« 米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・ | Main | JNSA 情報セキュリティ理解度チェック »

2008.02.16

キーコントロールはデジタルには決まらない

 こんにちは、丸山満彦です。先日セミナーで「業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくのではなく、キーコントロールは経営者が勘定科目別アサーション別(たとえば、売上高の網羅性)にもっとも依拠しているコントロールとして考えて、それが本当にそうであるかを判断するしかない。」という話をしました。
 トップダウンアプローチというのは、経営の上層部から勘定科目別アサーション別にもっとも依拠しているコントロールを識別し、それが重要性の金額との比較において、本当に重要な虚偽表示を予防または発見できるようなコントロールであるかを判断していく方法だと思うんです。。。でも、ちまたでは、業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくという方法をとっている場合が多いように思うんです。これは、ボトムアップアプローチですよね。。。
 でも、その後、質問が来ました。「経営者が依拠しているコントロールが、本当にキーコントロールとして十分にリスクを低減しているかはどのようにして、監査人に説明したらよいのでしょうか。。。」
 つまり、網羅的にコントロールを識別し、その中から何かの条件式にしたがって、デジタル的にキーコントロールを識別するほうが監査人には説明しやすいということだと思うんですよ。。。でもね、、、

 
結局、そういう方法をとったとしても、
1)そもそもコントロールを網羅的に抽出しているという保証はどのようにしたらできるのか?
2)デジタル的にキーコントロールであることを説明できるような条件式を理論的に構築できるのか?
3)結局最後は、キーコントロールになるかどうかは主観的に決められるのではないか?
と思うんです。

なら、結局、経営者が主観的に決めているのとそんなに大差はないんですよね。もちろん、多少ロジカルには見えますよ。。。でも、それも程度問題だろうと・・・

その程度の違いのために、莫大な文書化作業をすることのメリットは感じられないし、その結果選ばれたコントロールが経営者が依拠しているものと違うのであれば、なんだか変な感じですよね。。。

 キーコントロールになるかどうかは、経営者の能力によって主観的に選ぶほうが効率的かつ効果的だと思うんですよ。。。

 いままの監査だって、リスクベースのトップダウンアプローチになったときに、このようなボトムアップ式の内部統制の識別はしなくなったはずなんですけどね。。。

 と思うんですよ。

|

« 米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・ | Main | JNSA 情報セキュリティ理解度チェック »

Comments

ごもっともなお話です。
小生も過日、IT全般統制に不備があった際に補完的統制なるもので「救い」を図れるのであれば、実は業務としては「補完的統制」と言っているものが発見的キーコントロールで、IT全般統制がそれを補完しているに過ぎないのではないかという話をして、意外に思われてしまいました。

キーコンはデジタルには選べませんが、私が助言していますのは、「何もしていないと仮定したときに、決算数字の正しさを最も明確に端的に示す証憑と、実際の決算数値との照合をする手続」と言っております。
それだけでは不十分なら、次に何を追加すればより確実になるか・・・というように考えていけばいいですよと言っています。

Posted by: 閑人 | 2008.02.16 12:19

丸山先生

こんばんは。
>>
トップダウンアプローチというのは、経営の上層部から勘定科目別アサーション別にもっとも依拠しているコントロールを識別し、それが重要性の金額との比較において、本当に重要な虚偽表示を予防または発見できるようなコントロールであるかを判断していく方法だと思うんです。。。

ですよね! と思わず膝を叩いてしまいました。
しかしながら、この方法で作業をしていたら、「キーコントロールはプロセスごとに検討を云々」といわれて否定されてしまったことがあるんですよねぇ。。。(どこの監査法人とはいいませんが)

今にして思えば、戦っておけばよかったのかもしれないと思いますが、会社のほうで「折れましょう」となってしまいましたので、なんとも。

Posted by: grande | 2008.02.18 03:04

丸山先生、お世話になります。

金融庁Q&AのQ18に記載の通り、
法は監査人に「統制上の要点の識別の妥当性」の評価手続きについて詳細な検討を求めていますよね(それ以外は結果だけが評価対象・・・)
つまり僕はここが最も重要なポイントなのかとの理解でいます。

