「内部統制報告制度に関する11の誤解」の注意点：SOX法コンサルタントの憂い（9）（1/3 ページ）

金融庁は、3月11日に「内部統制報告制度に関する11の誤解」を発表したが、実情はどうなのだろうか。SOX法コンサルタントである筆者から見た現実とのギャップを解説する。

[鈴木 英夫，＠IT]

　去る3月11日に金融庁は、「内部統制報告制度に関する11の誤解」という文書を公表した。ちまたでは「いまごろ出したって、遅いよ」といわれているが、今回はこれを検討してみよう。

　枠の中は、金融庁が発表した内容。枠外は筆者のコメントである。

金融庁が発表した「11の誤解」で注意すべき点

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　トップダウン型のリスク・アプローチについては、米国の監督当局であるPCAOB（Public Company Accounting Oversight Board：公開会社会計監視委員会）が、2005年に発表したプレスリリースですでに指摘しており、また2007年実施されたAS5（Audit Standard No.5）にも明記されている。

　であるから、日本と米国の基本姿勢は同じであるが、日本では「評価する範囲の絞り込みが明示されているところ」が唯一の違いか。実施基準によれば、

A）全社的な内部統制については、原則として、すべての事業拠点について評価する。ただし、影響の重要性が僅少（きんしょう）（例えば5％）である事業拠点については例外あり。

B）業務プロセスに係る内部統制については、評価対象とする事業拠点を売上高などの重要性により決定する。例えば、連結ベースの売上高などの一定割合（おおむね2/3）とする。

C）Bで選定した事業拠点における、企業の事業目的に大きくかかわる勘定科目（例えば、一般的な事業会社の場合、原則として、売り上げ、売掛金および棚卸資産）に至る業務プロセスは、原則としてすべてを評価の対象とする。

としている。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　文書化の段階では、最低限RCM（Risk Control Matrix）は作らねばならない。なお、有効性の評価の段階で、評価のテスト記述書（一般には実施監査報告書と呼ばれる）は、絶対に必要となるので注意してほしい。これがないと、監査法人による監査も受けることができない。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　1.の部分で解説した通りである。