« システム監査学会 パブコメ 保証型情報セキュリティ監査契約書 | Main | 気象庁 津波警報解除を誤報 »

2006.11.15

実施基準(2006.11.06部会資料) に対する様々な反応

 こんにちは、丸山満彦です。2006.11.06の内部統制部会で実施基準案が検討され、その資料が公開されていますが、ウェブ上でもいろいろと議論始められているようですね。

 
内部統制.jp
【詳報】ついに公開された「実施基準案」の中身とは(前編)

・2006.11.13 「監査」の部分に要注目、アビームが日本版SOX法の実施基準案を解説
=====
「監査の部が詳細に書かれすぎているために、ITの監査はかなり負担になるのではないか」と、永井プリンシパルは見る。
=====
 永井さんの指摘のとおり監査の部にITの監査の話が記載されているわけですが、IT統制の話ですので、内部統制の部分で説明するか、経営者評価の部で説明すべき内容かもしれませんね。

=====
永井プリンシパルは加えて、「実施基準案の内容は、米SOX法(企業改革法)と異なる部分があるので注意すべきだ」と主張する。その例が、内部統制の整備範囲の決定方法だ。実施基準案では、売上高や売掛金、棚卸資産などにかかわる「業務プロセス」を基に決める。これに対し米SOX法では、勘定科目から金額的に与える影響の大きいものを選び内部統制の整備範囲を決める「勘定科目アプローチ」で、整備範囲を決める。この違いにより、「すでに米SOX法のやり方で対応を始めている企業は、若干の修正が必要になるかもしれない」
=====
 範囲の決定の方法を「業務プロセス」を基に決定するか、「勘定科目」を基に決定するかは、その企業グループでもっとも効率的にできる方法ですればよいので、実施基準で一律に決めてしまうよりも、各企業グループで決めればよい話だろうと思います。そのほうが、各企業グループの負担を減少させることにつながりますね。。。
 実施基準で、「業務プロセス」を基に決定する方法で、範囲を決定していなければ、実施基準違反となり、監査人に不適正と言われることになるのだろうと思います。
 そういう意味では、全社的な内部統制を先に評価し、つづけて業務プロセスに係る内部統制を評価するという方法も基準で義務付けなくても、あくまで各企業に任せればよい話ではありますが、まぁ、どう考えても全社的な内部統制を先に評価するほうが、効率的にできるのは明白なので、まぁ、方法論まで決めても実害は少ないかなぁ・・・と思います。
 このあたりは、制度的に本来達成したい目標と、その目標を達成するための手段というのが、よく検討されていないということだろうと思います。本当に達成したい目標だけでなく、その目標を達成するための手段までを政府が一律に決めてしまうと、企業の負担が増える可能性がありますね。。。達成目標(アウトプットまたはアウトカム)は変わらずに達成するためのコスト(インプット)が増えることを意味しますので、効率性が落ちるということになります。

=====

永井さんの発表に対する記事は、
ITmedia Enterprise
・2006.11.14 IT部門にとって朗報? 日本版SOX法の実施基準案
にもあります。そこでは、
=====
実施基準案では、そのほか、対象に関連会社(持分法適用会社)の評価やグループ全体の決算調整等プロセスの評価という範囲拡張が行われていたり、想定されていた勘定科目アプローチが、虚偽記載の発生しやすい決算調整プロセスや事業目的にかかわる業務プロセスに焦点を当てるなどの特徴があるというが、さまざまな矛盾が残されているという。
=====
ということも書かれています。関連会社の評価についても触れていますね。
私のブログでも書いていますが、支配権が及ばない関連会社に対する内部統制の評価って・・・関連会社の内部統制の全社統制に不備があった場合、是正させることはできるの???とか論点山積みですね。。。


 これまた、小島さんのセキュリティホールmemo経由ですが、、、 
ITPro 東葛人的視点
・2006.11.14 日本版SOX法の「実施基準案」、こりゃITサービス会社は大変だぞ!
=====
そんなわけだから、上場するITサービス会社は「いよいよ日本版SOX法対策商談だ」とのぼせ上がるより、まず2008年度に向けて自社の経営管理力の強化した方がよい。さもないと、ユーザー企業以上に大変なことになりそうだ。
=====
 おっしゃるとおりですね。
=====
もう1つ大変そうなのは、アウトソーシングに関する内部統制。実施基準案では、ユーザー企業は自らアウトソーシング先の内部統制を評価するか、アウトソーサーから内部統制の評価結果を記載した報告書を入手するかせよ、としている。で、報告書のやり取りの方が現実的だが、その報告書には米国公認会計士協会の監査基準「SAS70」か、日本公認会計士協会の監査基準「18号監査」に基づく監査報告書が想定されている。
=====
 これも私のブログでも取り上げましたが、複数者にサービスを提供している場合は、監査基準委員会報告書第18号に基づく内部統制の評価の報告書を作成してもらう必要がある場合もあるでしょうね。もちろん、その場合に内部統制の不備があれば、それはすなわちお客様の内部統制の不備になるわけですから、対応を間違えると大変なことになりますね。。。

