本当に「プロ中のプロ」と言い得るのか,というところが問題なのかもしれない。
ビジネス法務の部屋: 決算・財務報告プロセスは「統制重視」か「検証重視」か?:
財務諸表監査に伴う内部統制監査については「プロ中のプロ」である監査人も、インダイレクト・レポーティングを前提とした「内部統制報告制度における内部統制監査」にあたっては「初心者」であります。
そして,実はそうでもないぞ,というところに町田教授の研究報告にある「内部統制報告担当者の方々の監査人へ不信感」が表出してくる余地があるのだろうと考えたりする。
Toshiさんは「財務諸表監査に伴う内部統制監査」と「内部統制報告制度における内部統制監査」を分けてらっしゃるけれども,あるいは,この2つを峻別して考えるところが問題なのかもしれない。
実際,2つともやることは同じなわけで,
日本版SOX法の先にあるもの « ノオト|natoiuk:
まず,その会社がどのようなビジネス・業務を行っているかをヒアリングする。
つぎに,ヒアリングに基づいて,それを視覚化するためにフローチャートを作成する。
そして,その業務フロー上に存在する,監査リスク(財務報告が適正でなくなるリスク)をプロットし,それに対する会社側のコントロール(内部統制)が存在するか否かをヒアリングする。
実際に監査を実施する過程では,会社の意図するとおりに内部統制が機能しているかどうか(内部統制の有効性)をテストする。
こうして,内部統制が有効であるということを担保にして,間接的に財務報告の適正性を検証していく。
(とくに重要な項目については,監査人自身が直接にその適正性を検証する)
監査人が財務諸表監査のために作るとされていた,いわゆる「3点セット」を,経営者(会社)側が作ることになったことと,内部統制の評価さえも監査人は直接に行わなくなったことだけが,「財務諸表監査に伴う内部統制監査」と「内部統制報告制度における内部統制監査」の違いといえば違いかもしれない。
ただし,それだけが違うところ,というには監査手法についての留保があるというところは,以前のエントリーに書いたので省略。
それでもなんでも,「悪法でも法である」と対応せざるを得ないのだから,企業の内部統制担当の方々においては,少なくとも防衛線を張っておかざるを得ない。
考え得るすべてのリスクを網羅して,それに対する統制を列挙するというのがもはや合理的な方法ではないというのは明らかだから,自然,Toshiさんが書いておられるところに行き着く。
ビジネス法務の部屋: 決算・財務報告プロセスは「統制重視」か「検証重視」か?:
さてそうなりますと、決算・財務報告プロセスにおいては、その統制活動(たとえば会計処理方針に関するマニュアルの整備、連結グループにおけるパッケージ作成のための研修など)を重視すべきか、検証活動(子会社の財務報告内容の再検証、再鑑など)を重視すべきか、という問題への回答としては、後者、つまり「検証活動」に重点を置くことにならざるをえないのではないかと思われます。
それらしく言い直すと,「予防的統制」と「発見的統制」。
COSOレポートを見ても,予防的統制(潜在的なリスクを予見して統制を敷く)方法に加えて,発見的統制(顕在化したリスク(不正とか誤謬)を適時適切に是正する統制活動)を重視している。
Ongoing Monitoring(日常的モニタリング)やSeparate Evaluation(独立的評価)は発見的統制に相当する機能。
COSOフレームワークにおける統制活動(Control Activities)と監視活動(Monitoring)と上記2つの関係は,多分に入れ子のようなたすきがけのような構造になっている気がして,理解しにくいのだけれど,統制活動の一環として日常的モニタリングがあると考えていいと思う。
そして,内部監査部門なんかのモニタリングが独立的評価(Separate Evaluation)に該当するだろうと。
つまり,「リスクは全部列挙したか?」という監査人に対しては,「適時適切に問題を発見するモニタリング活動を充実させています」と。
ただ,この「モニタリング」というのが,業務に対する理解が必要で,おかしなところを嗅ぎとる感覚が必要で,それを指摘する胆力が必要という点で,難しいのだけれども。
Filed under: Accounting , 内部統制
