「日本版SOX法」が制定され、2009年3月期からの決算以降、すべての上場企業に対して、「内部統制報告書」作成と監査が義務付けられることになりました。
ところで、「内部統制のすべてがわかるプロフェッショナル」という人はいるのでしょうか? 答えは「NO」です。経営者が構築しなければならない内部統制は非常に広範なため、すべての領域の専門的な知識や経験を持った人はいません。
しかし、「財務報告に係る内部統制」や「内部監査」などの特定の領域のプロフェッショナルは存在しています。本サイトでは、近年注目されている以下の3つの資格をはじめ、内部統制のプロフェッショナルとされる資格の概要・合格率・日程・試験会場などを解説しています。
CIA(公認内部監査人)
米国の内部監査人協会(IIA)が授与する内部監査の国際資格です。日本語受験が可能です。
日本では、公認会計士による外部監査を重視する傾向が強かったのですが、相次ぐ企業の不祥事により、内部監査の重要性が高まるなか、この資格への期待が大きくなっています。
特に日本版SOX法の制定以降、内部統制システムの整備が急務となり、内部統制評価に関連する監査業務が急激に増えた結果、需要が急激に増加しています。
資格が求められるフィールドとしては、監査法人はもちろん、会計事務所や企業の財務会計部門、内部監査部門などです。
CFE(公認不正検査士)
近年、ライブドア事件、西武鉄道事件、カネボウ事件など、大企業における粉飾決算や循環取引などの不祥事が、相次いで発覚しました。
これらの事件を受け、企業にはより一層のコンプライアンス体制が求められると同時に、内部監査の重要性が改めて問われるようになっています。
そこで注目されているのが、不正の早期発見と防止、徹底した原因究明を行うCFE(公認不正検査士)です。CFEは、会計、内部監査、法務の各部門、コンサルティング会社で活躍しており、不正が起きるプロセスと背景に着目してリスクの評価と対応を行います。
CISA(公認情報システム監査人)
情報システムの監査を中心として、セキュリティやコントロールに関する高度な知識を持つスペシャリストとして認定される国際資格で、情報システムコントロール協会(ISACA)が実施しています。能力認定試験に合格し実務経験などの所定の要件を満たすことが必要です。
SOX法では、財務報告の信頼性を確保する情報システムの統制が監査の対象となっています。したがって、CISAに対する需要はこの数年で急増していますが、SOX法以前から情報システムの監査を実施する人材が不足していたこともあり、市場が求める需要にはまだまだ追いついていないのが現状です。
資格を活用できるフィールドとしては、監査法人をはじめ、コンサルティングファーム、事業会社の情報システム部門や内部監査部門などが挙げられます。
内部統制報告制度が誕生した背景と評価基準
2002年、アメリカの総合エネルギー商社のエンロンが、大手監査法人アーサー・アンダーセンと共謀して粉飾決算を行って倒産したのを皮切りに、大企業での粉飾決算が相次いで明らかになりました。そこで決算書への信頼性の回復が急務となったアメリカで導入されたのが「内部統制報告制度」です。
日本でも西武鉄道やカネボウなどの粉飾決算が相次いだことから、2008年度から金融商品取引法に基づく内部統制報告制度が導入されました。内部統制に関する規制は「会社法」と「金融商品取引法」の2つの法律で定められていますが、上場企業を対象とする金融商品取引法では、自社の内部統制の整備状況を「内部統制報告書」として評価・報告することを義務付けています。
内部統制を簡潔に表現するなら、不正を防止するための手続きのことです。内部統制という言葉が誕生する前から、会社の業種や規模によって差はあるものの、すべての会社が実施しているものです。従来、内部統制をどの程度整備するかは、経営者の判断に任されていましたが、法制化によって一定以上の精度を保つことが求められるようになったのです。
金融商品取引法では、上場企業に内部統制報告書の提出を義務付けています。会社の活動「結果」を示す決算書を規制するだけではなく、その作成「過程」を管理する内部統制の整備状況についても、経営者に評価・報告させることで、決算書の信頼性を確保するのが内部統制報告精度の目的です。
しかし、決算書も内部統制報告書も、当事者である会社自らが報告しているため、これだけでは信頼性を確保したとはいえません。そこで、会社から独立した立場である公認会計士、または監査法人が、報告の内容を確認する仕組みが必要となります。これが「監査」です。
公認会計士や監査法人は、内部統制が有効かどうかの判断を行いますが、そもそも何をもって「内部統制が有効」と判断するのでしょうか? 内部統制の対象は膨大ですので、完全な整備・運用を求めることは机上の空論になりかねません。
したがって、軽微な「不備」の存在を問題にするのではなく、それら「不備」の中に「重大な欠陥」があるか否かで、その会社の内部統制有効性を判断するのです。
ここでいう「重大な欠陥」とは、内部統制の不備のうち、一定の金額を超える虚偽記載、または質的に重要な虚偽記載をもたらす可能性のあるものをさしています。