見出し画像

IPO準備/上場会社でひと工夫 Part.04 - 監査役と内部監査は " 用心棒 " -

 IPO準備会社と上場会社。それぞれ立場は違いますが、意外にもその悩みどころや解決策に共通点があります。ここではその " ひと工夫 " をご紹介します。
今回は、「監査役と内部監査の役割」のひと工夫です。



不正行為に起因するリスク管理が困難なワケ

 2023年のJ-SOX改訂(参照:金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」)(以下「2023J-SOX改訂版といいます)で、「リスク管理」は重要課題として挙げられたことは、前回の記事「IPO準備/上場会社でひと工夫 Part.03 - J-SOXはリスク・コントロールがカギ -」でご紹介したとおりですが、その中でも「経営者及び経営者以外の内部統制における業務プロセスに責任を有する者が、内部統制を無視又は無効ならしめることもある点を考慮したリスクへの対応」例えば不正な業務処理、不正な経理処理などの不正行為に対する対応は、とても難しいです。どのような点で対応が難しいのかを考えてみます。

【不正行為に対するリスク管理上の対応が難しい理由】

  • 意図的であること

  • 起因するのは「私利」だけではないこと

  • 関係する者は社内だけではなく社外にもいる可能性があること  など

 ちなみに会計・監査の用語としての「不正(行為)」は次のように説明されています。

不正・誤謬(ごびゅう)  財務諸表の虚偽の表示は、不正又は誤謬から生ずる。不正と誤謬は、財務諸表の虚偽の表示の原因となる行為が、意図的であるか意図的でないかで区別する。誤謬とは、財務諸表の意図的でない虚偽の表示であって、金額又は開示の脱漏を含む。不正とは、財務諸表の意図的な虚偽の表示であって、不当又は違法な利益を得るために他者を欺く行為を含み、経営者、取締役等、監査役等、従業員又は第三者による意図的な行為をいう。

(参照先:日本公認会計士協会サイト「会計・監査用語かんたん解説集」より)

 不正行為は意図的な行為です。意図的な行為は公然と行われることはありませんので、見つかりにくい/見つけにくい状態にするためにいろいろな方法を用いて隠れて(隠されて)行われます。そのため、これを検出・発見することは、とても難しいです。また、不正行為を調査するにも、これを秘密裡に調査するとなれば入手可能な証拠資料の収集は難しく、その量も僅少となり、困難を極めます。特に、監査上普段から入手している証憑(例:内部監査の定期実施、内部統制評価で毎年入手している証憑)であれば比較的容易かもしれませんが、その入手時期がイレギュラーであったときは担当部門から不審に思われるかもしれません。

 また、不正行為の要因は「個人的な私利私欲」だけではありません。会社が「財務諸表を良く見せよう」とか「売上高のマイナス分を補填しよう」などを考えたために、業務上の指示で関係部門・関係者が不正行為を行なってしまうことも考えられます。個人的な私利私欲でなくても、発覚すれば結果的に会社自体に大きな影響があることには間違いありません。ただ、この個人的な私利私欲ではない要因で不正行為が行われたときのリスク管理上の対応は、とても難しいです。その理由は、

  1. 部署部門等組織的に行われているケースが多いこと(単独ではないこと)

  2. (1の場合)不正行為を行なっている本人は、そもそも不正である認識が無い可能性が多いこと

  3. 不正行為を行なっている本人が「会社のためにやっていること」と勘違いしていること

 調査する側として、このような理由を把握したうえで調査するのは、かなり神経を擦り減らし、重圧とストレスを感じることでしょう。

 もうひとつ、その不正行為に関係する者が社内だけではなく社外にもいる可能性がある場合は、その調査を秘密裡に行うことは不可能に近いです。そのうえその不正行為の主犯格が誰であるかによって最終的な監査結果・調査結果が大きく変わります。その不正行為が違法/不法であればなおさらです。


