企業会計審議会第10回第二部会議事録について

定刻になりましたので、これより第10回第二部会を開催いたしたいと思います。

本日は情報システムの高度化における監査の問題と、監査要点を中心とする監査の問題につきまして御報告をいただくことになっております。

御報告いただく前に、前回の部会におきまして、米国における不正の実態などにつきまして何か参考になるものがあればと、そういう御意見がございました。そこで、本日の議事には使いませんけれども、この資料の後の方に参考というので幾つかの資料がございます。これにつきまして、用意いたしました資料を御紹介したいと思いますので、事務局よりお願いしたいと思います。

では、参考につきまして若干御説明だけ申し上げます。

資料の後ろに参考というのが三つあると思います。まず最初が「不正な財務報告――1987年から1997年における米国公開企業を対象とした分析」という、これはトレッドウェイ委員会のもとのスポンサー委員会、ＣＯＳＯと言われております委員会報告の中から、このような分析資料がございましたので、用意させていただきました。

なお、正本といいますか、本物は大変厚いものでございまして、これを山浦委員から御提供いただきまして、若干細かい点は除きまして、趨勢がわかるものということを中心に幾つかつけさせていただきました。３枚目からがその報告書の中で取り上げられております幾つかの分析を抜粋したものでございます。表の１、２枚目は、それにつきまして簡単に御説明をつけてございます。

基本的には、これは1987年から11年間不正な報告を行った企業、ＳＥＣによってチェックされた企業というのが大体300社と。その中でランダムに200を抽出して、その傾向なりを分析しているということでございます。詳しくはまた後ろの方と見比べていただきたいんですが、基本的には204社、１のところでございますが、204社のうち134社が上場企業である。そのほか地域別、業種別等で分析を行っているわけですが、これは時代の趨勢ということもあろうかと思うんですが、テーブル３などを見ますと、コンピュータ・ハードウエアの関係ですとかがトップを占めているということでございます。

それから、２の統制環境の種類ということでございますが、テーブル５等にありますが、経営トップの関与、あるいは財務トップの関与というのが不正な報告につながる例が多かったと。あるいはそのほかの分析では、取締役会あるいは監査役会が正常に機能していないな場合、同族会社である場合等というような分析が行われております。

それから、２ページ目でございますが、不正の種類としては、これは当然と言えば当然だと思うんですが、いわゆる収益の不正計上といいますか、架空の計上、前倒し、資産の過大計上、費用の過小計上、若干横領等があるというふうになっております。

それから、監査報告書を発行した外部監査人の種類ということですが、途中で合併等がございますが、いわゆるビッグ８、ビッグ６が関与してきた会社が多いと。これは当然上場会社ですので、そういう形だと思います。

それから、この不正が発見された後の会社への影響というのが、最後５にございますが、204社のうち、わかった167社について分析が行われておりまして、36％が破産ないし廃業。それから、その他が買収、売却ということで、会社のオーナーが変わっていると。また、さらに21％は上場廃止になっているということで、企業の存続というものが非常に困難な状況に陥っているというような趨勢が見てとれるかと思います。

大体数としてはこんなものだということを示した資料でございます。

それから、二つ目の参考、１枚紙でございますが、これは日本監査研究学会の「ゴーイング・コンサーン問題と監査」という研究の中間報告の中から資料を取らせていただきました。これはアメリカのＡＩＣＰＡが分析を出しているものを年代ごとにまとめて集計をされているものということでございます。ここでは、いわゆる不正という意味よりは、監査報告書における未確定事項、つまり会社に何らかの重要な問題が起きているということについて、どの程度監査報告書にあらわれているかということを調査したものでございます。母数はＳＥＣに登録されている会社の中から600社を抽出しております。幾つか項目が分かれておりますが、1949年当時、これは非常に初期のころですが、このころから現在までは当然この監査報告書の記載内容、記載方法についても変更が加えられておりますので、当初は詳しい内訳がないというようなこともございます。最初の方はちょっと別としまして、下の段ぐらいが近年の数値となっているということでございます。

この事例研究の分析でも言われておりますが、1976年からゴーイング・コンサーンを独立の区分として取り扱っております。ですから、そこからゴーイング・コンサーンについての数値が出てくるということでございます。600社中ですが、趨勢としては、そんなに多いということではないかと思います。アメリカの社会的な状況も反映しまして、訴訟というものの方が大体多く記載をされていると。それから、趨勢におきましては、アメリカの景気の動向に応じまして、倒産なり、訴訟というものの増加が反映されているというような分析が行われております。いずれにいたしましても、近年におきましては、未確定事項の記載実態が非常に少なくなっております。ゴーイング・コンサーンにつきましては、1996年は１件、1997年は２件と。600社中このような形になっておりますので、いずれにしても、最近の米国の景気の状況はよろしいということもあってか、非常に少ないということでございます。これが大体傾向といいますか、趨勢をあらわす数値になろうかと思います。

それから、最後の参考でございますが、これはかなり大部でございます。これは我が国の特記事項につきまして、「経営財務」という雑誌でまとめられております。これは今期の決算からとっております。特記事項の中身につきましては、次回以降ゴーイング・コンサーン等の検討の中でまた御報告等があろうかと思いますので、ここで特に取り上げませんが、非常に内容が多岐にわたっておりますので、事前に配付をさせていただきまして、ちょっと時間の余裕をとらせていただきたいということで、きょうお手元の方に配らせていただいたものでございます。この中には当然合併ですとか、いわゆる後発事象等にかかわるものもあるわけですが、全体としても85件ということで、相当な数の特記事項の記載会社があるということでございます。これは証券取引法の適用を受けている会社を母数としております。

それから、もう一つ、あわせて若干御説明というか、御紹介しておきますと、これから本日システム監査の充実についてという御報告をいただくものですから、黒い表紙の資料集の後ろから２番目に、公認会計士協会から出ております「情報システムの内部統制の有効性の評価過程」という研究報告第12号を一応つけさせていただいております。このほかにもいろいろ研究報告はシステム監査についてあるということですが、一応これが中心的なものということで、ここに入れておりますので、御参考いただければと思います。

簡単ではございますが、以上でございます。

ありがとうございました。

それでは、本日の審議に入りたいと思いますが、御報告の初めといたしまして、「情報システムの高度化における監査」について御報告いただきますが、これは論点整理におきまして、リスク・アプローチが議論され、それとのかかわりで、最近における監査環境の変化、インターネットやコンピュータなどの情報技術の進展といった監査環境などの変化について、さらにこの監査基準・準則等において考慮しなければならないのではないかという論点整理の指摘がございます。それを受けまして、本日は日本公認会計士協会の情報システム委員会の松尾委員長に御報告をいただきたいと思っております。

それでは、松尾委員長、よろしくお願いいたします。

御紹介いただきました松尾でございます。

お手元に資料１というのがございますので、それを中心にお話をさせていただきたいと思います。

表題としまして、「高度情報・通信社会に対応したシステム監査の充実について」というふうに書いてございますが、先ほど脇田先生の方からお話がございましたように、インターネットというような新しい技術が出てまいりまして、この３年間急速に米国を中心にして世界的な変化が生じておりますし、我が国も2003年に向けまして、電子政府構想ということで、政府を中心にして急速に環境が変化してくるだろうということが予想されておりますが、その中で、財務諸表監査に対してのシステム監査のあり方について、かなり強化をしていただく必要があるんじゃないかということをきょうは申し上げたいというふうに思っております。

まず、１番としまして、財務諸表監査におけるシステム監査の目的ということでございますが、財務諸表監査におけるシステム監査は、財務諸表の虚偽記載を看過するリスクを一定の水準以下に抑えるため、すなわち財務諸表が間違って記載され、開示されるリスクを抑えるためということでございますが、そのために情報システムが持つ固有のリスク及び情報システム化された内部統制上のリスクを評価し、それらのリスクの程度に応じた必要十分な監査手続を選択適用することを目的とするということでございます。

ここの監査手続というのは、当然分析的な手続も含みますし、いわゆるサブスタンティブ・テストと言っています数字そのものを調べるテストも含めますし、それから内部統制の評価そのものも含まれてまいります。それをどういった織りなしでやっていくかということを十分に検討するということでございます。

それでまず、今、環境としてどんな変化が起こっているかということを２番目に触れさせていただいておりますが、ＩＴ・ネットワークの高度化によるリスクとシステム監査の必要性というところでございますが、一言で言えばどんな変化が起こっているだろうかということでございますけれども、インターネットによる急速な変化が起こっております。これはどういうことかといいますと、従来、企業内部に閉じられたコンピュータの処理というお話で、コンピュータというのは技術的に難しいものだと。これは専門家に任せておけばいいんじゃないかと。経営者もコンピュータ、いや、それは情報システム部長の仕事だ、任せている。こういうお話になっていたわけでございます。ところがインターネットが出現してきまして、外部との接続というところにすごく視点が移ってまいりまして、外部のお客様、外部の取引先との情報共有が企業のビジネスモデルを大きく変えてきていますときに、実は経営トップが情報システム部に任すと言えない状態、すなわち取引先、お客様と直接トップがお話をし、意思決定をしなければ企業が生き残れないという状態が出てきております。

我が国は、米国あるいは諸外国に比べまして、経済競争力がこの二、三年急速に１位、２位のポジションから14位、今年は21位まで低下してきているというのはなぜだろうということでございますが、この経営トップも含めたそういった変革の速度がインターネットの情報技術革新の速度についていっていないという問題でございます。これに対して、我が国も、当然私どもものクライアントであります被監査企業は大変な努力をされて、これから変化されていくだろうと。あるいは既に変化されている企業もございます。そういった変化されている企業を監査する我々監査人も、当然変化しなければいけないわけでございますが、なかなか難しい。変わらなくてもいいんじゃないかという状態になりがちだというところが一番のポイントでございます。

それで、例えば私どものお客様で今どんな変化が起きているんだろうかというお話を申し上げますと、メーカーさんで、かなりの大規模な企業でございますけれども、まず、税務上の会計帳簿をペーパーレス化してもよいという法律の改正がございましたので、その企業では全国の会計帳簿を本社に統合されました。そればかりでなくて、伝票及び元帳、補助元帳をペーパーレス化されました。紙はなくなりましたということでございますね。そして、領収書、請求書等の証憑は、東京にあります書類倉庫をつくりまして、各工場からも紙コンテナ、書類コンテナ、小さなコンテナでございますが――に保管されまして、書類倉庫に直送ってしまう。どうぞ監査人の方は画面から伝票を呼び出し、その伝票についての領収書、証憑をチェックをされたい場合は言ってください、書類倉庫から取り寄せます。こういうようなお話が出てきまして、私どもの監査人は悩んでしまいました。従来ですと、お伺いして、必ずバウチングといいまして、伝票をめくってチェックをすればよかったんですが、それはもう倉庫にございます。見ていただくのは電子化された仕訳と元帳だけでございますというお話でございます。

