« Anti-Spywareの定義? | Main | 法務省 電子記録債権法案 条文 »

2007.03.20

サンプリングと内部統制の不備

 こんにちは、丸山満彦です。山口弁護士の「ビジネス法務の部屋」でサンプリングが話題となりました。監査理論というのは今まで監査の学者と監査人との間での議論が中心で、似たような人たちが似たような能力のなかで議論されてきていたので、一般の人から見ると多くの疑問や疑惑?があるかもしれません。という私ももともと理系ですので、監査論などの勉強をしていると、「えっ?」という話にいろいろと出くわしました。今となっては、理論と実務は違う・・・と割り切って仕事はしていますが・・・。で、サンプルサイズは最低でも25件(監査人の場合)ということが話題となりましたが、もう少し正確にいうと、
(1)100件中9件までの内部統制の承認漏れ等のエラーがあっても内部統制の不備とはしない
(2)このサンプル検査の信頼度は90%とする
ということです。。。

 
 サンプリングの理論的な背景についてはこのブログの、
・2006.11.21 準拠性検査のサンプル数 (2)
・2006.03.02 準拠性検査のサンプル数
を参考にしていただけるとありがたいです。。。

 ところで、サンプリングによる内部統制の評価というのは、そもそも全数検査なんてできないから内部統制の評価をサンプルで検査して母集団全体を推定することによって内部統制が有効に運用されているかどうかを判断しよう・・・というところから始まっているのだろうと思います。。。ところが、コンピュータが発達した今となってはサンプリングをするよりもむしろ全数チェックのほうが速いという場合もありえます。。。(ランダムサンプリングを厳密にしようとすると一手間かかりますよね・・・)

ということで、問題です。。。監査の先生と次のような議論をしたことがあります。

(1)10,000件の母集団から25件サンプルを抽出した結果1件も逸脱がなかったので内部統制に不備はないと判断しました。ところが、後で全数チェックをしてみたところ、10,000件に900件の不備がありました。この場合は、内部統制の不備と考えるべきでしょうか?
 10,000件中に900件もの内部統制からの逸脱があっても10%未満であればOKとすべきか。。。

(2)10,000件の母集団から25件サンプルを抽出した結果1件も逸脱がなかったので内部統制に不備はないと判断しました。ところが、後で全数チェックをしてみたところ、10,000件に1,050件の不備がありました(信頼度が90%ですので10回に1回はこういうことはありえる話です。)。この場合は、内部統制の不備と考えるべきでしょうか?

【参考】山口弁護士の「ビジネス法務の部屋」
・2007.03.17 経営者による内部統制運用状況評価(続編)
・2007.03.15 経営者による内部統制運用状況評価(サンプリング)


【過去の今日】
・2006.03.20 JIPDEC JIS Q 15001:2006への移行計画
・       IPA Winny119番設置
・       八田先生の記事 2
・       ロレアル ザ・ボディショップを買収
・2005.03.20 個人情報保護法 頭の体操15

 今年から、過去のわが身と社会を振り返ろうということでこのような付録をつけるようにしています。。。
ということで、過去の記事等に反応・・・
(1)ウィニー119番というのは今でも機能しているのでしょうか。。。
(2)内部監査の重要性を指摘していますね。。。そうなんです、評価の制度ですから内部監査が重要なんです。。。業務記述書は内部統制の評価のためなんです。文書をつくっても評価できる人いなければ意味が無いんです。。。
(3)個人情報保護法 頭の体操15では、「第三者提供と適用除外」ですね。政党への個人情報の提供の話・・・。

|

« Anti-Spywareの定義? | Main | 法務省 電子記録債権法案 条文 »

Comments

こんばんは。
合ってるかどうかわかりませんが、どちらの場合も不備による影響を考慮しない限りは内部統制上の不備の判断はできないと考えますし、不備を後続の業務等でカバーできるような仕組みがあり、それが機能しているのであれば、内部統制上の不備にはならないと思いますが。

