継続的監査と継続的モニタリングの違い：外部監査人が知るべき重要事項

この記事で理解できること

> - 継続的監査と継続的モニタリングの決定的な違いと、それぞれが監査にもたらす影響 > - ISA 330.8に基づく実証的手続きとしての継続的監査の評価方法 > - クライアントの「継続的監査システム導入」が実際に何を意味するかの判断基準 > - 継続的モニタリング環境下での内部統制評価における追加的考慮事項

基本概念：継続的監査vs継続的モニタリング

継続的監査とは

継続的監査は、監査人が設計・実行する自動化された実証的手続き。ISA 330.8に定義される実証的手続きの要件をリアルタイムまたは準リアルタイムで実行する。監査人がシステムのパラメータ設定、テスト対象母集団の定義、異常値検知の閾値設定を直接管理する。

システムが検出した例外は、監査人が直接評価し、必要に応じて追加的な監査手続きを実施する。CAATs（Computer-Assisted Audit Techniques）の発展形と考えられる。

継続的モニタリングとは

継続的モニタリングは、企業の経営者または内部統制責任者が設計した自動監視システム。業務プロセスの例外や異常値をリアルタイムで検知し、経営者に報告する仕組み。

監査人の観点からは、ISA 315.13に基づく内部統制の理解対象となる。監視統制（Monitoring Controls）の一種として評価するが、それ自体が監査証拠を提供するわけではない。

監査アプローチへの影響

継続的監査環境下での監査計画

継続的監査システムが適切に機能している場合、監査人は以下を検討できる：

実証的手続きの調整 - 継続的監査によって検出された例外に焦点を絞った詳細テスト - 母集団全体のテストから例外ベースのテストへの移行 - サンプリングリスクの軽減（ISA 530.5参照）

監査スケジュールの改善 期中に継続的監査が実行されている場合、期末での実証的手続きを削減できる可能性がある。ただしISA 330.22に基づく期末日への展開手続きは引き続き必要。

継続的モニタリング環境下での内部統制評価

継続的モニタリングシステムの存在は、内部統制の有効性評価に影響する：

統制環境の強化 経営者の内部統制に対する姿勢の表れとして、ISA 315.14の統制環境評価で考慮する。

情報システムの複雑化 継続的モニタリングシステム自体がITGC（IT全般統制）の対象となる。システムの信頼性、セキュリティ、変更管理手続きの評価が必要。

監視統制の自動化 継続的モニタリングの設定パラメータ、閾値設定の妥当性、例外処理プロセスの整備状況を評価する。

実務での判断基準

クライアントから「継続的監査システム導入」の連絡を受けた場合の判断手順：

設計者の確認

質問：「誰がこのシステムを設計し、パラメータを設定しましたか？」

- 監査人または監査人の指示による設計 → 継続的監査の可能性 - IT部門、内部監査部、経理部による設計 → 継続的モニタリングの可能性

目的の確認

質問：「このシステムの主要な出力は何ですか？」

- 監査人向けの例外レポートや分析結果 → 継続的監査 - 経営者向けのダッシュボードや内部統制報告書 → 継続的モニタリング

データアクセスの確認

質問：「監査人はこのシステムの元データに直接アクセスできますか？」

- 直接アクセス可能、生データの抽出可能 → 継続的監査の要件を満たす - システム出力のみアクセス可能 → 継続的モニタリング

統制の独立性確認

質問：「このシステムは被監査会社の内部統制から独立していますか？」

- 監査人が独立してテストを実行 → 継続的監査 - 会社の内部統制プロセスの一部 → 継続的モニタリング

実例による比較

中央電機工業株式会社（売上高127億円、製造業）

> シナリオ： 中央電機工業では2024年4月から新しい自動化システムを導入。経理部長から「継続的監査システムにより監査手続きの効率化が期待できる」と説明を受けた。システムの詳細を確認する。

継続的監査ケース

1. システム設計： 監査法人のITスペシャリストが売掛金回転期間分析、売上計上の期間帰属テスト、単価変動分析の自動実行プログラムを設計 2. データソース： 会計システムから毎日自動抽出された取引データを、監査法人のサーバーで分析 3. 異常検知： 売掛金回転期間が業界平均±20%を超過した取引先を自動抽出 4. 出力： 監査人向けに例外取引の詳細リスト、前年同期比較、業界ベンチマーク分析を月次で出力

監査調書記載内容：「継続的監査システムによる売掛金分析の結果、2024年7-9月期に異常値として検出された取引先3社について詳細テストを実施。うち1社（D社）について売掛金残高に誤謬を発見、¥1,200千の修正を実施。」

