重要なポイント

  • 全社的統制が脆弱であれば下位の統制層すべての有効性が損なわれる
  • は取引レベルだけでなく内部統制のシステム全体の理解を要求する
  • 脆弱性の識別は統制テストの省略ではなく実証手続の拡大を意味する

仕組み

ISA 315.21–25は監査人に対し、内部統制の5つの構成要素のうち全社的に機能するもの(統制環境、企業のリスク評価プロセス、情報システムと伝達、監視活動)を理解するよう求めている。統制環境はISA 315.A76–A86で詳述され、経営者の誠実性と倫理的価値観、ガバナンスに対する経営者の姿勢(トーン・アット・ザ・トップ)、組織構造と権限配分、人的資源に関する方針を包含する。

監査人が全社的統制を評価する場面は主にリスク評価手続の段階である。ISA 315.26は内部統制のシステム全体への理解を要求しており、取引レベルの統制だけでは不十分とされる。統制環境が機能していなければ、個別プロセスの統制テスト結果にどれだけ信頼を置けるか疑問が生じる。ISA 315.A99は、統制環境が統制活動の有効な運用を支えているかを検討するよう求めている。CEOが関連当事者取引で三方照合を日常的に無視していれば、三方照合の統制自体が堅固でも実効性は低下する。

全社的統制の脆弱性が識別された場合、監査人はその影響をリスク評価全体に反映させる。脆弱性があるから全社的統制のテストを省略するのではなく、脆弱性があるからこそプロセスレベルの実証手続を拡大するという判断の転換が必要になる。この判断がどのように監査計画に反映されたかをワーキングペーパーに記録することが、検査対応の核心となる。

実務例:Weber Industrieservice GmbH

クライアント:ドイツの産業サービス企業、FY2025、売上EUR 42M、IFRS報告。Weberではオーナー兼CEOが経営を一元管理しており、監査役会は年2回のみ開催、内部監査機能は兼任0.5名で運用されている。

ステップ1:統制環境の理解

監査チームは組織図、取締役会議事録、内部監査報告書を入手した。CEO単独の承認権限の範囲、監査役会の開催頻度と実質的な議論内容、内部監査の人員体制を確認する。

文書化ノート:ワーキングペーパー「H-1 統制環境評価」にCEOの承認権限範囲、監査役会の開催頻度(年2回)、議事録から抽出した主要議題、内部監査体制(0.5名兼任)を記録する。

ステップ2:トーン・アット・ザ・トップの評価

取締役会議事録の査閲から、過去12か月間で不正や重大な法令違反に関する議論が記録されていないこと、監査人からの前年度指摘事項への対応が体系的に追跡されていないことが判明した。法令遵守方針の最終改訂は2022年であり、現行の規制環境を反映していない。

文書化ノート:ワーキングペーパー「H-2 トーン・アット・ザ・トップ」に議事録からの抽出情報、法令遵守方針の改訂日、前年度指摘事項の未処理状況を記録する。

ステップ3:リスク評価への反映

全社的統制の評価で以下が判明した:(1) 組織規模に対して内部監査機能が不十分、(2) 監査役会の監視活動が限定的、(3) CEO個別取引の承認フローが明文化されていない。これらは統制環境の脆弱性であり、ISA 315.A99に基づきプロセスレベルの統制だけでは不十分と判断する。実証手続の範囲を拡大し、関連当事者取引と経営者の見積りに対する追加的手続を計画する。

文書化ノート:全社的統制の脆弱性がリスク評価のどのセクションに反映されたか、実証手続の拡大範囲と追加手続の内容をワーキングペーパー「B-1 リスク対応計画」に記録する。脆弱性と対応策のトレーサビリティを確保する。

結論:全社的統制に脆弱性が存在する場合、「脆弱だから全社的統制はテストしない」ではなく、「脆弱だからプロセスレベルの手続をより詳細に実施する」と判断を転換する。この転換が監査計画に反映された経緯をワーキングペーパーで追跡可能にすることが不可欠である。

よくある誤解

  • トーン・アット・ザ・トップの評価結果とリスク評価の断絶 ISA 315改訂後の検査では、「トーン・アット・ザ・トップを評価したが、結論がリスク評価のどのセクションに反映されたか追跡できない」という指摘が増加している。評価は実施しているが、その結果がシステムリスク評価やリスク対応策の設計に論理的につながっていないケースが多い。
  • 経営者による統制の無視リスクの具体化不足 ISA 315.35は経営者による不正(マネジメント・オーバーライド)のリスクを明示的に評価するよう求めている。実務では「CEO権限が強い」という観察に留まり、具体的にどの取引(給与、寄付金、関連当事者取引)でどのようにリスクが高まるか明文化されていない。
  • 取引レベル統制のみの監査ファイル ISA 315.26は内部統制のシステム全体への理解を要求している。三方照合と銀行調整のみを対象とし全社的統制の評価を含まない監査ファイルは不完全である。検査機関はこのパターンを繰り返し指摘している。
  • 監視活動の有効性評価の欠如 監査役会や内部監査機能の存在を確認するだけで、その実質的な活動内容(議事録の質、指摘事項のフォローアップ、独立性の程度)を評価しないケースがある。ISA 315.A114は監視活動が内部統制の継続的な有効性を担保するかを評価することを求めている。

関連用語

統制環境:ISA 315の5つの内部統制構成要素の一つであり、全社的統制の中核を形成するIT全般統制(ITGC):情報システムに対する全社的統制であり、アクセス管理、変更管理、運用管理を含む企業およびその環境の理解:ISA 315が要求するリスク評価の出発点であり、全社的統制の理解はその一部を構成する重要な虚偽表示リスク

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。