« 監査役協会 パブコメ 「内部統制システムに係る監査委員会監査の実施基準(公開草案)」 | Main | 大震災から13年 »

2008.01.16

内部統制報告書の記載項目と、内部統制報告書に重要な虚偽表示がないかどうかの合理的な保証を求める監査。。。

 こんにちは、丸山満彦です。内部統制報告書に何を書くべきかそろそろ気になるころでしょうか。。。(まだですかね。。。)
 内部統制監査では、内部統制報告書に重要な虚偽の表示がないかどうかの合理的な保証を得ることがもとめられているので、直接の監査の対象となるわけですから、内部統制報告書に記載する内容は重要かも・・・(なんていったて日本はダイレクトレポーティング方式ではないわけですから。。。)

 
 さて、まず監査報告書から。。。

監査人は次のような文言を含んだ監査報告書を提出することになります(3月末決算の会社で無限定意見の場合)
=====
当監査法人は、我が国において一般に公正妥当と認められる財務報告に係る内部統制の監査の基準に準拠して監査を行った。財務報告に係る内部統制の監査の基準は、当監査法人に内部統制報告書に重要な虚偽の表示がないかどうかの合理的な保証を得ることを求めている。内部統制監査は、試査を基礎として行われ、財務報告に係る内部統制の評価範囲、評価手続及び評価結果についての、経営者が行った記載を含め全体としての内部統制報告書の表示を検討することを含んでいる。
・・・
 当監査法人は、○○株式会社が平成20年3月31日現在の財務報告に係る内部統制は有効であると表示した上記の内部統制報告書が、我が国において一般に公正妥当と認められる財務報告に係る内部統制の評価の基準に準拠して、財務報告に係る内部統制の評価について、すべての重要な点において適正に表示しているものと認める。
=====

なるほど、、、「全体としての内部統制報告書の表示」が検討対象となり、重要な虚偽の表示がないことを監査人は確かめるわけですね。。。重要ではない虚偽の表示は限定意見になりますね。。。
 重要な虚偽の表示と重要ではない虚偽の表示の境目が理論的には重要となりますが、実務では経営者が監査人に言われて修正することになると思われるので実務では問題とならないかもしれませんね。。。

 しかし、「評価範囲」と「評価結果」についてはまだしも、「評価手続」についても重要性の概念が持ち込まれるのでしょうかね。。。


 それで、重要となる内部統制報告書(様式1)に記載する内容の一部。。。
=====
(7) 財務報告に係る内部統制の基本的枠組みに関する事項
a 代表者及び最高財務責任者が、財務報告に係る内部統制の整備及び運用の責任を有している旨
b 財務報告に係る内部統制を整備及び運用する際に準拠した基準の名称
c 財務報告に係る内部統制により財務報告の虚偽の記載を完全には防止又は発見することができない可能性がある旨

(8) 評価の範囲、基準日及び評価手続に関する事項
a 財務報告に係る内部統制の評価が行われた基準日
b 財務報告に係る内部統制の評価に当たり、一般に公正妥当と認められる財務報告に係る内部統制の評価の基準に準拠した旨
c 財務報告に係る内部統制の評価手続の概要
d 財務報告に係る内部統制の評価の範囲
財務報告に係る内部統制の評価範囲及び当該評価範囲を決定した手順、方法等を簡潔に記載すること。なお、やむを得ない事情により、財務報告に係る内部統制の一部の範囲について十分な評価手続が実施できなかった場合には、その範囲及びその理由を記載すること。

(9) 評価結果に関する事項
財務報告に係る内部統制の評価結果は、次に掲げる区分に応じ記載するものとする。
a 財務報告に係る内部統制は有効である旨
b 評価手続の一部が実施できなかったが、財務報告に係る内部統制は有効である旨並びに実施できなかった評価手続及びその理由
c 重要な欠陥があり、財務報告に係る内部統制は有効でない旨並びにその重要な欠陥の内容及びそれが事業年度の末日までに是正されなかった理由
d 重要な評価手続が実施できなかったため、財務報告に係る内部統制の評価結果を表明できない旨並びに実施できなかった評価手続及びその理由

