原幹公認会計士事務所

IFRSフォーラムに連載記事を書きました。

IFRSを会計×業務×ITで理解する（4）
期間比較が求められる「過年度遡及修正」の勘所

http://www.atmarkit.co.jp/im/fa/serial/ifrs_biz_it/04/01.html

前回は、内部統制導入にめぐる誤解(および方向性)として
「業務記述書に現状業務をそのまま記述するより、業務フローをまず表現してそこから改善機会を検討するのが効果的」
という内容をお伝えした。
今回は「業務において識別すべきリスク」にまつわる誤解についてお伝えしたい。

「なんでもかんでもリスク」の誤解

内部統制報告制度は
「財務報告リスクを合理的に低減させるための制度」
といわれている。具体的にはどのようなものを指すのだろうか？

典型的なところでは
「経理規程が整備されていないため正しい決算書を作る組織的ルールが存在しない」
(全社的な統制のケース)
「見積や予測をともなう特殊な会計処理について、合理的な判断基準によるためのルールが存在しない」
(決算・財務プロセス統制のケース)
「会計システムの保守運用が適切な手続にもとづいて行われない」
(IT全般統制のケース)
などがあげられよう。

では、このようなケースはいかがだろうか？
「商品を配送トラックが間違えた場所に送ってしまう」
「会社のオフィスに不審人物が入ってくる」
「決算作業中に本社で大地震が起きて業務が停止する」

上記は、筆者が内部統制構築支援に携わる過程で散見された「リスクを過剰に識別してしまった誤解」の実例である。これらは広い意味での業務リスクに該当するが、「財務報告」という目的との因果関係や、発生確率といった観点から考えると必ずしも「財務報告リスク」としてとらえなくてよいものといえる。

ちなみに、とある会社さんでは
「不審人物が入ってきて決算書データを盗むかもしれないからこれは財務報告リスクではないでしょうか」
と問われたことがあり、筆者は反応に困ってしまった・・・いろいろな考え方があるものだ。

上記は極端なケースだが、このような「リスク過剰」の考え方で文書化に取り組むと、後の作業が大変だ。なんでもとにかく仕事を進めるステップのひとつひとつでチェックを徹底したり、財務報告と関係ないリスクに対して不必要なコントロールを設計してしまったりと、デメリットばかり出てきてしまう。

費用対効果の面からも、リスクを過剰に識別してしまうとそれに対するコントロールも過剰にならざるをえず、結果としてコストに見合わない内部統制を構築してしまう罠に陥ってしまう。

内部統制報告制度が「業務効率の向上」を一つの目的としている趣旨にも逆らうものとなり、このような対応は好ましくない。

「決算書の数値」から逆引きで考え、全体感を押さえよう

では、「やりすぎず」「ほどほどに」かつ「適切に」リスクを識別するためにはどうすればよいか？

再度「財務報告リスク」という考え方に立ち返って考えてみたい。
最終的には「正しい決算書情報を作成できるかどうか」がポイントになるので、そこから逆引きで考えよう。

「決算書の数値が間違ったものになる」
↓
「特定の勘定科目の数値が間違ったものになる」
↓
「特定の勘定科目の数値を作るプロセスとリスクを特定する」

とたどることで、リスクの識別にあたっては
「特定の勘定科目の数字を作るうえで重大な影響があるかどうか」
というモノサシをもってあたることをすすめたい。

たとえば
「決算書の数値が間違ったものになる」
↓
「製品在庫の金額が実際の残高と大きく違うものになる」
↓
「在庫修正のプロセスで、(入力のチェックを行っていないため)
  入力データが間違ったものになる」(在庫データが間違うのは影響が重大)
といった具合。

リスクの数についても、ひとつひとつの業務プロセスすべてにリスクがあると考えるのではなく、そのプロセス全体を俯瞰して
「特定の勘定科目の数字を作るうえで重大な影響があるかどうか」
という観点でリスクを抽出する。

このように「全体感」を押さえてリスクを識別することで、コントロールの設計もポイントを押さえて進めることが可能になる。とかく細かにリスクを識別しがちな文書化の作業では、細かい部分に入り込みすぎず、重要なリスクに着目して作業するのがポイントとなる。

