財務諸表監査について考える(その45)
企業とその環境(内部統制を含む。)の理解-4
今回は、「監査人が理解すべき内部統制についての私見」、「内部統制の理解に際しての評価事項」、それに関連して「監査に関連する内部統制」について考えます。
監査人が理解すべき内部統制についての私見
金融商品取引法の規定する監査制度として、財務諸表監査と内部統制監査があります。財務諸表監査の内部統制として監査基準の「内部統制」と監基報315の「内部統制」が規定されています。いずれもCOSO内部統制(1992年制定、1994年・1996年追加改正)を導入したのですが微妙に差異があります。また、内部統制監査の内部統制は、内部統制基準(監査基準と同様に金融庁企業会計審議会が制定しています。)が規定していますが、COSO内部統制に若干のアレンジを加えています。そのため、我が国には、三つの内部統制の概念が並列しています。
それゆえに、企業が整備・運用している実態としての内部統制は一つにもかかわらず、監査人はその内部統制の概念に基づいてそれぞれの監査を実施すべきなのでしょうか。二つの監査制度であるため、それぞれの制度において規定されている内部統制を前提に監査を実施するがの良いと理解している実務家もいます。
しかし、「内部統制監査は、原則として、同一の監査人により、財務諸表監査と一体となって行われる」(内部統制基準Ⅲ2)とされているように、二つの監査を一体として実施するためには、実務上、我が国企業が整備・運用している内部統制が「内部統制基準」によっていることを勘案すると、財務諸表監査においても内部統制監査における内部統制を共通する一つの内部統制として解することが必要と考えます。
しかしここでは、監基報315に規定する企業とその環境を理解する一環として内部統制の理解について考えることがテーマですから、以下の論述では、監基報315の規定する内部統制に基づいて考え、それに内部統制監査との関連から追加記述する必要がある場合には私見を開陳します。
なお、内部統制に関連する用語法として、監基報315は、「『内部統制』という用語を内部統制の構成要素のすべてを含む場合と一部に関係しているものとして用いている場合とがある」(監基報315 3項(4))として、我が国の従来からの用語法を踏襲しています。この用語法は内部統制基準やその指針においても同一です。
しかし、ISAやCOSO内部統制では”internal control”と”controls”という二つの用語を区分して用いて、前者が内部統制の構成要素のすべてを含む場合であり、後者が構成要素の一部のみに関連する場合です。
私見では、”internal control”を「内部統制」と、”controls”を「コントロール」と表記しています。我が国における用語法がコントロール(controls)(この用語を「統制」とする論者もいます。)を峻別していないために、「内部統制」が正しく理解されていない要因の一つとなっているのではないかと危惧しています。
内部統制の理解に際しての評価事項
監査人は、監査に関連する内部統制を理解する際に、内部統制のデザインを評価し、これらが業務に適用されているかどうかについて評価しなければなりません(監基報315 12項参照)。
監査人が企業とその環境を理解する一環として内部統制を理解することは、監査に関連する内部統制の「整備状況」を理解し、評価することです。この整備状況を監基報315は「デザインと業務への適用」と表記しています。この内部統制の整備状況の評価は、全体としての内部統制(internal control)ではなく、コントロール(controls)のデザインの評価と、良好にデザインされたコントロールが業務に適用(設置・配置)されていることを確かめることです。このコントロールの「業務に適用されている」は、コントロールの運用を意味していないことに留意が必要です。
監査に関連する内部統制
監査人が理解しなければならない内部統制は「監査に関連する内部統制」です。その「ほとんどは財務報告に係る内部統制であるが、財務報告に係る内部統制が全て監査に関連するとは限らない」(11項)ことに留意が必要です。また、財務報告に係る内部統制ではない内部統制が稀に監査に関連することもあります(監基報315 A59項参照)。
この監査に関連する内部統制は、全体としての内部統制(internal control)ではなく、コントロール(controls)(内部統制監査の「業務プロセスの内部統制」)です。監査人が監査に関連するコントロールを理解しなければならない理由は、潜在的な虚偽表示の種類と重要な虚偽表示のリスクに影響する要素を識別し、実施するリスク対応手続(運用評価手続および実証手続)の種類、時期および範囲を立案することに役立てる(監基報315 A39項参照)ことにあるとされています。
