固有リスク対統制リスク

仕組み

監基報320.13は、重要性の基準値を設定する際に、固有リスクと統制リスクを個別に評価するよう求めている。固有リスク（inherent risk）とは、ある勘定科目または取引クラスが、監査人の統制テストに依存しない固有の特性として虚偽表示しやすいことである。製造業の棚卸資産、金融機関のデリバティブ、建設業の工事進行基準、不動産企業の貸出金評価引当金がその典型。これらは、経営者の判断に依存する程度が高く、複雑であり、変動しやすい。
統制リスク（control risk）とは、別の意味を持つ。それは、内部統制が、固有リスクが具体化した虚偽表示を検出し、または防止することができない可能性である。統制リスクは、統制環境の強さ、統制活動の設計と運用効率性、および監視活動の機能に基づいて評価される。統制が強固で、実際に運用されていれば、統制リスクは低い。統制が欠落していれば、統制リスクは高い。
この二つの評価の組み合わせが、実証手続の量と質を決める。固有リスク「高」＋統制リスク「高」の場合、詳細テストは最大化される。固有リスク「高」＋統制リスク「低」の場合、統制テストを減らすことができないが、実証テストは選別できる。固有リスク「低」の場合、統制リスクがいくら高くても、母集団の物理的特性が虚偽表示しにくいため、詳細テストの時間は相対的に短くなる。

固有リスク対統制リスク：実践上の区別

この二つを混同することは、監査人の判断に直結し、後続する検査で指摘される可能性が高い。固有リスクと統制リスクの区別が曖昧な監査ファイルは、PCAOB（米国大手監査法人向け）および国際監査・保証基準審議会（IAASB）の調査で一貫して指摘されている。特に、現金、棚卸資産、推定項目（引当金、減損、リース評価）のように、経営者の判断の余地が大きい領域ではこの区別が不可欠。
固有リスクを評価する際に問うべき質問： この取引クラスまたは勘定科目は、内部統制の有無に関わらず、虚偽表示しやすいか。答えが「はい」であれば、固有リスクは高い。
統制リスクを評価する際に問うべき質問： この勘定科目について、設計された統制が実際に運用され、虚偽表示を検出・防止できるか。答えが「いいえ」であれば、統制リスクは高い。

事例：テーラメディアム・トレーディング・インコーポレーテッド

客先: トルコの機械部品製造業、2024年度、売上€28M、IFRSレポーター
勘定科目: 在庫（売上原価の28%、€7.8M）
固有リスク評価:
製造業の在庫は、物理的カウント後の価格評価、陳腐化判定、工程内製品の完成度推定に依存する。特に工程内製品は、実際の完成度と帳簿上の完成度のズレが生じやすい。本会社は四半期ごとに在庫の流動性を見直しているが、評価基準は経営者の見積りを含む。
文書化ノート：「在庫の固有リスクを『高』と評価する根拠：IAS 2.9により、在庫は正味実現可能額で評価する必要があり、この判定に経営者判断を要する。」
統制リスク評価:
会社は、毎月、在庫回転数および売上原価に対する在庫の割合を計算する統制活動を設計している。この統制は実装され、月次決算時に経理課長が確認している。在庫削減が見積値を超える場合、購買課および営業課から追加の報告を求める。この統制は陳腐化リスクに対応する設計。工程内製品の完成度評価については、生産課が「完成度%」を毎週報告し、経理課がそれを検証していない。
文書化ノート：「統制リスク評価：陳腐化統制は『低』。完成度評価の統制は『高』（検証がない）。」
結論： 固有リスク「高」＋統制リスク「部分的」（一部統制あり）の場合、詳細テストは両領域で実施する。陳腐化については、現在販売中の部品の販売記録との照合で削減できる。完成度については、抜出検証（製品ごとのボックス確認、完成度の観察テスト）を全数で実施し、統制テストでは補完しない。

実務者と検査官が見落とすこと

• Tier 1：検査指摘 - PCAOBは2023年度の検査レポートで「固有リスク評価が標準的な文言で済ませられている（例：『金融機関は固有リスク高』）」ことを指摘した。個別判断の根拠文書が欠落していた。固有リスク評価は、なぜその勘定科目が虚偽表示しやすいのかを、取引特性（複雑性、推定の程度、経営者判断の余地）に基づいて説明する必要がある。テンプレート的な「金融機関＝固有リスク高」は不足。
• Tier 2：基準違反の実装エラー - 監基報320.13は、重要性を設定する前に、固有リスクと統制リスクを「予備的に評価」するよう求めている。しかし、多くのチームは重要性を先に設定し、その後、リスク評価を「重要性に合わせて」調整する。因果関係が逆転している。リスク評価は対象勘定科目の特性に基づいて行い、その結果に基づいて重要性を調整するべき。
• Tier 3：文書化ギャップ - 統制がある場合、その統制がなぜ有効と判定したのか（設計確認ステップ、運用確認ステップ、サンプルサイズ）を記載しているファイルは少ない。「統制リスク低」と結論づけているが、根拠となる証拠（例：支払手続マニュアル、システム出力の検証記録、テスト結果）を参照していない。
• Tier 4：ISA 315.A4の固有リスク要因の個別文書化不足 - ISA 315（改訂2019）.A4は、固有リスクを評価する際に5つの要因（複雑性、主観性、変化、不確実性、偏向への感応性）を個別に検討するよう求めている。多くの監査チームはこれらを一括して「固有リスク高」と結論づけるが、各要因がどの程度リスクに寄与しているかを個別に文書化していない。たとえば、棚卸資産の評価では「複雑性」と「主観性」は高いが「変化」は低い場合がある。要因ごとの分析がなければ、リスク対応手続の設計根拠が不明確になる。

固有リスク対統制リスク：二つの概念が区別される理由

この区別は、監基報330に反映されている。監基報330.6は、実証的手続の時間（テスト範囲）を決定する際に、固有リスクと統制リスクを分離して考慮するよう求めている。固有リスクが高い取引クラスについては、統制テストの結果に関わらず、実質テスト（物理的確認、独立当事者への確認、計算検証、分析手続の複雑化）を実施する必要がある。統制リスクが高い場合、統制テストで補完できるわけではなく、実証テストを増やすしかない。
実際の監査では、この区別を無視すると以下が起こる：

• 固有リスク高の勘定科目で、統制が「強い」と判定したため詳細テストを減らす（誤り）
• 統制リスク高で、実証テストの時間を確保せず、統制テストだけ増やす（無駄）
• リスク評価を一体的に「全体的リスク＝高」と結論づけ、その後の判断が雑になる（曖昧）
• 固有リスク「高」と統制リスク「高」を分離せずに「重要なリスク」と一括指定し、ISA 315.28が求める重要なリスクへの個別対応（統制の運用評価の義務化、実証手続における確認手続の必須化）を見落とす

関連用語

• 監査リスク: 固有リスク、統制リスク、検出リスクの組み合わせ。全体的な監査リスク管理の枠組み。
• 統制活動: 統制リスクの評価に用いられる、経営者が設計・実装した個別の統制。
• 実証手続: 固有リスク評価の結果に基づいて時間と範囲が決まる詳細テスト。
• 重要性: 固有リスク評価の後に設定されるべき基準値。逆序序は検査指摘を受けやすい。
• リスク対応: 固有リスク・統制リスク評価に基づいて、監査人が選択する手続の種類と時間。