この記事で学べること
- ISA 240.43を満たす対応マトリックスの構築方法。すべての不正リスクを、性質・時期・範囲・予見不可能性の調整を文書化した手続に紐づける
- AFMが最も頻繁に指摘するISA 240上の不備(リスクと手続の間に文書化された紐づけがない)が発生する原因とその防止策
- 6つの必須最低限対応(全体的対応、仕訳入力テスト、見積りレビュー、重要な異常取引、完了段階の分析的手続)がマトリックスにどう組み込まれるか
- 各手続について、誤謬を対象とするテストとの相違点を説明する方法(ISA 240.44)
この記事で学べること
- ISA 240.43を満たす対応マトリックスの構築方法。すべての不正リスクを、性質・時期・範囲・予見不可能性の調整を文書化した手続に紐づける
- AFMが最も頻繁に指摘するISA 240上の不備(リスクと手続の間に文書化された紐づけがない)が発生する原因とその防止策
- 6つの必須最低限対応(全体的対応、仕訳入力テスト、見積りレビュー、重要な異常取引、完了段階の分析的手続)がマトリックスにどう組み込まれるか
- 各手続について、誤謬を対象とするテストとの相違点を説明する方法(ISA 240.44)
目次
ISA 240が不正リスク対応に実際に要求する内容
ISA 240.43は、アサーションレベルで評価した不正による重要な虚偽表示リスクに対応する、性質・時期・範囲が適切なリスク対応手続を立案・実施するよう監査人に要求している。ISA 240.44は第二の層を追加する。手続の選択にあたり、経営者による内部統制の無効化リスクに対処する必要があるか検討しなければならない。これは任意ではない。リスク登録簿のすべての不正リスクに手続が必要であり、各手続はその特定のリスクにどう対応するかを示す必要がある。
基準はさらに、多くの監査ファイルが完全に見落としている2つの概念を導入している。第一に、ISA 240.42は監査手続の選択に予見不可能性の要素を組み込むよう要求する。手続の性質・時期・範囲を年度ごとに変化させるか、被監査事業体の担当者が予期しない手続を実施することが求められている。前年度に期末で売上をテストし、今年度も同じサンプルサイズと同じアプローチで期末に売上をテストしたなら、予見不可能性は導入されていない。
第二に、ISA 240(改訂版)は偏りのない設計確認(改訂版42項)を追加した。各手続について、その手続が明らかにし得る矛盾証拠を記述する。手続が経営者の主張を確認することしかできないなら、偏りのない設計テストに不合格となる。これは、監査人が不確認証拠よりも確認証拠を求める手続を設計する傾向があるとの観察への直接的な対応であり、不正が悪用するのはまさにこの偏向である。
これらの要求事項が存在するのは、不正が誤謬と異なるためだ。誤謬は偶発的である。不正は意図的で隠蔽され、監査人が通常実施する手続による発見を回避するよう設計されている。誤謬テストプログラムを模倣した対応マトリックスはISA 240の趣旨を完全に逸脱している。対応は誤謬を対象とする業務と質的に異なる必要があり、マトリックスはその相違を示す場所となる。
非構造的調書がAFMの最頻出指摘を生む理由
AFMは複数の検査サイクルにわたり同一の不備を指摘してきた。識別した不正リスクとそれに対処するために実施した手続との間に文書化された紐づけが存在しないというものだ。この指摘は事務所が不正を無視しているという意味ではない。リスク識別と対応の紐づけが調書上で不可視であるという意味である。
典型的な発生経緯はこうだ。チームは計画段階で不正を議論する。リスクはリスクサマリーに記載される。手続は別の監査プログラムに記載される。プログラムはヘッダーのどこかで、場合によっては脚注でリスクに言及する。しかしレビュアーがリスク登録簿の特定の不正リスクからそれに対処した正確な手続まで(およびその逆を)追跡しようとすると、連鎖が途切れる。リスクには「経営者による無効化」と書かれている。プログラムには「仕訳入力テスト」と書かれている。仕訳入力テストが経営者による無効化のどの具体的側面に対処するのか、時期が誤謬テストとどう異なるか、選定基準がなぜそのように設計されたかは、どこにも文書化されていない。
