会計・ファイナンス・監査2020.07.01 不正会計について考える（９）【内部統制評価の見直し①】

不正会計について考える（８）では、不幸にして不正会計が起きてしまった場合は、できるだけ早期に発見することが重要である一方、それが困難なものでもあるというお話をしました。なぜなら、不正会計は内部統制の弱点がつかれているものが多く、会社がその弱点を認識・修正できていないことに起因している場合が多いためであるからです。

上場会社に適用される内部統制報告制度は、不正会計等の不適正なディスクロージャーが相次いで発生したことを契機として、ディスクロージャーの信頼性を確保するための内部統制が有効に機能し、より充実したものとなるように導入された制度です。

しかし、前述の通り、内部統制報告制度が導入されて以降も、不正会計等の事案は相次いで発生しており、2016年には、会計監査の在り方に関する懇談会から、「内部統制報告制度の運用状況については必要な検証を行い、制度運用の実効性確保を図っていくべき」との提言がなされています。

あらためて、不正会計に対して内部統制が機能していない状況として、どのような状況が想定されるのかを考えてみましょう。

① 内部統制を無効化する場合

一般に「経営者による内部統制の無効化」と呼ばれるケースだけでなく、組織内において、上司の立場を悪用して部下に統制を実施させないケースも念頭に置いておく必要があります。

② 内部統制を迂回（回避）する場合

経費の承認などで1回あたりの経費を承認限度額以下になるように何回かに分けることによって、承認プロセスを回避するケースが該当します。

③ 内部統制が整備されていても、適切に運用されていない場合

例えば、会社のITシステムにログインするためのパスワードを定期的に変更するようシステム管理規程等でルールとして定めているが、パスワードが変更されていない状況が放置されているようなケースが該当します。

重要な不正リスクに対応するような内部統制ではバックアップ統制（このケースでは、一定期間を経過したパスワードは強制的に無効にするような仕組み）を検討する必要があります。

④ 内部統制が整備されていないことに気付いていない場合

上場会社における内部統制報告制度が導入されたのは2008年であり、既に10年以上が経過しています。皆さんの会社において、評価すべき内部統制の内容は適切に見直されているでしょうか。

当初は、十分な内部統制が用意されていても、事業や業務体制が変化する中で、内部統制に穴が開いているケースが考えられます。

このような状況を踏まえ、日本公認会計士協会では、2018年4月に「内部統制報告制度の運用の実効性の確保について」（監査監査・保証実務委員会研究報告第 32 号）を公表していますが、その中で、内部統制の有効性の判断について、以下のようなコメントがなされています。

・内部統制が整備された通りに運用されていないという不備・逸脱を発見することは比較的容易である。

・一方で、内部統制の整備状況（の十分性）を評価すること、すなわち整備状況の不備を発見・是正することは、経営環境・事業上のリスク等に対する十分な理解がなければ難しい。

・（日本の）内部統制報告制度においては、いわゆるダイレクト・レポーティング（※）の制度が採用されておらず、監査人が経営者による内部統制の評価を尊重しすぎている（批判的な検討が足りない）ことが懸念される。

（※）アメリカの内部統制報告制度で導入されている内部統制の有効性の評価を経営者が明示せず、監査人など外部第三者が直接有効性を評価する手法のこと。時間とコストが膨れ上がるなどの批判があり、日本の制度では採用が見送られた。

・その結果、経営者が行った内部統制評価に対して監査を実施しても、業務プロセスに係る内部統制の運用の逸脱しか識別できていない可能性がある。

（注）内部統制の運用状況の逸脱を発見することに意味がないという趣旨ではなく、それだけで内部統制の有効性の判断ができるかどうかという問題提起であると考えます。

内部統制報告制度をより機能させるためには、内部統制の整備状況の十分性（不備）について、より深い検討がなされる必要があると結論付けられています。次回は、より具体的にどのような場面で、見直しの機会が考えられるのか述べてみたいと思います。

【参考資料】

「内部統制報告制度の運用の実効性の確保について」

（監査・保証委員会研究報告第32号　2018年4月6日　日本公認会計士協会）

あすかコンサルティング株式会社

【会計コンサルティング担当】津田　佳典

プロフィールはこちらをご覧下さいませ！