« ISACAの監査基準、指針、手続書 | Main | IT業務処理統制 < Control Objectives for SOX »

2006.05.12

全社的な内部統制と業務プロセスに係る内部統制の関係

 こんにちは、丸山満彦です。ある人から、「決算処理統制は、全社的な内部統制なのですか?。それなら、業務プロセスに係る内部統制より前に評価しなければならないわけですよね・・・。決算処理統制(期末財務報告に係る内部統制)が全社的な内部統制なら、その後にしなければならない業務処理統制とは何ですか・・・」と質問をされました。

 内部企業会計審議会の「財務報告に係る内部統制の評価及び監査の基準のあり方について」の前文には、
=====
① トップダウン型のリスク・アプローチの活用
経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽の表示につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価することとした。
=====
 と書かれています。

 
 「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、「連結ベースでの財務報告全体に重要な影響を及ぼす内部統制」を全社的な内部統制と定義しています。報告書では、「全社的な内部統制」が数箇所でてきますね。
=====
前文
⑥ 監査人と監査役・内部監査人との連携
(前略)・・・本基準案で示す内部統制の監査において、会計監査人は、監査役が行った業務監査の中身自体を検討するものではないが、財務報告に係る全社的な内部統制の評価の妥当性を検討するに当たり、監査役等を含めた経営レベルの内部統制の整備及び運用状況を統制環境の一部として評価することとなる。
=====
Ⅰ.内部統制の基本的枠組み
4.内部統制に関係を有する者の役割と責任
(2) 取締役会
取締役会の状況は、「全社的な内部統制」の重要な一部であるとともに、「業務プロセスに係る内部統制」における統制環境の一部である。
=====
Ⅱ.財務報告に係る内部統制の評価及び報告
2.財務報告に係る内部統制の評価とその範囲
(2) 全社的な内部統制の評価
経営者は、全社的な内部統制の整備及び運用状況、並びに、その状況が業務プロセスに係る内部統制に及ぼす影響の程度を評価する。その際、経営者は、組織の内外で発生するリスク等を十分に評価するとともに、財務報告全体に重要な影響を及ぼす事項を十分に検討する。例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等がこれに該当する。
=====
(3) 業務プロセスに係る内部統制の評価
経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる内部統制の範囲内にある業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす統制上の要点(以下「統制上の要点」という。)を選定し、当該統制上の要点について内部統制の基本的要素が機能しているかを評価する。
=====
Ⅲ.財務報告に係る内部統制の監査
3.内部統制監査の実施
(3) 全社的な内部統制の評価の検討
監査人は、経営者による全社的な内部統制の評価の妥当性について検討する。監査人は、この検討に当たって、取締役会、監査役又は監査委員会、内部監査等、経営レベルにおける内部統制の整備及び運用状況について十分に考慮しなければならない。
(4) 業務プロセスに係る内部統制の評価の検討
監査人は、経営者による業務プロセスに係る内部統制の評価の妥当性について検討する。監査人は、この検討に当たって、経営者による全社的な内部統制の評価の状況を勘案し、業務プロセスを十分に理解した上で、経営者が統制上の要点を適切に選定しているかを評価しなければならない。
=====
 と書かれています。

 冒頭のような変な質問がでてくる背景には、内部統制部会の報告書に論理的な問題があるからかもしれません。

1)連結ベースでの財務報告全体に重要な影響を及ぼす内部統制を全社的な内部統制と定義した上で、
2)全社的な内部統制を評価したうえで、業務プロセスに係る内部統制を評価することを規定している
としているわけですが、
3)業務プロセスに係る内部統制の定義における「業務プロセス」が明確でなく、
4)全社的な内部統制と業務プロセスに係る内部統制の関係が明確でない
ために、
A) 全社的な内部統制であり、かつ業務プロセスに係る内部統制でもあるような内部統制があるか・・・
B) 全社的な内部統制でもなく、かつ業務プロセスに係る内部統制でもないような内部統制があるか・・・
が明確ではないわけです。

