SOX 101条により設立された公開会社会計監視委員会(PCAOB)が2004年3月に発表した監査基準第2号(AS2)は、外部監査人による内部統制の監査基準を制定しています。この文書には内部統制監査のプロセスや、COSO、IT全般統制、アサーション、ウォークスルー、重要な欠陥、重大な不備、文書化、フローチャート、職務記述書などといった、内部統制を勉強した方にはおなじみの言葉が出てきます。
AS2の中には「プログラム開発、プログラム変更、コンピュータ運用並びにプログラムおよびデータに対するアクセスに係るIT全般統制は、取引処理に係る特定のコントロールが有効に運用されることを保証するのに役立つ」とあります。この部分は日本国内でも引用されることが多く、後で述べるIT全般統制の重要性のアピールに一役買ってきました。
AS2は外部監査人よる監査基準であり、経営者による評価のガイダンスではありませんが、経営者が内部統制の評価として実施することの基本が書かれているため、日本版SOX法の実施基準にも大きく影響を与えています。AS2は日本公認会計士協会による和訳が無料でダウンロード可能ですので興味ある方は読んでみてください。
SOX法が米国で施行されて以来、米国の証券取引委員会(SEC)はラウンドテーブルを開き、関係各方面の意見を聞きながらSOXの運用ルールの改定を検討してきました。2007年5月、PCAOBはAS2を改定し新しい監査基準第5号(AS5)を発行しました。AS2とAS5の違いの1つは、AS5では外部監査人は経営者による内部統制評価を監査しないということです。
これにより日米の監査方式の違いが広がったことになります。外部監査人が直接、内部統制の有効性を評価することをダイレクトレポーティングといいます。これに対して、経営者の作成した内部統制評価の適正性を評価することをインダイレクトレポーティングといいます。米国ではこれまで両方やっていたのですが、日本版SOX法の実施基準では米国のダイレクトレポーティングが企業のコスト負担増の原因になったとみなし、ダイレクトレポーティングは採用しないことにしました。これに対して米国では今後はダイレクトレポーティングしか行わないということにしたのです。日米で逆になってしまいました。
提供:オービックビジネスコンサルタント
『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。