ここでトップダウンリスクアプローチという考え方をあてはめると、丸山先生のお話のようになる”はず”です!
ですが日本中、何か違った方向へ突っ走っているような感じですよね

ここの部分で実務上の解釈適用が金融庁・会計士協会と大手監査法人と詳細な打ち合わせが行われることを強く希望します。

Posted by: ソックス担当 | 2008.02.18 10:03

いつも拝読しておりますが、はじめて書き込みします。
丸山先生のご指摘、まさに今の混迷を喝破されているように思います。
トップダウンアプローチといいながら日本企業のトップには
「うまくいってるんだろうな」「間違いはないな」「宜しく頼むぞ」という
現場に丸投げが多いので、自ら依拠するキーコントロールなどわからないケースがほとんどです。
したがってボトムアップで現場が、あれも、これもと言い出して収集がつかなくなり、
挙句に監査法人も人手不足で若いのが、これもやれ、あれもやれと後出しじゃんけんで
コントロールを追加したり、文書化を要求したりしますから、雪だるまで「確認」の
文字が増えていきます。
加えて前回のご指摘でもあったとおり、インダイレクトレポーティングの抱える問題と
締め切りが決まっていることから、会計士の言うがままにコントロールを受け入れざるを得ない悪循環。
結果、ひとつの作業に4つも5つも印鑑を押すハメになり、モニタリングも手作業、
印刷物は増える一方でISO14001に反していくスパイラルに陥っています。
最後は、現場の「Noという勇気」で乗り越えるしかないのかもしれません。

Posted by: ものろじい | 2008.02.18 10:45

>キーコントロールになるかどうかは、経営者の能力によって主観的に選ぶほうが効率的かつ効果的

これをやろうとすると、監査法人やコンサルからは"リスクとコントロールを網羅的に抽出したか"とすぐ言われてしまいます。

本来は実施基準が想定しているのは、選定したコントロールが重要かつ十分なものであるか(だけ)についての評価・監査だと私は思っていますので、リスクやコントロール認識の網羅性は枝葉の部分だと考えています。

でも実務現場では、この解釈は少数派みたいです。

どんな理屈をつけようとも、リスク評価やキーコントロール選定は主観的になってしまいますので、どれだけ理論化しても、"監査人がそれは違うのでは?"といえば、それまでになってしまいます。それならば、企業の業務理解を前提として、重要なポイントの認識を企業・監査人で共通化する方が効率的だと思います。

ちなみに、私が最初にコンサルから指導されたやり方は、①業務プロセスに潜む固有リスクを抽出、②抽出した固有リスクの影響を評価、③影響の大きい固有リスクに対するコントロールの中から統制上の要点を選定、というものでした。

理論的には、虚偽表示リスクは固有リスクと統制リスクに分けられるのでしょうが、実務的には固有リスクだけ取り出して評価するのは簡単にできるものではありません。財務諸表監査において監査人に対して要求されているのも虚偽表示リスクの評価であって、固有リスクのみの評価ではないはずですが、監査人にも要求していないことを企業に要求するのはあんまりだという気がします。

Posted by: FN | 2008.02.18 10:57

閑人さん、コメントありがとうございます。
=====
何もしていないと仮定したときに、決算数字の正しさを最も明確に端的に示す証憑と、実際の決算数値との照合をする手続」と言っております。
それだけでは不十分なら、次に何を追加すればより確実になるか・・・というように考えていけばいいですよと言っています。
=====
そうでしょう!。そういう方法でいくなら、網羅的に業務プロセスを識別して、網羅的にコントロールを洗い出す必要はないですよね。
 業務プロセスの概要が把握できて、主要なコントロールの識別ができていれば、いいですよね。どうせ、細かいコントロールを識別しても、評価の対象とはしないわけですから。。。

grandeさん、コメントありがとうございます。
=====
今にして思えば、戦っておけばよかったのかもしれないと思いますが、会社のほうで「折れましょう」となってしまいましたので、なんとも。
=====
 でやっぱり、実施基準で決まっていないところは、監査人の言いなりになってしまいがちなんですよね。。。今の制度のままだと。。。
 評価範囲の決め方や、評価方法も監査の対象となってしまうから・・・