はたっと悩むわけでございますが、実は情報技術を利用すれば、もっと効率的に違った角度から見れるやり方があるんじゃないかというのが今の答えの出し方でございまして、実はすべての仕訳データを毎月磁気データで事務所の方にいただいて、むしろ効率的にその情報を見ることによって、どの証憑を見たいか、あるいは書類倉庫にあります証憑のコンテナをつぶしていくことによって、かなり効率的な監査ができるんじゃないかとか、いろんな新しいパラダイムが出てきております。さらに、この今証憑、領収書、請求書といったようなものも、これから来年の４月以降、電子署名の法律が出てまいりますと、そういったものもペーパーレス化された、要は紙でない状態が出現してくるだろうというのが、現在我々が出くわしている状態でございまして、これに対してどうするのか。あるいはどうすれは大丈夫なのかというガイドラインを含めて、明確な形で出す必要があるんじゃないかということでございます。これから恐らく３年の間に急速な変化が起こるだろうというふうに我々予測しております。

そういった具体的な言葉は別にいたしまして、事例を御紹介しないと、ここに書いてある言葉の意味がわからないだろうというような御指摘が先ほどございましたので、あえて事例を御紹介させていただきましたけれども、２番の文章をここで御紹介させていただきますと、まず１番としまして、企業の主たる事業そのものがＩＴ（情報技術）・ネットワークに依存する場合が多くなり、それを支える情報システムの優劣が企業の存立に影響する度合いが大きくなっている。企業だけではなくて、日本の経済競争力がどんどん低下しているという実態がございますというお話でございまして、個別企業にとってみれば倒れるかどうかという深刻な問題が出てきておりますということでございます。

それから、２番目でございますが、従来の会計情報を越えた多様なかつ重要な情報を的確、迅速に提供する情報システム・ネットワークが経営者の重要な意思決定にも大きな役割を果たすようになっている。これは主として内部だけではなくて、先ほど申し上げましたインターネットを通じた取引先様、お客様とのお付き合いのあり方、ビジネス・モデルのあり方を経営トップそのものが意思決定をして変えていかなければ生き残れないといった意味が含まれております。

それから、３番目に、電子商取引の拡大や税務上の電子帳簿保存の容認等により、証憑や帳票類のペーパーレス化が進展していると。特に帳票類については、先ほど御紹介いたしましたように、かなりの企業ではペーパーレス化を推進されてきております。証憑につきましては、電子署名法が来年の４月から実施されますが、４番目に書いてございます電子署名の法制化により、従来の署名押印した紙のやり取りにかわる新しい商習慣が取り入れられるとしているということで、そういったものもどんどんなくなっていくだろうと。ペーパーレス化されるだろうと。飲み屋さんの領収書までペーパーレス化されるかどうかは疑問でございますけれども、そういった方向がございます。

それから、インターネットを利用した電子商取引の拡大により、データの捕捉、保管、蓄積が社外も含めて世界中のどこでも行えるようになってきております。これは実は税務上大変今大きな問題になっておりまして、ＯＥＣＤの方でも議論がされております。

それから、ＥＤＩＮＥＴ、これも電子開示ということで、この秋我が国でも財務諸表の電子開示の実験が行われ、来年の春から試験的な実施、３年後には強制適用という形で動こうとされているわけでございますけれども、こういった電子的な財務諸表の迅速な開示要請がますます世界的に進んでまいりまして、促進されるようになってくるだろうといった大変大きな変化がこの３年以内に起こってくるだろうということが予想されます。

こういった変化に対して、財務諸表にはどんな影響が与えられるんだろうかといったことを、歴史的な変化、変遷も含めて次にお話をさせていただきたいと思いますが、当初、コンピュータを入れましたころは、いわゆる手作業の計算の効率化ということで、あくまで手作業の効率化を目的にしたものでございますから、その重要性は、財務諸表に与える影響という意味ではそれほど重要ではなかったのではないかと。ところが先ほど御紹介しましたようなペーパーレス化、あるいはグローバルなオープン化といった動きが出てまいりますと、財務諸表監査においてシステム監査の実施を原則とすべきことが必要な状況が生じてきているのではないでしょうかということでございます。

まず、コンピュータの導入の当初、60年から70年代ということでございますが、会計伝票を手で入力すれば会計帳簿を作成するという単純なシステムのため、入力、出力の紙媒体への間接実施で十分対応できましたと。コンピュータはブラックボックスです、でもコンピュータ周りの入出力をチェックすれば十分じゃないですかということで、コンピュータの技術的なところはコンピュータ屋さんの仕事でしょうという感じでございましたということでございますね。それで、80年代、オンライン化、統合化が進んでまいりますと、いろいろ複雑化して、どんどんブラックボックス化が進んできまして、それでも紙の出力をしてくださいといった御要請をすることによって、辛うじて70年代と同じ監査手続が適用されておりましたということでございます。ところが、これから出現してくるであろう、あるいは既に出現しているペーパーレス化、あるいはインターネットを使った取引先、あるいはお客様と直接、あるいは同じシステムを供用するというようなやり方でのデータの処理が行われてくる場合、そして、電子開示が早期にされなければいけないということから、ますます会計処理が自動化されてくる度合いがふえてくるんじゃないかという中で、果たして紙そのものがなくなってくる中で、紙があることを前提とする監査手続をそのまま継続することができるのでしょうかということがここで申し上げていることでございます。

次に、財務諸表に影響を与える情報システムのリスクということでございますが、急速にＩＴによる経営革新が進められる中で、ＩＴに起因する経営環境に関するリスクと、財務諸表作成する過程が情報システム化されていることに起因するリスクの二つのリスクが存在します。いずれのリスクも適切に把握するためには、企業が採用しているＩＴと保有する情報システムを十分に理解することが必要となります。

経営環境に関するリスクの例といたしましては、ＩＴに対するビジネスの依存度が高まれば高まるほどシステム運用障害の与えるリスクは高くなりますと。システムがとまってしまったらビジネスが倒れてしまいますと、こういった意味でございます。

それから、ＩＴの進展が早いため、ソフト、設備等の陳腐化が著しい。今、税務上の耐用年数６年、５年というのが準備されていますが、実際パソコンとかこういったのを見ますと、３年ぐらいで陳腐化してしまっているというのが実態でございます。

それから、外部から不正侵入等により個人情報が漏洩したことによる損害賠償責任など、不測の損失が発生する可能性がございます。これはオンライン取引が発生することによって、金融関係の不正等もかなり大きな金額のものが発生したり、あるいは未遂に終わっているような事例もございますが、こういった事例がますますやりやすくなる、増えてくるリスクがある、こういうことでございます。

それから、商習慣が十分定着していない電子商取引の場合は、売上計上時期が不明確となったり、代金回収が不規則となったりする可能性がございます。十分に監査証跡がないまま商取引が行われてしまうきらいがございます。例えば皆様方がインターネットの広告の場をクリックしました。そして、そのクリックの回数に応じてお値段幾らお支払いしますよというような広告収入の計算をする場合があるわけでございますけれども、そのクリックをしてカウンターが回っていくわけですけれども、本当に１万回クリックがあったどうかという証拠はどこにあるんですかと言われても、実はほとんどの場合にカウンターのみが用意されておりますから、カウンターだけを実際にメーターを上げてしまえばわからないというような状況が生じておりますということでございます。インターネットの世界は何でも自由にやっていいんじゃないというような雰囲気が片方にございまして、そういったことを全く無視したビジネスが堂々と行われている。あるいはちょっとしたコンテンツを個人の方がお使いになりましたと。利用されて、1,000万円単位のお金が全く顔を見ないまま、信用調査もないままお金が支払われていくというようなことも堂々と行われておりますというのが実態でございます。

それから、会計システムの情報システム化に関するリスクの例ということでございますけれども、データの処理過程の直接検証や、データの見読が困難なため、改ざん等の不正が容易であり、発見されにくい。電子商取引の進展により、請求書など外部証拠も電子化が進んでいるため、そのチェックのための証拠も同様のリスクがあると。先ほど大規模なペーパーレス化と大規模な書類倉庫を用意されましたという企業の場合、まだ書類がありますよということで、従来の監査手続でも済むようなところがあるわけなんですが、この書類も電子化されてしまいますと、領収書も電子化されてしまいますよと。改ざんの可能性はますます高まりますというリスクがございますということでございます。

それから、次のページでございますが、人間が作成するプログラムが誤っていると、誤った処理が継続して行われたら、その累積的影響が大きくなるリスクがございますということでございますが、私どもが実際に監査をしています事例でも、ちょっとしたお客様の料金計算のプログラムがずっと間違っています、あるいはマスターが間違っていますということがそのまま放置されておりますと、何年も累積してまいりますと、何十億という金額の誤りが出てまいりますといったのがここに含まれてまいります。

それから、コンピュータの故障や、不正侵入によるデータの改ざんや破壊が行われると、財務諸表の作成自体が困難となる場合や、誤った数字が開示されるリスクが発生してまいります。いわゆるハッカーとかと言われる言葉、クラッカーと言われる場合もありますが、不正侵入をしまして、コンピュータの内部的な制御を握ってしまいますと、何でもありの世界が生じてしまいますということでございます。

それで、じゃあどうすればいいんでしょうかというようなお話がそれ以後に書かれてございますが、まず、情報システム化された内部統制の評価を行う必要がございますと。１番のところで、手作業であれば業務処理体制で不正及び誤謬とか、こういったものをいわゆる人間的な属性、注意力、判断力、責任感、こういったものでチェックをできると。あるいはあの人に任せておけば大丈夫だというようなことが行われてきたわけでございますが、これがどんどんプログラム、コンピュータの処理手続に依拠してまいりますと、その依拠したプログラムの手続そのもの、あるいは処理されているデータそのものを十分チェック、整備状況という言い方でございますが、チェック機能があるかどうかといったことを見る必要がございます。あるいは、不正な改ざんがされるリスクがどんどん高まるということがございますので、そういったものを見る必要がございます。

あるいは３番目の災害や不正侵入による破壊行為でシステムが継続的に動かないというリスクに対して、どのような防御体制がとられているかといったことを評価する必要がございますということで、かなり技術的な言葉を並べてわかりにくいかなというふうな感じもいたしますけれども、システム監査としてどんな手続を一般的にやっているんでしょうかということをこうして示しておりますけれども、一つは、このコンピュータが紹介されたことによって何が一番大きく変わったかと申し上げますと、従来の金額とか数量という帳面に書かれていたデータプラスプログラムという部分が磁気媒介の上に記録されてまいりますというところが、コンピュータが紹介されて一番大きく変わってくるところでございます。

まず第１のポイントとして、従来、紙に書かれていたデータが信頼できるかどうかというものを、領収書とか請求書、納品書等の紙の媒体とチェックをするということで信頼性を確保していたわけでございますが、これがコンピュータの処理手続が入ってきたとしても、同じようにチェックがされているかどうかということをまず最初に評価するということをやっております。そのためにどんなことをやっていますかといいますと、お客さまのコンピュータ部門の方にヒヤリングをいたしまして、プログラムの中でどんなチェックがかかっていますか、どういうふうに売上データが流れていきますかというようなことをお聞きしております。それに対して、入力側で手作業でどんなチェックをされますか、出力側でどんなチェックをされますか、こういったことを十分理解するために、私ども自身がフローチャートを描きまして、整理状況を評価させていただいているというのが第１段階でございます。

