KAMの事例でコーポレートガバナンス

2020年から日本でも導入されるKAM(Key Audit Matter)。日本では「監査上の主要な検討事項」と呼ばれ、企業の監査における重点領域に関する情報が、監査報告書で報告されるようになる。この監査における重点領域は、いわゆるリスクアプローチによって決定されることから、KAMを理解するためには、リスクアプローチの理解が重要になる。グローバル企業の監査に長年携わってきた監査のプロフェッショナルが、KAMの事例を紹介しながら、社外取締役や監査役などガバナンス責任者、さらに投資家などの方々に、KAMを理解すれば何がわかるのか、そして何がわからないのかについて、できるだけ簡単な言葉で、わかりやすくアドバイスします。

上場企業のガバナンス責任者は、KAMをテコにして、監査法人の監査手続に対する理解を深め、企業のガバナンスを強化することができます。投資家は、KAMを理解することにより、アニュアルレポートによる企業の開示をさらに深く理解することができます。 監査における情報の非対称性を解消し、資本市場の健全化に貢献したい。そのためのブログです。

2019年06月

不正リスク対応手続き(ISA240)について

ISA240は、ISA315のリスク評価手続と、ISA330のリスク対応手続に加えて、監査人が不正リスクへの対応として実施しなければならない手続を定めたものである。

ISAは、監査には固有の限界があり、ISAに従って適切に監査を計画し、実施したとしても、重要な虚偽表示を発見できないリスクはあるとしている。不正による虚偽表示の場合は、さらにそのリスクが大きいとしている。特に、不正の隠蔽が行われる場合、共謀が行われる場合、さらに経営者が内部統制を無効化する場合において、発見できないリスクが高くなるとしている。
一方で、それを前提とした上で、ISAは、監査人に対して、不正による重要な虚偽表示が財務諸表に含まれていないことについて合理的な保証を得る責任があるとしているのである。すなわち、不正による重要な虚偽表示リスクを監査人が発見できない可能性はあるものの、監査人は不正による虚偽表示リスクを発見できるだけの不正リスク対応手続を、職業的専門家としての懐疑心を十分に発揮して、適切に実施したことを証明できなければ、その責任を負うと考えるべきである。


ISA240.5-7
  • 監査人は、ISAに準拠して監査を行う以上、不正または誤謬によるものであろうと、財務諸表が全体として、重要な虚偽表示を含んでいないことについて合理的な保証を得る責任がある。一方、監査には固有の限界があり、たとえ監査がISAに準拠して適切に計画され、実施されていても、重要な虚偽表示が発見されない可能性があるという不可避のリスクがある。
  • ISA200.4に記載されているように、固有の限界の潜在的な影響は、不正に起因する虚偽表示の場合にさらに重要になる。不正に起因する重要な虚偽表示を発見できないリスクは、誤謬に起因する虚偽表示を発見できないリスクよりも高い。これは、書類の偽造、取引を意図的に記録しない、または監査人に対して意図的に虚偽の説明を行うなど、入念に考案された組織的なスキームによって不正が実行される可能性があるためである。このような隠蔽工作に、共謀が加わるとその発見がさらに困難になる可能性がある。共謀は、監査証拠が事実上誤っているにも関わらず、監査証拠に説得力があると監査人に信じさせてしまう可能性がある。監査人による不正行為の発見能力は、不正の実行者の熟練度、証拠の偽造の頻度と程度、関与する共謀の程度、偽造された個々の証拠の金額の相対的な大きさ、および不正の関与者の権限などの要因によって異なる。監査人は会計上の見積りなどの判断領域において、不正が実行される可能性のある機会を識別ことはできても、その虚偽表示が不正または誤謬によるものであるかどうかを判断することは困難である。
  • さらに、経営者による不正によって生じる重要な虚偽表示を、監査人が発見できないリスクは、従業員による不正による場合に比べて大きくなる。なぜなら、経営者は会計記録を直接または間接的に操作したり、不正な財務情報を表示したり、同様の事態を防止するための内部統制を無効にする立場にあることが多いからである。

