金融庁 「内部統制報告制度に関するQ&A」の追加
こんにちは、丸山満彦です。金融庁が「「内部統制報告制度に関するQ&A」の追加について」を公表していますね。。。
2008.06.24
SEC Approves One-Year Extension for Small Businesses From Auditor Attestation Requirement in Sarbanes-Oxley Act
こんにちは、丸山満彦です。米国では小規模会社に対するSOX法404条(b)(独立監査人による監査)の適用が1年延長されたようですね。。。
コスト効果分析を実施してみて1年延長したようですから、小規模会社に対して内部統制報告制度のうち監査を適用することは「コスト>効果」ということになるのでしょうかね。。。
米国ではすでに404条が適用されてから数年が経ち、内部統制の監査の基準もAS5に改定され、SECによる経営者評価のガイドラインもでたので過剰反応も収まっていると思います。それでもなお、小規模会社への適用が延長されたわけですね。。。
2008.06.19
情報システム監査の実施状況 <= 監査白書
こんにちは、丸山満彦です。日本内部監査協会が監査白書2007という内部監査実施状況をまとめた白書を作成しております。いろいろな意味で大変参考になります。。。
3年に一度の調査?で経年変化もある程度みれます。内部統制報告制度が始まる前の状況とはいえますが。。。
ということで、今回はそこから情報システム監査の実施状況についてちょっと・・・
2008.06.18
EDPシステムの監査基準および監査手続試案
こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
内容的には今とあまり変わっていませんね。。。
2008.06.17
NHK 土曜ドラマ 監査法人
こんにちは、丸山満彦です。NHKの土曜ドラマ「監査法人」が始まりましたね。。。私は、予告どおり京都に蛍を見に行ったので見れませんでした。
まぁ、監査の実務をしたことのない学者と大手監査法人で監査実務をしたことのない人たちによる監修でもあり、まぁ、ドラマにするのも無理があるよなぁ・・・ということもあり、あまり気にしていなかったのですが、視聴者の評価によっては採用にも関係するし、入社後の期待ギャップにも影響するので、内容を理解しておくことは重要だなぁ・・・と思い出しました。。。
ということで、ブログなどでの評価をチェック・・・
ちなみに、ドラマをみたほかの会計士数名に話をきいたのですが(結構、みてました。。。)、全体としての意見は、「ドラマですからね。。。」ってことのようです。現金実査?やたな卸しのシーンは妙に描写が細かかったという話もありました。。。
2008.06.14
経営者評価とは関係なく監査人が独自にサンプリングをし内部統制の有効性を評価する?
こんにちは、丸山満彦です。昨日は都内でafter-JSOXシンポジウムで基調講演をさせていただきました。朝1番から700名を超える方が参加されたそうで大変な盛況でした。ありがとうございました。私の話は単純で、米国で起こったことをほぼそのまま伝えたようなものでして、つまり、
(1)制度対応を効率的にしていきましょう。
(2)制度対応に伴って構築した社内基盤を活かして財務報告の信頼性目的以外の目的も達成できるようにしましょう。
ということです。。。
まぁ、今回の制度は国内外の投資家(多くは富裕層ですよね。。。)を保護しよう。。。という制度で経営者も従業員も余りモチベーションが上がらないかもしれませんが、上場企業グループで働いている以上仕方がないと割り切ってがんばって対応しましょう。
さてさて、このシンポジウムで次のような話がでていたので、ちょっとご紹介・・・。
監査法人の中には、基本的には経営者評価に依拠をせずに監査人が直接サンプリング等を実施し、内部統制の有効性を直接評価するように考えているところがあるようですね。。。
この場合、現場に対しては経営者評価のための例えば内部監査人によるサンプルテストと、監査法人によるサンプルテストの二つの対応が必要となるので、現場ではちょっと大変かもしれませんね。。。
2008.06.12
COSO ED Guidance on Monitoring Internal Control Systems
こんにちは、丸山満彦です。COSOがGuidance on Monitoring Internal Control Systemsの公開草案を公表していますね。。。締め切りは8月15日、秋には確定版ができるような感じですね。。。
目的は
=====
・ To help organizations improve the effectiveness and efficiency of their internal control1 systems..
・ To provide practical guidance that illustrates how monitoring can be incorporated into an organization’s internal control processes.
