J-SOX 初年度の結果は？（その3）

今回は、重大な欠陥が報告されている内部統制報告書を読んで感じたことを私なりにまとめてみようと思います。

①決算・財務報告プロセスの内部統制整備

決算・財務報告プロセスに関する重大な欠陥が全体の約60％を占めており、この領域の内部統制整備の難しさがあらためて浮き彫りになったのではないかと感じました。特に、新しく導入された会計基準の対応では、経営者の見積りと深く結びついたものが多いため、この見積りをいかに内部統制に落とし込むかという点で苦慮された方も多かったのではないかと思います。やはり、会社ごとの会計処理ルールと経営者の見積り数値の算定過程の明確化が今後の大きな課題になってくるものと思われますし、これらのことは、企業を取り巻く環境の変化に対応しなければならないため、今年が大丈夫だったからといって油断は禁物だと思われます。また、これまでは決算・財務報告プロセスについては会計監査があるので、内部監査等のモニタリングの対象からも除外されているケースが多かったのではないかと思われますが、今後は決算・財務報告プロセスのモニタリングを強化する必要があるのではないかと感じました。具体的には、内部監査メンバーに決算業
務に精通したメンバーを投入して会計監査前の内部監査を実施したり、モニタリング機能を外部の専門家（公認会計士等）にアウトソーシングする等の対応が考えられます。

②連結ベースの内部統制整備

子会社の決算に関する内部統制に重大な欠陥が見つかったり、急激な事業の拡大に内部統制整備が追いつかないなど、連結ベースの内部統制整備に関する問題が浮き彫りになったようにも思われます。グループ経営あるいは連結経営という言葉が使われるようになって随分と時間が経ったようにも思いますが、グループ経営（連結経営）の展開は、事業の拡大と適切な管理体制（内部統制）の構築がセットでなければならないということを経営者の方々に再度認識していただく必要があると感じました。

③内部統制にかけるべき適切なコストは？

経営環境が極めて厳しく、経費削減を余儀なくされる企業様も多いと思われますが、今回読んだ内部統制報告書の中には、合理化を進めすぎた結果、適切な決算業務の遂行に支障をきたしてしまったと書かれているものもありました。内部統制導入費用のことはかなり話題になりましたが、今後は内部統制運用コストをどのくらいかけていくのか、コスト・ベネフィットの着地点をどこに求めるのかということがポイントになるのではないかと感じました。景気の後退局面では、管理部門のコストはリストラの対象になりやすいところですが、行き過ぎたコスト削減は内部統制の重大な欠陥を招くことにもなりかねません。内部統制の重大な欠陥が企業の信用力や財務行為にどの程度の影響を与えるのかは未知数ですが、これら失うものの大きさと投入するコストとの比較が大変重要になってくるような気がします。

以上、３回に分けてJ-SOXの初年度を振り返ってみました。皆さんもお時間があれば、一度重大な欠陥が報告されている内部統制報告書を読まれてはいかがでしょうか？　ことわざにもあるように、他の会社の様々な事例からご自身の会社が気をつけなければならない点を発見する１つのいい機会なのではないかと感じました。

J-SOX 初年度の結果は？（その2）

少し更新が遅くなってしまいましたが、3月決算で内部統制に重大な欠陥があると報告された56社の内部統制報告書を読んでみました。今日はその分析をしてみようと思います。なお、この分析については、あくまで私の個人的見解であることをあらかじめお断りしておきます。

重大な欠陥が発見された内部統制の領域

1つの会社において、いくつもの欠陥が発見されたケースもあるため、全体では86の重大な欠陥が報告されています。これを大きな領域で区分してみると、決算・財務報告プロセスに係るものが約60％を占め、全般的統制と業務プロセスに係るものが約20％ずつという内訳でした。

決算・財務報告プロセスに関する欠陥の内訳については、個別の会計基準の適用に重大な欠陥があると指摘された事例が約半数を占める一方、決算全般に係る内部統制や子会社の決算体制に係る内部統制に重大な欠陥があると報告されたケースも比較的多かったようです。個別の会計基準の適用については、税効果会計・減損会計・引当金など、経営者の見積りを要求されるものについて、適切に会計基準の適用が行われていないと指摘されたケースが大半でした。

全般的統制については、会社において重大な事件が発生したために全般的統制（統制環境）に重大な欠陥があると指摘されたケースが圧倒的に多かったです。IT関連では、データの紛失ということで1件が報告されているに留まっていました。業務プロセスに関するものでは、売上に関するものが比較的多かったように思われます。