そういった中で、ここに古いデータがたまっているファイルがありますよとか、ここに合計しかありませんが、明細がここにありますよとか、いろいろわかってくるわけですが、そういった必要な場合には、そういったデータそのものをコンピュータを利用しましてサンプリング、抽出、あるいはそういったものの分析を行うと。こういったことも行っております。先ほどのように会計システムの伝票レコードをすべて毎月のようにいただく場合は、どちらかというと、１番の状態を当然把握した上で２のために毎月データをいただいているというようなイメージでございます。

それからもう一つ、記録の上にプログラムが書かれたということ、このプログラムが自動的な処理をしているということから、プログラムそのものが信頼できるかどうかというチェックをしなければいけないという面倒なお話が実は出てまいりまして、そのプログラムが信頼でき得るものかどうかということを開発及び運用の管理体制がちゃんと働いていますかという評価をいたします。これがうまく動いていないとどういう問題が出ますかというと、システムがとまってしまいますというような障害報告のようなものが必ず出ておりますが、こういったものを見せていただきながら信頼性を評価するということをやっておりますということでございます。

必要な場合は、プログラムそのものが正しいかどうかということを、今度はテスト・データを流しまして評価をするということもやっております。これはデータの信頼性を確かめるものではなくて、プログラムの信頼性を確かめるためにテストデータを流すということでございます。

基本的にはここでも御紹介しておりますように、データの信頼性のチェックをする、そして、もう一つはプログラムの信頼性のチェックをする。これがシステム監査の一般的な手続でございまして、１番と２番については、実はシステム監査という専門職の仕事ではなくて、これからコンピュータ化がどんどん進んでまいりますと、普通の監査人が実は当然のこととしてできなければいけない技術だということでございます。

それで、あと、専門家を補助者として利用するというのが書いてございますが、ここで申し上げたいことは、一番最後の２行に書いてございますが、先ほどお話ししましたように、専門家でない一般の監査人も補助者を統制し、補助者の実施した結果をみずから適正に評価する能力が必要でありますということでございまして、コンピュータは技術的なことだからということで逃げられないということでございます。

それから、諸外国の監査基準ということでございますが、これについては余り私の方で御紹介する必要はないかと思いますが、米国の変遷、ＳＡＳの３号、48号、55号という変化、それから今、国際会計士連盟の方で出ておりますＩＳＡ401というのがございますけれども、このＳＡＳの３番というのが下の方の注のところに書いてございますが、1974年に出たものでございまして、ここで書かれておりますのは、先ほど御紹介いたしましたデータのチェックとシステムのチェックは別だよ、ちゃんとやってくださいよということが初めて紹介されましたのがこのＳＡＳの３号でございます。これと同じような趣旨のことがＩＳＡの401、国際会計士連盟の監査基準でも書かれております。

ところが米国の方ではその後変化がございまして、ここに御紹介しています48号では、オンライン処理が急速に普及する中で、不正の与える財務諸表の影響が大きいということで、よく注意をしなさいというのが48年、これはオンライン化が進んでくることによって出てきておりまして、さらにＳＡＳの50号では、今の国際会計士連盟の基準でいけば400の一般の内部統制の評価の部分でございますが、この中に実はＳＡＳの３号も吸収されましたと。言葉を変えれば、コンピュータがあることが前提ですから、コンピュータがあることが前提での内部統制評価基準をつくろうというふうに変えてきているということでございます。ところが国際的な動きは、まだアメリカほど進んでいない国がほとんどでございまして、このＳＡＳの３番もまだ入っていない国もたくさんございます。我が国もそういった意味で言えば、まだこのＳＡＳの３番、国際監査基準で申し上げますと401が入っていない状態になっておりますということでございまして、この監査基準への提言としましては、８番に書いてございますが、監査基準・監査実施準則に「財務諸表監査にはシステム監査が不可欠であり、実施することが原則であること」を明らかにしていただきたいと。これは内部統制そのものの中の400に相当するものとしてなのか、あるいは別立てとしての401がいいのかという問題はございますけれども、行うことが原則だということが明記されるべきではないかということでございます。

明文化すべき内容としましては、その次のページに、1994年に国際会計士連盟の方でこの国際監査基準をまとめられますときに、太字強調部分ということで、401に示された文章がそこに示されておりますが、太字強調部分という意味は、英語で言いますとshouldという言葉でございまして、原則とすると。適用しない場合は説明が必要ですよという意味でございます。こういったことが書かれておりますので、ぜひ先ほど申し上げましたような環境変化が、今我が国でもこれから３年急速に起こってくるだろうということが予想されておりますで、それに対応するため、コンピュータのシステムの内部統制、リスクを評価することは原則であるといった言葉をぜひ入れていただきたいというのがきょうのお願いでございます。

時間になってしまいまして、申し訳ございません。どうもありがとうございます。

ありがとうございました。

大変重要な、そして広範囲の問題を要領よく簡潔におまとめいただきまして、ありがとうございました。

次の御報告の後に意見交換の時間を取っておりますけれども、すぐに何かこの松尾参考人に御質問がございましたら、短時間でございますけれどもとりますが、いかがでございますでしょうか。

山浦委員、どうぞ。

松尾参考人にお伺いしたいんですけれども、一つだけ言葉の使い方ですね、それで、４ページにあります監査基準への提言というところで、財務諸表監査にはシステム監査が不可欠であり、実施することが原則であるという、こういった申し出なんですけれども、この「システム監査」と「財務諸表監査」というのは、実はちょっと「監査」という言葉を使われますので少し紛らわしいと。例えばこういった表現の変え方でもって十分かどうかということをちょっと確かめたいんですけれども、「コンピュータ情報システムの調査と評価」、これではだめですか。ちょっと「システム監査」という言葉を使われているその意味が、非常に「財務諸表監査」と「システム監査」との関係がよくつかめないですね。

もう一つは、内部統制とコンピュータシステムですか、その関係についても、今、確かにおっしゃるように、アメリカのＳＡＳの55号でしたか、ここではシステム監査の必要性という、そういった表現じゃなかったというように思うんですけれども、要するに内部統制の調査と評価と。その中にコンピュータシステムの調査と評価というのは確かにあったと思うんですね。そういう使い方では不十分かどうかということをお伺いしたい。

松尾参考人、お願いいたします。

おっしゃっていますように、システム監査という言葉はどちらかといいますと我が国独自の使い方がされておりますので、そういったきらいがある言葉だというふうに私も理解しております。一般的にどちらかというとくくって理解しやすいということで、あえてその言葉を今日使わせていただいておりますが、どういった言葉がいいんだろうかということでございますけれども、別紙資料の中の一番最後のページでございますが、国際監査基準の中でどんな言葉を使っているのかということですが、一番上の文章を見ていただきますと、監査人はコンピュータ情報システム環境が監査にいかなる影響を与えるか検討すべきであるという、こういう言い方で、国際監査基準ではコンピュータ・インフォメーション・システムという言葉を使っているわけでございますが、これも余り使われていない言葉でございまして、インフォメーション・システム、情報システムという言葉がよく使われているかと思いますが、でも昨今はＩＴという言葉でそれも含んでしまっているというような、一部はやり言葉のようなところがございまして、この前のサミットからＩＴというのが我が国の国内用語としてもほぼ定着はしてきておりますが、諸外国では10年以上前からＩＴというのがほぼ定着した言葉になっておりまして、そちらに変わる傾向がございます。ただ、情報システムという言葉でもいいのかなというふうに思いますが、このコンピュータという言葉も、実は皆さんお持ちのモバイルのｉモード等も含めて、あれはコンピュータとはもう呼ばないわけでございますが、ネットワークを中心とした技術がいろんなものを置きかえてきておりますので、情報システムと、もう言わないんじゃないかというようなこともございますので、どんな言葉を使うのが今はいんだろうというと、ＩＴという言葉が一番現状ではぴったりした言葉かなということなんですが、どれがいいということをここで私としては結論を申し上げられないというような率直な意見でございます。

ちょっと一つだけ確認させていただきたいのは、今お話の中で、このシステム監査という言葉のかわりに、それに相当するものを使えば、それでも構わないということでよろしいですね。

はい。

どうもありがとうございました。

それではまだ御質問ございますかと思いますけれども、次の報告をいただきました後に時間を取りますで、直ちに次の御報告に移りたいと思います。

次は、これも論点整理において言及されました、非常に御議論いただきましたリスクアプローチの中におけるリスク評価の問題を取り上げ、また、監査手続を構成する上での核となります監査要点についても見直しを行うべきだという論点整理の中で指摘をしております。その点につきまして「監査要点とリスク評価」ということで、那須委員から御報告をいただきたいと思います。

それでは、那須委員、よろしくお願いいたします。

那須でございます。

いただきました時間の中で、かなり広い範囲になるんですが、私の少ない実務経験をもとにしゃべりたいと思います。なお、表現のほとんど、かなりの部分を山浦委員の御著書であります会計監査論の中からお借りしているところがございます。中途半端な抜き方をして、先生の趣旨が出ていないところがもしあれば、先生にフォローいただきたいと思います。

まずお開きいただきまして、１ページ目で、監査のステップとあります。もちろん御存知のことと思いますが、念のため全体像を明らかにしておきたいと思い、ここに挙げております。監査計画を作る。監査をする。意見形成をして、御報告申し上げると。その結果を踏まえて、また翌年監査ができるんであれば、それを踏まえた形で翌年の監査に生かしていこうと、こういう流れになっているという概要でございます。

本日説明の主な領域としましては、監査計画の立案、左側のところですけれども、そこから監査手続の実施の部分になるかと思います。監査計画の立案、リスクを評価してという言い方をよく使いますが、手続を選択して、監査証拠を集めていくというところが主な概要になるかと思います。もちろんそこでフィードバックという矢印をあえてつけてありますのは、計画というと、どうしても監査実施前につくってしまって、それきりというようなイメージがあるかと思うんですが、別につじつまを合わせているという悪い意味ではないんですが、実際にやりながら、そもそも我々の計画は正しかったのかどうかというようなところは常に反省をしながら、計画自体を直していくというか、修正をしていく。それは後で監査計画の内容を説明しますが、効率性を求めています。そもそも最初の計画が非効率だとわかったら、それをすぐに修正しないことには、非常に不効率の作業が続きますので、そういうことのないように常にフィードバックを心がけて計画を練り直すというような作業は行っております。

続きまして、２枚目をお開きください。監査計画の立案というところですけれども、そもそも監査の前提とは、これはよく言われておりますが、膨大な取引量に対して限られた監査資源、これはこの場でももっと効率化をせよというお話出ていますが、我々も当然それは効率化をしたいわけで、いかに少ない人数で、いかに限られた時間で有効なことをやろうかと。むだなことはしたくないというのは我々も同じですので、これを前提に考えております。そうしますと、当然重点的かつ抜き取り検査中心の手法、これを監査の用語では試査と言っておりますけれども、このような方法をとらざるを得ないということになります。その際、重点的かつ抜き取りをするものは何にするかといいますと、基本的には会計業務を統制管理するシステムの有効性の検証をした結果、そのシステム自体の有効性が高ければ、当然サンプルとして引き抜くものは少なくてもよいだろうというような判断をして手続をすることになりますので、このような前提のもとで監査計画を立案していきます。