=====
ということのようですね。。。
フレームワークは
=====
Establish a Foundation
> Tone from the top
> Organizational structure
> Baseline understanding of internal control effectiveness
Design & Execute
> Prioritize risks
> Identify controls
> Identify persuasive information about controls
> Implement monitoring procedures
Assess & Report
> Prioritize findings
> Report results to the appropriate level
> Follow up on corrective action
=====
監査に関係する団体がいくつかあるので、COSOのこの報告書はきになるところでしょうね。。。
ロジカルに整理されすぎると、重装備になる可能性もありますかね。。。
2008.06.06
公認会計士協会 「監査・保証実務委員会研究報告第18号「監査時間の見積りに関する研究報告(中間報告)」の改正について」を公表
こんにちは、丸山満彦です。日本公認会計士協会から 「監査・保証実務委員会研究報告第18号「監査時間の見積りに関する研究報告(中間報告)」の改正について」が公表されていますね。。。
内部統制監査、四半期レビュー等の新しい制度が始まりますね。。。あくまでも参考ということで
2008.05.23
2008.05.17
経済産業省 パブコメ 「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン(案)」
こんにちは、丸山満彦です。会計監査の信頼性がいろいろと取り上げられていますが、マネジメントシステムの認証の信頼性についても課題となっているようですね。。。
JISのマネジメントシステム認証の仕組みは、日本工業標準調査会(JISC)の「審査登録のしくみ」を見るとわかりますが、認定機関が認証機関を認定し、その認証機関が認証を受ける組織の活動がJISQ9001に適合しているかどうかを認証し、登録するという仕組みになっています。
JISCの議論などもみていると(例えば、ガイドライン(案)に対する認証機関からの意見について )面白いですね。。。
マネジメント認証を理論的に厳密に突き詰めると、規格(例えば、JISQ9001)への適合性の認証となるのですが、そうすると規格に「適合していることが必ずしも社会の期待ではない」ので、理論的になればなるほど社会の期待からのずれが生じる。一方、社会の期待にあわせようとすると、あいまいな認証の基準が入り込む余地がでてくるので、認証の透明性が損なわれる。。。
「規格の内容が必ずしも社会の期待に一致していない」、「認証の仕組みが社会の期待を反映できない」の2つに問題わけて考えたほうがよいかもしれませんね。。。
2008.05.06
監査の品質
こんにちは、丸山満彦です。閑人さんから「監査の品質」についてコメントをいただいたので普段考えていたことの備忘録で・・・
そもそも品質管理っていうけど、監査の品質管理って言う場合に、
・「グレードを向上させる」ことなのか
・「ばらつきを減らす」ことなのか
また、
・「Quality Management」なのか
・「Quality Control」なのか
を混乱して利用されている場合がありそうです。
2008.05.02
金融庁 パブコメ 「公認会計士・監査法人に対する懲戒処分等の考え方」の改訂(案)
こんにちは、丸山満彦です。金融庁が、「公認会計士・監査法人に対する懲戒処分等の考え方」の改訂(案)についてのパブコメを募集していますね。。。
2008.04.30
ISACA ITAF™: A Professional Practices Framework for IT Assurance
こんにちは、丸山満彦です。ISACAがITAF™: A Professional Practices Framework for IT Assurance を公開していますね。。。
監査基準のようなものです。。。
2008.04.26
総務省 総務省 地方自治情報管理概要
こんにちは、丸山満彦です。総務省の「地方自治情報管理概要」の調査が毎年9月末から10月初旬にかけて行われているようですが、取り上げていなかったのでいまさらながらまとめて・・・
2008.04.20
粉飾を見抜けなかった監査法人に損害賠償を認める判決
こんにちは、丸山満彦です。事実関係だけを羅列します。さまざまな分野の専門家により、さまざまな角度から分析され、よりよい社会になるとよいと思います。。。
2008.04.17
公認会計士協会 内部統制報告制度相談・照会窓口の設置
こんにちは、丸山満彦です。金融庁、日本公認会計士協会、(社)日本経済団体連合会の3団体が、共同で「内部統制報告制度相談・照会窓口」を設置するようですね。。。
2008.04.15
2008.04.14
情報セキュリティ格付会社
こんにちは、丸山満彦です。情報セキュリティ格付会社が5月2日に設立されるそうですね。。。
=====
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。
=====
大変おもしろい取り組みだと思います。世界にも広がるとよいですね。。。
2008.04.07
昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円
こんにちは、丸山満彦です。日本公認会計士協会が監査実施状況調査を公表していますね。。。
=====
この調査は、平成20 年2 月末日までに提出された平成18 年4 月期から平成19 年3 月期までの1年間に係る監査概要書及び会社法監査実施報告書並びに平成18 年度の信金・信組の監査実施報告書、学校法人監査実施報告書、特定目的会社監査実施報告書、投資事業有限責任監査実施報告書、独立行政法人監査実施報告書及び国立大学法人等監査実施報告書により集計したものである。
=====
この資料をもとに計算してみると・・・
2008.04.04
監査役協会 「財務報告内部統制報告制度」に関するアンケート調査結果(2)監査意見の予想?