良くも悪くも
「ほどほどに手間をかけて」
内部統制を構築するように努めてみてはいかがだろう？

「まず業務記述書から書き始める」の誤解

前回は、内部統制導入にめぐる誤解として
・3点セットの文書化が強制されている(そんなことはない)
・とにかく文書化からはじめればよい(そんなことはない)
について書かせていただいた。

今回は「まず文書化すべき文書はどれなのか」に関した誤解、またはそれをきっかけとした内部統制構築の方向性についてお伝えしたい。

内部統制関連文書として代表的な3つの文書、すなわち
・業務フロー
・業務記述書
・リスクコントロールマトリクス(RCM)
があある。どれから作らなければいけない、というルールは特にないが、読者の皆さんはどの文書から着手しただろうか？

「内部統制導入以前にも、業務マニュアルなどの社内文書があるためこれらを流用すればいい。マニュアルも更新できて一石二鳥だ。」

そう考えて「業務記述書」の作成から着手していなかっただろうか？

「業務記述書」から着手することそれ自体は間違いではない。しかし、内部統制構築の作業全体からみると遠回りなアプローチである。

「業務記述書」を作るときには、とかく「業務の現状」についてそのまま表現する結果になりがちだ。特に既存文書を流用した場合はその記述に引きずられる。これは業務記述書が主に文章により表現されることや、現在行われている仕事の方法をまずは表現しなければならないという要請などによる、仕方ない一面といえる。

「業務記述書」から着手しはじめると、往々にして現状の業務を文書化してそれで終わってしまうケースに陥りがちだ。(または、文書化をがんばりすぎて息切れになる)

「内部統制の構築＝現状をそのまま文書化すること」で終わりだろうか？

しかも、内部統制には本来「業務の有効性・効率性」を高めるという大事な目的があったはず。一方では会社の「業務の現状」には、多くの課題や改善ポイントを抱えた状態で運用されている。せっかく会社の内部統制を構築する機会なのに、現状の業務をそのまま表現するだけでは少しもったいなくはないだろうか？

「業務フロー」から書き始める理由

ではどうすればよいか？

ここでは現状をそのまま表現するだけのアプローチから少し背伸びして、業務の改善ポイントを見つけるために
「現状の業務フローから書き始める」
「現状の業務フローにもとづいて業務の改善点を見つける」
「改善された業務フローにもとづいて業務記述書を作成する」
というアプローチをすすめたい。

内部統制の構築にあたっては、業務の一部は何らかの形で変更を迫られる。「業務記述書」についてもまた同様だ。せっかく書いた大量の文書をあとから全面的に手直ししないですむようにして「手戻り」を防ぎ、かつなるべく手間をかけないように進めるのが上記のアプローチである。

業務フローから書き始めることのメリットは大きく3つある。
「業務の全体像をイメージすることができる」
「業務の役割分担を再確認することができる」
「業務における課題識別の出発点に使える」

「業務フロー」は視覚的に表現されるので、業務の全体像をつかみやすいのが特徴である。これをもとに、現状の業務におけるボトルネックや改善ポイントを見つけ、より効率的な業務を実現する「改善された業務フロー」を作成してみよう。(専用ツールで表現することにこだわる必要はない。まず手描きで作成し、フローが完成したらツールで更新するのがよい)

「改善された業務フロー」にもとづいて「業務記述書」に着手すれば、いきなり「業務記述書」を作成してからあとで更新するより近道になる。

もっとも、せっかく表現された「改善された業務フロー」が実際に行われていないのではまったく意味がない。上記のアプローチは、いわゆるBPR(業務プロセス改革)とあわせて内部統制構築を進める方法なので、
「初年度に突貫工事で文書化をすすめてしまったが品質面で疑問が・・」
と考えられる読者の方は、上記のアプローチをもとに再度自社の業務フローを見直し、定着させるきっかけにしてみてはいかがだろうか。

内部統制構築を
「やらされているだけの面倒な作業」
ではなく
「業務を改善する絶好の機会」
と位置づけてみると、味気ない日々の作業も少し違った見え方になろうかと。

