J-SOＸ実施基準の2023年4月の改訂を振り返る。その適用は2024年4月からであり、3月決算の企業では改訂が適用された初年度が終わり、これから月末にかけて最初の内部統制報告書が開示される。
　まず、内部統制とガバナンス、全組織的リスク管理の一体的整備・運用について考える。この三つは、同じ活動に見る角度により別の名称がついているようなものだ。経営者が主語のときはガバナンス、従業員が主語のときは内部統制で、いずれもパフォーマンスとコンプライアンスが目的だ。そして、丁寧な統制を重要事項に絞り込むこと、すなわちリスク管理によりガバナンス／内部統制が実現可能になる。三つは必然的に一体的になるものだ。
　次に、評価範囲を決める際の監査人（独立監査人）との協議について押さえよう。「評価範囲の決定は経営者が行う」としたうえで、この協議は「監査人による指摘を含む指導的機能の一環」としている。この「経営者」は実務的には内部監査人だが、決めた結果を監査人に示して指摘を待つのではなく、決めた根拠を監査人に説明・説得しなければならない。虚偽記載リスクの在り処は、監査人よりも内部監査人のほうが知っている。
　三つ目に、経営者が内部統制を無視する事態をいかに防ぐか、という点だ。具体策の一つが「内部監査人による取締役会及び監査役等への直接的な報告」である。経営者が内部統制を無視した事態に内部監査人が気付くこともあるし、内部監査人が報告した問題が経営者による内部統制無視の影響だと取締役・監査役が気付くこともある。いずれにせよ、この「直接的な報告」は有益だ。
　最後に、IT業務処理統制評価の頻度は特定の年数を機械的に適用すべきではない、という点だ。以前は「一定の複数会計期間に一度の頻度で」とあったので、固定的に頻度を決めるものと解釈できたし、それで失敗したケースがあったのかもしれない。IT全般統制がしっかりしていれば、前年度のIT業務処理統制の評価結果を今年度に適用できるかどうか、分かるのではなかろうか。
（ブログ 2024/12/23～2024/12/29）

　内部統制報告制度の実効性について考える。
　2023年4月に公開されたいわゆる「実施基準」の冒頭に、内部統制報告制度の実効性に関する懸念が指摘されているとある。たとえば、内部統制報告書に記載する「開示すべき重要な不備」が内部統制評価の範囲外から識別される事例が少なくないという。
　内部統制評価の範囲の決め方は実施基準にあり、事業拠点を売上高の大きい順に並べて、上位から累計で連結売上高の2/3を占めるまでを重要は事業拠点とする考え方が例示され、さらに重要性の大きい業務プロセスがあれば評価対象に追加することとしている。この、「他に重要性の大きい業務プロセス」を洗い出すのが、本社にいる内部監査人には難しい。リスクの実態が各拠点でしかわからないものもある。したがって、全拠点の幹部に、虚偽記載リスクを理解させ、「重要性の大きい業務プロセス」の識別に協力してもらう必要がある。
　それは、実は単純な話だ。重要な虚偽記載リスクにつながる事項はたいてい予算化されている。その項目に関する業務上の誤りや予算管理上のごまかし、失敗の隠ぺい・先送りが虚偽記載につながる。製造原価予算や建設工事の積算予算も含む。それらの誤りやごまかしなどのリスクは、各拠点の幹部は知っている。それらが、単なる倫理上の問題ではなく、財務報告の虚偽記載（犯罪になる場合もある行為）につながることを周知すればよい。特に、生産量や在庫量のごまかしは、金額的な影響が直接見えないので注意喚起したい。
　一方、子会社のある業務にリスクがあることに気付いても、内部統制評価の範囲に加えたくない理由がある。それを評価範囲に加えると、その業務を担う子会社の全社統制評価とIT統制評価が自動的に評価範囲に加わり、負担が大きく増えるのだ。それはなるべく抑えたいところだ。そういう場合は、評価範囲に加える業務のリスクに応じて全社統制評価とIT統制評価を簡素化し、負担軽減を検討することができる。
　内部統制評価範囲を決めるとき、実施基準にある「連結売上高の2/3」、「売上高・売掛金・棚卸資産につながる業務処理」を機械的に当てはめる例もあるようだが、それは間違いだ。たとえば装置産業の製造業なら固定資産が大きな製造子会社の固定資産管理プロセスを、付加価値が大きい製造業なら原材料購買プロセスや在庫管理プロセスを追加する。その結果、売上高のカバー率は2/3をはるかに超えてしまうかもしれないが、それでよい。
　内部統制評価が形骸化したケースがある。内部統制評価をしてはいるが、三点セット（業務フロー、業務記述書、RCM）は実態と一致しておらず、不備があっても指摘せず、というようなケースだ。三点セットの維持管理には各業務の担当部署の協力が不可欠だ。毎年当事者が点検すれば、負担はそれほど大きくないうえに、その部署の管理者や担当者にとっては、内部統制整備が自分事になる。あるいは、評価で不備を見つけたら、素直に指摘して、期末までに改善すればよい。そうすれば、内部統制報告制度が形骸化することは予防できる。
　三点セットの維持管理に各業務の担当部署の協力が得られ、彼らに点検してもらうと、部署によって固有の修正が生じ、三点セットに組み込まれる。そのとき、キーコントロールの手順を共通にしておかないと、運用状況評価の負担が重くなる。さらに、情報システムを共通にしておかないと、IT業務処理統制評価も重くなる。情報システムを全社共通にしたとしても、部署固有の機能を追加すると、評価を個別にしなければならなくなるので、よほどの理由がなければ避けるべきだ。
　内部統制報告制度への対応を、他への影響をさせないで整備・運用するのは、楽をしているようでできていない。取締役会を含む全社的内部統制や各部署の管理者を含む財務報告虚偽記載リスクに関する教育、業務の標準化、そしてITを含めて考えることにより、最も合理的に実効性を担保できる。
（ブログ 2024/12/16～2024/12/22）

