経営者による内部統制運用状況評価(サンプリング)
ひさしぶりにJ-SOX(金融商品取引法上の内部統制報告制度)に関するエントリーであります。先日、ある企業のCSR部の方よりご質問をいただきました。ご質問内容は以下のとおりであります。
実施基準がサンプリングにおいて最低25と言っているのは記事にお書きになったとおりですが、この点に関して、実施基準は正規分布を前提すると言っております。
数字に弱いもので、この意味が理解できないでいるのですが、 そのようなことをおっしゃる方はないのでしょうか?何が、正規分布するのでしょうか?エラーの件数?エラーの発生確率?エラーの金額?監査ではエラーの有無を検証するために、属性サンプリングというやり方を採りますが、これは、特に分布を仮定しているわけではないようです。何らかの知見をお持ちでしたら、あるいは、知見をお持ちの方がおられましたら、ブログで解説いただけると幸甚です。
実は私も、昨年11月に実施基準の公開草案がリリースされましてから、このサンプリングのところはよくわからないままになっておりまして、おそらく公認会計士さん方のように、普段の財務諸表監査におけるサンプリングの統計的手法に慣れておりませんと、理解は困難なところなのではないでしょうか。とりあえず、どなたかにお聞きしようと思っておりましたが、どちらかといいますと「全社的内部統制」の整備運用のほうに目が向いておりましたので、私も疑問をそのまま残しておりました。
せっかくのご質問でもあり、また私自身も非常に関心の高いところであること、さらに統計学の素人である「一般経営者」にとりましても、このサンプリングは内部統制の運用状況評価方法として理解しておかなければならないこと(少なくともタテマエとしては・・・、いやホンネとしても・・・でしょうか?)ですから、どなたが参考文献でも結構ですので、このサンプリングについて「なんとなく」理解できそうなものがございましたらご教示いただけませんでしょうか?
現時点でなんとなく理解しておりますのは、以下のとおりであります。
経営者も業務プロセスにおける内部統制の運用状況について、その有効性をサンプリングの手法を用いて評価しなければならない。実際には社内の内部統制評価チームが検討するのであろうが、その統括者として、経営者も評価の全体像については認識しておかなければならない。なお、実施基準には、監査人による監査方法として、統制上の要点ごとに25件以上のサンプルを必要とすると書かれており、経営者の評価手法としては書かれていないが、すくなくとも監査人に要求されるものと同等数のサンプルについては必要である。25件のサンプルのうち、1件でも問題事項が発見されたのであれば、その対象となっている内部統制には「不備」があると評価せざるをえない。その「不備」が重要な欠陥といえるかどうか、別個の判断を要するが、数値的な判断によって重要な欠陥と評価されるに至るケースは稀少であろう。(参考「内部統制の知識」町田祥弘2007年日経文庫165頁以下、企業会計2007年4月号座談会記事 中央経済社 46頁以下、逐条解説「内部統制基準を考える」八田=町田 2007年同文館出版134頁以下、同180頁以下)
とりわけ前記町田先生の「内部統制の知識」を読みますと、アメリカSOX法下における実際の内部統制監査手法を参考にされているようですので、そちらの方面での監査経験をお持ちの会計士さん方であれば、自明のこととして知悉しておられるのではないか、思います。(いまは業務中でありますので、また続編を書きたいと思っております)
| 固定リンク
コメント
監査実務では、誤謬率20%以上だと内部統制が無効であり、10~20%は軽微(無視できる)ではないとされているようです。
1/25=4%で内部統制を無効とするのは、サンプル中の誤謬率から母集団全体の誤謬総額を推定する場合、サンプリングの誤差を考えて加算する必要があるからだと説明されます。(内部統制の評価モデル・中央経済社をご参照)
公認会計士協会の監査基準委員会報告第9号【試査】50では「統制評価手続き・・・は、サンプルから検出された誤謬率が母集団全体の誤謬率となるので、・・・推定は必要とされない」とされています。国際監査基準でも同様の定めがあります。
25件に1件の不備=内部統制が無効と結論付けるのは、一般に公正妥当と認められる監査の基準に反しています。アメリカの内部統制評価実務に追随して、日本の監査基準に反する説明が公然と行われていることには、重大な問題があります。
投稿: サンプリング | 2007年3月15日 (木) 13時02分
アメリカの内部統制評価及び実証性監査手続きについて、手法を知りたい場合には「アメリカ監査基準書の読み方」(中央掲経済社)がよくまとめてあります。
なお、PCAOBの監査基準第2号(Public Company Accounting Oversight BoardのHPに英語で記載。日本会計士協会のHPに翻訳版掲載)にはサンプリングの実務的な手法が記述されていません。
投稿: 見なくても良いですが | 2007年3月15日 (木) 13時28分
サンプリングさん、見なくてもいいですがさん、早速のご教示ありがとうございます。すぐに反応できるほどの基礎知識も能力もありませんので、すこし勉強させていただく時間をください。
たしか、私が掲げた書籍には、25件に1件の問題が判明した場合には内部統制に不備があるとは記載されておりましたが、「無効」ということまでは記載されておりませんでした。有効と評価できない場合が、すべて「無効」なのかどうかは、あまり検討したことはございませんが。(そもそも実施基準のなかに内部統制の有効性という概念はありますが、内部統制の無効、といった概念はなかったかと思います)
チョコチョコとこの話題にも触れていきたいと思いますので、またご教示よろしくお願いいたします。
投稿: toshi | 2007年3月15日 (木) 16時13分
言葉遣いが正確でなく、失礼しました。アメリカの手法は次のとおりです。
0~10% 許容逸脱率(不備に計算しなくて良い=アメリカではinconsequential amount軽微)の範囲内
10~20% 不備。取引高×逸脱率=潜在的な影響額で、加算の基礎とする。
20%以上 内部統制がないものと考える。
日本の実施基準は、アメリカと異なり「重要な欠陥」「不備」の二区分です。そのためアメリカと異なり「軽微」=不備として加算しなくて良い許容逸脱率が存在することが見えにくくなりました。
当局者は不備の区分を二つに整理することで、日本では簡素化を図ったと説明しています。実際には、これを逆用して町田教授のように「財務報告の信頼性を重視するもの」と説明するようになっています。
※八田教授との著作「内部統制基準を考える」(同文館出版)では、このことに触れていません。
1/25=そのまま計算すれば4%です。しかしサンプリングリスク5%で考えると想定逸脱率の上限は17.6%になります。
詳細はアメリカ監査基準書の読み方により調べてみてください。
投稿: サンプリング | 2007年3月15日 (木) 16時51分
システム管理基準(追補版)(財務報告に係る内部統制ガイダンス)144ページでは、25件に対する許容逸脱率は0件であると書かれています。
ここで面白いのは、そのすぐ後で「サンプル件数と許容逸脱件数の組み合わせは統計的方法によるものではない」と記述しています。
投稿: 最近の経済産業省は? | 2007年3月15日 (木) 17時04分
財務報告に係る内部統制の評価=会計監査の手法ですが、法令遵守を上場企業に義務付ける一方で、具体的な内容は基準を読んだだけではほとんど分からないように書かれています。
具体的に知るために、上場会社は数百~数千万円でコンサルタントに教えてもらうことを余儀なくされます。
このようなやり方は正義にかなっているのでしょうか?
投稿: よらしむべし | 2007年3月15日 (木) 17時20分
山口先生、丸山満彦です。いつも楽しく読ませていただいています。サンプリングの件ですが、経済産業省の追補版の作成にもかかわっていることもありコメントさせていただきます。といっても、コメントはあくまでも個人的な見解です。。。
(1)サンプルの考え方
内部統制の運用の有効性を評価する際のサンプリングの考え方は、基本的には工場における抜き取り検査考え方と同じです。例えば、
1)伝票に承認印があれば合格、承認印がなければ不合格とするとします。
2)母集団全体のうち9%以下の不合格率であれば、母集団全体の品質を良好と判断する。
3)その判断の信頼性は90%とする。
4)伝票全体の枚数をN枚とする。
としたときに、
N枚の伝票の束の中からn枚の伝票を抜き取った時に何枚の不合格品が見つかった場合に母集団全体の品質を良好かと判断するかを考えるという問題と同じです。
数学的には超幾何分布にしたがって評価することになります。
高校の数学で90個の白玉と10個の赤玉が入った箱から3この玉を取り出したときに3個とも白玉である確率は何パーセントでしょうか?という問題を解いたかもしれませんが、それと同じような感じです。。。
ただし、Nやnに比べて大きな場合(非復元抽出を復元抽出で計算しても大差がない場合)でかつ、不合格率(上記の例では9%)が10%以下の場合はポアソン分布(ポッソン分布)で近似できるという性質を利用してポアソン分布の計算式に基づいて計算します。
ポアソン分布の確率関数や超幾何分布の確率関数はウェブで検索するとでてきますので参考にしてみてください。。。
私のブログの
・2006.03.02 準拠性検査のサンプル数
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2006/03/post_daea.html
・2006.11.21 準拠性検査のサンプル数 (2)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2006/11/_2_eb71.html
も参考にしてみてください。
(2)不備の影響額
サンプリングさんのコメントにある
=====
公認会計士協会の監査基準委員会報告第9号【試査】50では「統制評価手続き・・・は、サンプルから検出された誤謬率が母集団全体の誤謬率となるので、・・・推定は必要とされない」とされています。国際監査基準でも同様の定めがあります。
=====
については、財務諸表監査における内部統制の評価は監査人が実施する実証的検証のサンプル数を決めるために
1)内部統制が有効で内部統制に依拠をして実証的検証を行うのか
2)内部統制が有効でないので内部統制に依拠せずに実証的検証を行うのか
を監査人が判定するために行うことから、母集団全体の誤謬率を推定することは必要ないということだろうと思います。
そもそも、このような承認印があれば合格、承認印がなければ不合格という評価をするためのサンプルの方法を属性サンプリングといいますが、属性サンプリングは金額的な誤謬を推定することを前提としていないサンプリング手法だと思います。
なので、属性サンプリングの結果から誤謬の金額を推定するのは若干の違和感を感じますが、実務ではサンプリングさんがコメントに書いているような想定逸脱率の上限を使って計算しています。
(3)システム監査の追補版について
最近の経済産業省は?さんがコメントしている
=====
システム管理基準(追補版)(財務報告に係る内部統制ガイダンス)144ページでは、25件に対する許容逸脱率は0件であると書かれています。
ここで面白いのは、そのすぐ後で「サンプル件数と許容逸脱件数の組み合わせは統計的方法によるものではない」と記述しています。
=====
の「サンプル件数と許容逸脱件数の組み合わせは統計的手法によるものではない」と記述しているのは、母数がたくさんない場合(例えば、月次など)のサンプル件数と許容逸脱件数の組み合わせについては統計的方法によるものではないということです。それは、超幾何分布の確率関数で計算するとわかると思います。
最近のアメリカの実務では過度な統計的な手法を用いない傾向にあるように思います(PCAOB2号の改訂やSECの経営者評価のガイドラインでもそのような論調だったと思います)。そもそも母集団の均一性の検証なども行わずに統計的なサンプリングを行って評価をすることがどれほど正確なのか疑問とする意見もあります。
とはいうものの、統計的なサンプリング手法を利用した判断以外で説明しきれるようなロジックがあるようにも思われず代替的な手法がなかなか存在しないこともまた事実です。。。
長文失礼しました。。。
投稿
投稿: 丸山満彦 | 2007年3月16日 (金) 02時03分
現在の財務諸表監査では、統制評価手続きが実証手続きを実施する前提としての統制リスク評価のためにのみ必要とされる(内部統制そのものを評価しない)という記述は、丸山さんがご指摘のとおりです。
ところで、オーストラリアでは任意にUS-SOXベースの内部統制監査が実施されておりますが、アーストラリアの監査教科書(modern auditing, graham w.cosserat)では、統制評価手続きのサンプリングに際して、実証性テストの前提であるか又は内部統制評価それ自体かを区別することなく、実際の誤謬率=想定誤謬率として記述してあります。(英文で記述された欧州大陸の監査の教科書も同じ)
内部統制評価それ自体を目的としたサンプリングの考え方が、現在の監査基準委員会報告書第9号と異なると主張するなら、その旨が一般に公正妥当と認められる監査の基準で示される必要があります。
一部で今後公表されると言われている、内部統制に関する公認会計士協会の「研究会報告」は委員会報告と異なり、それだけでは一般に公正妥当と認められる監査の基準にならないことを、強調しておくべきでしょう。(監査基準委員会報告書第24号監査報告~付録1)
投稿: サンプリング | 2007年3月16日 (金) 07時42分
経営者不正や承認漏れが、2項分布や正規分布するのか?
