監査のいろは「内部統制監査」

上場会社において、内部統制監査制度が導入をされてからそろそろ10年を超えています。内部統制監査ってどのような制度なのでしょうか。もともとは、エンロン事件を発端にして米国において、サーベンスさんとオックスリーさんが考えた法律で、会社内部で粉飾などを防止を防止するための内部統制を整えて、それを評価することを制度化しているものがサーベンスオックスリー法=SOX法であり、これの日本バージョンがJ-SOXと言われるものであり、J-SOX=内部統制監査というイメージになります。

内部統制監査制度が導入された頃には、比較的多くの開示すべき重要な不備が発生していたように思われますが、最近は、財務諸表監査での不備に引きずられての不備が多いように思われます。補完統制があるのかどうか、発生したエラーが例外的なものであるかどうかなどにより、重要な不備としないで済むのであればなるべく重要な不備としないモチベーションが働き易いようにも思われますが、適切に開示する必要があるものについては、適切に開示を行うということが必要になりますよね。

内部統制監査においては、いわゆる3点セットの作成が求められます。3点セットは、業務記述書、フローチャート、リスクコントロール間トリックスになります。フローチャートはざっくり内容を把握するのに資するものであり、業務記述書は、業務のフローについてを詳細に記載した文書になります。リスクコントロールマトリックスは先の2つの中間くらいで、キーコントロールを中心にリスクと対応するコントロールをマトリックス化した表になり、基本的にはExcelで作成されていることが多いようです。

今後は、新規上場会社などにおいて以外は、新たにこの3点セットを作成するという業務はないと思われますが、内部統制監査制度の導入初年度においては、すべての上場会社が一斉に3点セットを作成しましたので、会計士の負担も膨大でした。内部統制監査制度導入初年度に上場会社の場合には、既にきちんとした内部統制が暗黙知として存在していることが多く、これを明示するという流れで内部統制監査制度に対応するための形式的な資料を作成していたケースが多いと思われます。これに対し、上場準備会社で内部統制監査制度に対応する場合には、そもそも実質的な内部統制が存在していないことも多く、内部統制の実質と形式を同時に構築していくことが必要となるケースが多くなっていると思われます。内部統制のコンサルティングについては、内部統制監査の経験や他社での内部統制監査用の資料を作成した経験を持つ会計士に依頼をすると、教科書的なコンサルティングではなく、かゆいところに手が届いたコンサルティングを受けることができるように思います。

内部統制の一番のキーポイントはダブルチェックですよねー。そして、あくまで従業員相互の内部けん制が前提とされているので経営者不正には機能しない可能性が高いのですが、経営者不正の一番の発覚は内部通報だと思いますので、この部分の内部統制は、経営者不正に対し機能していると言えますね。会計士による会計監査より内部通報が強力だと思いますので、間接的には内部統制監査が重要な機能を果たしていると言えるのかもしれません。