Definition
統制テストは、経営者や監査委員会が置いた統制が有効に運用されているかを検証する手続。実証手続は、財務諸表の金額や開示が正確かを直接検証する手続。監基報330(ISA 330)は両者を並行して実施することを求めているが、目的、規模、タイミングは別物である。統制テストが統制の有効性を支持すれば実証手続の規模を減らせるが、統制が無効だと示せば金額検証をより厚くしなければならない。
キーポイント
- 統制テスト(いわゆる内統テスト)は「統制が設計され、運用で効いているか」を確認する。実証手続は「金額が正しいか」を直接見にいく。 - 統制テストで統制が有効だと評価できた場合、実証手続のサンプルサイズを減らせる。無効と判定されれば、実証手続は拡大する。 - 多くの検査指摘は、統制テストをやったのに、その結果が実証手続のサンプル数に反映されていない調書に集中している。 - 両者は相互排他ではない。同じ項目に対して統制テストと実証手続の両方を走らせる設計は、むしろ普通。
実務で区別する理由
テスト・オブ・コントロールを1回やって、「内部統制に依拠した」と結論づける調書を見かける。ISA 330の要求を読み直すと、そんな簡単な話ではない。ISA 330.5は、監査人に統制の設計と運用の有効性を評価する手続(統制テスト)を計画・実施するよう定めている。ISA 330.7は、評価されたリスクに基づいて実証手続の性質、時期、範囲を決めることを定める。ここは単なる用語上の区別ではなく、調書全体の分岐点。
銀行の現金管理を例に考える。銀行が日次で現金出納帳と残高を照合する統制があるとする。統制テストでは、実際に照合が行われたか(複数日分の証跡を確認する)、差異が出た日に調査されたか(たとえば7月15日の5,000ドルの差異について、何が原因だったか)を見る。統制が機能していると判定できた場合、月次の銀行照合の実証手続は限定的なサンプリングで足りる場面が出てくる。
対照的に、実証手続では、期末時点の銀行口座残高が貸借対照表に正確に計上されているか、銀行確認状の金額と一致しているかを直接検証する。統制テストが統制の無効性を示した場合(たとえば、毎日の照合が実際にはやられていなかった)、実証手続はサンプル数を積み増して走らせる必要が出てくる。
判断が生じるのはここから。 統制テストの結果を受けて、実証手続のサンプルサイズを何件に設定するか。そこが、2つの手続を分けている本当の境界線。
実証手続の規模における統制テスト結果の影響
ISA 330.7(b)は、「監査人は、評価されたリスクが高いほど、より説得力のある監査証拠を入手するため、実証手続の範囲を広げることを検討しなければならない」と定めている。統制テストが統制の有効な運用を支持しない場合、評価されたリスクは高いまま動かず、実証手続の拡大は避けられない。
反対に、統制テストが統制が有効に機能していることを支持する場合、監査人はISA 330.8に基づき、より少ない実証手続で同じ監査上の確信を得られると判断する余地が出てくる。ただしISA 330.9は、重要な主張(存在、完全性、正確性)については、統制テストだけでは不足で、実証手続も必ず走らせることを明記している。
対比表
| 観点 | 統制テスト | 実証手続 |
|---|---|---|
| 目的 | 統制が設計され、運用で効いているかを確認する | 財務諸表の金額や開示が正しいかを直接確認する |
| 検証対象 | 統制の実行証跡(承認書類、照合表、システムログ) | 取引や残高の実質内容(請求書、銀行残高、固定資産記録) |
| リスク評価への利用 | 統制の有効性から統制リスクを評価する | 評価されたリスクから実証手続の規模を決める |
| 実施時期 | 計画段階と期中(通常、期末より前) | 主に期末(完了段階の分析的手続を除く) |
| 対象範囲 | 統制の全般理解と複数日分の実行例の検証 | 期末時点の金額に対する検証、またはより詳細なサンプリング |
実務で分かれる場面
両者の区別が現場で効いてくるのは、統制テストの結果と実証手続の規模の関連付けをどう設計するか、の一点に集約される。
ISA 330.7の適用では、監査人は次のステップを順に踏む。
第1段階:リスクの評価。ISA 315に基づいて、重大な虚偽表示のリスクを特定・評価する。この段階では、期待される統制の効果を仮定する。
第2段階:統制テストの計画。重大なリスクに対応する統制について、設計と運用の有効性を検証するテストを組む。たとえば、請求売上のリスクに対応する「全請求書を営業マネージャーが承認する」統制をテスト対象にする。
第3段階:統制テストの実施と結果の評価。複数の取引サイクル(たとえば6〜12件の請求書サンプル)について、営業マネージャーの承認が実際にあったか、漏れがないか、不正な修正がないかを確認する。統制が有効と評価されれば、「統制リスク」は低く設定される。無効と評価されれば、統制リスクは高いまま。
第4段階:実証手続の規模を再決定。統制リスクが低い場合、サンプルサイズを減らせる(たとえば40件)。統制リスクが高い場合、より大きなサンプルが必要になる(たとえば100件以上)。
A社パートナーとB社パートナーで判断が割れる場面
正直、同じ事実関係でも、パートナーによって設計は変わる。Aパートナーはコントロールテストの依拠率を上げて実証手続を削る方針をとる。ITGC(IT全般統制)の評価に人月は食うが、通年で見れば実証手続の工数が下がる。Bパートナーは「依拠の証跡が残りづらい」として実証手続を厚くする。統制テストの逸脱1件を拡大解釈されるリスクを嫌うタイプ。どちらも品管(品質管理部)の審査コメントに耐える設計だが、業務全体の効率は別物。
多くの事務所が「コントロール依拠」に踏み切れない構造
