統制上のリスク

統制上のリスクはどう機能するのか

監基報320第27項は、重要な虚偽表示リスク（RMM）が固有のリスクと統制上のリスクの乗算によって決まると述べている。この乗算モデルは、統制が虚偽表示の可能性をどの程度まで軽減できるかを定量化する唯一の方法ではないが、実務で最も広く使われている。
統制上のリスクを高く評価する場合（たとえば1.0）、監査人は実証的手続に大きく依存する必要がある。統制上のリスクを低く評価する場合（たとえば0.5）、統制テストが虚偽表示をキャッチできることを立証できれば、実証的手続を制限することができる。
ただし監基報320第27項の注記は、統制上のリスクが存在する理由を明確にしている。完璧な統制は存在しない。内部統制システムには、処理エラー、人的ミス、経営者による統制の回避、判断の誤りが必然的に含まれる。したがって統制上のリスクは常にゼロより大きい。
監査人は統制上のリスクを評価するとき、被監査会社の内部統制の設計と実行状況の両方を検討する。設計が不十分（統制が存在しない、または関連する主張をカバーしていない）であれば、統制上のリスクは高い。設計が適切であっても、実行が不確実（運用されていない、または運用が不規則）であれば、統制上のリスクはやはり高い。

実例：ノルベルグ・テキスタイル社

クライアント：オーストリアの繊維製造企業、売上€35M、IFRS報告、100人従業員
ステップ1：固有のリスク評価
売上の計上は詐欺リスクが高い分野。顧客からの注文データと出荷記録が異なることがある。ノルベルグの売上は四半期ごとに大幅に変動し、複数の通貨での請求が発生する。固有のリスク：中程度（1.0）
文書化：「売上記述が複数のシステムにまたがり、請求システムが出荷データと自動的には連携していない。顧客が請求内容に異議を唱えるまで、エラーが検出されないことがある。」
ステップ2：統制上のリスク評価開始
経理部長は5人で、毎月の売上の照合を実施している。売上元帳と請求システム、出荷システムの対比を行う。もしシステムの照合が完全でなく、異常値の分析が限定的であれば、統制は虚偽表示を検出するには不十分。
文書化：「売上の照合プロセスが存在するが、サンプルの例外（欠落した請求書、重複請求）が検出されているか、または単に『通常通り計上されている』という結論だけで終わるか。前者であれば統制は効く。後者であれば統制上のリスクは高い。」
ステップ3：統制テストの実施
3か月分（100件の売上トランザクション）を選別。各トランザクションについて、以下を確認：
統制テストで異常値が2件見つかった。1件は出荷前に売上計上されていた（€6,500）。1件は欠落した請求書（€3,200）。
文書化：「統制テストで2件の例外を検出。これは統制が虚偽表示をキャッチするために機能していることを示す。ただし100件中2件（2%）の例外率は、実質的な虚偽表示の可能性を示唆する。統制上のリスクは中程度と評価する（0.7）。」
ステップ4：RMM の決定
RMM = 固有のリスク × 統制上のリスク = 1.0 × 0.7 = 0.7
相応する実証的手続：全売上の15%のサンプルテスト（400件の注文のうち60件）。
結論：統制テストにより虚偽表示の可能性を検出したため、統制上のリスクは完全には低減できなかった。ただし統制が機能していることを立証したため、無限定にすべての売上を検査するのではなく、リスク領域を限定できた。

出荷データが請求書に一致しているか
請求日が売上計上日と一致しているか
金額が契約価格と一致しているか

監査人と実務者がよく誤るところ

Tier 1: 規制指摘： 国際的な検査データから、統制上のリスクの評価が形式的で、統制テストが実質的な異常値検出に至っていない事例が多く報告されている。特に、被監査会社が「統制が実行されている」と報告した場合でも、監査人が独立して統制の有効性を立証していない。
Tier 2: 基準参照の実務上の誤り： 監基報325第23項は、識別されたコントロール不備（deficiency）が単独で、または他の不備との組み合わせで、重要な虚偽表示を防止または発見できないことを、監査人が合理的に可能性があると判断した場合、それは重大な不備（significant deficiency）または重大な欠陥（material weakness）である、と定める。多くの実務では、統制上のリスクを「高い」と判定しながら、その根拠となる統制不備を文書化していない。
Tier 3: 実務慣行の間隙： 統制テストを実施した場合、その結果が統制上のリスク評価にどう反映されるかが曖昧なままになることがある。「統制は機能している」という判断と、「統制上のリスクを0.5に低減する」という定量的な結論がつながっていない。