内部統制報告制度(内部統制報告書監査制度)の適用開始を控えた今に,ぼくの回りでもいろいろな声が聞かれるようになってきたので,もう一度,自分の頭を整理したい。
まるちゃんの情報セキュリティ気まぐれ日記: 実施基準に書かれていないことは監査人の判断しだい?:
とりわけ、
「① トップダウン型のリスク・アプローチの活用」
「③ ダイレクト・レポーティングの不採用」
については、その中でも特に③については、米国でも新しい監査基準において改善され、ダイレクト・レポーティングのみの採用となったことからも、米国がこのような決断をした背景等も踏まえて、検討を始めてもよいように思います。
XBRLと内部統制、J-SoX: まだまだ見えないIT統制評価:
あと2ヶ月で本番年度だというのに、なかなか実務対応が見えてこないJ-SoX。とりわけIT統制については、あいかわらず企業として構築、評価をどこまでやればよいのか見えてこないことに不安を覚えていらっしゃる方も少なからずいらっしゃるのではないかと思います。
先日ご紹介したJICPAの「IT統制の枠組み」についても、J-SoXにおける内部統制監査にどのように適用されうるのかが見えてこない。
「日本版SOX」の,様々ある中でも問題だと思うのは,
(1)ダイレクト・レポーティングを採用しなかったこと
(2)内部統制の要素に「ITへの対応」を含めたこと
だろう。
ダイレクト・レポーティングを採用しなかったということは,丸山さんのブログにもあるように,監査人は会社の内部統制を直接的に評価せず,内部統制を評価した経営者の報告を評価する。
これの問題については,半年前のエントリーに書いたので詳述はしないけれども,要は,ダイレクト・レポーティングを採用したときに,それに対応できる監査人(公認会計士)が非常に限られているからだろうと推測している。
監査におけるリスク・アプローチの実務が,提唱されて10年以上経ったにもかかわらず未だに定着していない状況で,リスク・アプローチを援用すべき内部統制の評価をできるとも思われない。
いわゆる「内部統制の教科書」として言及される「COSOレポート」にある内部統制の要素は次の5つである。
・統制環境(Control Environment)
・リスク評価(Risk Assessment)
・統制活動(Control Activities)
・情報と伝達(Information and Communication)
・モニタリング(Monitoring)
Internal Control – Integrated Framework
Executive Summary
これに日本版SOXでは,「ITへの対応」が追加された。そして,パンデミックが始まった。
ぼくはいまだに,内部統制の要素における「ITへの対応」の理論的整合性を見いだすことができないでいる。
個人的には,IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」の浸透度が低い状況において,公認会計士に一定の注意を喚起するために追加されたものではないかと邪推したりする。
でもそれも,ダイレクト・レポーティングを採用しなかったことによって,意義が大いに削がれたのではないだろうか。
監査人は,「ITに対する統制が,会社の内部統制においてどれほどの重要性を占めていて,財務諸表の十よな虚偽表示にどれほどのリスクを持ち得るか」を考える前に,「とにかく会計システム(あるいはさらに進んでシステム全般)をJ-SOXに耐えうるようにしてください」と言うことに終始すると思うからだ。
内部統制報告制度の導入によって,内部統制に対する会社側(経営者と従業員)の意識とともに,監査人たる公認会計士の意識の高まりが期待されたところなのに,現実には,制度上の取組みが不完全だったために,適用開始前から見直しを求められる状況になっているのではないだろうか。
しかし,それでも不完全なままで放置され,誰も省みなくなるよりは,見直すべきところは見直した方が,よっぽどいい。
公認会計士も新しい時代に追いついていくことを努めないといけない。
Filed under: Accounting , 内部統制