ソックス担当さん、コメントありがとうございます。
=====
実務上の解釈適用が金融庁・会計士協会と大手監査法人と詳細な打ち合わせが行われることを強く希望します。
=====
 ルールが決まれば、監査もルール通りにしないと、監査法人が行政指導を受けてしまいかねないので、やはりルールを変える必要があるわけで、実務家や投資家も含めて、どのような制度設計がよいのかを決めていく必要があると思うんですが、問題は、このようなルールを決める人って、世間では「有識者」といわれている人なんだろうとおもうんですが、本当にその分野の「有識者」であるかどうか・・・という点もまた問題だと思うんですよね。。。

ものろじいさん、コメントありがとうございます。
=====
日本企業のトップには
「うまくいってるんだろうな」「間違いはないな」「宜しく頼むぞ」という
現場に丸投げが多いので、自ら依拠するキーコントロールなどわからないケースがほとんどです。
=====
 これって、実は全社統制ができていないということになるはずなんですけどね。。。でも、全社統制のチェックリストでは、それがわからないのかもしれません。。。それなら、その全社統制のチェックリストがおかしいのでしょうが、実施基準の「例示」をベースにつくってたりするので・・・

FNさん、コメントありがとうございます。
=====
、①業務プロセスに潜む固有リスクを抽出、②抽出した固有リスクの影響を評価、③影響の大きい固有リスクに対するコントロールの中から統制上の要点を選定、というものでした。

理論的には、虚偽表示リスクは固有リスクと統制リスクに分けられるのでしょうが、実務的には固有リスクだけ取り出して評価するのは簡単にできるものではありません。財務諸表監査において監査人に対して要求されているのも虚偽表示リスクの評価であって、固有リスクのみの評価ではないはずですが、監査人にも要求していないことを企業に要求するのはあんまりだという気がします。
=====
そうですね。。。固有のリスクだって、経営者の主観で決めていくことが必要となるので、デジタルには決めれないんですよね。。。
 判断できる能力がある人が最後は判断しているので、それでいいはずなんですけどね。。。
 もし、判断できる能力がない人が判断している、というのであれば、これもまた全社統制の問題になると思うんですよね。。。

Posted by: 丸山満彦 | 2008.02.18 20:13

確かにトップダウンアプローチが効率的、効果的であることは間違いないと思いますが、監査法人がその点について理解してくれないと、説明し辛いです。
確かに、業務の中身までわかっていない人に、私の主観ではこうです、といってもなかなか理解しづらいかもしれませんが。
どうやったら外部の方に、経験に基づくキーコントロールを説明できるのか、具体的な手法を知りたいものです。

Posted by: P | 2008.02.18 20:14

>業務の中身までわかっていない人に、私の主観ではこうです、といってもなかなか理解しづらいかもしれませんが

本来は業務の中身を(ある程度)分かった上で評価なり監査を行わないといけないはずです。少なくとも経営者の主観的選定が適切か否か判断できる程度に業務を理解していないのであれば、それは評価者・監査人として失格と言わざるを得ないと思います。

Posted by: FN | 2008.02.19 13:07

いつも拝読させていただいております。キー・コントロールについては、結局は監査法人をいかに納得させるかにかかっていると思います。
現在、思考錯誤で選定を行っておりますが、おおよそ以下の通りです。
①業務システム等にデータ入力後、正しく入力されたかどうかをチェックするコントロールはキーコントロール。
②その業務システムにデータを入力する際に利用した情報Aは、すべてのアサーションを充足した完璧な情報でなければならない。つまりそこに記載されている仕訳をきるために必要な情報である日付、勘定科目、金額、品目№、数量、相手先名等は完璧な情報ということ。
③情報Aに含まれる個々の情報はその上流のどこかでアサーションの充足を確認するためのコントロール(承認など)が行われることになりますが、それもキー・コントロール。ただし、すべての情報が同じ箇所で確定するのではなく、それぞれが別々の箇所で決まる場合も当然あります。
④上流で確定したところから、情報Aまでに正確に情報を引き継いでくるためのコントロール(アクセス制御等)はキー・コントロール。
といった具合です。結局は、迷路ゲームのように入り口(フローの上流)から見ていくと結構難しいので、システムに入力されるところ(とりあえずのゴール)から逆に考えていくと、わりと簡単にキーコントロールが選定できるのではないかと思います。

