2019年 監基報200 読み解き(その5)

 今回は、監査サンプリングへの利用と監査人の事業上のリスク、平成17年改訂監査基準、重要な虚偽表示のリスクの二つのレベル、財務諸表項目レベルとアサーションごとのレベル、および重要な虚偽表示のリスクについて読み解きます。

23.監査サンプリングへの利用と監査人の事業上のリスク
 すでに述べたように、監査の実務において監査リスクの程度を5%ないし10%とすることは、リスク対応手続に実施前において、監査リスクを抑えるために合理的に低い水準または許容可能な低い水準として監査人が判定・決定した水準です。この監査リスクの程度を監査の計画・実施に際して利用します。
 監査人が監査を実施する際に監査サンプリングを利用するときは、監査リスクと重要な虚偽表示のリスクの程度を数値化することが必要です。発見リスクの程度は、これら二つの程度に基づいて算出します。
  DR = AR / DMM
 監査リスクの程度は監査人の主観的判断によって決定します。重要な虚偽表示のリスクの程度の決定も監査人の主観的判断によることが原則ですが、定性的に評価されたものを監査事務所の方針などに基づいて数値化したもの、すなわち監査リスクの要素に関する一般的な関係を数量的に表すモデルを利用することがある(A35項)としています。
 このことは、例えば、監査事務所が監査マニュアルにおいて重要な虚偽表示のリスクの程度が高い場合には75%、中程度の場合には40%、低い場合には10%などと決定している数値を利用することが一般的であることを意味しています。
 また、監査リスクに関連して、監査リスクには、財務諸表に重要な虚偽表示がない場合に、監査人が重要な虚偽表示があるという意見を表明するリスクを含まない。このようなリスクは、通常、重要ではない(A32項)としています。
 監査リスクは、定義から、財務諸表に存在している重要な虚偽表示を看過して、適正であると誤った意見を形成し、表明する可能性です。このリスクは、実際に存在している重要な虚偽表示を存在していないと結論付けるリスク(過誤棄却リスク)であり、監査の有効性に影響し、監査人が関心をもつリスクです(報告書530「監査サンプリング」4項(2)①参照)。
 これに対して、A32項は財務諸表に存在していない重要な虚偽表示を存在していると誤ってしまうリスク(過誤採択リスク)のことであり、通常、実際に重要な虚偽表示が存在しているという結論を確かめる追加の作業が必要となるため、監査の効率性に影響します(監基報530 4項(2)②参照)。しかし、追加作業を行って当初の結論が正しくない(重要な虚偽表示がない)ことが判明するため、重要ではないと考えられているということです。したがって、監査人は過誤棄却リスクとしての監査リスクに関心をもって監査を実施することになります。
 さらに、監査リスクは、監査のプロセスに関連して使用される用語であり、財務諸表監査に関連して発生する訴訟、風評、またはその他の事象から発生する損失など、監査人の事業上のリスクは含まれない(A32項)として、監査リスクとは別に「監査人の事業上のリスク」(監査人または監査事務所のビジネスリスク)が存在していることを明らかにしています。
 この監査人の事業上のリスクは、監査契約締結に伴うリスクまたは受嘱リスクなどとも呼ばれています。ただし、品管基報第1号「監査事務所における品質管理」および監基報220「監査業務における品質管理」には、契約の新規の締結および更新に関する規定がありますが、監査人の事業上のリスクの識別・評価について具体的には何ら言及されていません。
 監査人の事業上のリスクは、風評に起因するリスク(クライアント・リスク)のみでなく、財務諸表監査に関連して発生する訴訟から発生する損失、すなわち、監査の失敗に起因して発生する損害を含んでいます。この損害は、監査リスクが実際に発現したこと(監査の失敗)に起因した訴訟から発生する損失です。しかし、監査リスクまたは重要な虚偽表示リスクの識別・評価に際して、通常、監査の失敗に起因する損失などは考慮していません。このことを「監査リスクは監査のプロセスに関連して使用される用語」と表現していると解します。
 なお、私見では、リスクの水準(程度)は、監査人の判断で決定すべきことであって、監査マニュアルなどの規定にしたがって決定することではないことを強調しておきます。