リスク評価手続として実施すべき不正リスク対応手続

それでは、不正リスク対応手続として、ISAは監査人に、どのような手続を行うことを要求しているのであろうか。
iSA315では、監査人は、リスク評価によって不正による虚偽表示リスクを評価しなくてはならない。ISA240では、さらに、収益認識に係る不正による虚偽表示リスクを推定することを要求している。


ISA315.25
監査人は、重要な虚偽表示のリスクを次のように識別し評価しなければならない。(a)財務諸表レベル。 および(b)取引の種類、勘定残高、および開示についてアサーションレベル。アサーションレベルのリスク評価をベースとして、リスク対応手続をデザインし、実行する。
ISA240.26
不正による重大な虚偽表示のリスクを識別し評価するにあたって、監査人は、収益認識において不正のリスクがあるという推定するとともに、どういった収益タイプ、収益取引またはアサーションが、そのようなリスクを生じさせるかを評価しなければならない。

不正リスクを推定するということはどういうことかというと、収益認識については、他の領域よりも不正リスクが高いという推定のもの、リスク評価をする必要があるということである。その結果、不正リスクが識別された場合、「特別な検討を必要とするリスク」としてリスク対応手続を行うことが要求されている。(ISA240.27)。もし、収益認識について重要な不正による虚偽表示リスクが存在しないと監査人が結論づける場合、監査人はその理由を監査調書に含めることが要求されている。(ISA240.47)。

さらにもう一つ、不正リスクを認識すべき領域がある。「経営者による内部統制の無効化」リスクと呼ばれるリスクである。企業の経営者は内部統制を無効化できるユニークなポジションにあるという考えから、そういった不正リスクに対応するための手続を実施することが要求されているのである。こちらについては、収益認識のリスクと異なり、重要な不正による虚偽表示リスクがないと結論づけることは許容されていない。

リスク対応手続として実施すべき不正リスク対応手続

収益認識に係る不正による虚偽表示リスク
「特別な検討を必要とするリスク」として、通常、アサーションレベルでリスク対応を行うが、不正リスクに対応した特別な手続を行うことが求められる。

経営者による内部統制の無効化リスク
経営者による内部統制の無効化リスクに対するリスク対応手続は、ISA240の中で定められている。
  • 仕訳入力テスト(ISA240.32(a))
帳簿に計上されたすべての仕訳を対象に、不正による仕訳入力がないことをテストする。
具体的には、すべての仕訳を母集団として、通常の内部統制やプロセスを通さずに入力されたと思われる仕訳や、不自然な兆候を示す仕訳を一定のキーワードなどの条件で抽出し、不正によるものでないかを確かめるといった手続である。
  • 会計上の見積りに含まれる経営者バイアスの有無の検討(ISA240.32(b))
見積りに使用された仮定や判断が合理的で、バイアスがかかっていないか評価する。
マネジメントによる過去の判断を遡って評価する。
  • 通常のビジネスプロセスと異なる重要な取引のレビュー(ISA240.32(c))
通常のビジネスプロセスと異なる重要な取引があった場合、それらの会計処理が経済的実態に照らして合理的かどうかを評価する。

リスク対応手続としての実証手続について

内部統制のテストの場合、リスク評価手続でデザイン(整備)とインプリメンテーション(実装)がテストされ、リスク対応手続で、オペレーション(運用)がテストされるということはこちらで説明したとおりであるが、実証手続の場合は、リスク対応手続として実施される。
実証手続は、分析的手続と、サンプリングによるテストの2つにわかれるが、分析的手続といった場合は、リスク評価手続でも行われる。そこで、リスク対応手続として行われる分析的手続を分析的実証手続と呼んでいる。したがって、より正確にいうと、実証手続は分析的実証手続とサンプリングによるテストの2つに分かれるということになる。

