、聞き取りをする程度だが、それ以前にシステム変更した場合には、実際にサンプルを採りチェックする。みなし期間に大きなシステム変更をするとその前提が崩れ、みなし期末日にならなくなるので、業務プロセスや決算のプロセスが大きく変わるような大きなシステム変更は、避けてもらいたいと依頼している。
これは毎年必要になってくる。普通、新システムがスタートするのは4月であって、決算直前に大きなシステム変更をすると、会社の業務ができなくなり、また会社としての内部統制評価もできなくなるので、そのような会社は通常ないはずである。
Ⅴ.監査人の独立性と助言指導
我々は、監査先に対して以下のような体制が良いと薦めている。
内部統制プロジェクトは、会社のプロジェクトチームという位置付けである。監査人はその外から助言・指導をする。助言・指導の意味は、監査法人により捉え方が異なる。大きい意味では、公認会計士協会の倫理規則、解釈指針というものがあり、その中で詳細に書かれていて、どこの監査法人も同じになる。
そこに書いていないことは監査法人により異なることがある。外部コンサルタントを雇うのは会社の自由となるが、その場合の位置付けは、当然に内部統制プロジェクトの中ある。コンサルタントは、内部統制プロジェクトの中で一緒になってやる。監査人は一緒になってやることはできないし、会議には参加できるが、プロジェクトのメンバーにはなれない。
当然、意思決定は会社が行い、監査人は行わない。文書化チーム、評価チームを分けている、あるいは会社によっては分けないこともある。実施基準でも、内部統制の構築等の段階でも、意見交換を行い、基本的には内部統制の構築に係る作業や決定は、監査人によってではなく会社が行うとなっている。しかし会社が行うという前提のもと、監査人が適切な指摘を行うことを妨げないと書かれている。
実施できる例として、制度対応のための一般的な手順書・ひな型の提供、文書化・評価の教育研修、これらはどの監査法人でも行うだろう。監査先の経営者が、実質的かつ広範囲に関与する環境下での内部統制の文書化については、監査人が行っても構わないと判断している。
ただ人手がないので実質的に行っている例はない。文書化作業の内容だが、現状を記述することは構わない。あるべき内部統制はこれだと、こちらで記述していくことはしない。監査先がレビューをし、チェックをする能力があることが前提条件になる。海外の子会社については、トーマツだけかも知れないが、日本の公認会計士法では、例えばデロイトはトーマツの一部とは考えていないが、トーマツではデロイトの人もトーマツの独立性の基準を守るようにというルールにしている。現地の独立性のルールはあるが、実施基準や公認会計士法に基づく独立性のルールを海外でも守ってもらうよう指示している。
評価の段階では、評価のためのサンプル数等の決定に係る助言があるが、ここはもっと限られる。評価は会社がするものであり、評価を監査法人が行うと自己監査になるので、評価の仕方は教えるが、実際に評価をすることはできない。
VI.業務プロセスと内部統制
業務プロセスの評価をする際に、業務プロセスを識別するにあたりどのようにするかというと、そこに業務プロセスがあるから、文書化するというものではない。会社として、これは大事な業務プロセスだと考えているから評価するというのでもない。それを事業拠点ごと、業務プロセスごとに決算書を見なければならない。事業拠点主義になっているので、事業拠点から順番に評価範囲を決めることに、実施基準上なっている。
事業拠点別のプロセスとなるが、そのときに事業拠点の試算表を持ってきて、その中の大きい勘定科目はどこかというところにまず目を向ける。その中の売上高は当然入ってくるが、売上高といっても色々なものがある。事業部A、B、Cがあり、Aという拠点の中のa、b、cという部門があり、aはかなり大きいが、b、cはあまり大きくない。このときbとcはどうするかというと、外しても良いかもしれない。
だが、外すかどうかは、その拠点だけで決めるのは難しいので、全体的にaは選んでおき、別の拠点でd、eが選ばれるのでこれらを合計し、全体的にこの程度かなということになれば、売上高としてカバーしたことになる。ここで、5%基準は使ってはいけないとされているので、選ばれた部門を集計して売上高をカバーしたということになる。最初の拠点ではaが選ばれたので、その売り上げのプロセスを対象にしようということになる。仕入れについても、在庫についても同じことである。
次に売り上げのプロセスを見て、それを分解していく。分解する際には売上高はどこで発生するかを見る。ものを売る会社は、一般的に出荷基準で売り上げ計上する。その際どこで出荷したかが重要であり、倉庫を出荷したか営業所を出荷したか、会社により基準を決めているはずである。出荷した時点で、売上高と売掛金の仕訳が起きる。仕訳が起きて初めて試算表に影響し、決算書に影響する。仕訳が起こる前にも後にもプロセスがある。
その前後にあるプロセスを良く見て、この仕訳の金額、売上先、日付等が正確かどうかチェックをしているはずなので、そのチェックを拾えば、それが内部統制ということになる。
プロセスはそれを細かく分けていくと、内部統制は見やすくなる。例えば販売プロセスであれば、受注から始まり、出荷・売掛金になるが、売掛金の回収があり、売掛金残高を管理するということを別にし、得意先マスターを管理することも1つのプロセスにしている。
切っていく理由は焦点を決めているからだ。受注は直接財務報告のプロセスではないかと言われるが、一般的に受注段階で売上の承認が行われたり、金額が決まったりすることがある。その段階でどういうことが確定し、それに対してどのような内部統制が働くかが大切だ。受注のところは例えば、架空の売上を計上するといった場合、受注伝票を入力すると売上が計上され、出荷もされてしまうというシステムを前提にすると、架空の受注書を作ると架空の売上が計上されてしまう。作成されても入力されないと売上計上されないので、作成と入力を分け、承認されるかどうかも記載する。
このようなリスクは、実在性や権利と義務に関わることになる。実施基準の場合、承認に関しては権利と義務になる。承認という内部統制で架空であるかどうかをチェックできる場合が多いため、権利、義務と実在性を分ける意味がない場合が多いと、トーマツでは考えている。
こう考えるとリスクに対応する内部統制は何か、最もわかりやすいのは、承認されていないというリスクには、承認されたものしか入力されない、という内部統制があれば良い。細かい話だが、プロセスの中に内部統制はどこにあるのかを調べるときに、リスク、アサーションという視点で内部統制を識別していく。
コンピューターが勝手に受注書を作り、入力したものがコンピューターの中でなくなるということもあるかもしれないが、それを防ぐためにどういう内部統制があるかというと、IT全般統制があり、データセンターでプログラムを正しく作るという内部統制で、カバーしているということになる。
0 件のコメント:
コメントを投稿