公認会計士協会のあたまをあぼーんする必要がありそうですね。
投稿: うぷぷぷ | 2007年3月16日 (金) 10時10分
丸山先生、ご解説ありがとうございます。この週末に、私ももう少し自説を整理しまして、再度続編をアップさせていただきます。今回はボカーンと問題点をアップしたものでして、いろいろな方にご示唆いただいたことを、きちんと整理する責任を感じております。(ただ、このブログにお越しいただく方が、このままご参考にされるだけの価値は十分にあると思いますが)
サンプリングさんの後半のご指摘は、先日、ある作業部会の方の講演でも述べられていたところでして、私も実は関心を持っているところであります。ただ、このあたりは「場末のブログ」でありましても、めったなことは申し上げないようにしておりますが、皆様がたの情報がございましたら、またコメントとして頂戴できれば・・・と思っております。
仕事中なもので、たいへん簡略ではありますが、御礼のみにて失礼します。
投稿: toshi | 2007年3月16日 (金) 11時08分
こんにちは。
正規分布というのは大変に強い仮定でありまして私のイメージとしては不謹慎なたとえで恐縮ですが極端に言えば、核兵器チックであるといいますか、その強力さを理論的に知ることはどこまでもできるでしょうが、実際に使うかどうかなんてとんでもない、そういうものです。統計を知らないで標本調査に関する判断などそもそもしようもないですし人間というのは往々にして自分が実際に知覚した経験を重く評価しすぎるので危険でもありますが、かといって現実的な問題を適正に処理しようというときにこんなに強い仮説を無批判に適用するのは、別のたとえで極端に言えば、全ての罪に裁判なく死刑を言い渡すに等しい暴挙であろうと思っております。結局統計の理論に詳しいが実際にどう使えないかをもっと知っていて勘の鋭い、「諸刃の刃」の「諸刃」の間で仕事できる「人」に「ケースバイケース」で対応していただくほかないのではないでしょうか。
理学・工学なら問題ないのかも知れませんが、社会科学の理論で「正規分布を仮定する」なんて書いてあったら、私なぞほとんどそこで読むのをやめてしまうんでありまして(読んでいる途中であこの人正規分布にもっていこうとしていると思った時点でやめることすらありまして)、下品な言葉で恐縮ですが、「正規分布」という単語を見たとたん、ぶっちゃけた話、「あーあ。こいつ我慢できずに横着しやがって」と思います。あまりに強力で美しいがためにほとんど何も言っていないに等しい、その等しさが生まれてしまう、といえばいいでしょうか。そして逆に「正規分布」といってしまう人が多いところで我慢して「ノンパラメトリックでなんとかならないか」とか脇道探す人の方に好感をもつというか。脇道である分「美しさ」は失われるんですが。
聞くところによれば公認会計士の試験科目に統計学が加わったそうですが「金科玉条」はダメで、そのダメさをも教えるのが統計学という学問の、変なところといいますか、面白いところといいますか、そんな魅力に引かれた若い人が多く受験するといいなと思っています。
投稿: bun | 2007年3月16日 (金) 11時36分
監査実務がつまらないというのは、2ちゃんねるのスレッドだけでなく、多くの関係者が実感しているところです。会計専門職大学院が、何と8校中5校で定員割れというニュースを見たのはいつだったでしょうか?
監査やコンサルタントを金もうけの手段と考え、知的誠実さ(マックスウェーバーじゃないけど)を放棄している一部の監査学者と会計士協会に、強烈な怒りを感じています。
会計プロフェッションとして職業と専門知識に誇りがあるなら、企業と国民をだますのはやめて欲しい!
投稿: 会計専門職大学院 | 2007年3月16日 (金) 12時05分
「内部統制基準を考える」(同文館出版)149ページ
【町田】一般に公正妥当と認められる内部統制の評価の基準というのは一体何をさしているものなのか
【八田】今後、日本公認会計士協会等が必要に応じて策定する報告書のようなもの・・・、この範疇に入ってくるかもしれませんね。
ああ、せっかくあなたの本を買ってくれた人を、騙そうとしている。
監査文献で、~かもしれない・・・という責任逃れで卑劣な文章は何とかならないのでしょうか?法律でこんなことはないですよね。
投稿: 内部統制基準を考える | 2007年3月16日 (金) 19時27分
内部統制の知識 町田祥弘 著(日経文庫)145ページ
連結税引前利益の・・・5%・・・は、財務諸表監査において利用されている重要性の基準値と同じ
http://www.ey.com/GLOBAL/content.nsf/Australia/Publications_-_In_Control
In Comtrol June 12ページ (Ernst&Young=新日本監査法人の提携先)
Genarally accepted auditing practice is to assess financial statement level materiality as being in a range of 5% to 10% of current year operating profit before tax.(一般的な監査実務では、財務諸表の重要性を税引前利益の5%から10%で評価する)
どうやら日本の実施基準は、厳しいと言われるアメリカの監査実務において一番低い=厳しい数値基準を採用しているようです。
投稿: 内部統制の知識 | 2007年3月17日 (土) 14時11分
内部統制の知識 町田祥弘 著(日経文庫)148ページ
アメリカ:90%のカバー率
日本 :絞込み(売上高などを用いて概ね2/3程度)
http://www.ey.com/GLOBAL/content.nsf/Australia/Publications_-_In_Control
In Comtrol June 2004 8ページ (Ernst&Young=新日本監査法人の提携先)
standard's criterion is met if between 60% and 75% of total revenues are coverd by Section 404(標準的となる基準は、売上高の60%から75%をカバーすること)
http://www.pwc.com/extweb/pwcpublications.nsf/DocID/B024D4DE2EE7988A85256F7100770DFF
Sarbanes-Oxley Act Section 404 Practical Guidance for Management 25ページ (PriceWaterhouseCoopers=中央青山・あらた監査法人の提携先)
60%-70% Detailed evaluation and test of controls at that location(内部統制の詳細テストは60%から70%の拠点で行うこと)
どうやら、トップダウンリスクアプローチで強調された売上高の2/3とは、監査法人が推奨するアメリカSOX法開始年度のカバー率と同じだったようです。
それにしても、日立製作所が連結売上高の90%カバーを対象にしたのはなぜだったんでしょうか?
監査法人にだまされた? 今後のJ-SOX商売のため? 日立製作所のみなさま、大変お疲れ様でした。
http://itpro.nikkeibp.co.jp/article/tousei/20070314/265194/?ST=tousei
投稿: 内部統制の知識 | 2007年3月17日 (土) 14時36分
うそについてヒトラーの理論というものがある。「うそをつくなら、できるだけ大きなうそをつけ。そうすれば人は信じる」
歴史上で屈指のアジテーターといわれるヒトラーのこと。さすがに人間の盲点、弱点を心得ている。想像を超える事態に遭遇すると思考を停止し、信じ込んでしまうのが人間の習性。その点を巧みに突いて扇動した。それに引き換えチマチマしたうそは、すぐにばれる
(山陰中央新報 2007.2.18)
投稿: 全体主義の起源 | 2007年3月17日 (土) 14時44分
重要性の基準として「税引前利益」が利用し難い場合、次の選択肢が考えられます。
http://www.ey.com/GLOBAL/content.nsf/Australia/Publications_-_In_Control
In Comtrol June 2004 13ページ (Ernst&Young=新日本監査法人の提携先)
materiality could be assesed as in the range of 1% to 5% of total equity, 0.5% to 1% of total revenue, or 0.5% to 1% total assets (重要性は、資本金の1~5%、又は売上高の0.5~1%、又は総資産の0.5~1%)
投稿: 重要性の基準 | 2007年3月19日 (月) 07時50分
内部統制基準を考える 同文館出版 114ページ
【町田祥弘】企業の事業目的に大きく関わる勘定科目(売上、売掛金及び棚卸資産)に至る業務プロセス・・・・はあくまで原則としてのものであって、販売会社を想定して示された例示となっています。製造会社においては、当然対応する科目を読み替えて利用する
五味金融庁長官の記者会見
http://www.fsa.go.jp/common/conference/com/2007a/20070219.html
例えば一般的な事業会社の場合、原則として売上、売掛金、及び棚卸資産というのが、事業目的に大きく関わる勘定科目という例示として挙げられているわけです。ここは主に製造業を念頭に例示をしたということになるわけであります。
どっちが正しいのでしょうか?上場企業を混乱させて監査人に頼らせるための猿芝居なのでしょうか?
投稿: 内部統制基準を考える | 2007年3月19日 (月) 08時14分
次のものが、監査とサンプリングの知識を深めるのに有益です。
1.公認会計士協会 監査基準委員会報告書第5号
「監査上の重要性」
2.公認会計士協会 監査基準委員会報告書第9号
「試査」
投稿: サンプリング | 2007年3月23日 (金) 08時08分
公認会計士協会 銀行等監査特別委員会報告第2号
「銀行等金融機関の内部統制の有効性の評価に関する実務指針」
Ⅴ内部統制組織の整備及び運用状況の把握
金融機関の主要業務
・預金為替 ・与信 ・有価証券投資 ・商品有価証券売買 ・デリバティブ
このような業務に関わるものが主要な勘定科目になると推測されます。
投稿: サンプリング | 2007年3月23日 (金) 08時28分
>サンプリングさん
いつもありがとうございます。
この監査基準委員会報告書、というのはWEB上でも
閲覧できるのでしょうか?
それとも、書店か会計士事務局等に取り寄せでしょうか?
すいません、お手すきのときにでも、お教えいただければ
幸いです。
いま少しWEB上で探したのですが、なかなか検索できない
ようでしたので。
投稿: toshi | 2007年3月23日 (金) 14時48分
日本公認会計士協会のホームページで見ることができます。
http://db.jicpa.or.jp/visitor/
大きな書店で「監査実務指針ハンドブック」日本公認会計士協会編(中央経済社)を購入することもできます。
投稿: サンプリング | 2007年3月23日 (金) 15時58分
つっこみ力には3つの軸がある。まずは分かりやすさを心がけること、愛。
『わかりにくい説明をする会計士も、これと同じじゃないですか。わかりやすく説明したら、なあんだ、監査ってのは、どうでもいいことを難しく説明してるだけなんじゃん、と世間に知れ渡ってしまうから、ご自分の権威を保つために、難しい言葉でカモフラージュするんです。』
『法令遵守は伝わってナンボです。伝わらずに、自分だけわかったつもりになってたら、無意味な自己満足です。』
リスクアプローチや監査サンプリング、アメリカ内部統制監査との比較などに実際につっこんでみせる。
ただ茶化しているだけかというと、25件に1件くらい間違いそうな伝票入力者への思いやりや、偽装請負で酷使されながら出荷伝票を間違わないよう強制される現場への連帯感など、はっとさせられる意見も。アイデアというのは、笑いの中から生まれるのかもしれない。
投稿: つっこみ力(ちくま新書) | 2007年3月24日 (土) 14時38分
>つっこみ力さん
きょう、旭屋書店行ったんですが、先につっこみ力さんのコメントを読ませていただいてから行けばよかった・・・と後悔しています。
ずいぶんと話題になっている新書のようですね。
私も、こういった「つっこみ力」は「鈍感力」と一緒に持ち合わせていたいと思っております。
投稿: toshi | 2007年3月24日 (土) 18時59分
(金融庁企業会計審議会内部統制部会専門委員)
内部統制の知識 町田祥弘著 日経文庫 165ページ
25件のサンプルを抽出した際に・・・1件なら許容範囲だとか、3件以上はだめだとか・・・ではなく、1件でも問題事項があれば内部統制は不備と判定される
内部統制で現場の仕事はこう変わる 監査法人トーマツ 原国太郎ほか著 274ページ
10件中1件のエラーであれば運用の問題で、10件中10件行われていなれば・・・コントロールは導入されていない
投稿: 偉大なる監査法人トーマツ | 2007年3月25日 (日) 12時35分
内部統制で現場の仕事はこう変わる 監査法人トーマツ 原国太郎ほか著 ダイヤモンド社 273ページ
文書化を実施した後には、ウォークスルー(整備状況の評価)をすることが望まれます。ウォークスルーでは、、文書化した内部統制の設計が実際に導入されていることを、帳票のフォームなどを入手しながら確認して行きます。
投稿: 素晴しい監査法人トーマツ | 2007年3月25日 (日) 12時40分
Ⅱ 財務報告に係る内部統制の評価及び報告(経営者が対象)
業務プロセスに係る内部統制の整備状況の有効性の評価
経営者は、・・・関連文書の閲覧、従業員等への質問、観察等を通じて判断する。
Ⅲ 財務報告に係る内部統制の監査(外部監査人が対象)
業務プロセスに係る内部統制の整備状況の検討
監査人が、・・・代表的な取引を1つあるいは複数選んで、・・・内部統制の記録等により追跡する手続きを実施することが有用である
追跡(=ウォークスルー)の言葉が、経営者編になく外部監査人編にあるのはどうしてなのだろうか?