リスク評価手続で行われる分析的手続と、分析的実証手続の何が違うかというと、まず、目的が異なる。リスク評価で行われる分析的手続は、あくまでリスクを識別するための分析である。また、分析の方法も趨勢分析や比率分析などであり、異常が無いかといった分析が行われる。その結果、説明がつかないような異常な増減が識別された場合、監査人は、さらに分析を行うのである。その結果、虚偽表示リスクが識別された場合は、そのリスクに対する対応手続をデザインすることになる。一方、リスク対応手続で行われる分析的手続、すなわち分析的実証手続は、もっと実証的な目的で実施され、例えば、検証したい帳簿残高に対して、帳簿と独立したデータをつかった期待値との比較において、その残高の正しさを検証するのである。監査人は、帳簿残高と期待値との比較において、許容誤差と比較し、許容範囲内であれば、その残高が正しいと判断するのである。

リスク対応手続では、サンプリングによるテストも行われる。監査のリソースは限られているため、通常の実証手続では、母集団をすべて検証することはせずに、サンプリングによりテストで母集団全体についての結論を出すのである。したがって、サンプルに対してテストした結果が、母集団全体をテストした結果であると合理的に結論づけることが必要である。そのため、監査人は母集団から偏りなくサンプルを抽出することが必要であり、これを代表サンプリングという。代表サンプリングの方法はいくつかあるが、統計的に行う場合と、非統計的サンプリングに分かれる。統計的サンプリングは、金額単位抽出法といって一定の金額ごとに母集団を分割しながらサンプルを抽出する方法が良く使われる。非統計的サンプリングは、金額をベースに抽出できないケースなどに、乱数などを使いながら、恣意性の介入しない選び方をする場合で、無作為サンプリングなどが該当する。

一方、リスクアプローチで、リスクが高いと考えられるサンプルを抽出し、重点的にテストすることも、監査人の判断により行われるのである。この場合は、代表サンプリングではないので、サンプルに対するテスト結果を母集団に対するテスト結果として結論づけることはできない。そのため、残りの母集団(これを残余母集団)について、代表サンプリングを行うことが必要となる。

リスク対応手続としての内部統制テストについて

内部統制のテストは、整備と実装、さらに運用のテストに分かれる。整備とは、内部統制の仕組みのことと理解すればよい。どういう人が、どういうチェックをする仕組みになっているかが内部統制の整備である。また、実装とは、内部統制が整備されたとおりに実際に行われているかどうかということである。さらに、運用とは、その内部統制が安定的に実行され有効に機能しているかどうかということである。

リスク評価手続きでは、整備と実装をテストすることが求められる。内部統制の運用をリスク対応手続としてテストすることにより、同じくリスク対応手続きとして実施する実証手続を簡略化することができる。運用をテストするかどうかは、監査の有効性、効率性を考慮しての監査上の判断である。


次に内部統制のテストを監査人はどのように実施するのかであるが、整備のテストは、内部統制の仕組みそのものがリスクに対応しているかをテストするという点で、実装や運用のテストとは全く性質が異なる。
整備のテストにおいては、適切な能力、経験を有するコントロール実施者が、どのようなチェックをおこなうことになっているかを理解し、それが重要な虚偽表示リスクを十分に軽減できるかどうかを評価するのである。実装のテストでは、コントロールの実施者が、実際にそのとおりにチェックをしているかどうかを、観察や資料の閲覧で確認する。さらに運用では、年間を通じて安定的にコントロールが整備されたとおりに実施されていることを検証することであり、サンプルベースでの資料閲覧や、監査人による再実施などにより、コントロールの有効性について結論づけるのである。年に1度しか実施されないコントロールの場合、実装のテストで、運用のテストも兼ねることもできる。

リスク対応手続(ISA330)について

重要な取引種類、勘定残高、開示に関するアサーションレベルでの重要な虚偽表示リスクへの対応手続としては、内部統制テストと、実証手続の2つの方法がある。監査人は、どちらかを選択するか両方を組み合わせてリスク対応する。(ISA330.A4) ただし、重要な取引種類、勘定残高、開示に対するリスク対応には、実証手続きを含めなければならないとされている。(ISA330.18) なぜなら、監査人がすべての内部統制をテストしているわけではないし、経営者による不正リスクに対して内部統制は有効でないなど、内部統制テストには限界があるからである。