 上記のとおり、不正行為に対するリスク管理上の対応は、とても難しいです。その不正行為が明るみに出たときの対応も難しいですし、明るみに出ていない不正行為を検出すること、また未知、未遂で不正行為になりうる行為までもリスク管理の守備範囲にしようとするとなれば、その業務量は多くなり、業務品質のレベルはかなり高いものが要求されます。そこで、やはりその重い要求(=不正行為に対するリスク管理上の対応)を引き受けるのは、監査役と内部監査になるでしょう。リスク管理の中で、不正行為に関するものは、自然災害等が起因するBCPやサイバーアタック等のサイバーリスク、その他意図的・意図的でないリスクとは種類が違います。悪質さの点でも明らかです。そのため、防止/抑止する点では役員・従業員等の皆さんの協力で効果はありますが、いざ発生すると職務分掌のうえでも調査する権限がありませんので対応は困難です。その点でも、監査役と内部監査がこれに対応することが望まれるのです。

 それでは、監査役と内部監査は、どのように不正行為に対するリスク管理上の対応を行えば良いのでしょうか。



【監査役・内部監査のひと工夫・1】監査はこまめに/数多く

 まずは防止/抑止の点から見ていきます。
 監査役と内部監査の皆さんは、普段実施している定例監査、テーマ監査はどのような内容で、どの程度の深掘りをし、どのくらいの頻度で行なっているでしょうか。これは、監査を数多く実施することをお勧めするものではありません。さきほどご紹介しましたように、不正行為を未然に防止/抑止する手段として、各種の証憑をあらゆる部門・部署から収集している姿、つまりモニタリングを行っている姿を全社に見せるためです。また、監査の過程で不正行為を検出したり、不正行為が監査以外のところで発覚してしまった際にはあらゆる社内資料を入手しなければありません。もしこの不正行為の調査を秘密裡に行おうとしたとき、普段入手しないような資料をヘンなタイミングで入手しようとしたら必ず怪しまれます。そのようなことが無いように、また不正行為を未然に防止/抑止する手段としても、普段から監査をこまめに、できる限り数多く実施し、各種の証憑を入手するようにしましょう。

 時代劇を見ると、用心棒が登場します。この用心棒は大店(おおだな)の主人等に雇われてボディーガードとして雇い主の身の安全を守ります。監査役、内部監査はこの用心棒として会社の身の安全を守るため、用心が必要な場所を見張ったり、いざ会社の身の危険が発生したときは自ら進んでその危険に立ち向かいます。危険に立ち向かうためには、武具で身を固め、武器を持ちます。監査役と内部監査が持つ武具と武器は、この証憑です。これ無くして危険(リスク)に立ち向かうことは不可能です。だからこそ、普段から証憑を入手してその内容を把握し、会社にどのようなリスクが存在しまたは存在しうるかを予測する。いざそのリスクが不正行為となって検出・発覚したときは、その不正行為を調査し、全容を解明して再発防止策を講じる役割を持っているのです。これは監査役と内部監査にしかできない役割なのです。



【監査役・内部監査のひと工夫・2】監査に前例・思い込みは不要

 次に監査、調査の点を見ていきます。
 監査役と内部監査の皆さんは、監査や不正行為等の調査を幾度か実施していると、不適合、不備、不正行為等の内容と原因、その傾向など、ある程度分類できるくらいの経験を積むことになるかと思います。そうなれば、不適合、不備、不正行為等を未然に防止/抑止することができ、発生は減少するはずです。しかし日本取引所の適時開示情報閲覧サービス(TDNET)をご覧ください。それら不正行為等は発生し続けています。これはなぜでしょう。

 例えば、監査役と内部監査の皆さんは、次のようなことを考えていませんか?

