財務報告に係る内部統制の経営者による評価(この名称は長いので、適当な名前が生まれないかなと思っているが・・・JSOXというのは誤解を招くので。)において、統制手続の整備なり経営者の評価をどこまでやれば十分なのかが不明確という批判や、その基準を明らかにせよとの意見がある。
実務に就く方の意見として分からないでもないが、もともと内部統制をどこまで整備するかという話はリスクを何処まで受容するかということと裏腹であり、そもそもリスクの認識が経営者により様々であって定型的な考え方はないことから、一般化して議論することは難しいというのが答えだろう。
細かいことを言えば、制度が求めているのは内部統制が「有効」かどうかであって「十分」かどうかは問うてはいないことも付言したい。
したがって、「どこまでやるか」を極論すれば、株主と経営者とがリスクの認識と影響についてのコンセンサスを得たうえで、経営者と従業員とがコンセンサスに基づくリスク対応策を実施改善していく過程で決まっていく。企業の戦略行動が各種各様であるため、一律な基準で整備すれば十分ということは決して言えない。有効な内部統制に求められているのは、想定されたリスクが受容できる水準まで下げられているかどうかという合理性であって絶対的な保証ではない。
問題となるのは、市場と経営者と監査人との間でリスク認識が異なる場合である。特に経営者と監査人との間では「十分な協議」を行なうことになっており、監査人と経営者評価を実施する内部監査部門や監査役とが、監査前にきちんとリスクを詰めておく必要があるだろう。
典型的に考えられるのが、監査人が「御社の決算業務においてはこういったリスクがありますよ。なぜなら、過去にこういったエラーが発生している原因がここにあるからです。」といったときに、企業側が「それはリスクではありません。」と応対するという状況である。少なくともリスクを「発生の可能性」と「発生の影響」とに分けて他のリスクとともに相対的に定量評価するという考え方にコンセンサスは欲しい。こういう状況が発生した際の取扱については、確かに実務の指針が必要なのかもしれない。
残念ながら会社のリスク情報については、有価証券報告書の開示にもばらつきがあり、
また財務報告にかかるリスクについてはあまり開示されていないことから、相変わらず市場と経営者と監査人との間の溝は埋まらない。
本来は内部統制の評価制度や監査制度の前に、リスクに対する情報の非対称性の問題が放置されていることに先に手をつけるべきではないかと思えるのだが。
Tags: 十分な統制