最近、地方都市の上場企業様に対する内部統制構築支援を行っている際に直面する課題があります。
それは、‘監査法人内での地方格差(個人格差)’という問題です。
内部統制システムを構築する場合、まず行わなければならないことに、評価範囲の決定というプロセスがあります。これは、①全社的な内部統制の評価範囲、②重要な拠点の選定、③評価対象とする業務プロセスの特定、という3つの要素を定量・定性評価により明確にするものですが、このように評価手順や基準が実施基準等に示されているものは、どこの監査法人も大きな見解の相違はなくスムーズに進んでいきます。 しかし、内部統制システムの構築論(整備)になると、そうはいかない現実が見えてきます。しかも、同じ監査法人の中でも東京と各地方都市間による見解の相違、あるいは監査人個人間による見解の相違によって、異なる方針と手続きを展開する監査法人が実在しており、お客様の中で混乱が生じています。
そこで、今回は、その代表的な事例を紹介します。
1.リスクの識別(特定)の方法
A監査人: | リスクの識別は、当法人が予め用意しているリスクを使用し、該当しないリスクがある場合、除外の理由を明確に記載してください。 |
B監査人: | リスクは、プロセスアプローチによって、企業特有リスクを識別してください。当法人が用意したリスクは、あくまでも参考として使ってください。 |
上記のそれぞれの指示に従ってリスクの識別を含む3点セットを構築した場合、作業工数が大幅に違ってくることは開始段階から容易に想像がつきます。
2.キーコントロールの考え方
A監査人: | キーコントロールは、1つのリスクに必ず一つ設定してください。つまり、リスクの数だけキーコントロールを策定する必要があります。 |
B監査人: | キーコントロールとは、そのリスクを統制する上で一番効果的である統制、または、そのリスクを最終的に抑えることのできる統制であるため、一つの業務プロセスに最低1つ以上なければなりません。 |
この場合も、それぞれの指示に従って3点セットを構築した場合、作業工数が大幅に違ってくることはもちろん、内部統制監査の工数増大、キーコントロールにおける監査証拠の収集に大きな時間的差異が生じます。
このように、同じ監査法人の中でも東京と各地方都市、あるいは監査人個人によって見解が違うということは、3点セットの作り直しや後戻り作業の原因になるのみならず、内部統制システムの有効性と効率性に大きく影響するものと考えます。今回紹介した事例以外にも、全社統制評価の方法、IT統制の構築手順、サンプリングにおける考え方、EUCの管理方法、内部監査人の独立性担保の条件など、内部統制システムを構築する上で極めて重要なテーマが数多くあり、各監査法人は、監査人各人の個人的な意見ではなく、法人としての見解をしっかり確認することが重要です。