下の定義というところは、ここにありますとおり、日本公認会計士協会の監査基準委員会報告第６号というところで、前段のところでこのような表現がされております。ここにもありますが、最後のところですが、監査の有効性と効率性を高めるために必要不可欠なもの、無計画でむだな作業をするということではないんだということでこのようなものをつくっております。

３枚目を御覧ください。監査計画書の内容とあって、内容といっている割には内容がないペーパーなんですが、実際監査計画書の内容といいましても、ここ私の記憶でも３年ぐらいでかなり変わってきております。３年ほど前の監査計画書というのはどういうものかというと、いつ会社におじゃまして、そのときに何をしますというのをずらっと並べて会社に渡して、じゃあこれでと。その程度の監査計画であったんですが、最近は何でそもそもその手続をやるんですかということを自分たちなりに理屈づけをして、それに基づいて会社とディスカッションした上で、じゃあこれでよろしくと。これでよろしくというところは、もちろん会社の御了解を得るということと同じなんですけれども、そこまでの過程がかなり時間をかけるようになっています。これは我々の提携事務所である海外のビッグファイブの要請というのももちろんあるんですけれども、やはりいろんな理由、例えば実際に監査を行う人間の方の資質が下がっているということではなくて、比較的経験の浅いものでも有効にむだな作業をしなくても済むようにするには、事前に十分記録をするとか、計画の段階で管理させるとかというようなことを考えた上でのことだと思いますけれども、そのような計画をつくることになってきております。

いずれにしましても、ここにあるとおり、監査の目的を達成するために、監査戦略（Audit Strategy）を構成するということをお題目にしております。

じゃあ監査の戦略性というのは何かというところですけれども、ここに４点ほど挙げておりますけれども、そもそも監査目的と。最終的には財務諸表の有効性と信頼性というものについて判断するということになりますので、各財務諸表における監査重点というものはどういうものか、どういう違いがあるのかということを理解すること。あるいは監査手続の結果得られる監査証拠が財務諸表、特に貸借対照表にどのような位置づけになるのか。内部統制機能の評価とございますけれども、私としては理解とか、把握とかということ、いいとか、悪いとかいうことが目的じゃありませんので、理解を基軸とするリスク・アプローチというものをどのように進めていくのか。あるいは試査の範囲はどういうふうに決めていくかというようなことを計画の段階で十分に判断する。もちろん実施しながら、もう１回見直していくということをやっております。

監査戦略策定の基礎とあります。４ページ目のところです。監査戦略、つまり監査をどうやってやろうかということを考える上で主なポイントとしましては３点あります。まず一つはリスク。２番目が重要性。３番目に内部統制というふうに挙げました。リスクというところは、もちろん詳しく説明いたしますが、最低限のリスクとしては、当然財務諸表の虚偽記載のリスクをどの程度考えるのかと。それがなくなることを目的としていますので、そういうところに結びつけています。重要性といいますのは、各会社さんごとによって違いますけれども、当然財務諸表を見誤る。財務諸表にその金額の誤謬がもし発生した、あるいは不正が発生した場合には、これは読者が判断を誤るだろうというようなところから立ち返って判断をしていくというものです。内部統制は、これ自体の判断、理解ということ自体が監査手続とも言われているほど重要性があるというふうに言われております。

５ページ目、これは今までの最初の紙のおさらいみたいなになってしまうんですが、実際監査手続をするまで、あるいは意見表明をするまで、どういうことで我々の監査というのが成り立っているのか。財務諸表の信頼性といっても、それをまるごとに一気に監査する、全部やるというのは当然無理だと。そうしますと、それを構成要素ごとに細分化して見ていこうと。重要なところを見ていこうというようなことをやって、従来はここにもありますとおり、単に勘定科目ごと、例えば棚卸資産という勘定科目、あるいは売掛金という勘定科目がいいのか悪いのかというようなことを見ていましたが、最近ではそれらも含めて、基礎となる業務プロセスごとに検討するというやり方をとっています。これについては後ほど御説明させていただきます。細分化された構成要素に監査目標を設定し、内部統制を把握する。監査目標を達成すべく監査手続を実施し、その手続の量は内部統制把握の結果によって左右されるということになります。手続の結果、入手された監査証拠を評価して、じゃあその財務諸表の信頼性はどうだったのか、適正性はどうだったのかという意見表明につなげるということをやります。

次の６ページ目ですが、監査要点とは？と。

じゃあ、今さらっと監査要点としゃべりましたが、監査要点とはそもそもどういうことですかといいますと、そこにありますが、合理的な監査証拠を得るため、合理的な監査証拠に基づかないと意見表明できませんから、その合理的な監査証拠を得るために達成されなければいけない、ならない目標であり、細分化した財務諸表の構成要素に対しておのおの設定されるというものであります。これは外国の基準等によりますと、Audit Objectives、これを直訳して監査目標というふうな、目標と監査目的と重ねている場合もありますが、これを日本では従来から監査要点という言葉で表現をしておりました。

具体的な監査要点として下に五つ挙げてあります。この段階で従来ありました取引記録の信頼性というような監査要点につきましては、これ自体が最初の実在性のところ、ここにもう既に含まれている。あるいはそれ以外の項目に散らばって、万遍なく含まれている。個別に取り上げるものではないんではないかというようなことが論点整理の段階で一応整理されているという理解をしておりますので、ここでは省いております。また、連結財務諸表にかかわるさまざまな要点とかというのは当然ございますので、連結財務諸表監査ということをとれば、個別の要点ということが挙がってくるかと思いますが、連結対象会社の網羅性、あるいは各連結対象会社の個々の取引の実在性から始まって重要性というところまで含めていきますと、これでもちろん連結の財務諸表もカバーできるということも考えまして、ここではあえて挙げておりません。このような監査要点があるであろうと。これを個々の監査要点に細分化した構成要素にどういうふうに結びつけていくかというところが一つのステップになるかと思います。

次の７ページ目が今のところですけれども、監査戦略というのは、リスク、重要性、内部統制、これらの把握のもとに決めると。それを監査要点というものと結びつけていこうというんですが、そもそもこの図を見ても、私たちも最初にこういう表を出されたときに、何だこれは、よくわからない。何でこれとこれが結びつくんだというようなことがあって、じゃあどうしようかと考えたのが次の８ページ目になります。間にプロセスとありますけれども、業務プロセスを介在させてみてはどうでしょうというところです。つまり、会社を取り巻くリスク、あるいはその会社にとっての重要性、会社の内部統制の状況というものが、おのおのその会社が行われる業務に、業務プロセス、ここでは小売業等を想定していますから、購買、流通・保管、販売、債権管理というものを挙げましたが、こういうおのおのの業務プロセスに結びついているんではないかと。それらの業務プロセスが行われれば、当然取引記録の結果として会計処理が行われるだろうと。そのじゃあ会計処理が行われた結果は当然我々の目に見えるものになっていますので、それらの実在性、網羅性、権利・義務、評価・配分といった監査要点を張りつけることは可能なのではないかというようなことで、間にこの業務プロセスというものを介在させるということを考えてきているということです。

個々の要素に入っていきますと、そもそもリスクとは？というところですが、これは定義として山浦先生が挙げていらっしゃるところですが、危険性とよく言うんです。危険性というとちょっと、危険というと余りにもどぎついので、リスクと普通にしゃべりたいんですが、まず最初にInherent Risk が固有リスク、経営環境や取引の性格に内在するリスク。これはただ何でもかんでもこういうリスクというと、我々の守備範囲が広がり過ぎてしまいますので、基本的には財務諸表の虚偽記載に関連するリスクと。２番目がControl Risk、統制リスク。内部統制上の危険と。これは当然です。Detection Risk、これは我々の監査が十分に機能しないために残存するであろうリスク。最終的にその三つのリスクと掛け合わせたものが監査リスクと。監査上、最終的に残存するリスクとしては、どの程度のものがあるだろうというところを数値化しようとすると、上の三つのリスクを掛け算したものがAudit Riskというふうに一般的には説明されます。

我々がじゃあ実際に監査するときに固有リスクというのはどの程度のものを考えているかということを若干御紹介したいですが、これは私の関与しております不動産流通業者さんの監査計画書に書いた固有リスクなんです。事業概観としまして、不動産業は大別して開発・分譲業、賃貸業、流通業、管理業に分けられる。このうち会社は主に流通業にかかわっているが云々として、その不動産流通業の状況について、不動産何とか協会とか、いろんなところからの情報が公にされているものを引っ張ってくるというようなことはまずやります。

事業形態の概要。ここで外的要因、規制、これは法律が当然さまざまあります。会計制度、販売用不動産の評価基準が変われば当然影響を受けるといったところ。経済環境、例えば税法が変わっているので、不動産の流通が多くなっているというような状況。ライフスタイルの傾向、都心回帰型になっている。競合他社、さまざまな不動産会社さん、流通会社持っていますので、それらの状況はどうなっているのか。株主さんの状況がどうなっているのかというようなことをとりあえず理解はしないといけないと。

その会社の市場と顧客は主にどういうところにあるのか。

他社との協力関係はどのようになっているのかと。グループ会社であれば、そのグループ会社の内容について、関連について把握をしよう。

取り扱い商品としてどのようなところに強みがあるのか。弱いのかというようなところ。

そして、先ほど介在させるといっておりました事業プロセスとしてどのような分け方ができるのかというようなところをここで判断します。

さらに、当然ながら、その会社の使命、目的、戦略。使命というと、なかなかちょっと恥ずかしい表現ですけれども、そもそも会社さんのというよりも、社長さんのなのかもしれませんが、どういう方針を持って事業を行っていらっしゃるかというようなところについては、直接お話を伺ったり、いろんな公表物なども拝見しながら理解をしていきたいと思っております。それが最終的に目標、あるいは実際の戦略、もっと落ちてくれば予算というものになるかと思いますが、そういうものにどのような結びついているか理解したいと考えております。

そして、戦略リスクの分析として、それらの戦略と、それに伴う事業リスク。例えば打って出るという戦略を立てた場合、どういう反動が来るのかというようなところについては、我々は我々なりに考えておかなければいけないと。どういうところに影響が出るだろうということを予測しておくというのがこのあたりです。

そして、その実際起こり得るだろう、起こり得る可能性のある事業リスクについて、発生可能性を縦軸に影響度合いを横軸にとってマトリックスをつくり、発生可能性が高く、影響度合いが大きいと思われるようなリスクについては、実際それがどういう形で財務諸表に影響するかというようなことを前もってある程度予想しておこうということを行います。また、そのリスクをいかに抑えていくかと。我々が抑えることができるのであればですが、そういうことを考えております。

次の12ページ目、リスクの御説明をしましたが、内部統制の必要性と。内部統制というのは大事な判断材料なんですが、そもそも内部統制というのはどういうものか。経営者の方々、さまざまな目的を持って経営を行っていらっしゃいますので、その目的を達成するための経営方針というものがあると。その方針は当然法規を無視するものではないはずですので、関係法規を遵守することを前提とした上で、さらに適切かつ有効な業務運営・管理を行うということで、このような内部統制を設けられると。当該業務の結果については適切な記録がなければ、その把握ができないわけですから、その適切な記録が必要となり、会計記録は経営者の意思を反映して外に出されたりすると。そして、その財務報告の信頼性が当該企業の信頼性につながるということは、昨今よく言われていることだと思います。

