OBSERVATIONS FROM 2010 INSPECTIONS

先週アナウンス されていました内部統制監査にかかる不備に関するレポートが12/10付でPCAOBより発行されました。

OBSERVATIONS FROM 2010 INSPECTIONS OF DOMESTIC ANNUALLY INSPECTED FIRMS REGARDING DEFICIENCIES IN AUDITS OF INTERNAL CONTROL OVER FINANCIAL REPORTING


主な不備の内容とその根本的な原因がは以下のように挙げられています。


PCAOB finds common threads in ICFR audit deficiencies (JofA)


The most commonly identified deficiencies named in the report were firms’ failures to:

  • Identify and test controls that are intended to address the risks of material misstatement.
  • Sufficiently test the design and operating effectiveness of management review controls that are used to monitor the results of operations, such as:
    • Monthly comparisons of budget and actual results to forecasts for revenues and expenses.
    • Comparisons of other metrics, such as profit margins and certain expenses as a percentage of sales.
    • Quarterly balance sheet reviews.
  • Obtain sufficient evidence to update the results of testing of controls from an interim date to the company’s year end (the roll-forward period).
  • Sufficiently test the system-generated data and reports that support important controls.
  • Sufficiently perform procedures regarding the use of the work of others.
  • Sufficiently evaluate identified control deficiencies and consider their effect on both the financial statement audit and the audit of internal control.

Potential root causes of the deficiencies described in the report included:

  • Improper application of the top-down approach to the audit of internal control as required by AS No. 5.
  • Decreases in audit firm staffing through attrition or other reductions, and related workload pressures.
  • Insufficient firm training and guidance, including examples of how to apply PCAOB standards and the firm’s methodology.
  • Ineffective communication with the firm’s information system specialists on the engagement team.

内部統制監査のあらゆる手続きが不備ですやんと突っ込みを入れたくなります。

しかしながら、手続き自体はしていても明確に調書化されていないために指摘されてしまうというケースも多いそうです。AS3 により、調書化されていないものはやっていないとほとんど同義となってしまいますので。

何とか画一的な運用ではなく、頭を使って少しでも楽に意義ある対応をしたいと日々心がけたいものです。適当に会社が保守的にとか言ってRCMに書いているものを全部コントロールとみなして検討しにかかると実は整備途上のものであったり単なる業務に過ぎないものであったり管理行為とは呼べないものもあるというケースがありますので、テストする項目は会社の実態に即してよく考えないといけません。

また、去年もやっていたからと意図をもたずテストしていくと、「Sufficiently test the system-generated data and reports that support important controls」に引っ掛かります。そうして帳票の検討を始めだすとレポート本文にもありますが実は全般統制を検討する必要があるなど次々と工数が増えていくのです。


しかし、一方で改めて色々な帳票がいかなる過程で生成されるのか知ると、意外に侮れないリスクが潜んでいてさすが検査機関、鋭い指摘だなあとも思います。

ただし、監査人ばかり指摘されているように見受けられますが、被監査会社も内部統制の有効性を報告をするにあたり自社のコントロールの有効性を評価しないといけないわけですが、上記のような視点はあるのでしょうか。ある程度近いものはあるはずです。

management review controls は財務報告目的で行われているのでしょうか。

また、システムと帳票の関係は把握できているのでしょうか。


経営者と監査人では心証を得るために行う手続きが異なるというのはわかるのですが、その乖離を理解してもらうことや、我々監査人は必要と思って手続きをしているということをしっかり伝えないとクライアントはなかなか協力してくれません。新しい手続き増えるわけですから、お互いいやなわけです。会社と目線を合わせて独りよがりな監査にならないよう現場で奮闘するのですが、なんとかならないものでしょうかねえ。

それにしてもレポート原文のひどいこと、ボロクソ書かれており、憤りすら感じてきます。

しかしやはり意地になってこのような指摘事項をチェックリスト化して責任逃れに走るのは結局遠回りに思います。
会社の実態をよく理解し、それを踏まえたリスク評価と対応さえしていれば自ずとこの程度の事項は満たされると信じたいです。
無理に文書化したり嘘書いたりするなら、それは重要でないと自信をもって言い切ることです。重要かどうかわからないことが多いので内部統制の検討は中途半端になることがあるのです。
エクセルでちまちま文字数を増やすよりも会社の人と触れ合い、会社を知ることが近道になるはずです。そう信じて誰がなんと言おうと私は形式的な対応に走るまいと誓ったのでした。