FATCAとCRS：監査上の考慮事項

FATCA・CRS制度の概要

FATCAの基本構造

FATCA（外国口座税務コンプライアンス法）は、米国の税務当局（IRS）が外国金融機関に対し、米国人口座保有者の情報を報告することを義務付ける制度である。2010年に制定され、段階的に施行されている。

金融機関は以下の義務を負う： - 米国人である顧客の識別 - 該当する口座情報のIRSへの報告 - 報告義務を怠った場合の米国源泉所得への30%源泉徴収

CRSの仕組み

CRS（共通報告基準）は、OECD主導で開発された国際的な税務情報自動交換制度である。参加国・地域の金融機関は、外国税務居住者の口座情報を自国の税務当局に報告し、税務当局間で情報交換を行う。

日本では国税庁が所管し、2017年から本格運用が開始された。対象となる金融機関には銀行、証券会社、保険会社、投資ファンド等が含まれる。

監査への影響

これらの制度は監査業務に直接的な影響を与える。金融機関クライアントを監査する場合、監査人は以下の観点から検討が必要：

- 顧客の税務居住地判定プロセスの妥当性 - 報告対象となる口座・取引の網羅的な識別 - 税務当局への報告データの正確性 - 関連する内部統制の整備・運用状況

現場の感覚：前年度SALYで「FATCA/CRS対応は税務部門が管理」と1行書いて終わっていた調書は、2024年度以降の品管レビューでは通らない。リスク評価ワークシートに明示的に領域として組み込むことが標準になりつつある。

監査上の主要リスク

顧客識別リスク

監基報315.12は、監査人に対し「重要な虚偽表示のリスクを識別・評価するために、事業及びその環境を理解すること」を求めている。FATCA・CRSの文脈では、金融機関の顧客識別プロセスに重大な欠陥がある場合、以下のリスクが生じる：

- 報告対象顧客の見落とし - 誤った税務居住地判定 - 不適切な口座分類 - 必要書類の収集漏れ

具体的なリスク要因： - 既存顧客の税務居住地情報が不完全 - 新規顧客への自己申告書の収集プロセスが不徹底 - 複数の税務居住地を持つ顧客の処理が複雑 - 法人顧客の実質的支配者の特定が困難

データ処理・報告リスク

金融機関は大量の顧客データから報告対象を抽出し、所定の形式で税務当局に報告する必要がある。このプロセスには以下のリスクが内在：

システムリスク： - データ抽出ロジックの設定ミス - システム間のデータ連携エラー - 報告ファイル生成時の変換エラー - バックアップ・復旧手続の不備

手作業リスク： - データの手入力ミス - 計算誤り - ファイル送信手続のミス - 締切管理の不備

コンプライアンス・制裁リスク

FATCA・CRS違反は深刻な制裁を招く可能性がある。監査人は、クライアントが直面する制裁リスクを理解し、適切な引当金計上の必要性を検討する必要がある。

FATCA制裁： - 米国源泉所得への30%源泉徴収 - 米国金融システムからの排除 - レピュテーション毀損

CRS制裁： - 各国の国内法に基づく罰金・課徴金 - 営業停止処分 - 当局による特別検査

リスク評価手続の実施

監基報315に基づくアプローチ

監基報315.13は「事業及びその環境の理解は、重要な虚偽表示のリスクの識別及び評価の基礎を提供する」と定めている。FATCA・CRS監査では、以下の手続が重要：

1. 経営者との協議 - FATCA・CRS対応の組織体制 - 過去の報告実績と課題 - システム投資・改修の状況 - 外部専門家の活用状況

2. 内部統制の理解 - 顧客情報収集プロセス - データ検証・承認手続 - 報告書作成・提出プロセス - モニタリング・是正手続

3. 関連文書の査閲 - 内部規程・マニュアル - システム仕様書 - 過去の報告書 - 当局との対応記録

分析的手続の活用

監基報520.4は分析的手続を「財務情報と非財務情報との関係についての期待値を設定し、記録された金額又は監査人が導き出した比率とその期待値との関係を分析すること」と定義している。

FATCA・CRS監査における分析的手続： - 報告対象口座数の前年比較 - 報告対象金額の合理性検証 - 国別・口座種別の分布分析 - システムデータと報告データの照合