Posted by: sai | 2008.02.19 17:15

某監査法人から、内部統制監査について顧客の選別ともとれる動きがあると聞きました。
今のペースだとすべての顧客企業について統制監査報告書を期限内に提出できない恐れがあるため
限られたリソースを金商法対応の進捗度合いに応じて割り振るような、「ノアの箱舟」のような
話があると。
ダイレクトだのインダイレクトだの以前に会計士の絶対数の不足から制度破綻をきたすような話に驚いていますが
何か聞かれたことはありますか。

Posted by: ものろじい | 2008.02.20 17:18

>ダイレクトだのインダイレクトだの以前に会計士の絶対数の不足から制度破綻をきたすような話

制度制定者の意図としては、経営者の内部統制評価を加え、更に監査人の内部統制監査を行うことで財務諸表監査の信頼性を向上させることにあるはずです。つまり、内部統制監査はより良い財務諸表監査を実現するための手段ということになると思います。財務諸表監査と内部統制監査を一体に行うとか、監査証拠は2つの監査で相互に利用可能といった実施基準の記載からも、そういった意図は読み取れます。

従来の財務諸表監査において、既に監査法人は内部統制評価を実施しているため、極端に作業量が増えるかのような発言は、そもそもおかしいと思います。もちろん、今まで内部統制評価を行っていなかった部分に対して内部統制監査が追加になるため、ある程度は監査の時間が増えるのは当然ですが、制度制定者の意図では監査人の人数不足を招くことは考えていないはずです。

監査法人が保守的にならざるを得ない事情もあるかとは思いますが、人手不足で監査契約を締結する企業を減らさなければならないというのであれば、その合理的な理由を企業に説明するのが筋だと思います。特に、今まで無限定適正意見を出していた企業に対し、内部統制報告制度の対応が(監査法人の視点から)不十分という理由だけで監査契約の締結を断るかのような発言をするのであれば、せめて ①今までの財務諸表監査のやり方がそもそも不適切だった、あるいは②監査リスクを大幅に低減させる状況が生じたために、今まで以上に監査の精度を上げなければならない、といったようなことを監査法人は企業側にはっきりと説明すべきだと思います。無限定適正意見を出しているということは、企業の内部統制が有効であるため、それに依拠して試査を中心とする監査を行った、あるいは十分な実証手続により監査を行った、のいずれかになるはずですから。

こういった説明もなしに、ただ単に今までのやり方では駄目だと主張するなら、それこそが監査というものに対する世の中の信頼を失わせることになるのではないでしょうか?

上記のようなことを、例えば経団連のようなところが筋道立てて主張すれば、少しは事態の改善に向かうのかもしれないと思います。

それと、過度に保守的な対応を企業に(事実上)要求するのは、委員会報告第82号の準拠性違反になるのではないかとも思うのですが、監査法人の方々はどうお考えなのかいつも不思議に思います。多分、そんなことを考える暇も無いくらいに忙しいのだろう、と考えておりますが。

Posted by: FN | 2008.02.21 00:08

ウチの会社では、監査人に3点セットをレビューしてもらったところ、当初の全部リスクアプローチからトップダウンのリスクアプローチに近づけるべく自分たちで苦労して絞り込んできたリスクとコントロールが、再度増える方向になってしまい困っています。
結局、監査人は保守的で、全部リスクアプローチ的傾向があるとしか思えません。
それに、コントロール数を増やせば、監査人も内部統制監査の工数は結果として増える訳で、巷で会計士さんの数が足りない(監査工数が確保できない)という話と矛盾しているように思えるのですが。(もっともそんなバランスは考えてもおらず、何でもリスク、リスクなのかもしれませんが)
どうみても、企業に過度の負担をかけないという実施基準の考え方はまったく無視した、自己保身的な動機が先に立っているような感じです。か、あるいはこうやって、リスク意識の低い監査クライアントを選別しているのかも。(勘ぐり過ぎでしょうか?)
この調子では、この先会社としての評価方法を決めて評価しても、本番の監査では「評価結果を監査する」だけで監査人は本当に収まってくれるのか疑問です。

