« カナダでもJ-SOXが話題になっているようですね。。。 | Main | 省庁サイバーテロ対策不十分? »

2007.08.03

影響が僅少ではない子会社の決算・財務報告プロセスにかかるIT全般統制はすべて評価しなければならないのか?

 こんにちは、丸山満彦です。決算・財務報告プロセスは重要な内部統制ですので、実施基準でも僅少でない限り経営者評価の対象となりますね。ところで、子会社の決算プロセスでは、一般に会計システムが利用されていると思います。会計システムには自動処理やIT業務処理統制も含まれていますね。。。
 となると、影響が僅少ではない子会社の決算・財務報告プロセスにかかるIT全般統制はすべて評価しなければならないのか?という問題がありますね。

 
 常識的に考えると、リスク評価をして決めていくのでしょうね。決算・財務報告に係る内部統制は評価するが、IT全般統制は評価しないという方法もありえるんでしょうね。。。たぶん。。。

|

« カナダでもJ-SOXが話題になっているようですね。。。 | Main | 省庁サイバーテロ対策不十分? »

Comments

どうもお世話になります。監査の実務指針のP.36の(2)⑤において、「ITに係る業務処理統制の運用状況の評価に当たっては、関連するITに係る全般統制も評価することが前提となっている。原則としてITに係る業務処理統制のみを評価して、内部統制の有効性について結論を出すことはできない点に留意する。」と記述されています。
これに対して、実施基準のP.48のニ.「a.ITに係る全般統制の評価」では、「経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況を評価するが、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せず、内部統制の運用状況の有効性に関して十分な心証が得られる場合もある。」と記述されています。つまり、実施基準では「IT全般統制の評価+1件のテスト」と25件のテストとの選択を認めているのかなと理解していたのですが、監査の実務指針ではそれを認めないというように理解できます。評価する前から駄目だとわかっているIT全般統制につしてはサンプル数を多くして対応すればいいやと考えていたのですが、それは甘いということになるのでしょうね。

Posted by: sai | 2007.08.03 22:49

saiさん、またまた有益なコメントありがとうございます。。。
 そうなんです、私も実務指針案のITに係る業務処理統制の運用状況の評価に当たっては、関連するITに係る全般統制も評価することが前提となっている。原則としてITに係る業務処理統制のみを評価して、内部統制の有効性について結論を出すことはできない点に留意する。」が気になったわけです。。。
 こういうことかなぁ・・・

1.IT全般統制が有効であれば、IT業務処理統制の運用状況の有効性を評価する場合のサンプル数は25件よりも少なくても(たとえば1件)でもよい。
2.IT全般統制が有効でない、または、IT全般統制の有効性がわからない場合は、IT業務処理統制の有効性を評価することができないことが原則である。
3.ただし、IT全般統制が有効でなくても、または、IT全般統制の有効性がわからなくても、サンプル数をマニュアルによる統制なみ(たとえば25件)にすることにより、IT業務処理統制の有効性を評価することができる場合もある。

 これなら矛盾しない???

 ただ、実施基準でいうところの、
経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況を評価するが、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せず、内部統制の運用状況の有効性に関して十分な心証が得られる場合もある。」
という際の条件が不明ですよね。
・どのような場合が、IT全般統制の運用状況の評価を実施せず、内部統制の運用状況の有効性に関して十分な心証が得られるのか?
・IT全般統制の整備状況の有効性はやはり評価しなければならないのか?
などなど・・・

Posted by: 丸山満彦 | 2007.08.04 17:10

監査人にとっては、実施しなければならない手続かどうかという視点を変えて、その手続の結果が監査人の心証形成に寄与するかどうか(想定残存リスクを軽減するものか、あるいは既にある心証をより強固にするものなのか)という観点で、手続の採否を考えることも必要ですよね。

