「結果の保証」と「プロセスの保証」

　こんにちは、丸山満彦です。サーベンス・オックスリー法（Sarbanes-Oxley Act）に基づく内部統制の監査が米国で義務付けられています。その流れが日本にも及びそうですね。
　監査は、何を保証の対象とするかで「結果の保証」と「プロセスの保証」に区別することができます。財務諸表は、1年間の企業活動を会計基準に従い処理した結果ですから、財務諸表監査は、「結果の保証」と言えます。一方、内部統制の監査はその結果が正しく生み出される「プロセスの保証」ということができます。ISMSやJISQ9001、JISQ14001などのマネジメントシステムの監査も「プロセスの保証」と言えますね。

この２つの保証について

①「どちらがより利害関係者から見て有用か」

という観点から比較し、

②「結果の保証をするためには、結果を生み出すプロセスの評価も行う」

という観点から、その関係を考えてみます。

【①どちらがより利害関係者から見て有用か】

　利害関係者からみると、結果の保証というのは、直接的に利害に関係します。例えば、投資家がある企業に投資をしようとした時に財務諸表を見て投資するわけですから（財務諸表だけではないですが・・・）、その財務諸表が適切かどうかは非常に重要です。

　しかし、今回導入が検討されている内部統制の監査は、その結果を導き出すプロセスの適正性についての監査ですから投資家にとっては、間接的と言えます。そういう意味では、投資家にとって、内部統制の監査結果の利用価値は財務諸表の監査の結果に比べると高くはないと言えます。

　ISMS、JISQ9001、JISQ14001の監査もマネジメントシステムというプロセスの監査ですから、利害関係者からみると監査の結果は間接的な影響に留まります。例えば、データセンタに個人情報を含むデータ処理を委託している者からすると、委託者が期待している情報セキュリティ対策を行なっていることが結果的に行われているかを監査して欲しいはずです。しかし、ISMSの監査は、委託先が期待している情報セキュリティ対策を行うためのプロセスがISMS評価基準に従っていることを監査していることに留まるためその影響は間接的です。
　
　以前から、委託先がISMSを取得していることを委託の条件にすることはおかしいという話をしています。委託先が期待する情報セキュリティ対策を行っている事を監査しているのであれば、その結果は有用です。しかし、委託先が決めた情報セキュリティ対策を行うプロセスが保証されているに過ぎませんから、ISMSの認証取得をしていることだけで、委託先を選定することはだめですね。

【②結果の保証をするためには、結果を生み出すプロセスの評価も行う】

　財務諸表監査では、財務諸表が適正である事を確認するために、その財務諸表を導き出すプロセスの内部統制が適正であることを多くの場合確認しています。結果の保証を行うためには、プロセスの保証も途中でおこなわれているのが通常です。例えば、売上金額が適正であることを確認するためには、その売上高を導き出す販売プロセスにおける内部統制が適正であることを確認しています。そして、その内部統制が有効に機能していることを前提として、例えば、実際の販売取引が実在するものであるかどうかを確認していくことになります。

　しかし、内部統制（プロセス）の有効性を確認せずに結果を直接的に監査人自らが確認する場合もあります。例えば、借入金が本当に実在しているかどうかは、監査人が直接銀行に問い合わせることにより確認することができます。

　つまり、結果を保証するためには、結果を生み出すプロセスの評価も行ってはいますが、それは必須事項ではないということができます。

　内部統制の監査をすることによる追加的な監査手続は、現在検証していない内部統制を新たに検証しなければならないことの他に、既に評価している内部統制についてもより深く監査手続をしなければならないことです。
　米国の調査結果によると、今までの監査手続の1.5倍の監査手続が必要になると言われているようです。

＝＝＝＝
　通常、利害関係者は結果の保証を欲しているはずです。財務諸表監査では、その結果の保証が既に行われていますから、その結果を導き出すプロセスの保証を行うことの有用性は、コストと比較して検討されなくてはなりませんね。

＝＝＝＝
【参考】　
■企業会計審議会　議事録・資料
　内部統制部会の資料を読めば、これからの流れが見えてきますね。