Posted by: 内部統制右往左往 | 2008.02.21 01:19

丸山先生、早速のコメントありがとうございます。おっしゃるとおり、保守的になるあまり行き過ぎの感があります。
右往左往さんのご指摘で会計士さんが足りないという点では、ある統計でこんな数値を見ました。
======米国===日本==英国==
CPA数    33万人  1.7万人 13万人
上場会社数 5,000社 4,000社 3,000社
一社当たり 66人   4.25人  43.3人
このことだけを見ると、初めての内部統制監査だから新しいこととして欧米の真似をするとまったくついていけない。むしろ今までの財務諸表監査における内部統制監査の延長線上として捉え、顧客企業が自らも統制評価をすることで絶対数不足を補ってゆこうという考え方にならないといけないように思います。(監査工数だけを考えての表現ですのであしからず)

また、以前のコメントで経営者に現場丸投げが多い、について全社統制の不備が懸念されるというお話をいただきました。日本型経営の特徴というか、箸の上げ下ろしまでは口を出さないのが美徳という風潮とも関係するのかもしれませんが、経営者がすべての現場のキーコントロールを重要度別に自ら認識するのは難しいのかなと思っています。結局現場が何らかの文書化をして、「現状はこうなっていまして、これとこれがキーコントロールと思われます」と意見具申、「会計士はなんといっているのか」と経営者、「聞いてみます」となって会計士から「念のためこういうこともやってください」と言われて再び経営者、「じゃぁ文句を付けられないようにうまく対応してくれ」というやり取りが起こっているのではないかと。

キーパーソンは会計プロセスの知見を持つCFOかと思いますが、すべての現場を熟知するスーパーマンは稀有な存在と思いますし、それをあまねく求めるのも酷な話です。一方で各プロセスに落とし込んでいくと、ついついあれもこれもとなる監査人の意見に、現状で十分だと主張できる人はなかなかいません。安全サイドの意見に、これで大丈夫だという方がよっぽど勇気がいるからです。

丸山先生のおっしゃるとおり、「財務諸表監査において行ってきた内部統制監査との整合性という観点で過不足ないリスク認識とコントロール」というのがひとつのよりどころなのかもしれませんね。

Posted by: ものろじい | 2008.02.21 05:04

Pさん、FNさん、コメントありがとうございます。
=====
>業務の中身までわかっていない人に、私の主観ではこうです、といってもなかなか理解しづらいかもしれませんが

本来は業務の中身を(ある程度)分かった上で評価なり監査を行わないといけないはずです。少なくとも経営者の主観的選定が適切か否か判断できる程度に業務を理解していないのであれば、それは評価者・監査人として失格と言わざるを得ないと思います。
=====
当然ですよね。。。
販売プロセスは、一般的には従来から監査人が内部統制の評価をしているはずですから、当然にキーコントロールを識別しているはずですよね。。。今まで、監査人からチェックを受けていなかった内部統制も評価しろといわれているのであれば、「今までチェックされた記憶がないけど・・・」と監査人に迫ってみるとか。。。

Posted by: 丸山満彦 | 2008.02.21 08:42

saiさん、コメントありがとうございます。
=====
①業務システム等にデータ入力後、正しく入力されたかどうかをチェックするコントロールはキーコントロール。
②その業務システムにデータを入力する際に利用した情報Aは、すべてのアサーションを充足した完璧な情報でなければならない。つまりそこに記載されている仕訳をきるために必要な情報である日付、勘定科目、金額、品目№、数量、相手先名等は完璧な情報ということ。
③情報Aに含まれる個々の情報はその上流のどこかでアサーションの充足を確認するためのコントロール(承認など)が行われることになりますが、それもキー・コントロール。ただし、すべての情報が同じ箇所で確定するのではなく、それぞれが別々の箇所で決まる場合も当然あります。
④上流で確定したところから、情報Aまでに正確に情報を引き継いでくるためのコントロール(アクセス制御等)はキー・コントロール。
=====
こういうふうにすると、評価するコントロールが多くなりませんでしょうか???