 おそらく、米国のSOX404条対応時の課題を意識し、トップダウンアプローチを義務付けたかったのでしょうが、残念ながら考えが浅かったのではと思っています。

 PCAOBの2号はこのあたりは論理的に整理されています。

つまり、PCAOB2号では、全社的な内部統制(company-level controls)の定義は、内部統制部会の定義と同じであるが、全社的な内部統制は、評価範囲をどのようにくくるのかという問題のために使われており、業務プロセスに係る内部統制と全社的な内部統制を対比させて使っているわけではないわけです。

 該当する箇所
=====
52. Identifying Company-Level Controls. Controls that exist at the company-level often have a pervasive impact on controls at the process, transaction, or application level. For that reason, as a practical consideration, it may be appropriate for the auditor to test and evaluate the design effectiveness of company-level controls first, because the results of that work might affect the way the auditor evaluates the other aspects of internal control over financial reporting.

53. Company-level controls are controls such as the following:
• Controls within the control environment, including tone at the top, the assignment of authority and responsibility, consistent policies and procedures, and company-wide programs, such as codes of conduct and fraud prevention, that apply to all locations and business units (See paragraphs 113 through 115 for further discussion);
• Management's risk assessment process;
• Centralized processing and controls, including shared service environments;
• Controls to monitor results of operations;
• Controls to monitor other controls, including activities of the internal audit function, the audit committee, and self-assessment programs;
• The period-end financial reporting process; and
• Board-approved policies that address significant business control and risk management practices.
Note: The controls listed above are not intended to be a complete list of company-level controls nor is a company required to have all the controls in the list to support its assessment of effective company-level controls. However, ineffective company-level controls are a deficiency that will affect the scope of work performed, particularly when a company has multiple locations or business units, as described in Appendix B.

54. Testing company-level controls alone is not sufficient for the purpose of expressing an opinion on the effectiveness of a company's internal control over financial reporting.


APPENDIX B
Additional Performance Requirements and Directions;
Extent-of-Testing Examples

Tests to be Performed When a Company Has Multiple Locations or Business Units

B1. To determine the locations or business units for performing audit procedures, the auditor should evaluate their relative financial significance and the risk of material misstatement arising from them. In making this evaluation, the auditor should identify the locations or business units that are individually important, evaluate their documentation of controls, and test controls over significant accounts and disclosures.
For locations or business units that contain specific risks that, by themselves, could create a material misstatement, the auditor should evaluate their documentation of controls and test controls over the specific risks.

B2. The auditor should determine the other locations or business units that, when aggregated, represent a group with a level of financial significance that could create a material misstatement in the financial statements. For that group, the auditor should determine whether there are company-level controls in place. If so, the auditor should evaluate the documentation and test such company-level controls. If not, the auditor should perform tests of controls at some of the locations or business units.

B3. No further work is necessary on the remaining locations or businesses, provided that they are not able to create, either individually or in the aggregate, a material misstatement in the financial statements.

Locations or Business Units That Are Financially Significant

B4. Because of the importance of financially significant locations or business units, the auditor should evaluate management's documentation of and perform tests of controls over all relevant assertions related to significant accounts and disclosures at each financially significant location or business unit, as discussed in paragraphs through 105. Generally, a relatively small number of locations or business units will encompass a large portion of a company's operations and financial position, making them financially significant.

B5. In determining the nature, timing, and extent of testing at the individual locations or business units, the auditor should evaluate each entity's involvement, if any, with a central processing or shared service environment.

Locations or Business Units That Involve Specific Risks

B6. Although a location or business unit might not be individually financially significant, it might present specific risks that, by themselves, could create a material misstatement in the company's financial statements. The auditor should test the controls over the specific risks that could create a material misstatement in the company's financial statements. The auditor need not test controls over all relevant assertions related to all significant accounts at these locations or business units. For example, a business unit responsible for foreign exchange trading could expose the company to the risk of material misstatement, even though the relative financial significance of such transactions is low.

Locations or Business Units That Are Significant Only When Aggregated with Other Locations and Business Units

B7. In determining the nature, timing, and extent of testing, the auditor should determine whether management has documented and placed in operation companylevel controls (See paragraph 53) over individually unimportant locations and business units that, when aggregated with other locations or business units, might have a high level of financial significance. A high level of financial significance could create a greater than remote risk of material misstatement of the financial statements.