Posted by: 閑人 | 2007.08.05 10:47

閑人さん、コメントありがとうございます。
心証形成の過程を考えると、ある勘定科目(例えば、売上高)の特定のアサーション(発生)に関する内部統制が有効に機能しているという心証を得ることができる内部統制を評価し、それが有効であると思えれば、それ以上の評価手続はしないわけですよね。。。
 そういう意味では、業務プロセスを細かく文書化し、網羅的に統制手続を導き出そうとするアプローチは、相当無駄な作業が発生することになりますよね。。。
 ひとつの業務プロセスから40も内部統制を識別しても、実際に評価するのは10だったりしますよね。。。
 そうなると30の識別作業はかなり無駄に終わるわけですよね。。。
 ただ、心証形成というのは専門家の・・・というところがポイントだったりするので、このあたり経営者評価の局面に持ち込むのが若干難しい、特にそれを監査人が監査するというスキームに入れるのは難しい。。。
 と思ったりしていますね。。。

 AS2の失敗は、内部統制報告書の適正性を監査人に評価させようとしたところですよね。AS5になり修正されたわけですが、日本の場合は、AS2の失敗の轍を踏んでいるようにも思えますよね。。。

Posted by: 丸山満彦 | 2007.08.06 18:55

監査人の心証形成すべきレベルと、経営者の心証形成すべきレベルやその内容の違いはあってもよいと思うのです。

職業的懐疑心、正当な注意、リスク認識などいずれもプロとしての判断を尊重せざるを得ないわけですから、制度で細かく手続を規程すればするほど、その判断の余地が限定されてしまう、また心証形成にあまり寄与しない不要な手続が増えるという問題があるので、監査人は原則主義的な規程のほうが望ましい。

一方、経営者は報告主体としての責任があるだけでなく、経営にはより精緻な情報が必要なので、財務情報で他人を欺かない責任*1以上に、自分が欺かれないようにする責任*2があると考えればいい。つまり、*1が成立する条件は*2の適切な遂行を前提としており、監査人が保証するのはあくまでも*1のレベル、経営者が有している責任は*2のレベル。

AS2の問題は、本来ならば*1<*2であるものを同等と考えたことと、しかも監査人の責任を*1のレベルではなく*2のレベルまで保証しなければならないと解釈運用されてしまったことによるもの。

米国では、AS5によって*1のレベルに落とし込んで、*2の制定は放棄し、最低限のレベルとして*1をクリアすべくSECが別にガイダンスを用意した。

日本は、始めから監査人の責任を*1レベルにしつつ、本来*2レベルの統制責任のある経営者にも、最低限*1までは監査人による保証を得なさいとした。だから、実施基準や監査実務指針案をみても、財務諸表監査に必要な内部統制の評価範囲は、内部統制監査よりも拡大しなければならない可能性があることを示唆している。

私はこのように考えていますので、米国の失敗の轍を踏むかどうかは、監査人による制度の運用のしかた次第と考えます。だから、官庁とかJICPAなどに細かい指針を出されると判断余地の小さくなる可能性があるので警戒しています。

Posted by: 閑人 | 2007.08.12 12:36

閑人さん、コメントありがとうございます。。。
鋭い指摘ですね。財務諸表の作成において経営者の重要性と監査人の重要性は異なってくるというのとよく似た話ですかね。。。

閑人さんの説を私なりに解釈してめいると、
1.内部統制が有効であるという心証には、利害関係者に損害を与えないために必要となるレベル(1)と、経営者が自らが経営責任を果たすために必要となるレベル(2)の2つがある。
2.(1)は(2)を前提とするので、(1)の心証を得るためには(2)の心証が得られなくてはならない。(1)<(2)の関係が成り立つ。
3.米国での失敗は、監査人が(2)のレベルの心証まで必要と解釈し運用されたため、過剰な監査が行われた。
4.AS5では、監査人は(1)のレベルの心証を得るということでよいことを明確にした。
5.日本では、監査人の責任を(1)のレベルにし、本来(2)のレベルの統制責任のある経営者にも最低限(1)までは監査人による保証を得なさいとした。
6.監査人が(1)のレベルではなく(2)のレベルの統制を評価しようとすると過剰となる。
7.監査人は専門家なので細かい手続を指示するのではなく、原則レベルにすべき。(細かい支手続を定めると心証形成に影響しない余分な手続まで実施しなければならなくなる可能性がある。)
(上記の解釈であっていますかね。。。)