(10) 付記事項
a 財務報告に係る内部統制の有効性の評価に重要な影響を及ぼす後発事象
決算日以降、内部統制報告書の提出日までに、財務報告に係る内部統制の有効性の評価に重要な影響を及ぼす事象が発生した場合には、当該事象を記載すること。
b 事業年度の末日後に重要な欠陥を是正するために実施された措置がある場合には、その内容事業年度の末日において、重要な欠陥があり、財務報告に係る内部統制が有効でないと判断した場合において、事業年度の末日後内部統制報告書の提出日までに、記載した重要な欠陥を是正するために実施された措置がある場合には、その内容を記載すること。

(11) 特記事項
財務報告に係る内部統制の評価について特記すべき事項がある場合には、その旨及び内容を記載すること。
=====

 監査対象は内部統制報告書全体なんですよね。。。

 内部統制の有効性についてのみではないんですよね。。。

|

« 監査役協会 パブコメ 「内部統制システムに係る監査委員会監査の実施基準(公開草案)」 | Main | 大震災から13年 »

Comments

丸山先生おはようございます。
いよいよ本質的な議論になって来ました。
個人的にはこの点についての曖昧さ、誤解が日本中を覆っているような気がします。
(少なくとも僕の理解はマイノリティであるようです=誤り?)

金融庁のQ&AのQ18の解釈も含めて、いったい何が監査対象なのか?

個人的に最も関心のあるテーマです。

Posted by: ソックス担当 | 2008.01.17 09:30

金融庁の基準を読む限り、監査対象はあくまでも内部統制報告書と解釈できますね。論理構造としては、財務諸表監査が財務諸表の適正性を監査するというものと、ほぼ同一であると考えられます。

問題となりそうな内部統制報告書の「評価手続の概要」ですが、実際に書く事項となると、例えば以下のような形になるのでしょうか?

・全社的内部統制:全社統制質問書への回答。回答にあたっては、関連規程・書類の閲覧や関係者への質問等を実施

・決算財務報告プロセス:チェックリストへの回答。回答にあたっては、関連規程・書類の閲覧や関係者への質問等を実施

・業務プロセス:設定した統制上の要点について、サンプリングによる試査を中心に有効性を評価

こうに書いたとすると、監査人は経営者評価の記録(3点セットではありません)を参照し、評価記録と報告書の記載が合致しているか判断を下すことになるのでしょう。そのため、監査ポイントとしては、"評価結果を適切に内部統制報告書へ記載する"という財務諸表監査における"有価証券報告書の開示プロセス"に相当する部分が、内部統制監査上も出てくるものと思われます。

悩ましいのは「統制上の要点」です。基準によれば、経営者による「識別の妥当性」を監査することになっています。「識別の妥当性」というのが、「識別結果のみの妥当性」なのか、あるいは「識別手続き自体も含んだ識別結果の妥当性」によって、実務上大きな差が出てくると思います。

たとえば以下のような場合です。

<経営者>
A,B,Cの3つのリスクを認識し、Bのリスクに対するコントロールを統制上の要点として設定

<監査人>
A,B,C,Dの4つのリスクを認識したが、結果として経営者同様にBのリスクに対するコントロールを統制上の要点と判断

上記の例の場合、統制上の要点に関する認識は経営者・監査人とも一致しています。よって、「識別結果のみの妥当性」と考えるのならば、経営者評価は問題なく適正となります。

もし「識別手続き自体も含んだ識別結果の妥当性」と考えるのであれば、上記の例ですと、経営者評価は必ずしも適正とは言えなくなる可能性があります。なぜならば、監査人が認識したDというリスクを経営者はそもそも認識していないため、評価手続に不備あるいは欠陥があるとも言えるからです。それを防止するため、企業は評価手続きの方法なども含め、監査人と議論を相当詰める必要が出てくるものと思われます。そうなれば、企業・監査人ともに負担が大きいはずです。

私の解釈ですが、金融庁は基本的に「識別結果のみの妥当性」に近い立場にあるのではないかと推測します。もちろん、経営者が重大なリスクを識別しそこねた場合には、当然、不備あるいは重要な欠陥とすべきでしょうが、①内部統制はそもそも合理的な保証を提供するものである、②企業の過大なコスト負担を防止する、という点を考え合わせると、金融庁は「識別結果のみの妥当性」という立場に近いと解釈する方が、筋が通るように思います。

そう考えたとしても、実務の上では"どこまでやれば合理的な保証を提供したとみなせるか?"という難問があるため、頭を悩ませることに変わりはありません。経営者・監査人のそれぞれに、最低ここまでやれば責任を果たしたというガイドラインが欲しいところです。