投稿: 実施基準を読んでみよう | 2007年3月25日 (日) 12時49分
PCAOB 監査基準第2号の改定案 page 26
http://www.pcaobus.org/Rules/Docket_021/index.aspx
Walkthroughs require the auditor to get out of the audit room and interact with those responsible for internal control from day to day.(ウォークスルーは、外部監査人が監査事務室から出て、日常の内部統制活動に接することを要求するものである。)
They also provide the auditor with the opportunity to learn about the everyday activities of the company, which may not be reflected in any document that the auditor reviews.(ウォークスルーは、また外部監査人が会社の日常活動について学ぶ機会を与えるものであり、それは外部監査人が閲覧する書類には反映されていないかもしれない。)
ウォークスルーは、外部監査人=公認会計士が会社が作成した書類だけ見て、通り一辺倒のおざなりな監査をすることを防ぐための手法です。
投稿: PCAOB | 2007年3月25日 (日) 13時01分
内部統制で現場の仕事はこう変わる 監査法人トーマツ 原国太郎ほか著 ダイヤモンド社
米国では、監査法人が数百ページもある最新のGAAP(会計基準)のチェックリストを提供し、会社の内部統制として、検討していただいている。日本でも、・・・そういった会計基準チェックリストを作成し、監査クライアント(会社)に提供する(132ページ)
日本版SOXが・・・少しでも経理の方々の仕事が楽になっていただければと思う次第です。(141ページ)
投稿: 親切な監査法人トーマツ | 2007年3月25日 (日) 13時13分
コメントをお書きの方々へ
管理人からのお知らせです。
非常に内容的に有益かつ示唆に富むコメントを多数頂戴しておりまして、誠にありがたいのでありますが、最近の2ちゃんねる事件判決における管理人の責任内容(及び責任が認められるに至った判決理由)等からみて、投稿者が特定できない状況におきまして、ある特定個人、法人の行動への中傷、非難の類につきましては、管理人に削除義務が発生いたします。
コンプライアンスを標榜するブログである以上は、管理人としましても、そういった判例内容を尊重せざるをえません。管理人の判断におきまして、削除させていただく場合がございますので、どうかご了解ください。(アクセス数がめちゃくちゃ多くなってしまったんで。。。えらい、すんまへん・・・・m(。。;)m)
投稿: toshi | 2007年3月25日 (日) 14時55分
内部統制の評価モデル(第2版) 土田義憲著 中央経済社 101~102ページ
業務レベルの重要性の指針
影響度については・・・連結税引前利益の5%・・・を業務レベルに置き直す必要がある。
レベルを引き下げて(例えば20分の1)、業務レベルの重要な虚偽記載リスクの水準を設定する必要がある。
PCAOB(アメリカ公開企業会計監視委員会)
http://www.pcaobus.org/Standards/Standards_and_Related_Rules/Auditing_Standard_No.2.aspx
Questions 1-26 (2004) page
some auditor set their posing threshold for accumulating misstatements at 0.25% of the company's pre-tax income which would, in most cases, be clearly inconsequential (外部監査人によっては、不備の加算の限度額を税引前利益の0.25%としているが、これはほとんどの場合は取るに足らない額である)
投稿: 誹謗は慎みます | 2007年3月26日 (月) 07時39分
管理人のtoshiです。
いつもお世話になります。
さて、本エントリーの3月27日以降のコメントにつきましては、以下のとおりに一括してまとめさせていただきました。
コメント数を20個まで掲載できるようにして、多くのエントリーへのコメントを閲覧しやすくさせていただきましたので、どうかご趣旨をご理解いただきますよう、お願いいたします。
なお、ひとつのエントリに対して非常に多数のコメントが付された場合には、管理人の権限におきまして、同様に処理させていただく場合もございますので、どうかよろしくお願いいたします。
(以下3月27日以降のコメント)
経営者不正はガバナンスの問題であり、決して内部統制の問題ではありません。内部統制とは経営者が企業内に敷く制度・仕組みですから、経営者自身の不正にはまったく無力です。
経営者の不正問題を内部統制の問題にすり替えてしまったところが、今回の大混乱を招いている根本原因だと思います。
投稿 新日本監査法人のHP | 2007年3月27日 (火) 07時50分
監査実務については、素人ですので、このエントリーにコメントするのはおこがましいですが、専門の方々のコメントや解説を拝見していると、一つ大きな疑問がわいてきましたので、書かせて頂きました。
内部統制は、もともと目的の達成について合理的な保証を得るに留まるものですよね?ということは、当然のことながら最初から、完璧ではないということを前提としています(まあ、どんなに頑張っても完璧は無理であることは自明の理ですが)。
とすれば、10%の誤謬率で内部統制に不備があるとするなら、そもそも合理的な保証ということ自体が有り得ないのではないでしょうか。25件で1件でも問題があれば、アウトというなら、それは絶対的な保証を求めているに近いと思うのですが、どうなのでしょうか?
リスクアプローチを採用している以上、どのあたりのエラーまでが許容されるのかは、そもそもリスク評価により異なってくるはずであり、更に重要かどうかのフィルターもあるわけですから、単に25件に1件でもあればという記述には抵抗を感じてしまうのですが、このあたりは、どのように考えたらよいのでしょうか。
更に言えば、自社の内部統制を経営者が評価することを考えた場合、分かりにくい議論や数値基準、基準は却ってその本質を誤らせてしまうのではないかと思ってしまいます。数値基準で5%以内じゃなきゃいけないとか10%いないじゃなきゃいけないといわれてしまうと、本来重要性を有しない瑣末な部分にまで気を取られてしまうのが人間の習性だと思うのですが、このあたりもどのように考えたらよいのでしょうか?
投稿 コンプライアンス・プロフェショナル | 2007年3月28日 (水) 17時31分
上場企業には、まず財務報告に係る内部統制を整備していただきます。そこでは、内部統制実施基準に書かれているとおり「出荷依頼より少ない数量を発送する」「出荷指図書の日程どおり商品が出荷されない」リスクへの対応を図っていただきます。
このような体制に対しては、当然瑣末なリスク対応で膨大な費用がかかると不満が出るでしょう。
そこで、次にはエンタープライズ・リスク・マネジメントが必要となります。ここでは、最初にビジネスリスクを発生確率と損害額を考慮して定量的に評価し、それに対して上場企業が受容・低減・回避のいずれかを選択します。リスク対応の結果、残存するリスクが許容できる範囲内(自己資本の△%)に抑えられるようにします。
金融機関は、いわゆる新しいBIS規制に従い、先行的にオペレーショナル・リスク対応をしております。上場企業にも、将来そのような対応をしていただく機会があると思います。
(ISO、環境監査、内部統制監査、ERMと何度同じ手法を繰り返しやらせれば気がすむのか・・・と聞こえたような気がしますけど、気のせいでしょう。)
投稿 リスク・コンサルタント | 2007年3月29日 (木) 07時37分
エンタープライズリスクマネジメントは、COSOの改良もモデルとして既にアメリカで提唱されており、目新し物ではありません。ただ、上場企業がERMやBIS規制とおなじレベルの対応をしなければいけないかというと、それは大いに疑問と言わざるを得ません。そもそもの目的が異なるものを、手法だけ導入しても何の効果もなく、逆に、それこそ企業にとっては、費用や労力を浪費させ、企業の体力を落としかねないでしょう。
私としては、ERMのベースにもなっているリスクの定量化の考え方自体が内材する問題点もあり、必ずしもリスクの定量化が有効なツールとはいえないと考えています。発生頻度や損害が大きいことが分かっているなら(それが予め予測できるなら)、そもそも、そこには企業として既に何らかのコントロールや牽制をかけているのが通常です。
サンプリングの問題とも共通しますが、何でもかんでも定量化だの確率だの、無理やり当てはめようとしていること自体、すでに破綻し、本来の目的とはかけ離れた手法論に終始しているといわざるを得ないと思います。
企業は「人」の営みです。それもかなり多くの人が一つの企業で働いています。昔から人がやることにはミスや数字では読めないエラーがつきものなのですから、それを定量化しようとすること自体に無理があるのです。だから件数だの損害だの頻度は一応の指標にしか過ぎません。
そもそものこの本質を見失った議論は無意味ではないでしょうか。数字を使うから、むしろ数字を意識して数字を見繕うための脚色や歪曲、操作が行われるのです。このあたりの人間心理を踏まえて欲しいものです。
投稿 コンプライアンス・プロフェショナル | 2007年3月30日 (金) 10時52分
内部統制で現場の仕事はこう変わる 監査法人トーマツ 原国太郎ほか著 271ページ
業務記述書は、内部統制を理解する背景となる業務の概要、例えば組織や主要な業務システム、それから販売サイクルでいえば主要な販売チャンネル、得意先、商品構成、売掛金の回収方法や回収条件といった内容を記載する
内部統制の知識 町田祥弘(企業会計審議会内部統制部会専門委員)著 日経文庫 133ページ
実施基準で示されている図表は・・・実務においての最低限の標準として機能し、過度に詳細な内容の記載が求められないことが期待されているところです。
投稿 詳細な監査法人トーマツ | 2007年4月 1日 (日) 14時18分
内部統制で現場の仕事はこう変わる 監査法人トーマツ 原国太郎ほか著 250ページ
時々最低限の対応しかしません、というスタンスの会社またはご担当を見かけますが、これはよろしくありません。
日本版SOXを機に・・・内部統制についてきちんと点検し、問題点をよく吟味したうえで、例え制度上必要とは限らないものでも、会社の管理として当然行われているべきもので・・・改善を進めて身ぎれいにすることが適切だといえるでしょう。
せっかく工数と費用をかけるのですから、このようなプロジェクトのよい面はしっかりと生かして、管理に関する継続的改善活動として定着させていきたいものです。
投稿 日本版SOXの勘どころ | 2007年4月 1日 (日) 14時23分
会計の基本であるところの、複式簿記の原理、B/SやP/Lの構造、資産や負債の概念、さらには税効果会計やキャッシュ・フロー計算書の原理、それらのものを知らずして404を語ることは絶対にできません。会計を知らずして404に入り込むと、入力ミスと集計ミスと承認漏れを洗い出すだけのチマチマした監視体制の構築に陥ってしまいます。つまり、「会計を知らずして404を語ることなかれ」です。
今回の日本版404で、内部統制という自分自身の評価に、従来から外部の監査人が行っている評価の手法をまねることは、あまりにもナンセンス。会計士側も自身の行動を慎むべきであると確信しています。
投稿 新日本監査法人のHP | 2007年4月 1日 (日) 14時26分
監査法人の名前をHNにして、書籍の引用のみに留まるというのもどうかと思います。誰が、どこにどう書かれていようが、それをただ紹介しても無意味ではないでしょうか。
書籍等に書いてあるからと、盲目的にその内容をうけいれるというスタンスは、それこそ思考停止をもたらすものではないでしょうか。
個人的な感情ではありますが、監査法人の名前をむやみにHNに使ったり、部会の名前を使ったり、書籍名を使ったりというのは、関係者に極めて失礼ではないかと思います。
投稿 コンプロ | 2007年4月 1日 (日) 17時22分
著作権法において正当な引用と認められるには、公正な慣行に従う必要がある。最高裁昭和55年3月28日判決によると、「引用とは、紹介、参照、諭評その他の目的で著作物中に他人の著作物の原則として一部を採録すること」である。
文章の中で著作物を引用する必然性があること。
質的にも量的にも、引用先が「主」、引用部分が「従」の関係にあること。引用を独立してそれだけの作品として使用することはできない。
本文と引用部分が明らかに区別できること。例『段落を変える』『かぎかっこを使用する』
引用元が公表された著作物であること。
出所を明示すること。(著作権法第四十八条)
投稿 ウィキペディアに相談しよう | 2007年4月 2日 (月) 07時27分
コメントを書く
投稿: toshi | 2007年4月 2日 (月) 14時01分
KPMGビジネスアシュアランス(あずさ監査法人と協力関係)で、コンプライアンス・プロフェッショナル募集という項目がありました。
http://www.kpmg.or.jp/career/ba/03.html
コンプライアンス・プロフェッショナルさんは、この団体と何らかの関係をお持ちなのでしょうか?