では、内部統制とは？というところですが、最初の文章はこれは定義になるかと思いますが、適切な財務諸表を作成し、法規の遵守を図り、会社の事業活動を効率的に遂行するために経営者が構築する内部統制組織と、これに影響を与える内部経営環境からなり、その構成要素として、統制環境、リスク評価、統制活動、情報と伝達及びモニタリング――監視活動と言う場合もありますが――があると。これは従来から我々も考えていたと。内部統制というと何かというと、この経営者の方が構築される内部統制組織というところだけをどちらかというと見ていました。一番下に書きましたけれども、従来の日本の監査は内部統制組織の有無を確認するに過ぎなかったと。つまりシステムとしてはあるのかと。ある。じゃあ、いい。ただ、実際はそれがきちっと運営されて、そこから上がってくる情報に対して経営者の方が対応していらっしゃるということが分かって初めて内部統制全体として有効だということになると思いますので、それに加えて、内部経営環境というものも判断しようと。構成要素の一つになるだろうというようなことで、このような定義になっているかと思います。

この文章の内容ですけれども、実際はこれ下にＣＯＳＯレポートとありますけれども、もう皆さん御存知のとおりで、実際に内部統制という概念の定義としましては、世界中を見てもこのＣＯＳＯレポート以外はほとんどないと。私は知りません。アメリカでは内部統制に関する外部監査を行うという場合には、必ずこのＣＯＳＯのレポートの内容が準拠すべき基準となっておりますので、当然これを守らざるを得ない。さらに、バーゼルの銀行監督委員会ＢＩＳの銀行内部管理体制のフレームワークというところでこれが直接採用されておりますし、我が国の金融検査マニュアルでも既にこの考え方が導入されております。したがって、内部統制とはといった場合に、これ以外の定義を持ち出すことは難しいのかなというように考えております。

14ページ目の内部統制の考え方。じゃあ今文章ってどうなるのかと。これちょっと図が見にくくなってしまっているんですが、統制環境、リスク評価、統制活動、情報伝達、監視活動、こういったようないろんなアクションがあって、それを三つの要素、業務の有効性・効率性、関連法規の遵守、財務報告の信頼性、この三つの要素でコントロールしていこうというような全体像になるんではないかと考えています。我々が監査を行う上で関連法規の遵守、これは関係ないから業法はということもあるかもしれません。関連法規の中には当然証券取引法もあれば、税法もありますので、法律というところも当然ひっかかってくる。業務の有効性というところにおきましても、必ずしもここがダイレクトに影響するかどうかはわかりませんけれども、全く無関係ではないだろうということもありまして、この財務報告の信頼性というまるが他の二つのまるに重なっているという小細工を御理解いただきたいと思います。

15ページ目、業務の実際の流れについて、再度確認をしたいんですが、第１段階としまして、事業プロセスの理解を得るための手続の設定と実行と。ビジネスモデル書式を使用してとありますが、ビジネスモデル書式というのがアメリカの受け売りで、余りいいものでないという実態はあるんですけれども、実際に事業リスクを特定するために、何とか業なればこういう分け方はどうでしょうかというようなサンプルに基づいて事業プロセスを分解していくと。そしてリスクとしてどういうものがあるだろうというものからピックアップをしておくというようなことをやっております。重要な事業リスクと、それらに関連する内部統制を把握すると。要するに事業リスクとしても、我々が監査する立場から何か申し上げられることは限られておりますので、それに対して経営者の方々がどのような手を打たれているのかというようなことを把握しようと。それらに基づいて監査要点を把握して、危険性の高い監査要点について確認をしようというようなことをやっております。そこの内容につきましては、次の16ページにモデル図を書きました。

購買手続の例としまして、監査戦略の中でリスクとしてどういうものがあるかと。販売計画が経営環境等を考慮し、合理的に策定されているかと。経営環境を理解しなければいけない。要するに経営環境が悪くなっているのに、妙に強気な販売計画と。これはおかしいんじゃないですかというようなことは当然の疑問は持たなければいけないだろうと。購買計画は販売計画と不整合ではないかと。販売計画が下を向いているのに、購買計画だけが上を向いていると。これは大量の不良資産というか、棚卸資産の滞留品につながるのではないかというようなことは想定できると思います。不合理に不利な状況、もちろん合理的に不利な状況というのはあるんと思うんです。不合理に不利な状況になるような契約はないか。重要な意思決定プロセスがどのようになっているかと。当然その重要な意思決定プロセスがきちっととしていれば、その意思決定機関の結果だけ見ればことは足りるんですが、そもそもその重要な意思決定が機関を経ていないというような事実があった場合は、いろいろなところに手を広げなければいけないというようなことになります。もちろん一番大事なのは資金繰りに問題がないかどうかと。資金管理プロセスはどのようになっていますかというようなところについて、リスクとして挙げられてくると、じゃあ購買手続、どういうものがプロセスの中で考えなきゃいけないのか。調達ルート、調達量、価格、保管、支払条件、棚卸資産の評価と、こういったところが購買プロセスの中ではポイントとして挙げられるんではないか。こういうところが出てきます。

17ページ、監査実施プロセスの２というところ、第２段階目、その重要な事業リスクを軽減する統制手続の有効性を評価するための監査手続の設定と実行。先ほどの内部統制の把握すること自体が手続だと申し上げましたが、実際にこのようなことをやって、事業リスクがどのように軽減をされているのかということを確認をしなければいけませんので、手続を実施するということを行うことになると思います。そして、最終的に残存事業リスクを評価して、監査上の影響はどうなんだろうか。財務諸表への虚偽記載の可能性等について判断をするということになります。

第３段階としては、重大な虚偽記載のリスクに関する最終的な評価に基づき、監査要点に合った十分な証拠を得るための追加的監査手続を設定。つまりここまでで重要な虚偽記載のリスクがないと言ってしまえば、監査手続はほとんど実施しなくていいというメカニズムになっているんですが、実際はそうは言い切れないと思いますので、幾らか残る最終的な評価の結果に基づいて手続を実施しようということを思っています。

そのあたりは18ページというところ、業務プロセスから監査要点につながる部分として説明をしております。監査要点、先ほど五つ挙げておりましたが、それぞれ購買手続の場合どのような監査要点に具体的になるかといいますと、実在性というところでは、取引自体が実在するかというようなところというところがあります。もちろん棚卸資産は使っていますので、下から二つ目、評価・配分というところ、毎期末の在庫について正しく評価されているか。払出原価の算定は適切かどうかといったようなところも監査要点としては挙げられてくるかと思います。

実際にその購買プロセスの具体的な監査要点と監査手続。今申し上げた監査要点と監査手続の関係につきましては、19、20の２ページにわたって書いてあります。例としましては、供給業者に対するすべての未払い債務は買掛金に含まれているか、未払い計上されていること。これはつまり簿外の債務がないのかどうかというようなことを監査手続で確認するというようなことをやりますし、次の20ページにいきますと、下から二つ目ですけれども、棚卸資産は低価法により妥当に評価されていること。期末で残った棚卸資産に含み損がないかどうかというようなことについては当然確認しなきゃいけない。もちろんこれは重要性がある場合という前提つきですが、このようなプロセス手続を実施して、意見表明につなげていくということを我々は心がけております。

簡単ではございますが、私の説明はこれで終わりにさせていただきます。

那須委員、ありがとうございました。

松尾参考人からは、情報システムの高度化が進展する中で、今後監査において重要なポイントとなること及びこれに対応できる監査能力の開発が必要であるという御認識に基づきまして、先ほども山浦委員がちょっと関連の質問をされましたけれども、監査基準への提言として御提案を具体的にもいただいております。

また、那須委員からは、監査要点の意義とリスク評価につきまして、具体的に監査手続を例示的に説明をしていただきました。ただ、限られた時間でしたので、特に後ろのところで具体的な点についてかなり急いでいただきました。この点につきましても、この後御質問、御意見交換の中でまた補足していただくかと思いますけれども、その中で、特に内部統制の意義につきまして御紹介をいただきました。この部会でも内部統制につきましてはいろいろと御意見が、また御発言がございます。国際的にもどのように理解されているか、いろいろと問題もございます。しかし、ここでは具体的な定義はまた今後検討することといたしましても、この部会では一応内部統制という用語を、審議の中でここでも述べられましたような理解で議論を進めたいというように思っておりますが、この点も御意見をお伺いしたいと思います。

それでは、ただいまのお二人の御報告を踏まえまして、御意見を頂戴いたしたいと思います。どなたからでも結構でございます。どうぞ御発言くださいますように。

内藤委員、どうぞ。

それでは、少し三つ、四つ伺いたい点がございますので。

まず、松尾先生の御報告で、情報システムの安全性次第によって財務諸表の信頼性が大きく影響を受けると。そういう御報告であったというふうに思います。そして、これまでの監査の主たる手法であった手作業での対応ではなくて、データの信頼性、プログラムのチェック、あるいはテストデータ法など、さまざま高度な監査技術というんですかね、それが必要であるということを指摘されたんではないかと思うんですね。じゃあ、そのときに情報システムの安全性ということは非常に財務諸表の信頼性に大きな影響を与えていると。この観点について、例えばデリバティブのリスクについては、その管理体制、あるいはその管理体制の運用状況について、財務諸表の注記事項に入っていまして、それに対して財務諸表監査では当然チェックの対象となっているわけですね。そうしますと、この情報システムの安全性、安全性か、信頼性か、あるいはインテグリティというような言葉もあるんですが、そういう概念はちょっと別にしまして、そういう情報システム自体の重要性が増してまいりまして、財務諸表の信頼性が大きく影響を受けるということになりますと、システム監査が必ずやらなければならないということだけではなくて、デリバティブ・リスクの開示というんですか、その管理体制の開示というようなことと、この情報システムの安全性の管理体制についての財務諸表での開示、こういったことにもつながっていくんではないかというふうに私は考えるんですが、その点についてはどういうふうにお考えでしょうかと。

これを同じく那須先生もきょうの資料の２ページ、３ページ、４ページで、非常に内部統制を重視した監査のアプローチを主張されていると思うんですね。そうしますと、内部統制自体に監査が十分評価をした上でチェックを進めていくということはいいと思うんですけれども、その際にそれほど重要であれば、その内部統制に関する経営者の主張というんですかね、うちの管理体制はこうなっていますというようなことを財務諸表の中に、注記とは限りませんけれども、情報として載せるべきだというふうにもお考えかどうかという点がまず一つ目の質問でございます。

それから、続けて質問事項だけいいでしょうか。

二つ目は、先ほどもう一つ松尾先生に伺いたいんですけれども、情報システムの安全性という言葉が出てきたり、それから信頼性という言葉が出てきたりしたと思うんですけれども、財務諸表監査においてシステム監査を必ず行わなければならないというときのシステム監査は、その情報システムの何について必ず監査をしておかないといけないのか、チェックをしておかないといけないのか。それをお伺いしたい。

