この記事で理解できること

継続的監査継続的モニタリングの決定的な違いと、それぞれが監査にもたらす影響
ISA 330.8に基づく実証的手続きとしての継続的監査の評価方法
クライアントの「継続的監査システム導入」が実際に何を意味するかの判断基準
継続的モニタリング環境下での内部統制評価における追加的考慮事項

目次

基本概念:継続的監査vs継続的モニタリング

継続的監査とは


継続的監査は、監査人が設計・実行する自動化された実証的手続き。ISA 330.8に定義される実証的手続きの要件をリアルタイムまたは準リアルタイムで実行する。監査人がシステムのパラメータ設定、テスト対象母集団の定義、異常値検知の閾値設定を直接管理する。
システムが検出した例外は、監査人が直接評価し、必要に応じて追加的な監査手続きを実施する。CAATs(Computer-Assisted Audit Techniques)の発展形と考えられる。

継続的モニタリングとは


継続的モニタリングは、企業の経営者または内部統制責任者が設計した自動監視システム。業務プロセスの例外や異常値をリアルタイムで検知し、経営者に報告する仕組み。
監査人の観点からは、ISA 315.13に基づく内部統制の理解対象となる。監視統制(Monitoring Controls)の一種として評価するが、それ自体が監査証拠を提供するわけではない。

監査アプローチへの影響

継続的監査環境下での監査計画


継続的監査システムが適切に機能している場合、監査人は以下を検討できる:
実証的手続きの調整
監査スケジュールの改善
期中に継続的監査が実行されている場合、期末での実証的手続きを削減できる可能性がある。ただしISA 330.22に基づく期末日への展開手続きは引き続き必要。

継続的モニタリング環境下での内部統制評価


継続的モニタリングシステムの存在は、内部統制の有効性評価に影響する:
統制環境の強化
経営者の内部統制に対する姿勢の表れとして、ISA 315.14の統制環境評価で考慮する。
情報システムの複雑化
継続的モニタリングシステム自体がITGC(IT全般統制)の対象となる。システムの信頼性、セキュリティ、変更管理手続きの評価が必要。
監視統制の自動化
継続的モニタリングの設定パラメータ、閾値設定の妥当性、例外処理プロセスの整備状況を評価する。

  • 継続的監査によって検出された例外に焦点を絞った詳細テスト
  • 母集団全体のテストから例外ベースのテストへの移行
  • サンプリングリスクの軽減(ISA 530.5参照)
  • ISA 330.14に基づく統制テストとの組み合わせ評価。たとえば売掛金の網羅性テストを継続的監査で実行しつつ、期末の実在性確認は従来通り確認状で実施する混合アプローチ

実務での判断基準

クライアントから「継続的監査システム導入」の連絡を受けた場合の判断手順:

ステップ1:設計者の確認


質問:「誰がこのシステムを設計し、パラメータを設定しましたか?」

ステップ2:目的の確認


質問:「このシステムの主要な出力は何ですか?」

ステップ3:データアクセスの確認


質問:「監査人はこのシステムの元データに直接アクセスできますか?」

ステップ4:統制の独立性確認


質問:「このシステムは被監査会社の内部統制から独立していますか?」

  • 監査人または監査人の指示による設計 → 継続的監査の可能性
  • IT部門、内部監査部、経理部による設計 → 継続的モニタリングの可能性
  • 監査人向けの例外レポートや分析結果 → 継続的監査
  • 経営者向けのダッシュボードや内部統制報告書 → 継続的モニタリング
  • 直接アクセス可能、生データの抽出可能 → 継続的監査の要件を満たす
  • システム出力のみアクセス可能 → 継続的モニタリング
  • 監査人が独立してテストを実行 → 継続的監査
  • 会社の内部統制プロセスの一部 → 継続的モニタリング

実例による比較

中央電機工業株式会社(売上高127億円、製造業)


> シナリオ: 中央電機工業では2024年4月から新しい自動化システムを導入。経理部長から「継続的監査システムにより監査手続きの効率化が期待できる」と説明を受けた。システムの詳細を確認する。