リスク識別のためのチェックポイント

新規業務・商品リスク： - 新商品リリース時のFATCA・CRS対応検討 - 新規顧客層への営業拡大影響 - M&Aによる顧客ベース統合リスク

システム変更リスク： - 基幹システムの更改・統合 - データ移行プロセスの妥当性 - 新旧システムの並行稼働期間

人的リスク： - 担当者の経験・専門性 - 教育研修の実施状況 - 業務量と人員配置のバランス

内部統制の評価

統制環境の評価

監基報315.14は「統制環境は、組織の統制に対する意識に影響を与え、他の内部統制の構成要素の基礎を提供する」と述べている。FATCA・CRS対応においては、経営陣のコミットメントが統制有効性の鍵となる。

評価すべき要素： - 経営陣のFATCA・CRS重要性認識 - 専任組織・責任者の設置 - 予算・人員の適切な配分 - 取締役会・監査役への報告体制

IT統制の評価

現代のFATCA・CRS対応は高度にシステム化されており、ITGCの評価が不可欠である。監基報315.20は「情報システムに関連する統制」の理解を求めている。

重要なITGC項目：

アクセス管理： - 顧客データへのアクセス権限設定 - システム管理者権限の分離 - パスワードポリシーの運用 - 定期的なアクセス権見直し

変更管理： - システム変更の承認プロセス - テスト環境での検証手続 - 本番環境への移行統制 - 変更履歴の記録・保存

運用管理： - データバックアップ・復旧手続 - システム監視・異常検知 - 定期的なシステム保守 - 障害発生時の対応体制

業務プロセス統制の評価

FATCA・CRS報告プロセスは複数の段階から構成される。各段階での統制評価が必要：

顧客識別段階： - 新規顧客受入時の書類収集 - 既存顧客の定期的な情報更新 - 税務居住地変更時の手続 - 疑義がある場合の追加調査

データ処理段階： - システムからのデータ抽出 - 手作業でのデータ検証 - 報告対象の最終確定 - 上位者による承認

報告段階： - 報告ファイルの生成 - 提出前の最終チェック - 当局への提出手続 - 提出完了の確認

実証手続の設計

監基報330に基づく手続設計

監基報330.7は「評価したリスクに対応する監査手続を立案し、実施しなければならない」と定めている。FATCA・CRS関連の実証手続では、以下の観点が重要：

網羅性のテスト： - 報告対象となるべき口座の抜け漏れ検証 - システム抽出ロジックの妥当性確認 - 手作業による補完プロセスの検証

正確性のテスト： - 報告データの基礎資料との照合 - 計算プロセスの再実施 - 為替レート適用の妥当性確認

期間帰属のテスト： - 報告基準日の適用確認 - 期中での口座開設・解約の処理 - 残高・取引の期間対応

実証手続の具体例

1. 顧客データの検証 - 無作為抽出による顧客ファイルの査閲 - 税務居住地判定根拠の確認 - 自己申告書等の関連書類の査閲 - 実質的支配者情報の検証（法人顧客）

2. システムデータの検証 - システム抽出データの再作成 - 手計算による金額検証 - 前年データとの整合性確認 - 他システムとの残高照合

3. 報告書の検証 - 最終報告書と基礎データの照合 - 報告項目の記載内容確認 - 提出日・提出方法の確認 - 当局からの受領確認書の査閲

サンプリングアプローチ

監基報530.5は「監査サンプリングにより、監査人は母集団全体について結論を導き出すことができる」としている。FATCA・CRS監査でのサンプリング設計：

層別サンプリング： - 個人口座・法人口座での層分け - 残高規模別での層分け - 通貨別での層分け - 新規・既存顧客での層分け

リスクベースサンプリング： - 高リスク顧客の重点的な検証 - システム警告が出た口座の全件検証 - 手作業処理案件の重点検証

実務事例

株式会社アサヒ投資顧問（仮名）

従業員150名、運用資産1,200億円の投資顧問会社。個人・法人合わせて約8,000の投資口座を管理している。

背景： 2023年度のCRS報告において、前年比で報告対象口座数が20%増加した。増加の主な要因は、富裕層向けサービス強化により外国税務居住者の新規口座開設が増加したため。

監査上の留意点：

1. 顧客識別プロセスの検証 新規富裕層顧客の受入プロセスを詳細検証。自己申告書の記載内容と実際の投資行動パターンに乖離がないかを確認。3件のサンプルで、自己申告と実際の送金パターンに不整合を発見。