それから、那須先生については、監査要点について、取引記録の信頼性、これは他の監査要点に含まれているので、入れるべきじゃない。それから、連結財務諸表に関する監査要点についても、ここに示されている監査要点に含まれてくる可能性があるということで除外されたんです。ただ、今回の監査基準の改定に当たっては、啓蒙性ということを除外しないという前提でお話が進んできていると思いますので、そういたしますと、そういう財務諸表の項目というんですかね、それに直接関係する監査要点というのは、きょう御説明された点でいいかと思うんですが、それに間接的に関連しているような問題として、取引記録の信頼性、あるいは連結財務諸表の場合、我が国では連結になっても、まだ個別財務諸表中心の考え方というのはなかなか根強く残っているようにも見受けられますので、そういう間接的な監査要点というんですかね、そういう意味でこれもやはり明示すべきではないかということ。

それから、新しい会計基準がさまざま導入されまして、会計上の見積もりに対する監査というのが非常に重要性を増しているわけです。これは従来見積もりの相違点といいますかね、乖離が重要性の水準を越えなかったために、そんなに大きな問題になってこなかったわけですが、昨今の新会計基準では、会計上の見積もりがその乖離の幅が重要性の水準を越えるようになって、非常に大きな問題になっているというふうに考えますと、従来の監査要点で、今日お示しになった中でも、評価・配分という監査要点でおさまるというふうにお見受けするわけですが、それではなくて、少なくとも評価・配分、見積もりという監査要点と表記すべきではないかというふうに私は考えるんですが、それについてはいかがでしょうかということなんです。

それから、あともう一つ、那須委員にお伺いしたいんですけれども、きょうの資料の12ページ目に、内部統制の必要性の部分について、財務報告の信頼性が当該企業の信頼性にもつながるというふうに述べられておりまして、ＣＯＳＯで言っている内部統制は三つの目的があります。じゃあ財務諸表監査では、財務報告の信頼性を中心として内部統制を評価するということになると思うんですね。そうしますと、先ほど申し上げました監査要点、間接的な監査要点として、財務報告の信頼性の観点からする内部統制のあり方というような監査要点を出すべきではないかというふうにも考えられるわけですが、それについてはいかがでしょうか。そういうことです。

それから、これはお二人の報告じゃないんですが、一番最初にきょう参考として示された資料の中に、ＡＩＣＰＡのアカウンティング・トレンド・アンド・テクニクスの中で未確定事項の数の推移について御説明がありまして、96年、97年が２件ずつで非常に激減しているという御説明があったわけですが、少し補足して申し上げておかないといけないのは、この95年の12月にアメリカの監査基準の改定がございまして、それまで未確定事項については監査人は監査報告書に説明パラグラフで書かなければならなかったわけですね。ところがそれを書くということになりますと、それがもし監査報告書に書いてなければ、企業側が財務諸表の注記として未確定事項を開示していても、それを読者側が読まないということで、それはまずいということになって、ＳＡＳの79号に改定されて、未確定事項について説明パラグラフで述べてはいけないという改定があったために、これ激減しています。激減しているからといって,じゃあ未確定事項に関する開示がアメリカでおざなりにされているかというと、逆でして、ちょうど時期を同じくして、ＡＩＣＰＡがステートメント・オブ・ポジション94の６というのを出しておりまして、そこでは未確定事項を非常に広範囲にわたって注記しなさいと。そういう規定がありますので、この情報だけですと、何かもう未確定事項はアメリカではないように思うかもしれないんですが、そういう誤解をないようにお願いしたいと、そういうふうに思います。

ちょっと長くなりましたが、以上よろしくお願いいたします。

最後に参考資料の未確定事項につきまして御説明をいただきまして、ありがとうございました。

今、４点ほど御質問というか、御意見が述べられましたので、まず、第１点の点については、お二人、松尾参考人と那須委員でございますので、第１点と、それから第２点は松尾参考人の御質問かと思いますので、松尾参考人にはこの二つをあわせて御発言いただいてよろしいでしょうか。よろしくお願いいたします。

まず、内部統制の評価の観点、セキュリティについてというお話という理解でよろしいでしょうか。そのセキュリティの評価のどういう位置づけにあるのかということでございますが、先ほど那須委員の方から監査要点のお話があったかと思うんですが、皆様方のお手元の資料では、那須委員の方から出されております18ページを御覧になっていただいた方がいいかと思います。18ページの、監査要点でいきますと、一番上の実在性というのが書いてございますが、取引自体実在するか、棚卸資産は実在するかという、ここが実はセキュリティと密接な関係がございます。どういうことかと申し上げますと、取引で例えばこの１億円の資産を売りましょう、１億円いただきますよというような行為をします場合、上司の印鑑を押してくださいというようなことが承認ポイントとして必ず物を出荷する場合、お金をいただきました、確かにお金をいただきましたというようなこういったところで、印鑑を押すというところでチェック機能が承認という形で入っているわけでございます。この承認行為そのものが今印鑑ということで行われているわけなんですが、先ほど来御紹介しておりますインターネットになりますと、印鑑はなくなっていくわけでございます。

そして電子署名法ということで来年の４月からは印鑑をなくして、パスワード入力でいいですよという形。パスワード、ＡＴＭで言えば、皆さん４桁の暗証番号を入れてお金を引き出していらっしゃるあの暗証番号がちょうど印鑑に相当するものに当たるわけですが、その暗証番号をちゃんと入れてくださいという部分が、果たして暗証番号は入れたままコンピュータの処理にかかっているでしょうか。途中で変な人が来まして、改ざんをしていないでしょうか。あるいはコンピュータまで届いたデータが、お金を出す前に変えられていないでしょうかと。そういったガード、プロテクションがかけられていますかというのがセキュリティという面では大変重要な問題になってきております。ですから、インターネットを入れた商取引をおやりになるお客様については、この延長線上で、当然のこととしてセキュリティの評価はしておりますというのがまず第１点のお答えでございます。

それから、システム監査が必ず必要だということで、どんなことを最低すべきかという２番目の御質問でございますが、これにつきましては、先ほど資料１という中で、御説明の中で省かせていただいている部分がございますが、４ページをごらんになっていただければというふうに思います。４ページの明文化すべき内容ということで、一番下の方に書いてございますが、国際監査基準に記載されている内容を明文化すべきであるという言い方、これすなわちshouldですから、例外がない限り行わなければいけないという意味で言えば、最低限という意味になるかと思います。

そこに三つ要約したような言い方をしておりますけれども、まず、１番目としましては、被監査会社の有するＩＴと情報システムが財務諸表に及ぼす影響、固有のリスク及び内部統制上のリスクを監査人は十分に評価し、監査を計画実施することということで、先ほど那須委員の方から御紹介がありました、監査計画時において十分にＩＴ及び情報システムの持つリスクを勘案していただきたいというのが一つございます。それから、２番目としまして、記録の上に載っておりますデータの信頼性、３番目としまして、記録の上に載っているプログラムの手続そのものの信頼性というのをチェックする必要がございますというのが最低限という言い方に対するお答えになるかと思います。

それからもう一つ、大変示唆に富む御質問がございましたけれども、そういった内部統制についての開示を経営者そのものがすべきではないかというようなお話がございましたが、こういった議論は、いわゆる投資家サイドからの期待という言葉で、前回のパリで行われました世界会計士会議の場でも、システムのそういった記述の情報がよりこれからは重要になってくるんじゃないかというふうな御紹介がございましたが、まだそれが制度的にＩＦＡＣ等で取り上げられてくるところまで議論が成熟はしていないんじゃないかと、こういうふうに理解をしております。

ありがとうございました。

御議論をいただく前に……、どうぞ。

ちょっと内藤委員に御確認したいんですが、今の開示の件なんですが、おっしゃられた趣旨について御確認をしたいんですが、今、財務諸表では例えばデリバティブの注記があると。デリバティブの注記は金額、いわゆる定量的注記のほかに定性的注記がある。これは他の注記にはほとんど見られない特徴である。それはデリバティブが極めてリスクが高い、あるいは重要性が高いという趣旨から、そのリスク管理体制についても特に求めていると。そこに書くことによってそれ自体が注記事項ではあるけれども、監査対象に直接なると。そういうシステムをつまり内部管理、情報システムについても入れることによって、情報システムに関する監査を、開示を課すことによって直接の監査対象にした方がいいのではないかと、こういう御趣旨でしょうか。

内藤委員、どうぞ。

今言われたようなことを考えていますが、ただ、その際に情報システムの何を監査の対象とするかというのはまた議論があると思うんですね。でも、その情報システム自体の重要性が、じゃあデリバティブのリスクを評価する上で重要なのと同じように、情報システムに関するリスクが非常に重要であるとするならば、それも当然に入ってくるべきではないかというふうに考えたわけです。

ただ、せっかく御発言させていただいていますので、松尾先生に大変詳しく教えていただいたんで、よかったんですが、その最初に情報システムの安全性のお話をされたんですけれども、監査基準の中には、先ほど言われた三つの項目ということになりますと、情報システムが財務諸表に及ぼす影響を十分評価するとか、データの信頼性ということになると、安全性だけではないようにも思うんですが、その点はどういう関係になっているんでしょうかということなんですが。

先ほどの御質問の中でインテグリティという言葉を御紹介されたかと思いますか、私どもがデータの信頼性ということを評価します場合に、基本的には三つの評価のポイントを見ております。一つが網羅性という言葉、これは監査要点の方にも入っておりますが、完全性という言葉を使う場合もございますが、取引事象が漏れ、重複することなく捕捉され、記録されているという意味でございます。例えば今日100件の売上があるのに、101件記録されているというのは重複があるだろうと。あるいは99件であれば、抜けがあるだろうという、こういったことがチェックされるようになっておりますかというのが第１番目の網羅性の評価ポイントでございます。

それから、２番目が正確性という言い方をしておりますが、それぞれ１つ１つの取引の例えば金額、数量、単価、相手先のお客様の名前といった、そういったデータの項目が正しいかどうかという、詳細なチェックという意味になるかと思いますが、言葉を変えますと、取引事象が起こったとおりに正しくデータ属性を記録しているかというのが正確性というお話でございます。

最後に、正当性というお話がございまして、この正当性、すなわち承認ということなんでございますが、その企業が経営者が意図したことのみが行われるようなチェック体制が入っていますかと。これを具体的に言いますと、会社の内部の規定がありまして、権限規定がありまして、必ず印鑑を押して判断を求めますよというのがある意味で経営者の意図に従った行為が行われているかという、こういうお話でございますが、この正当性の部分が抽象的なんですが、結構先ほど実在性という言葉で申し上げましたように、重要な機能を果たしておりまして、我が国でも印鑑を押すという、めくら印を押す場合もありますけれども、自分が責任ある印鑑を押す場合には、やはり注意して押されますねという、そこのチェック機能というのが大変重要な役割を果たしております。この三つが基本的には私どもが信頼性を評価する場合のポイントになります。この全く同じことがプログラムをつくる場合にも同じチェックポイントが必要だというふうに私どもは申し上げております。ただ、ターゲットになるのがデータではなくて、複雑なプログラムになっているという、それが磁気媒体の上に記録されているという違いがございますけれども、複雑になる部分、チェックのテストが大変だとかいうようなことが実務的な問題にはなりますが、そういった大変なチェックが行われているかということ。コントロール、統制という言葉は、基本的には記録とチェックの仕組みで動くわけでございますので、これが整理されているかどうかということを見せていただいているということでございます。

