監基報315号（2019年改訂）によるリスク評価手続のガイド

監基報315号（2019年改訂）の構造変更

従来版と改訂版の違い

従来の監基報315では、企業の理解と内部統制の理解を並行して進めるチームが多かった。改訂版ではこの順序が厳格化されている。まず315.13から315.24で企業・環境の理解を完了させ、次に315.25から315.35でリスクを識別する。内部統制の評価は315.36から315.47で最後に行う。

この変更で、リスク評価が論理的な流れに沿って実施される。企業の事業プロセスを理解せずに内部統制は評価できない。内部統制の有効性を評価せずにリスクレベルを決定することもできない。

経験上、改訂前の調書を見返すと、監査人ごとにリスク識別の基準がばらついていたことがよくわかる。内部統制への依拠度合いも統一されていなかった。2019年改訂は段階的プロセスを導入してこのばらつきを解消しようとしている。

効力発生日と適用範囲

監基報315（2019年改訂）は、2021年12月15日以降開始する事業年度の監査から適用されている。早期適用は認められていたが、現在はすべての監査でこの改訂版が必須。

改訂版は監査チーム全員のリスク評価手続に影響する。従来、リスク評価はインチャージだけが実施することが多かった。改訂版ではチーム全員の理解が要求される。現場の実査担当者も企業・環境の理解を共有していなければ、リスク対応手続の設計に抜けが出る。繁忙期にこれを全員に徹底させるのが、正直いちばん難しい。

三段階リスク評価プロセス

段階1：企業・環境の理解（監基報315.13-315.24）

企業・環境の理解は6項目で構成される。業界要因、規制要因、その他の外部要因、事業の性質、所有構造・統治構造、会計方針の選択・適用、そして目的・戦略・関連する事業リスク。

業界要因では、市場の競争状況と季節性、原材料の調達環境と労働力の供給を把握する。規制要因では、法的枠組みと監督機関、免許・認可制度と環境要件を調査する。これらの情報が、後の段階で識別するリスクの根拠になる。

事業の性質では、収益源と流通チャネル、重要な顧客・仕入先と研究開発活動を理解する。所有構造・統治構造では、所有と経営の分離度合い、取締役会の独立性と監査役等の機能を評価する。

315.18は、過去の財務情報と予算・予測の比較分析を要求している。この比較から、経営者の見積り精度や事業計画の実現可能性、財務報告に与える圧力が把握できる。

段階2：重要な虚偽表示リスクの識別（監基報315.25-315.35）

段階1で得た企業・環境の理解に基づき、財務諸表レベルと認定レベルでリスクを識別する。財務諸表レベルのリスクは財務諸表全体に関連し、複数の認定に影響を与える可能性がある。認定レベルのリスクは特定の勘定科目の特定の認定に関連する。

不正リスクの検討は、監基報240との整合性を保ちながら実施する。経営者による内部統制の無効化リスクは常に特別な検討を要するリスクとして扱う。収益認識に関する不正リスクも、反証がない限り同様に扱う。

315.31は、企業の事業プロセスと財務諸表項目の関係を文書化するよう要求している。どの事業プロセスがどの勘定科目に影響し、そこにどのリスクが存在するかを論理的につなげる。本音を言うと、この文書化が最もレビューノートの多い工程になる。SALYで前期の調書をそのままコピーしたくなるが、事業環境が変わっていればリスクの根拠も変わるはず。

段階3：内部統制の理解と評価（監基報315.36-315.47）

段階2で識別したリスクに対し、企業がどのような内部統制を整備・運用しているかを理解する。統制環境と統制活動、情報システムとモニタリング活動を評価し、各統制の設計・実施状況を確認する。

315.40は、IT全般統制とIT業務処理統制の理解を要求している。ほとんどの企業の財務報告プロセスにITシステムが関与している現在、会計システムだけでなく販売システムや調達システム、人事システムの統制も評価対象に入る。

内部統制への依拠度合いによって、実証手続の性質・時期・範囲が決まる。統制リスクが低い場合は実証手続を限定できるが、統制テストが必要になる。統制リスクが高い場合は実証手続を拡大する。

