ISA315 「企業および企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」は、監査人がリスク評価手続として、どのようにして企業と企業環境、さらに内部統制を理解し、その理解をベースに「重要な虚偽表示リスク」を識別するかを定めている。

まず最初に、ISAはリスク評価手続は以下のような手続きであるとしている。

ISA315.06

リスク評価手続には、以下が含まれる。

  • マネジメントおよびその他の人員への質問。虚偽表示リスクを識別するのに役立つ情報を持っていると思わられる人から情報を入手する。
  • 分析的手続として、財務諸表の勘定科目間の比率分析や、財務諸表以外のデータとの比較など
  • 「観察」と「閲覧」。企業内の施設や業務の観察、文書の閲覧など

ISAでは、監査チームで、不正リスクも含めた虚偽表示リスクついて、ブレーンストーミングをすることも求めている。監査人はリスクの識別に役に立つ情報はすべて利用すべきだと思って良い。

まず、最初にISAは、企業と企業環境の理解として理解すべきものを示している。

ISA315.11

監査人は以下について理解しなくてはならない。

  • 企業が属するインダストリー、規制、製品、技術、競合他社、サプライヤー、顧客といった外部環境
  • 事業、資本関係、ガバナンス、投資先、資金調達の方法など
  • 企業の会計方針など
  • 企業の目的、戦略、事業リスク
  • 財務パフォーマンス

また、企業の理解として、企業の内部統制についても理解することを求めている。

ISA315.12-13

  • 監査人が理解しなくてはならない内部統制は、監査人が監査上理解することが必要と判断した内部統制である。
  • 監査人は、内部統制について理解するにあたって、内部統制のデザインを評価するだけでなく、それがデザインされたとおりに運用されているかどうかも含めて評価しなくてはならない。


内部統制を理解するというのは、実はそう簡単でない。 内部統制の実施者に質問して、「こういうチェックをやっています。」という回答をもらうだけでは監査手続ではないのである。 監査人は「それでは、実際にやっているところを見せてください。」と言わなければ、デザインされたとおりに運用されているかどうかわからない。これが、上でいうところの「観察」という手続である。 また「閲覧」とは、単に書類を読むだけでなく、内部統制が実際に行われた証拠を探さなければならない。 会議の議事録を読むだけでは、その会議が内部統制として有効なチェック機能を果たしていることは分からない場合が多い。そういった場合、監査人は、オブザーバーとして、実際にその会議に参加させてもらう必要がある。これも「観察」という手続である。 内部統制の理解というのは、監査業務の中で相当なリソースを必要とするのである。

 
さらにISAは、企業が構築すべき内部統制のフレームワークとして、内部統制の構成要素を示し、これらについて、監査人が理解することを求めている。

ISA315.14-24
  • 企業トップの姿勢、ガバナンスにより良好な統制環境が構築されているか
  • リスク評価プロセスにより、企業がビジネス上のリスクを適時に識別し、適切に対処できているか
  • 財務報告を支える情報処理システムが適切に設計、維持、管理されているか
  • 企業内のコントロール活動のうち、監査人が虚偽表示リスクの識別のために理解すべきもの。
  • 内部監査などのモニタリング活動が有効に機能し、内部統制の問題などが適時に発見され解消されているか。

特に、4番目のコントロール活動は、業務プロセスに関連する多くのコントロールが含まれる。またITシステムによる内部統制も含まれるため、その理解のために非常には、相当のリソースが必要となる。 通常、監査人は、受注、出荷、売上計上、さらに決算・財務報告といった重要な業務プロセスについて、取引の開始から記帳までのプロセスをウォークスルーすることにより、業務プロセスを理解しながら監査人として理解すべきコントロールを識別していくのである。

 

次に、ISAは重要な虚偽表示リスクの識別にあたって、どのレベルで識別するかについて示している。 

ISA315.25

監査人は、重要な虚偽表示リスクを以下のレベルにおいて識別し、評価しなければならない。

  • 財務諸表全体のレベル
  • 取引種類、勘定科目や開示に関するアサーションのレベル

これは、虚偽表示リスクというのが、財務諸表に表れる数字 (取引種類、勘定科目、開示のこと) が、どういった理由で虚偽表示になるのかというところまで突き詰めないと、リスクに関連付けられないということである。 すなわち、架空計上なのか、計上漏れなのか、評価が間違っているのか、計算ミスなのか、あるいは計上すべき会計期間を間違ったのか、これらがアサーションなのである。 例えば、売上という勘定科目について、架空計上と、計算ミスは、別々のリスクである。 架空計上には不正リスクもあるかもしれない。前回の記事にも書いたが、評価のリスクは会計上の見積りに関連するので特に対応が難しいリスクである。 だから、勘定科目のリスクというのは、アサーションレベルで把握する必要があるのである。一方で、財務諸表に虚偽表示が発生するリスクの中には、特定の勘定科目に関連付けられないリスクもある。 たとえば、ITシステムを入れ替えるときにトラブルが発生したとか、企業のトップの姿勢やガバナンスに問題があると言った場合である。

 

最後に、ISAは監査人がどうやって重要な虚偽表示リスクを識別するかを示している。

ISA315.26

上の目的のため、監査人は以下を行わなければならない。

  • 企業と企業環境を理解するとともに、リスクに関連する内部統制を財務諸表の取引種類、勘定残高、開示と関連付けながら理解するプロセスを通じて、リスクを識別する。
  • 識別されリスクがさらに広範で、財務諸表全体に関連するリスクかどうか、また多くのアサーションに影響するリスクかどうか評価する。
  • アサーションレベルのリスクについて、対応する内部統制を念頭に、「もし、何かがうまくいかなかったら? (What can go wrong?)と考えて見る。
  • 財務諸表に虚偽表示が発生する可能性を検討する。さらにそれが複数の箇所で虚偽表示を引き起こす可能性や、重大な虚偽表示につながるような潜在的影響も含めて検討する。

監査人がこれまでに実施した、企業と企業環境の理解や、リスクに関連する内部統制の理解をベースに、財務諸表の取引種類、勘定残高、開示について、アサーションレベルで、内部統制を考慮しつつ、「もし、何かの要因で、うまくいかなかったら? (What can go wrong?)」と考えることにより、リスクを識別していくのである。そのように識別されたリスクは、財務諸表の取引種類、勘定残高、開示に関連するアサーションレベルで識別されるのである。そこで識別されたリスクに、もっと広範囲に影響するものがないかを潜在的影響も含めて検討するということである。

 

以上がISA315の概略であるが、リスク評価手続と、その結果識別される虚偽表示リスクのようなものはイメージできたであろうか?