現場の感覚で言うと、多くの事務所がコントロールテストに依拠しきれないのは、ITGCの評価に人月がかかるから。内統(内部統制)の整備・運用評価を真面目にやると、期中の作業量が前年比で倍になる。結局、前年踏襲のサンプリングサイズで実証手続を回す方が、パートナーの審査コメントが少ない。コントロール依拠は理屈では効率化だが、初年度の立ち上げコストが回収できる業務でなければ採算に合わない。
金融庁の監査事務所検査における指摘事例
検査指摘では、統制テストと実証手続の関連付けが切れている事例が繰り返し報告されている。典型は次の3パターン。
事例1:統制テストは実施されたが、実証手続の規模に反映されていない。たとえば、IT全般統制(システムアクセス権の管理が有効)のテストを実施したにもかかわらず、期末の売上試査で全期間のサンプルを検証している調書。統制が有効なら、期末付近のサンプルに絞れるはず。
事例2:反対に、統制テストで統制が無効だと判明したのに、実証手続の規模が前年と変わらない調書。棚卸確認プロセスが形骸化していることが分かったのに、棚卸資産の期末監査手続は期中と同じサンプル数で回している。
事例3:統制テストの対象外の統制について、実証手続で補完していないパターン。たとえば、クレジット与信承認プロセスの統制テストを実施していない場合、売上実証手続では未回収債権の監視手続をより詳細に走らせておくべき。
区別が現場で効いてくる理由
統制テストと実証手続の明確な区別は、3つの実務的な帰結を生む。
第1に、限られた監査資源の配置。統制が有効に機能していることが分かれば、その領域の実証手続に注ぐリソースを削減でき、より高リスクの領域に時間を寄せられる。
第2に、検査対応の一貫性。統制テストの結果と実証手続の規模が論理的に結びついていると、監査人の判断の追跡可能性が上がる。金融庁やPCAOBの検査官は、統制テスト→統制リスク評価→実証手続規模という流れを確認する。その流れが切れていると、「なぜこのサンプルサイズなのか」という質問が必ず出る。
第3に、監査品質の継続的な見直し。統制テストと実証手続の相互作用を整理しておけば、来期はどの統制を強化すべきか、どの領域の実証手続を絞れるかが見えてくる。前年踏襲(SALY)で回し続けると、この見直し自体が発生しない。
よくある誤解
誤解1:「統制テストをやったから、実証手続は軽くていい」。これは違う。ISA 330.9は、重要な主張については統制テストだけでなく、常に何らかの実証手続(分析的手続または詳細テスト)が必要だと定めている。統制テストは実証手続の代替ではなく、補完。
誤解2:「統制テストで統制が無効だと分かったら、その領域の実証手続は100%検証すべき」。これも過剰。ISA 330.7は、統制リスクが高い場合、より説得力のある証拠(より詳細、より多くのサンプル)を求めているが、全件検証までは要求していない。
誤解3:「統制テストは期中に、実証手続は期末に」。実務上、両者の時期は重なる。9月の現金出納帳照合の統制テストと12月の現金残高の実証手続を並行して計画・実施するのは珍しくない。問題は時期ではなく、統制テストの結果が実証手続の規模判断に反映されているかどうか。
実務例:田中建機株式会社
対象:売上取引、重要性の基準値は税引前利益の5%(€2.1百万)。計画段階でのリスク評価:売上の完全性リスク(売上が除外されていないか)、正確性リスク(金額が誤算されていないか)を「高」と評価。
統制の設計評価:営業部が請求書を作成し、営業課長が「請求書チェックリスト」で金額、顧客名、納期を確認した後、経理部長がシステムに入力する前に再確認する。この統制の設計は妥当。
統制テストの実施:9月から11月の3ヶ月間、毎月3営業日を抽出し、各日の全請求書(合計32件)について、チェックリストに営業課長の署名があるか、経理部長の承認記録があるか(システムログで確認)、修正履歴がないかを検証。
ドキュメンテーション:チェックリストコピー、署名有無のマトリクス(32件中31件に署名あり。1件は課長が不在だった日で、翌日に追加確認された)、修正なし。統制の運用は有効と判定。
統制リスク評価:統制リスクを「低」に設定。
実証手続の規模調整:期末12月の売上実証手続。当初計画では60件のサンプル(全期の売上約800件の7.5%)を予定していた。統制が有効と判定されたため、サンプルサイズを45件に削減(5.6%)。ただしISA 330.9に基づき、完全性について直接的な実証手続(月別売上集計表と記帳台帳の突合、月末付近の取引の期間カット確認)は実施。
結論:統制テストで統制の有効性が確認されたため、実証手続のサンプリングリスクを許容できる水準に引き下げた。同時に、重要な主張(存在と完全性)については統制テストだけでなく、実証手続でも検証している。
関連するciferiツール
- 重要性計算機:統制テストの結果に基づいて実証手続の規模判断を進める際、パフォーマンス重要性(統制リスクが低い場合のしきい値)の算出に使う。 - ISA 330実装チェックリスト:統制テストの計画から実証手続の規模決定までの全段階を記録する標準フォーマット。
関連用語
- 重要な主張: ISA 330が求める実証手続の対象。統制テストの有無にかかわらず、常に実証手続が必要。 - 統制リスク: 統制テストの結果に基づいて評価される。この評価が実証手続の規模を直接決める。 - 評価されたリスク: ISA 315で評価され、ISA 330の統制テストと実証手続の設計に影響する。 - 分析的手続: 実証手続の一種。統制テストの結果にかかわらず、重要な主張については常に実施対象。 - サンプリング: 統制テストと実証手続の両方で使われる手法。統制リスク評価によってサンプルサイズが動く。 - IT統制: 統制テストの対象となる統制領域。有効性が確認されれば、データ処理リスク関連の実証手続を削減できる。