J-SOX本番実施に向けての残された課題
(もうすでに実施されているので、「実施に向けての」というのはタイトルとしては少し変かもしれませんが)今年4月に開催されました監査役全国会議の全体会シンポジウム「財務報告内部統制の評価と監査」の講演録が月刊監査役7月号に掲載されており、新日鉄社の内部統制報告制度への対応が詳細に紹介されております。経営者確認書のレベルをどう上げるか、という点からスタートして、管理部門のスリム化や世代交代における知識伝承を内部統制整備の意義と捉え、連結320社のうち、全社統制がしっかりしていることを前提として、決算財務報告プロセス、業務プロセスの整備運用評価は、15社に絞る。平成19年度にしっかりとしたドライランをされているので、本番実施に向けて残された課題が明確に示されています。日本を代表する大企業であるがゆえに、きわめて複雑かつ難解な課題が残っているのかと思いましたが、一般の上場企業でも当然に課題とされるような非常にシンプルな課題であります。
その残された課題のひとつが「限られた監査の時間で、監査人は具体的にどのようなタイミングで何を見るのかが、まだ十分に詰め切れておりません。」・・・・・これだけ優秀なスタッフを擁する企業においても、またしっかりとした試運転をされていても、やはり内部統制監査に関する不安がまず第一にあげられるのですね。そして課題のもうひとつが内部統制に不備があった場合の影響額の算定方法だそうであります。税引前利益5%基準があるが、具体的にはどのように計算するのか、かならずあるはずのものが欠落していれば分かりやすいのだが、数字で表しきれない部分に問題が発生した場合、あるいは影響額をどのように計算するのか等については未だ十分に議論ができていないのが現状、とのことであります。たしかに、一般に公正妥当と認められる内部統制評価の基準とは抽象的に言えますが、これまで内部統制評価などしたことがない経営者側としては、不備が重要な欠陥に該当するかどうかの大きなメルクマールとなる上記算定方法については具体的な場面で混乱が生じる可能性は十分ありそうですよね。
現状では監査人とは別に、監査法人系の内部統制コンサルタントさんに指導を受けておられる企業も多いとは思いますが、「いったい監査人が何をみるのか」は不明な点が多いとしても、「わが社の場合、重要な欠陥に該当するかどうかの算定方法は具体的にはどうすればいいのか」といった点については、どこの企業においても明らかにしておく必要性は高いのではないでしょうか。(もちろんリスク評価がはっきりとしなければ算定方法も具体化しないのではありますが。)
| 固定リンク
コメント
会社にとっての課題は、同様に監査人にとっても課題です。重要な欠陥の定量的評価は、内部統制報告制度のキーとなる部分だと思います。
しかしながら、監査において統計的サンプリングを使用することには、疑問の声があります。「監査の理論としては成り立つが、実務上はあまり意味がないと言っても言いすぎではない。」(『アメリカ監査基準書の読み方』中央経済社)
重要な欠陥の算定に当たっての発生可能性の検討では、「発生確率をサンプリングの結果を用いて統計的に導き出す」となっています。一方、内部統制の運用評価で25件のサンプリングを実施することになりますが、この結果エラーがゼロだった場合次のことがいえるに過ぎず、直接発生確率を算定することはできません。「エラーの発生確率は、10%以下であることが、信頼度90%で言える」。
重要な欠陥の定量的評価に当たっては、主観的な評価を含んだものとならざろう得ません。実務を担当する監査人としては、悩ましいかぎりです。
投稿: 迷える会計士 | 2008年7月 6日 (日) 21時58分
迷える会計士さん、コメントありがとうございます。