内部監査部門と監査役（または監査等委員会メンバー）は協力すべきだ。内部監査と監査役監査は、対象や目的は異なるが、活動や情報が重複する部分があり、効率と効果の観点から、協力することが期待される。そのために、たとえば毎月あるいは必要都度、情報共有のための会合を開催する。そのとき、内部監査部門から監査役へと同じぐらいの情報量を、監査役から内部監査部門へ提供すると、内部監査部門の監査が経営層の関心に合ってくる。

内部監査には国際基準があり、公認内部監査人（CIA）などの制度もある。一方、監査役には監査役監査基準はあるが、認定制度等はない。内部監査人も皆が国際基準に精通しているわけではないが、監査役はそれ以上に能力や考え方のバラツキがあるだろう。ただし、株主に対する責任が、真摯さの支えになっている。社内での立場は監査役が一段上になるが、協力関係においては対等でありたい。

会社法に基づき、監査役は取締役の業務執行を監査する。取締役の業務執行はコーポレート・ガバナンスが中核である。ガバナンス体制は全社に及ぶが、少人数の監査役が全社をくまなく見ることは不可能なので、内部監査部門の監査結果に頼ることになる。そういう意味で、内部監査部門は監査役の能力を補うことを期待されていると考えられる。内部監査部門は監査役の手下ではなく、対等だ。

よほどの大企業でなければ、監査役にスタッフはいないので、監査役が内部監査部門に監査役監査の記録係などを依頼することがある。メンバーが複数いる内部監査部門であれば、メンバーに対応させることで、さして支障はないし、教育的効果もありそうだ。一方、内部監査部門が部門長だけのときは部門長が監査役監査に同席することになる。内部監査部門長が監査役の手下のようで、これはまずいだろう。

内部監査部門長の人事には監査役が関与すべきではないか、という議論があるそうだ。これは、一般には無理があると思う。監査役には、次の内部監査部門長に相応しい者を探す手段がない。ただし、内部監査部門長が相応しい者か否かを評価することは、一定の期間を経れば可能だろう。内部監査部門長が相応しい者ではないと判断したときに意見を言うのは、監査役の通常の役割の範囲である。

内部監査部門は社長直轄が基本だ。社長の目となって、社内各部署の内部統制を評価するのだ。一方、社長は取締役の一人として監査役に監督される立場である。社長にとって、監査役と内部監査部門が連携することはあまり気分の良いものではないのかもしれない。
私の経験の範囲では、社長の直轄でありながら、社長が監査に注文を付けることはほぼなく、対社長と対監査役は等距離の関係でいられた気がする。
（ブログ 2024/12/8～2024/12/13）

　小林製薬の紅麹原料による健康被害の問題について振り返る。
　紅麹関連製品による重篤な健康被害の報告は、一件目を受けてから20日も経たずに6件になり、うち4件は医師からだった。社長は、普段にくらべて異常に多い情報の報告を受け、幹部の会議では回収・終売の可能性に言及したという。なのに、消費者への注意喚起や行政への報告はその後一ヶ月以上されなかった。メーカが消費者の視点を持っていないと、こんなことが起こり得る。
　健康被害の情報を最初に受けてから、その情報開示や製品回収開始までに2か月以上がかかった。その間に、月次の取締役会が開催されているが、この件を議論していないようだ。社外取締役がこの問題に関するレポートを読んだのは、情報開示の前日だったという。問題は、取締役会長も社長も多くの経営幹部も知っていたのに、取締役会で話題しなかった。
　この2か月以上の間に彼らがしていたのは原因究明である。問題の製品ロットを絞り込み、原料のロットを突き止め、それに意図しない成分が含まれていたことが判明し、ようやく情報開示と製品回収を決断した。それよりも、健康被害の拡大防止が先だろうと部外者は思う。部外者の感覚を経営に持ち込む役割が社外取締役だ。だから、取締役会での議論は大事なのだ。
　健康被害拡大より原因調査を優先したのは、行政への報告は「因果関係が明確な場合に限る」という方針を採ったからだ。消費者庁のガイドラインにあいまいなところがあるとして、安全管理部が消費者庁のガイドラインを読み解いて得た解釈だという。そうであれば消費者庁に確認すべきだった。この解釈が独り歩きし、健康被害の拡大防止より原因究明を優先する行動へとつながった。この文言は規程等にはないが、これを社内で何度も確認したのに、なぜか誰も疑問を言わず、相談した弁護士も妥当という意見だった。同一製品で問題が連続したら、原因は不明でも因果関係は明白だ。
　危機管理規程には、重大な製品事故等があったときに危機管理本部を設置することが定められている。紅麹原料による健康被害が続いた時点で、原因不明であっても重大な製品事故には違いないはずだ。危機管理本部で集中的に検討すれば、判断は早くなったはずだ。
　製薬会社には信頼性保証本部が必須の機能として設置され、その役割はビジネスを推進する事業部（製造部門・販売部門）に対して、製品の品質と安全性を担保する観点からのブレーキである。ところが、議事録等を見ると、信頼性保証本部が行政への報告等に関して業績への影響を考えたことが分かる。役割を果たして事業部と喧嘩していれば、社長の判断は違ったかもしれない。
（ブログ 2024/11/27～2024/12/4）