まだ御議論続くと思いますけれども、内藤委員からまだ御質問がありますので、那須委員に、今、監査要点に踏み込んだいろいろ御議論が出ておりますので、第１の問題、それから第３の監査要点を巡る問題、それから第４の問題と、この三つを含めて御意見をお述べいただきたいと思います。

内藤先生と何かをやりとりするということを想定してなかったわけではなくて、特に監査要点のところであの連結というところは多分に先生を意識した発言をしたので、当然聞かれるだろうと思ったので、想定問答をつくっておけばよかったんですが、余りそこまで準備をしておりません。

まず最初のところで、開示の件ですけれども、内部統制が重要なら、経営者の方々の内部統制に対するいろいろな考え方等について開示したらどうかというところなんですが、これは私の考えですが、今までのことはちょっと置いておいて、例えば監査の中で我々が意見表明する中でつかまえなければいけないこと、理解しなきゃいけないことが100あったとすると、そのうち内部統制と手続を足して100になればいいということを考えています。ですので、内部統制が極めて有効に働いていて、90％カバーできていると思えば、手続は10％でいいと。逆に内部統制が三、四割だなという判断をしたら、60％、70％の手続を踏まないことには意見表明につながらないと、そういうふうにもし考えた場合に、その内部統制の部分だけを開示するというのは、意見表明との関連からするとアンバランスかなと。もしそこまでやるんであれば、監査手続としても何をやったかということを我々が具体的に手を下したことについても書かなければおかしいんじゃないかなと。それは単純に90％の内部統制があるからというふうに書いておいて、何かがあった場合に、いや、それは内部統制が９割だったからだよという言い訳をしたりとか、あるいは三、四割だという内部統制の評価がもし書かれたとして、それで監査手続をちゃんとやらなかったから意見表明が間違えてしまったというようなときにも、内部統制だけを言い訳にするようなことはいけないと思いますので、もし出すんであれば、監査手続自体もそれについて何やったかと書かなければバランスがとれないのかなというふうには思います。ですから、もう書かない方がいいということでは一律的ではないんですが、じゃあ、それを書くときにどうしたらいいのかというと、またそれについもルールが当然必要になってくるのかなと。組織的なものは書きやすいと思いますから、運用状況、環境等について書くのはさあどうでしょうかというようなところが実際の問題としてあると思います。それは私の意見です。

監査要点の方ですが、まず、啓蒙性があるので、取引記録の信頼性あるいは連結の要点等について個別に挙げた方がいいんじゃないかという先生の御意見でした。その御指摘は多分あるだろうなと思っていたのですが、うまくちょっと答えにくいです。ただ、ここに挙げている五つの監査要点と並列で並べるべきものかなということは少し考えておりました。個別のここに挙げた五つの監査要点ということと、これを縦にすれば、横軸として取引記録の信頼性だとか、あるいは連結財務諸表の要点だとかというものが出てくるんではないかというふうに私としては考えておりました。横断的なものなんだなというふうに思いますので、要点としての挙げ方としてここに五つとを並列に並べるというのは、私としては余りどうかなというふうに考えておりました。

それともう一つ、見積もりの件ですが、これは多分明確に盛り込んでおいた方がいいんじゃないかというのは、これは個々の監査要点の題名について、これは山浦先生のものでもないんですが、一部ちょっとはしょってしまったところがあるんですが、これはとりあえずここで挙げることで使っておりますので、今後の議論の中でどういうタイトルにするか。もちろんその定義も含めてですけれども、考えていくべきではないかなと考えております。ですので、評価、配分、見積もりとする方がよいという判断をみんながすれば、そうなるんだろうと思っています。私は特にこだわりはここにはありません。

それと、内部統制を前提とした監査ということが重要で、財務報告の信頼性云々というところから、監査要点としてというところがありましたが、監査要点は、合理的な監査証拠を得るために達成されなければならない目標で、合理的な監査証拠を得て意見表明することが財務報告の信頼性に対する我々のアクションだと考えれば、これらの監査要点の、先ほど横断的にと言いました。さらに今度は上に乗っかると。図を書くとわかりやすいのかなと思うので、ちょっと考えたいんですが、そういうふうな位置づけになるというふうに思いますので、これも監査要点と並列に並べるのはどうかなというふうに個人的に考えておりました。

一応質問の御指摘を受けた点について、私の考えは以上です。

内藤委員はまた御質問あるかと思いますけれども、いかがでございますか。時間が来ておりますけれども。

どうですかね。そういうふうにお答えいただいて、私の考え方が過激かもしれませんけれども、しかし、そういう方向性にも、そういう実務経験豊富な先生からサポートがあったというふうに私考えています。ただ、その際に重要なのは、財務諸表の信頼性の監査で保証しているというその信頼性の意味だと思うんですね。財務諸表にさまざまなリスクがある以上、そのリスクがこれまで財務諸表に載っていないんであれば、それを載せて、その上で信頼というふうに言わないとだめなんじゃないか。そういう基本的な考え方があったものですから、あえて少し過激な質問をした次第です。どうもありがとうございました。

ありがとうございました。大変意義深い御指摘もいろいろいただきましたし、また御議論を尽くさなきゃならないところも内藤先生のところにありますけれども、恐縮ですが、時間的なこともありますので、他の委員の方々の御発言もいただきたいと思います。

では、どうぞ渡辺委員。

すごく具体的に那須委員にお伺いしたいんですが、13ページの表をながめていまして、これを法令の遵守、業務の有効性、財務報告の信頼性と。これ全部経営者の方がするのは当然ですけれども、監査するというと、相当大変ではないかと思いまして、例えば自動車会社のリコールの問題というのがありましたが、ああいう問題について、例えば会計監査の方でクレーム情報が集まるところを見て、その後のクレーム処理がどうなされているかということを監査するのかどうか。それから、最近ですと、食品メーカーでたくさんの異物が入っていたというような事件がありますが、これもマーケットの方から見ると大変な事件で、たまたまその株を持っていた人はひどい目にあっているわけですから、関心の高いところなんですが、例えば今期の監査ではそういう生産過程について、リスクですか、力を入れた監査をすると。そういうようなことに現在なっているのかどうか。あるいはこの内部統制ということを導入した場合には、そういうふうになっていくのかどうかと。その辺をどんなふうにお考えか、お聞かせ願いたいんですが。

ただいま渡辺委員から大変具体的な例をひいて、この内部統制にかかわる御質問がございました。那須委員に御説明をいただきたいと思います。

非常にセンシティブな問題なんだなと思います。例えばきのうの新聞に出ていたと思うんですが、某自動車会社が移転価格税制で税務当局から指摘を受けて追徴されるというような記事がありまして、そこで担当の会計事務所はそれについて、危険性についてちゃんと警告していたというようなところまで挙がっていて、ああ、よかったよかっと、ちょっと安心した部分もあるんですが、我々はふだん会計士として仕事をしておりますので、税務申告について責任を負うとか、そういうことはやっちゃいけないということになっていますが、当然その税法という法規を遵守しなければ、後々財務諸表に重要な影響が出るであろうことは容易に想像ができますので、それについてコメントをするということは当然の仕事としてやっているんだろうと思います。

ただ、ではその自動車会社さんのクレーム処理からリコールにつながる行為ですけれども、このあたりは私ちょっと自動車会社の監査をさせていただいておりませんので、具体的な勘定科目等は正しくないかもしれませんが、いわゆる製品保証引当金みたいなものというのを使っていらっしゃると思います。そうすると、その計上根拠としましては、この会社さんがつくられている自動車に対して何台どういう形で修理をしなきゃいけない、その会社負担で修理をしなければいけないというようなことは考えると思います。ですので、その計上、先ほど見積もりと出てしまった。ここで余りあのようなことを言うとまたちょっと弱くなってしまうんすが、当然何台つくって、何台自費で修理をしたから、これぐらい翌年は引当積んでおかなきゃいけないだろうというような議論はしていると思います。ただ、それがきちっとしたクレーム処理が行われていて、それがリコールにつながっているかというのは、これは内部統制というのはそもそも経営者の方がつくられるもので、経営者がオーバーライドすると。マネジメント・オーバーライドに対しては全く無力になるということがありますので、そこまであったらば、我々からは何も意見というか、何も我々の方から警告を発するというようなことはできないと思います。意図的に隠されたものについては、会計士は当然それを見つけるというにはならないと思いますし、できないと思います。

食品会社さんの異物の混入の件につきましては、これは極めて我々の専門外のことではあるんですけれども、例えばＨＡＣＣＰという規格を取られるというようなことがあれば、当然どういうことなんですかということは伺っていますし、ＩＳＯを取ると言えば、どういう過程において取られたんですかというふうなことは伺っております。我々も資格商売をしておりますし、そのような規格を取られるということはそれなりの効果が当然あるんであろうというようなことを考えて判断をしているという部分が少なからずあるとは思います。ですので、今回の異物の混入事件等につきましては、会計士としてそれに何かできたかというと、余りできなかったんではないかと。今後もそういう事件が起きて、会計士何やっていたんだと言われてしまうと、どうしてかなということは言わざるを得ないというふうに思います。

この点については、最初に戻れば、関連法規の遵守、業務有効性、効率性、財務報告の信頼性、このうち三つすべてに対して経営者の方と同じレベルで我々が内部統制について把握をする、理解をするということではないとは思っております。当然、先ほど内藤先生の御指摘もありましたが、財務報告の信頼性というところが一番重点を置くところでありますので、それ以外の２点については、そこに関連をするところがかかってくるというふうに考えておりますので、そこから離れた部分につきましては、理解をしようと思いますが、その理解から何らかの警告を発するというようなことが当然行われるというふうには考えておりません。

大変難しい問題につきまして、那須委員から詳細にお答えいただきましたが、藤田委員、もしくは伊藤委員から御発言いただけるとよろしいですね。

先ほどのお答えと若干違った視点で、システム監査という視点からどうなんだろうというお答えをしてみたいと思うんですが、同じ13ページを御覧になっていただきまして、先ほどモニタリングと情報と伝達というところの構成要素があるかと思うんですが、私どもがモニタリングあるいは情報と伝達というところを重視しておりますのは、これＣＯＳＯが出てきました背景は、80年代後半に、適正意見を出したのに、どうしていわゆるセービング・アンド・ローンというような小さな金融機関がばたばた倒れるんだろうと。イクスペクテーション・ギャップということで、監査人の意見が十分に効果を出していないんじゃないかと。そういったところから、内部統制の範囲を拡大して見なければいけない。すなわちビジネス・リスクに対して経営者が十分船長としてモニターしている能力があるのかどうかを評価しなさいというお話でございますね。この部分が我が国ではまだ十分に理解されていないんじゃないかというのが実は一番大きな問題でございまして、先ほどのような車の例でいきますと、そういった状況が十分にまず捕捉されるという情報システムをつくる必要があります。それを伝達、コミュニケーションがトップマネジメントまで上がるようなモニタリング体制を実はつくらなければいけないというのが一番大きな課題なんですね。透明性を上げなければいけないというのがこのＣＯＳＯの言っていることなんでございます。