そうすると、すべて実証手続だけでリスク対応すれば良いではないかと思われるかもしれないが、実はそうでもない。実証手続は、サンプリングか、分析的手続か、あるいはその両方でテストする。 大量の取引がITシステムによって自動処理され、その処理を帳票で確認できないような場合、実証手続だけでは、十分な心証が得られないとされている。このような場合は内部統制テストを実施する必要がある。(ISA330.8) 一方、分析的手続の場合は、帳簿とは独立したデータから帳簿残高の期待値を算出し、実際の帳簿残高との差異が許容範囲に入ることにより心証を得るのであるが、そもそも十分な精度で期待値を算出することが難しい場合も多い。

リスクアプローチでは、内部統制を十分に理解して、効率的に監査を行うという観点で、むしろ内部統制の方が重視される傾向がある。

監査人が企業の業務プロセスや内部統制を十分に理解してテストすることは、企業にとってもメリットがある。効率的な監査が行われることは、企業にとっても監査を受けることの負担を軽減させるし、ビジネスに理解のある監査人から適切なアドバイスが受けられること期待できる。また、投資家は、監査人が実証手続からの心証よりも、内部統制からの心証を好むのである。なぜなら、実証手続は、過去のデータに基づく、一度きりの心証であるが、内部統制が有効ということは、会社が将来にわたって健全に経営されていることを保証してくれていると考えるからである。

リスク評価手続(ISA315)について

ISA315 「企業および企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」は、監査人がリスク評価手続として、どのようにして企業と企業環境、さらに内部統制を理解し、その理解をベースに「重要な虚偽表示リスク」を識別するかを定めている。

まず最初に、ISAはリスク評価手続は以下のような手続きであるとしている。

ISA315.06

リスク評価手続には、以下が含まれる。

  • マネジメントおよびその他の人員への質問。虚偽表示リスクを識別するのに役立つ情報を持っていると思わられる人から情報を入手する。
  • 分析的手続として、財務諸表の勘定科目間の比率分析や、財務諸表以外のデータとの比較など
  • 「観察」と「閲覧」。企業内の施設や業務の観察、文書の閲覧など

ISAでは、監査チームで、不正リスクも含めた虚偽表示リスクついて、ブレーンストーミングをすることも求めている。監査人はリスクの識別に役に立つ情報はすべて利用すべきだと思って良い。

まず、最初にISAは、企業と企業環境の理解として理解すべきものを示している。

ISA315.11

監査人は以下について理解しなくてはならない。

  • 企業が属するインダストリー、規制、製品、技術、競合他社、サプライヤー、顧客といった外部環境
  • 事業、資本関係、ガバナンス、投資先、資金調達の方法など
  • 企業の会計方針など
  • 企業の目的、戦略、事業リスク
  • 財務パフォーマンス

また、企業の理解として、企業の内部統制についても理解することを求めている。

ISA315.12-13

  • 監査人が理解しなくてはならない内部統制は、監査人が監査上理解することが必要と判断した内部統制である。
  • 監査人は、内部統制について理解するにあたって、内部統制のデザインを評価するだけでなく、それがデザインされたとおりに運用されているかどうかも含めて評価しなくてはならない。


内部統制を理解するというのは、実はそう簡単でない。 内部統制の実施者に質問して、「こういうチェックをやっています。」という回答をもらうだけでは監査手続ではないのである。 監査人は「それでは、実際にやっているところを見せてください。」と言わなければ、デザインされたとおりに運用されているかどうかわからない。これが、上でいうところの「観察」という手続である。 また「閲覧」とは、単に書類を読むだけでなく、内部統制が実際に行われた証拠を探さなければならない。 会議の議事録を読むだけでは、その会議が内部統制として有効なチェック機能を果たしていることは分からない場合が多い。そういった場合、監査人は、オブザーバーとして、実際にその会議に参加させてもらう必要がある。これも「観察」という手続である。 内部統制の理解というのは、監査業務の中で相当なリソースを必要とするのである。