コンプライアンスもプロフェッショナルもよく耳にする言葉なのですが、一緒に使用する例はインターネット検索でもあまり見当たりませんでした。
投稿: 監査法人? | 2007年4月 3日 (火) 07時30分
管理人のtoshiです。
先日告知させていただきましたルールにしたがい、4月2日より本日までのコメントを一括掲載させていただきました。
===================================
新日本監査法人のHPさん
>今回の日本版404で、内部統制という自分自身の評価に、従来から外部の監査人が行っている評価の手法をまねることは、あまりにもナンセンス。会計士側も自身の行動を慎むべきであると確信しています。
この部分については、非常に的確な指摘かと思います。
内部統制というものの本質を考えた場合は、その評価に際しては、本来的には統計学的な手法になじまないにも関わらず、実施基準や部会の委員の方が書かれた書物では、そのあたりがあたかも内部統制評価の際の判断基準であるかのように書かれているあたりに、制度そのものの限界が存しているのではないかと思います。
内容的にみて、極めて会計士的視点に偏向しているところが非常に気になる所です(部会の委員のメンバーを見ても、金融商品取引法という法律の実施基準の策定なのに、法律の専門家兼実務家の弁護士が一人も入っていないあたりを見ても、極めて恣意的な内容かと思います。そもそも、それこそ「公正妥当」といえるのか、大いに疑問です)。
ただ、
>会計の基本であるところの、複式簿記の原理、B/SやP/Lの構造、資産や負債の概念、さらには税効果会計やキャッシュ・フロー計算書の原理、それらのものを知らずして404を語ることは絶対にできません。会計を知らずして404に入り込むと、入力ミスと集計ミスと承認漏れを洗い出すだけのチマチマした監視体制の構築に陥ってしまいます。つまり、「会計を知らずして404を語ることなかれ」です。
この部分の記述は、大いに疑問と言わざるを得ません。以前もどこかで同じようなコメントをされていた会計士の方がいましたが、それこそ、会計士の驕りであり、こういう発想自体が、「会計士的視点に偏向している」ということかと思います。このように言うと、法律を知らずして法律の基準等を語る無かれと言われるのが落ちで、それぞれの専門家の面子争いになってしまいます。業法ならまだしも、上場企業を広く適用対象とする法律や基準に関して、このような考えはいかがかと思います。
会計の基本原理を知らずして404条を語る無かれといいますが、上場企業の社長にも会計の基本原理を知らない人はいくらでもいます。経営学を知らなくても経営ができるように、会計を知らなくても会社経営はある程度できます。少なくとも、財務諸表は読めるけど、会計の基本原理や簿記の基本原理は分からないという経営者も少なくありません。
内部統制評価の主役は、あくまで経営者です。その経営者ですら、必ずしも会計の基本原理や簿記原理を詳しく知っているわけではないのですから、「会計を知らずして404条を語る無かれ」では、そもそも財務報告に係る内部統制評価報告制度自体が成り立たなくなってしまいます。
知らない奴は語るなでは無く、知らない人でも分かるように咀嚼していい形での運用を促すのが、それこそ会計士が取るべき自身の行動ではないのでしょうか。
ちなみに素朴な質問ですが、「新日本監査法人のHP」というHNをお使いですが、新日本監査法人の方は皆さん「会計を知らずして404条を語る無かれ」という発想なのでしょうか?新日本監査法人の見解なのでしょうか?今後の監査法人とのお付き合いの問題もありますので、そのあたりをご教示いただければ幸いでございます。
投稿 財務報告に係る内部統制実務を憂う | 2007年4月 2日 (月) 23時03分
新日本監査法人のHPに掲載されているコラムの中で、一人の公認会計士が私見として述べているものです。
投稿 新日本監査法人のHP | 2007年4月 3日 (火) 07時20分
KPMGビジネスアシュアランス(あずさ監査法人と協力関係)で、コンプライアンス・プロフェッショナル募集という項目がありました。
http://www.kpmg.or.jp/career/ba/03.html
コンプライアンス・プロフェッショナルさんは、この団体と何らかの関係をお持ちなのでしょうか?
コンプライアンスもプロフェッショナルもよく耳にする言葉なのですが、一緒に使用する例はインターネット検索でもあまり見当たりませんでした。
投稿 監査法人? | 2007年4月 3日 (火) 07時30分
監査の新世紀 山浦久司 著 税務経理協会 137ページ(この書物の出版は2001年であることに留意)
第8章 実態監査機能強化の要求と内部統制報告書の導入
近年の情報技術の発達は、投資家にとって、監査済み決算財務諸表を入手可能な種々の意思決定情報の一部にしかすぎないものにし・・・、伝統的な財務諸表監査の地位低下は避けられず、それを回避するためのひとつの方策が実態監査機能(=企業経営者等の不正や違法行為に起因する虚偽表示の補足機能)の強化にあると考えられる
>>>>>>>>>>>
実態監査機能の強化(=内部統制監査)とは、財務諸表監査機能の地位低下に危機感を抱いた監査法人側の都合により考え出されたことが、よく出ています。
そこには、一般投資家や証券発行企業への言及はあまりなく、監査法人側の都合だけを考えた制度のようです。
投稿 監査の新世紀 | 2007年4月 4日 (水) 18時16分
監査の新世紀 山浦久司 著 税務経理協会 142ページ(この書物の出版は2001年で、エンロン事件より前であることに留意)
POB(公共監視機構=PCAOBの前身)も・・・経営者による内部統制報告書を義務付けるよう勧告し、AICPA(アメリカ公認会計士協会)も改めて支持を表明している。
不正はまさに企業のガバナンスの問題であり・・・不正抑止の最良の手段は財務諸表監査ではなく、企業側の強力な内部統制にある。監査人・・・は、不正の発見に全面的な責任を負わない代わりに、内部統制の有効性評価の面で財務諸表監査の技術的ノウハウを活用し・・・不正の抑止に貢献する
>>>>>>>>>>
問題点1
不正抑止の最良の手段が財務諸表監査でなければ、会社が財務諸表監査の手法を取り入れる価値は全くありません。
問題点2
エンロン、ワールドコム、ライブドア、日興コーディアル等の不正決算の事例は、全て公認会計士による「監査の失敗」です。会社が、失敗した会計士の手法を取り入れても、不正を防止できるわけがありません。
問題点3
エンロン・ワールドコム・ライブドア事件などと内部統制監査が全く関係なく考えられているのに、事件をきっかけに必要とされるようになったと説明するのは重大な虚偽記載です。
問題点4
一般世論は、会計監査に粉飾決算の防止と発見を期待しています。会計専門職は、自らの主体的な責任と使命感でその期待に答えるための努力をしないことは、専門職の名に値しません。
投稿 監査の新世紀??? | 2007年4月 4日 (水) 18時34分
内部統制の入門と実践 佐々野未知著 中央経済社 215~216ページ
会社が本気でやれば会計士は騙せるでしょう。・・・本当に重要な内部統制は、実は従業員一人一人の心の中にある・・・フローチャートを作ること自体が大切なのではなく、お金と時間をかけて苦労して・・・倫理観が形成されていくことにこそ、本当の意味がある
>>>>>>>>>>>>
従業員の倫理観を形成することで、経営者の不正防止が防止できるのか?
数人の経営者の不正のために、100人から数万人までの全社員が役に立たない業務の流れ図やリスク統制対応表を作るのか?
手段と目的がほとんど関係しない、問題すり替え精神論は止めてほしいものだ。
投稿 問題すり替え精神論 | 2007年4月 4日 (水) 18時48分
監査法人?さん
私は一介の会社員です。ご指摘の会計コンサルティング会社とは何も関係ありません。
それにしてもよく調べられますね。感服いたします。しかし、職名等から会社を推測して結びつけるのはいささか、強引かと思います。実名で団体や会社名を出すと、ご迷惑が掛かります。
ところで、私も、財務報告に係る内部統制なる言葉ができたときから、その内容や実効性に疑問を持っており、公認会計士のお手盛り立法かと考えたぐらいです。
例えば、弁護士の不祥事が続いたら、弁護士倫理の徹底が叫ばれます。
これはどこかのHPでみた情報なので、真偽は定かではありませんが、TOSHI先生の登録している弁護士会などでは、継続的な弁護士倫理研修がご年配の先生方にも課せられるようになったという記事がありました。
しかし、公認会計士の場合は、現実に裁判で有罪になっているケースが多くあるにも関わらず、あまり会計士倫理に力を入れるという話は聞きません。公認会計士協会などではやっているのかも知れませんが、社会の一般の方にはそのような取り組みがぜんぜん見えていないと思います。
もちろん倫理で片付く問題ではありませんが、財務報告に関する責任は経営者であり、粉飾を見抜けなかった会計士ではない、あるいは、上記コメントにもあるように、会社が本気でやれば会計士を騙せるというような、一見すると責任逃れとも思える発言が目立ちます。
自分たちの問題は棚に上げて、財務報告に係る内部統制なる概念を使って、企業に必要以上の負荷を課したり、徒に専門的解説や専門用語を持ち出しての説明等は止めてもらいたいところです。
八田教授自身、監査法人のJ-SOX対応について疑問を呈している(例えば、3点セットが必要などとどこにも書いていない)という話を聞いたことがあります。会計専門家からみても過剰な対応のコンサルティングを、監査法人はどのように考えているのでしょうか。もっとも、私は、企業会計審議会の内部統制部会の著名な会計士や会計専門家にもその責任はあると考えていますが。
投稿 コンプライアンス・プロフェショナル | 2007年4月 4日 (水) 23時39分
http://www.atmarkit.co.jp/news/200612/05/sox.html
八田氏は「最低限これを読んで整備を進めてほしい」と説明。さらに監査人に説明するために業務記述書、業務フロー図、リスクコントロールマトリクス(RCM)の文書化3点セットを「作っておくことが求められる」と指摘した。
>>>>>>>
おや、うそ八百田氏は、話す時間と場所が異なると、言うことも異なるのかな?
それとも、またもやマスコミの捏造(ねつぞう)が発覚したのかな?
それとも、プロフェッショナル氏の「話を聞いたことがあります。」というだけの無責任発言かな?
投稿 うそ八百田プロフェッショナル | 2007年4月 5日 (木) 14時40分
投稿: toshi | 2007年4月 5日 (木) 21時09分
私も、ITソリューション会社が主催する講演会に出席し、八田教授が監査法人のJ-SOX対応を批判していた(3点セットが必要などとどこにも書いていない)ことを、確かに聞きました。
ところが
内部統制基準を考える 133~134ページ
【町田】
業務プロセスについて・・・業務の流れ図や業務記述書が利用される
続いて・・・リスクと統制の対応表が用いられる・・・
【八田】
業務プロセスに係る内部統制の整備および運用状況について・・・図や表を活用することが効率的かつ有用な場合が多いでしょうね。
>>>>>>>>>
無料でITソリューション会社の講演を聞いた人は必ずしも3点セットを作成する必要がなく、八田教授の本を有料で購入した人は3点セットを作成することが有用だということになります。
結論は、財務報告に係る内部統制は、金をかけても意味がないことを、自らの発言と行動を通して上場企業に指導して下さっているのです。
投稿: 私も聞きました | 2007年4月 6日 (金) 12時22分
内部統制の構築・評価・監査の実務 あずさ監査法人・鈴木輝夫著 155ページ
発見的コントロールに比して、予防的コントロールのほうがより望ましいといえます。
PCAOB 監査基準の改定案
http://www.pcaobus.org/Rules/Docket_021/index.aspx
44. The auditor should focus on whether the selected contorols ・・・ address the assessed risks of misstatement ・・・ rather than on how the controls is labeled (e.g. ・・・, preventive control, detective control). (外部監査人は、コントロールの分類=予防的、発見的=よりも、むしろそのコントロールが虚偽表示のリスクに対応できるかどうかに集中すべきである。)
>>>>>>>>
どうして監査法人は、何の根拠もない恣意的な判断を、多くの人が目にする実務解説書に書き連ねるのでしょうか?