こんにちは、丸山満彦です。監査役協会の「財務報告内部統制報告制度」に関するアンケート調査結果の速報版の調査結果を見る限り、8社に1社程度は適用初年度に「内部統制に重要な欠陥がある」と意見表明するかも・・・と思っているようです。
評価ができないよりもよいですよね。。。
【監査役協会】
・2008.04.04 「有識者懇談会の設置」、「「財務報告内部統制報告制度」に関するインターネット・アンケートの調査結果」等について記者会見を開きました
・・「財務報告に係る内部統制報告制度」に関するインターネット・アンケート調査結果[速報]
2008.03.28
公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」
こんにちは、丸山満彦です。日本公認会計士協会が、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」を公表していますね。。。長い題ですね。。。
=====
本研究報告は、IT委員会報告第3号の一部改正に合わせて、平成18年3月17日に公表したものです。今般、昨今のITに係る財務諸表監査を取り巻く環境の変化に伴い、会員が実務上必要と思われる例示及び留意点を新たに追加し、公表することとしました。
今後、ますます重要性が高まるであろうIT監査理解のため、本研究報告にお目通しいただければと思います。
=====
公認会計士向けです。。。一応。。。
2008.03.17
米国では原則ベースの基準に移行しようとしたのに、日本では手続ベースの基準をどうしてつくろうとしたのかなぁ・・・
こんにちは、丸山満彦です。内部統制報告制度の導入を巡り、若干の混乱が生じているようですが(金融庁が11の誤解をだすような状況ですので・・・)、この混乱の原因をちゃんと正直に見極めることが重要なんでしょうね。。。反省がないところに、改善はありませんので・・・
ひとつは、やはり内部統制の基準(実施基準も含む)が評価をするという観点からはよくないのではないかと思っています。そもそもCOSOの内部統制報告書は内部統制を評価するための基準(つまりクライテリア)ではなかったのだろうと思います(カナダ勅許会計士協会が策定したCoCoではその点に触れています)。にもかかわらず、米国ではCOSOを判断基準として導入をしました。それが混乱の元になったのではないかと思います。COSOはその点はちゃんと理解していたと思います。中小企業向けのCOSOでは、評価を意識して、原則を書いています。この原則が非常に重要なんですよね。。。原則を実現できれば、そのための手続はどうでもいいわけです。手続ベースであれば、手続をちゃんとしなければなりません。どのような状況であっても特定の手続を実施することが、原則を実現するための最適な手続であれば、その特定の手続の実施をすることが意味があるのですが、必ずしも特定の手続の実施が、原則を実現するための最適解でない場合にストレスを感じることになります。
日本の基準では、米国の混乱を気にして、基準でやり方(手続や具体的な判断基準)を決めることで(例えば、勘定科目を決めるとか・・・)悩まずにできるようになり混乱が減ると考えたのかもしれませんが、原則を明確にせずにこのような具体的な手続や判断基準を決めたところがよくなかったのか・・・という気もします。
2008.03.11
金融庁 「内部統制報告制度に関する11の誤解」を公表
こんにちは、丸山満彦です。
=====
しかしながら、実務の現場では、一部に過度に保守的な対応が行われているとも言われております。金融庁では、そうした指摘も踏まえ「内部統制報告制度に関する11の誤解」を公表し、改めて制度の意図を説明することといたしました。
また、併せて、内部統制報告制度の円滑な実施に向けた行政の対応を公表することとしました。
=====
改めて制度の・・・ということですね。。。
2008.03.01
監査法人の内部統制の重要な欠陥の事例集???
