立法者の意思を無視して暴走する規制当局：SOX法コンサルタントの憂い（3）（3/3 ページ）

[鈴木 英夫，＠IT]

PCAOBの2006年12月の提案からの変更事項ハイライト

　従前の「監査基準No.2」と、2006年12月に提案した「改訂基準案」（ならびに改定案に対するパブリックコメントに対応）の双方に対するPCAOBが5月に発表した変更の要旨は、以下のとおりです（カッコ内は筆者のコメントです）。

　・主たる条項とそれらに関するコンセプトを、SEC規則・ガイダンスとそろえた（そもそも、SECの規則とPCAOBの定義が異なっていたことがおかしい）。

• 大きなリスクのリスク評価の重要性を強調するため、「不正のリスク」と「不正を防止するコントロールの問題」を新基準の冒頭に置いた（それ以外のさまつなコントロールは、不要であるか、監査しない旨を明記してほしかった）。
• さまざまな種類の法人レベルのコントロールが、さまざまな影響をそれらコントロールの選択とテストに与える。例えば、ほかのコントロールのオペレーションをモニタする「法人レベルのコントロール」がある場合には、その下にあるプロセスレベルのコントロールのテストの必要性は低減されてもよい（低減では程度が不明であり、むしろ、「削除してもよい」としてほしかった）。
• 正しく行われたウォークスルーは目的を達成するためのものであって、ウォークスルーの履行が、さらにチェックリストの方法を必要とするのではない（分かったような気がするが、よく分からない）。
• 監査人は、1つの不備あるいは、ほかの不備と合わさっても「重要な欠陥」を構成しないような不備を探すために監査の範囲を広げる必要はない（ありがたい。しかし待ってください。「重要な欠陥」を構成するか、しないか分からないときには、やっぱり監査の範囲を広げるのでは？）。
• 同時に、新基準においても監査人は、発見されたすべての不備を評価し、重要な欠陥・欠陥と併せ監査委員会に報告する必要がある（すべての不備ですか。それなら軽微な不備も入るのですね？）。
• 「ほかの人の作業結果の利用」については12月提案の代わりに、PCAOBは、AU第322条（財務諸表監査における内部監査人の作業結果への配慮）を維持した。この決定の下に、新基準は、監査人が内部監査人以外の人でも、その内部統制についてのテスト、そのほかの作業結果を利用することの許諾を明記した（でも、ほかの人の作業結果に依拠するかどうかは、依然監査人の判断なのでは？）。
• 監査人をして、そのトップダウンアプローチを個別企業の状況に合わせて調整することを認めた。すなわち、アサーションを特定するために、大きな取引分野や、重要なプロセスを具体的に特定するという要件は解除された（やはり、個別企業の状況に合わせて調整するのは、監査人の判断なのです）。

　ここまで、読んでいただいた方は、相当我慢強い方です。書くのも相当“しんどい”内容でしたから……。

　なぜ、この基準が依然厳しいかといえば、それは基本的にこの基準が直接企業ではなく、監査人を縛るものだからです。従って、何事も監査人の判断になってくるので、保守傾向に走る監査人としては、必要以上に厳しい線を企業に要求することになるのですね。

Profile

鈴木 英夫（すずき ひでお）

慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。

2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、SOX法・日本版SOX法コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。

著書：「図解日本版SOX法」（同友館、共著）

近著：「日本版SOX法実践コーチ」（同友館、共著）

連絡先： ai-risk330@jttk.zaq.ne.jp

Webサイト：http://spinel3.myftp.org/hideo/ai-risk.htm

「SOX法コンサルタントの憂い」バックナンバー

• 内部統制が有効でないのはこんな理由だった
• いまさら追加された「内部統制Q&A」のポイント
• 内部統制で有用なログの活用術
• 日本版SOX法の“欠陥・不備”の直し方教えます
• 追加された「内部統制Q＆A」の注意点
• “発見的コントロール”で楽になろう！
• 「内部統制報告制度に関する11の誤解」の注意点
• 3点セットの後に何をすればよいのかが分からない
• “守り”の内部統制から“攻め”の内部統制へ
• 終章・日本版SOX法プロジェクトの進め方教えます
• 続・日本版SOX法プロジェクトの進め方教えます
• 日本版SOX法プロジェクトの進め方教えます
• 立法者の意思を無視して暴走する規制当局
• 複数の共謀者による不正をどう防ぐか？
• 内部統制の抜け穴はふさげるのか？