  • 当社の業務フローは複雑では無いので、不正行為が可能な状態ではない。

  • 当社の与信管理と取引先調査は、某調査会社の信用調査を実施するなど比較的厳しく行なっているので、不正行為を持ちかける、又は働きかけるような会社と取引することはない。

  • 当社の業績は年々順調に向上している。得意先・取引先が増え、これに比例して事業部門では接待・交際費が増えている傾向にあるが、これからも業績を順調に伸ばすためには仕方ないと考えている。   など


 もし皆さんの会社で上の太文字部分ような状況がある場合は、その思い込みは不要です。また、監査役の皆さんはいくつかの会社を掛け持ちしていると、不正行為等の傾向を覚えてくるでしょう。もちろん内部監査の皆さんも同様に、監査の回数を重ねれば不正行為等の傾向を覚えてくるものです。しかし、そのような前例(いままではこんな感じだった等)も不要です。その理由は、そのような前例と思い込みが不正行為等を検出することを阻んでいるからです。

 監査役と内部監査が不正行為を検出できなかったケースを見てみますと、次のような理由があるようです。

  • 数年に渡って不正行為が行われていたケース(思い込みのケース)
    内部統制評価監査で、RCMで必要としている証憑をすべて入手したが、個々の証憑の内容について詳細に調べることをしなかった。

  • 過去数年前に行われた不正行為がのちになって発覚したケース(前例のケース)
    損益計算書(PL)上である年に特定の勘定科目の金額が突出して変動していたが、これまで内部統制評価監査の評価範囲に設定していなかったので今回も評価を行わず、例年その特定の勘定科目を範囲に入れていないことから重要視していなかった。内部監査の業務監査も実施しなかった。

 監査役と内部監査では、長年培った経験を踏まえた勘と実績は大いに役立ちますし、必ず必要です。しかしその勘と実績が悪しき前例や思い込みに変化してしまうことは避けましょう。

 ここで再度、用心棒の登場です。
 用心棒は雇い主の身の安全を守りますが、どのような危険が襲ってくるかは分かりません。そのため、毎日鍛錬して剣の腕を上げるでしょう。また、襲ってくる危険人物がどのような人物なのかを探ってくることもあるでしょう。監査役と内部監査もこの用心棒のように、「勘と実績」が「前例と思い込み」に変化しないように鍛錬し続け、どのような危険(リスク)が会社を襲うのかを探るため(情報を得るため)に社内外に情報網を張ったり、能動的に情報を得る行動を起こすことが必要になります。これも監査役と内部監査にしかできない役割なのです。



他社をマネせず「The 我が社の監査」を作りましょう

 J-SOX2023年の改訂では監査役と内部監査に次のような役割を設定しています。

監査役等は、その役割・責務を実効的に果たすために、内部監査人や監査人等と連携し、能動的に情報を入手することが重要である。

また、内部監査人は、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすることが求められる。

(いずれも出典は「財務報告に係る内部統制の評価及び監査の実施基準」の「4.内部統制に関係を有する者の役割と責任」項)

 

 監査役の役割は以前の記事「監査役/監査等委員の在り方 Part.01 - 観点・知識と実務経験 -」、また内部監査の役割は「内部監査の在り方 Part. 02 - 三様監査での内部監査の役割 -」でご紹介しているとおり、今回のJ-SOX2023年改訂で様変わりしました。ただし、J-SOXの監査基準・実施基準それぞれに、その具体的な業務内容や監査の方法が明記されているわけではありません。実際にどのような役割を果たし、具体的な行動をするかは、監査役と内部監査の皆さんの考え次第です。


 監査役は「能動的に情報を入手する」ことが求められています。内部監査は熟達した専門能力を身につける鍛錬をし、定例監査・テーマ監査を行うことを求められています。これらを十分に時間をかけて検討し構築することで、他社には無い、皆さんの会社独特の監査方法等が編み出されるでしょう。それが「The 我が社の監査」です。

 財務状況、規模等が同一の会社はあり得ませんので、もちろんですが監査の体制や監査実施内容が同一になることはありません。だからこそ「The 我が社の監査」を皆さんの会社で作ることができるのです。他社を参考にしつつも、皆さんの会社独自の監査の目的、項目、方法等を作りましょう。



この記事が気に入ったらサポートをしてみませんか?