ISA 240 改訂版対現行版

主要なポイント

ISA 240改訂版は不正リスク評価と対応策評価を分離する。グロスベースの識別が先。
現行版ではリスク評価と対応策を統合する団体が多いが、改訂版ではこの統合アプローチは機能しない。
施行は2026年12月。現在から影響を受ける業務への適用時期を計画する必要がある。

区別が実務で重要な理由

ISA 240改訂版と現行版の差は、不正リスク評価の根本的な考え方にある。現行版（ISA 240.26~.33）では、経営者が対応策を実施しているという前提のもとで、リスク要因を「対応あり」として分類する。つまり、リスク要因が存在しても、対応策が十分に見えれば、リスク評価を低減できた。改訂版ではこのロジックが変わる。ISA 240改訂版.A1は、経営者の対応策が存在するかどうかに関わらず、まず不正リスク要因の有無をスクリーニングすることを求める。次に、その不正リスク要因に対して経営者が有効な対応策を講じているかを評価する。対応策がない、または不十分であれば、その要因は「対応なし」のリスクとして記録される。
この変更は、検査で最も指摘を受けやすい領域である。国際的な検査データから見ると、不正リスク評価と対応策評価を統合する監査は、リスク要因の見落としが発生しやすい。特に、経営者が「対応策あり」と主張した場合、監査人がその主張をそのまま受け入れ、対応策評価を先に実施し、リスク要因の客観的評価をスキップする傾向が高い。改訂版はこの順序を逆にする。

側面別比較表

| 側面 | 現行版（ISA 240） | 改訂版（ISA 240改訂2024） |
|------|------------------|------------------------|
| リスク要因の識別 | 経営者対応策を前提に、リスク要因を「対応あり」「対応なし」に分類 | 対応策の有無に関わらず、全てのリスク要因をグロスベースで識別 |
| 評価の順序 | リスク要因の評価と対応策評価が統合 | リスク要因の識別（ステップ1）が終わってから対応策を評価（ステップ2） |
| 文書化 | 1つの評価ワークシートで両方をカバー | 2つの分離した評価ステップ。最初の識別ステップはリスク要因のグロス一覧 |
| 対応策の評価 | リスク要因評価の一部として統合 | リスク要因の評価後に、別途、対応策の設計と運用実効性を評価 |
| 不正リスク要因が「対応なし」の場合の取扱い | リスク低減と判断することもある | 対応策がない場合は、そのリスク要因は重大なリスク（Significant risk）として機能テストを実施 |

この区別が実務で響く場面

銀行部門の架空売上検査を想定する。監査対象会社は、営業部門による架空売上計上のリスク（現行版ISA 240.26(a)「経営者による売上認識の操作」）を識別している。対応策として、営業本部が月次で売上トランザクションの抽出リストをレビューし、架空売上を防止していると主張している。現行版に基づく監査では、経営者の対応策が「十分に設計されている」と判断すれば、不正リスク要因の評価をそこで終了することが多い。対応策の運用実効性をテストし、その結果が問題なければ、不正リスク全体の評価は「低減される」とされる。改訂版では、このアプローチは機能しない。
改訂版では、架空売上のリスク要因があるという事実は変わらない。経営者の対応策の有無や質は、別の判断である。まず、架空売上リスクが実在するかを客観的に評価する。資金繰りの困窮度、経営インセンティブ、既往の不正事例などを調査し、このリスク要因が「高い」と評価したとする。その後、経営者の対応策（営業本部のレビュー）が、このリスク要因に対して有効に機能するかを検証する。対応策のレビュー手続が「月次」であり、架空売上は「日次」で計上される可能性があるなら、対応策は「不十分」と結論付けられる。この場合、不正リスク要因は「対応なし」として重大なリスク扱いとなり、実証的手続（架空売上の個別テスト）を実施する必要がある。