問題は構造的なものだ。リスク登録簿と監査プログラムが正式な紐づけのない別々の文書であると、関連性は監査チームの頭の中にのみ存在する。手続を設計した主査が退職するか、ファイルが2年後にチームと面識のない検査官によってレビューされれば、紐づけは失われる。
対応マトリックスは連鎖を明示的にすることでこの問題を解決する。1行に1つの対応。リスク登録簿に紐づく列。性質、時期の調整、範囲の調整、予見不可能性、証拠の種類、偏りのない設計のそれぞれに独立した列を設ける。レビュアーは2枚目の調書を開くことなく、リスクから手続へ、手続からリスクへと双方向に追跡できる。リスク登録簿は対応マトリックスを前方参照し、対応マトリックスはリスク登録簿を後方参照する。どちらの方向も曖昧さなく機能する。
この双方向の相互参照が規制当局の求めるものである。AFMは監査人にもっと多く書くことを期待しているのではない。既に書いた内容を接続することを期待している。
対応マトリックスの各列に記載すべき内容
適切に構成された対応マトリックスは5つのブロックにわたり17列を含む。各ブロックの内容とその存在理由を説明する。
第一ブロックは対応設計である。各行はリスク登録簿を後方参照するリスク識別子、対応カテゴリ(全体的対応、経営者による無効化手続、またはアサーションレベルの対応)、具体的な手続の性質、手続の実施時期と前年度または通常の誤謬テスト時期との相違理由を説明する時期の調整、手続の対象範囲とその範囲を決定する要因を説明する範囲の調整から始まる。
性質の列は多くのチームが不足する箇所だ。「売上をテスト」は性質の記述ではない。「グループ間の貨物予約のサンプルを取引先事業体に直接確認し、クライアント自身のシステムからではなく受入倉庫の配送書類を閲覧する」が性質の記述である。具体性のレベルが重要なのは、手続が汎用プログラムからコピーされたのではなく、この不正リスクのために設計されたことを示すためだ。
第二ブロックは予見不可能性と証拠を扱う。予見不可能性の列(ISA 240.42が要求)は、この手続が被監査事業体の担当者の予想と異なる点を記述する。「中間期に実施」は、前年度も中間テストを実施していれば予見不可能ではない。予見不可能性とはアプローチを真に変化させることを意味する。異なる拠点のテスト、異なる選定方法の使用、予想外の時期の手続実施、クライアントが検査を予期しない勘定科目のテストなどが該当する。3年間同じ方法で同じ手続を実施していれば、事業体は何を予想すべきか把握しており、不正を実行する者は何を回避すべきか把握している。
証拠の種類の列は、質問への過度な依存を防ぐ。ISA 240は質問のみでは不正手続の十分な証拠にならないと明示している。「質問のみ」が選択された場合、裏付け証拠を入手できない理由を文書化しなければならない。実務上、アサーションレベルの不正対応でこの列に「質問のみ」が表示されることはほぼあってはならない。
偏りのない設計の列は、手続が表面化させ得る矛盾証拠を記述する。売上テストの場合、偏りのない設計は「この手続は取引先に対応する受領が存在しない予約を明らかにし得るが、これは架空売上を示唆する」となり得る。見積りの場合は「この手続は過大計上の体系的なパターンを明らかにし得るが、これは経営者の偏向を示唆する」となり得る。要点は、手続が単にチェックボックスを埋めるためではなく、不確認証拠を発見するために設計されたことを示す点にある。
第三ブロックは重要な異常取引に対応する。通常の事業過程から外れた取引に関連する対応については、ISA 240.52が要求する事業上の合理性評価を文書化する。この列はすべての行に適用されるものではなく、対応が「重要な異常」の閾値を満たす取引に関連する場合に有効化される。
第四ブロックは実施と結論である。実施した作業、得られた結果、導いた結論のそれぞれに独立した列を設ける。これらの列は実査中または実査直後に完成させる(レビュー段階ではない。これも繰り返し指摘される検査所見だ)。AFMはレビュー段階で全面的に完成された対応マトリックスについて、不正手続が実査と同時に実施されなかった可能性を示唆すると指摘している。
