内部統制、ちゃんと監査できていますか?【監査ガチ勢向け】
外部検査が厳しくて対応するのがたいへん、そう思いますよね? CPAAOBに輪をかけてたいへんなのがアメリカにいますよ。PCAOBと言います。
監査法人で30年強、うち17年をパートナーとして勤めた「てりたま」です。
このnoteを開いていただき、ありがとうございます。
日本のCPAAOBは公認会計士・監査審査会。アメリカはPublic Company Accounting Oversight Board(公開会社会計監督委員会)、略してPCAOB。どちらも監査法人の検査をしていますが、違うところもあります。
公認会計士・監査審査会(CPAAOB)と
— てりたま|元大手監査法人パートナー|会計士の新しい生き方を見つける (@teritamadozo) August 26, 2023
米Public Company Accounting Oversight Board(PCAOB)
どこが違うか、ざっくり比較。 pic.twitter.com/Gyc1rK4dBb
この中でPCAOBは「監査基準の設定」を握っているのは大きい。「その監査基準は、そう読むんじゃないんですよw」と基準の作成者に言われたら対抗できません。
さて、「PCAOBなんて関係ないし」と思いながら離脱せずにここまで読んでいただいた、あなた。本題はPCAOBではないので安心してください。
PCAOBが厳しいと言われる最大の理由は、内部統制の手続に求める水準にあります。
US SOXとJ-SOXの違い? いや、経営者評価の基準も内部統制監査の基準も、文言上は日米で大きく違っているわけではありません。
ダイレクトレポーティングかそうでないかも、現場感覚としてはたいした違いにはならないと思っています。
端的に言うと、徹底度合いの違いです。
今回のてりたまnoteでは、内部統制のデザインの評価を取り上げて、フルスイングしたときの内部統制の手続とはどのようなものか、見ていきます。
一個の内部統制のデザインを評価するために
デザインの評価の全体は議論できないので、4つの点を取り上げてさわりをご紹介します。
リスクに対応しているか
その内部統制は、重要な虚偽表示のリスクに対応しているのか。
当たり前すぎて、論点なんてないと思いますよね? これが意外と深い問いなんです。
「対応していない」ケースを見てみましょう。
取引の全部に対応していない
(例:直送売上には対応していない)そのアサーションに対応していない
(例:網羅性なのに実在性をチェックしている)深度が不足している
(例:サンプルベースでのみチェックしている)
「『アサーションに対応していない』なんてことがあるのか?」と思われたかもしれません。
一つの内部統制に複数のリスク、それも異なるアサーションのものがひもつけられていることはないですか? 網羅性と実在性や、早期計上と遅延計上など、性質の異なるリスク/アサーションの場合は、本当に両方に対応しているのか、よく見ておく方がよいですよ。
企業作成情報(IPE)は正確で網羅的か
内部統制にIPEが利用される場合、その信頼性(正確性と網羅性)が担保されている必要があります。
PCAOB基準でなければ、監査人が実証手続によって信頼性を直接確かめることも認められています。(と、私は理解していますが、監査法人によって取り扱いが違っていたらすみません)
PCAOB基準では、信頼性を担保する内部統制を会社が整備、運用していなければ不備になります。
このIPE、監査人が直接検証するのも結構厄介ですよね。特に網羅性。
IPEを作成するためのインプットがデータだったり、IPEがデータそのものだったりすると、そのデータは網羅的なのか。データのインプットに使った伝票があるかもしれませんが、伝票の束は網羅的なのか。こうしてIPE無間地獄におちいります。
監査でよく問題になる企業作成情報(IPE)。確かに、クライアントが提供したデータや書類を確かめもせずに使ってだまされていたら、言い訳できない。
— てりたま|元大手監査法人パートナー|会計士の新しい生き方を見つける (@teritamadozo) August 25, 2023
しかし、まじめにIPEを検証すると、その先に新たなIPEが発見されることがある。さらにその先にも… これがIPE無間地獄。
PCAOB基準では、その次々登場するIPEのそれぞれについて内部統制が整備、運用されていないといけないので、会社も監査人もたいへんです。
ただ、経営者が「当社の内部統制は大丈夫です」と表明し、監査人が「財務報告にかかる重要な内部統制は全部見ました」と言うのであれば、本来はIPEの内部統制も見ておかないといけないようにも思います。
統制実施者の能力と具体的な統制の内容
この道25年、役員になって5年、今の役職で丸2年、そんな人が承認していたら、ちゃんとやってるんだろうし、能力も十分だと思いますよね?