Posted by: FN | 2008.01.17 19:07

FNさん
おはようございます。

FNさんが書かれる内容はロジックがスッキリしていてとてもわかり易いです。(腑に落ちるというのでしょうか)内容もほとんど私の理解と一致します。
為政者からこのようにわかりやすい実務指針がでていればこんな混乱はなかったはずですね。

ただ1点だけ
★「統制上の要点の識別の妥当性」の検証について

QA18で明確に記載されているので
結果のみではなく、評価手続きも検証の対象であると思います。
したがって当該手続きに関しては「検証の記録」も監査対象なのだとの理解でいます。

FNさんの例示でいえば、「母集団からDを排除した評価手続きに不備または欠陥あり」ということなのかと理解しています。(自信70%)

いやあ、これほどスッキリした議論ができてうれしいです。
そのへんのセミナーに行くより100倍有益です。
これからも宜しくです!


Posted by: ソックス担当 | 2008.01.18 09:19

ソックス担当様

自分と同じような理解をしている方が他にいらっしゃると分かり、大変心強く思います。こちらこそ、若輩者ですので色々とご教示頂ければ幸いです。

さて、ご指摘の点についてです。

>当該手続きに関しては「検証の記録」も監査対象なのだとの理解でいます

Q&Aを読むめば、私もその通りだと思います。

>母集団からDを排除した評価手続きに不備または欠陥あり

この点について私の解釈は、Dというリスクが重大な虚偽表示リスクでない限り、経営者の評価手続は適正だと考えております。なぜならば、経営者の評価手続において、重要ではないリスクDは認識していないものの、統制上の要点を設定すべきBのリスクについてはきちんと認識できている、つまり重要なリスクについては識別・評価が出来ております。よって、当該手続は妥当であると判断すべきかと思います。

もし、経営者の評価手続が不備または欠陥であると主張するのならば、監査人は経営者の認識しなかったDというリスクが、重大な虚偽表示リスクであることを説明する必要があります。Dというリスクが重大な虚偽表示リスクであり、そのリスクを認識できなかった経営者の評価手続は不備または欠陥である、というのならば、これはまさに合理的な判断です。

しかし、そのような説明なしに経営者の評価手続は不備である、と言うのであれば、これは非合理的な判断かと思われます。評価が分かれる場合、Dというリスクがそもそも重大な虚偽表示リスクでない可能性も大いにありえるわけですから。

一般的に、監査法人やコンサルタントは、"リスクの抽出は網羅的に"と主張するケースが多いと思います。どこまでやれば網羅的なのか、という判断基準なしに、単に"網羅的"と言われても作業をする側は困ります。ましてや、"網羅的にリスクが抽出できていないので、評価手続が適正ではない"、と判断されたら、大きな問題になってしまいます。

そこで、経営者・監査人双方が、重大な虚偽表示リスクおよびそのリスクに対する統制上の要点について、共通の理解を持っていれば、リスクが網羅できていると判断し、その他のリスク認識にズレがあっても大勢に影響は無いとしておけば、実務上は良しとすべきかと考えてます。

これが「識別結果のみの妥当性」という表現で述べようとしたことです。このような考え方というのは、少数派に属するものなのですかね?

Posted by: FN | 2008.01.19 01:56

FNさん、おっしゃる事はわかりますし、そんな気もします・・・

今商事法務が手元に届きました、これ読んでからコメントします(笑)

Posted by: ソックス担当 | 2008.01.21 13:06

FNさん、遅くなりました、すいません(地方へSOX法の説明に出張してました・・・)

会計監査ジャーナル2月号(実務上の取扱い82号をめぐって)で、金融庁の担当官がQ18について解説してます。

それによると「統制上の要点の識別の妥当性については、評価範囲の検証と類似していることもあり、その妥当性の検証を求めているところです」とあります。

評価範囲は全体の2/3程度をひとつの目安としますから、必然的に分母(というか母集団)の確定が必要になります。

これを統制上の要点の識別に類推すると、やはりリスクDが最初から排除されたプロセスは重要な欠陥とはいかなくとも、指摘されそうな気がします。

なぜなら不備の積み重ねが一定額を超えると、重要な欠陥となる可能性があるからです。

-----------------------

しかし、そもそも、細かいリスクを網羅的に拾い上げるのは構造的に不可能です(商事法務:住商F部長)
チェックする人をチェックする人を・・・と、細かくやればきりがないですから。