第五ブロックは署名である。作成者、レビュア、日付。日付が重要なのは、業務タイムラインに対して作業がいつ実施されたかを立証するためである。
不正対応と誤謬テストの相違点
この問いが優れた対応マトリックスとコピーされた監査プログラムを分ける。ISA 240.44は、特定の不正リスクに照らして手続の性質・時期・範囲を検討するよう監査人に要求する。これは、売上の不正リスクへの対応として「売上のカットオフテスト」と記載してそのまま残すことができないことを意味する。リスクが意図しない誤謬であった場合に実施する手続と何が異なるかを示さなければならない。
性質は、取引が正しく記録されているかのテストから、取引が実在するかのテストへと変化する。誤謬テストは分類と測定を確認する。不正テストは実在性、発生、基礎資料が真正であるかを確認する。売上の不正リスクに対する性質の転換は、記録された売上を請求書に照合する(正確性のテスト)から、売上を顧客に直接確認し第三者の配送書類を閲覧する(発生のテスト)への移行となり得る。相違点は証拠の情報源にある。不正テストでは事業体自身の記録の外部から証拠を求める。それらの記録こそが操作されている可能性があるためだ。
時期は、クライアントが予期しない期間に手続を意図的に移動させることで変化する。常に期末に売上をテストしていれば事業体はそれを把握している。不正を実行する者はテスト期間前に不正な仕訳を整理できる。テスト時期を予想外の四半期に変更する、または予告なしの実地棚卸を実施することが、不正リスクへの時期の対応となる。時期を選択した理由と前年度との相違を文書化する。時期が前年度と同一の場合、予見不可能性の要件がなお満たされる理由(性質や範囲を変化させた場合など)を説明する。
範囲は、ISA 530が誤謬テストのみに要求するサンプルサイズを超えて拡大する場合、またはサンプリングではなくデータ分析を用いて母集団全体をテストする場合に変化する。範囲の調整列はこれを捕捉する。誤謬テストと比較して何件多く、どの程度広い対象範囲で、または何箇所追加で検証するかである。母集団全体のデータ分析は仕訳入力テストに特に有効だ。不正は統計的サンプリングでは捕捉されないがパターン分析で識別可能な少数の仕訳を伴うことが多いためである。
不正対応と同一アサーションの誤謬リスクに対して実施したであろう手続との相違を説明できなければ、その対応は不正に対応していない。リスクに立ち戻り、この不正を隠蔽しようとする者が現行の手続による発見を回避するために何をするかを自問する。そして、その隠蔽戦略に対抗する手続を設計する。
6つの必須最低限対応
すべてのISA 240業務は、事業体固有の手続を追加する前に、マトリックスに少なくとも6つの対応を含む必要がある。これらは構造化された調書に事前記入され、事業体の具体的状況にかかわらず適用される必須手続を網羅する。
最初の2つは財務諸表レベルの全体的対応である。対応1はアサインメントと監督に対処する。評価した不正リスクを踏まえ、業務責任を遂行する知識・技能・能力を有するチームメンバーは誰か、どの程度の監督が必要か(ISA 240.43)。これは汎用的な人員配置の注記ではない。チームメンバーの氏名、関連する経験、監督計画が識別した不正リスクにどう対処するかを記載すべきである。複雑な売上認識の不正リスクがある業務では、売上をテストする担当者に関連する業種経験が必要だ。
対応2は会計方針の評価に対処する。事業体の会計方針(特に主観的な測定と複雑な取引に係るもの)が不正な財務報告を示唆し得るか(ISA 240.45)。この評価はISA 540の見積り業務とは別である。ここでは、経営者の会計方針の選択(適用だけでなく)が報告業績を操作する意図に動機づけられている可能性がないかを検討する。売上認識の速度を最大化する方針、費用認識を繰り延べる方針、最も有利な測定基礎を選択する方針はいずれも文書化に値する指標である。
次の3つは経営者による内部統制の無効化に係る手続であり、ISA 240は他の評価リスクにかかわらずすべての業務で推定リスクとして扱う。