Posted by: なかじま | 2007.03.20 23:21

なかじまさん、コメントありがとうございます。
これは問題が悪いんですよね。。。(と、いまさらこんなことをいいだすわけですが・・・)

承認を押すべきところに承認がなければ、それは内部統制の不備

で、母集団全体として、どれほどの内部統制の不備による誤りの可能性が高いかを見積もるのですが、全件調査できると見積もる必要がなくて、900件又は1050件の金額が誤る可能性があったということになりますね。。。

Posted by: 丸山満彦 | 2007.03.21 01:15

はじめましてfujiと申します。山口先生のブログからたどり着きました。
よろしければ教えて頂きたいのですが、準拠性検査のサンプル数 (2)で工場のラインを例にされていますが、例えば、A社の工場管理者は、伝票に担当者、検証者、承認者の3人がチェックし3人全員の印があれば合格として、一つでも漏れがあれば不合格とする基準を示す一方で、B社では担当者と承認者の2名がチェックする基準を示していたとします。検査員が2社について抽出検査したところA社に検証者印漏れのエラーが数件あったが、B社にはエラーが無かった場合には、やはりA社が内部統制上問題ありとなるのでしょうか?であれば社内基準を極力ゆるいものにした方が良いということになるのでしょうか?

Posted by: fuji | 2007.03.22 00:31

fujiさん、コメントありがとうございます。
何を評価する内部統制として考えているかによりますね。
整備状況の評価と運用状況の評価をわけて考えるとよいのではないでしょうか?
まずは、運用状況の評価・・・

A社の場合は、3人全員の印がなければ不備となりますね。したがって、検証者印の漏れがあった場合は、内部統制の不備としてどの程度の影響があるかを評価しなければならないことになります。
B社の場合は、エラーがなかったので、内部統制の不備は発見されなかったいうことになりますね。

社内基準を極力ゆるいものにした方がよいのか?
という話は、整備状況の評価の話です。

リスクとの度合いで、A社の場合は3名でチェックすることが必要と判断し、B社の場合は2名でチェックすることでよいと判断しているのであれば、A社は3名でチェック、B社は2名でチェックすることになります。社内基準がゆるいかどうかはリスクとの見合いなので、単純に2社を比較することはできません。
ということで、リスクが高く2名のチェックでは、よく不正があるとか、不正がおこりかけていて他の内部統制でギリギリカバーしているという状況であれば、整備状況の不備ということになるかもしれませんね。。。

Posted by: 丸山満彦 | 2007.03.23 07:55

ご解説ありがとうございます。
「整備状況の評価と運用状況の評価をわけて考える」ということはなるほどよくわかりました。ただ評価を受ける側からすれば整備状況不備との評価を受けるのはイヤなのでリスクはおいといて、極力ゆるい基準を採用して裏でリスク管理するような2重の基準ができそうです。何のための内部統制なんだ?ということになりそうです。

Posted by: fuji | 2007.03.23 10:07

fujiさん、コメントありがとうございます。
「整備状況」が十分であるかどうかの評価はなかなか難しいところがありますので、たしかに現場としては極力ゆるい基準を採用して、運用がよくできている統制活動だけを評価しようという話になるかもしれませんね。
 まぁ、そういう会社もあるでしょう。まぁ、どんな制度にも限界があるので、この制度をいい加減に使ってさらに市場の信頼を失う事態が拡大すれば、さらに法制度が厳しくなるということだろうと思います。そういう観点も含めて各社が対応することが重要なのかもしれませんね。。。

Posted by: 丸山満彦 | 2007.03.24 14:02

こんにちは、
財務報告に関する内部統制の構築中ですが、まだ評価までは行っていないので、具体的なイメージが沸かないのですが、なんとなくサンプリングの問題点がわかったような気がします。

これから、評価フェーズに入ったときの参考にさせていただきます。

Posted by: saikawa | 2007.03.26 07:05

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference サンプリングと内部統制の不備:

« Anti-Spywareの定義? | Main | 法務省 電子記録債権法案 条文 »