米国SOX法では、内部統制の監査基準としてPCAOB(Public Company Accounting Oversight Board、上場会社会計監視委員会)の監査基準書第2号があり、その中に「少なくとも「重要な不備」(Significant Deficiency)とみなさなければならない状況」というのが書かれている由(140項)。
「重要な不備」とは何なのか。原文を少し引用してみる。
The internal audit function or the risk assessment function is ineffective at a company for which such a function needs to be effective for the company to have an effective monitoring or risk assessment component, such as for very large or highly complex companies.
(PCAOB Auditing Standard No. 2 p191〜192)
拙い英語力で翻訳してみると、
非常に規模が大きい、または高度に複雑な企業のように、有効な内部監査ないしリスク評価部門を持つべき企業であって、その内部監査ないしリスク評価機能が有効であることが求められる企業において、それらの内部監査ないしリスク評価機能が有効でない(状況)
要するに、大企業においては有効な内部監査部門やリスク評価部門を設置するとともに、それらを有効に機能させることが求められており、その機能が有効でない場合は内部統制の「重要な不備」とみなさなければならない、ということになる。
しかし、これでは何の判断基準も示したことにならない。有効でない場合は重要な不備があるというのは、同義反復、トートロジー以外の何者でもない。循環参照が解決されていません。
来るべき?日本版SOX法でも、同様の監査基準が導入されるのだろうか。何をどこまでやればよいかを決めない(「重要な不備」のある?)ルールは、役に立たないばかりか、現場を混乱させるだけであり、やめてもらいたい。以上。
