評価範囲の選定プロセスに潜む落とし穴J-SOX法対策の死角となるか? IT統制の標的 第3回

内部統制が有効であるためには、その評価範囲を選定するのに知っておかなければならないことがある。安易に考えて臨むと、泣きを見ることになりそうだ――。

» 2006年12月06日 07時00分 公開
[アイティセレクト編集部]

財務諸表の及ぶ範囲とは微妙に違う

 内部統制の評価範囲を選定するのは、当該会社自身である。その範囲決定に当たっては、内部統制報告書に「財務報告に係る内部統制は有効」と書くことを求められるという前提条件をよく理解しておく必要がある。そして、内部統制の対象になるのが上場企業で、連結ベースとなることも覚えておきたい。つまり、監査されるのは連結財務諸表であるということである(12月1日の記事参照)。

評価範囲の決定と財務諸表監査の概要図

 連結財務諸表監査の範囲というのは従来、監査法人が会計監査の中で評価していた内部統制の対象範囲。つまり、監査法人は以前から、内部統制を伝統的に監査している。そこには、上図内でブルーで示したように、さまざまある業務プロセスのうち当該会社が内部統制の評価対象として選ばなかった業務――つまり、決算・財務報告にほとんどかかわりがないと当該会社が判断した業務――が生まれる可能性がある。「監査法人は見ているが、当該会社自身が見ていない部分がある」(監査法人トーマツのトーマツ企業リスク研究所所長、久保惠一氏)ことになるのだ。この部分がどういった業務プロセスか、そして多いか少ないかといったことは、非常に重要なカギを握ることになる。

評価範囲の対象としなかった部分に注意

 というのは、当該会社は当然、選定した、上図のオレンジ部分しか評価をしないからだ。従って、監査法人が内部統制監査で適正かどうかを判断する範囲もオレンジ部分のみとなる。当該会社が評価をしなかったブルー部分については、適正かどうかを判断することはできないのだ。そうすると、仮に決算書などに間違いが認められ、その原因がブルー部分の業務プロセスにあった場合、当該会社はその業務プロセスを対象範囲としていなかったことが指摘され、内部統制が有効に働いていないと判断されることになる。

 当該会社はもともと、リスクが高い部分を評価しなければならないことになっている。そのため、評価範囲の選定には慎重に対応し、ブルー部分をどれだけ少なくするかということを考える必要がある。

 そのほかに上図から判断できる注意すべき点は、財務諸表監査の対象になっていない大株主の状況が、当該会社自身が選ぶ評価範囲の対象になっていること。また、外部委託(アウトソーシング)先の業務プロセスは、連結財務諸表監査の範囲で、委託元となる当該会社自身が選ぶ評価範囲内にあるということがある。

 評価範囲の対象の選定を甘く見ると、泣きを見ることになるといってもいい。その選定の際には、後の祭りとならないように慎重に臨む必要があるということだろう(「月刊アイティセレクト」1月号の特集「J-SOX対策の死角となるか? IT統制の標的」より)。

*本稿では、内部統制を日本版SOX(J-SOX)法により課される部分を中心として考える。2006年5月施行の会社法や各金融商品取引所(現行の証券取引所)が定める規則(上場基準など)に従う部分は基本的に考慮に入れていない。ちなみに、J-SOX法とは6月に公布された「金融商品取引法」の一部を指す(12月1日の記事参照)。

*本稿は、可能な限り最新情報を盛り込んでいるものの、基本的に2006年11月15日時点の情報に基づく。


※ 「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」の「U財務報告に係る内部統制の評価及び報告」から引用。

Copyright© 2010 ITmedia, Inc. All Rights Reserved.

注目のテーマ