投稿: またまた根拠のない意見 | 2007年4月 9日 (月) 19時19分
上記のコメントを見て真意を伝える事の困難さを再認識しました。PCAOBの改定案では、虚偽記載との関連で統制活動を考えるべきだと言っているに過ぎず、発見的コントロールと予防的コントロールの優劣については述べていないと思います。詳細は述べませんが、統制活動として発見的コントロールよりは予防的コントロールの方が望ましいと言うのは正しいと思います。
投稿: 路傍の会計士 | 2007年4月 9日 (月) 21時44分
いつもコメントありがとうございます。
さて、本日(4月10日)午前に本エントリーに書き込みのございました2件のコメントにつきましては、先日このブログで定立いたしましたルールに基づき、管理人の裁量によって削除させていただきました。
管理人の姿勢として、エントリーに関連する自由なご意見はできるだけそのまま残すことを心がけておりますが、ある特定団体、特定個人の名誉、信用毀損のおそれのあるものにつきましては、そのまま放置できないことご理解ください。
投稿: toshi | 2007年4月10日 (火) 09時37分
内部統制の構築・評価・監査の実務 あずさ監査法人・鈴木輝夫著
残高検証は・・・エラーや不明残高がないかどうかを最終的に確かめる重要な発見的コントロールである。
・・・日々の仕訳をいかに厳格にコントロールしたとしても、必ずといってよいほどに不明勘定やエラーが勘定には混在しており・・・仕訳入力者の人数(経費精算入力は各従業員が行なう場合もある)が増えれば増えるほど、残高を検証する手続きは必要となる。(125~126ページ)
(監査人は)内部統制の運用評価手続を実施しなくとも実証手続きのみで監査リスクを十分低い水準に抑えることができると判断した際は・・・実証手続きのみを実施することがある。・・・判断見積に関係しない勘定は、監査人は内部統制に依拠するより、直接残高の検証を行うほうが効率的であると判断していたケースが多かった
>>>>>>>>>>>>>>
監査人が、低リスクを理由として財務諸表監査において発見的手続きのみ利用してきた業務プロセスに関し、どうして会社が予防的コントロールを整備する必要性があるのでしょうか?
1)(ビジネスリスクの高い領域に集中すべきという)リスク・アプローチの考え方と完全に矛盾しています。
2)虚偽表示リスクへの対応に「予防的コントロール」が望ましいと考えるのなら、監査プロフェッショナルの良心に鑑み、これまでもそのような手法で財務諸表監査を実施すべきだったはずです。
3)外部監査人と会社で、内部統制の評価に関するダブル・スタンダードを適用する合理的な説明が必要です。
Wikipedia:英語の double standard 本音と建前など、意見・立場の二重性などを指摘する言葉に使われることが多い。最近の若者の間では「ダブスタ」のように略して使われることもある。
投稿: 虚偽表示リスクとコントロール | 2007年4月10日 (火) 12時09分
ブログ管理人のtoshiです。
いつも書き込み、ありがとうございます。
さて、定立しておりますルールにしたがい、4月10日より、本日までのこのエントリーへのコメントにつき、一括掲載とさせていただきました。
内部統制の構築・評価・監査の実務 あずさ監査法人・鈴木輝夫著
残高検証は・・・エラーや不明残高がないかどうかを最終的に確かめる重要な発見的コントロールである。
・・・日々の仕訳をいかに厳格にコントロールしたとしても、必ずといってよいほどに不明勘定やエラーが勘定には混在しており・・・仕訳入力者の人数(経費精算入力は各従業員が行なう場合もある)が増えれば増えるほど、残高を検証する手続きは必要となる。(125~126ページ)
(監査人は)内部統制の運用評価手続を実施しなくとも実証手続きのみで監査リスクを十分低い水準に抑えることができると判断した際は・・・実証手続きのみを実施することがある。・・・判断見積に関係しない勘定は、監査人は内部統制に依拠するより、直接残高の検証を行うほうが効率的であると判断していたケースが多かった
>>>>>>>>>>>>>>
監査人が、低リスクを理由として財務諸表監査において発見的手続きのみ利用してきた業務プロセスに関し、どうして会社が予防的コントロールを整備する必要性があるのでしょうか?
1)(ビジネスリスクの高い領域に集中すべきという)リスク・アプローチの考え方と完全に矛盾しています。
2)虚偽表示リスクへの対応に「予防的コントロール」が望ましいと考えるのなら、監査プロフェッショナルの良心に鑑み、これまでもそのような手法で財務諸表監査を実施すべきだったはずです。
3)外部監査人と会社で、内部統制の評価に関するダブル・スタンダードを適用する合理的な説明が必要です。
Wikipedia:英語の double standard 本音と建前など、意見・立場の二重性などを指摘する言葉に使われることが多い。最近の若者の間では「ダブスタ」のように略して使われることもある。
投稿 虚偽表示リスクとコントロール | 2007年4月10日 (火) 12時09分
SEC(アメリカ証券取引委員会)の内部統制に関する経営者向けガイダンス
http://www.sec.gov/spotlight/soxcomp.htm page25
management may determine for a financial reporting element that a control within the company's period-end financial reporting process is designed in a manner that adequately address the risk that a misstatement in interest expense・・・. In such a case, management may not need to identify any additional controls related to interest expense.
(経営者は、金利支払いの虚偽表示リスクに対応するようなコントロールを、期末財務報告プロセスにおくことを決定するかもしれない。その場合、金利の支払いに関して追加的なコントロールを指定する必要はない。)
>>>>>>>>>
アメリカ証券取引委員会は、財務報告に係る内部統制において、期中に随時発生する金利支払いに対し、期末の決算・財務報告における発見的コントロールで良いと判断しました。そして会社が、追加的な(予防的)コントロールを設定する必要はないと述べています。
上場企業は、この考え方を考慮した上で、路傍の会計士さんの「統制活動として発見的コントロールよりは予防的コントロールの方が望ましい」という意見を受け入れるか、拒絶するかを決めるのが良いでしょう。
投稿 SECに教えてもらおう | 2007年4月10日 (火) 13時44分
SECに教えてもらおうさんが原文を読んでいる姿勢に対しては敬意を表します。しかしながら誤解をしている可能性があるのでコメントさせていただきます。
上記で参照されている箇所は、経営者が評価の対象とすべきコントロールを識別する方法について書いてある場所です。当然の前提として複数のコントロールがあることが想定されています。それらのコントロールは、予防的なものも発見的なものもあるでしょう。経営者は全てのコントロールをキーコントロールとして評価対象とする必要はないのだ、適切なものを選んでも良いのだ。たとえば・・・として、支払利息の例を挙げているに過ぎません。決して、期末の決算・財務報告における発見的コントロールで良いと判断している訳ではありません。
投稿 路傍の会計士 | 2007年4月10日 (火) 22時50分
このページの前の文章はどうかいてあるのかな?
Management may identify controls for a financial reporting element that are preventive, detective or a combination of both. (経営者は財務報告の要件のためのコントロール、それは発見的、予防的、またはその両方であるが、それを指定することができる。)
the objective of this evaluation step is to identify controls that adequately address the risk of misstatement ・・・ that could result in a material misstatement in the financial statement. (この評価ステップの目的は、財務諸表の重要な虚偽記載に結びつくリスクに適切に対応できるコントロールを指定することにある)
>>>>>>>>>>>>
なるほど、経営者は、発見的コントロール、予防的コントロール又は「その両方」を指定することができるのですね。
経営者は、財務報告に係る内部統制において、財務諸表の重要な虚偽記載につながるような統制上の要点(キーコントロール)を識別・評価すれば良いのですから、そこに専念すべきでしょう。
みなさんの会社で人とお金に余裕があれば、監査法人の書籍でご推奨されている通り、それ以外のコントロールをたくさん業務記述書やリスク統制対応表に記述しても構いません。ただし、テストしないコントロールをたくさん書いても、経営者評価又は外部監査人監査において、財務諸表の虚偽表示リスクを十分に低減する内部統制であることを証明する根拠になりません。骨折り損のくたびれもうけ・・・
特に、出荷・検収・受払いの個々の取引の「入力ミス・計上もれ・承認もれ」は、それ自体として財務諸表の重要な虚偽記載にむすびつかないことをよーく覚えておきましょう。
投稿 SECにもっと教えてもらおう | 2007年4月11日 (水) 07時40分
内部統制の構築・評価・監査の実務 あずさ監査法人・鈴木輝夫著 59~60ページ
実施基準では、監査上の金額的重要性を、たとえば連結税引前利益の概ね5%程度としていることを参照するようにしているが、企業にとっては監査人よりさらに低い金額的重要性になることが想定されている。(一般に不備は数多く検出され合計で5%を超えないことが監査上必要とされるため)
>>>>>>>>>>
5%が監査人の基準であり、企業はもっと低くなるなんて、一般に公正妥当とされる内部統制の評価の基準のどこから読み取れるのでしょうか??????