24.平成17年改訂監査基準
 平成17年改訂監査基準は、「財務諸表の重要な虚偽の表示は、経営者レベルでの不正や、事業経営の状況を糊塗することを目的とした会計方針の適用等に関する経営者の関与等から生ずる可能性が高まっていると考えられる」(前文二1)として東芝不祥事への対応としての改正であることを示唆し、この改正により従前の「リスク・アプローチ」を「事業上のリスク等を重視したリスク・アプローチ」に呼称を変更しました。
 そして、従来のリスク・アプローチでは、財務諸表項目における固有リスクと統制リスクの評価、およびこれらと発見リスクの水準の決定との対応関係に重点が置かれていたが、経営者の関与が高まっている可能性のある財務諸表全体における重要な虚偽の表示を看過しないための対応(前文二3参照)として、財務諸表における「重要な虚偽の表示のリスク」を「財務諸表全体」および「財務諸表項目」の2つのレベルで評価する(前文二3)ことに改正しました。
 このように平成17年改訂監査基準は、経営者不正を強く意識した監査アプローチである「事業上のリスク等を重視したリスク・アプローチ」および固有リスクと統制リスクの統合リスクとしての「重要な虚偽の表示にリスク」の用語を新たに導入しました。
 また、財務諸表項目における固有リスクと統制リスクの評価、およびこれらと発見リスクの水準の決定との対応関係に重点が置かれていたことに関して、平成17年改訂監査基準は、固有リスクと統制リスクは実際には複合的な状態で存在することが多く、固有リスクと統制リスクとが独立して存在する場合であっても、監査人は重要な虚偽の表示が生じるリスクを評価し、発見リスクの水準を決定することが重要であり、固有リスクと統制リスクを分けて評価することは重要ではない。むしろ、固有リスクと統制リスクを分けて評価することにこだわることは、リスク評価が形式的になり、発見リスクの水準を的確に判断できなくなるおそれもあると考えられる。そこで、原則として、固有リスクと統制リスクを結合した、「重要な虚偽表示のリスク」を評価したうえで、発見リスクの水準を決定することとした(前文二2)として、重要な虚偽表示のリスクが固有リスクと統制リスクの結合リスクであることを明らかにしています
 固有リスクと統制リスクを結合リスク(combined risk)と考えるというスタンスは、実はISAにおいては何ら変更されていません。しかし、わが国では、平成14年改訂監査基準およびそれを敷衍した平成14年5月に改正された監査基準委員会報告第5号「監査リスクと監査上の重要性」が、当時の米国基準に倣って、固有リスクと統制リスクを別々に評価することを原則としました。しかし、2003 (平成15)年改定ISA200および平成17年改訂監査基準に基づき平成17年3月制定された監査基準委員会報告書第28号「監査リスク」により、固有リスクと統制リスクの二つの要素を結合した「重要な虚偽表示のリスク」として評価する(28号7項)ことに変更しました。
 しかし、固有リスクと統制リスクを別々に評価することもできる(監基報28号12項)としていたため、リスク・アプローチ式(AR = IR x CR x DR)は何ら変更されていないと理解されているきらいがあります。
 この28号「監査リスク」は、5号「監査リスクと監査上の重要性」の監査リスクの関連部分として分離独立し、5号は「監査上の重要性」に純化しました。さらに、新起草方針により、28号「監査リスク」は監基報200に集約したことにより廃止され、5号は「監査上の重要性」は、監基報200、監基報320および監基報450に関連記述が移記されて廃止となりました。
 ところで、平成14年改訂監査基準およびそれを敷衍した5号「監査リスクと監査上の重要性」では、固有リスク、統制リスクおよび発見リスクは識別した重要な取引種類、勘定残高または開示(およびそれらに関連するアサーション)に発生する可能性のある重要な虚偽表示ではなく、「財務諸表における重要な虚偽表示」として定義しています。この定義は平成17年改訂監査基準においても変更されていません。
 この定義上の相違が、リスクへの財務諸表全体レベルでの対応と、特定の取引種類、勘定残高または開示レベルでの監査手続の実施に関する対応に関する理解の困難さにつながっているように思います。