 
さらにISAは、企業が構築すべき内部統制のフレームワークとして、内部統制の構成要素を示し、これらについて、監査人が理解することを求めている。

ISA315.14-24
  • 企業トップの姿勢、ガバナンスにより良好な統制環境が構築されているか
  • リスク評価プロセスにより、企業がビジネス上のリスクを適時に識別し、適切に対処できているか
  • 財務報告を支える情報処理システムが適切に設計、維持、管理されているか
  • 企業内のコントロール活動のうち、監査人が虚偽表示リスクの識別のために理解すべきもの。
  • 内部監査などのモニタリング活動が有効に機能し、内部統制の問題などが適時に発見され解消されているか。

特に、4番目のコントロール活動は、業務プロセスに関連する多くのコントロールが含まれる。またITシステムによる内部統制も含まれるため、その理解のために非常には、相当のリソースが必要となる。 通常、監査人は、受注、出荷、売上計上、さらに決算・財務報告といった重要な業務プロセスについて、取引の開始から記帳までのプロセスをウォークスルーすることにより、業務プロセスを理解しながら監査人として理解すべきコントロールを識別していくのである。

 

次に、ISAは重要な虚偽表示リスクの識別にあたって、どのレベルで識別するかについて示している。 

ISA315.25

監査人は、重要な虚偽表示リスクを以下のレベルにおいて識別し、評価しなければならない。

  • 財務諸表全体のレベル
  • 取引種類、勘定科目や開示に関するアサーションのレベル

これは、虚偽表示リスクというのが、財務諸表に表れる数字 (取引種類、勘定科目、開示のこと) が、どういった理由で虚偽表示になるのかというところまで突き詰めないと、リスクに関連付けられないということである。 すなわち、架空計上なのか、計上漏れなのか、評価が間違っているのか、計算ミスなのか、あるいは計上すべき会計期間を間違ったのか、これらがアサーションなのである。 例えば、売上という勘定科目について、架空計上と、計算ミスは、別々のリスクである。 架空計上には不正リスクもあるかもしれない。前回の記事にも書いたが、評価のリスクは会計上の見積りに関連するので特に対応が難しいリスクである。 だから、勘定科目のリスクというのは、アサーションレベルで把握する必要があるのである。一方で、財務諸表に虚偽表示が発生するリスクの中には、特定の勘定科目に関連付けられないリスクもある。 たとえば、ITシステムを入れ替えるときにトラブルが発生したとか、企業のトップの姿勢やガバナンスに問題があると言った場合である。

 

最後に、ISAは監査人がどうやって重要な虚偽表示リスクを識別するかを示している。

ISA315.26

上の目的のため、監査人は以下を行わなければならない。

  • 企業と企業環境を理解するとともに、リスクに関連する内部統制を財務諸表の取引種類、勘定残高、開示と関連付けながら理解するプロセスを通じて、リスクを識別する。
  • 識別されリスクがさらに広範で、財務諸表全体に関連するリスクかどうか、また多くのアサーションに影響するリスクかどうか評価する。
  • アサーションレベルのリスクについて、対応する内部統制を念頭に、「もし、何かがうまくいかなかったら? (What can go wrong?)と考えて見る。
  • 財務諸表に虚偽表示が発生する可能性を検討する。さらにそれが複数の箇所で虚偽表示を引き起こす可能性や、重大な虚偽表示につながるような潜在的影響も含めて検討する。

監査人がこれまでに実施した、企業と企業環境の理解や、リスクに関連する内部統制の理解をベースに、財務諸表の取引種類、勘定残高、開示について、アサーションレベルで、内部統制を考慮しつつ、「もし、何かの要因で、うまくいかなかったら? (What can go wrong?)」と考えることにより、リスクを識別していくのである。そのように識別されたリスクは、財務諸表の取引種類、勘定残高、開示に関連するアサーションレベルで識別されるのである。そこで識別されたリスクに、もっと広範囲に影響するものがないかを潜在的影響も含めて検討するということである。

 

以上がISA315の概略であるが、リスク評価手続と、その結果識別される虚偽表示リスクのようなものはイメージできたであろうか? 

記事検索
にほんブログ村 経営ブログ 財務・経理へ
にほんブログ村
にほんブログ村 経営ブログへ
にほんブログ村
にほんブログ村 企業ブログ 企業情報へ
にほんブログ村
にほんブログ村 士業ブログ 公認会計士へ
にほんブログ村
  • ライブドアブログ