内部監査におけるリスクアプローチ

リスクに対しては、様々なアプローチ方法がありますが内部監査においては、「有効性」、「効率性」を追求する必要があります。

被監査部門におけるリスクの種類・程度及び管理状況を理解した(リスク・アセスメント)上で、経営管理上の重要なリスクが各種管理により適切に制御されているかどうかの検証を主な目的として(リスク・フォーカス)、メリハリの効いた内部監査を実施します。

例えば、リスクが低い分野は、思い切って省力化して、リスクの高い分野に注力するなどです。
そのため、内部監査を行う部門長は、組織体のゴールと調和するように内部監査部門の業務の優先順位を決定するために、リスク・ベースの監査計画を策定する必要があります。
また、内部監査のリスクアプローチにおける内部監査計画では、監査対象部門のリスクの大きさと内部統制を考慮して、資源配分(検証内容、手法、深度、頻度、投入人員等)を決定します。

ただし、留意しなければいけないことがあります。
それは、自社の内部監査が有効的かつ効率的であることをいかに説明できるかという点です。
メリハリの効いた内部監査のために省力化した場合、省力化した判断理由を内部監査部門が経営陣に対して説明なければいけません。
また、当局が行う検査においても、経営陣が検査官に対して説明できるだけのものとしておく必要があります。
その理由づけとなるのが適切なリスク・アセスメントの実施となります。

リスク・アプローチの考え方

リスク・アプローチは、もともと欧米の会計監査の分野で先行して主流となった考え方であり、日本の会計監査においても「監査基準」改正(1991年)によって導入が義務づけられました。

監査基準において、リスク・アプローチは、「重要な虚偽の表示が生じる可能性が高い事項について、重点的に監査の人員や時間を当てることにより、監査を効率的かつ効果的なものとすることができる監査の実施の方法をいう」とされています。(監査基準全文 三3(1))

また、監査におけるリスクには、「監査リスク」、「固有リスク」、「統制リスク」、「発見リスク」等があるとされています。(日本公認会計士協会 監査基準委員会報告書第28号「監査リスク」より)

監査リスク

監査人が、財務諸表の重要な虚偽の表示を看過して誤った意見を形成する可能性を監査リスクという。(監査基準報告書第28号第5項)

重要な虚偽表示のリスク

監査リスクは、固有リスク、統制リスク及び発見リスクの3つの要素で構成されるが、固有リスクと統制リスクの2つの要素を結合したリスクを「重要な’虚偽表示のリスク」として評価する。(監査基準報告書第28号第7項)

固有リスク

固有リスクは、関連する内部統制が存在していないとの仮定の上で、財務諸表に重要な虚偽の表示がなされる可能性のことであり、経営環境により影響を受ける種々のリスクや、特定の取引、勘定残高、開示等が本来有するリスクか本来有するりすくからなる。(監査基準報告書第28号第11項(1))

統制リスク

統制リスクは、財務諸表の重要な虚偽の表示が、企業の内部統制によって防止又は発見・是正されない可能性のことである。
統制リスクは、財務報告目的に関連する内部統制のデザインと運用状況の有効’性により影響を受ける。内部統制には、固有の限界があることから、統制リスクは常に存在する。(監査基準報告書第11項(2))

 

固有リスクと統制リスクは、企業側のリスクであり、財務諸表の監査から独立して存在しています。
固有リスクと統制リスクについて、別々に評価するのではなく、両者を合わせて重要な虚偽表示のリスクとして評価することとしています。
ただし、固有リスクと統制リスクを別々に評価することもできます。重要な虚偽表示のリスクの評価は、百分率のような数量によることもでき、また「高い」、「中位」又は「低い」というような定性的な評価によることもできます。いずれの場合においても、監査人にとって重要なことは、適切なリスク評価をおこなうことである。(監査基準報告書第12項)

発見リスク

発見リスクは、内部統制によって、防止又は、発見・是正されなかった財務諸表の重要な虚偽の表示が、監査手続を実施してもなお発見されない可能性です。
また、実施した監査手続の有効性に影響を受けます。
なお、監査人は通常、取引内容、開示情報などすべてを検証するわけではない、また、その他の要因のため、発見リスクをゼロにすることはできない。
その他の要因として例えば、監査人が不適切な監査手続を選択する、監査手続の適用を誤る、監査結果を誤って解釈したりすることが考えられます。
これらの要因の対策としては、適切な監査計画の策定、監査チームメンバーの適切な配置、職業的会議新の保持、適切な監督の実施、監督調書の査閲などがある。
発見リスクは、監査リスクを合理的に低い水準に抑えるために監査人が実施する監査手続、その実施の時期及び範囲に関係しています。

会計監査における監査リスクの方程式

AR = IR × CR × DR

AR:監査リスク(Audit Risk)
IR:固有リスク(Inherent Risk)
CR:統制リスク(Control Risk)
DR:発見リスク(Detection Risk)

監査リスクを合理的な低い水準に抑えるため、「固有リスク」、「統制リスク」を評価することによって、監査人が自ら行う監査手続やその実施の時期及び範囲を策定するための基礎となる「発見リスク」の水準を決定することが求められます。

例えば、「固有リスク」、「統制リスク」が高い(虚偽の表示が行われる可能性が高い。)と判断した時は、「発見リスク」の水準を低く(虚偽の表示を見過ごす可能性を低く)設定することで、自ら設定した合理的な「監査リスク」の水準が達成されるようにより、詳細な監査手続きを実施することが必要になります。

AR(1500)= IR(20) × CR(15) × DR(5)

このようなリスク・アプローチに基づいた監査を実施するためには、監査人による各リスクの評価(リスク・アセスメント)が重要になります。

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す