内部統制監査の意見形成論
こんにちは、丸山満彦です。米国では、SOX法404条に基づく内部統制の評価と監査の制度がすでに開始されているし、日本でも同様の制度が始まろうとしています。その際に肝心の監査意見形成論が整理されていないのでは、と思っています。
財務諸表監査では、意見形成論が古くから議論されてきていて、それなりの整理がついてきていると思います(ただし、それが適切かどうかは別として・・・)。
同様に、内部統制監査の意見形成論が必要なのではと思っています。私の予想ですが、内部統制監査の意見形成論が整備されていると、現在の財務諸表監査の意見形成論も若干の修正が必要となってくると思っています。
なので、内部統制に詳しい学者が監査意見形成論に詳しいわけではないので、内部統制監査の意見形成論は、内部統制に詳しい学者ではなく、監査意見形成論に詳しい学者が中心となってすべきだと思います。
いくつか気になる点を・・・
・「内部統制が有効である」と意見表明するためには、5つ(又は6つ)の内部統制の構成要素(又は基本的要素)が存在し、有効に機能していなければならない。しかし、構成要素の間にはある程度の補完関係があるので、個々の構成要素が有効であるかどうかのみならず、全体として有効かどうかもあわせて評価する必要がある。つまり、内部統制の有効性の立証命題は、勘定科目毎のアサーションについて5つ(又は6つ)の構成要素(又は基本的要素)が存在し、有効に機能しているということと、勘定科目毎のアサーションについて全体として内部統制が有効に機能しているということになるのではないかと考えている。このような整理でよいのか。
・日本の場合は、全社的な内部統制を評価し、全社的な内部統制の評価結果を踏まえて業務プロセスに係る内部統制の評価を行うことになっている。このような意見形成の理論は適切か。つまり、実務的には、勘定科目毎の各アサーションを直接立証することができる内部統制(主に統制活動で、業務プロセスに係る内部統制のうち勘定科目の各アサーションを直接立証することができる内部統制)と間接的に立証するものとに分け、まず間接的な内部統制を評価し、その結果を踏まえて直接的な内部統制を評価することになると思われる。全社的な内部統制を先に評価するという考え方は、監査の効率化の話であって、意見形成とは直接関係しないと思われる。
・内部統制を評価する際に、間接的な内部統制(統制環境、リスクの評価、統制活動のうち主にIT全般統制、業務プロセスに係らない情報と伝達、業務プロセスに係らないモニタリング)とアサーションを直接立証できる内部統制(IT全般統制等を除く統制活動、業務プロセスに係る情報と伝達(例えば、金利の自動計算)、業務プロセスに係るモニタリング(例えば、在庫の棚卸))との間の意見形成の考え方。
・内部統制の有効性評価についての監査確信度モデル。財務諸表監査の監査確信度モデルとの関係の整理。
・・財務諸表監査における内部統制の有効性から得られる監査確信度と、内部統制の有効性を直接評価する場合の監査確信度の違い(期間保証と時点保証の観点も含めて)。
・・財務諸表監査においては、監査人がコントロールできる実証的検証のサンプル数等を決定するために監査確信度モデルが構築され、DR=AR/(IR×CR)で説明されているが、監査人が内部統制の評価を誤ってしまい、誤った実証的監査のモデルを選択してしまうと言うリスク(つまり、監査人が内部統制の評価を行ったが、本当は有効に機能していない内部統制を有効であると評価してしまい、実証的検証が不十分であった場合のリスク)はどのように説明するのか。
米国でも十分に議論し尽くされていないと思いますが、内部統制監査の論点はたくさんあると思います。内部統制を専門とする学者のみならず、監査意見形成論を専門とする学者を入れないと、日本の内部統制の評価と監査制度は変になるような気がするなぁ・・・。
Comments
>・補完関係があるので、個々の構成要素が有効
>であるかどうかのみならず、全体として
>有効かどうかもあわせて評価する必要がある。
>・全社的な内部統制の評価結果を踏まえて
>業務プロセスに係る内部統制の評価を行う
↑この辺りは評価の恣意性が入りそうで実務は非常に難しいですね。
Posted by: はまちゃん | 2006.10.12 10:41
はまちゃんさん、コメントありがとうございます。
私もそう思います。
こういうところは、会社と監査人の間でバトルが起こりやすそうなところですね。
監査人の専門的な判断は、論理的に説明することが難しいのかもしれませんが、会社側はそれを監査人に要求すべきでしょうね。
でも、こういうバトルが起こらないように、学者に論理的な整理をしてほしいと思っているわけです。だって、それが学者本来の仕事でしょう。
Posted by: 丸山満彦 | 2006.10.12 11:45
丸山 様
夏井です。
セキュリティ監査や会計監査に限らず,その分野の専門家の意見を尊重してもらわないとどうにもならないことが少なくないのですけど,決定権限をもっている人(または組織)が傲慢で「専門家のやっていることくらい自分でも簡単にできる」と勝手に思い込んでいるようなところでは,ひどくめちゃくちゃなことが発生しがちですね。
この手の問題は,人間系の問題の一種であり,理論や技法ではどうにもならない。しかも,決定権限をもっている人(または組織)に対して屈服させる方法が他に存在しないことが多いので,当該専門家としては「唖然としておわり・・・」ということもないわけではないです。
人間,自分の分際というものを正しく認識し,常に謙虚でないといけないです。
Posted by: 夏井高人 | 2006.10.13 08:17
夏井先生、コメントありがとうございます。おっしゃるとおり、人間の問題で理論や技法ではどうしようもないです。
本人に自覚がなかったり、自覚があってもプライドが邪魔をしたりするので、解決は難しいです。。。
Posted by: 丸山満彦 | 2006.10.14 09:55