Definition
統制テストで「例外なし」と書いてある調書をめくると、テスト対象が25件中3件だけだったりする。監基報315が求める統制上のリスクの評価は、統制の設計と運用の両方を検証する手続であり、結論だけ書いて終わる作業ではない。CPAAOBの検査でも、統制上のリスクの評価が形式的で統制テストの深度が不足している事例が繰り返し指摘されている。
統制上のリスクの機能
監基報315第27項は、RMMが固有のリスクと統制上のリスクの乗算で決まるとしている。乗算モデルが唯一の定量化手法ではないが、実務では最も広く使われている。
統制上のリスクを高く評価する場合(たとえば1.0)、監査人は実証的手続に大きく依存する。低く評価する場合(たとえば0.5)、統制テストで虚偽表示をキャッチできることを立証すれば、実証的手続を縮小できる。ここで落とし穴がある。統制上のリスクを低く設定するには、統制テストの証拠が調書に残っている必要がある。「統制に依拠」と書きながらテスト結果が記載されていない調書は、品管レビューで差し戻される。
監基報315第27項の注記が明確にしているとおり、完璧な統制は存在しない。処理エラー、人的ミス、経営者による統制の無効化、判断の誤り。これらは内部統制に必然的に含まれる。統制上のリスクは常にゼロより大きい。
統制上のリスクの評価では、内部統制の設計と実行状況の両方を検討する。設計が不十分であれば(統制が存在しない、関連する主張をカバーしていない)、統制上のリスクは高い。設計に問題がなくても運用が不規則であれば、やはり高い。
実例:ノルベルグ・テキスタイル社
クライアント:オーストリアの繊維製造企業、売上€35M、IFRS報告、100人従業員
ステップ1:固有のリスク評価 売上の計上は詐欺リスクが高い分野。顧客からの注文データと出荷記録が異なることがある。ノルベルグの売上は四半期ごとに大幅に変動し、複数の通貨での請求が発生する。固有のリスク:中程度(1.0)
文書化:「売上記述が複数のシステムにまたがり、請求システムが出荷データと自動的には連携していない。顧客が請求内容に異議を唱えるまで、エラーが検出されないことがある。」
ステップ2:統制上のリスク評価開始 経理部長は5人で、毎月の売上の照合を実施している。売上元帳と請求システム、出荷システムの対比を行う。もしシステムの照合が完全でなく、異常値の分析が限定的であれば、統制は虚偽表示を検出するには不十分。
文書化:「売上の照合プロセスが存在するが、サンプルの例外(欠落した請求書、重複請求)が検出されているか、または単に『通常通り計上されている』という結論だけで終わるか。前者であれば統制は効く。後者であれば統制上のリスクは高い。」
ステップ3:統制テストの実施 3か月分(100件の売上トランザクション)を選別。各トランザクションについて、出荷データと請求書の一致、請求日と売上計上日の一致、金額と契約価格の一致、通貨換算レートの妥当性を確認した。
統制テストで異常値が2件見つかった。1件は出荷前に売上計上されていた(€6,500)。1件は欠落した請求書(€3,200)。
文書化:「統制テストで2件の例外を検出。これは統制が虚偽表示をキャッチするために機能していることを示す。ただし100件中2件(2%)の例外率は、実質的な虚偽表示の可能性を示唆する。統制上のリスクは中程度と評価する(0.7)。」
ステップ4:RMM の決定 RMM = 固有のリスク × 統制上のリスク = 1.0 × 0.7 = 0.7
相応する実証的手続:全売上の15%のサンプルテスト(400件の注文のうち60件)。
結論:統制テストにより虚偽表示の可能性を検出したため、統制上のリスクは完全には低減できなかった。ただし統制が機能していることを立証したため、無限定にすべての売上を検査するのではなく、リスク領域を限定できた。
調書でよく見かける誤り
被監査会社が「統制は実行されている」と報告した内容をそのまま調書に転記するケースがある。CPAAOBの検査では、監査人が独立して統制の有効性を立証していない事例が繰り返し問題視されている。クライアントの自己申告を証拠とすることはできない。
監基報265第23項は、識別されたコントロール不備が単独で(または他の不備との組み合わせで)重要な虚偽表示を防止・発見できない合理的な可能性がある場合、それを重大な不備(significant deficiency)または重大な欠陥(material weakness)として分類するよう求めている。経験上、統制上のリスクを「高い」と判定しながら、その根拠となる統制不備を文書化していない調書は多い。「高い」と書くなら、なぜ高いのかを特定の不備に紐づけて記載する。
統制テストの結果と統制上のリスク評価の接続が切れている調書も目立つ。「統制は機能している」という判断と「統制上のリスクを0.5に低減する」という定量的な結論が論理的につながっていない。テスト結果が結論を支持する証拠にならなければ、テストを実施した意味がなくなる。
統制上のリスクと検出リスクの違い
統制上のリスクは被監査会社の内部統制が虚偽表示を防止・発見できない可能性であり、監査人が評価するもの。検出リスクは監査人自身の実証的手続が重要な虚偽表示を見逃す可能性であり、監査人が管理するもの。
実務ではこの2つが混同されやすい。統制上のリスクが高い場合、監査人は検出リスクを低く抑えるためにより大きなサンプルサイズ、より詳細なテスト方法を採用する。しかし統制上のリスク自体を監査人が下げることはできない。被監査会社の統制環境に起因するリスクだから。
検出リスクは監査人側の変数。サンプルサイズの拡大、抽出方法の変更で調整できる。統制上のリスクは被監査会社側の変数。統制が弱ければ、その弱さを受け入れて実証的手続で補うしかない。
関連用語
- 固有のリスクは内部統制を考慮しない状態で虚偽表示が生じる可能性を指す。 - 重要な虚偽表示リスク(RMM)は固有のリスクと統制上のリスクの組み合わせ。 - 検出リスクは監査人の実証的手続が虚偽表示を見逃す可能性。 - 統制の有効性テストは統制上のリスク評価を立証する手続。 - 内部統制の評価は統制上のリスク評価の基礎となる。 - 統制不備の識別は統制上のリスク評価に影響する問題の認識。
関連するciferi製品
監基報330に基づく統制テスト手続の実装については、ISA 330テストプログラムキットを参照。RMMの定量化と統制上のリスク評価の接続を含む実装例を収録している。
---