2019年 監基報200 読み解き(その6)

 今回は、固有リスク、統制リスク、発見リスクおよびガバナンスに責任を有する者について読み解きます。

28.固有リスク
 固有リスク(inherent risk)は、関連する内部統制が存在していないとの仮定の上で、取引種類、勘定残高、開示および注記事項に係るアサーションに、個別にまたは他の虚偽表示と集計すると重要となる虚偽表示が行われる可能性(12項(10)①)と定義しています。この定義は、監基報200の制定以来変更ありません。
 平成14年改訂監査基準では固有リスクは、関連する内部統制が存在していないとの仮定の上で、財務諸表に重要な虚偽の表示がなされる可能性をいい、経営環境により影響を受ける種々のリスク、特定の取引記録および財務諸表項目が本来有するリスクからなる(前文三3(2)②)としています。
 二つの定義を比較すると、固有リスクが、関連する内部統制(厳密にはコントロール(controls))が有効に整備・運用されていてもそれを考慮しない場合に、重要な虚偽表示が存在する可能性をいうことでは同一です。
 平成14年改訂監査基準の固有リスクを、財務諸表に重要な虚偽の表示がなされる可能性をいい、経営環境により影響を受ける種々のリスクであると解すと、財務諸表全体レベルのリスクと理解できそうです。しかし、特定の取引記録および財務諸表項目が本来有するリスクは、監査基準の「財務諸表項目」が監基報の勘定残高、開示および注記事項を指すため、その固有リスクのレベルは、取引種類、勘定残高、開示および注記事項のレベル(特定の取引記録のレベルを含む。)です。このレベルは、ISAのアサーション・レベルにほかなりません。つまり、監査基準の固有のリスクは、財務諸表全体レベルと財務諸表項目レベルの双方のリスクを包含していることに留意が必要です。
 これに対して、監基報の固有のリスクは、「取引種類、勘定残高、開示および注記事項に係るアサーションに重要な虚偽表示が行われる可能性」です。つまり、固有リスクをアサーションごとに識別・評価することを求めています。つまり、財務諸表全体レベルでの固有のリスクを包含していません。
 私見では、ISAによる固有リスクの定義”The susceptibility of an assertion about a class of transaction, account balance or disclosure to a misstatement that could be material, either individually or when aggregated with other misstatements, before consideration of any related controls.”(関連するコントロールを考慮する以前に、個別でまたは他の虚偽表示と合計すると、重要となる可能性のある虚偽表示に対する取引種類、勘定残高または開示に係るアサーションの影響の受け易さ)と同様に、固有リスクは、例えば、現金が流用(使い込み)されたり、換金が容易に可能な棚卸資産が盗難の対象となったり、売上や会計上の見積りが粉飾決算に利用されたり、会計処理が間違いやすかったりする、財務諸表項目(勘定科目)が本来的に有する虚偽表示による影響の受け易さ(susceptibility)であると解します。
 このような理解からは、固有リスクをアサーションごとに識別・評価することが実務上可能かどうか、あるいはそのように実施することに意味があるかについて疑問が生じます。私見では、固有リスクを財務諸表項目(勘定科目)に関連するアサーションごとに識別・評価することは実務上結構困難ですから、アサーションごとに容易に識別・評価できる場合を除き、特定の勘定科目の固有リスクは関連するアサーションのすべてについて同一の程度とすることができると解します。
 また、平成14年改訂監査基準は「経営環境により影響を受ける種々のリスク」を固有リスクに含めていますが、平成17年改訂監査基準が採用した事業上のリスク等を重視したリスク・アプローチの下では、経営環境により影響を受ける種々のリスクはビジネスリスク(事業上のリスク)の識別・評価に際しての重要な評価要因であり、財務諸表全体に関連するリスクとして取り扱われることとなったため、ISAおよび監基報はアサーションに関連する固有リスクに特化したと解しています。
 このような私見に関連する規定があります。一部のアサーションおよび関連する取引種類、勘定残高および注記事項の固有リスクは、他に比べて相対的に高いことがある。例えば、複雑な計算や、見積りの不確実性が高い会計上の見積りによる金額で構成される勘定は、固有リスクが高いことがある(A37項)としています。
 この規定における「一部のアサーションおよび関連する取引種類、勘定残高および注記事項の固有リスクは、他に比べて相対的に高いことがある」は、ISAでは”Inherent risk is higher for some assertions and related classes of transactions, account balances, and disclosures than for others.”(固有リスクは、一部のアサーションとそれに関係する取引種類、勘定残高および開示に関して、他よりも高いことがある。)ですから、意訳すれば、一部の取引種類、勘定残高および開示に関係するアサーションの固有リスクが高いことがある、ということです。その一部の取引種類、勘定残高および開示に、複雑な計算または見積りの不確実性が高い会計上の見積りによる金額で構成される勘定が該当します。
 また、事業上のリスクを生じさせる外部環境が固有リスクに影響を与えることもある。例えば、技術革新が進めば、特定の製品が陳腐化し、それにより棚卸資産の勘定残高が過大に表示される可能性が大きくなる(A37項)としています。この例示は、経営環境の変化というビジネスリスクが特定の財務諸表項目に影響を及ぼしているということです。すなわち、財務諸表全体レベルのリスクが特定の財務諸表項目のリスクに関係付けられたことを意味します。このようなリスクが平成14年改訂監査基準にいう「経営環境により影響を受ける種々のリスク」です。
 さらに、多くのまたは全ての取引種類、勘定残高および注記事項に関係する、企業と企業環境のある要因が、特定のアサーションに関連する固有リスクに影響を与えることもある。例えば、事業継続のために必要な運転資本の不足や倒産の多発に象徴される産業衰退等が挙げられる(A37項)としています。この例示は、継続企業の前提に重要な疑義を生じさせる事象・状況が特定のアサーションの固有リスクに影響することがあると指摘しています。
 このような財務諸表の全体に影響を及ぼすかもしれないリスクが、特定の財務諸表項目に関係するアサーションの固有リスクに関係付けられる場合には、当該アサーションに対してリスク対応手続を実施します。しかし、関係付けられない場合には、財務諸表全体レベルのリスクとして全般的な対応をとります。このように財務諸表全体レベルのリスクは固有リスクにほかならないことに留意が必要です。