期末日までに重大な欠陥が改善されなかった理由

内部統制報告制度においては、例え内部統制に重大な欠陥が発見されても、期末日までにそれが改善されていれば、報告の必要はないことになっています。ということは、逆に言えば、上記の56社は期末日までに何らかの理由で改善が果たされなかったということになるため、その理由を内部統制報告書から探ってみました。

最も多かった理由は、十分な人材の確保・育成ができなかったというものでした。また、2番目は期末日直前または期末日以後に重大な欠陥が発見されたため、改善のための時間を確保することができなかったとするものでした。この２つの理由を合わせて約70％に及んでいます。急激な事業の拡大に管理部門が対応しきれなかったことを挙げている例や新規連結子会社において重大な欠陥が発見された例など事業の拡大に内部統制がキャッチアップできていない事例も少なからず見受けられました。

また、運用状況に関する不備に会社が気づいておらず、財務諸表監査において監査法人から修正の指摘を受けた結果、内部統制の重大な欠陥が認められたために改善できなかったというものもありました。これは会社のモニタリング活動の機能強化が求められれる事例だと思われます。

次回は、この内部統制報告書を読んでの私の感想と取りまとめてみたいと思います。

J-SOX 初年度の結果は？（その1）

今朝（7月2日）の日本経済新聞朝刊の記事からです。2009年3月期から始まった内部統制報告制度で、経営者自らが「重要な欠陥がある」と開示した上場企業は56社となったことが明らかになりました。これは、これまでに内部統制報告を行った会社（2672社）の2％であり、初年度に16％の企業が重要なな欠陥があると記載した米国に比べると非常に少ない結果となったようです。

記載理由で多かったのは、会計監査人による会計処理の誤りの指摘がそのまま内部統制の重要な欠陥につながった事例のようです。これは、会計処理の誤りの事実が内部統制の重要な欠陥を意味するのではなく、その誤りが起こった原因を突き詰めた時に内部統制の重要な欠陥が原因であると認められた場合を指します。このケースでは、内部統制の評価そのものからは欠陥は発見されなかったものの、決算を行った結果として内部統制の欠陥が明らかになったと考えられるため、内部統制担当者の方にとっては、非常に対処が難しいと考えられます。また、循環取引等の不適切な取引や従業員の不正が発覚したことにより、重要な欠陥の存在を記載したケースもあったようです。

リスクコンサルティングで有名なプロティビティジャパン社長の神林比洋雄氏によれば、日本企業の重要な欠陥が全体の2％にとどまったのは、日本の各企業が米国の先行事例を参考に入念な準備をし、また、金融庁や監査法人も制度の周知徹底を推進した結果であると高く評価されているようです。一方で、内部統制報告書を読んだだけでは、「有効」や「重要な欠陥」の程度が分かりにくい面があったり、内部統制報告書が開示されるまで、投資家が重要な欠陥の存在を知ることができないため、適時開示の観点から改善が必要である旨の指摘をされています。

皆さんは、この結果をどのように受け止められましたか？　神林先生のおっしゃるように日本の取り組みが優れていた結果として総括することができるのでしょうか？　確かに、日本の内部統制担当者の皆さんの取組姿勢は素晴らしいものがあったと思いますし、そのこと自体を否定つもりはありません。また、日本企業の場合は、従業員の会社に対する帰属意識も高く、高いモラルを持って内部統制が運用されたということも想像されるところです。しかし、それでもなお、率直な感想として、米国と日本でそれほどに会社の内部統制の整備状況に差異があったのだろうか？　その差異はどのような点において顕著に認められるのかということを知りたいなと思ったのです。この辺りは、今後調査研究が進められることを期待したいところです。

また、重要な欠陥のある会社があまり多くない、しかも、重要な欠陥の多くが会計監査人が会計処理の誤りを指摘した結果から導き出されているということを考えると、この内部統制報告制度の意義そのものを考える必要はないでしょうか？　結局、内部統制を通じて作成される財務諸表の品質（信頼性）に対して、監査法人が一定の保証をしているのであれば、それ以上のことを開示する必要性があるのかという気もするのです。もちろん、この制度の導入を通じて内部統制に対する社会の関心が飛躍的に高まり、また、経営者の方に対して内部統制を継続して良好に運用する責任があることを認識させる効果があることは否定できないのですが。