仕訳入力テスト(ISA 240.49改訂版)は、選定を開始する前に完了しなければならないゲーティングステップを含む詳細な作業セクションを持つ。対応マトリックスの行はその作業セクションにリンクし、性質・時期・範囲をサマリーレベルで文書化する。詳細なテストは専用の仕訳入力テストセクションで実施される。
見積りレビュー(ISA 240.50-51改訂版)は、前年度の見積りと実際の結果を遡及的に比較し、複数期間にわたる方向性のある偏向を探す。対応マトリックスの行は専用の見積りおよび偏向レビューセクションにリンクし、詳細な作業はそこで文書化される。
重要な異常取引(ISA 240.52改訂版)は、通常の事業過程から外れた取引の事業上の合理性の評価を要求する。この手続に係る対応マトリックスの行は、識別した各重要な異常取引と、事業上の合理性が不正を示唆するかに関する結論を記載する。
6番目は監査の完了段階で実施する分析的手続(ISA 240.53)である。ISA 520の分析的手続と同一ではない。これは不正に特化した評価である。完了段階の分析結果が、以前は未識別であった不正による重要な虚偽表示リスクを示唆していないかを問う。手続の形式はISA 520の分析的手続と同一かもしれないが、評価の視点が異なる。単なる誤謬を示唆する予想外の変動ではなく、不正を示唆する異常を探しているのだ。
これら6つの後に、リスク登録簿のアサーションレベルの各不正リスクに対する事業体固有の対応を追加する。各アサーションレベルのリスクには少なくとも1つの対応行が必要だが、複雑なリスクでは異なる側面に対処する複数の対応が必要になる場合がある。
実務例:Dijkstra Logistics B.V.
シナリオ:Dijkstra Logistics B.V.はオランダの貨物輸送会社で売上高6,800万ユーロ。監査チームは経営者による無効化以外に3つの不正リスクを識別した。架空のグループ間貨物予約による売上の水増し(アサーションレベル)、約款違反基準達成のための燃料費未払計上の過少計上(アサーションレベル)、重複仕入先支払いによる資金の流用(アサーションレベル)。リスク登録簿にはこれらが経営者による無効化の推定リスクとともに記載されている。
1. チームは最初の6行の必須対応を記入する。2つの全体的対応はチーム構成(物流業界の経験を持つ主査を売上テストに配置)と会計方針評価(グループ間取引量を踏まえた売上認識の時期に焦点)を文書化する。文書化注記:行1は「主査[氏名]を売上ストリームテストに配置。物流セクター3年の経験に基づく。パートナーは50,000ユーロ超のグループ間仕訳をすべてレビュー」と記録。行2は検討対象の会計方針を具体的に記録:長距離契約の進行基準、グループ間消去の時期、燃料費未払計上の方法論。
2. グループ間売上の不正リスクについて、7行目を追加する。性質:グループ間貨物予約のサンプルを取引先事業体に直接確認し、Dijkstra自身のシステムではなく受入倉庫の配送書類を閲覧する。時期:第3四半期テスト(前年度は第4四半期のみテスト)。範囲:25,000ユーロ超のグループ間予約は母集団全体を分析し、閾値未満は30件をサンプリング。予見不可能性:第3四半期の時期は新規。前年度は第4四半期をテスト。チーム内討議で指摘された2名の特定従業員が起票した予約を選定に含む。偏りのない設計:この手続は取引先に対応する受領が存在しない予約を明らかにし得るが、これは架空売上を示唆する。文書化注記:「グループ間確認状を[取引先倉庫管理者]に直接送付。配送記録はDijkstraのERPからではなく取引先システムから入手。時期の予見不可能性導入のため第3四半期テスト期間を選択。」
