財務報告統制の構築の過程で最も悩む一つが「財務報告に係るリスクの把握」である。
会社にとって最も怖いこと、そしてこの制度が最も期待しているのが、「重要な虚偽記載」の未然防止である。平たく言えば真実と異なる数字が公表されないことであり、それは意図的に行なわれる場合に不正(粉飾)と呼ばれ、意図せずして起こる場合には誤謬と呼ばれる。そして財務報告に係るリスクとは、不正・誤謬の原因行為が発生する可能性、行為の結果生じた虚偽表示が発見されない可能性とに大きく分けられる。
不正が意図的であり、誤謬が意図的ではないことから、監査の検出事項が「誤謬」であることから軽く見る向きもあるが、その誤謬が会社の一連の決算手続の中で発見されなかったということは、仮に不正があっても発見できない可能性が高いことを意味しているので、内部統制の脆弱性レベルとしては軽くないと考えるべきだ。
こういった不正・誤謬の原因行為の発生を予防し、行為の結果として生じた虚偽表示を発見するために、社内に縦横に張り巡らされる手続が「統制活動」と呼ばれるものである。そして統制手続の裏側には、虚偽表示とその原因行為の想定が行なわれるのだが、それが「リスク分析」と呼ばれるものだ。
リスク分析は本来は体系的なモデルを使って科学的にいきたいところだが、実情は作業者の「勘と経験」によるところが大きい。しかしこの勘と経験は実に重要だ。「経験」は過去に実際にそういうことがあったわけだから、二度同じことがあっても不思議ではないと考えるべきだ。そして「勘」と言えばいかにもいい加減に聞こえるが、不確実な将来を予測するのに「勘」は必要なのだ。そしてあることが見えている人と見えていない人とがいる場合、見えていない人からは見えている人の発言や行動は「勘」に頼っているとしか思えない。しかしたとえ「勘」であろうとその可能性が明確に否定できない限りそれは「見えている」つまり想定されたリスクと考えなければならないのである。
監査人の立場においても、監査手続の選択適用に当たっては職業専門家としての正当な注意を払わなければならないと監査基準で定められているが、会社側においても同様に経営者としての善管注意義務を払い統制手続の選択適用が求められているということだ。
リスクはそれが顕在化する可能性と顕在化したときの影響度によって、重要度が比較衡量されることになる。そして最も重要なものからコントロールしていくことが期待されている。換言すればリスクの全てがコントロールされなければならないわけではない。要は虚偽表示とならない程度にコントロールすればよいので中には受容されうるものもある。それは経営者による判断であると言われている。しかしこの経営者のリスク感性が低い場合、監査人はどう対応すべきなのか、またどこにも開示されないので外部者は判断のしようがないところで、どうやって経営者の暴走をコントロールするのか、それはガバナンスの問題として議論される。
Tags: リスク評価