固有リスク対統制リスク

仕組み

監基報320.13は、重要性の基準値を設定する前に、固有リスクと統制リスクを個別に評価するよう求めている。固有リスク（inherent risk、以下IR）とは、ある勘定科目または取引クラスが、統制の有無に関わらず虚偽表示しやすい性質を持つこと。製造業の棚卸資産、金融機関のデリバティブ、建設業の工事進行基準、不動産企業の貸出金評価引当金がその典型で、経営者の判断に依存する程度が高く、変動しやすい。

統制リスク（control risk、以下CR）は別の問いに答える。内部統制が、IRの具体化した虚偽表示を検出・防止できない可能性はどの程度か。統制環境の強さ、統制活動の設計と運用の実態、監視活動の機能。これらに基づいて評価する。統制が強固で実際に運用されていればCRは低い。統制が欠落していれば高い。

二つの評価の組み合わせが、実証手続の量と質を決める。IR「高」＋CR「高」なら、詳細テストは最大。IR「高」＋CR「低」でも、統制テストを減らすことはできないが、実証テストは選別できる。IR「低」であれば、CRがいくら高くても母集団の物理的特性が虚偽表示しにくいため、詳細テストの時間は相対的に短くなる。

---

固有リスク対統制リスク：実践上の区別

正直、この二つを混同している調書は多い。混同すれば検査で指摘される。PCAOBとIAASBの調査でも一貫して問題視されている。現金、棚卸資産、引当金、減損、リース評価のように経営者の判断余地が大きい領域で、この区別が特に効いてくる。

IRを評価するときの問い: この取引クラスまたは勘定科目は、内部統制の有無に関わらず虚偽表示しやすいか。答えが「はい」なら、IRは高い。

CRを評価するときの問い: この勘定科目について、設計された統制が実際に運用され、虚偽表示を検出・防止できるか。答えが「いいえ」なら、CRは高い。

---

事例: テーラメディアム・トレーディング・インコーポレーテッド

クライアント: トルコの機械部品製造業、2024年度、売上 EUR 28M、IFRSレポーター

勘定科目: 在庫（売上原価の28%、EUR 7.8M）

IR評価: 製造業の在庫は、物理的カウント後の価格評価、陳腐化判定、工程内製品の完成度推定に依存する。工程内製品は、実際の完成度と帳簿上のズレが特に生じやすい。本会社は四半期ごとに在庫の流動性を見直しているが、評価基準は経営者の見積りを含む。

調書への記載例:「在庫のIRを『高』と評価する根拠: IAS 2.9により、在庫は正味実現可能額で評価する必要があり、この判定に経営者判断を要する。」

CR評価: 会社は毎月、在庫回転数および売上原価に対する在庫の割合を計算する統制活動を設計している。この統制は実装され、月次決算時に経理課長が確認している。在庫削減が見積値を超える場合、購買課および営業課から追加の報告を求める仕組み。陳腐化リスクに対応する設計としては機能している。一方、工程内製品の完成度評価については、生産課が「完成度%」を毎週報告するが経理課の検証がない。

調書への記載例:「CR評価: 陳腐化統制は『低』。完成度評価の統制は『高』（検証なし）。」

本音を言うと、このケースで一番見落とされやすいのは完成度評価の統制の不在。IR「高」＋CR「部分的」（一部統制あり）の場合、両領域で詳細テストを実施する。陳腐化については、現在販売中の部品の販売記録との照合で削減できる。完成度については、抜出検証（製品ごとのボックス確認、完成度の観察テスト）を全数で実施し、統制テストでは補完しない。

---

実務者と検査官が見落とすこと

- Tier 1（検査指摘）: PCAOBは2023年度の検査レポートで「IR評価が標準的な文言で済ませられている（例:『金融機関はIR高』）」ことを指摘した。個別判断の根拠文書が欠落していた。なぜその勘定科目が虚偽表示しやすいのかを、取引特性（複雑性、推定の程度、経営者判断の余地、外部環境の変動）に基づいて調書に落とし込む必要がある。テンプレート的な「金融機関＝IR高」では検査を通らない。

- Tier 2（基準違反の実装エラー）: 監基報320.13は、重要性を設定する前にIRとCRを「予備的に評価」するよう求めている。しかし経験上、多くのチームは重要性を先に設定し、その後リスク評価を「重要性に合わせて」調整する。因果関係が逆転している。リスク評価は対象勘定科目の特性に基づいて行い、その結果に基づいて重要性を調整する順序が監基報の想定。

- Tier 3（調書のギャップ）: 統制がある場合、その統制がなぜ有効と判定したのか（設計確認ステップ、運用確認ステップ、サンプルサイズ、テスト対象期間）を記載しているファイルは少ない。「CR低」と結論づけているが、根拠となる証拠（支払手続マニュアル、システム出力の検証記録、テスト結果）への参照がない。

---

固有リスク対統制リスク: 二つの概念が区別される理由

監基報330.6は、実証手続の時間を決定する際にIRとCRを分離して考慮するよう求めている。IRが高い取引クラスについては、統制テストの結果に関わらず、実質テスト（物理的確認、独立当事者への確認、計算検証、分析手続の精緻化）を実施しなければならない。CRが高い場合も、統制テストの追加では補えない。実証テストを増やすしかない。

実際の監査で、この区別を無視すると何が起こるか: 1. IR高の勘定科目で、統制が「強い」と判定したため詳細テストを減らす（誤り） 2. CR高で、実証テストの時間を確保せず統制テストだけ増やす（無駄） 3. リスク評価を一体的に「全体的リスク＝高」と結論づけ、その後の判断が雑になる（曖昧） 4. 監基報330.6の二段階評価をスキップし、品管の審査で差し戻される

---

関連用語

- 監査リスク: IR、CR、検出リスクの組み合わせ。監査リスクモデル全体の枠組み。 - 統制活動: CRの評価に用いられる、経営者が設計・実装した個別の統制。 - 実証手続: IR評価の結果に基づいて時間と範囲が決まる詳細テスト。 - 重要性: IR評価の後に設定されるべき基準値。順序が逆だと検査指摘を受けやすい。 - リスク対応: IR・CR評価に基づいて、監査人が選択する手続の種類と時間。

---