=====
さて、この実施基準案の正式バージョンは11月20日に公開されて、パブリックコメントに付される予定だ。既に、様々な産業のSOX法対策担当者や公認会計士などがコメントを入れようと手ぐすねを引いている。ITサービス会社も自らのSOX法対策を“楽”にするために、コメントで問題点を指摘してはどうか。それがSOX法対策の重要な一歩である。
=====
 そのとおりだと思います。

弦巻ナレッジネットワーク
では、かなり厳しい見方をしていますが、実務を知っているからこその話ですね。。。11月8日に書かれている内容は根本的な部分からの指摘ですが、実施基準案の検討資料が見えてきて、この制度の本当のところが多くの人に理解されてきた今こそ、下記の指摘を十分に検討する必要があるとおもいますよ。。。
=====
・財務諸表監査に加えて内部統制監査を実施することで得られる社会的付加価値は何か(財務報告信頼性に本当に役立つのか/不正はなくなるのか)
・そのために要する社会的/一企業当たり追加コストはどの程度と見積もっているか
・そもそも内部統制報告書は第三者による積極的保証の対象物たりうるか
・小規模会社にも耐えられる制度か
・同じ付加価値をより安価に実現する代替案は存在しないか
・米国の失敗経験を日本で再発させないためにどのような有効な予防措置が講じられているか
・諸外国の制度との整合性・・・米国を除いて監査を採用している国はない、米国自体も404条失敗への対応におおわらわとなっている
=====

 11月5日のブログにも次のように
=====
 とにかく、実施基準案が公表されたら、
1.内部統制部会の基準案作成の際のパブコメで基準案で検討することになっていた項目がきちんと検討されているか、
2.企業や監査法人の責任の外縁が明確になるかどうか
3.論理的に適切かどうか
4.実務的に実施可能かどうか
といった点を確認して、コメントすることが重要ですね。
=====
 書いたわけですが、 日本の国のあり方は一部の有識者が考え、政府が上から落とすものではなくて、国民一人ひとりが考えていくものですよね。パブリックコメントという制度があるわけですから、多くの人がこの制度を利用して、本当に日本の国益になることは何か?ということを考えてほしいわけです。。。

【参考】このブログ
・2006.11.14 前FRB議長グリーンスパン氏 「SOX法404条は悪夢だ!」
・2006.11.10 実施基準(2006.11.06部会資料) 持分法適用となる関連会社も評価範囲を決定する際の対象に含まれる!
・2006.11.07 実施基準案 (11月6日内部統制部会)
・2006.11.05 日経 金融庁、内部統制ルールで監査の基準案
・2006.11.02 実施基準では、100項目のQ&Aを示したり、対象となる財務報告の範囲を示したりするが、「特に米国の監査事情に精通している人ほど、違和感を持つかもしれない」らしい・・・
・2006.09.16 IT全般統制が有効に機能していなければIT業務処理統制の有効性は保証できないのか・・・
・2006.09.06 監査がダイレクトレポーティング方式でも言明方式でも経営者評価の手間は関係ない
・2006.08.17 SAS70、監査基準委員会報告書第18号
・2006.08.06 監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象(保証又は証明対象)の違い
・2006.08.06 経営者評価を期末日現在にした理由
・2006.08.01 内部統制が有効であるということ

以下は、実施基準案で検討するといっていた項目です。。。通常は、検討の経緯を説明する資料を用意することになるので、11月20日の部会に提出されるのでしょうね。。。
・2006.07.23 実施基準で検討することになっていること ITへの対応篇
・2006.07.21 実施基準で検討することになっていること(3)財務報告に係る内部統制の監査篇
・2006.07.21 実施基準で検討することになっていること(2)財務報告に係る内部統制の評価及び報告篇
・2006.07.19 実施基準で検討することになっていること(1)基本的枠組み篇

・2006.07.17 全社的な内部統制の評価を先に実施していなければ、監査人は不適正意見を表明するのか?
・2006.07.16 上場企業から業務を受託している企業は財務報告に係る内部統制の経営者評価と監査の制度対応はできているか?
・2006.07.02 財務報告に係る内部統制に関する監査意見において、内部統制に重要な欠陥がある旨記載された場合において、当該重要な欠陥があるその翌々年においてもなお改善されず同様の意見が出された場合などには、上場廃止すること等を検討する

|

« システム監査学会 パブコメ 保証型情報セキュリティ監査契約書 | Main | 気象庁 津波警報解除を誤報 »