文書化における誤解はまだまだある。次回は「業務において識別すべきリスク」にまつわる誤解についてお伝えしたい。（つづく）

制度導入当初の大きな誤解に、いわゆる3点セット(業務フロー・業務記述書・リスクコントロールマトリクス(RCM)にまつわるものがあった。特に多かったのが
「内部統制制度では3点セットの文書化が強制されているので、とにかく今の業務を文書することからスタートしよう」
という誤解だ。

まず「文書化が強制されている」について半分は当たっているが、必ずしも正確な理解ではない。「内部統制基準」にはこのように書かれている。

「経営者は、財務報告に係る内部統制の有効性の評価手続及びその評価結果、並びに発見した不備及びその是正措置に関して、記録し保存しなければならない」

また「内部統制実施基準」には次のように書かれている。

「把握された業務プロセスの概要については、必要に応じ図や表を活用して整理・記録するのが有用である。」
「内部統制に係る記録の範囲、形式及び方法は一律に規定できないが、たとえば、以下のような事項を～（中略)」
「財務報告に係る内部統制について作成した記録の保存の範囲・方法・期間は、諸法令との関係を考慮して、企業において適切に判断されることとなるが、～（中略)」

「3点セットの文書化が強制されている」とは書いてないことにお気づきだろうか。重要なのは「内部統制の有効性の評価に関する記録と保存」であって、3点セットという形式面にこだわるものではないのである。

さらにはこんなことまで書いてある。

「図や表の例としては、参考２(業務の流れ図、業務記述書)が挙げられる。ただし、これは、必要に応じて作成するとした場合の参考として掲載したものであり、また、企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに補足を行っていくことで足り、必ずしもこの様式による必要はないことに留意する。」

記録と保存の方式については企業の置かれた状況に応じて柔軟に判断することができるのみならず、既存文書を流用することも制度では認められている。
(少し補足しておくと、監査の実務サイドからは業務の文書化は実質的に避けられないという事情がある。監査する側にとっては、監査対象となる内部統制が文書になっていないと監査のしようがないということ)

次に
「とにかく今の業務を文書化することからスタートしよう」
という誤解がある。

再度「内部統制実施基準」に立ち戻ると、内部統制の評価プロセスは以下の3つから構成されている。

1)全社的な内部統制の評価
2)業務プロセスに係る内部統制の評価
3)内部統制の有効性の判断

2) については、さらに
決算・財務報告に係る業務プロセスの評価（以下、決算財務報告プロセスの評価と記述）
決算・財務報告以外の業務プロセスの評価（以下、その他プロセスの評価と記述）
に分かれる。

1)では、いわゆる会社全体として整備する内部統制を評価する。これは規程の整備や統制に関連する企業風土などが評価対象となる。

2)では、個々の業務プロセスの有効性を評価する。購買や販売など、業務プロセスごとに個別に評価を行う。

注意したいのは、【1)の結果によって2)の評価範囲が変わること】(より厳密には2)の「その他プロセスの評価範囲が変わること)だ。全社的な内部統制の整備・運用が適切であれば、業務プロセスの評価範囲を合理的な範囲で限定できるのだ。

これは「会社として統制する環境がしっかり整備されていれば、  個々のプロセスについて必ずしも細かくチェックすることは求めない」という趣旨による。つまり、1)の結果によっては「評価しなくてもよい範囲が出てくる」ことになるので、いきなり内部統制の文書化に着手してしまうと【評価しない業務についても文書化してしまう】ことにより無駄な作業をしてしまうリスクがあるといえる。

「とにかく今の業務を文書化することからスタート」することはたいてい「その他プロセスの評価」にあたると思われるが、「とにかく文書化」する前に「全社的統制の評価」に注意されたい。「全社的統制の評価」の結果いかんで、その先の作業量は大きく影響を受けるので、まずはこの作業をしっかり終わらせる必要がある。

文書化における誤解はこれらにとどまらない。まず文書化すべき文書はどれなのか、という点でもさまざまな誤解が生まれているのが実態だ。（つづく）

内部統制といえば文書化、と脊髄反射で言う人が多い時期があった。

内部統制対応の本番を迎えるにあたりいろいろなところで尋ねられる。
「内部統制でほんとに文書化って必要だったんでしょうかねえ」
私の答えは今のところこうだ。
「実務上は文書を作ることは避けられない。でもそれを目的にしてはダメ」