Posted by: 丸山満彦 | 2008.02.21 08:44

丸山先生、早々にコメントありがとうございます。この方法ですと、キーコントロールが多くなる可能性もありますが、それはコントロールのやり方に影響されます。A情報入手⇒A情報をもとにB情報作成⇒B情報をもとにC情報作成⇒C情報をもとにD情報作成⇒D情報をもとにE情報作成⇒E情報をもとにシステムに入力⇒入力情報の正確性チェック、というフローを考えた場合、最後の入力情報の正確性のチェックをA情報との照合により行うのであれば、途中の情報の変換ミスがあっても関係ありません。ところが、直前のE情報との照合を行うというチェックの仕方をすると、そもそもE情報は正しいのかという話になり、AからEまでの途中の情報変換過程でのコントロールが重要になってきます。
 実際に業務の中でどのような統制が行われているか確認しますと、様々なパターンがあり、業務プロセスをどこで区切るかという問題もありますが、幸い1プロセスにキーコントロールが2~5個ですむケースが大半です。
監査人の中には、1つのリスクに対して、1つ以上のキーコントロールが必要といっている人もいますが、それではリスクを大きくとらえるか、細かく具体的に捉えるかによってかなり負担が違ってきます。細かくとらえすぎると、コントロールが対症療法的になりやすく、たくさんのコントロールを設けてしまう可能性が大きくなります。その場合、先ほどの1つのリスクに1つのキーコントロールを設けるという監査人の指示に従うとなると、とてつもなくたくさんのキーコントロールを選定してしまうことになります。
 かつてある監査法人が内部統制構築ツールとして作成したもののなかに、コントロールを一定の基準によって数値化してランキングを行い、キーコントロールを決める手法が紹介されていましたが、同ツールの改定版ではその部分は削除されていました。監査法人でもキー・コントロール選定手法について明確なものをもっているわけではなく試行錯誤しています。
 現時点では、監査法人によって言うことが違い、同じ監査法人内でも担当者によって言うことが違い、また、同じ人でも前言撤回という状況です。
 丸山先生が言われるように、キーコントロールはデジタル的には決められないものだと思います。全体をよく見渡してから「ここ!」と決めるべきものだと思います。キー・コントロールの抽象的な概念だけはお互いに理解していても、抽象的な議論に終始するのであれば、結局は監査法人のいうがままにキー・コントロールを増やすことになる可能性があります。ですので、当社はこういう方針でキーコントロールを決めたという、監査法人の理想論をねじ伏せる具体的な根拠を提示できないとだめだと思います。諦めなければきっと見つかるはずだと、日々考えています。

Posted by: sai | 2008.02.21 23:18

>当社はこういう方針でキーコントロールを決めたという、監査法人の理想論をねじ伏せる具体的な根拠を提示できないとだめだと思います

どんなにもっともらしい理屈をつけようとも、最終的には"業務プロセスを理解した上、(重要な虚偽表示リスクを低減するであろう)これこれのコントロールを統制上の要点として選定した"、という以上のことは言えないと思います。委員会報告第29号にも記載はありますが、リスク評価は主観的にならざるを得ないわけですから。

極論すると、結局リスク評価(あるいはキーコントロール選定)というのは価値判断なので、その価値判断に至ったこと根拠を万人に納得させる合理的な根拠を見つけるのは無理だと思います。せいぜい可能なのは、"こういう手順で、この価値判断を行いました"と言明するだけです。

さらに誤解を恐れずに言えば、価値判断の世界というのは、"わかる人にはわかる、わからない人にはわからない"という点に行き着くと思います。グレーゾーンの判断を行わざるを得ない分野があるからこそ、専門家が必要とされるわけで、誰でも同じ判断ができるのならば、専門家はそもそも必要ありません。

コントロールが不十分と主張される監査人の方には、"本当に業務プロセスを十分に理解した上での発言なのか?"と疑問を感じることは多々あります。もっとも、これは経営者に当てはまるケースも多いのでしょうが。