2. システム統制の評価 投資口座管理システムから顧客属性データを抽出する際の統制を評価。月次で実施される抽出プロセスにおいて、手作業による補正が約15%の口座で発生していることを確認。この手作業プロセスの統制が不十分であることを指摘。

3. 実証手続の実施 報告対象口座から100件を無作為抽出し、基礎データとの照合を実施。2件で報告金額に軽微な誤りを発見したが、いずれも計算ミスであり重要性の基準値を下回る。

文書化のポイント： - 新規顧客受入統制の評価結果と改善提案を詳細記録 - 手作業補正プロセスの統制不備について管理者への報告事項として整理 - 発見した誤りについては、影響額と今後の改善策を含めて記載

インチャージ視点：この事例で時間を食うのは手作業補正15%の部分。全件検証は工数的に無理で、サンプリング設計を早期に合意できるかが調書完成時期を左右する。品管予防として、9月時点で抽出ロジックの評価手続をレビュアーと擦り合わせておくことを勧める。

監査調書の文書化

監基報230に基づく文書化要件

監基報230.8は「監査人は、職業的専門家としての判断を行使した事項について、その判断の根拠を記録しなければならない」と定めている。FATCA・CRS関連では、以下の判断根拠の記載が特に重要：

リスク評価の根拠： - なぜその領域をリスクと判定したか - リスクレベル設定の根拠 - 他の監査領域との相対的重要度

統制評価の根拠： - 統制の有効性判定理由 - テスト手続の選択理由 - サンプル数決定の根拠

実証手続の根拠： - 手続の種類・範囲決定理由 - 許容可能な誤謬の設定根拠 - 発見事項への対応判断

効果的な監査調書の構成

1. エグゼクティブサマリー - FATCA・CRS対応状況の概要 - 識別した主要リスク - 実施した監査手続の要約 - 重要な発見事項と結論

2. リスク評価セクション - 事業理解の結果 - 内部統制の概要評価 - 識別したリスクと評価根拠 - 計画した監査アプローチ

3. 統制テストセクション - テスト対象統制の詳細 - テスト手続と結果 - 統制の有効性結論 - 発見した統制不備

4. 実証手続セクション - 実施した手続の詳細 - サンプル選定方法と結果 - 発見した誤りと評価 - 追加手続の要否判断

5. 結論セクション - 監査意見への影響評価 - 管理者報告事項の整理 - 翌年度への申し送り事項

レビューのポイント

監査調書のレビューでは、以下の観点から品質をチェック：

- 監基報の要求事項への準拠 - 判断根拠の明確性・合理性 - 証拠と結論の対応関係 - 誤りや例外事項への対応の適切性 - 翌年度監査への有用性

よくある誤解

「報告義務は金融機関の問題」という誤解

FATCA・CRSコンプライアンスは金融機関の責任だが、監査人は無関係ではない。重大な違反は財務諸表に重要な影響を与える可能性がある。制裁金の引当、レピュテーションリスクの評価、継続企業の前提への影響等、監査人が検討すべき論点は多岐にわたる。

「システムが処理するので人的ミスはない」という誤解

FATCA・CRS対応は高度にシステム化されているが、システム設定、データ入力、例外処理等で人的判断が介在する。システムに依存する領域ほど、その前提となる統制の評価が重要である。

「少額案件は報告対象外」という誤解

報告基準額未満の口座でも、複数口座を合算すれば報告対象となる場合がある。また、残高がゼロでも過去12か月間に取引があれば報告対象となる。「少額だから安全」という判断は危険である。

構造的な圧力：なぜFATCA/CRS対応が後回しになるか

実務の現場では、FATCA/CRS関連のテスト手続は繁忙期の1〜2月に集中しやすい。理由は単純で、当局報告の締切が3月末に集中するため、金融機関側の確定データが1月下旬以降にしか揃わない。この時期にテスト手続と証拠収集を集中させると、品管レビューまでの時間が足りない。経験上、前年SALYで「対応策あり」と書いた調書は、この時期に見返しても評価を書き直す余力がない。結局、リスクありとの判断に至りながら、手続を短縮せざるを得ない構造的な圧力がある。早期計画（前年7〜8月）でテスト対象と方法を確定することが唯一の対策。