投稿 会計士さんに教えてもらおう | 2007年4月11日 (水) 08時09分
内部統制の構築・評価・監査の実務 あずさ監査法人・鈴木輝夫著 173ページ
公表財務諸表の適正性を担保するための内部統制が有効であるか否かを経営者自身が責任を持って実施する場合、外部監査人が長年の監査経験を通じて開発、発展させてきたリスクプローチに基づく監査手法は大いに参考になる
(注)新しい監査基準で採用された「ビジネス・リスク・アプローチ」ではなく、そこで否定された「リスク・アプローチ(財務諸表の要件の誤謬を全てつぶしていく手法)」であることに留意しましょう。
会計監査論 山浦久司(企業会計審議会監査部会長)著 中央経済社
財務諸表の重要な虚偽表示は、日常的な業務現場レベルではなく・・・経営者の関与から生じる可能性が高い。しかも、これらの虚偽表示は、ビジネスモデルや企業戦略などに起因する事業上のリスクが顕現化し、これを回避するために経営者が内部統制に干渉して行われるケースが多い。しかしながら、監査人は、財務諸表項目の検証に目を奪われがちで・・・結果として「監査の失敗」につながる
>>>>>>>>>>>>
監査法人が会社に向かって説明する内容と異なり、現在の監査論・監査基準で何が問題になっているか、良く分かる記述です。この点で、会社が公認会計士や監査法人から何を学び得るか、もう一度冷静に考える必要があります。
投稿 教えてもらってもムダかな? | 2007年4月11日 (水) 09時19分
プロフェッショナル・ジャッジメントは、無視した方が良いかもしれません。
1)重要性の基準値
監査人は連結税引前利益の5%だから、会社はもう少し低い数値を用いるべきである。(あずさ監査法人・鈴木輝夫氏の著述)
・・・実施基準では、経営者の評価編に5%の数値が記述されていますので、このジャッジメントは無視して問題ありません。
2)評価のサンプル数
内部統制の評価において、経営者は監査人のサンプル数と同数かそれ以上のサンプルを採取する必要がある。(J-SOX110番)
・・・金融庁の担当官は、会社がサンプル数を監査人と同レベルで行うのは難しいと判断しています(内部統制部会議事録)ので、このジャッジメントも無視して問題ありません。
3)キー・コントロール
監査法人トーマツの社員が著述する「内部統制であなたの仕事はこう変わる」では、現在多くの上場企業で行われている「月次」「中間期末・期末」コントロールを、取引の都度コントロールに変更することを推奨しています。
・・・ある営業課(課員10名)で、各担当者が取り扱う取引件数が30~50件/日の場合、日々のコントロールを課長が全てチェックすることは物理的に不可能です。従って、上述の書籍のジャッジメントも無視して問題ありません。
4)リスク・アプローチ
一般的に、見積の要素を含まない固定資産勘定は、会計監査上は典型的な低リスク領域と位置づけられています。
・・・上述のトーマツの書籍では、装置産業だと固定資産プロセスの文書化が必要になるかもしれないと述べています。監査基準に反して、ビジネスリスクを考慮せず、勘定残高の大きさだけで重要性を判断するようなジャッジメントは無視して問題ありません。
5)全社的な内部統制のカバー率
みなさんの会社では、95%カバーがアメリカの監査実務だから、そのとおり質問状を実施せよと言われているかと思われます。
・・・アメリカ監査基準の改訂版では、全社質問状(multi-location)は、カバー率ではなくリスクで考えろと述べていますので、95%カバーのジャッジメントは無視して問題ありません。(監査の保証水準=80%だから、80%はカバーした方が安全だと、個人的には思っています。これは「個人的意見」です。)
6)その他
このエントリーで批判されているような監査人のジャッジメントは、無視して問題ありません。
※ただし、自分の会社の「財務諸表の重要な虚偽表示リスク」が大きいと判断する経理担当者は、内部統制の評価よりも、会計基準の正しい適用に強い意思と勇気をもって、取り組んでいただきたいと考えます。
投稿 プロフェッショナル・ジャッジメント | 2007年4月15日 (日) 13時46分
米国会計基準の処理が遅れているため、日立製作所やNECは米国で決算発表ができないそうです。
いくら内部統制ビジネスを推進するためとは言え、恥をかきながら、身を切って商売しているのですね。
日立製作所は、日本の民間企業で博士号取得者が最も多い会社だったはずでず。わが国トップクラスの頭脳集団なのに、こんなくだらないことに時間と金を費やすなんて。
(経営判断が間違っていますよ)
会計学入門・千代田邦夫著(中央経済社)によれば、日立製作所の監査報酬は10億円で、松下電器産業は2億円とのこと。(米国上場=米国監査法人に対する報酬支払いの膨大さが、この結果につながっています)
投稿 かわいそうに | 2007年4月16日 (月) 08時17分
>かわいそうに さん
ご意見のなかで、一部削除させていただいたところがあります。
ご了解ください。
投稿 toshi | 2007年4月16日 (月) 16時32分
路傍の会計士さんのご意見
統制活動として発見的コントロールよりは予防的コントロールの方が望ましいと言うのは正しいと思います。
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 155ページ
監査業界では、発見的統制のほうが強力で効率的である、とされてきました。「なにしろ動かぬ証拠として、異常値なり差額なりが出ている(どこで出たのか分からないが)」という事実を事後的とは言え示してくれるからです。
>>>>>>>>>>
この書籍の記述は、監査業界の常識です。路傍の会計士さんの意見は、会社と会計士で異なった考え方を適用するダブルスタンダードの典型例です。
なお上記書籍「IT内部統制の実務」は、効率的な文書化を進めようと考える会社にとっては、批判的姿勢なしにそのまま読めるので、広くお奨めしたいと思います。
(業務プロセス文書化に携わる方は、第3章まででも読めば、参考になります。)
投稿 路傍の監査人 | 2007年4月16日 (月) 17時59分
アメリカ監査基準書の読み方 児嶋隆著 中央経済社 137ページ
属性サンプリングの適用例(内部統制のテストにおけるサンプリング)
監査目標は、売掛金の評価に関連する統制手続きをテストすることである。
・逸脱の状況は、売上指図書上に信用調査部のマネージャのイニシャルがないことである。
⇒チェックの証跡だけで評価しますよ、と述べています。
>>>>>>>>>>>
内部統制の評価モデル 新日本監査法人・土田義憲著 中央経済社223ページ
テストの実施
たとえば出荷報告書に梱包品との一致を確かめたことを示す署名があっても、それは十分な注意のもとに一致を確かめたことを意味するとは限らない・・・このため、署名があることを根拠に予防的統制が有効に行われた証拠と判断するには、証拠能力が十分でないといわざるを得ない。
したがって・・・作業監督者に質問したり、作業の実際現場に立会うなどのテストをする・・・さらに、その統制を再実施(価格表や規則との照合)しなければならないかもしれない。
⇒チェックだけでは信用できず、質問、立会い、再実施をするようにと述べています。(なるほど、プロフェッショナル・ジャッジメントですね!!!)
>>>>>>>>
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 188~189ページ
承認のテスト
承認を求める申請様式をめくって「承認印がある」というテストを行っても意味がありません。・・・この心証を得るためには、承認事実と取引事実(ここでは帳簿上の記録とする)とを、そもそも照合しなければ意味がありません。
⇒質問等と組み合わせるだけでは不十分なようです。帳簿から取引をサンプリングして、それに関する申請書を探し、そこで承認があるかを検証する必要があります。(かなり手間がかかります。それにしても、相当に高度なプロフェッショナル・ジャッジメントですね!!!)
>>>>>>>>>
最後の記述は、外部監査人が監査論における二重目的のための詳細テスト(内部統制テストと実証性テストの両方の目的を充足する)を、会社が内部統制評価に使えと述べているものです。
内部統制の評価に関するアメリカの監査理論さえも超越し、アメリカ以上に厳格な手続きを会社に実施させたいとの思いから、プロフェッショナル・ジャッジメントを縦横無尽に駆使する新日本監査法人の創造力に感嘆しました。ここに、心からの敬意と尊敬の気持ちを表したいと思います。
投稿 第4章以下は注意しましょう | 2007年4月16日 (月) 21時05分
日本公認会計士協会 監査委員会研究報告第16号 統制リスクの評価方法
「統制リスク評価ワークシート」
統制行為:得意先マスターには・・・販売責任者の承認を得ている。
統制評価手続き:得意先マスターから××件選び、販売責任者の承認の有無を確認する。
検出事項:承認印のないものが×件あったので・・・追加してテストを実施したところ、すべて承認印が押されていた。
>>>>>>>>>>>
日本の公認会計士協会が公表している「公認会計士の内部統制の評価方法」でも、内部統制の評価は、所定の手続きが実際に行われているかどうかを確かめれば良いとされています。
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 186~189ページの記述は、公認会計士協会の公表している研究報告の枠組みをエラン・ビタール(生の跳躍:フランスの哲学者ベルグソンの用語)して、勇敢にプロフェッショナル・ジャッジメントを下しています。
同書の著作者は、会計士仲間では間違わないけど、会社に対する説明に際してのみ統制評価手続きと実証性テストを混同していると見受けられます。会社の内部統制強化を願い、監査理論を乗り越えた熱意に対してダブルスタンダード大賞を贈呈し、永遠の栄誉を称えます。
投稿 公認会計士協会に相談しよう | 2007年4月17日 (火) 07時31分
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 188~193ページ
実在性のテスト 帳簿から事実を検証
承認のテスト 帳簿から承認を検証
網羅性のテスト 事実(例:出荷報告)から帳簿を検証
さすが会計プロフェッションらしく、高度な監査理論で素人には分かり難いように知的武装しており、ものすごく難しそうですね。
>>>>>>>>>>>>
日本公認会計士協会監査委員会研究報告第16号 統制リスクの評価方法
付録5 統制行為の例示
購買サイクル 検収
⑥検収報告書は、連番により管理されている。(実在性〇 網羅性〇)
このコントロールは実在性も網羅性にも該当する。このテストは、「帳簿から事実を検証するのか」又は「事実から帳簿を検証するのか」どっちだろう???
両方やれば、新日本監査法人監査技術部は認めてくれそうだから、両方実施すれば安心だ!
※統制行為の例示の表を見ると〇がたくさんついているので、会社のコントロール・テストは相当に大変そうですね(嘆息)
でも、公認会計士が会計監査で両方やっているのを、見たことないけどなぁ
投稿 論理破綻 | 2007年4月17日 (火) 10時37分
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 202ページ
事実から帳簿へ、と言っても、その母集団たる事実をどうやって網羅的に押さえるのだ?という点です
・・・伝票が連番管理されていれば大丈夫とお考えかもしれません。しかし、連番管理されているところの伝票に、そもそも含まれていないものがないか、という点を問題としているので、連番管理では解決しません。
>>>>>>>>>>>
日本公認会計士協会監査委員会研究報告第16号 統制リスクの評価方法
付録5 統制行為の例示
1.販売サイクル(3)出荷
出荷指図書及び出荷報告書は、連番管理されており、欠番についてはその原因の調査が行われ、定期的に出荷責任者による査閲が行われている。(実在性〇 網羅性〇)
2.購買サイクル(3)検収
⑥検収報告書は、連番管理されている。(実在性〇 網羅性〇)
>>>>>>>>>>
日本公認会計士協会は、連番管理で網羅性の要件が充足されると考えているようです。
一方、新日本監査法人監査技術部は、日本公認会計士協会の研究報告の権威に挑戦して、自らのプロフェッショナル・ジャッジメントに基づき連番管理では網羅性の要件を充足できないと述べています。
新日本監査法人監査技術部の内部統制強化に向けた熱狂的な情熱と会計プロフェッションのプライドが、日本公認会計士協会の権威に公然と挑戦している姿は、まさに監査法人の鏡ともいうべきで、まことに感動的な姿であります。
ここに、僭越ながら、同監査法人にダブルスタンダード勲章も合わせて授与し、その功績を不滅のものとして評価したいと思います。
投稿 挑戦するプロフェッショナル | 2007年4月17日 (火) 17時32分
投稿: toshi | 2007年4月17日 (火) 21時44分
IT内部統制の実務 新日本監査法人監査技術部 中央経済社 168~169ページ
(1)そもそもウォークスルーは必須なのか?
日本版SOX法においても、実施基準の経営者評価編であるⅡにおいては、(ウォークスルーの)詳細な方法までは規定されておらず、経営者の裁量に任されている・・・
(2)変更がなければ、毎年行う必要はないのか?
一方で、大規模な企業であれば、人事異動も頻繁にあるでしょうから、後任者の理解目的で(ウォークスルーが)やっぱり必要という考え方もあると思います。
(3)変更なしでも、毎年資料や画面のコピーを取り直すのか?
きまりはありませんが、資料や画面が変わっていない場合は、その変わっていない旨を何らかの記録に残せば、取り直しは必要ない
・・・少なくとも会計監査の実務においては、変更なしならコピーは取り直さず、確認者名、確認日付、変わっていない旨について所定の記載をする
>>>>>>>>
実施基準の監査人編Ⅲで追跡(ウォークスルー)が記述され、経営者編Ⅱでその文字がないことを、どのように理解しているのでしょうか?
