さて、監査計画の後半です。
前回は、主に監査リスクと重要性について説明しました。
要は、監査リスクは監査失敗のリスクで、監査意見を出すにはこれを合理的に低くせなあかん。
それで、何をもって合理的かを判断する基準が重要性の概念やな。
監査計画の策定
では、いよいよ監査計画策定開始です。
究極的に言えば、「監査意見を出す」という目的のため、もう少し監査っぽく言えば監査リスクを合理的な水準まで低減させるためにはどうすればいいのかを考えて文書化(調書に記録する)するために監査計画を策定します。
監査契約 Engagement
これは監査計画とは異なるのですが、監査の最初に必要な手続です。そして、ここで行ったことは監査計画にそのまま流用することが多いので監査計画の中に入れて説明します。
監査契約では、
なあなあアヒルさん。監査してや!うち上場してんねん。お金もちゃんと払うで~。
へえへえアヒルさん。わかりましたわ。ほな、うちでやらしてもらいますー。
はダメです!
監査契約の時点で、一定の監査リスクが存在するからです。
契約時点で、「これを引き受けるにはリスクが高い」と判断すれば、契約はしません。
例えば、以下のような要素が監査リスクに影響してきますので、これらを評価の上で引き受けるかどうか決めなくてはなりません。
・経営者の誠実性(何よりも利益優先型だと「不正をしてでも売上をあげろ!」という人が出てくるかもしれません)
・企業風土(誠実性に同じ)
・過去の不正の有無
・企業の業種(IT系はモノがないだけに監査も難しい)
・監査人交代の理由
そしてリスクを評価したら、次は監査の前提(Preconditions for an Audit)が整っているかを確認します。
・財務諸表のフレームワークが適切なものか?
・経営者が自分の責任(Management Responsibilities)を理解しているか?
(責任とは、FS作成責任、内部統制の整備・運用責任、監査人への情報提供等を言います。)
余談やけど、実務では責任のところ混同しがちで、「会計士来てるんだから、なんとかしてくれるでしょ!」というスタンスの会社は実際には多いんや。
かといって指摘だけして帰っても上手いこと直してくれへんし、時間かかるしでけっこう困るんやな。
あとは、監査人交代のケース(New Clients)では前任監査人(Predecessor auditor)への質問、
継続監査(Recurring Audits:前期から引続き監査を行うこと)のケースでは、環境の変化がないか等を確認します。
これも余談やけど、監査人交代の時の前任監査人へのインタビューや、調書閲覧はけっこうピリピリした雰囲気で行われることが多いで。もちろんケンカ腰とかじゃなくて、基本聞かれたことしか答えへんみたいな感じや。
なんせ、ライバルに客取られるわけやからいい気分じゃないわな。
実際ほとんど言葉を交わさず、なにか聞いても、
「○○調書の3ページ目を見てください。」
みたいな回答の仕方しかしないところもあるわ。
そして、これらの手続が完了し、監査リスクは十分合理的な水準まで低減できると判断した場合に、契約書(Engagement Letters)を締結します。
これら契約前に行われる調査や、経営者ディスカッション、ビジネスの理解は、監査計画でも同様に行われますが、同じことを2度やるわけではなく、監査契約の時に行った手続をそのまま計画でも流用するようなイメージです。
ビジネスの理解
契約時点である程度やりますが、監査計画策定のためには、まずきちんとした会社の理解が必要です。
世の中の企業はひとつひとつ違います。同じ業種であっても、リスクは異なるでしょう。
例えば同じ携帯電話会社でも、投資会社に近い存在となりはじめたソフトバンクでは、投資が本当に価値があるものなのか、評価(Valuation)の問題が最優先されるでしょう。一方でNTTドコモであれば、やはり設備投資が大きいですから、その処理・評価の妥当性も優先されるでしょう。
こういったリスクを認識するために、ビジネスを理解していきます。
以下のような要因を理解することで、どこにリスクがあるのかの評価につながります。
外部要因の理解:業種の特徴や、規制、財務報告のフレームワーク等
例えば…
今流行りの民泊は、規制がゆるい業種でしたが、だんだんと規制が厳しくなりつつあります。こういった業界は規制の方向によっては大きく収益を減らすリスクもあるため、規制の動向もしっかり把握しておく必要があります。業務ができなくなることもありえるので、継続企業の前提に疑義が生じるリスクすらあります。
企業内部の理解:会社の販売方法、顧客、仕入先、資金調達方法のオペレーションや、株主等ガバナンス構造、新規投資計画等
例えば…
大株主からの圧力は監査リスクになり得ます。大株主に投資ファンドが入っているようなケースでは、かなり強い圧力で利益を出せと言われるケースもあり、不正リスクに注意が必要になってきます。
また、よくあるのは借入金にコベナンツ(Covenants)がついているようなケース。これは一定の条件を満たさなくなった場合に即借入返済を求められるような条項で、例えば財務制限条項として、営業赤字を計上した場合に即返済という条項がつけられるケースがあります。これを回避するがために粉飾するリスクもあります。
監査チームの編成 Establish the Team
ビジネスの理解が完了すれば、どういう人材が必要か分かってきます。
当然に、これらの人材には独立性が求められます。
そしてできれば、その業界の経験者を連れてくる方がスムーズな監査が可能になります。
例えば、銀行や証券、保険会社は特有の会計基準を使ってるから、経験者抜きやと難しいやろうな。
また、年金数理人や不動産鑑定士等の専門家の関与の必要性も検討する必要があります。専門家にも独立性が必要です。
そして、このチームで社員(Partner:最終責任者、監査報告書にサインする人)や、インチャージ(Accountant In Charge:現場責任者)等の役割分担を行い、作成した計画が妥当かどうかディスカッションします。
全社的な内部統制の評価 Entity Level Control
