内部統制を整備・評価・監査するための実務的なガイドラインである「実施基準」。その公開草案を金融庁が11月21日に公表した(関連記事1,関連記事2)が,3つの文書のうち「財務報告に係る内部統制の監査」(全25ページ)の内容について,公認会計士の深見浩一郎氏に専門家の立場からコメントしてもらった。
「財務報告に係る内部統制の監査」は,監査を実施する側だけでなく,監査を受ける側の企業にとっても,的確に内部統制を整備・評価するうえで極めて重要な資料である。特に「ITを利用した内部統制」に関する内容の詳細については,内部統制の総合サイトである「内部統制.jp」の解説記事
深見氏のコメントの概要は以下の通りである。
当初から予想されたことだが,米国SOX法(企業改革法)に基づく外部監視機関であるPCAOB(公開企業会計監視委員会)の「監査基準2号」(財務諸表の監査に関して実施した財務報告に関する内部統制の監査)と比べると,解説の分量にかなりの開きがある(監査基準2号は約300ページ)。その監査基準2号は,事業上のリスクをベースにバランスの取れた内部統制の構築を図るという考え方,いわゆる「トップダウン・リスクアプローチ」(関連記事「米国SOX法への反省と最新の動向」を参照)へ対応するために,近く改訂される予定である。
内部統制監査に関して,実施基準(公開草案)の説明だけで不足を感じる場合には,改訂部分も含めて監査基準2号の内容に留意すべきである。また,今後パブリックコメントを受けて実施基準が確定した後で,監査部分については日本公認会計士協会から実務指針が策定される予定である。この実務指針の内容にも注目すべきだろう。
日本では “インダイレクト"の内部統制監査が採用されているが,それでも一定以上の保証水準が求められことから,監査主体にそれなりの習熟が期待される内容と言える。また,従来の財務諸表監査との連携が強く求められており,内部統制監査導入による一方的な監査執務時間の増加を抑制する内容となっている。
| (注)『財務報告に係る内部統制の監査』の「1.内部統制監査の目的」では“インダイレクト"の内部統制監査について,「内部統制監査においては,内部統制の有効性の評価結果という経営者の主張を前提に,これに対する監査人の意見を表明するものであり,経営者の内部統制の有効性の評価結果という主張と関係なく,監査人が直接,内部統制の整備及び運用状況を検証するという形はとっていない。米国では,以上のような内部統制監査とともに,直接報告業務(ダイレクト・レポーティング)が併用されているが,我が国においては,直接報告業務を実施しない」と説明している。 |
このほか,実施基準(公開草案)全体の特徴でもあるが,「財務報告に係る内部統制の監査」においてもITに関する言及が比較的目立つ。その内容は,「COBIT for SOX」(ITガバナンスを確立するためのフレームワークである「COBIT」で規定されたプロセスや統制項目のうち,米国SOX法に関連するものを抽出したもの)との関連性がうかがえる。この点は,ITそのものへのなじみが薄い監査主体にとって課題になると思われる。
