重要なポイント

リスク評価手続は監査の最初の段階で実施し、被監査会社の環境、内部統制、ビジネスリスクを理解する。
評価結果は、後続の実証的手続の対象、サンプルサイズ、立証の性質を直接決定する。
多くの事務所は手続を形式的に実施し、得られた情報を検証的手続の計画に十分に反映させていない。

仕組み

ISA 315.5は、監査人がリスク評価手続を計画・実施することを要求している。その目的は、被監査会社と被監査会社の環境を理解し、虚偽表示のリスクを評価することにある。リスク評価手続には、経営者およびその他の者への質問、分析的手続、観察およびその他の検査(ISA 315.A2)が含まれる。
質問だけでリスク評価を完了する事務所は多い。しかし、ISA 315.A2は以下の要素を明示している。経営者の回答と独立した証拠が一致しないことは珍しくない。売上成長が顕著で経営者が「特別なマーケティング施策の成果」と述べた場合、前年度との比較分析が売上増の理由を検証する。不一致が見つかったら、その原因を調査する必要がある。
リスク評価手続の範囲は、被監査会社の規模、複雑性、業界によって異なる。小規模企業では経営者との月次の打ち合わせとキャッシュフロー分析で足りることもある。複雑なグループ企業では、各事業部門ごと、各地域ごとの詳細な分析が必要になる。ISA 315.A5では、監査人が被監査会社に関する事前の知識を活用することを認めている。前年度の監査で識別したリスク、その時点での対応策は、当年度の出発点になる。

実務例:田中製造株式会社

被監査会社: 日本の製造業(電子部品メーカー)、2024年度売上 8億5000万円、日本基準採用、従業員250名
ステップ1. 経営者及び経理部長への質問
文書化ノート: 打ち合わせ記録を実査段階前に監査ファイルに保存。質問事項は業界動向(顧客の在庫調整サイクル、LED産業の競争激化)、内部異動の詳細を記録。
ステップ2. 前年度の監査結果との比較
文書化ノート: 前年度指摘事項と当年度の対応状況をリスク評価ワークペーパーに整理。対応なしの項目については、追加的なリスク評価手続を決定。
ステップ3. 分析的手続
文書化ノート: 売上成長が計画と一致。売上原価率の安定は、新規顧客からの受注内容(利幅の大きい製品)と合致。ただし、下期の実績未確認のため、期末月の3つの売上取引を詳細に検証することを決定。
ステップ4. 観察及び他の検査
文書化ノート: IT統制リスク(クラウド移行に伴うアクセス管理の変更)の評価を深める。導入延期の場合、現行システムの統制が継続して有効であることを確認する必要あり。
結論: リスク評価の結果、重大なリスク領域は売上取引の認識(下期の実績)、クラウド移行に伴うIT統制(導入時期不確定)、在庫評価(前年度指摘の未対応)の3つと評価した。これらの領域に対して、検証的手続を集中させることを決定。売上取引については月次サンプル(3か月×10取引)を詳細に検証し、IT統制は移行前後のアクセスログを確認することにした。

  • 当年度の主要な経営目標:新規顧客獲得による売上25%成長、コスト削減5%
  • 最近の人事異動:経理部長が前年度末に異動。後任は前営業部長
  • システム関連:受注システムのクラウド移行を10月に完了予定
  • 前年度で識別したリスク:売掛金の回収遅延(顧客Aの信用力低下)、在庫評価
  • 当年度の進展:顧客Aとの取引を15%削減。在庫管理システムは未導入(対応予定なし)
  • 売上成長率の分析:当年度上期売上4億2000万円、下期予想4億3000万円(計8億5000万円)。前年度は6億8000万円。成長率25.0%
  • 売上原価率:前年度43.2%、予想当年度43.1%。大きな変化なし
  • 売掛金回転日数:前年度60日、予想当年度58日(改善傾向)
  • 工場訪問:生産設備は新しく、稼働率は高い状態。従業員の数は採用予定通り進捗
  • 受注システムのクラウド移行準備状況:10月導入予定だが、テスト環境では未実施。ITマネージャーが責任を持つ。導入延期の可能性が高い

監査人と実務者が誤解しやすい点

  • 多くの事務所はリスク評価手続を形式的に実施している。 経営者への質問を「標準的なアンケート」として対応し、回答内容を検証せず、すぐに次のステップに進む。ISA 315.A2は独立した証拠との照合を要求している。質問と分析的手続の結果が矛盾したら、その原因を探究する文書化が必須。
  • 分析的手続の範囲が不足する傾向がある。 売上と売掛金の伸び率を比較するだけで、業界動向、顧客別の売上構成の変化、原価率の動きを見ていない事務所がある。ISA 315.A1は、被監査会社と被監査会社の環境についての「理解」を求めている。理解がなければ、どの領域にリスクがあるかを識別できない。
  • 前年度の評価結果を軽視する傾向。 「毎年同じリスク評価をする」という形式的なアプローチの結果、被監査会社の状況変化(経営陣の交代、新規事業、システム導入延期)を見落とす。ISA 315.A5は事前の知識の活用を認めているが、「知識を流用する」ことと「当年度の変化を評価する」ことは異なる。
  • 観察手続の省略が常態化している。 ISA 315.A2が求める「観察およびその他の検査」は、質問と分析的手続に次ぐ第三の手段だが、実務では省略されることが多い。工場やオフィスの視察、在庫の保管状況の確認、ITシステムの運用画面の閲覧など、現場で得られる証拠は経営者の回答だけでは把握できないリスクを検出する。

対比的な関連概念

リスク評価手続 vs. 実証的手続
リスク評価手続と実証的手続は監査の連続した2つの段階である。リスク評価手続は「何がリスクか」を識別する段階。実証的手続は「そのリスクが実際に発生しているか」を検証する段階。
リスク評価手続の結果が実証的手続の形状を決定する。ISA 330は、評価されたリスク(特に重大なリスク)に対応するための検証的手続の設計を要求している。リスク評価で「売上認識が高リスク」と判定したら、実証的手続では売上取引のサンプルサイズを大きく、より詳細な検証を実施する。逆に「売上認識は低リスク」と判定したら、分析的手続だけで足りるかもしれない。
両者を混同する事務所がある。リスク評価で「~について質問した」という記載が、そのまま実証的手続の設計に使われている例がある。ISA 315と ISA 330は異なる基準である。前者は「リスクが何か」を理解する段階、後者は「そのリスクに対応するために何をするか」を設計する段階。

関連用語

  • リスク評価手続: リスク評価手続は監査リスク全体の構成要素である重大な虚偽表示のリスクを評価するために実施される。
  • 内部統制の理解: リスク評価手続の重要な要素。経営者の統制環境、経営方針への理解がなければリスク評価は不完全。
  • 分析的手続: リスク評価手続に含まれる3つの方法の一つ。質問と独立した情報を照合する。
  • 実証的手続: リスク評価の結果に基づいて設計される。評価されたリスクが高ければ、実証的手続の範囲と深さを拡大する。
  • 重大なリスク: リスク評価手続で識別されたリスクのうち、評価されたリスクが高い領域。ISA 330に基づく特別な対応が必要。
  • 被監査会社の理解: リスク評価手続の目標。被監査会社の事業、業界環境、内部統制、経営者の意図を理解する。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。