皆さんはどう思われますか？　次回は重要な欠陥があると報告された56社の内部統制報告書を読んでみて、もう少し私なりの分析を加えてみたいと思います。

内部統制報告制度（J-SOX）の効用？

28日の日本経済新聞の記事からです。

上場企業を中心に、「不適切な会計処理」が行われていたことを公表する企業が増えており、内部統制報告制度（J-SOX）が社内の問題点をあぶり出しているとの指摘をしています。

記事の内容を読んでみると、内部統制報告制度への取り組みが会社の問題点を発見することに直接つながったのかどうか読み取れない部分もあったのですが、ここで私が記事を読んで感じたことを１つ書いておきたいと思います。

内部統制について議論をしているときに、「うちの会社に限ってそんな悪いことをする人間はいない」とか「日本人は勤勉で誠実。内部統制なんか整備しなくても大丈夫」というような意見をよく耳にします。正直なところ、その考え方は私も少なからず同意する部分もあったのですが、しかし、新聞に記載されているだけでも10社近い企業が問題があったことを公表していることを考えると、「そんな話はよその話」と決めつけてしまっていいのかという疑問が湧いてきます。

費用対効果の問題やあまりに形式的になり過ぎという問題点も理解できるところです。では、効率的にこのような問題に対応するには、どのようにしたらいいのでしょうか？

個人的な意見ですが、会社の中に、「○○さんしか分からない」お仕事がないかどうか確認してみては、どうでしょうか？　先の不適切な会計処理が起こってしまう理由として、「○○さんしか分からない」お仕事を、その方を信用して任せていた（つまり、第三者のチェックが行われていなかった）ということがあるように思います。

経験的に思うのですが、意外とそういうところにリスクが潜んでいるような気がします。ただ、○○さんがすべて悪いことをしているとは限らない（あくまで可能性の問題です）ので、その方のプライドを傷つけないようにする配慮も必要かと思います。

内部統制の思わぬ副作用？

9月15日の日本経済新聞朝刊の記事からです。

中堅企業を中心に株式の上場を取りやめる動きが相次いでおり、この原因が、当初は外資系ファンドなどからの買収攻勢をかわし経営権を守る狙いとみられていたのが、ここにきて日本版SOX法対応などの上場維持コストの増大によるケースも多くなってきていると指摘しています。

そもそも内部統制とは、「経営者が企業活動のリスクとその対策を正確に把握することで、企業の競争力を高める仕組み」（岩倉正和弁護士）であるとの指摘にもあるように、会社にとってプラスの作用をするものと理論的には理解されています。実際に、経営情報の収集が迅速化され情報の活用が進んだり、業務プロセスを可視化することで重複した業務プロセスを省略して業務の効率化が図られるなど、いわゆるアフターJ-SOXと呼ばれる動きも出てきているようです。

しかし、内部統制（J-SOX）と言えばやはりコストアップ要因という見方が支配的で、前述のような前向きな捉え方は少数派と言えそうです。確かに、監査報酬等の増加によるコスト増は不可避的に発生しそうですが、それだけで上場廃止ということになってしまうのでしょうか？　企業側の深刻なコストアップ要因について、２つの要因を考えてみました。

・そもそも、J-SOXが対象としている適正な財務報告という観点では、経理部門の担当者の経験に依存する部分がかなり大きいケースもあり、内部統制を構築するためのコストアップが生じているのではないか？

・内部統制の整備においては、リスクへの対応という観点が非常に重要となるが、これまでそのような視点で内部の管理体制を改善するという慣行が日本にはあまり定着していなかったために、内部統制の整備状況を評価した段階で重要な欠陥が発見され、新たに内部統制を構築（追加する）ためのコストアップが生じているのではないか？

企業側のコストについては、そもそも内部統制という考え方が新たに導入されたものではなく、もともと企業が持っていた管理の仕組みであるため、これらを可視化し、その整備・運用状況を評価することであれば、コスト増は最小限に抑えられるのではないかという見解も示されているかと思います。しかし、上記のように「内部統制を構築する」というコストが必要になってくると、人員配置の問題や利益への圧迫要因となることから、上場を断念する意思決定もやむを得ないケースが生じているのではないかと想像します。

ただ、記事の中にあったアビームコンサルティングの水井孝一郎氏のコメントは非常に示唆に富んでいると思いますので、最後に載せておきたいと思います。

「単に監査を通せばいいと考えるか、真の連結経営や業務改革につなげるのかが今後の岐路になる」

J-SOXの現場から（その３）

内部統制の整備においては、リスクの評価と対応を明確にしておくのが重要ではないかという話を書きました。今日はリスクの評価について、私が感じたことを書いてみたいと思います。

