PR

前回まで、2002年に米国で始まった内部統制監査の経緯と最近の状況を通して、内部統制監査制度の実情を見てきました。何かと話題は多いものの実態の見えにくい内部統制監査について、はっきりとしたイメージを持っていただけたでしょうか。今回は、企業の財務諸表を対象とする従来の監査、すなわち「財務諸表監査」と内部統制監査との関係や違いについて考えてみたいと思います。

 財務諸表監査とは、有価証券報告書のような企業の決算書の適正性を外部保証、すなわち、投資家などの外部利害関係者に対して保証するものです。大企業の監査を想像していただけば分かるように、今日の財務諸表監査では、食肉牛の全頭検査のように、監査対象事業年度に発生した会計取引を全件チェックするようなことはしません(できないと言った方が正しい表現かもしれません)。


図1サンプリングの前提としての内部統制
[画像のクリックで拡大表示]

 会計取引の一部をサンプルとして抜き出し(これをサンプリングと言います)、そのサンプルを検証することで、年間の会計取引全体の妥当性を判断する、というアプローチが採られます。このサンプリングによる監査を可能とする前提となるのが、この連載のテーマである内部統制です(図1)。

 監査をサンプリングで済ませるためには、まず企業の設置した内部統制が有効に機能していることを事前に検証する必要があります。「有効に機能している」とは、抑制すべきリスクに対応して内部統制が設置され、当初の設置意図の通りに運用され、実際にリスクを軽減していると認められることを指します(図2)。


図2内部統制の有効性評価
[画像のクリックで拡大表示]

 内部統制が有効に機能すれば、意図的な不正や単純な処理誤りの発生の可能性は極めて限定されたものとなり、たとえ発生しても速やかに発見されることが期待できます。問題視されるような重大な事態が発生するとは想定しにくい、そういう状態が、有効な内部統制によってリスクが軽減された状態です。したがって、サンプリングを前提に財務諸表監査が実施される際には、監査の手続きのなかで、内部統制の有効性に関する評価が行われているわけです。

「内部統制を監査する」という疑問

 では、財務諸表監査によって内部統制がちゃんと検証されているのに、今になってなぜ米国SOX法や日本版SOX法で内部統制の監査が要求されるようになったのでしょうか。この疑問は、監査の基本にかかわるものです。

 先にお話したように、財務諸表監査は、財務諸表の適正性を外部に保証するものです。この「保証」という行為には、保証する対象が特定されていることが必要とされます。漠然と「この部署の業務手続きの状況は適切である」というだけでは、保証は成立しません。

 具体例を挙げましょう。


図3摘発型検査の代表例
[画像のクリックで拡大表示]

 不正の発見や摘発を目的とする活動は、会計検査院による行政機関などへの検査に代表されるように、世の中に数多く存在します。その活動結果は、毎年「政府による無駄使いの実態」といったセンセーショナルな見出しで新聞紙上をにぎわせます。

 しかし、この会計検査院の検査結果は、不適切な予算執行がどれだけ摘発されたかということであって、これにより政府機関などの予算執行状況が適正な状況であることを担保・保証するものではありません(図3)。会計検査院の存在目的は、予算執行に対する強力な内部牽制機能を発揮することにあるのです。

「保証ではない監査」

 保証が成り立つためには、保証してほしい内容を当事者が特定することが必要です。そして、特定された内容を第三者が検証し、その検証結果を保証という形で公表することになります。これが監査における保証の原理です。

 監査が保証であるためには、監査の対象が必要だということがお分かりいただけたかと思います。そうやって考えると、企業内で今まで行われていた監査と呼ばれるものの中に、“保証ではない監査”というものがあったことが分かります。内部監査、システム監査などがその代表例です。

内部統制の有効性と財務諸表監査の監査結果

 財務諸表監査において、監査の対象は財務諸表であり、内部統制ではありません。内部統制の評価は、サンプリングによる監査を成立させるための手続きに過ぎないのです。

 言い換えると、財務諸表監査で「問題なし」という、ちゃんとした監査結果が出ていても、その企業の内部統制が果たして十分な水準にあるかどうかは分からない、ということです。なぜなら、仮に内部統制の一部が不十分でも、その不十分な状況に合わせて監査手続きをより厳重に、具体的にはサンプリングの抽出件数を拡大する、といったことを行えば、監査人は、そこで得られた資料や証拠を根拠として、監査結果を確定することができるからです。

