（監査編） 「情報の不足分はPCAOBなど他の指針で補うべき」と深見公認会計士

　金融庁が11月21日に公表した内部統制の整備・評価・監査の実務的なガイドラインである「実施基準」（公開草案）は、(1)「内部統制の基本的枠組み」、(2)「財務報告に係る内部統制の評価及び報告」、(3)「財務報告に係る内部統制の監査」という3つの文書から成る。このうち(1)、(2)の内容については、11月8日に公表された草案（第14回内部統制部会 資料）の段階で詳報した（ついに公開されたJ-SOX「実施基準案」の中身とは（前編）、（後編））。

　今回は公開草案の(3)「財務報告に係る内部統制の監査」を取り上げ、本誌連載でおなじみの公認会計士である深見浩一郎氏のコメントを紹介するとともに、「ITを利用した内部統制」に関する部分について、その概要とエッセンスを紹介する。“監査編”は、監査を実施する側だけでなく、監査を受ける側の企業にとっても極めて重要な資料である。監査がどこに重点をおき、どのように行われるかを知ることは、企業が的確に内部統制を整備・評価するうえで不可欠だからだ。

　当初から予想されたことだが、米国SOX法（企業改革法）に基づく外部監視機関であるPCAOB（公開企業会計監視委員会）の「監査基準2号」（財務諸表の監査に関して実施した財務報告に関する内部統制の監査）と比べると、解説の分量にかなりの開きがある（監査基準2号は約300ページ）。その監査基準2号は、事業上のリスクをベースにバランスの取れた内部統制の構築を図るという考え方、いわゆる「トップダウン・リスクアプローチ」（「内部統制監査」対策の基本 第2回「米国SOX法への反省と最新の動向」を参照）へ対応するために、近く改訂される予定である。

　内部統制監査に関して、実施基準（公開草案）の説明だけで不足を感じる場合には、改訂部分も含めて監査基準2号の内容に留意すべきである。また、今後パブリックコメントを受けて実施基準が確定した後で、監査部分については日本公認会計士協会から実務指針が策定される予定である。この実務指針の内容にも注目すべきだろう。

　日本では “インダイレクト”の内部統制監査(注)が採用されているが、一定以上の保証水準が求められことから、監査主体にそれなりの習熟が期待される内容である。また、従来の財務諸表監査との連携が強く求められており、内部統制監査導入による一方的な監査執務時間の増加を抑制する内容となっている。

　このほか、実施基準（公開草案）全体の特徴でもあるが、「財務報告に係る内部統制の監査」においてもITに関する言及が比較的目立つ。その内容は、「COBIT for SOX」（ITガバナンスを確立するためのフレームワークである「COBIT」で規定されたプロセスや統制項目のうち、米国SOX法に関連するものを抽出したもの）との関連性がうかがえる。この点は、ITそのものへのなじみが薄い監査主体にとって課題になると思われる。

(注)『財務報告に係る内部統制の監査』の「1.内部統制監査の目的」では“インダイレクト”の内部統制監査について、「内部統制監査においては、内部統制の有効性の評価結果という経営者の主張を前提に、これに対する監査人の意見を表明するものであり、経営者の内部統制の有効性の評価結果という主張と関係なく、監査人が直接、内部統制の整備及び運用状況を検証するという形はとっていない。米国では、以上のような内部統制監査とともに、直接報告業務(ダイレクト・レポーティング)が併用されているが、我が国においては、直接報告業務を実施しない」と説明している。