29.統制リスク
 統制リスク(control risk)は、取引種類、勘定残高および注記事項に係るアサーションで発生し、個別にまたは他の虚偽表示と集計すると重要となる虚偽表示が、企業の内部統制によって防止又は適時に発見・是正されないリスク(12項(10)②)と定義しています。
 また、平成14年改訂監査基準は、「統制リスク」とは、財務諸表の重要な虚偽の表示が、企業の内部統制によって防止または適時に発見されない可能性をいう(前文三3(2)③)と定義して、重要な虚偽表示が発生するレベルが必ずしも明らかにされていないこと、是正について明文されていないことはあるものの、監基報の定義と基本的な大きな差異はないと思います。
 監基報の定義に関して留意しておくべきことは、前述の固有リスクを同様に、重要な虚偽表示が発生する可能性のあるのは、「取引種類、勘定残高および注記事項に係るアサーション」であることです。また、固有リスクにおける「関連する内部統制」の内部統制の英語表記が”controls”であるのに対し、統制リスクの「企業の内部統制」の英語表記が”entity’s internal control”です。両者は英文上明確に峻別されていることに留意が必要です。そのため、私見では”controls”を「コントロール」と表記しています。
 内部統制が統制リスクの程度に影響を及ぼすことについて、統制リスクは、財務諸表の作成に関連する企業目的の達成を妨げるおそれがあると識別したリスクに対応するために経営者が整備および運用する内部統制の有効性により影響を受ける。しかしながら、内部統制は、いかに良好に整備され運用されていたとしても、財務諸表の重要な虚偽表示リスクを低減することはできるが、それをなくすことはできない。これは、内部統制の固有の限界のためである。内部統制の限界には、例えば、人為的なミスや間違いが起こる可能性、または共謀や経営者が不当に内部統制を無効化する可能性が含まれる。したがって、統制リスクは常に存在する(A38項)としています。
 「経営者が整備および運用する内部統制の有効性」は、ISAでは”the effectiveness of the design, implementation and maintenance of internal control by management”(経営者による内部統制のデザイン、実行および維持の有効性)ですが、監基報は我が国における慣行的な用語法に従っていると解します。また、「共謀や経営者が不当に内部統制を無効化する可能性」は、ISAでは”the possibility … of controls being circumvented by collusion or inappropriate management override”(共謀や不適切な経営者の無視によって出し抜かれたコントロールの可能性)であり、”internal control”ではなく”controls”であることに留意が必要です。
 統制リスク(control risk)が内部統制(controls)の有効性の結果(function)(監基報では「影響を受ける」)であることに注目することが必要です。つまり、監査人は企業とその環境を理解する際に内部統制・コントロールについて理解しますが、統制リスクは、会計処理に関連するコントロールの評価結果であるということです。ただし、内部統制・コントロールはどれほど整備・運用されていたとしても、完全に間違いや不正を防止、発見・是正することができないため、統制リスクをゼロと評価することはできません。