 事実、米国では、SOX法に基づく内部統制の重大な不備や欠陥が数百件、内部統制報告書で報告されています。もちろんそのような報告があったからといって、決算におかしな点があるわけではありません。そのことは、先の話でお分かりいただけたものと思います。決して誤解のないようにしてください。

 内部統制が不十分とされることは、将来において決算に誤りが発生する可能性(リスク)がある、という風に考えていただいても結構です。

 内部統制の実態を外部公表すること。内部統制監査の目的の1つが、まさにこれです。

 「内部統制が脆弱で、財務諸表に関する虚偽記載のリスクは十分に大きい」ということが内部統制監査によって外部に公表されれば、投資家に十分な警告を与えることができるわけです。これは可能性(リスク)に関する警告です。


内部統制報告書


図4監査の保証対象
[画像のクリックで拡大表示]

 内部統制に対して監査を実施するとなると、監査の対象が設定されることが必要となります。次に、その対象とは何かを見ていきます (図4)。

 財務諸表監査において、監査の対象は財務諸表です。財務諸表は経営者が作成します。この関係を、内部統制監査に置き換えるとこうなります。「内部統制監査の対象は、内部統制報告書であり、内部統制報告書は経営者が作成する」。


 内部統制報告書は、経営者が実施した内部統制の有効性評価に関する報告書です。先ほどお話した“内部統制の欠陥”はここに記載されます。この点は日本においても同様のようです(基準案のIII.財務報告に係る内部統制の監査 4.監査人の報告 (3)内部統制監査報告書の記載事項の第2パラグラフ)。

 ここで重要な点は、内部統制の構築と評価の第一義的な責任は、経営者にあるということです。経営者と言うとやや違和感をお持ちになるかもしれません。昔なら企業が責任を負うというのが一般的だったのでしょうが、SOX法では一歩踏み込んで、最高責任者である経営者が責任を負うということになっています。

 先日、米エンロンの元CEO(最高経営責任者)に対しては最長で45年、元CFO(最高財務責任者)に対しては最長で100年超に及ぶ禁固刑の評決が下されたことに見られるように、経営者(米国SOX法ではCEO、CFOともに経営者とされます)の責任という重い現実が企業サイドにのしかかってくる。これも内部統制監査制度の特徴です。決算書の単純な記載誤りで、経営者は法的な処罰を受けることになります。

内部統制報告書の適正性

 この内部統制報告書が経営者によって適切に作成されているかどうかの監査が、内部統制監査です。内部統制監査の監査意見は、基準案(III.財務報告に係る内部統制の監査 4.監査人の報告 (4)意見に関する除外)によると、「経営者が決定した評価範囲、評価手続、及び評価結果」に対して行われることになっています。


図5内部統制監査における適正性
[画像のクリックで拡大表示]

 したがって、経営者による内部統制報告書の適正性は、経営者が決定した(1)評価範囲、(2)評価手続、(3)評価結果の3点に関する適正性ということになります(図5)。内部統制報告書に関してこのような外部検証が加えられることで、経営者による内部統制評価の妥当性が保証されることを内部統制監査制度は想定しています。

今回は、監査という皆さんになじみのない領域から内部統制監査を考えてみました。少しでもご理解が進めば幸いです。次回は、もっと今日的なテーマである「内部統制とIT統制」に関してお話したいと思います。

次回へ

深見 浩一郎(ふかみ こういちろう)
深見公認会計士事務所/コンサルティング・ネットワークITAS代表。大手都市銀行を経て,国内大手監査法人マネジメントコンサルティング室長,外資系コンサルティング会社ERP担当マネージング・ダイレクター等を経て,現職。一昨年から公認会計士,システム監査技術者,システム・コンサルタントによるネットワークITASを創設。内部統制構築,IT統制整備に関するコンサルティング・サービス,メソドロジーの教育研修を展開。