Posted by: FN | 2008.02.22 21:16

FNさんのおっしゃる、「リスク評価(あるいはキーコントロール選定)というのは価値判断」というのは、大きく頷けるお話です。さらに、「価値判断の世界というのは、"わかる人にはわかる、わからない人にはわからない"」というのも同様です。
監査人は、その「わかる人にしか分からない」ものを「きちんと監査した」と説明させられる立場でした。それが経営者に明示的に移ったのが今回の法律です。
そもそも内部統制以前に、「適正な財務諸表」の定義が「投資家など利用者が判断・意思決定を誤らない程度」という極めて曖昧な基準で決められているところから、全ての問題は発生しているような気がするのですが。
曖昧なものは曖昧でいいのです(判断の幅の許容)。それを、あたかも会計基準を定めたら一意に利益が定まるかのような誤解をさせているところが、決算に対してつまらぬ疑心暗鬼を生むのです。
誤解を恐れずに言えば、キャッシュフロー計算書と中期事業計画をセットで開示し、B/S P/Lを廃止すれば、事実の世界と経営判断の世界とが明確に分かれ、会計の曖昧さがなくなり、経営者の責任範囲と監査人の責任範囲の区分も明確になるので、監査ももっと簡素になります。

Posted by: 閑人 | 2008.02.23 17:48

saiさん、FNさん、閑人さん、コメントありがとうございます。。。

監査人が今までの財務諸表監査における内部統制の評価において、どのようにキーコントロールを識別していたかどうかですよね。。。
=====
 かつてある監査法人が内部統制構築ツールとして作成したもののなかに、コントロールを一定の基準によって数値化してランキングを行い、キーコントロールを決める手法が紹介されていましたが、同ツールの改定版ではその部分は削除されていました。監査法人でもキー・コントロール選定手法について明確なものをもっているわけではなく試行錯誤しています。
=====
 であるなら、今までの監査が疑われかねないですよね。。。
 きっと専門家の判断で決めていたのだろうと思います。

=====
さらに誤解を恐れずに言えば、価値判断の世界というのは、"わかる人にはわかる、わからない人にはわからない"という点に行き着くと思います。グレーゾーンの判断を行わざるを得ない分野があるからこそ、専門家が必要とされるわけで、誰でも同じ判断ができるのならば、専門家はそもそも必要ありません。
=====
 そうですよね。。。
 

Posted by: 丸山満彦 | 2008.02.24 02:27

>監査人は、その「わかる人にしか分からない」ものを「きちんと監査した」と説明させられる立場

これが本来の専門家の役割かと思います。専門家のお墨付きがあるから、細かいことは分からなくても信頼できるというのが大きなメリットになるわけですから。すべての投資家に、公認会計士と同等の知識を要求するのは酷な話です。

>きっと専門家の判断で決めていたのだろうと思います

こういういったことを監査法人がもっとオープンに言えば、現在の混乱も少ないかもしれませんね。立場上、言いづらい部分もあるのだとは思いますが。

内部統制報告制度の導入で、何でもかんでも文書化したり、理屈付けを行わなければならないという風潮がありますが、本来専門家の判断というのは、根拠となる知識やら理屈を積み重ねた上で、"エイヤ"で決める部分も多いはずです。たとえばですが、日常反復される取引において、母集団のエラー率が10%未満であることを90%の信頼水準で言えると、どんな理由でもって内部統制は有効で、さらには重要な虚偽表示リスクは低いと判断できるのか、論理的な根拠を知りたいものです。感覚的には大きく間違っていない気はするのですが、その合理的な理由は、はっきり言って思いつきません。

私には、"業務プロセスを理解した上で、この統制活動を統制上の要点と選定した"という主張と、上記の統計学を前提とした主張というのは、合理性において大した差はないと思います。それでも、専門家がそう断言すると、それだけで信頼性は向上します。

結局、専門家の判断というのも(前提知識はある程度必要ですが)この程度だ、と開き直って、企業側も監査法人も気楽に(というと怒られそうですが)制度対応実務を進めれば、お互いの精神衛生にも良いのにな、という気がします。

Posted by: FN | 2008.02.27 00:31

FNさん、コメントありがとうございます。

=====
日常反復される取引において、母集団のエラー率が10%未満であることを90%の信頼水準で言えると、どんな理由でもって内部統制は有効で、さらには重要な虚偽表示リスクは低いと判断できるのか、論理的な根拠を知りたいものです。
=====
 これは、過去の経験等に基づいた専門家の判断としての決めでしょうね。。。

 所詮はその程度の根拠です。。。

Posted by: 丸山満彦 | 2008.02.28 09:09

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference キーコントロールはデジタルには決まらない:

« 米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・ | Main | JNSA 情報セキュリティ理解度チェック »