リスク指向監査を勉強していて最初に理解に躓くだろうと思われるのが、リスクの分類概念だ。
リスクとは虚偽表示をもたらす可能性を言うのであるが、人が処理を誤るとか、システムが誤作動するとか、いろいろな「原因」が出されることが多い。
しかし、虚偽表示をもたらす可能性とは、財務諸表利用者が事実と異なっている財務諸表を見て判断を誤る可能性であることから、「可能性=原因」ではない。もっとシンプルなものである。
すなわち、
1.必要な情報が開示されていない
2.開示されている情報が不明瞭である
3.開示されている情報が誤っている
という程度のものである。勘定科目とリンクさせるのでいろいろとバリエーションがあるように見えるだけだ。
さらに、上記の原因となるものが、
(1)その情報が誤って区分・分類されている
(2)その数値が過大ないし過小である
a 存在しない取引が含まれている
b 存在している取引が含まれていない
c 評価や見積もり、判断が客観的事実から得られる合理的判断から乖離している
ということである。
これら原因をもたらす事象が「リスクポイント」(=リスクが顕在化する可能性のある業務過程の一時点)と呼ばれるものであり、運用リスクとして分類されることになる。
A システムエラー
B ヒューマンエラー
C 不正(意図的エラー)
固有のリスクを1,2,3として整理し、統制リスクをA,B,(C)、不正リスクを別枠でCとして分類したうえで、123とABCとの間にある(1)(2)を防止・発見することを統制目標として整理すれば、おのずと統制の理解もうまくいくのではないだろうか。
Tags: リスク評価