25.重要な虚偽表示のリスクの二つのレベル
 平成17年改訂監査基準は、事業上のリスク等を重視したリスク・アプローチに基づいて、重要な虚偽表示のリスクを財務諸表全体レベルと財務諸表項目レベルの二つのレベルで識別・評価することを求めています。これを受けて監基報は、重要な虚偽表示のリスクが財務諸表全体レベルおよびアサーション・レベルの二つのレベルで存在する可能性がある(A33項)としています。
 財務諸表全体レベル(the financial statement level)は、監査基準および監基報において同一の内容です。
 監査基準には「財務諸表項目レベル」についての説明的記述はありません。これに対して、監基報は、アサーション・レベル(財務諸表項目レベル、すなわち取引種類、勘定残高、開示および注記事項に関連するアサーションごと)(監基報315 4項)としています。なお、括弧書きはISA 315にはなく、監基報の作成に際して追加しています。
 ISAでは、アサーション・レベルは”the assertion level for classes of transactions, account balances, and disclosures”(取引種類、勘定残高、開示に係るアサーション・レベル)です。取引種類、勘定残高、開示および注記事項は財務諸表項目と同義ですから、財務諸表項目レベルがISAのアサーション・レベルです。
 監基報のアサーション・レベルは、財務諸表項目レベルとアサーションごとのレベルを包含しているまたはアサーション・レベルを財務諸表項目レベルと同義と看做していると解することができます。しかし、「すなわち」でリンクさせていることは、財務諸表項目レベルがアサーションごとのレベルを意味していると解することができます。それにもかかわらず、監基報では、アサーション・レベルは、取引種類、勘定残高、開示・注記事項に関連するアサーションごとのレベルとしています。
 監基報のアサーションごとのレベルはISAにはない我が国の特有な規定であることに留意が必要です(蛇足ながら、PCAOB監査基準もアサーションごととしています)。また、監基報がアサーション・レベルでの重要な虚偽表示のリスクの識別・評価をアサーションごとに行うことを求めていることは、監査基準およびISAの規定内容を変更していることを意味しています。

26.財務諸表項目レベルとアサーションごとのレベル
 すでに読み解いたように、重要な虚偽表示のリスクを識別・評価するレベルは、監基報では、財務諸表全体レベルとアサーション・レベル(アサーションごとのレベル)の二つのレベルであり、監査基準では財務諸表全体レベルと財務諸表項目レベルです。
 しかし、監査手続(実証手続)の実施に関連して、評価した重要な虚偽表示リスクの程度にかかわらず、重要な取引種類、勘定残高および注記事項の各々に対する実証手続を立案し実施しなければならない(監基報330 17項)として、実証手続の実施レベルは重要な取引種類、勘定残高および注記事項(財務諸表項目)のレベルとしています。
 したがって、重要な虚偽表示のリスクの識別と評価に関連するレベルは、「財務諸表全体レベル」と「アサーション・レベル」(アサーションごとのレベル)に、財務諸表項目レベルを加えた三つとなります。このことが、重要な虚偽表示のリスクを識別・評価するレベルに関する理解を困難にしている理由の一つです。
 これらの三つのレベルが、重要な虚偽表示のリスクの識別・評価に基づいたリスク対応手続の種類、時期および範囲の決定と密接に関連し、さらに監査手続の実施によって入手した監査証拠の十分性と適切性とも関連しますが、ここでは、これらの重要な虚偽表示のリスクに関連した三つのレベルと、監査リスクおよび監査リスク・モデル式との関係について簡単にみておきます。
 監査リスク・モデル式の原型は、アメリカにおいて1960年代に監査サンプリングに関連して登場しました。モデル式の原型の両辺はともに財務諸表項目レベルでした。1988年の監査基準書の大改訂によってリスク・アプローチが導入されたことにともない、固有リスクを追加して、モデル式はAR = IR x CR x DRとなりました。したがって、モデル式は、その登場の時点から、両辺のレベルは異なっていました。そして、監査実務では、ISAまたは監基報においてこのモデル式の両辺のレベルの相違に関する説明がなかったため、左辺を財務諸表項目レベルでの監査リスクに読み替えていました。
 その後、ISAはそれまでの経営者の主張(management assertion)をアサーション(assertion)に変更したことにより、平成3年改訂監査基準が使用していた監査要点(audit objectives)としてのアサーションとしました。それにともない、ISAのアサーション・レベルは財務諸表項目レベルですが、監基報はアサーションごとのレベルをアサーション・レベルとしました。
 このような変遷を経て、重要な虚偽表示のリスクに関連するレベルには、財務諸表全体レベルと、アサーション・レベルとして財務諸表項目レベルおよびアサーションごとのレベルがあることに留意が必要です。