業務担当者がよく誤解する点

第1段階：現行版では、経営者対応策の評価が不正リスク評価と統合されるため、対応策がリスク要因の存在そのものを「帳消し」にする傾向が強い。改訂版では、リスク要因の存在は対応策とは独立に評価される。例えば、マネジメントオーバーライド（ISA 240.31）は、対応策の有無に関わらず、全ての業務で識別されるべきリスク要因である（改訂版ISA 240改訂.A8参照）。対応策がないまま「マネジメントオーバーライドは存在しない」と結論付けることはできない。
第2段階：現行版では、対応策評価に合格したら、その要因全体の評価は「低減される」と判断する団体が多い。改訂版では、対応策評価の結果は「設計と運用実効性の評価」に限定される。それが不正リスク要因の評価（グロスリスク）を直接低減することはない。対応策が不十分であれば、そのリスク要因は重大なリスク扱いのままである。つまり、対応策の合否と重大なリスクの要否が、現行版より独立する。
第3段階：現行版では、リスク要因と対応策を1つのワークシートでカバーしることが効率的とされた。改訂版では、2つのステップが分離されるため、1つのワークシートで両方をカバーすると、改訂版の要件を満たさない。リスク要因の識別と対応策評価をそれぞれ独立した文書化ステップとして設計する必要がある。

具体例：改訂版での不正リスク評価

会社： 東京の中堅製造業、タケダ精密機械株式会社。2025年度決算。売上15億円。IFRS適用。
ステップ1：不正リスク要因の識別（グロスベース、経営者対応策の有無を問わない）
識別結果： 「経営者による売上認識の過度な計上」リスクあり。グロスリスクは「高い」と評価。
文書化ノート：「借入契約書のコピーを監査ファイルに保管。銀行の条項の詳細をリスク評価ワークシートに記載。3名の監査チームメンバーで個別に評価し、全員が『リスク要因あり』に同意した。」
ステップ2：経営者の対応策の評価（設計と運用実効性）
経営者が提示した対応策：「財務部長が毎月末に売上トランザクションの抽出リストをレビューし、契約書との照合を実施。疑問案件は営業部と協議。」
評価結果： 対応策は「部分的に有効」だが、「全ての不正リスクを検出する設計になっていない」。
文書化ノート：「対応策評価チェックリスト（ISA 240改訂版準用）を使用。3つの質問（実装、タイミング、有効性）の全てで『不十分』と結論。対応策レビュー記録を5期分サンプリングし、実装状況を確認した。」
最終的な不正リスク評価： リスク要因は「存在」。対応策は「不十分」。したがって、このリスク要因は「重大なリスク（Significant risk）」として扱われる。実証的手続として、工事契約案件の全件について、売上認識の時期、計上金額、契約内容の一致を検証する。
この例では、現行版に基づくと、対応策が月次でレビューされているという事実だけで、リスク評価を「低減」することもできたかもしれない。改訂版では、対応策の有効性が「80%カバー」であれば、それは「対応なし」に相当し、リスク要因は重大なリスク扱いのままである。

資金繰りの困窮： 営業キャッシュフローが過去3期で43%減少している。借入金残高が売上の34%に達している。利息カバレッジレシオは1.2倍。業界平均は2.8倍。
経営インセンティブ： 銀行との借入契約に「営業利益が前年度比10%以上増加しない場合、追加利息を1.5%課す」という条項がある。
売上認識の判断： 工事契約の大口顧客が3社あり、各々が売上全体の12～18%を占める。
設計の評価： 対応策は実装されているか。「はい。2024年度から実施。毎月のレビュー記録が存在。」
タイミングの評価： 対応策のタイミングは、リスク要因の発生より前か。「レビューは月次。売上は日次で計上。タイムラグが最大30日。月末に多数の売上が計上される場合、レビューまでに架空売上が計上される可能性がある。」
有効性の評価： 対応策は、もし不正が発生した場合、それを検出する確率はいくつか。「財務部長のレビュー対象は『抽出リスト』。全売上の約80%である。残り20%は単価が小さい案件のため対象外。単価の小さい案件の積み上げでも架空売上が可能。」