「潜在的な虚偽表示の種類(type)を識別する」ことは、誤謬か不正にかかわらず、財務諸表に発生するかもしれない虚偽表示にどんな虚偽表示が、どこに、どのようにして発生する可能性があるかどうか(つまり、虚偽表示の発生原因)について考えることです。
私見ではこれを、虚偽表示の態様(what can go wrong)と呼んでいます。具体的な識別の方法として、例えば、監基報の付録2に例示されている「重要な虚偽表示リスクを示唆する状況と事象」があるかどうかを検討して、当該状況や事象が存在している場合には、当該状況や事象によって実際に虚偽表示が発生するか可能性があるかどうかを判断します。これは、固有リスクの識別と評価にほかなりません。この場合、関連するコントロールを考慮しません。固有リスクの程度の評価は、識別した固有リスクに起因する虚偽表示の発生可能性であることに留意が必要です。
監査人による監査に関連するコントロールの理解は、コントロールの整備状況を理解して、取引種類、勘定残高または開示(財務諸表項目)に関連するアサーションに発生する可能性のある虚偽表示がコントロールによって防止または適時に発見・是正されないコントロール・リスク(control risk)を評価するために行います。このコントロール・リスクの評価対象である虚偽表示の発生可能性が固有リスク他なりません。
コントロール・リスクの評価は固有のリスクに起因する虚偽表示の発生可能性をコントロールが防止または発見・是正できるかを対象としています。このことはコントロール・リスクの評価も虚偽表示の発生可能性の評価であり、リスクの大きさ(重要性)は別に評価します。
したがって、監査人がコントロールを理解する目的は、企業とその環境の理解によって入手した知識・情報に基づいて財務諸表の虚偽表示のリスク(固有リスクおよび統制リスク)を識別・評価して、さらにそのリスクの大きさ(重要性)を評価して、財務諸表に重要な虚偽表示が実際に発生しているかどうかを検証するためのリスク評価対応手続(コントロール・テストおよび実証手続)の種類、時期および範囲を立案する、すなわち監査計画を立案するためです。
なお、監査に関連するコントロールについては、別の機会にもう少し詳細に考えます。
次回は、「理解するコントロールの範囲の決定」および「コントロールについて理解する内容」について考えます。
今回は、「監査人が理解すべき内部統制についての私見」、「内部統制の理解に際しての評価事項」、それに関連して「監査に関連する内部統制」について考えます。
監査人が理解すべき内部統制についての私見
金融商品取引法の規定する監査制度として、財務諸表監査と内部統制監査があります。財務諸表監査の内部統制として監査基準の「内部統制」と監基報315の「内部統制」が規定されています。いずれもCOSO内部統制(1992年制定、1994年・1996年追加改正)を導入したのですが微妙に差異があります。また、内部統制監査の内部統制は、内部統制基準(監査基準と同様に金融庁企業会計審議会が制定しています。)が規定していますが、COSO内部統制に若干のアレンジを加えています。そのため、我が国には、三つの内部統制の概念が並列しています。
それゆえに、企業が整備・運用している実態としての内部統制は一つにもかかわらず、監査人はその内部統制の概念に基づいてそれぞれの監査を実施すべきなのでしょうか。二つの監査制度であるため、それぞれの制度において規定されている内部統制を前提に監査を実施するがの良いと理解している実務家もいます。
しかし、「内部統制監査は、原則として、同一の監査人により、財務諸表監査と一体となって行われる」(内部統制基準Ⅲ2)とされているように、二つの監査を一体として実施するためには、実務上、我が国企業が整備・運用している内部統制が「内部統制基準」によっていることを勘案すると、財務諸表監査においても内部統制監査における内部統制を共通する一つの内部統制として解することが必要と考えます。
しかしここでは、監基報315に規定する企業とその環境を理解する一環として内部統制の理解について考えることがテーマですから、以下の論述では、監基報315の規定する内部統制に基づいて考え、それに内部統制監査との関連から追加記述する必要がある場合には私見を開陳します。
なお、内部統制に関連する用語法として、監基報315は、「『内部統制』という用語を内部統制の構成要素のすべてを含む場合と一部に関係しているものとして用いている場合とがある」(監基報315 3項(4))として、我が国の従来からの用語法を踏襲しています。この用語法は内部統制基準やその指針においても同一です。