3. 燃料費未払計上リスクについて、8行目を追加する。性質:前年度燃料費未払金と当年度の実際原価の遡及テスト、独立した軽油価格指数を用いた独自再計算と組み合わせる。時期:実際原価が判明する完了段階に実施。範囲:15,000ユーロ超のすべての燃料費未払金。予見不可能性:経営者の仕入先契約ではなく独立した価格指数を使用(外部ベンチマーク使用は今年度が初)。偏りのない設計:実際原価が未払計上額を一貫して上回る場合に体系的な過少計上を明らかにし得る。文書化注記:「燃料価格データは[独立指数]から入手。各月の差異分析を実施。42,000ユーロの累積過少計上を識別(売上高の0.06%、PM 340,000ユーロ未満)。不正の指標はないが、見積りセクションでの当年度評価用にパターンを記録。」
4. 重複仕入先支払いリスクについて、9行目を追加する。性質:買掛金支払いファイル全体のデータ分析(5営業日以内の同一仕入先への同額支払い、同一仕入先の異なる銀行口座への同額支払い)。時期:通年母集団。範囲:支払いの100%。予見不可能性:買掛金の母集団全体分析は今年度が初(前年度はサンプリング)。偏りのない設計:経営者自身の統制が検出したか否かにかかわらず重複支払いを明らかにし得る。文書化注記:「[システム]から14,200件の買掛金支払い母集団を抽出。分析で23件の潜在的重複を識別。21件は正当と確認(クレジットノート、分割払い)。2件は経営者に調査を委託。金額:合計8,400ユーロ。不正の指標なし。経営者は両項目とも処理エラーであり事後に回収済みと確認。」
結果として、このファイルを開いたレビュアーは、すべての不正リスクから手続への追跡、各手続が誤謬テストとどう異なるかの確認、予見不可能性要素の確認、入手した証拠が質問を超えている検証、偏りのない設計確認のチェックが可能になる。相互参照の双方向が曖昧さなく機能する。
実務チェックリスト
- 不正リスク登録簿のすべてのリスクに、マトリックス上の対応行が少なくとも1つ紐づいていることを確認する(ISA 240.43)。
- 事業体固有の行を追加する前に6つの必須最低限対応を記入する。必須行を完了段階まで放置してはならない。
- 各対応について、性質・時期・範囲の列のうち少なくとも1つが、同一アサーションの誤謬リスクに対する手続との相違を説明していることを検証する。
- すべての対応について予見不可能性の列を完成させる(ISA 240.42)。「N/A」または空欄であれば、レビューで指摘される。
- 署名前に2つのリスクを前方追跡(リスク→対応→実施した作業)し、2つの対応を後方追跡(対応→リスク→情報源)する。いずれかの連鎖が途切れればマトリックスに欠落がある。
- 「実施した作業/結果」と「結論」の列は実査中または実査直後に完成させる。レビュー段階まで待たない。
よくある誤り
- 監査プログラムを不正リスク用の性質・時期・範囲の調整なく対応マトリックスにコピーする。AFMはこのパターンを繰り返し指摘している。不正対応が誤謬対応と同一であれば、不正リスクには実際に対処されていないことを意味する。
- 予見不可能性の列を空欄にするか「手続を変更した」とだけ記載する。ISA 240.42は何をどのように変更したかの記述を要求する。「手続を変更した」はレビュアーに実際に何が異なったかについて何も伝えない。
- 実施した作業と結論の列を、同時の記録ではなく記憶に基づいて実査の数週間後に完成させる。規制当局は完了日を確認する。レビュー段階で全面的に仕上げられた対応マトリックスは、不正手続が業務の計画的な一環ではなく事後の思いつきであったことを示唆する。
- 偏りのない設計の列を省略するか「手続は偏りがない」等の汎用的記述で埋める。この列はこの特定の不正リスクについて手続が明らかにし得る矛盾証拠を記述しなければならない。矛盾証拠を具体的に挙げられないなら、手続の設計を見直す必要がある。
関連コンテンツ
- ISA 240不正リスク評価パック:本記事で解説した構造を実装した、不正リスク登録簿・対応マトリックス・スタンドバック評価の事前構築テンプレート
- ISA 450虚偽表示集計ツール:不正対応手続で識別した虚偽表示を集計し重要性の基準値と評価するためのツール
- ISA 240(改訂版):不正ブレインストーミングの要件:対応マトリックスが対処する不正リスクを生み出すチーム内討議について
- 不正リスク要因(用語集):ISA 240における3つの不正リスク要因カテゴリの定義