解説
1 担当者にとって気になる?点
ある統制が一定期間にわたり有効であることを確かめることを、「運用状況の評価手続」「運用テスト」「運用状況テスト」「統制テスト」といろいろな用語が用いられますが、以後、「運用状況テスト」と呼びます。
JSOXでの業務プロセスの統制のサンプル提供作業で、経営者評価担当者用と監査法人用に、毎年サンプルを各々(つまり2セット)採っている会社では、減らせるものなら減らしてほしいと考えているでしょう。
2 経理担当者に理解してほしい点
内部統制報告制度の特徴の一つに、自社の内部統制の有効であるか否かを、経営者自らに評価をさせる点があります。
すなわち、その評価対象となる統制上の要点を確定し共有するところまでは、経営者と監査法人の、いわば共同作業ではあります。しかし、その先の、当該統制上の要点が有効であるかどうかの検証作業は、経営者は自ら評価しますし、監査法人は、原則として自らが監査します。(そしてその結果を一体監査として財務諸表監査と共有します。)
ですので、経営者評価結果の利用は、あくまで例外で許容されている方法だという点を理解してください。
会社 | 監査法人 | ||
JSOXの経営者評価 | JSOX監査 | 財務諸表監査 | |
一体監査での原則 | 25件 | 25件 | 0件 |
経営者評価結果の利用では | 25件 | 0件 | 0件 |
これは論理的に間違い | 25件 | 0件 | 25件 |
「経営者評価結果の利用」に寄ることは例外であり、その例外である方法を採用できるためには条件があります。それは、①経営者による評価の結果が監査法人がする場合とそん色ないと判断できることと、②追加的な手続きを実施すること、の2点です。
① は、経理担当者から「難しい」「ハードルが高い」と誤解されやすい点です。
例えば、大手監査法人では、職員の貸与PCに乱数発生機能が組み込まれているサンプリングソフトをインストールして利用していますが、「それと同等なサンプリングソフトを入手して利用しない時点で、もうダメだ」と誤解してしまうかもしれません。
しかし、監査の実務上の指針上では、乱数生成による無作為抽出以外でもOKとされているため、大手監査法人以外では、そもそも乱数生成ソフトなど用いている人は非常に少数派です。
また企業側の事情でみると、実施基準上、サンプリング方法については各社の自主性に任されております(実施基準で明定なし)から、「適当にピックアップしている」という会社が殆どだと思います。
つまり上記①は、「恣意的に都合の良いサンプルを抽出していると積極的に認められない程度」であれば良く、その代り、上記②でいう「追加手続」でバランスを取ればよいと考えられているようです。
次に、上記②の追加手続は、「JSOX担当者のスキルを評価すること」と、「監査法人用の追加サンプルの収集」、の2つが条件です。
前者は過去JSOXが有効であり、その担当者が複数年、関与しているようであれば、通常問題ないと思います。
後者は、何件?どのように?どのプロセスで?どの統制で?を、監査法人が満足する方法によって取ってあげれば足ります。
一体監査に慣れていない中小監査法人の会計士の中には、「サンプルを共有することが前提」と誤解していたり、逆に、「サンプルは別々であることが前提」と誤解している人が(残念ながら)います。
この点の温度差は、大手監査法人は厳密であり、大手監査法人以外はそこまで厳密な方法論を持つところは多くないようです。
3 念のため補足する点
上記②について補足しますと、大手監査法人が会社側に求めてしまうケースでは、結局、自分たちが単独で実施するのと変わらない方法を求める内容であり、結果、会社側で断念してしまい、今もサンプルを2セット用意し続けているところもあるようです。
【経理担当者にとって】
JSOXでサンプルを共有するためには、監査法人用の追加サンプルを、なるべく負担が少なくなるように収集・提出するよう、主査と協議することが肝要です。