こんにちは、丸山満彦です。金融庁の公認会計士・監査審議会、通称CPAAOB(Certified Public Accountants and Auditing Oversight Board )が、「監査の品質管理に関する検査指摘事例集」を公表しています。全社的な内部統制の構築の際の目安になるかもしれませんね。。。
2008.02.25
どんと来い、リスクマネジメント
こんにちは、丸山満彦です。昨年11月に「@nfityビジネス」で開始した「どんと来い、リスクマネジメント」ですが、すでに12回も書いています。。。
右の「タイトルバー」にもリンクを張りました。これからもよろしくお願いします。
2008.02.24
全社的な内部統制に不備がある場合で、業務プロセスに係る内部統制がそれを補完する場合の例
こんにちは、丸山満彦です。実施基準のP41には、
=====
経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。例えば、全社的な内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係る内部統制の評価について、評価範囲の拡大や評価手続を追加するなどの措置が必要となる。
=====
とあるのですが、具体的に、
(1)どのような全社的な内部統制が有効でない場合に
(2)どのような業務プロセスに係る内部統制が有効であれば、
全体としての内部統制が有効であるといえるのか?
ひとつでもよいので具体例を教えていただきたい。。。といわれたら、あなたは何を例としてあげますか・・・
2008.02.16
キーコントロールはデジタルには決まらない
こんにちは、丸山満彦です。先日セミナーで「業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくのではなく、キーコントロールは経営者が勘定科目別アサーション別(たとえば、売上高の網羅性)にもっとも依拠しているコントロールとして考えて、それが本当にそうであるかを判断するしかない。」という話をしました。
トップダウンアプローチというのは、経営の上層部から勘定科目別アサーション別にもっとも依拠しているコントロールを識別し、それが重要性の金額との比較において、本当に重要な虚偽表示を予防または発見できるようなコントロールであるかを判断していく方法だと思うんです。。。でも、ちまたでは、業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくという方法をとっている場合が多いように思うんです。これは、ボトムアップアプローチですよね。。。
でも、その後、質問が来ました。「経営者が依拠しているコントロールが、本当にキーコントロールとして十分にリスクを低減しているかはどのようにして、監査人に説明したらよいのでしょうか。。。」
つまり、網羅的にコントロールを識別し、その中から何かの条件式にしたがって、デジタル的にキーコントロールを識別するほうが監査人には説明しやすいということだと思うんですよ。。。でもね、、、
2008.02.13
米国では、小規模公開会社へのSOX法404条の適用が1年延長されるかもなのですが・・・
こんにちは、丸山満彦です。米国では、小規模会社へのSOX法404条の適用をさらに1年間延長することを決定したわけですよね。。。少なくとも費用効果分析をしなければ、制度導入の意味はないということなのだろうと思います。
ところが日本の場合は、そんなことを検討すらした形跡もなく(この点については、「弦巻ナレッジネットワーク」に詳しい)、はじめから導入ありきで始まっている。もちろん、米国での導入の経緯を踏まえて日本ではコストがよりかからないような配慮を基準に織り込んだということなのでしょうけど。。。
しかし、そこに書かれている。
=====
① トップダウン型のリスク・アプローチの活用
② 内部統制の不備の区分
③ ダイレクト・レポーティングの不採用
④ 内部統制監査と財務諸表監査の一体的実施
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
⑥ 監査人と監査役・内部監査人との連携
=====
のいずれも、実際はそれほど本質的ではないように思えるんですよね。
①については、米国では勘違いによって網羅的にリスクを洗い出し、コントロールを洗い出し、キーコントロールを識別していくという方法をとった会社が多かったのでそうなったのですが、日本でも同じようなコンサルの仕方をしている会社もあるようですので、あまり効果はなかったのだと思います。
②については、全然本質的ではありません。実務的にはやはり、「重大な欠陥」と、重大な欠陥ではないがこれを放置しているとやがて重大な欠陥につながるので取締役、執行役や監査役には伝えておいたほうがよい「重要である不備」と本当にささいな「不備」の3つに分けるだろと思うんです。
③については、ダイレクトレポーティングか言明方式かには本質的な違いはないんです。あえていうと言明方式のほうが二重責任の原則をより明確にできるという違いくらいだろうと思っています。むしろ、日本の場合は、内部統制報告書の適正性の監査にした結果、監査すべき対象が内部統制の有効性以外にも広がっているという点で、よりコストがかかる方向になっていると思います。この点は、制度で狙っていたことと逆の方向になっていると思います。
④については、米国でもそうです。
⑤については単に報告書の文字数の問題だけかもしれません。
⑥についても同様です。「そうですね。」という程度です。むしろ、日本の場合は、会社法による監査役の会計監査人の監督の話と、金商法の監査役を含む統制環境を公認会計士が監査対象として評価するという、二匹の蛇が互いに尻尾を食べあっている状態を作っているのではないかと話題になり混乱を招いたのではないかと思うんですよね。
おそらくほとんどの会計士の人は①~⑥の話は「あまり理由になっていないなぁ・・・」と直感では感じていると思うんです。声にはださないけれども・・・
つまりですね。。。
2008.02.08
実施基準に書かれていないことは監査人の判断しだい?