だからこそのトップダウンリスクアプローチなわけですから、実務的にはFNさんの主張が妥当だと思います。
リスクの大きさから順番に上げていって、そのコントロールを有効に運用させればOKなはずです(制度趣旨としては)

ただ、監査法人側の理論はまた違ったものなのかと思いますが・・・
困りますね

Posted by: ソックス担当 | 2008.01.23 17:09

ソックス担当様

>統制上の要点の識別の妥当性については、評価範囲の検証と類似していることもあり

私も会計監査ジャーナルを読みましたが、ここは解釈の難しいところだと思います。ご指摘の通り、

>やはりリスクDが最初から排除されたプロセスは重要な欠陥とはいかなくとも、指摘されそうな気がします

という捉え方も可能でしょう。保守的な監査人の方であれば、そのように主張する可能性は十分にありえるでしょうね。リスクの識別は、主観的な部分も多々入ってきますので悩ましいところです。

そうは言うものの、経営者による評価結果の監査という前提から考えれば、こういったグレーゾーンについては、本来であれば監査人の側に立証責任があるものと思われます。経営者の評価は、すでに行われているわけですから。監査人の指摘に対して、企業としては反論しづらいという現実もあるかもしれませんが・・・。

>だからこそのトップダウンリスクアプローチなわけですから

これも困った話ですが、この「トップダウンリスクアプローチ」も人によって捉え方が異なります。我々が話をしております監査法人の先生は、単に"業務プロセスを評価する事業拠点の絞込み"のみを「トップダウンリスクアプローチ」と考えている様子でした。

>制度趣旨としては

この制度趣旨があまり理解されていないということが、実際の問題ですね。企業人の立場から監査法人に対しては厳しいコメントを申しておりますが、翻って自社の状況を考えると、あまり大きなことは言えないな、というのが実情ですから。

ご指摘の商事法務の記事で、住商の方が「評価すべき事業拠点について例示のある2/3という数字が、いつの間にか下限としてのルールになってしまった」というくだりは興味深かったです。こういった点からも、本来の制度趣旨が読み取れるなという気がします。

Posted by: FN | 2008.01.24 01:00

FNさんおはようございます。

・インダイレクトレポーティング
・トップダウン型リスクアプローチ

制度趣旨、立法趣旨から演繹されたこの2点の考え方を具体的にどう実務に反映させればOKなのかという回答が無い状態が現在の混乱の根源かもしれませんね。

少なくとも金融庁と監査法人は随分と温度差があるような気がします。

監査法人側も、今後もう少し訴訟等リスクの範囲が判例等によって明確になればスタンスが変わるかもしれませんね。(逆にいうと現状では保守的にならざるを得ないのもわかります)

Posted by: ソックス担当 | 2008.01.24 09:12

FNさん、ソックス担当さん、コメントありがとうございます。

一般的な話ですが、立法担当者がいろいろと口頭で説明しても、法令等で書かれている文言に従って判断しなければなりませんよね。。。このあたりが気になるところです。

例えば、監査人は、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」に従って監査をせざる得ませんよね。。。
 日本の場合は、米国のAS5に基づく内部統制監査ではないので、経営者評価が監査人の内部統制監査の影響をうけるのが悩ましいですよね。。。

Posted by: 丸山満彦 | 2008.01.25 03:10

リガヤパートナーズさんのブログに載ってました、日経金融新聞の記事。

21日のシンポジウムの内容で
いろんな問題の回答が出たようですね・・・

やはりFNさんの理解が正しいようです。


Posted by: ソックス担当 | 2008.01.25 14:40

>監査人は、監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」に従って監査をせざる得ませんよね

会計・監査ジャーナル2月号の第82号に関する座談会にて、今後の課題の一つとして、監査人に第82号の理解を深めてもらうべく、各地で研修を行っていきたいという趣旨の話が載ってました。

結局、新しい制度であるがゆえに、企業・監査人双方に十分に理解されていないというのが、こういう所からもよく分かります。

第82号に書かれていることと実際の監査法人のコメントにも温度差があるな、というのが実感です。そう感じておられる企業の方も多いのではないでしょうか?

Posted by: FN | 2008.01.27 23:25

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 内部統制報告書の記載項目と、内部統制報告書に重要な虚偽表示がないかどうかの合理的な保証を求める監査。。。:

« 監査役協会 パブコメ 「内部統制システムに係る監査委員会監査の実施基準(公開草案)」 | Main | 大震災から13年 »