日本の内部統制評価制度は、（いまのところ）「監査｣の水準を保証することになっている。
監査である以上、内部統制が｢適正・有効」であるという結論に達するまでに監査人は意見表明するに足る心証を得るために監査手続によってそれなりの監査証拠を得なければならない。
内部統制が｢適正･有効」であるということは、「財務情報の重大な虚偽表示をもたらす可能性のある重要な脆弱性がない」ことを意味するのだが、そもそも日本の・・・というより世界的にもそうだろうが・・・財務情報の重大な虚偽表示の基準は定められていない。というのも、監査が無謬つまり絶対的水準の保証ではなく、あくまでも利用者が投資意思決定にあたって財務情報を利用する際に企業実態を誤解するか否かという合理的水準での保証を求めているからだ。
ケースバイケースの判断事象をあらかじめ一つの割り切った条件で決められるほど企業活動は割り切れる代物ではない。会計基準がしばしば変わるのも、多様多態な企業活動をいかに一意に数値で表現することが難しいかを物語っている。
そもそも重大な虚偽表示の基準が分からないところで、その虚偽表示が発生する重要な脆弱性がないと言うことは論理的には困難だ。だから、財務諸表監査と内部統制監査は同一の監査人が同一の水準を設定して実施するのだというのは、趣旨として理解できるが、判断基準がないところで自分で基準を決めて判断しろというのは、制度が社会的な利害調整を図るという責任を放棄している。これは根源的問題である（問題点１）。
日本の基準がダイレクトレポーティングを採用しないとしても、｢経営者による内部統制評価は適正である」という以上は、間接的に企業側の評価行為に対して圧力を加えざるを得なくなる。まして企業側と監査人は監査範囲等についてしっかりと協議しなければならないというおせっかいまで言われれば、なおさらだ。相互協議によって「それでいいといった」と言われないためにもなるべく監査範囲を広くカバーしようという態度になり、結局は企業の膨大な作業に繋がってしまう。経営者の評価が適正であると言えるためには、監査人は、経営者評価の結果として重要な虚偽表示が発生しないと言い切れる必要がある。それは行き着くところしては、経営者の判断を尊重しつつも最終的には監査人が満足するだけの手続水準を、企業の内部監査部門が確保するという前提があり、経営責任であるところの内部統制の構築に、外部監査人が責任を負うことになってしまう（問題点２）。
仮にある水準で重大な虚偽表示とされる線引きがなされるとして、内部統制の重大な脆弱性がないと言えるのであれば、その上なぜ会計監査が必要なのかという素朴な疑問にぶつかる。
逆に内部統制が適正･有効であってもなお重大な虚偽表示リスクがあると想定されるのであれば、監査制度が自己矛盾を内包することになる。他方、内部統制が部分的にでも有効でなければ監査人はテスト範囲を拡大してまでも財務諸表に対する意見を表明する努力をしなければならない。結果的に十分な証拠が得られなければ意見不表明という選択肢も用意されているが、そもそも経営者の責任である内部統制に重大な脆弱性があると判断された時点で、監査人は財務諸表監査の前提が崩壊しているとして意見を表明すべきではないはずだ（問題点３）。
そういった原則が曖昧なまま制度が構築され、問題が発生すれば｢結果責任」と称して、粉飾だ、罰則だ、懲役だと騒がれては、責任を負わされる側である企業経営者と監査人は相互に保守的にならざるを得ない。それが米国で問題となった膨大な（非生産的）文書化作業と枝葉末節な領域をカバーする監査手続の拡大へと繋がったのである。
日本の基準は米国と比べて｢効率的」と（基準を作った人たちは）言うが、米国で起こった多大なコストを強いた問題の根源はダイレクトレポーティングをやるとかやらないといった制度設計の問題ではなく、もともと白と黒の境界がハッキリしないものをハッキリさせろというときにその線引きが明確に示されないまま制度を導入してしまったところにある。だから米国基準PCAOB#2はそういった曖昧さを排除する形で修正更新され、経営者評価を監査するという意味のない過程は排除され、ダイレクトレポートに収斂されようとしている。
米国の失敗の教訓は、日本では残念ながら活かされないのだろうか・・・。