少しドキリとするこのタイトルは、CFO.comの記事「Poor Internal Control Tests Hurt Financial Statement Audits(2013/10/31)」のタイトルです。
このCFO.comの記事は、PCAOBが先月24日に公表した「CONSIDERATIONS FOR
AUDITS OF INTERNAL CONTROL OVER FINANCIAL REPORTING(STAFF AUDIT PRACTICE ALERT NO. 11)」というレポートに関連してコメントされたものです。内部統制監査については、米国と日本とで制度設計が異なるため直接の比較はできませんが、指摘されている内容は、日本の経営者評価の実効性と監査人による内部統制監査のあり方にも通じるものがあると思いましたので、今回は指摘されている問題の概要とトピックをご紹介します。
どのような内部統制監査の不備が問題となったのか
今回のレポート(警告)のベースになっているのは、2012年12月にPCAOBから公表された「OBSERVATIONS FROM 2010 INSPECTIONS OF DOMESTIC ANNUALLY INSPECTED FIRMS REGARDING DEFICIENCIES IN AUDITS OF INTERNAL CONTROL OVER FINANCIAL REPORTING」です。この中で指摘されていたのが、内部統制監査上の一つまたはそれ以上の不備によって、内部統制の有効性に関する意見を表明するにあたって十分に適切な証拠を入手していない、ということでした。
統合監査では、監査人はしばしば会社の内部統制に依拠して財務諸表項目の実証テストを減らすことがありますが、内部統制のテストと評価に関する不備によって、財務諸表監査における勘定科目と開示項目の不適切なテストにつながるとしています。
2012年12月のレポートの中でよく引用されている内部統制監査の重要な不備は次の6つでした。
Significant auditing deficiencies in audits of internal control that have been frequently cited in PCAOB inspection reports include failures to:
- Identify and sufficiently test controls that are intended to address the risks of material misstatement;
(重要な虚偽表示リスクに対処することを意図しているコントロールを識別し十分にテストしていない)- Sufficiently test the design and operating effectiveness of management review controls that are used to monitor the results of operations;
(業務処理結果をモニタするために使用されているマネジメントレビューのコントロールについて、整備及び運用の有効性を十分にテストしていない)- Obtain sufficient evidence to update the results of testing of controls from an interim date to the company’s year end (i.e., the roll-forward period);
(テスト結果について、それを期中のテスト日から会社の期末日まで(つまりロールフォワード期間)更新するための十分な証拠を入手していない)- Sufficiently test controls over the system-generated data and reports that support important controls;
(重要なコントロールをサポートするシステム生成データやレポートにおけるコントロールのテストを十分に実施していない)- Sufficiently perform procedures regarding the use of the work of others; and
(他のメンバーのテスト結果の利用に関する手続が十分に実行されていない)- Sufficiently evaluate identified control deficiencies.
(特定したコントロールの不備を十分に評価していない)(CONSIDERATIONS FOR
AUDITS OF INTERNAL CONTROL OVER FINANCIAL REPORTING(STAFF AUDIT PRACTICE ALERT NO. 11)P5より引用、筆者にて意訳)
具体的なトピックは7つ
今回のレポートは、PCAOBのスタッフが実施した過去3年間における財務報告に係る内部統制の監査に関連した重要な監査実務上の問題に照らして警告を発したものですが、内部統制監査の面でPCAOBの監査基準が求めている一定の要件を強調・解説しています。
上記2012年12月のレポートで発見された内部統制監査の不備に対応しますが、今回のレポートの中では、具体的に次の7つのトピックについて触れています。
- Risk assessment and the audit of internal control.
(リスク評価と内部統制監査)- Selecting controls to test.
(テスト対象コントロールの選定)- Testing management review controls.
(マネジメントによるレビューコントロールのテスト)- Information technology (“IT”) considerations, including system-generated data and reports.
(情報技術に対する考慮(システムで生成されるデータやレポートを含む))- Roll-forward of controls tested at an interim date.,br>
(期中にテストしたコントロールのロールフォワード)- Using the work of others.
(他人のテスト結果の利用)- Evaluating identified control deficiencies.
(特定された内部統制の不備の評価)(CONSIDERATIONS FOR
AUDITS OF INTERNAL CONTROL OVER FINANCIAL REPORTING(STAFF AUDIT PRACTICE ALERT NO. 11)P6より引用、筆者にて意訳)
背景になった問題について、もう少し触れておきますと、例えば「リスク評価と内部統制監査」のトピックでは、マネジメントによるレビューコントロールや発見的コントロールが、きちんと重要な虚偽表示リスクに対応するかどうかを考慮せずに、それらのコントロールに過度の重点を置いてテストをしていたり、また、重要な勘定や開示項目について、すべてのアサーションに対応したコントロールのテストを実施していなかったり、さらに、潜在的な虚偽表示の可能性について十分理解せずにテスト対象コントロールを選定したりしているという問題を受けています。
また、「情報技術に対する考慮」のトピックでは、データやレポートを生成するアプリケーションの重要な運用について、IT全般統制のテストをしていないとか、アプリケーションから抽出しレポートで使用されるクエリーやパラメータのロジックテストをしていないなどの問題点を受けています。
Auditing Standard No.5という基準そのものの解説は省略しますが、PCAOBでは、監査人は今回のレポートで警告されている事項を監査計画や実行にあたって考慮すべきであり、また、監査スタッフに対する追加的なトレーニングの要否を検討すべきである、としています。
米国では、ダイレクトレポーティングの方式をとりますので、監査人がリスクを適切に評価し、評価したリスクに対応する会社の内部統制を理解した上で、その有効性を確認するための適切なテストを実施し、内部統制監査の有効性を確保しなければなりません。
日本でも近年、不適切な開示による過年度の有価証券報告書の訂正事案における原因が、内部統制に起因しているということも少なくありません。ダイレクトレポーティングを採用しておらず制度設計は異なりますが、経営者評価の実効性と監査人による内部統制監査のあり方にも通じるものがあるような気がしたレポートでした。