基準に明記されていない冗長な作業を会社にやらせる場合のみ、会社と外部監査人のダブルスタンダードを完全に解消しています。
自分の利益のためだけに、プロフェッショナル・ジャッジメントに基づく自由裁量を行使する姿勢は、歴史的な大法学者イェーリング「権利のための闘争」を現代に蘇らせたものであり、まさに現代の「会計士の権利のための大闘争」として大いに讃えられるべきでしょう。
投稿: プロは思いつきでものを言う | 2007年4月19日 (木) 08時00分
アメリカ公開企業会計監視委員会(PCAOB)が、従来の監査基準第2号を廃止して、第5号を制定しました。
http://www.pcaobus.org/News_and_Events/News/2007/05-24.aspx
日本公認会計士協会のHPには、企業に詳細な作業をさせるものとして各方面から批判を浴びている監査基準第2号の和訳が掲載されています。しかし、既に廃止された基準は、日本の金融商品取引法の内部統制基準の理解に役に立たないものとして、会社関係者は参照しない方が良いでしょう。
新基準の主な内容は次のようなものです。
the new standard itself expressly permits auditors to use, in the internal control audit, testing and other internal control work of persons other than internal auditors. (新基準では、内部統制監査において、内部監査人以外の人間による統制行為や評価を認める。~金融商品取引法対応には内部監査部門が必須であるとか、監査法人等による内部監査の品質管理の指導が必要であるなどの見解は、残念ながら説得力が乏しくなりそうです。)
entity-level controls that monitor the operation of other controls in a precise manner may reduce the need for testing of the underlying, process-level controls. (全社レベル統制として、詳細な統制行為の監視があれば、業務プロセスレベルの評価を削減することができる。~なお、英語でenrityは連結グループのことを指します。全社レベル統制はグループ全体で評価すべきものであり、会社単位で評価することが義務ではありません。全社統制に関して、会社や部門単位の評価が必要だとする会計士やコンサルタントの意見は誤謬です。)
Focuses auditors on fulfilling the objectives that a properly performed walkthrough achieves rather than requiring performance of a walkthrough, which, under some circumstances, might lead to a checklist approach.(外部監査人にとっての適切に履行されたウォークスルー=追跡とは、追跡行為を実行することより、ある状況下では、適切なチェックリストの確認になるかもしれない。~もともとウォークスルーは会社の義務ではありません。今回の改訂により、外部監査人は取引の帳票や統制行為の証跡を集めるより、チェックリストによる聞き取り調査で済ませることを示唆しています。)
Allows auditors to tailor their top-down approach to the circumstances of individual companies by removing the requirement to specifically identify major classes of transactions and significant processes before identifying relevant assertions. (外部監査人は、トップダウンアプローチにより、主要な財務諸表の要件を特定する以前に、主要な取引及び業務プロセスを特定しなくても構わない。~販売プロセスなら全ての財務諸表の要件ではなく重要な要件=実在性のみを監査、費用勘定なら重要な要件=網羅性のみを監査することを含意しています。)
基準そのものの公開はもう少し先のようです。ただし、コンサルタントや資格商売(公認内部監査人、内部統制指導士など)の意欲的、精力的かつ不安扇情的な宣伝活動には影響を与えないでしょう。
投稿: PCAOB 監査基準第5号 | 2007年5月25日 (金) 16時43分
監査基準第5号の制定を紹介するHPは、他にも散見されました。
あるHPでは、ダイレクト・レポーティングの採否などという抽象的制度論の話にとどまっています。(会社の効率的な体制構築に役立つ改正項目への言及がありません。)
別のHPでは、モニタリングがあれば業務プロセス評価を省略できるという不十分な紹介であり、その重要な前提である「全社的統制としての監視行為=モニタリング」であることを、恐らく意図的に脱漏しています。
会社に都合が良くても、社会集団としての会計プロフェッションに都合の悪い情報を流さないことは、ある意味で自然です。会社関係者が留意すべきことは、一見会社側のために発言していると見える人でも、現実には会社の役に立つ具体的な情報を何も提供しないことがあるという事実です。
普通の人から見れば、抽象的な制度批判は耳に入り易く、不満の感情を慰撫してくれます。しかし、会社が財務報告に係る内部統制の構築を進める際に、必要なのは実務に役に立つ実践的かつ具体的な助言です。
コンプライアンス・ビジネスの手法とは、相手の感情に訴え、感情を満足させるだけの、単純かつ稚拙なものです。(胆力が必要というわけの分からない解説は有害無益です。臆病者でも確かな知識を持てば、自信を持ってプロフェッションと協議できます。)
気をつけよう、甘い言葉と〇〇〇〇
投稿: 監査基準第5号を紹介する人 | 2007年5月25日 (金) 18時58分
最近は、上場会社の金融商品取引法対応として、グループ内の海外会社の文書化をお手伝いしてくれるコンサルタントの宣伝を見かけます。
ところでアメリカ監査基準第5号がアメリカ公開企業会計監視委員会のHPで公開されております。
http://www.pcaobus.org/News_and_Events/News/2007/05-24.aspx Rulemaking Docket21
Page A1-48-Standardに次のような記述があります。
For equity method investments, the scope of the audit should include controls over the reporting in accordance with generally accepted accounting principles, in the company's financial statements, of the company's portion of the invetees' income or loss.... The audit ordinarily would not extend to controls at the equity method investee. (持分法適用会社=出資比率20~50%=の会社については、出資会社の出資分見合いの利益又は損失が一般に公正妥当と認められる会計基準に適合しているかどうかが監査範囲となる。。。。通常は、持分法適用会社の統制行為まで監査することはない)
>>>>>>>>>>
日本の実施基準では、持分法適用会社も内部統制の評価範囲としています。しかし、実施基準にも書かれているとおり、このことは、その会社の財務報告に係る内部統制を、連結子会社と同様に評価する義務があることを意味していません。
監査法人やコンサルタントの根拠に乏しい意見に従って、海外の持分法適用会社の業務プロセス文書化などをすることのないように、十分ご注意下さい。
投稿: 海外会社と監査基準第5号 | 2007年6月 1日 (金) 16時11分
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 221~222ページ
内部統制の有効性評価では・・・内部統制が・・・1年間にわたり有効であったことの検証が必要となります。しかし、その検証は・・・遅くとも第3四半期には行う場合も多いといえます。なぜなら
・問題があれば、早期に発見することが望ましい。
しかしこれでは、対象期間にわたり有効であったことの検証・・・不完全ということになってしまいます。
b)それ以後の期末日までの期間については、内部統制に重要な変更がないことを確かめるため、最低1件のテストを「期末日後」など適時に行うことで補完する
>>>>>>>>>>>
http://www.pcaobus.org/News_and_Events/News/2007/05-24.aspx Rulemaking Docket21
Page A1-24,25-Standardに次のような記述があります。
Roll-Forward Procedure
56. Note: In some circumstances, such as when evaluation of the foregoing factors indicates a low risk that the contols are no longer effective, inquiry alone might be sufficient as a roll-forward procedure. (統制活動が有効でないというリスクが低い場合、質問だけでロールフォワード=テスト終了後の残余期間のフォローアップ=手続きは十分であるかもしれない。)
>>>>>>>>>>>>>>
会社が内部統制のテストを4月~12月で実施した場合、1~3月の間も内部統制に変更がないことを質問で確かめれば、内部統制の評価として十分のようです。
ご参考までに、財務報告プロセスは、期末日の後に内部統制のテストを実施することを付言します。
Page A1-14-Standard
26. Note:Because the annual period-end financial reporting process normally occurs after the as-of date of management assesment, those controls usually cannot be tested until after the as-of date. (期末財務報告プロセスは経営者評価の時点=期末日=以降に発生するのが通常であるので、これに対する統制行為も経営者評価日以後の日までは、通常評価することができない。)
投稿: ロールフォワード | 2007年6月 4日 (月) 09時24分
アメリカ監査基準第5号http://www.pcaobus.org/News_and_Events/News/2007/05-24.aspx Rulemaking Docket21
Page A1-53-Standardに次のような記述があります。
If general control over program changes, access to programs, and computer operations are effective..., the auditor may conclude that the automated application control continues to be effective (もし、プログラムの変更、プログラムへのアクセス及びコンピュータの運用に関する全般統制が有効であるなら、監査人は自動的な業務処理統制が有効であると結論する)
For example, an automated application for calculating interest income might be dependent on the continued integrity of a rate tabe used by the automated calculation (例えば、金利支払いの自動化された業務処理は、自動計算に利用される金利テーブルの完全性=そのまま一貫して作動する=に依存する)
>>>>>>>>>>>
IT全般統制は特に難しくありません。会計データの情報システム処理に関して、入力データ、計算ロジック、データ転送などのシステムが勝手に変更されないようにする統制活動です。会計データ情報に直接関係しないプログラム変更、アクセス管理は全く問題となりませんので、「やりすぎ」と「やらされすぎ」には注意しましょう。
(補足)
アメリカ監査基準の例示は金利が好きです。内部統制の中でも細かい例示しか出さないことで、最も大事なところをどうするか、「会社がプロフェッションの高額サービスに依存させる」戦略を、規制当局とプロフェッションが共同で採用しています。
具体例を提示すると、商売にならないほど低レベルでバカらしいことが、誰の目にも明らかになってしまうからでしょうか?????
投稿: IT統制 | 2007年6月 6日 (水) 08時28分
中小規模の上場会社にとって、IT全般統制とIT業務処理統制とは何なのか、どのようなリスク統制対応表を作成すればいいのか、手探りの状態ではないかと思われます。
「例示でわかる内部統制 吉木伸彦他著 税務研究会出版局」は、現在入手できる情報の中では一番簡単ですが、同時に一通りIT統制のリスクとコントロールを記述してある文献です。
大きな会社に巨額の対価で提供されるリスク・コントロール・マトリクスのひな形も、結局のところ、ここに記述されているリスクやコントロールを分解して、一つ一つをより詳細化しただけのことです。(なお、監査法人やコンサルタントは、実施基準記載42項目の全社質問状を分解してより詳細化した質問状を提示してきていると想像されますが、全く同じ手法です。監査項目は、プロフェショナルがその気になれば、いくらでも分解・詳細化できます。)
この書籍は、販売・購買プロセスのリスク統制対応表も記述されています。中小規模の上場会社や、大規模上場会社の子会社の業務プロセスを文書化するとき、役に立ちそうですね。
投稿: 例示でわかる内部統制 | 2007年6月 6日 (水) 17時31分
「例示で分かる内部統制」を購入して、後半の販売プロセスの受注、購買プロセスの発注の箇所を見たところ、それぞれ10個くらいのリスクが記載されていました。
>>>>>>>>>>>>>>>>>
別の会計プロフェッションの書籍で比べてみましょう。
「内部統制実践マニュアル 新日本監査法人・土田義憲著 中央経済社」
第7章 購買 ②会計取引 109ページ
発注しただけでは、会計記録を行わない。
(注)財務報告に与える直接のリスクは存在しない、という趣旨です。
第10章 販売 ②会計取引 170頁
受注活動は顧客との情報のやり取りが中心となる。そこでは・・・会計取引は発生しない。
(注)財務報告に与える直接のリスクは存在しない、という趣旨です。
>>>>>>>>>>>>>>>
会計プロフェッションは、そのプロフェショナル・ジャッジメントに基づき、財務報告に係るリスクの数を伸縮自在させるようです。
「例示でわかる内部統制」はIT統制のところまで読んで、後は別の書籍を参考にしてリスク統制対応表を作成したほうが良いと判断されます。
いやあ、プロフェッショナルって、ほんとうに融通無碍なんですね。それでは、さいなら、さいなら、さいなら・・・
投稿: プロはリスクを拡大する | 2007年6月 7日 (木) 08時52分
金融庁企業会計審議会で決定した内部統制基準では、日常反復継続する取引に関し、90%の信頼度を得るには25件のサンプリングが必要だとしています。
ところで、90%の信頼度ということは、10%の間違ってしまう確率があります。
会計監査が95%の信頼度で実施されていれば、計算上、毎年どれくらいの粉飾決算が起こるのでしょうか。
3,900社×5%=195社(これだけ粉飾決算が生じたら社会的大問題!!!!!)
ところで、公認会計士・監査審査会は、活動状況の年次報告を行っております。
http://www.fsa.go.jp/cpaaob/shinsakai/reports/index.html
平成17年度は、公認会計士が虚偽の監査証明を出した案件=不正な決算は4件ありました。
さて、日本の上場会社の財務諸表の正確性を支えているのは誰でしょう?少なくともプロフェッションである公認会計士の監査技法や信頼度と、有意な関係はなさそうです。
監査理論で、4社÷3,900社=0.1%の誤謬率にするために、どれだけサンプル採取が必要ですか?公認会計士は、監査でそれだけサンプル調査を行っていますか?
>>>>>>>>>
プロの監査手法について、このエントリーを最初からお読みください。
投稿: 監査の信頼度 | 2007年6月10日 (日) 10時25分
IT統制に関する書籍やインターネット情報などを読むと、表計算ソフト=EUCに関する全般統制が必要であるとの指摘をされている方もいるようです。
IT内部統制の実務 新日本監査法人監査技術部編 中央経済社 82~89ページの抜粋
(ご一読することを強くお奨め申し上げます。)
☆EUC・・有効性評価の対象になるかどうかは、・・・取引フロー(仕訳数値の生成過程)に載ってくる統制活動(!!!)であることが最低条件である
☆キーコントロールでないのであれば、全般統制(EUC=エンドユーザーコンピューティング)を話題にする必要がありません
★その計算は、年に何回なされているのでしょうか?・・・年に1回とか2回とかではないですか?正規の財務報告データとしては、再実行ないし検算するほうが、遥かに早くないでしょうか?
>>>>>>>>>>>>>>>>
経済産業省から公表されているシステム管理基準追補版でも、再計算を認めています。全社的に表計算ソフトの存在を洗い出して、全てにパスワードをかけたり、計算ロジックに対して作成・変更の度に責任者の承認を取るよりも、再計算の方がほとんどの場合効率的です。
投稿: 表計算ソフト(EUC) | 2007年6月11日 (月) 07時48分
唐突になってしまい、すいません。今現在の業務で、行き詰ったことがあり、意見をお聞きしたいのですが、「内部統制の規程」ってどうすれば良いのでしょうか?監査とかについては、基準が決めやすく、今までの内部監査規程の中に、業務監査、品質監査の他に内部統制監査を加えようと思うのですが、内部統制の仕組みとかって規程に入れないといけないのかと考えた時に、どうにもならないんですよね・・・会社法に加えて何をどうすれば良いのでしょうか?
