会計税務情報2007年12月号
永野森田会計士事務所
新監査基準(SAS104-111)における内部統制とリスクの基礎概念
米国では、2007年1月1日以降から開始される会計期間より、内部統制の評価方法を、通常の監査手続きの一貫として強化する新しい監査基準が適用される こととなった。これは、米国監査基準(Statement on Auditing Standards)のNo 104-111およびNo 112により、財務諸表上の重要な虚偽記載のリスクの評価方法(SAS 104-111)と内部統制情報のクライアントへの伝達方法(SAS 112)が明確にされたものである。つまり、これまでは、米国SOX法(Sarbanes Oxley Act)により、公開企業を中心として内部統制評価の報告を義務付ける方向性はあったものの、同基準により、未公開企業についても、監査手続きのプロセル として内部統制の検証・評価を余儀なくされたのである。今月の会計税務情報では、この監査と内部統制評価の関係について、基礎概念を用いて説明することと する。
1. 新監査基準(SAS104-111)の導入
非公開会社監査にも新監査基準SAS104 – 111が導入されることになった。この監査基準によれば、従来殆どの監査で用いられていた内部統制検証をバイパスする監査手法は御法度となり、関与企業の 内部統制を理解するプロセスを監査手続きの中に組み込まざるを得なくなったのである。この監査手法の抜本的な変革の意味を正しく理解する為には、監査リス ク、即ち、監査人が財務諸表にある虚偽記載を見つけられない危険性とは何なのかを理解する必要がある。
2. 監査リスクの構成要素
監査リスク(Audit Risk-AR:監査が失敗するリスク)は、Inherent Risk(IR)、Control Risk(CR), Detection Risk(DR)から構成されていると考えられ、これを数式で表現すると次の通りとなる。
AR = IR x CR x DR
(注)Inherent Riskは、企業固有―内部統制抜きの状態―のリスクを意味し、Control Riskは内部統制を勘案後のリスクを意味する。Detection Riskは虚偽を発見出来ない危険性を意味している。
監査人は、ARを妥当なレベルに抑える当然の義務があるため、IR x CR x DR操作努力が伴う。然しながら、監査人が自ら出来ることは、DRを調整する事のみである。DRは、通常実証性テスト(Substantive test-監査上の証拠集めのプロセス)に掛ける時間に反比例する関係にあるので、その調査量を増やせば増やすほど、DRの低下につながる訳である。これ に対して、IR x CRは言わば所与であるから、これを調節することは出来ないが、これを理解し、その結果としてIR x CRの状態が判明すれば、DRレベルを変動させることにより、ARを妥当なリスクレベルに誘導することが可能となるのである。したがって、このIR x CRの状態判定のプロセスが内部統制検証であり、新監査基準が求めている手続きなのである。
(注)IR x CRは結局のところRisk of Material Misstatement(RMM)であり、AR = IR x CR x DRを変換し、
AR = RMM x DRと表現することも出来る。
(注)DR = Test of details(残高、取引の詳細な調査 ) + Analytical procedures( 分析的手続き)
3. 内部統制とリスク概念との対比
先に述べたRMMはCOSOの内部統制フレームワークに伝導する。内部統制の基本概念は、COSO(Committee of Sponsoring Organization of the Treadway Commission)レポートで確立されており、統制環境、リスク査定、情報伝達、統制活動及び監視活動の5つから成り立っているとされる。この5要素 は、更に、次の様に全社段階と機能段階に階層分解することが出来る。RMMはCOSOのフレームワーク全体のリスクとして捕らえており、リスクの評価につ いては、階層別(全社レベル、機能レベル)に行うのが最も効率的であると考えられる。
構成要素 階層分離
全社レベル 機能(業務)レベル
(Entity Level) (Functional Level)
●統制環境 ○
(Control environment)
●リスク査定 ○
(Risk Assessment)
●情報伝達 ○
(Information & Communication)
●統制活動 ○
(Control Activities)
●監視活動 ○
(Monitoring)
(注)リスク分析との対応関係に於いては、ほぼ次の等式が成り立つと考えられる。
Control environment = IR
Risk assessment, Communication, Monitoring = CR(Entity level)
Control activity = CR(Function level)
****************
更新日: 2007年12月08日