これはフィナンシャル・リスクについてのデリバティブも全く同じでございまして、グローバルに動いているマーケットリスクを毎日マーケットバリューで値洗いをしなさいという、情報の捕捉をやりなさいと。そして、それを伝達して、本部のリスク・マネジメント部門がモニターしなさいと。そして、異常点があればすぐトップに報告しなさいと、こういうシステムをつくりなさいというふうに言っているわけでございますね。この理解が我が国ではほとんどまだされていないというのが一番致命的な問題だということでございます。世界が求めている内部統制のレベル、チェックレベルはそのレベルだということでございまして、これはある意味で情報を使って企業をちゃんと競争力をつけるということと全く裏腹の関係にございまして、そこが我が国の場合大変後れているという問題が実はございます。それが競争力、経済競争力がどんどん落ちていく一番主たる理由でございます。

ありがとうございました。

先ほどちょっとお名前を挙げてしまって失礼いたしましたけれども、御発言いただければありがたいと思います。

私はじっと御意見を拝聴しておりまして、私自身はＣＦＯであり、情報システムは大体どこの会社でもＣＦＯというのはＣＩＯを兼務している人が多いんですよね。でも、私は代表取締役であるということで、トップ、私どもは代表取締役が３人いるんですが、そのうちの１人であるということで、皆さん方のお話をずっと経営者として拝聴もし、みずから反省もし、考えておったわけですね。ちょっとなかなか考え方が整理できておりませんけれども、まず一つは、日本のコーポレート・ガバナンスというような独特の制度がありますと。これは商法学者の宮島先生の御意見はあろうかと思いますが、私の考えからいけばそう思っています。

つまり取締役会というものがあって、それは株主総会で決められたものである。同時に、株主総会において監査役というのが選出されている。これはアメリカにもヨーロッパにもない制度であって、したがって、いわゆる監査役、内部監査人ですね、常任監査役があり、非常勤監査役があると。実質的には社内の中にくっついたものでして、内部統制グループがおります。これはいろいろな形で名前は呼ばれておりますけれども、監査役室だとか検査役室だとかいうのがある。もちろんその位置づけというは必ずしもその企業の中で地位が高いか、低いか、いろいろありますが、機能として厳然とあると。こういうことですね。

企業は常にリスクを、我々経営者というのはリスクを持ちつつ、それをミニマイズして経営をやっているわけですね。つまりノーリスク・ノーリターンであって、ある程度リスクを覚悟しつつ経営をやらなきゃいけない。しかし、そのリスクが社会の制度とか道徳に反することはできない。つまり企業のコンプライアンスというものについては徹底的にやはり解明をすることが重要である。それから、経営者の倫理性も基本的に大前提であるということです。したがって、世の中を騒がしていろいろな問題が幾つかあるんですが、経営者そのものの倫理性だとかね、あるいは企業そのものが世の中の法律に違反したコンプライアンスを守らないということについての社会的責任というのは、ちょっとここは論外に置いておかなきゃいけないと。つまり企業がもう意図的に作為をして、損益を改ざんし、やったことについてのこれをチェックし、その財務諸表で明らかにしていくというのは、これはもう当然のことではないかと私は思っているんです。それはまず第１段階として、先ほど内藤先生からお話があった財務諸表でもってチェックしていくということは、これはもう当たり前のことではないかと私は思っています。企業としてもそういう意味ではコンプライアンスを社内の中でそういう体制を敷き、それから常任監査役を含めてざーっとやっていますけれども、それを会計監査人の公認会計士さんに絶えずチェックしてもらって、我々自身も大変それを期待しているわけだし、しかし、そういうことがあってはいけないと思って、それは大変企業の恥だから、まずはそういう我々社内の中でそういうことが起こらないようにチェックしている。税務上の問題も同じことですけれどもね。

一方において、企業自身が既に事業採算をチェックするんです。我々ＩＲＲとか、いろいろなことをやってですね、ディスカウント・キャッシュフローなどいろいろなことをやりますけれども、先ほど売上の話がいろいろ出ていましたけれども、常に売上の予想なんか絶えず変動するし、事業性格は全部事業の投資採算さえが上がれば、どこの会社でも利益率は30％ぐらい上がっているわけですね。そんなに甘いものではない。したがって、必ず事業についてはいろいろなリスクが伴って事業の採算性と落ち着くところからして事業経営をやっているわけですね。それについては、我々経営者は何ら恥じるところはないわけであって、それによって配当責任を全うすれば、我々は株主に対して十分なことができるではないかと、こういう判断です。これが経営者としての我々の判断だと。恐らく経団連も同じ全体的な考え方だろうというふうに私は思っています。

それについて皆さん方がどうこう言われていることではないだろうと私は思うんですが、ここで一言だけちょっと申し上げなきゃいかんですけれども、那須さんからも前にそんな話があったんですけれども、つまり企業というのはそういう内部統制組織をきちっとやりつつある会社と、これは企業の規模にもあり、その質にもあって、大変いいかげんにやっているというか、いいかげんにしかできない規模の会社と質の会社もあるので、それを同じような会計監査人の方々の監査をすべて同一にやって行っていくというのは果たしてどうかなと。つまり、それはやはり効率性を旨としていかなきゃいけないということは重要だと思います。

それで、今度は松尾さんの話も言わなきゃいけないんですが、大変重要なことを再度松尾さんは言われたんだけど、我々経営者が一番おそれているのは、我々に情報が正確に上がってこない。一番の問題なんですよ。つまり下の方で全部情報が回ってきて、都合の悪い情報は押さえられて、それが会社の致命的な大きなものになるということが、幾らその事業の採算性であっても、それは非常に膨大な損失が出てしまうと。それが確かにトランスペアレントになってない組織において出てしまうというところが問題なんです。デリバティブの問題はちょっと違うんですが、デリバティブというのはヘッジングであって、基本的に言えば、採算の不安定要素をなくするために我々はヘッジをやっているわけですね。その中の一つのやり方がデリバティブです。しかし、そのデリバティブを利用して本当にリスクを張ってする人がアメリカかどこかにいて、それの結果がトップに上がってこなくて、それが膨大な損失になり得ると。こういう社内の内部体制組織というのは、これはやはり経営者の欠陥なんですな。経営の欠陥であるから、それについていわゆる代表訴訟が行われて、それに対応して我々はそれに耐えるということは、これはしようがないんじゃないけど、私は判決の一部は見ておるわけです。

しかし、そういうことが非常に大きな企業のボーダレス・エコノミックの一環になってくると、出てくるという可能性がね、従来の限られた日本という国の社会とは今や違ってきていますから、その影響が非常に大きくなってきたという点においてね、我々はこの内部統制組織も重要だし、皆さん方のこの監査についても重要だと思うし、それだけに期待もしているわけですね。しかし、効率は一方で上げてもらわなきゃいけない。そのためにコンピュータ化を猛烈にやっているわけです、どこの会社でも。それが一番やはりそのコンピュータ化で期待して、我々としては、松尾さんおっしゃったように、やはり上の方にトラスペアレントにすーっと上がってくることが重要なんです。ですから、きょう皆さん方がおっしゃったことは、それぞれが大変正しいことをおっしゃって、私は経営者として大変勉強になりましたけどね。基本的にやはり日本の内部統制そのものは私は決してだめではないと思っています。ただ、その今のコンプライアンスのやり方がですね、日本はアメリカとちょっと違う、訴訟社会じゃないですから。それから、コーポレート・ガバナンスが日本独特のものだから、根本的に変えるというんだったら、コーポレート・ガバナンスそのものをどういう形で変えていくかという商法上の問題もあわせて検討していかないといけないんじゃないか。

以上、私から申し上げておきます。

ありがとうございました。

他の委員、補足の御質問よろしゅうございますか。はい、どうぞ。

せっかくですので、松尾先生にちょっとお伺いしたいんですけれども、実務の面で、米国の方が我が国よりもはるかに進んでいるかと思うんですけれども、具体的にどういう面で我が国と米国で差がついているのか。時間とか、従事している人の質の問題とか、それから監査法人の管理体制とかという面で。システム化の状況が日本とアメリカとかで違うと思うんですけれども、そういう面を考慮した上で、我が国としてどういう点で改善が必要かというのをちょっと簡単に教えていただきたいんですけれども。

システム監査というお話、あるいは内部統制評価というお話というところに限ってお話をさせていただきたいと思いますが、我が国の場合、極めてその評価のために充てる時間が少ない。これは監査時間全体の時間が少ないという影響もあると私は理解をしております。第１優先がどうしても最終成果物である財務諸表の開示そのものの正確性、妥当性のチェックに時間が充てられる結果、それを生成するであろうプロセス側のチェック体制に十分に時間が実はとられていない。とられていない結果、当然システムの評価に対しての時間もとられないということでございまして、ここに来ていろいろな問題が出てきておりますので、外国の特にビッグファイブと提携しているところは海外からかなり品質的な面からのクレームが出ておりますので、内部体制の充実ということで、そういった情報システムの評価ができる人員の強化には取り組んではおりますけれども、いかんせん監査基準の中に明確にうたわれていないもの、いわゆるshouldではない、外して、理由づけを明確にしなければいけない状態にまだないわけでございますから、全体的な評価の中でいつも隅に追いやられるという運命になっているというふうに私は理解しております。

それに対して、米国の場合には、先ほど申し上げました50号の中で、一般の監査人を律する内部統制の監査基準の中に明確に情報システムも見なければいけないという一文がうたわれておりますから、これはshouldでございますから、外す場合にはむしろ理由づけが必要だという形になっておりますので、まずそこが一つ大きな糧になるのではないかというふうに思っております。

それから、米国における人員が果たしてどれぐらいかけられているのかというお話でございますが、10年ぐらい前に一つの大きな米国の事務所で500人ぐらいのシステム監査の専門部隊がいるというのが一番大きな例でございまして、少ないところは10人かそんなものだというところもございましたけれども、ごく最近スタディが出ておりまして、これから５年先どうなるんだろうかということでございますが、これは人数としては１万人とかですね、そういったオーダーの数字が出てきておりますが、これは一重に一般監査人が情報システムも評価する能力を持たなければいけないという意味でそういった数字を出してきているということでございまして、監査人自身がそういったデータの信頼性のチェックができる能力をすべて持つ必要があるんじゃないかというのが私の意見でございます。

ありがとうございました。

いろいろとこの問題はまだ重要でございますけれども、きょうも御審議をいただきました。松尾参考人にはありがとうございました、御出席いただきました。

定刻を少し過ぎておりますので、本日の審議はこの辺で終了させていただきたいと思います。

なお、次回につきまして御案内いたしますと、11月９日木曜日の午後２時から開催させていただきます。通常金曜日でございましたけれども、今回だけは11月９日の木曜日の午後２時にさせていただきましたので、どうぞ御留意くださいますようにお願いいたします。

なお、次回からはゴーイング・コンサーンの問題を詰めてまいりたいと思っておりますので、本日特記事項等をあらかじめお配りしておりますが、どうぞよろしくお願い申し上げます。

それでは、本日の部会はこれで終わらせていただきます。どうもありがとうございました。