継続的監査ケース


監査調書記載内容:「継続的監査システムによる売掛金分析の結果、2024年7-9月期に異常値として検出された取引先3社について詳細テストを実施。うち1社(D社)について売掛金残高に誤謬を発見、¥1,200千の修正を実施。」
結論: ISA 330に基づく実証的手続きとして十分な監査証拠を提供。従来のサンプリングテストを削減し、例外ベースのテストに変更可能。

継続的モニタリングケース


内部統制評価調書記載内容:「継続的モニタリングシステムの評価結果、売上の期間帰属に関する自動チェック機能が適切に設定されていることを確認。ただし、システム設定の変更統制、アクセス権限管理について追加的な統制テストが必要。」
結論: 内部統制の理解として有用だが、それ自体は監査証拠を構成しない。実証的手続きは従来通り実施する必要がある。

  • システム設計: 監査法人のITスペシャリストが売掛金回転期間分析、売上計上の期間帰属テスト、単価変動分析の自動実行プログラムを設計
  • データソース: 会計システムから毎日自動抽出された取引データを、監査法人のサーバーで分析
  • 異常検知: 売掛金回転期間が業界平均±20%を超過した取引先を自動抽出
  • 出力: 監査人向けに例外取引の詳細リスト、前年同期比較、業界ベンチマーク分析を月次で出力
  • システム設計: IT部門が経理プロセスの業務効率向上を目的として設計したダッシュボード
  • データソース: ERP内の売上データを経理部門が定期的に分析
  • 異常検知: 前月比売上増減が±15%を超えた製品カテゴリを経営者に報告
  • 出力: 月次経営会議用のKPIダッシュボード、売上トレンド分析、予算実績差異分析

実務チェックリスト

継続的監査システム評価時(監査計画段階)

継続的モニタリング環境での内部統制評価時

  • システム設計の妥当性確認
  • 監査人が直接関与してシステム設計を行ったか
  • テスト対象母集団と監査目的が整合しているか
  • 異常値検知の閾値設定が監査上の重要性と整合しているか
  • データの完全性・正確性確認
  • 元データへの直接アクセス権限があるか
  • データ抽出プロセスに統制が整備されているか
  • バックアップ・復旧手続きが文書化されているか
  • 継続的運用の監視
  • システム稼働状況の定期的な確認プロセスがあるか
  • 異常検知パラメータの定期見直しプロセスがあるか
  • システム障害時の代替手続きが定められているか
  • 統制設計の有効性評価
  • モニタリング対象となる統制活動が適切に識別されているか
  • 異常検知基準が業務リスクと整合しているか
  • 例外事項の調査・対応手続きが明確に定められているか
  • 統制運用の有効性評価
  • モニタリング結果に対する経営者の対応実績があるか
  • 虚偽の異常検知(False Positive)への対応が適切か
  • システムログの保存・レビュープロセスが整備されているか

よくある誤解

誤解1:継続的モニタリング=監査工数削減


現実: 継続的モニタリングシステムがあっても、ISA 330に基づく実証的手続きの実施義務は変わらない。内部統制への依拠度合いが高まる可能性はあるが、統制テストの実施は引き続き必要。
対応: クライアントには「内部統制の強化により監査効率の向上は期待できるが、実証的手続きの削減には直結しない」と説明する。

誤解2:システム導入=継続的監査


現実: 多くの企業が導入している自動化システムは継続的モニタリングであり、監査人向けに設計された継続的監査システムではない。
対応: システム導入の連絡を受けた時点で、本記事の判断基準を用いて分類を行う。

関連情報

  • 監査重要性の計算と文書化ガイド - 継続的監査における重要性の閾値設定に関する実務指針
  • ITGCツールキット - 継続的モニタリングシステムのIT統制評価に使用できる評価ツール
  • ISA 330実証手続き計画書テンプレート - 継続的監査環境での実証的手続き計画策定支援ツール

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。