結論： ISA 330に基づく実証的手続きとして十分な監査証拠を提供。従来のサンプリングテストを削減し、例外ベースのテストに変更可能。

継続的モニタリングケース

1. システム設計： IT部門が経理プロセスの業務効率向上を目的として設計したダッシュボード 2. データソース： ERP内の売上データを経理部門が定期的に分析 3. 異常検知： 前月比売上増減が±15%を超えた製品カテゴリを経営者に報告 4. 出力： 月次経営会議用のKPIダッシュボード、売上トレンド分析、予算実績差異分析

内部統制評価調書記載内容：「継続的モニタリングシステムの評価結果、売上の期間帰属に関する自動チェック機能が適切に設定されていることを確認。ただし、システム設定の変更統制、アクセス権限管理について追加的な統制テストが必要。」

結論： 内部統制の理解として有用だが、それ自体は監査証拠を構成しない。実証的手続きは従来通り実施する必要がある。

実務チェックリスト

継続的監査システム評価時（監査計画段階）

1. システム設計の妥当性確認 - 監査人が直接関与してシステム設計を行ったか - テスト対象母集団と監査目的が整合しているか - 異常値検知の閾値設定が監査上の重要性と整合しているか

2. データの完全性・正確性確認 - 元データへの直接アクセス権限があるか - データ抽出プロセスに統制が整備されているか - バックアップ・復旧手続きが文書化されているか

3. 継続的運用の監視 - システム稼働状況の定期的な確認プロセスがあるか - 異常検知パラメータの定期見直しプロセスがあるか - システム障害時の代替手続きが定められているか

継続的モニタリング環境での内部統制評価時

4. 統制設計の有効性評価 - モニタリング対象となる統制活動が適切に識別されているか - 異常検知基準が業務リスクと整合しているか - 例外事項の調査・対応手続きが明確に定められているか

5. 統制運用の有効性評価 - モニタリング結果に対する経営者の対応実績があるか - 虚偽の異常検知（False Positive）への対応が適切か - システムログの保存・レビュープロセスが整備されているか

6. 最も重要な確認事項 継続的監査システムの有効性は、監査人自身がシステムの設計と運用に直接関与しているかで決まる。クライアント主導のシステムは継続的モニタリングとして内部統制評価の対象とする。

よくある誤解

誤解1：継続的モニタリング＝監査工数削減

現実： 継続的モニタリングシステムがあっても、ISA 330に基づく実証的手続きの実施義務は変わらない。内部統制への依拠度合いが高まる可能性はあるが、統制テストの実施は引き続き必要。

対応： クライアントには「内部統制の強化により監査効率の向上は期待できるが、実証的手続きの削減には直結しない」と説明する。

誤解2：システム導入＝継続的監査

現実： 多くの企業が導入している自動化システムは継続的モニタリングであり、監査人向けに設計された継続的監査システムではない。

対応： システム導入の連絡を受けた時点で、本記事の判断基準を用いて分類を行う。

経験のあるパートナー同士でも意見が割れる場面

あるテック系クライアントで、内部監査部が売上取引の全件自動分析システムを構築し、監査チームに結果レポートへのアクセス権を付与した。パートナーA（IT監査出身）は「元データへの直接アクセスがあり、分析ロジックを監査人がレビューできる限り、これは継続的監査の一形態として実証証拠に組み込める」と言う。パートナーB（製造業担当長）は「設計したのは内部監査部であり、監査人ではない、内部統制の一部として評価するにとどめ、実証手続きは別途実施する、これが品管の想定線」と反論する。Aは技術的実質論、Bは独立性の形式論。経験上、ここは品管の判断が揺れる領域で、事前に品管担当者と目線合わせをしておかないと、完了段階で戻される。

構造的な圧力：なぜ継続的監査と誤認しがちか

クライアントから「継続的監査を入れた」と聞いた瞬間、監査チームの頭には「工数削減の余地あり」が浮かぶ。入所3年目のインチャージには、これは強烈な誘惑だ。時間予算は厳しい、繁忙期に実証手続きの範囲を減らせるなら助かる、パートナーも削減方向に前向きなら話は早い。結果、システムの設計者・データアクセス権限・出力目的の3点を確認しないまま、監査計画書に「継続的監査による代替手続き」と書いてしまう。これが調書レビューで戻ってくる典型ルートだ。根本対応は、クライアントから自動化システムの話が出た時点で「システム評価チェックリスト」を必ず埋める運用にし、チェックリストが埋まるまで監査計画書に反映しない、というシンプルなルールだ。