Comments

「Ⅲ. 財務報告に係る内部統制の監査」の「1.内部統制監査の目的」のいろいろな表現に引っかかっています。

まず、「監査人自らが入手した監査証拠に基づいて判断した結果」というので、「実質的証拠法則」(独禁法80条参照)みたいなものはないのね、ということで納得。

「内部統制報告書には、重要な虚偽の表示がないということについて、合理的な保証を得たとの監査人の判断を含んでいる」という部分について

「合理的な保証(十分かつ適切な証拠を入手したこと)を得た」というのは、もしかすると、証拠の優越で判断しますという意味みたいなものでしょうかね。

「重要な虚偽の表示がない」って、内部統制報告書が内部統制が有効であるといっている本件においては、特段の事情を構成する事実を発見できなかったという意味なのでしょうかね。(うちの業界の間接反証と同じ構造)
そうすると、虚偽表示を支える事実の存在についての証明責任は、監査人ということですね(表現がちょっと微妙に違う感じですけどね)。

すべての有効性を支える事実について積極的な証明責任みたいなアプローチのダイレクトレポーティングとここが違うのかなと思っていたりします。

すると、
監査人の意見の表明の文言も変わってくるのかな。

Posted by: 高橋郁夫 | 2006.11.20 10:26

高橋先生、コメントありがとうございます。法律家からの視点はいろいろと刺激になります。

内部統制が有効であるという経営者の言明に重要な虚偽の表示がないということについて、合理的な保証を得た場合、監査人は、内部統制が有効であるという経営者の言明は適正であると表明することになると思います。

言明方式での監査意見は、「内部統制が有効であるという経営者の言明は適正である」ということになり、
ダイレクトレポーティング方式での監査意見は、「内部統制は有効である」ということになります。
 この意見の違いについて、PCAOBでは、ないと考えているようです。
【参考】このブログ
・2006.04.21 ダイレクトレポーティング方式と言明方式で監査コストが異なるのか

=====
 実質的証拠法則のような考え方はないですね。たぶん、監査人のほうが経営者よりも専門性が高いという前提があるからだろうと思います。
 監査人は、自らの判断で内部統制の有効性を評価するが、その際に経営者の評価した結果が一定範囲で信用できるのであれば、それを利用して自らの判断の基礎に利用することができる。という考え方だろうと思います。PCAOBでは、その際に、自己評価の証拠は利用できないが、内部監査の証拠は利用できると明記しています。これは、評価する能力と客観性がある程度あるという前提があると想定しているからでしょう。
【参考】このブログ
・2006.02.09 外部監査人は自己評価の結果を利用できない PCAOB 監査基準書第2号第126項
・2006.02.09 外部監査人は内部監査人の結果を利用できる PCAOB 監査基準書第2号第121項


Posted by: 丸山満彦 | 2006.11.21 09:00

>重要な虚偽の表示がないということについて、合理的な保証を得た場合

ここが、引っかかっていて、証拠の優越で心証をとるのは、重大な虚偽の表示を支える事実の存在じゃないかと思っています。

そのような判断をするのであれば、「事実があると認定ができない本件では、重要な虚偽の表示があるとはいえない」という表現が適切なはずだよね(うちの業界風ね)と思っています。

こっちが念頭ならば、米国よりも簡易になるでしょうね。

監査対象が異なるだけで、「監査人は、自らの判断で内部統制の有効性を評価する」というのが、ダイレクトレポーティングと同じというのも理解しました。

懐かしの行政法理論でいう、「法規裁量」みたいなもので「自由裁量ではない」という感じだろうと思っています。

この場合、業界的には、「重要な虚偽の表示がないということ」は、間接事実になるので(ようは、ほかの有効性を支える事実についての認定ができなければ、有効性はないと判断するでしょうから-虚偽事実の不存在と有効性を支える事実が両立してしまう)、これを基準に書く(「重要な虚偽の表示がないということについて、合理的な保証を得たとの監査人の判断を含んでいる」)ことは、研修所の試験だと、たぶん、減点されるでしょうね。

Posted by: 高橋郁夫 | 2006.11.21 09:46

高橋先生、コメントありがとうございます。
「重要な虚偽の表示がないということについて、合理的な保証を得たとの監査人の判断を含んでいる」というのは、財務諸表監査の実務では、「例えば、税引後利益の5%以上の虚偽の表示がある可能性は5%以下である。」という感じですね。

命題の証明とそのための証拠について、法的な証明との関係を整理してみたくなってきました(きっと、時間がないのですが・・・)。

監査の世界と法の世界の融合がこれを機会に広がると監査もより発展するでしょうね。。。

Posted by: 丸山満彦 | 2006.11.23 09:35

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 実施基準(2006.11.06部会資料) に対する様々な反応:

« システム監査学会 パブコメ 保証型情報セキュリティ監査契約書 | Main | 気象庁 津波警報解除を誤報 »