私は、
1.経営者評価の基準に従って、経営者評価をすること義務付けた。
2.監査人は、経営者評価の基準に準拠して経営者評価を行っていることを検証し、監査意見を形成しなければならない。
3.また、監査人は内部統制の有効性についても監査意見を形成しなければならない(内部統制報告書に内部統制の有効性についての経営者の意見があり、それが適正であることを評価しなければならないため)
4.経営者評価の仕方は経営判断によるので最適な方法は、金融庁が決めるものではない。(ガイダンスであればよいが、基準として定めるものではない)=>会社によっては金融庁が定めた方法以外の方法を選択するほうがより効率的な評価ができる場合もある。
5.監査人は、結果的に、(1)経営者評価が基準に従って行われ、(2)結果、内部統制の有効性の意見の適正性についての心証を得なければならない。
という感じになると思っています。
6.その際に、監査人が経営者評価が基準に従って行われているかどうかを評価する手続は、内部統制が有効に機能しているかどうかを判断するためには直接的には関係しない(実施基準等に従っていなくても経営者が内部統制の有効性を適切に判断することができる場合があるため)ので、その手続は不必要だろうと思う。
って感じですかね。。。

あと、準備作業(例えば、文書化等)についてもコンサルタントの誤った指導が行われているように思います。
業務プロセスの文書化を細かくし、業務プロセスに組み込まれている統制活動等を網羅的に識別しようとすると大変手間がかかると思っています。先にも書きましたが、重要な虚偽記載がないという心証を得るために必要(すくなくとも監査人が)となる内部統制をキーコントロールとすれば、キーコントロールさえ識別でき、それを評価できればよいので、かなり手間が省けると思いますね。。。

Posted by: 丸山満彦 | 2007.08.12 18:19

上記の解釈ありがとうございます。整理していただくと助かります。

丸山さんの上記6のポイントと、(本当に大事なものだけを対象にしようという)キーコントロールの考え方は大いに賛成です。

そもそも「内部統制の有効性」は、「健康で文化的な最低限度の生活」のように、理念的なものであって時代と環境によっても解釈が変わるものです。むしろ「より有効」「より文化的」なものを求めようという姿勢が大事なので、クーラーがついていれば文化的な生活というものでもなく、なかなか「基準」化するにはなじまないものです。

何が大事かを考えることは、監査人と会社とが真剣になって話し合えばよいことで、それを「独立性」という壁で制限していることこそ問題ありかと思いますが・・・。米国との違いを出すのならそういうところで出してもらいたかったな。

また金融庁の基準は、構造的には、促すためではなく罰するための基準になっているというところも、会社がどうしても形式に走ってしまう要因の一つではないでしょうか。

Posted by: 閑人 | 2007.08.17 13:02

閑人さん、コメントありがとうございます。。。

 そうですよね、「より有効な」内部統制を目指すことが重要ですよね。。。有効であることの判断のものさしをつくるのは難しいですよね。。。
 
=====
金融庁の基準は、構造的には、促すためではなく罰するための基準になっているというところも、会社がどうしても形式に走ってしまう要因の一つではないでしょうか。
=====

 省庁によっては業界を行政指導するんだ。。。的なマインドのところもあるように思いますよね。そういうマインドのところで作られると、促すというよりも罰するという気持ちが前にでた制度ができてしまうよな気がします。。。

 ベスト内部統制表彰制度だっていいわけですよね。。。

Posted by: 丸山満彦 | 2007.08.18 10:19

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 影響が僅少ではない子会社の決算・財務報告プロセスにかかるIT全般統制はすべて評価しなければならないのか?:

« カナダでもJ-SOXが話題になっているようですね。。。 | Main | 省庁サイバーテロ対策不十分? »