重要なポイント
- 標本化リスクは標本の大きさで軽減でき、非標本リスクは手続の質と監査人の判断で軽減される
- 財務諸表全体のリスク評価と同等の重要性を持つが、実務ではしばしば看過される
- 非標本リスクへの対応は、標本化手法の選択よりも、監査手続の設計と実行の厳密さに依存する
- 非標本リスクの評価は監査品質管理基準(ISQM 1)の品質目標と直結しており、事務所レベルの品質管理体制が個別業務の非標本リスクを低減する
仕組み
監査サンプリングには2つのリスク類型がある。標本化リスク(sampling risk)は、監査人が標本から導いた結論が母集団の特性と異なる統計的な確率。標本の大きさを増やせば減少する。非標本リスク(non-sampling risk)は、監査人が選定した手続そのものが不適切であったり、手続を正しく実施しなかったり、結果を誤って評価したりすることから生じる。
監基報530.1は「監査サンプリングの有効性は、監査人が設計したテスト項目を含む標本に対して適用する監査手続の有効性にも依存する」と述べている。つまり、母集団から100項目の標本を抽出したとしても、その100項目に対する監査手続自体が不十分であれば、標本化リスクは低くても非標本リスクは高いままである。
非標本リスクへの対応は3つの段階で行われる。第1に、手続の設計段階で、その手続が監査目標に適合しているか、測定可能であるか、実行可能であるかを確認する。第2に、実行段階で、監査人(または監査補助者)が手続を一貫して実施しているか、判断基準を恣意的に変更していないか、文書を見落としていないか、を管理する。第3に、結論段階で、サンプルから導いた結論を正しく解釈し、母集団に対して妥当な一般化を行っているかを検証する。
実例:バルトシュチャック・メタル・プロダクションS.A.
クライアント:ポーランドの金属加工メーカー、2024年度、売上€28M、IFRS報告者
売上の存在性を監査するため、監査人はサンプル抽出法により400件の売上取引(全売上4,200件)を選定し、対応する出荷文書・請求書を検証する計画を立てた。標本サイズ400は、許容虚偽表示額(€180,000)と予想虚偽表示額(€25,000)から導かれたもので、標本化リスクは適切に設計されていた。
しかし非標本リスクは異なる次元の問題だった。
ステップ1:手続の不明確な定義
文書化:当初の監査計画では、「関連する出荷証拠を確認する」とだけ記載されていた。
「出荷証拠」とは何か、複数の証拠がある場合どれを優先するか、一部の証拠が見つからない場合をどうするかが定義されていない。これは非標本リスクの典型。同じ400件の標本でも、監査補助者ごとに検証基準が異なってしまう。
改善:監査計画を再作成し、「各売上取引について、(1)出荷日、出荷数、得意先名が記載された運送状、(2)発行日と請求金額が記載された請求書、(3)代金回収の証拠(銀行入金の記録または売掛金台帳への記録)を確認する。3つの証拠すべてが揃わない場合は、例外として右セルに記載する」と具体化した。
文書化:改訂計画書に上記を記載。テストの判定基準を一覧表の形式で実務的に示した。
ステップ2:手続の実行の監督不足
文書化:当初、現場の監査補助者に400件の標本リストを渡し、「確認してレポートをくれ」と指示しただけだった。
実行段階では、監査補助者が標本の30%について、請求書の存在は確認したが、実際の出荷の事実(運送状)の確認を省いていたことが、品質レビューで判明した。理由は「小規模な得意先なので確認書で十分だと思った」という恣意的な判断。これが非標本リスク。標本化リスクは管理されていても、実行の質が低下している。
改善:テスト過程を3段階のチェックポイント(抽出時、実行中盤30%、実行完了後100%)で管理し、各段階で監査マネージャーが検証を行った。「出荷証拠を確認」という指示ではなく、「各取引について運送状を確認し、チェック欄に署名する。確認できない場合は例外欄に記載」と、検証可能な行為に落とし込んだ。
文書化:修正版テスト実施表に、各項目ごとに確認日、実行者署名、マネージャー確認欄を追加。実行の透明性と監督の証跡が残った。
ステップ3:結果の誤った解釈
文書化:テスト完了後、監査補助者が「400件中398件について証拠を確認した。2件は書類が見つからなかったが、金額は小さいので重要ではない」と報告した。
この解釈は複数の非標本リスクを含んでいる。第1に、2件の例外の金額規模のみで重要性を判定している(重要性を下回るかもしれないが、なぜ書類が見つからなかったのか、その原因が反復的なコントロール欠陥を示しているかを検証していない)。第2に、「重要ではない」という結論を、記載されている監査証拠だけから導いている(他の補助的証拠、例えば売掛金の回収状況、取引先からの確認状等、を組み合わせていない)。
改善:例外処理の基準を、金額規模ではなく、原因分析と母集団への影響に基づく枠組みに変更した。書類が見つからない2件について、取引相手先への確認書、銀行入金記録、売掛金台帳の記録をさらに検証。その結果、両件とも延期請求(後日請求)の取引で、運送と請求が時間的に分離していることが判明した。この原因が個別の異常であるか、体系的なコントロール欠陥であるかを確認するため、同一得意先との他の取引5件を追加抽出し、同じパターンがないか確認した。
文書化:修正版テスト結果表に、例外の原因分析欄を追加。単なる「確認した/確認できない」ではなく、「確認できない理由」「母集団への影響」「追加検証内容」「結論」を段階的に記載。
結論:非標本リスクへの対応は、「適切なサンプルサイズを選んだ」では終わらない。その標本に対する監査手続がどれだけ厳密に設計・実行・評価されるかで決まる。バルトシュチャック・メタルの事例では、標本化リスクは最初から適切に計算されていたが、手続の定義の曖昧さ、実行時の監督不足、結果解釈の浅さから、非標本リスクが著しく高い監査に陥りかけていた。修正後、同じ標本サイズでも監査品質は大幅に向上した。
レビュアーと実務者が見落とすこと
- 監基報530は標本化リスクについて詳述しているが、非標本リスクの軽減方法については比較的簡潔である。多くの監査調書では、「サンプルサイズ:400件」と記載されているが、その400件に対して実施した監査手続の設計のレベルや、実行の管理方法が文書化されていない。つまり、標本化リスクは数字で「見える」が、非標本リスクは「見えない」形で高いままになっている。
- テスト過程の記載が抽象的であることが頻出する問題。「出荷証拠を確認した」という記載では、具体的に何を確認したのか、確認しなかった場合の判定基準は何か、が不明確。結果として、レビュアーはサンプルの大きさは検証できても、手続の有効性は検証できない状態になる。
- 統計ソフトウェアやサンプリング計算ツールを使用すると、標本化リスクについてはより厳密になる傾向がある。一方、その標本に対する実質的な監査手続の設計と実行の質は、ソフトウェアの外で決まる。ツール依存によって、非標本リスクへの注意が弱まることがある。
- レビュアーが標本サイズの妥当性のみを検証し、実施した手続の設計と品質を検証しない傾向がある。品質管理レビューでは「サンプルサイズ:400件」という数字を確認するだけでなく、その400件に対してどの監査手続がどの水準で実施されたかを、テスト実施表の記載内容から評価する必要がある。