B8. For the purposes of this evaluation, company-level controls are controls management has in place to provide assurance that appropriate controls exist throughout the organization, including at individual locations or business units.

B9. The auditor should perform tests of company-level controls to determine whether such controls are operating effectively. The auditor might conclude that he or she cannot evaluate the operating effectiveness of such controls without visiting some or all of the locations or business units.

B10. If management does not have company-level controls operating at these locations and business units, the auditor should determine the nature, timing, and extent of procedures to be performed at each location, business unit, or combination of locations and business units. When determining the locations or business units to visit and the controls to test, the auditor should evaluate the following factors:
• The relative financial significance of each location or business unit.
• The risk of material misstatement arising from each location or business unit.
• The similarity of business operations and internal control over financial reporting at the various locations or business units.
• The degree of centralization of processes and financial reporting applications.
• The effectiveness of the control environment, particularly management's direct control over the exercise of authority delegated to others and its ability to effectively supervise activities at the various locations or business units. An ineffective control environment over the locations or business units might constitute a material weakness.
• The nature and amount of transactions executed and related assets at the various locations or business units.
• The potential for material unrecognized obligations to exist at a location or business unit and the degree to which the location or business unit could create an obligation on the part of the company.
• Management's risk assessment process and analysis for excluding a location or business unit from its assessment of internal control over financial reporting.

B11. Testing company-level controls is not a substitute for the auditor's testing of controls over a large portion of the company's operations or financial position. If the auditor cannot test a large portion of the company's operations and financial position by selecting a relatively small number of locations or business units, he or she should expand the number of locations or business units selected to evaluate internal control over financial reporting.

Note: The evaluation of whether controls over a large portion of the company's operations or financial position have been tested should be made at the overall level, not at the individual significant account level.

Locations and Business Units That Do Not Require Testing

B12. No testing is required for locations or business units that individually, and when aggregated with others, could not result in a material misstatement to the financial statements.

Multi-Location Testing Considerations Flowchart

B13. Illustration B-1 depicts how to apply the directions in this section to a hypothetical company with 150 locations or business units, along with the auditor's testing considerations for those locations or business units.

001

|

« ISACAの監査基準、指針、手続書 | Main | IT業務処理統制 < Control Objectives for SOX »

Comments

英語の部分を翻訳してください。

Posted by: はまちゃん | 2006.05.19 00:23

はまちゃん

PCAOBのAS2の日本語訳は大手会計事務所のサイトで紹介されているようです。

どこの会計事務所か忘れましたが、たった4つしかないので、どうしても内容を知りたかったら、一つずつチェックして探してみればいいのではないでしょうか。

Posted by: koneko04 | 2006.05.19 12:25

翻訳があるのは知らなかったなぁ・・・。どこだろう?

Posted by: 丸山満彦 | 2006.05.20 01:49

丸山さん

気がついていらしたかもしれませんが、前回のコメントは嫌味でした。

AS2のような長い英文を訳して欲しいなどとお願いするなんて、厚かましいと思ったから嫌味を言うことにしました。

そうしたら丸山さんが場を場を和ませようという意図がみえみえのコメントをなさるから、まるでアタシがものすごく意地悪みたいになってしまいました。

で、ここでAS2の和訳のリンクを貼ったら良い人になるのですが、日本語でCOSOとかAS2とかを説明しなくてもいいような環境にいるので、探すの面倒なので探さないもんね。

Posted by: koneko04 | 2006.05.20 12:52

koneko04さん、なんだびっくりした・・・思わず、探しちゃったじゃないですか・・・。

ということで、これからもよろしくお願いします=>たまには、びっくりさせてください(笑)。

Posted by: 丸山満彦 | 2006.05.20 13:06

丸山さん

KPMGの日本語サイトで見たような気がします。KPMGでなかったら「あずさ」かな。

Posted by: koneko04 | 2006.05.20 15:21

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 全社的な内部統制と業務プロセスに係る内部統制の関係:

« ISACAの監査基準、指針、手続書 | Main | IT業務処理統制 < Control Objectives for SOX »