追加された「内部統制Q&A」の注意点SOX法コンサルタントの憂い(11)(3/4 ページ)

» 2008年08月29日 12時00分 公開
[鈴木 英夫,@IT]

電子メールは保存しなければいけないのか

【問44】識別するリスクの内容

(問44) 監査人から、経営者が識別した業務プロセスにおけるすべてのリスクを網羅的に把握していないとの指摘を受け、「リスクを識別する作業において、企業の内外の諸要因および当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか」という全社的な内部統制の評価項目についても不備があると判断され、業務プロセスの評価範囲を拡大するように指摘を受けた。

重要な虚偽記載が発生するリスクと、それを低減する内部統制を適切に識別していればよいのではないか。

(答え抜粋) リスクのうち重要な虚偽記載が発生するリスクを識別していれば、「リスクを識別する作業において、企業の内外の諸要因および当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか」という全社的な内部統制の評価項目についても、有効と判断することができると考えられる。

◆筆者の分析

やはり、ポイントとなるのは「重要な虚偽記載が発生するリスクの識別」ですね。


【問45】期末日後の重要な欠陥の是正措置

(問45) 決算・財務報告プロセスに係る内部統制のように、重要な欠陥を是正した内部統制について実際の運用状況の評価の実施時期が期末日以降であっても、当年度の財務諸表の適正性を担保する内部統制としては有効に機能する場合がある。このような場合、評価時点(期末日)における内部統制は有効であると判断してよいか。

(答え抜粋) 重要な欠陥を是正した内部統制の実際の運用状況の評価の実施時期が期末日以降であっても、当年度の財務報告の信頼性を確保する内部統制として運用の有効性を確認できた場合には、評価時点(期末日)において内部統制は有効であると判断することができる。

◆筆者の分析

そうです。決算手続きのほとんどは、期末を過ぎてから行いますから、その時点で運用の有効性が確認できればよいのです。


【問46】電子メールなどのデータの保存

(問46) 実施基準では、「ITの利用は、例えば、経営者や組織の重要な構成員などが電子メールなどを用いることにより、容易に不正を共謀することなども可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある」(実施基準I 2(6)2)とされているが、内部統制報告制度の導入に伴い電子メールなどのデータはすべて保存しなければならないのか。また、どのくらいの期間の保存が必要か。

(答え抜粋) 電子メールなどのデータについても財務報告に係る内部統制の有効性の評価手続きなどに関して作成した記録のみを保存することで足りる。

◆筆者の分析

それはそうでしょう。しかし、電子メールの当該部分をどうやって保存するのでしょうか?

プリントアウトして文書として保存するのか、データのままとしても、相当な作業量が必要になりますね。


【問54】中小規模企業における全社的な内部統制の評価

(問54) 事業規模が小規模で、比較的簡素な組織構造を有している企業などの場合には、経営者が企業全体の日常業務に広範に関与しており、内部統制の有効性に重要な役割を果たしている場合がある。この場合、監査人は、経営者が実施する全社的な内部統制の評価を検証することにより、十分な監査証拠を得ることが可能ではないか。

(答え抜粋) 1.実施基準では、全社的な内部統制と業務プロセスに係る内部統制は相互に影響し合い補完する関係にあり、組織構造が相対的に簡素な企業などの場合には、業務プロセスに係る内部統制よりも、全社的な内部統制の重要性が高くなることがあるとしている(実施基準2 3(2)3)。

2.例えば、事業規模が小規模で、比較的簡素な組織構造を有している企業などにおいては、経営者が、企業全体の日常業務に広範に関与し、適切なモニタリングを実施するなど業務プロセスに係る内部統制の有効性に重要な役割を果たしている場合がある。この際、監査人は、そうした状況を確認した上で、経営者の実施する全社的な内部統制を検証することにより、業務プロセスに係る内部統制の有効性について、十分な監査証拠を入手することが可能になる場合があると考えられる。

◆筆者の分析

今回、中小規模企業についてのQ&Aが5問追加されました。少しは、中小規模の企業の内部統制の扱いについて、配慮されていることになればよいのですが。


【問57】経営者評価におけるサンプルの利用

(問57) 実施基準では、監査人は経営者が評価において選択したサンプルを自ら選択したサンプルの一部として利用することが記載されている(実施基準III 4(2)1 a)。これは、統制上の要点として選定した内部統制の運用状況の評価手続きにおいて、サンプルの一部しか利用できないことを意図したものなのか。例えば、反復継続的に発生する定型的な取引について、経営者が無作為にサンプルを25件抽出しているような場合に、監査人は当該サンプルの24件までしか利用できず、必ず、監査人が独自に1件以上のサンプルを選択する必要があるということか。

(答え抜粋) 監査人は、経営者が評価において選択したサンプルを利用する場合において、経営者が評価において選択したサンプル以外に、必ず、別のサンプルを抽出しなければならないということはない。

◆筆者の分析

しかし、きっと本番監査では、監査人は別のサンプルを少しは要求すると思われます。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