30.発見リスク
 発見リスク(detection risk)は、虚偽表示が存在し、その虚偽表示が個別にまたは他の虚偽表示と集計して重要になり得る場合に、監査リスクを許容可能な低い水準に抑えるために監査人が監査手続を実施してもなお発見できないリスクをいう(12項(15))と定義しています。
 一方、平成14年改訂監査基準は、「発見リスク」とは、企業の内部統制によって防止または適時に発見されなかった財務諸表の重要な虚偽の表示が、監査手続を実施してもなお発見されない可能性をいう(前文三3(2)④)と定義しています。
 両者を比較すると、一見大きな差異があるように見えますが、要するに、発見リスクは存在している虚偽表示を監査手続(実証手続)の実施によって発見できない可能性ということです。
 監基報の定義は、固有リスクや統制リスクと異なり、発見リスクに関連する重要な虚偽表示を発見する(存在する)レベルについて言及していませんが、発見リスクが監査手続(実証手続)の立案・実施に直接的に関係しているため、そのレベルはアサーション・レベル(アサーションごとのレベル)です。
 また、発見リスクと監査リスクを許容可能な低い水準に抑えることが関連付けられています。これは、すでに読み解いたように、重要な虚偽表示のリスク(固有リスクと統制リスク)は、企業サイドのリスクであり、監査人はそれらを識別して、定性的または定量的に評価してその水準(程度)を決定します。監査人は、監査リスクを許可能な低い水準(程度)に抑える実施する監査手続の水準(程度)を決定するために、発見リスク(DR)の水準(程度)を決定することです。
 そのため、発見リスクは、監査リスクを許容可能な低い水準に抑えるために監査人が実施する監査手続の種類、時期及び範囲に関係している。したがって、発見リスクは、実施した監査手続の有効性によって影響を受ける(A42項)と記述しています。
 この発見リスクの水準(程度)の決定を次の監査リスク・モデル式を用いて説明します。
  監査リスク(AR) = 重要な虚偽表示のリスク(RMM) x 発見リスク(DR)
  重要な虚偽表示のリスク(RMM) = 固有リスク(IR)× 統制リスク(CR)
これらに基づいて発見リスクの水準(程度)は、次式によって求められます。
  DR = AR / RMM
例えば、ARを5%、 RMMを50%とすると、DRは10%となります。
DRが10%ということは、監査手続の実施によっても虚偽表示を発見できない可能性が10%であるということです。監査サンプリングを適用する場合、サンプル・テスト結果の信頼度(1-DR)を90%とします。
 この場合の監査リスクARは、財務諸表全体レベルのそれではなく、アサーションごとのレベルでのそれ(AR’)に置き換えられています。
 上記の発見リスクの決定のモデル式からは、リスク対応手続の実施後のリスクの評価-運用評価手続による統制リスクおよび実証手続による発見リスクの評価-の結果が監査リスクに影響すると解することができます。しかし、監査リスクの水準(程度)(AR’)がリスク対応手続の実施結果によって変更されるのではなく、当初設定(予定)した許容可能な低い水準(程度)の監査リスクの水準(程度)(AR’)を一定とし、それを達成できる発見リスクの水準(程度)を決定します。
 留意すべきことは、この発見リスクの決定は、その実施すべき水準(程度)-監査手続の実施範囲-の決定であって、実施する監査手続(実証手続)の種類や実施時期を決定するものではありません。実施する監査手続の種類と実施時期は監査人の判断によって決定すべき事柄です。
 また、実施した監査手続の有効性を高め、監査人が不適切な監査手続を選択したり、監査手続の適用を誤ったり、その結果を誤って解釈したりする可能性を抑えるのに役立つ(A42項) 事項として、以下を例示しています。
 ・適切な監査計画の策定
 ・監査チーム・メンバーの適切な配置
 ・職業的懐疑心の保持
 ・適切な監督の実施と監査調書の査閲

 監査手続の有効性は、実施するまたは実施した監査手続の質の問題です。有効な監査手続を実施するためには、例示されている事項に留意して監査手続を選択・適用することが必要ということです。例示されている事項についての読み解きは省略します。