一般に公正妥当を認められる内部統制評価の基準として、この重要な欠陥の定量的評価は、経営者サイドで十分理解しなければいけないものですよね。(最近とくに、この点について議論がなされていると感じておりますが)しかし「アメリカ監査基準書の読み方」に掲載されているような内容については存じ上げませんでした。発生可能性の判断として、統計的サンプリングの手法は当然のこととして受け入れるものと思っておりました。なお、昨日の内部統制研究学会のアンケート結果集計では、25件のサンプリングの結果のうち、1件のエラーが発見されたときに「重要な欠陥」には該当しないと考えている企業がかなり多いことが判明しました。このあたりは実務のうえで内部監査人の方々にとってはどう評価されるのでしょうか。
投稿: toshi | 2008年7月 7日 (月) 23時17分
>昨日の内部統制研究学会のアンケート結果集計では、25件の
>サンプリングの結果のうち、1件のエラーが発見されたときに
>「重要な欠陥」には該当しないと考えている企業がかなり
>多いことが判明しました。
それ、そもそも質問として極めて不適切であります。
サンプリングと「重要な欠陥」の判断とは、最終的に結びつく可能性は
あるかもしれませんが、直結するはずがありません。
エラーの種類(というか定義)にもよります。
エラーが単なる確認印の押し忘れだった(作業自体は適切に行われた)
のならケアレスミスであり、せいぜいサンプリング数を(諸説あります
が)合計42件まで拡大すればいいだけのことであり、これは「内部
統制上の『不備』」にさえ該当しません(と断言したいと存じます)。
エラーが発見されたということは、そのシステムの運用に不備がある
可能性が否定できない、ぐらいの話であります。
(これは私が所属する第二次産業でのことであって、銀行さんや
ITさんだと違ってくるのかもしれませんね)
繰り返しになりますが、
>25件のサンプリングの結果のうち、1件のエラーが発見されたときに
>「重要な欠陥」に
…該当するということでないといけないのなら、
「重要な欠陥」が上場企業すべてから消えることは
決して永遠にないでしょう(大爆笑、してしまいますよ!)。
投稿: 機野 | 2008年7月 8日 (火) 00時26分
>昨日の内部統制研究学会のアンケート結果集計では、25件の
>サンプリングの結果のうち、1件のエラーが発見されたときに
>「重要な欠陥」には該当しないと考えている企業がかなり
>多いことが判明しました。
実務家の悪知恵でしょう。
機野さんのおっしゃる通り、25件のサンプリングでエラー0は42件のサンプリングでエラー1件と同値です。
25件のサンプリング自体が、ひとり歩きしている感じがします。基準では、90%信頼度のみが記載されていますが、もうひとつ前提条件が必要です。監査上はこちらの方が重要ですが、「許容エラー率」です。25件は、許容エラー率10%を前提にしていますが、日本全国全企業を信頼度90%・許容エラー率10%でサンプリングを行うことは果たして妥当でしょうか?
サンプリング件数を抑えて、効率的に評価を行うための「ゆるゆる」の基準だと思います。評価対象のリスクに応じて、適切に設定すべきものだと思います。信頼度を高めれば高める程、許容エラー率を低めれば低める程、サンプリング件数を増やさなければなりません。サンプリング件数は、概算で次のように算定できます。
(1-許容エラー率)のn乗<(1-信頼度) nがサンプリング件数
二つの要素の組合せにより、サンプリング件数がどのようになるか、先生もお試し下さい。
投稿: 迷える会計士 | 2008年7月 8日 (火) 23時42分
これ以上サンプリングの数を増やしたら
いったい何人の監査人(内部及び外部)が
過労死するでしょうか。
ドラマ『監査法人』のなかのセリフではありませんが、公認会計士では
なく、金融庁が「人殺し!」になってしまいます(バク)。
つまり、サンプリングではなくウォークスルー(整備状況)の確認で
大半の箇所は充分なんですよ。費用対効果的には。
そもそも人の命と健康は費用には換算できないでしょ?
えー、これはウチらの業界の話であって
銀行さんとことかは知りません。
そもそも(憤懣ばかり募りますが)
経済産業省の"傘下"である(金融機関以外の)事業法人に、
部外者ともいうべき金融庁が口出しすること自体、
筋違い場違いお門違いだったんですよね。
投稿: 機野 | 2008年7月 9日 (水) 02時06分