実践ガイド：田中製作所での適用例

田中製作所株式会社の概要は以下のとおり。自動車部品製造、売上高850百万円（前期780百万円）、従業員240名。主要顧客は日系自動車メーカー3社で売上の85%を占める。所在地は愛知県豊田市。

段階1の実施：企業・環境の理解

まず業界要因を分析する。自動車業界の脱炭素化に伴う電動化部品の需要増加と半導体不足による生産調整リスクを、リスク評価の調書のA-1セクションに記載した。

次に事業の性質を理解する。主力製品はブレーキ部品（売上の60%）と電動化関連部品（売上の25%）。残りの15%は汎用部品。電動化部品は参入1年目で品質管理システムの習熟度が低い。電動化部品の品質リスクを事業リスク評価表に記載し、品質クレーム引当金の見積り精度に影響する可能性を明記した。

財務情報の分析では、前期比売上増加9%の要因を確認した。電動化部品の新規受注が主因。営業利益率は6.2%（前期7.1%）に低下し、電動化部品の初期コストが利益率を圧迫している。利益率低下の要因分析を実査プログラムの重点項目として記載した。

段階2の実施：リスクの識別

財務諸表レベルのリスクとして2点を識別した。経営者の業績向上圧力（電動化部品の利益率改善目標が次期8%）と、IT環境の複雑化（新ERP導入から6ヶ月、旧システムとの併用期間）。

認定レベルの重要な虚偽表示リスクは以下のとおり。売上高の期間帰属では月末近接取引の増加傾向がある。棚卸資産の評価では電動化部品の歩留り率が悪化している。品質クレーム引当金の完全性と評価では、電動化部品のクレーム実績データが不足している。四つ目として、新ERP導入に伴うデータ移行の正確性も検討対象に加えた。

各リスクの根拠を企業・環境理解書の該当箇所とリンクさせ、リスク・対応マトリクスに整理した。

段階3の実施：内部統制の理解

販売プロセスの統制として、出荷指示は受注システムから自動生成される。出荷と請求の分離統制が機能しており、月次売上分析による異常値検出システムも稼働中。

棚卸資産プロセスの統制として、月次実地棚卸による帳簿棚卸との照合を実施している。ただし電動化部品の歩留り計算は手作業で、チェック機能が不十分。電動化部品の歩留り計算統制の不備を統制評価の調書に記載し、この統制に依拠しない前提で実証手続を設計した。

田中製作所では電動化部品に関連する統制の成熟度が低いため、当該領域では統制テストを実施せず実証手続を拡張する方針とした。従来のブレーキ部品については統制への依拠が可能。

実務チェックリスト

1. 企業・環境の理解が完了してからリスク識別を開始しているか。315.13から315.24の要求事項をすべて満たしてから次段階に進む 2. 財務諸表レベルと認定レベルのリスクを分離しているか。財務諸表レベルのリスクは複数の勘定科目に影響することを確認する 3. 企業・環境の理解とリスクの関連性が文書化されているか。理解した事業要因がリスク識別の根拠として記録されている 4. 内部統制の評価が識別されたリスクに対応しているか。リスクごとに関連する統制を特定し、その有効性を評価する 5. IT統制の理解を実施しているか。IT全般統制とIT業務処理統制の両方を評価対象に含める 6. 監査チーム全員がリスク評価結果を理解しているか。リスク・対応マトリクスをチーム会議で共有し、実証手続設計に反映する

よくある誤りとその回避方法

順序の混乱は最も多い指摘。内部統制の理解を企業理解の前に実施してしまうケース。統制の評価はまず企業のプロセスを理解してから行う。プロセス図を作成し、その中で統制ポイントを識別する手順を踏む。

リスクの根拠不足もCPAAOBの検査で頻出する。企業・環境の理解とリスク識別の論理的つながりが不明確な調書は、審査でも差し戻しの対象になる。リスク評価の調書に「このリスクを識別した根拠」欄を設け、企業理解書の該当セクションを参照する。

IT統制の軽視は見落としやすい。IT統制の理解が表面的で、システム固有のリスクを見逃す。新システム導入やシステム変更、カスタマイズの状況を把握し、変更管理統制の有効性を重点的に評価する。