27.重要な虚偽表示のリスク
 重要な虚偽表示リスクは、監査が実施されていない状態で、財務諸表に重要な虚偽表示が存在するリスクをいい、誤謬による重要な虚偽表示リスクと不正による重要な虚偽表示リスクがある(12項(10))と定義しています。定義の後半部分は、平成25年のリスク対応基準に基づいて改正(追加)しています。
 重要な虚偽表示のリスク(risks of material misstatement; RMM)は、誤謬または不正かにかかわらず、財務諸表に重要な虚偽表示が生ずる可能性です。
 なお、監査基準の「重要な虚偽の表示のリスク」と「重要な虚偽表示のリスク」、監基報の「重要な虚偽表示リスク」および私見の「重要な虚偽表示のリスク」の用語は表記が異なるものの同一の概念です。
 ところで、財務諸表全体レベルの重要な虚偽表示のリスクは、財務諸表全体に広く関わりがあり、多くのアサーションに潜在的に影響を及ぼす(A34項)としていますが、具体的な財務諸表全体レベルの重要な虚偽表示のリスクについては記述していません。詳細な読み解きは、監基報315の読み解きに際して行います。
 私見では、財務諸表全体レベルでの重要な虚偽表示のリスクは、全体としての財務諸表に広範に関係し(relate pervasively to the financial statements as a whole)、多くのアサーションに潜在的に影響するリスクであり、必ずしもアサーション・レベルでの特定のアサーション(specific assertions at the class of transactions, account balance, or disclosure level)に関連付けて識別されるリスクではなく、アサーション・レベルでの重要な虚偽表示のリスクを高める可能性のある状況または要因をいうと解します。
 財務諸表全体レベルの重要な虚偽表示のリスクへの対応が全般的な対応(監基報330 4項)ですが、全般的な対応については監基報330を読み解く際に検討します。
 なお、「広範に関係する」こと(広範性(pervasiveness))は、虚偽表示や未発見の虚偽表示の影響の程度の著しさのことであり、特定の財務諸表項目(取引種類、勘定残高または開示)の虚偽表示または未発見の虚偽表示が財務諸表全体を歪めるほど大きな場合も包含しています。したがって、財務諸表全体レベルの重要な虚偽表示のリスクが関係する財務諸表項目は一つ以上の項目です。しかし、必ず複数の項目に関係しているわけではないことに留意が必要です。
 一方、アサーション・レベルの重要な虚偽表示のリスクは、監査人が十分かつ適切な監査証拠を入手するために必要なリスク対応手続の種類、時期および範囲を決定するために評価する(A35項)としています。
 アサーション・レベルの重要な虚偽表示のリスクへの対応がリスク対応手続の立案、実施です(監基報330 5項)。リスク対応手続の立案は、重要な財務諸表項目に関連したアサーションに識別した重要な虚偽表示の可能性(リスク)に対応して、虚偽表示が実際に発生しているかどうかを立証(反証)する十分かつ適切な監査証拠を入手できる監査手続の種類、時期および範囲を決定することです。このように、監査手続の実施にはアサーションに対応していることが不可欠です。そのため、監基報は、アサーション・レベルをアサーションごとのレベルとしていると解します。
 ところで、アサーション・レベルでの重要な虚偽表示のリスクは、固有リスクと統制リスクの二つの要素で構成される(12項(10)、A36項) としています。
 アサーション・レベルでの重要な虚偽表示のリスクは、通常、次の式で示されます。
  重要な虚偽表示のリスク(RMM) = 固有リスク(IR)× 統制リスク(CR)
 アサーション・レベルでの重要な虚偽表示のリスクを構成する、固有リスクと統制リスクは企業側のリスクであり、財務諸表監査とは独立して存在している(A36項)として、固有リスクと統制リスクは、企業に存在するリスクであり、監査人はそれらのリスクを識別・評価するだけということです。
 また、一般に公正妥当と認められる監査の基準においては、通常、固有リスクと統制リスクについて、別々に評価するのではなく、両者を合わせて重要な虚偽表示リスクとして評価することとしている。ただし、監査の手法に応じて、または実務対応上、固有リスクと統制リスクを別々に評価することもでき、百分率などのような定量的な評価によることもでき、また定性的な評価によることもできるが、いずれの場合においても重要なことは、適切なリスク評価を行うことである(A39参照)としています。
 平成17年改定監査基準によって、重要な虚偽表示は、固有リスクと統制リスクを個々に評価するのではなく、両者を合わせて評価することが求められていますが、個々の評価でも良く、また、定性的評価または定量的評価でも良いとされています。固有リスクと統制リスクの個々の評価の方法は、従前と変更はないと考えます。
 なお、運用評価手続(コントロール・テスト)を行う場合には、アサーションに関連する統制リスクを個別に評価する必要があるため、実務上は、個別リスクと統制リスクを財務諸表項目に関連するアサーションごとに別々に識別・評価することが必要です。そのため、監査基準が主張する、固有リスクと統制リスクに分けた評価ではリスク評価が形式的になるため、重要な虚偽表示のリスクとして評価することは「絵に描いた餅」です。
 ただし、従前からも同様ですが、重要な虚偽表示のリスクを形式的に評価してはならず、企業とその環境に係る理解に基づいて実質的に評価しなければならないことに留意が必要です。


 次回は、固有リスク、統制リスク、発見リスクなどについて読み解きます。

この記事へのコメント