こんにちは、丸山満彦です。内部統制の評価範囲を決める場合に、日本の基準では、「決算・財務報告に係る業務プロセスのうち、全社的な観点で評価することが適切と考えられる」業務プロセス以外の業務プロセスの評価については、「企業が複数の事業拠点を有する場合には、評価対象とする事業拠点を売上高等の重要性により決定する」ことが義務付けられていますね。。。
そこで問題となるのが、事業拠点とは何か?ということです。この用語の定義が不明確だと、問題となりますね。。。
「こういう要件がそろわないと事業拠点としては認められない」とか主張されると困るわけですよね。。。
だって、実施基準では、「本社を含む各事業拠点の売上高等の金額の高い拠点から合算していき、連結ベースの売上高等の一定の割合に達している事業拠点を評価の対象とする」と書かれていて、監査人は、経営者が決定した「評価範囲」の適切性についても意見を言わなければならないからです。。。
英語のBusiness Unitを翻訳したものだとおもいますが・・・
こんにちは、丸山満彦です。昨年11月に「@nfityビジネス」で開始した「どんと来い、リスクマネジメント」ですが、すでに12回も書いています。。。
右の「タイトルバー」にもリンクを張りました。これからもよろしくお願いします。
こんにちは、丸山満彦です。実施基準のP41には、
=====
経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。例えば、全社的な内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係る内部統制の評価について、評価範囲の拡大や評価手続を追加するなどの措置が必要となる。
=====
とあるのですが、具体的に、
(1)どのような全社的な内部統制が有効でない場合に
(2)どのような業務プロセスに係る内部統制が有効であれば、
全体としての内部統制が有効であるといえるのか?
ひとつでもよいので具体例を教えていただきたい。。。といわれたら、あなたは何を例としてあげますか・・・
こんにちは、丸山満彦です。先日セミナーで「業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくのではなく、キーコントロールは経営者が勘定科目別アサーション別(たとえば、売上高の網羅性)にもっとも依拠しているコントロールとして考えて、それが本当にそうであるかを判断するしかない。」という話をしました。
トップダウンアプローチというのは、経営の上層部から勘定科目別アサーション別にもっとも依拠しているコントロールを識別し、それが重要性の金額との比較において、本当に重要な虚偽表示を予防または発見できるようなコントロールであるかを判断していく方法だと思うんです。。。でも、ちまたでは、業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくという方法をとっている場合が多いように思うんです。これは、ボトムアップアプローチですよね。。。
でも、その後、質問が来ました。「経営者が依拠しているコントロールが、本当にキーコントロールとして十分にリスクを低減しているかはどのようにして、監査人に説明したらよいのでしょうか。。。」
つまり、網羅的にコントロールを識別し、その中から何かの条件式にしたがって、デジタル的にキーコントロールを識別するほうが監査人には説明しやすいということだと思うんですよ。。。でもね、、、
こんにちは、丸山満彦です。米国では、小規模会社へのSOX法404条の適用をさらに1年間延長することを決定したわけですよね。。。少なくとも費用効果分析をしなければ、制度導入の意味はないということなのだろうと思います。
ところが日本の場合は、そんなことを検討すらした形跡もなく(この点については、「弦巻ナレッジネットワーク」に詳しい)、はじめから導入ありきで始まっている。もちろん、米国での導入の経緯を踏まえて日本ではコストがよりかからないような配慮を基準に織り込んだということなのでしょうけど。。。
しかし、そこに書かれている。
=====
① トップダウン型のリスク・アプローチの活用
② 内部統制の不備の区分
③ ダイレクト・レポーティングの不採用
④ 内部統制監査と財務諸表監査の一体的実施
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
⑥ 監査人と監査役・内部監査人との連携
=====
のいずれも、実際はそれほど本質的ではないように思えるんですよね。
①については、米国では勘違いによって網羅的にリスクを洗い出し、コントロールを洗い出し、キーコントロールを識別していくという方法をとった会社が多かったのでそうなったのですが、日本でも同じようなコンサルの仕方をしている会社もあるようですので、あまり効果はなかったのだと思います。
②については、全然本質的ではありません。実務的にはやはり、「重大な欠陥」と、重大な欠陥ではないがこれを放置しているとやがて重大な欠陥につながるので取締役、執行役や監査役には伝えておいたほうがよい「重要である不備」と本当にささいな「不備」の3つに分けるだろと思うんです。
③については、ダイレクトレポーティングか言明方式かには本質的な違いはないんです。あえていうと言明方式のほうが二重責任の原則をより明確にできるという違いくらいだろうと思っています。むしろ、日本の場合は、内部統制報告書の適正性の監査にした結果、監査すべき対象が内部統制の有効性以外にも広がっているという点で、よりコストがかかる方向になっていると思います。この点は、制度で狙っていたことと逆の方向になっていると思います。
④については、米国でもそうです。