先日の私の発信です。(恥をさらしています)
監査法人で部門長をやっていたとき、有給休暇申請の承認をしていました。当時は紙の申請書の束が回付され、一枚一枚めくりながら承認印を押します。
— てりたま|元大手監査法人パートナー|会計士の新しい生き方を見つける (@teritamadozo) November 6, 2023
白状しますと、この承認、何のためにやっているのか分かっていませんでした。
この体験があるので「承認する」という内部統制は疑ってかかっています。
内部統制の中には、右の数字と左の数字が合っていればOK、しかも合わないことはほぼない、という難易度の低いものもあります。
逆に、能力が高い人が、十分な情報を持ち、しかも頭が相当さえていないとできないような内部統制もあります。一部の「承認」は、とても高度な能力を必要とします。
内部統制のデザインを評価するときには、こんな質問をしないといけません。(「承認」を例に挙げています)
承認するためにどんな情報が必要なのか
使用する資料のどこをどのように見ているのか
承認するか否かを決める判断軸(金額基準など)は何か
承認しなかったことはあるか、それはどんな場合か
回付された資料では承認できず、追加の情報を問い合わせたことはあるか、それはどんな場合か
内部統制の難易度が高いほど、これらを深く掘っていきます。
当時の私がこんな質問を受けたら、ひとたまりもありませんでした。
実際、不正が発生したあとで、不正取引を承認してしまった上司に話を聞くと、ちゃんと見ていなかった、ということが何度もありました。「あの人はノールックパスで有名だった」(何も見ずに承認するという評判だった)とあとで分かることもあります。
取引の枝分かれ
会社のプロセスは複雑です。フローの中で枝分かれするポイントがたくさんある上に、客先依頼による条件の変更、特急対応、休日対応、処理誤りの対応、承認者不在時の対応……
全部は見てられないですが、間違いの多くはメインのフローとは違うところで起こりますし、そこを突いて行われる不正が多いのも事実。
PCAOBの検査官は、そんなことは百も承知で、監査人が識別した内部統制がどこまでカバーしているのか、それを監査人はどこまで検証できているのかを詰めてきます。
PCAOB検査官の頭の中
どの検査でも、指摘を受けそうになると、ほかの手続も含めて全体としては十分な手続ができたと主張しますよね? 柔道のように「あわせて一本」を狙います。
ところがPCAOB検査では合格点未満は零点と一緒。零点をいくつ集めても零点です。
内部統制が零点になると、内部統制に依拠する実証手続は不十分ということになってしまいます。よって、内部統制と一緒に実証手続も巻き込まれてアウト。これを「一粒で二度おいしい」ならぬ「一粒で二度苦い」と呼んでいます。(プロモーションではないですよ!)
普通は実施する手続が何らかの理由で実施できない場合、どれだけ雄弁に窮状を訴えても、検査官からこんな反応が返ってきます。
なるほど、それでこの手続はできないんですね。よく分かりました。
ただ、そのままでは監査基準が求める検証水準を達成していないことになりますよね? 達成していると判断されたのであれば、その過程を教えてください。
"Please walk me through your thought process."(あなたの判断した過程を教えてください)
すでに苦境にある心にとどめを刺す一言です。
おわりに
たった一個の内部統制の調書が何十ページにもなったりして、PCAOB基準はなかなかたいへんです。
ただこれを経験すると、一つの内部統制を「有効」と判断することの難しさや重みも理解できるようになります。
ここに書いたことの一部は、日本基準でも「当たり前にやってるよ」と思う方もいらっしゃるかもしれません。しかしこの全部をすべての内部統制に、となると実務的にはなかなか難しいと思います。
内部統制についても、いろいろ悩みながら手続を実施されていると思います。今回のてりたまnoteが何かのヒントになれば幸いです。
最後までお読みいただき、ありがとうございます。
この投稿へのご意見を下のコメント欄またはTwitter(@teritamadozo)でいただけると幸いです。
これからもおつきあいのほど、よろしくお願いいたします。
てりたま
この記事が気に入ったらサポートをしてみませんか?