しかし、ISAやCOSO内部統制では”internal control”と”controls”という二つの用語を区分して用いて、前者が内部統制の構成要素のすべてを含む場合であり、後者が構成要素の一部のみに関連する場合です。
私見では、”internal control”を「内部統制」と、”controls”を「コントロール」と表記しています。我が国における用語法がコントロール(controls)(この用語を「統制」とする論者もいます。)を峻別していないために、「内部統制」が正しく理解されていない要因の一つとなっているのではないかと危惧しています。
内部統制の理解に際しての評価事項
監査人は、監査に関連する内部統制を理解する際に、内部統制のデザインを評価し、これらが業務に適用されているかどうかについて評価しなければなりません(監基報315 12項参照)。
監査人が企業とその環境を理解する一環として内部統制を理解することは、監査に関連する内部統制の「整備状況」を理解し、評価することです。この整備状況を監基報315は「デザインと業務への適用」と表記しています。この内部統制の整備状況の評価は、全体としての内部統制(internal control)ではなく、コントロール(controls)のデザインの評価と、良好にデザインされたコントロールが業務に適用(設置・配置)されていることを確かめることです。このコントロールの「業務に適用されている」は、コントロールの運用を意味していないことに留意が必要です。
監査に関連する内部統制
監査人が理解しなければならない内部統制は「監査に関連する内部統制」です。その「ほとんどは財務報告に係る内部統制であるが、財務報告に係る内部統制が全て監査に関連するとは限らない」(11項)ことに留意が必要です。また、財務報告に係る内部統制ではない内部統制が稀に監査に関連することもあります(監基報315 A59項参照)。
この監査に関連する内部統制は、全体としての内部統制(internal control)ではなく、コントロール(controls)(内部統制監査の「業務プロセスの内部統制」)です。監査人が監査に関連するコントロールを理解しなければならない理由は、潜在的な虚偽表示の種類と重要な虚偽表示のリスクに影響する要素を識別し、実施するリスク対応手続(運用評価手続および実証手続)の種類、時期および範囲を立案することに役立てる(監基報315 A39項参照)ことにあるとされています。
「潜在的な虚偽表示の種類(type)を識別する」ことは、誤謬か不正にかかわらず、財務諸表に発生するかもしれない虚偽表示にどんな虚偽表示が、どこに、どのようにして発生する可能性があるかどうか(つまり、虚偽表示の発生原因)について考えることです。
私見ではこれを、虚偽表示の態様(what can go wrong)と呼んでいます。具体的な識別の方法として、例えば、監基報の付録2に例示されている「重要な虚偽表示リスクを示唆する状況と事象」があるかどうかを検討して、当該状況や事象が存在している場合には、当該状況や事象によって実際に虚偽表示が発生するか可能性があるかどうかを判断します。これは、固有リスクの識別と評価にほかなりません。この場合、関連するコントロールを考慮しません。固有リスクの程度の評価は、識別した固有リスクに起因する虚偽表示の発生可能性であることに留意が必要です。
監査人による監査に関連するコントロールの理解は、コントロールの整備状況を理解して、取引種類、勘定残高または開示(財務諸表項目)に関連するアサーションに発生する可能性のある虚偽表示がコントロールによって防止または適時に発見・是正されないコントロール・リスク(control risk)を評価するために行います。このコントロール・リスクの評価対象である虚偽表示の発生可能性が固有リスク他なりません。
コントロール・リスクの評価は固有のリスクに起因する虚偽表示の発生可能性をコントロールが防止または発見・是正できるかを対象としています。このことはコントロール・リスクの評価も虚偽表示の発生可能性の評価であり、リスクの大きさ(重要性)は別に評価します。
したがって、監査人がコントロールを理解する目的は、企業とその環境の理解によって入手した知識・情報に基づいて財務諸表の虚偽表示のリスク(固有リスクおよび統制リスク)を識別・評価して、さらにそのリスクの大きさ(重要性)を評価して、財務諸表に重要な虚偽表示が実際に発生しているかどうかを検証するためのリスク評価対応手続(コントロール・テストおよび実証手続)の種類、時期および範囲を立案する、すなわち監査計画を立案するためです。
なお、監査に関連するコントロールについては、別の機会にもう少し詳細に考えます。
次回は、「理解するコントロールの範囲の決定」および「コントロールについて理解する内容」について考えます。
"財務諸表監査について考える(その45)" へのコメントを書く