確かに内部統制監査を行ううえでは文書化は実質的に避けて通れないし、内部統制の評価及び監査に関する実施基準でも文書のひな形が提示されている。いわゆる三点セット(業務フロー・業務記述書・リスクコントロールマトリクス)のことだ。となると、文書化さえすれば内部統制対応はOK、ということになるの？という素朴な疑問が沸く。

基本に立ち戻ろう。
内部統制報告制度とは、ものすごく誤解を恐れずにかいつまんでいえば
「間違った内容の決算書を公表することを避ける」
(↑これは従来からあった)
に加えて
「間違った内容の決算書を作る原因となることを取り除く」
(↑これはなかった)
というものだ。つまり「間違った内容の決算書を作ってしまう原因」が企業における仕事の仕組み＝業務プロセスにあるならば、それが正しく機能するように整備しましょう。というのが制度の趣旨。

説明責任(アカウンタビリティ)という言葉がある。硬い話になるが、株主から受託した財産をもとに利益を最大化し、再度株主に還元する責任を負った経営者に課せられた責任だ。今までは決算書という''「結果」''に対して持たされていた説明責任が、これからは業務プロセスという''「過程」''に対しても負わされることになる。

ならば、決算書を作るための仕組みが正しく機能することを「説明できる」ことが重要であって、そのための手段は各社各様に決めればよい、ということになる。文書で説明してもよいし必ずしも文書でなくとも説明可能な状況があればよいということだ。(ただし実務上は文書が必要になるので注意しましょう)

おそらくは内部統制の評価及び監査に関する実施基準でもそのあたりの方法論の混乱がみられないよう、内部統制評価の評価や監査の進め方をなるべく詳細に規定したものと想像できるが、実際にはこれがかなり裏目に出て多くの会社が「実施基準のとおりに文書化に注力すべき」と誤解してしまった。(文書化を顧客に提案することで収益獲得につながるコンサルティング会社やツールベンダーの後押しも、こうした風潮を助長している)

こういった制度の本質を見誤って厳格に文書ばかり整備することに注力してしまうと、必要でない作業をいたずらに増やす原因にもなる。このあたりの誤解が制度導入当初からあり、文書化偏重の傾向を生むという構図になっていったようだ。（つづく)

金融商品取引法にもとづく内部統制報告制度(いわゆるJ-SOX法)がまもなくこの3月期に大半の上場企業で適用初年度を迎える。

それにしても、この本番を迎えるまでにどの会社さんでも多くの苦労と混乱に直面したようだ。本番直前になってようやくブームは沈静化し、粛々とやるべきことをやる風潮が定着しつつある。約1～2年前からのJ-SOXブームはある種の狂想曲の感があった。内部統制コンサルティングや実務担当者向け講座の仕事を長くこなしてきた筆者の目には、あの当時は何かに踊らされている妙な浮遊感があった。

で、この一年の間に筆者の耳に入ってきた関係者のせりふはこんな感じ。
「コンサルタント会社に法外な値段をふっかけられた。やむなく高額な報酬を支払った」
「監査法人のいうことがまちまち。法人内の見解も一枚岩になってない」
「文書化を一生懸命やってようやく終わったと思ったら実は評価のほうが時間がかかった」
「こんな大変な作業はこりごりなので、うちの会社はもう上場廃止でよいです」
最後の一文はフィクションだが、この制度の導入にともなう混乱を象徴する言が多い。

一方で金融庁も「内部統制報告制度に関するQ&A」や「内部統制報告制度に関する11の誤解」を公表することでこのような混乱を収束する動きを見せたが、いかんせんその発表するタイミングは導入初年度の開始直前。やや遅きに失した感がある。何人もの実務担当者の方から「そういう大事なことは先に言え」といった台詞を聞いた。そりゃそうだ。大事なことは先に言ってほしかった。

本コラムでは、内部統制報告制度の本番を迎えるにあたり、これまで見られた混乱を振り返りつつ今いちど内部統制基準や実施基準の趣旨に立ち戻ること、すなわち基本に立ち返ることを試みたい。

あ。なにそのえらそうな態度は？なにその上から目線？というみなさまの声が。失礼しました。半分は実務従事者としての反省や自戒もこめて振り返りたいと思います。(ここだけ丁寧語)