実は、現行の財務諸表監査においても、監査人は担当する会社の財務諸表の虚偽表示リスクを評価し、その対処を検討し、監査の実施計画を立てなければなりません。私も監査法人在職時には、よくこの作業を担当していました。しかし、この作業は1人で考えていてもなかなかいいアイデアは思い浮かばないもので、結局は過去に問題となった事案をリスクとして取り上げる場合が多く、本当にリスク評価になっているのかと悩むことも多い作業でした。

先日、ある会社のリスク評価資料を拝見したところ、非常にたくさんのリスクを取り上げられていて驚いたことがありました。どのようにされたのかを聞いたところ、社内の各部署にリスク評価の担当者を選出してもらい、担当者が集まった会議の中でとにかく思いついたリスクを挙げていったのだそうです。

J-SOXとは直接関係がないかもしれませんが、最近の企業の不祥事案件を見ていると、「リスクとして認識していなかったのでは？」と感じるようなものも含まれているように思います。それだけに、まずは考えられるリスクをすべて出してしまうという作業は非常にいいことではないかと考えます。

もう３月になり、３月決算会社の皆さんにとっては、いよいよ来月からJ-SOX適用という時期を迎え、少々ピントがはずれた話に感じられるかもしれません。しかし、まだまだ準備作業が続いている会社も多いと聞きます。なかなか作業が進まないと感じられている方は、「急がば回れ」で、もう一度ご自身の会社のリスク評価と対応方針を整理されてはいかがでしょうか？

J-SOXの現場から（その２）

J-SOXのお仕事の現場でよくいただく質問に「この作業はどれだけやればいいのですか？」というのがあるというのが前回のお話でした。今回はこのご質問に対する私の意見を少し書いてみたいと思います。

どれだけやればいいのか？ということは、何か基準があって、その基準をクリアしているかどうかによって、判断が下せるということになるのではないかと思います。Ｊ-SOXの基準といえば、実施基準や監査に関する実務指針が公表されていますが、これを読んでみても必ずしもクリアすべき基準というのは明確になっていないのではないかと感じます。

私は、この「どれだけやればいいのか？」を決定するにあたって、リスクの評価と対応を決定しておくことがとても重要なのではないかと考えています。

つまり、会社にどれだけのリスク（J-SOXであれば財務諸表の虚偽表示が発生する可能性のこと）があり、それぞれの発生可能性がどれだけあって、発生した場合の影響がどれくらい大きいものなのかをきちんと整理しておくことだと思います。

リスクの発生可能性は低くても発生した場合の影響がとてつもなく大きいものもありますし、リスクの発生可能性が高くても発生した場合の影響が限定的である場合もあります。この場合、それぞれのリスクへの対応の仕方というのも当然変わってくるでしょう。

つまり、リスク評価の整理ができていると、それぞれのリスクにどのような対応をしていくのかを決定することができます。専門書等では、リスクへの対応の例示として、回避・移転・低減・受容等が挙げられているかと思います。ここで、低減の対応を取るべきものが、言い換えれば、内部統制を整備すべきものと考えてはどうでしょうか。

（文中の意見は筆者個人の意見であり、筆者が所属するあすかコンサルティング㈱の公式見解ではありませんので、ご了承ください。）

J-SOXの現場から（その１）

ブログのタイトルにもあるように、IFRSへのコンバージェンスと並んで、会計・監査の世界に大きな影響を与えるのではないかと考えているものに、J-SOX（内部統制評価・監査）があります。

最近、J-SOXに関連したアドバイザリー等のお仕事の機会をいただくのですが、その現場を通じて感じたことを書いてみたいと思います。

J-SOXのアドバイザリーで一番よくいただく質問は、「この作業はどのくらいやればいいのですか？」という質問です。この質問、実は非常にお答えするのが難しい質問です。なぜなら、会社がJ-SOXを通じて目指す内部統制の整備・評価のレベルによって、答えが変わるからです。

監査をクリアできればいいのだということであれば、お答は「監査法人さんに確認されるのが一番です。」ということになります。ですが、そういうレベルで我々にご質問いただくケースは少ないと感じます。

やはり、内部統制は会社の仕組みそのものであり、それ故にできるだけ十分な整備と評価が行いたいというご希望があると感じることが多いです。しかし、資源（時間、労力、金銭面など）は無尽蔵にあるわけではないため、コスト・ベネフィットを考慮しなければなりません。そのことが、「この作業はどのくらいやればいいのですか？」という質問につながっているように思います。

次回のブログでは、この「どれくらいやればいいのか？」に対する私見を述べてみたいと考えています。