こんにちは、丸山満彦です。内部統制報告制度の本番を目前に控えていますが、解決しなければならない制度上の問題がそろそろ浮かびあがりつつありますので、政策担当者の皆さんはこれから、このような制度上の問題点を拾い上げて改善していくプロセスに入っていくのだろうと思います。。。(未確認ですが。。。)
さて、今回の制度の導入において最も懸案していたことは、米国での制度導入に際して企業に過大な費用負担を負わせることになったということでしょう。この点については、金融庁の企業会計審議会内部統制部会の中でも十分考慮されていたことだろうと思いますし、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」の前書きにあたる部分にも
=====
評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的に以下の方策を講ずることとした。
① トップダウン型のリスク・アプローチの活用
経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価することとした。
② 内部統制の不備の区分
(略)
③ ダイレクト・レポーティングの不採用
監査人は、経営者が実施した内部統制の評価について監査を実施し、米国で併用されているダイレクト・レポーティング(直接報告業務)は採用しないこっとした。この結果、監査人は、経営者の評価結果を監査するための監査手続の実施と監査証拠等の入手を行うこととなる。
④ 内部統制監査と財務諸表監査の一体的実施
(略)
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
(略)
⑥ 監査人と監査役・内部監査人との連携
(略)
=====
と書かれているところです。ところが、やはりこの前提が本当に正しいのかについて、そろそろ真摯に検討しはじめてもよいように思います。とりわけ、
「① トップダウン型のリスク・アプローチの活用」
「③ ダイレクト・レポーティングの不採用」
については、その中でも特に③については、米国でも新しい監査基準において改善され、ダイレクト・レポーティングのみの採用となったことからも、米国がこのような決断をした背景等も踏まえて、検討を始めてもよいように思います。
現場においても、具体的には、経営者評価の範囲について監査人の判断と経営者の判断が異なるような場合に、経営者の判断が適切でないと監査人が判断すると、結果的には、経営者評価の範囲が適切でないことをもって、不適正意見を出されてしまうのではないかという恐れ(あくまでも可能性ですが)から、経営者の判断を取り下げて監査人の判断にしぶしぶ従ってしまうような状況も生じているとの話も聞き及んでいるところです。その結果、経営者が基準に従って自ら決めた評価範囲の文書化作業を中止ないしは既に文書化した内容を破棄し、監査人が必要と判断した業務プロセスの文書化を新たに始めなければならないというような状況になっている場合もあると聞いています。
このような状況を避けるためには、監査人は、経営者評価の如何にかかわらず内部統制の有効性を独自に評価するという米国のダイレクトレポーティング方式を採用すれば解決することになります。もちろん、現在の方式においても監査人の監査の対象を内部統制の有効性にのみ限定するという方法でもかまいません。いずれにしても、現在の枠組みでは、
・経営者評価の適正性についても監査人が意見をさしはさまざるを得ない状況を作り出していること、
・評価や監査の実務が熟成されていない段階で、判断に迷うようなグレーゾーンがあること、
から、監査人は自らのリスクを回避するために保守的な判断をせざるを得なく(もし、不適切な監査意見を出すと金融庁による重い処分があるかもしれないという恐れを持っている)、経営者側も監査人にダメといわれるのが分かっているのであれば監査人にしたがってしまおうと流れてしまうのもやむをえないと思います。
制度の導入の結果を踏まえ、改善すべきことは改善するということは必要であります。なによりも、今、日本の証券市場が世界、アジアの中でも存在感を減じているという話もあるなかですので、適切な日本の証券市場の育成が重要です。そのためにも、証券市場における適切な制度の導入が必要となりますね。。。
2008.02.01
2008.01.30
総務省 パブコメ 行政機関個人情報保護法の施行状況調査の調査項目等(案)
こんにちは、丸山満彦です。「行政機関個人情報保護法の施行状況調査の調査項目等(案)に対する意見募集」が行われていますね。。。監査の状況も含まれていますね。。。
Recent Comments