全社的統制 | ciferi

仕組み

ELCは、個別の業務プロセスに閉じたコントロールではない。組織全体の統制環境、リスク評価プロセス、情報伝達の仕組み、監視活動にまたがる。ISA 315.16がこれを定義している。

正直、教科書的にはきれいに分かれるが、現場で見分けるのは簡単ではない。具体的にELCに該当するのは、経営者のトーンオブザトップ、組織構造と報告ラインの設計、内部監査部門の独立性と有効性、人的資源方針の運用状況。経営者が統制を意識して行動しているかどうか、その姿勢が組織の末端まで届いているかを見る。

監査計画段階でこの評価を行う。ISA 315.32は、会社の組織図、方針書、内部監査報告書、監査役会議事録を確認するよう求めている。ELCが機能していないと判断すれば、システム全体のリスク評価を引き上げなければならない。プロセスレベルのコントロールだけでカバーしようとしても、基盤が崩れていれば証拠として持たない。

具体例：バッカー工業B.V.

クライアント：オランダの製造業、2024年度、売上4,200万ユーロ、IFRS準拠企業

統制環境の確認から始める。バッカー工業ではCEO兼CFOが経営管理を一元化していた。監査チームはまず組織図、取締役会議事録、内部監査報告書を入手。調書「H-1統制環境評価」にCEO単独権限の範囲、監査役会の開催頻度（年2回）、内部監査部門の人数（0.5名）を記載

次にトーンオブザトップの評価に移る。取締役会議事録を12か月分通読した結果、不正や法令違反に関する議論がゼロであること、監査人からの前年指摘事項への対応が記録されていないことが判明。調書「H-2トーンオブザトップ」に議事録から抽出した経営者発言、法令遵守方針の改訂日（直近は2022年）を記載

リスク評価への反映が最も難しい。評価結果として4点が浮上した。(1) 内部監査部門が組織規模に対して不足（0.5名）、(2) 監査役会が年2回しか開催されていない、(3) 経営者による個別取引の承認フローが明文化されていない、(4) 前年指摘への対応トラッキングが存在しない。このうちどれか1つだけなら、個別の対応で済むかもしれない。4つが重なると、プロセスレベルのコントロールテストだけでは足りないと判断し、実証的手続の範囲を拡大する。

本音を言うと、ここで判断を誤るチームは多い。「ELCが弱い、だから本社レベルのコントロールはテストしない」と逃げる方向に行きがち。正しい判断は逆。「ELCが弱い、だからプロセスレベルの手続をより詳細に行う」。この判断転換を調書に明記しないと、品管のレビューで差し戻される。

監査人がよく見落とすもの

ISA 315の改訂（2019年）以降、CPAAOBやJICPA品質管理レビューで「トーンオブザトップを評価したが、その結論がリスク評価のどのセクションに反映されたか追跡できない」という指摘が増えている。評価シートは存在する。結論も書いてある。だがリスク対応策の設計につながっていない。調書が分断されている。

ISA 315.35は、経営者による内部統制の無効化（override）を全社的な不正リスクとして明示的に評価するよう求める。現場では「CEO権限が強い」と観察まではする。だがそれが具体的にどの取引で（給与、関連当事者取引、期末仕訳、非経常的取引）どのようにリスクを高めるか、踏み込んだ記載がない調書が多い。

文書化のギャップはもう1段深い。統制環境の評価シートと、実証的手続のプログラム、監査人の判断記録が別々の調書に分かれていて、相互参照がない。審査のときに「ELCの弱点がこの手続範囲の拡大にどうつながったのか」と聞かれて、初めて追えないことに気づく。繁忙期にこの手戻りが発生すると相当厳しい。

仕組み

具体例：バッカー工業B.V.

監査人がよく見落とすもの

関連用語