USCPA試験においては、BECで勉強するCOSOフレームワークのようなことを、計画段階で会社全体としての内部統制として評価します。
下記の項目について、全社レベルでの内部統制を評価していきます。
・Control Environment
・Risk Assessment
・Monitoring
・Information and Communication
・Control Activities
例えば経営者の考え方が現れる人材配置にしてもそうですが、経理部に必要最低限に満たない人員配置を行っているような状況では、会社全体としての内部統制がしっかり機能しませんので、監査リスクが全体として上がってしまうということになります。
こういった特定の内部統制ではなく、内部統制全体に影響を与えるような統制については、計画全体に影響を与えますので、計画段階でいったん評価を行います。
重要勘定の選定とアサーション Significant Accounts and Assertions
監査はリスクアプローチ(Risk Approach)で行われます。
なので、すべての勘定科目について同じようなレベルで監査手続を行うわけではありません。
監査計画段階で、重要勘定を選定し、重要でない勘定には軽い手続きで済ませることが多いです。
では、何をもって重要とするのか。この判断基準が前回やった監査リスクと重要性です。
まず、簡単な例で考えてみます。
簡単な例
重要性の基準値:1億
売上高:100億
売掛金:10億
保証金:5千万
借入金:10億
デリバティブ負債:8千万円
資本金:2億円
このケースでは、単純に売上高、売掛金、借入金は金額的重要性から重要勘定にするでしょう。
一方、保証金は基準値を下回りますので、詳細な手続を省略する軽微な勘定に設定します。
ここで、デリバティブですが、基準値1億円を下回りますが、簿外負債となりうる可能性が高い勘定科目であり、監査リスクが高くなりがちなので、質的な重要性を勘案し、重要勘定に設定します。
また、資本金は基準値を超えていますが、通常大きく変わるものではなく、前期比較のみで十分に監査リスクを低減できるので軽微勘定に設定することも可能でしょう。
このように、単純に重要性の基準値のみで考えるわけではありませんが、監査リスク、重要性を考慮して監査手続を行う勘定を設定していきます。
なお、この際にアサーションという概念が出てきます。実在性、網羅性、評価といった勘定科目の監査上の立証目標のようなもので、このアサーションごとに、前回やった固有リスク等を決定していきます。アサーションについて説明すると長いのでここではいったん省略し、別途説明します。
業務プロセスの認識 Identify Transaction Cycles
では、重要勘定を認識したらすぐに監査手続に入るのでしょうか?
違うねん。監査手続は試査(Test Basis)で行われるねん。
その前提となる内部統制を確認しとかんと、試査でのサンプル件数がやたらに増えてしまうから、まずはどういう風に内部統制を評価するか決めなあかんのや。
というわけで、内部統制の評価のために重要勘定がどういう流れで生じるものなのか確認していきます。
例えば売上高や売掛金であれば、通常は「販売プロセス」で生じてくるものでしょう。
販売プロセスの簡単なイメージは以下のような感じです。
こういう形で、重要勘定に関連する業務プロセスを認識していきます。だいたい、下記のようなマトリクスを作って、ちゃんと立証したい勘定に対応するプロセスを認識しているか検討していきます。
一部抜粋イメージ |
販売プロセス |
原価計算プロセス |
購買プロセス |
有価証券プロセス |
売上高 |
〇 |
- |
- |
- |
売上原価 |
- |
〇 |
〇 |
- |
売掛金 |
〇 |
- |
- |
〇 |
有価証券 |
- |
- |
- |
- |
こうやって認識したプロセスについては、Walk-Throughと呼ばれる内部統制を理解するための手続を行い評価していくのですが、それは内部統制評価のところでやりたいと思います。
リスク評価 Risk Assessments
監査計画段階でやるのは、上記の通り内部統制の理解のためのWalk Through手続ですが、この段階で仮の内部統制評価の有効性を決めてしまいます。
前回の講義のとおり、監査リスクは下記のように計算します。
監査リスク=固有リスク×統制リスク×発見リスク
AR(Audit Risk)=IR(Inherent Risk)×CR(Control Risk)×DR(Detection Risk)
監査手続設計に必要になってくるのは、ARを下げるために、DRはどの程度にしておくべきかの検討です。
DRのレベルを決めるためにはIRとCRの評価を決めないといけません。
ARは低くないとアカンから、そこは所与のもんと考えるんや。
ARを低くするには、まず会社サイドの要因であるIRとCRを仮で評価して、必要なDRを決定するんや。
例えば、IRとCRが低いんやったら、DRは多少高くてもARを低くできるから、監査手続は簡単なものにしておこうとかやな。
IRについては、重要勘定選定の時に決定しています。
ここで、CRが問題になります。
本来は、CRが正式に決まるのは統制評価(Tests of Controls)の後なのですが、これは1年間を通じて内部統制が有効であるかどうかをテストするので、実際に確定するのは決算日後になってしまいますが、確定後にDRを決めていては遅すぎます。
なので、実務では計画段階で、「この内部統制はテスト対象として評価し、有効となる見込み」といった具合に仮評価し、最終的に必要とされる発見リスクの水準を決めていきます。
手続設計 Plan Audit Procedures
上記で検討した発見リスクの水準になるように、各勘定科目ごとに必要な監査手続を設計していきます。
まとめ
結局のところ、監査計画は監査リスクを下げるためにどうするかを考えるっていうことやな。
重要勘定を決めて、固有リスクを決めて、統制リスクを仮評価し、必要な監査手続を設計することで発見リスクをどの水準に設定するかを決めることでARが決まってきます。
監査計画では常にこのAR=IR×CR×DRを意識しましょう!