J-SOX関連

J-SOXの現場から(その3)

内部統制の整備においては、リスクの評価と対応を明確にしておくのが重要ではないかという話を書きました。今日はリスクの評価について、私が感じたことを書いてみたいと思います。

実は、現行の財務諸表監査においても、監査人は担当する会社の財務諸表の虚偽表示リスクを評価し、その対処を検討し、監査の実施計画を立てなければなりません。私も監査法人在職時には、よくこの作業を担当していました。しかし、この作業は1人で考えていてもなかなかいいアイデアは思い浮かばないもので、結局は過去に問題となった事案をリスクとして取り上げる場合が多く、本当にリスク評価になっているのかと悩むことも多い作業でした。

先日、ある会社のリスク評価資料を拝見したところ、非常にたくさんのリスクを取り上げられていて驚いたことがありました。どのようにされたのかを聞いたところ、社内の各部署にリスク評価の担当者を選出してもらい、担当者が集まった会議の中でとにかく思いついたリスクを挙げていったのだそうです。

J-SOXとは直接関係がないかもしれませんが、最近の企業の不祥事案件を見ていると、「リスクとして認識していなかったのでは?」と感じるようなものも含まれているように思います。それだけに、まずは考えられるリスクをすべて出してしまうという作業は非常にいいことではないかと考えます。

もう3月になり、3月決算会社の皆さんにとっては、いよいよ来月からJ-SOX適用という時期を迎え、少々ピントがはずれた話に感じられるかもしれません。しかし、まだまだ準備作業が続いている会社も多いと聞きます。なかなか作業が進まないと感じられている方は、「急がば回れ」で、もう一度ご自身の会社のリスク評価と対応方針を整理されてはいかがでしょうか?

Img_0263_blog_2

2008年3月 6日 (木) J-SOX関連 | | コメント (0) | トラックバック (0)

J-SOXの現場から(その2)

J-SOXのお仕事の現場でよくいただく質問に「この作業はどれだけやればいいのですか?」というのがあるというのが前回のお話でした。今回はこのご質問に対する私の意見を少し書いてみたいと思います。

どれだけやればいいのか?ということは、何か基準があって、その基準をクリアしているかどうかによって、判断が下せるということになるのではないかと思います。J-SOXの基準といえば、実施基準や監査に関する実務指針が公表されていますが、これを読んでみても必ずしもクリアすべき基準というのは明確になっていないのではないかと感じます。

私は、この「どれだけやればいいのか?」を決定するにあたって、リスクの評価と対応を決定しておくことがとても重要なのではないかと考えています。

つまり、会社にどれだけのリスク(J-SOXであれば財務諸表の虚偽表示が発生する可能性のこと)があり、それぞれの発生可能性がどれだけあって、発生した場合の影響がどれくらい大きいものなのかをきちんと整理しておくことだと思います。

リスクの発生可能性は低くても発生した場合の影響がとてつもなく大きいものもありますし、リスクの発生可能性が高くても発生した場合の影響が限定的である場合もあります。この場合、それぞれのリスクへの対応の仕方というのも当然変わってくるでしょう。

つまり、リスク評価の整理ができていると、それぞれのリスクにどのような対応をしていくのかを決定することができます。専門書等では、リスクへの対応の例示として、回避・移転・低減・受容等が挙げられているかと思います。ここで、低減の対応を取るべきものが、言い換えれば、内部統制を整備すべきものと考えてはどうでしょうか。

(文中の意見は筆者個人の意見であり、筆者が所属するあすかコンサルティング㈱の公式見解ではありませんので、ご了承ください。)

2008年3月 5日 (水) J-SOX関連 | | コメント (0) | トラックバック (0)

J-SOXの現場から(その1)

ブログのタイトルにもあるように、IFRSへのコンバージェンスと並んで、会計・監査の世界に大きな影響を与えるのではないかと考えているものに、J-SOX(内部統制評価・監査)があります。

最近、J-SOXに関連したアドバイザリー等のお仕事の機会をいただくのですが、その現場を通じて感じたことを書いてみたいと思います。

J-SOXのアドバイザリーで一番よくいただく質問は、「この作業はどのくらいやればいいのですか?」という質問です。この質問、実は非常にお答えするのが難しい質問です。なぜなら、会社がJ-SOXを通じて目指す内部統制の整備・評価のレベルによって、答えが変わるからです。

監査をクリアできればいいのだということであれば、お答は「監査法人さんに確認されるのが一番です。」ということになります。ですが、そういうレベルで我々にご質問いただくケースは少ないと感じます。

やはり、内部統制は会社の仕組みそのものであり、それ故にできるだけ十分な整備と評価が行いたいというご希望があると感じることが多いです。しかし、資源(時間、労力、金銭面など)は無尽蔵にあるわけではないため、コスト・ベネフィットを考慮しなければなりません。そのことが、「この作業はどのくらいやればいいのですか?」という質問につながっているように思います。

次回のブログでは、この「どれくらいやればいいのか?」に対する私見を述べてみたいと考えています。

2008年3月 5日 (水) J-SOX関連 | | コメント (0) | トラックバック (0)

その他のカテゴリー

IFRS関連 | J-SOX関連 | コラム