⑤については単に報告書の文字数の問題だけかもしれません。
⑥についても同様です。「そうですね。」という程度です。むしろ、日本の場合は、会社法による監査役の会計監査人の監督の話と、金商法の監査役を含む統制環境を公認会計士が監査対象として評価するという、二匹の蛇が互いに尻尾を食べあっている状態を作っているのではないかと話題になり混乱を招いたのではないかと思うんですよね。
おそらくほとんどの会計士の人は①~⑥の話は「あまり理由になっていないなぁ・・・」と直感では感じていると思うんです。声にはださないけれども・・・
つまりですね。。。
こんにちは、丸山満彦です。IPAが「脆弱性情報共有フレームワークに関する調査報告書 ~中小規模組織における脆弱性対策促進への各国の取り組み~」を公表していますね。。。
こんにちは、丸山満彦です。総務省が「情報通信ネットワーク安全・信頼性基準の一部を改正する告示案等」に対するパブコメを募集していますね。。。
こんにちは、丸山満彦です。内部統制報告制度の本番を目前に控えていますが、解決しなければならない制度上の問題がそろそろ浮かびあがりつつありますので、政策担当者の皆さんはこれから、このような制度上の問題点を拾い上げて改善していくプロセスに入っていくのだろうと思います。。。(未確認ですが。。。)
さて、今回の制度の導入において最も懸案していたことは、米国での制度導入に際して企業に過大な費用負担を負わせることになったということでしょう。この点については、金融庁の企業会計審議会内部統制部会の中でも十分考慮されていたことだろうと思いますし、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」の前書きにあたる部分にも
=====
評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的に以下の方策を講ずることとした。
① トップダウン型のリスク・アプローチの活用
経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価することとした。
② 内部統制の不備の区分
(略)
③ ダイレクト・レポーティングの不採用
監査人は、経営者が実施した内部統制の評価について監査を実施し、米国で併用されているダイレクト・レポーティング(直接報告業務)は採用しないこっとした。この結果、監査人は、経営者の評価結果を監査するための監査手続の実施と監査証拠等の入手を行うこととなる。
④ 内部統制監査と財務諸表監査の一体的実施
(略)
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
(略)
⑥ 監査人と監査役・内部監査人との連携
(略)
=====
と書かれているところです。ところが、やはりこの前提が本当に正しいのかについて、そろそろ真摯に検討しはじめてもよいように思います。とりわけ、
「① トップダウン型のリスク・アプローチの活用」
「③ ダイレクト・レポーティングの不採用」
については、その中でも特に③については、米国でも新しい監査基準において改善され、ダイレクト・レポーティングのみの採用となったことからも、米国がこのような決断をした背景等も踏まえて、検討を始めてもよいように思います。
現場においても、具体的には、経営者評価の範囲について監査人の判断と経営者の判断が異なるような場合に、経営者の判断が適切でないと監査人が判断すると、結果的には、経営者評価の範囲が適切でないことをもって、不適正意見を出されてしまうのではないかという恐れ(あくまでも可能性ですが)から、経営者の判断を取り下げて監査人の判断にしぶしぶ従ってしまうような状況も生じているとの話も聞き及んでいるところです。その結果、経営者が基準に従って自ら決めた評価範囲の文書化作業を中止ないしは既に文書化した内容を破棄し、監査人が必要と判断した業務プロセスの文書化を新たに始めなければならないというような状況になっている場合もあると聞いています。
このような状況を避けるためには、監査人は、経営者評価の如何にかかわらず内部統制の有効性を独自に評価するという米国のダイレクトレポーティング方式を採用すれば解決することになります。もちろん、現在の方式においても監査人の監査の対象を内部統制の有効性にのみ限定するという方法でもかまいません。いずれにしても、現在の枠組みでは、
・経営者評価の適正性についても監査人が意見をさしはさまざるを得ない状況を作り出していること、
・評価や監査の実務が熟成されていない段階で、判断に迷うようなグレーゾーンがあること、
から、監査人は自らのリスクを回避するために保守的な判断をせざるを得なく(もし、不適切な監査意見を出すと金融庁による重い処分があるかもしれないという恐れを持っている)、経営者側も監査人にダメといわれるのが分かっているのであれば監査人にしたがってしまおうと流れてしまうのもやむをえないと思います。
制度の導入の結果を踏まえ、改善すべきことは改善するということは必要であります。なによりも、今、日本の証券市場が世界、アジアの中でも存在感を減じているという話もあるなかですので、適切な日本の証券市場の育成が重要です。そのためにも、証券市場における適切な制度の導入が必要となりますね。。。
こんにちは、丸山満彦です。内閣官房が「政府機関の情報システムにおいて使用されている暗号アルゴリズムSHA-1及びRSA1024に係る移行指針」(案)についての意見募集を行っていますね。。。
こんにちは、丸山満彦です。総務省がASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)等に係る意見募集の結果を公表しています。。。
Recent Comments