計画が終われば、まずは計画時点で立てた内部統制の仮の有効性について確認を行うことになります。

ここで、改めて確認しておきたいのは以下の公式です。

AR=IR×CR×DR

何度も繰り返していますが、ARを下げることが監査の目標です。なので、内部統制がしっかりしていれば、CRが低くなるので、DRは多少高くなっても大丈夫となります。したがって、内部統制が有効と評価できれば、監査手続は減らすことができます。

例えば、売上高の監査リスクを十分に低減させたいケースを考えてみます。

このケースでは大きく2通りの方法があると考えられます。

①販売プロセスの内部統制の有効性を評価し、CRを下げることで、期末の実証手続の多くを分析によって対応する方法。

②内部統制の有効性を評価せず、期末実証手続を手厚く設計し、DRを下げる方法

この2つだと王道は①になります。売上は年間を通じて発生するものなので、取引件数は莫大な量となります。なので、実証手続を行うとなると会社規模によっては何千件、何万件の取引を見るということになりかねません。もちろん、取引数が少ない会社であれば②を採用することもできますが、非常にレアでしょう。

内部統制の有効性を確認することができれば、理論上はエラーは防止または、発見是正されているので、実証手続件数は少なくて済むわけです。効果的かつ効率的な監査のためには必須の概念になります。

ここを頭に入れとかんと、内部統制評価は何のためにやるんかわからへんのや。

内部統制とは

内部統制とはですが、簡単に言うと企業が行っているミスを減らすための工夫です。

企業サイドで行われていることであり、監査法人側で行うことではありませんので、この点留意してください。

内部統制の目的は、以下の3つです。

  • 財務報告の信頼性の確保(Reliability of Reporting)
  • 事業運営の有効性と効率性向上(Effectiveness and Efficiency of Operations)
  • 法令順守(Compliance)

これを達成するために、会社が日々業務で行っている工夫が内部統制と呼ばれています。

簡単な例で言うと、「毎日金庫のお金を数えて、帳簿と一致することを確認する」「仕訳伝票の入力を別の誰かが間違っていないかチェックして承認する。」といったものです。

なお、内部統制は大きく二つに分かれており、予防的統制(Preventive controls)と発見的統制(Detective controls)があります。

先程の例では現金カウント結果と帳簿がずれていたら、「あれ?なんでだ?」と原因を探し出し、間違っている所をなおすと思いますので、これは発見的統制です。要は、処理した後に間違えてなかったかどうかを確認するものです。

伝票のチェックは予防的統制です。誰かが入力ミスをする前に、その上長がミスをみつけて、承認せずに差し戻すようなものです。

他に例えば会計システムにアクセス制限(パスワードとか)をして、権限がない人による不正入力を防いだりするようなイメージです。

内部統制評価の流れ

それでは、監査人側から見た内部統制評価の流れも見ていきましょう。

内部統制評価は簡単に言うと「整備評価」「運用評価」に分かれます。

「整備評価」は会社の内部統制を理解し、統制リスクを下げるという目的を達成するためにデザインされているかを確認するものです。

「運用評価」は整備評価で認識した重要な統制が実際に運用されているのかを確認するものです。

見た目だけ立派でも、実際にやってなかったら意味ないからな~。
2人1組でチェックするはずやのに、実際は1人だけでやってるとかありがちやけどな。

 

さて、具体的な内部統制の流れを説明する前に、少し復習しましょう。

前回の講義でも少し触れていますが、内部統制評価は監査計画時点から始まっています。

少し復習
例えば売上高を立証したい場合、まずは関連するプロセスを認識します。
売上の場合は販売プロセスと関連することが多いでしょう。
監査計画段階では、この販売プロセスを認識します。
そして、このプロセスがどういう流れで行われ、どういう統制が敷かれているのかを確認していく手続がWalkthrough手続になります。
これを整備評価と呼んだりします。
そして、この計画段階で仮のリスク評価を行い、内部統制に依拠するのかどうかを決めていきます。
計画で整備評価を行うことで仮評価をして、統制テスト(TOC: Tests of Control)で運用評価を行い、仮評価を確定させていくことになります。

要は整備評価を行うことで、ある程度当たりをつけて「この統制は有効にできそうやな」とか、「整備全然できてないし、この統制はあきらめて、違う統制を代替統制として利用しよう」とか、そういうことを計画段階で決めていくんや。統制評価は1年間を通じて有効かどうか見なあかんから、計画段階で全部は評価できへんねん。もし、有効と想定していた内部統制が有効じゃなかったら、計画やりなおして、どうやってARを下げるか考え直すことになるんや。

Walkthroughの例

整備段階で行われるのがWalkthroughです。

これはその名の通り、会社の業務の流れ(flow of transactions)を、たどっていくような手続です。

例えば販売プロセスの場合の流れを見ていきます。以下のような業務の流れを資料をベースにたどっていきます。

業務の流れ Walkthroughで入手する資料
①営業部門が注文を受ける。 ①注文書
②注文を受注システムに入力する。 ②受注システムへの入力結果
③入力を上長が承認する ③受注システムの承認者画面
④与信管理システムにより、取引の可否を判断する。 ④与信管理マスタ
⑤受注システムから在庫システムに情報が流れて、物流部門に出荷指示を行う。 ⑤在庫システムに②の情報が流れていることを確認する。
⑥物流部門で出荷を行い、在庫システムに出荷登録を行う。 ⑥出荷指示書、納品書、検収書と出荷記録の照合
⑦出荷データが販売管理システムに流れる。 ⑦販売管理システムに⑥の情報が流れていることを確認する。
⑧販売仕訳が計上される。 ⑧販売仕訳を②の情報の整合性を確認する。

という風に、業務を追いかけていきます。

そして、以上の取引はそれぞれが内部統制でもありますので、どの内部統制を評価すればCRを下げるという目的達成が可能かを検討します。

統制テスト(TOC)

TOCでは、Walkthroughで認識した統制すべてをテストするわけではありません。

Criticalな内部統制、つまり強力な内部統制をテストするんです。なので、これを特定することが計画段階では非常に大事です。

あまり意味のない統制を一生懸命評価しても、結局意味ないんです。

これは絶対機能してないと困る、機能していればかなりのミスを防げるというものを選びます。

そして、その統制が1年間を通じて有効に機能していることをランダムサンプリング等によって確かめます。

日本では一般的に1つのテストにつき年間25件テストすることが多いです。25件というのは統計的に90%以上の信頼性を得るために必要な数です。

統制テストは計画で想定したことを裏付けていくために行われるんやな。
これで有効が確定して、晴れて実証手続(Substantial tests)を減らすことができるんや。

まとめ

内部統制評価は、ちゃんと意味のある統制があるのかを確認する整備評価(計画段階)と、それが実際に行われているかを確認する運用評価(実施段階)に分かれています。

無意味なテストを避けるためにも、計画段階で本当に意味のある内部統制を特定することが大事になります。

おすすめの記事