サンプリングとか、皆さんすごく先の話をされていますが、社内の統制環境とかって大丈夫なんですかねえ?文書化とかに追われているうちに、忘れかけていませんかねえ?規程とかって、モメたり(内容だけでなく、誰がどこの部署が作るのかなど)するから早めにやっておいた方が良かったりしています・・・
投稿: 竹村 | 2007年6月12日 (火) 16時45分
中堅レベルの会社は、次のような書籍を参考にされてください。
新会社法対応版 経理規程と実務マニュアルの作り方 久保光雄著 中経出版
大規模な上場会社は、次の書籍が参考になります。
経理規程ハンドブック 監査法人トーマツ編 中央経済社
>>>>>>>>>>>>>
既存の社則があればそれで十分です。
これらの書籍の目次を見て、ある社則が自分の会社に存在せず、その不存在が財務報告の重要な虚偽リスクを高めると判断すれば、新たに制定するのも悪くないでしょう。
業務記述書やリスク統制対応表そのものを、社内の業務手順書・要領として位置づければ簡単です。
投稿: とにかくたくさん作業させろ | 2007年6月12日 (火) 18時00分
御初にコメントを書きます。端的に書こうと思います。
25件のサンプル数について公認会計士協会の実務指針(実務上の取扱い)で説明が加えられましたが、私も疑問がつきません。
なお、私は統計の専門家でもなければ、数学に明るいわけでもありません。
1.25件と言う数値は母集団特性の分析に有効か?
<そうは思えない>
直感的に少ない印象です。正規分布を前提に適正なサンプル数を母集団数から求める式で計算すると…
母集団件数=5000件
要求精度=9%
信頼率=90%
必要サンプル数=83件
母集団件数=5000件
要求精度=5%
信頼率=95%
必要サンプル数=357件
となりますが、とは書きながらも私も統計のプロではありません。散々調べて得た式ですが他にもこのような式で異なるものがあるようです。
幸い友人に数学博士が居り、いろいろ確かめましたが、非常に大雑把に(私の話から)考えてだが25件は少ないだろうと言う意見がありました。また、上の要求精度と信頼率ですが、信頼率はサンプルが母集団特性を正しく反映したとしても、この比率でしか断言出来ないと言うことで、90%ならサンプルの10%は母集団特性を反映していない可能性があります。
要求精度はもっと曲者でサンプルが示す特性の誤差になります。9%の場合、もし母集団のある特性が4%(これが真実)であっても±9%の誤差によってゼロ%になる可能性(4-9でマイナスはあり得ないのでゼロ)があります。(と聞きました)
個人的には信頼率も要求精度も90%とか9%などは信じられない設定値だと思っています。なお、この用語が実務指針などでは違った言葉で表わされており、実務指針で言う「許容誤謬率」と言うのが要求精度だろうと推定しています。
なお、この式で計算すると、母集団数が上の値よりも1桁2桁大きくなっても必要サンプル数は大きく変化しません。300件から400件台でおさまるようです。そのため母集団のある特性を統計学として正しく説明するには、300件以上はサンプルが必要なのだろうと勝手に推定しています。
2.帳簿や伝票類は正規分布か否か
<どうもそうらしい>
これは属性サンプリングなどといわれているものだと思いますが、伝票上の処理についての正誤を二項分布と考えれば、その件数(母集団)が増えるほど正規分布になると解説がありました。私としては伝票や帳簿明細は一年分なら十分大量なのでこの条件を満たすと思っていますが、正規分布のベルシェイプでこの二項(正誤)の分布状況がイメージ出来ません。横軸は通常、何らかの特性の度数なので…
3.最後に
どれほど御参考になったものか…貧者の一灯と思し召し下さい。
以上
投稿: 日下雅貴 | 2007年9月 3日 (月) 17時28分
2007年9月 3日 (月) 17時28分のコメントを補足します。
>実務指針で言う「許容誤謬率」と言うのが要求精度だろうと推定しています。
上記ですが用語の解説が「旬刊経理情報」9月10日号の特集記事に掲載されていました。こちらの方は「許容誤謬率」ではなく「許容逸脱率」となっていますが同義と思ってよろしいかと思われます。
これによれば、評価者が受け入れる事の出来る最大の逸脱率となっており、要求精度と直接に意味のつながりはないかもしれませんが、標本比率と母比率の間の誤差である要求精度は、このぐらいの誤差が想定出来るというものですから、得られた標本比率にいくばくかの逸脱例があっても、この程度なら誤差によるものだろうと処理する考え方には通ずる所があると考えます。
もっとも、逸脱率とする標本比率が誤差によりゼロ%となる場合がありますが、これは想定逸脱率である逸脱予測と許容逸脱率のいかんに関わってきますので、予想逸脱率3%で要求精度3%では標本比率における誤差は0から6%と仮定されるので、その結果として許容逸脱率6%の設定なら、予想逸脱率内と仮定する事は可能となるのではないかと思います。
このように解釈すれば「予想逸脱(誤謬)率」は今のところ要求精度の応用として理解可能かと考えています。
以 上
投稿: 日下雅貴 | 2007年9月 3日 (月) 19時09分
日下さん
はじめまして。
たいへんご丁寧なコメント、ありがとうございました。たいへん勉強になります。じつは最近、ある関西の内部統制研究会に参加してまいりましたが、やはり正規分布といえるのかどうか、信頼性確保のための母集団件数は十分か等、話題になっておりました。私は結局のところ、内部統制が有効と評価されることへの「70%程度の保証」をどこに求めるのか?といったところで割り切ろうと思っているのですが、ではなぜこれで70%といえるのかと問われると、正直明確な説明はできません。このあたりが社会科学として、世の中のルールのひとつである会計制度に求められる統計学なのかなあ・・・と納得したりもしておりますが。
きちんとした回答になっておらず、失礼しました。
投稿: toshi | 2007年9月 4日 (火) 23時21分
公認会計士のかたがたは
「(最終的には)割り切るしかない」と仰せになってますね、その辺は。
例えば25件で有効か有効ではないか、などと言い始めていったら、
監査そのものが「これって有効なの?(やる意味あるの?)」
という「そもそも論」になってしまいかねないわけで、
あまり突っ込まれたくないようです(笑)。
だいたい統計学を修めておられる会計士がどれだけいるでしょうか
(まあ、手法=ノウハウなわけで、そこまで要求されないと思いますが)。
投稿: 機野 | 2007年9月 5日 (水) 09時33分
誠に拙く不十分なコメントへのレスありがとうございます。
さて蛇足ながら付け加えますと、最近古書に走っております。
新会計監査詳説 日下部與市著
監査証拠論 田島二郎著
監査証拠論 石田三郎著
監査意見形成論 石田三郎著
監査の統計的手法 ヒル ロス アーキン共著
これらは昭和30年代から50年代に出版された書籍ですが、財務諸表監査における統計的試査と内部統制の調査と理解の関係について、非常に詳しく、またしっかりとした論調で述べられており、目からうろこの感動を得ました。
これらの中でも統計的試査が語られ、標本と母集団の関係について言及している箇所がありますが、信頼率にしても標本数にしても、昨今の25件に関係する数値とはほど遠いものになっています。もちろんもっと高い数値で述べられていると言う事です。
しかしながら、各母集団に対して300件の数理的に十分なサンプル抽出を想定した場合、その社内工数負担は多くの企業にとって(大き過ぎて)考えられないものでしょう。
ある背景から昨年の暮れ頃、統制要件ごとに25件の数値を条件に内部監査部門の工数を概算見積り(かなり控え目に)したところ、年間10数人のスタッフが居なければ成り立たないと結論した事があります。
この数値はある監査法人と、あるコンサルファームで算出した工数と50時間程度の差でしかなかったと言う後日談を聞かされ、その後ある種の信憑性?をもって関係者に受け止められました。
様々ありますが、論点のひとつに監査結果が裁判に持ち出される事がある、と言う可能性について触れたいと思います。
このサイトのオーナーさんは法律事務所さんでいらっしゃるので、差し出がましいのも極まっていますが、最近流行の「フォレンシック」と言うキーワードもあり、監査による意見形成は法廷証拠として十分なものでなければならないと考えています。
監査人としては、彼らの言うところの「合理的証拠」とか「適切性に関する意見」とか、彼らなりの論理があると思いますが、その根拠が統計的・数理的なものでなければ、信頼性をどこに求めるのか疑問です。
監査調書、監査証拠は法廷証拠(言う所の「試査」による合理的根拠)として通用しなければ、企業にとって監査費用とは何なのかと思う次第です。
以 上
投稿: 日下雅貴 | 2007年9月 5日 (水) 15時45分
最後の蛇足にしたいと思います。
御存知かと思われますが、確認の意味で記述したいと思います。
近代監査は「試査(主に統計的試査)」によると言うのは、近代監査論の中核をなす原理だとあります。また、日本公認会計士協会による鑑査基準にもこれが明示されています。
この原理は(御存知かと思いますが)初期のような探偵的監査、精査が近代の取引量・内容の複雑さから言って通用しない事と、監査資源の確保が困難な事、そしてこのような精査による監査は対価としての企業負担が尋常でない事、これらが認識され、「統計的試査」に移行したわけです。
そして統計的試査はサンプリングにより実施されるため、その誤差や適切性が問題になるところで、「内部統制がしっかりしている事を調査・理解し、事務処理がしっかりしているのを前提にサンプル抽出が成り立つ」のような一見正しそうで、良く考えると首をかしげる点もある理論が形成されました。しかしこれは、近代監査の原理であります。
本来、正規分布している事が分かっていれば、計算上求められる必要サンプル数をランダムに調査すれば母集団特性はサンプルが代表しているのは数理の証明です。この点から言えば、内部統制の有効性を無視しても統計理論が母集団の縮図を表わす点はゆるぎない所です。
では、何故「内部統制の有効性」からサンプル抽出の大中小を決定しなければならないのか、サンプル数を統計理論から外れて少なめにして、「ここは処理がしっかりしているから計算で求められるサンプル数を下回っても大丈夫だ」と言えるのでしょう。ここで数理の裏づけを放棄したといえないでしょうか。過剰評価・過小評価のリスクを無視しています。
母集団のある特性が財務報告上で実際のところ十分だったとしても、サンプル数が少なければ信頼区間も要求精度も誤差や確立のブレにより、NGを表わす場合もあれば、実はとんでもない状態をOKにしてしまいます。
分かりきった事をだらだら並べて恐縮です。何が言いたいかと言えば、先の近代監査の原理・理論が実は誤謬を含んでいたのではないかと言う事です。理論としては、不完全な部分を感じます。統計と言う確たる理論を引用したあと、理論を無視してアレンジした感はないでしょうか、ゆがみはないでしょうか。
これまで監査の世界は閉じられた世界、この分野に従事する人以外は目にしにくかった世界だと思います。ところが、法制度が企業に監査業務の一端を担わせることになり、実施基準で示された25件がにわかに多くの人の目に触れ、議論を呼んでいるのではないでしょうか。
とすれば、これまで潜在しながら、今ここに至り顕在する論点は「統計の理論を崩しても母集団特性を証明出来ると言うのは何故か、本当に可能か」になると思われます。
分かりきった事ですが御容赦を願い、明確に表わしたく記述しました。
以 上
投稿: 日下雅貴 | 2007年9月 8日 (土) 08時44分
このたびの日下さんの一連のコメントは、私にとりまして非常に示唆に富むものであり、また関心度の高いところであります。「フォレンジック」は、私もCFE(公認不正検査士)の資格を有しておりますので、監査証憑が法的な証拠力をどれほど持つのか・・・といったあたりの議論はおもしろい分野ですね。法律と会計学とが交差する分野であって、昔から政治的な意味合いさえもった分野だと認識しておりますが、ぜひ学術的に語られているところでしたら、一度検討してみたいと思っております。
なお、日下さんの関心分野につきましては、ぜひご自身のブログをお作りになって配信していただければおもしろいと思います。コメントで配信するには少しもったいないように思いますし、このままコメントのなかで埋もれてしまうには惜しいですよ。本当に。
監査論の世界が閉じられていた世界であったところに、「経営者評価」といった概念が登場して、そこに日下さんのような疑問が生じてきたんでしょうね。本当はここのところをもすこし議論してもいいですね。
投稿: toshi | 2007年9月 9日 (日) 17時46分
toshi様
過分のコメントを頂きありがとうございます。大変励みになります。
今は内部統制の有効性を証跡から論証するとは何か、演繹法と帰納法、アブダクションと言う論証等はどう利用されるべきか、企業と言う本来の専門分野に遠いスタッフが持つべきロジックは何かを私なりに日々検討しています。
日下雅貴
投稿: 日下雅貴 | 2007年9月10日 (月) 02時32分