31.ガバナンスに責任を有する者
 2019年6月の監基報200の改正の一つが、ISAの”those charged with governance (TCWG)”の訳語を、従来の「統治責任者」から「ガバナンスに責任を有する者」に変更しました。この変更は、「ガバナンス」という言葉が社会的に認知されたことにともなうものと推測します。
 ガバナンスに責任を有する者は、企業の戦略的方向性と説明責任を果たしているかどうかを監視する責任を有する者または組織をいう(12項(14))と定義しています。この定義は、ISAの”the person(s) or organization(s) (for example, a corporate trustee) with responsibility for overseeing the strategic direction of the entity and obligations related to the accountability of the entity.”(企業の戦略的方向性を監視する責任および企業のアカウンタビリティに関連する責務を有している者または組織(例えば、会社の財産受託者))とは微妙に異なっているように思います。
 ISAの「企業のアカウンタビリティに関連する責務」を「説明責任を果たしているかどうか」と意訳していますが、「アカウンタビリティ」は、ある行為・業務を受託した者が正しく行為・業務を遂行した結果(顛末)を説明することをいい、適切な行為・業務の実施とその結果の説明の二つの側面を包括している用語であり、我が国における「結果を説明(言い訳)する責任」をいうのではありません。したがって、我が国おける語法での説明責任のみを記述していると解されている向きが多いことから、この記述は不適切と考えます。
 もっとも、アカウンタビリティ(accountability)の正しい意味の普及がさきなのかもしれません。これは” accountability”が「会計責任」を言われていた頃から「説明責任」と言うべきと主張してきたことへの反省です。
 上記の定義に続けて、これには、財務報告プロセスの監視が含まれる。国によっては、ガバナンスに責任を有する者には、経営者を含むことがある(12項(14))としています。この財務報告プロセスの監視がガバナンスに責任を有する者の責任・責務に含まれるということは、その責任が主として企業のアカウンタビリティに関連する責務であると解することができそうです。そうであれば、「含む」という間接的な表現ではなく、直接的に説明すべきと考えます。アカウンタビリティに含意されている、受託した行為・業務の履行とその結果の説明(報告)は経営者の責任ですから、ガバナンスに責任を有する者には、経営者を含むことは当然のことと考えます。ただし、監基報は我が国おける監査実務指針であるため、誤解を回避するために我が国に関係しない「国によっては」との記述は削除すべきです。
 また、ガバナンスに責任を有する者の責任・責務に含まれる、財務報告プロセスの監視は、我が国では財務諸表の作成責任を有する経営者(4項参照)であり、経営者の行為を監視する取締役会の職務です。監査役が企業ガバナンスの一翼を担っていることは明らかですが、直接的な監査役(会)の職務ではありません。
 このようなISAの規定が我が国にうまく適合しないため、「なお書き」として、なお、我が国においては、会社法の機関の設置に応じて、取締役会、監査役もしくは監査役会、監査等委員会または監査委員会がガバナンスに責任を有する者に該当するが、品質管理基準委員会報告書および監査基準委員会報告書においては、原則として監査人のコミュニケーションの対象は、監査役もしくは監査役会、監査等委員会または監査委員会を想定し「監査役等」と記載している。一方、海外の構成単位の監査に関連する場合は、ガバナンスの構造の多様性を考慮して「ガバナンスに責任を有する者」を使用している」(12項(14))として、我が国における取り扱いを補足追加しています。
 したがって、我が国ではガバナンスに責任を有する者は、監査役もしくは監査役会、監査等委員会または監査委員会(監査役等)をいうことになります。監査等委員または監査委員は取締役であるため、取締役会の一員として財務報告プロセスを監視する責任を有しますが、監査役(会)は直接的にそのような職務を有していません。職務の内容が異なるにもかかわらず「監査役等」と一つに括ることに疑問もありますが、いずれも業務監査を実施するという共通点をもっているからと解します。それにもかかわらず、監査役等の業務監査の実施がガバナンスの責任を充足することにはならないし、監査役(会)は、厳密には、ガバナンスに責任を有する者ではないということに留意が必要です。換言すれば、監査役(会)は、ガバナンスに責任を有する者と看做されていると言った方が正確かもしれません。
 さらに、上記の定義において、海外の構成単位においては「監査役等」が存在しないので、「ガバナンスに責任を有する者」としていますが、12項(14)の記述の目的が監査役等の責任を明らかにすることですから、海外の構成単位のガバナンスに責任を有する者については監基報600「グループ監査」において明確にすれば足りると考えます。それゆえに、「一方」以下の記述は不要な記述であると解します。


 次回は、監基報200制定以前での職業専門家としての懐疑心の変遷、職業専門家としての懐疑心などについて読み解きます。

この記事へのコメント