2021年2月26日にJICPAから標記改訂の公開草案が出されました。
315号はそのタイトルが「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」というだけに、監査のリスク評価に関わる部分を規定していて、監査人にとっては監査の一連の流れの中で最も重要でエネルギーを注がなければならない領域についての基準です。しかも今回の改訂は、「新旧対応版」が存在しません。草案のPDFは百ページを超えています。つまり、改訂と称しつつ事実上は書き直したに等しい内容です(国際監査基準ISA315との比較表があることから、焼き直しとも言えますが)。そんなわけかどうかはわかりませんが、会計士協会も理解の便宜を図るために「参考資料」という解説用のスライドを用意して周知を図ろうとしています。
この改訂は、先に行われた監査基準の改訂を受けていますので、いわゆる「固有リスク」概念についての規定が明瞭化されるとともに具体的な記述が増えました。前の基準では、固有リスクと統制リスクという形で概念は分かれていたものの、両者をかけ合わせた重要な虚偽表示リスクという形でリスクを捉えて評価して監査手続を立案すればよかったのですが、新しい監査基準はその考えを残しつつも、売上などの重要な取引については固有リスクを識別して評価することを改めて要求しています。さらに固有リスク評価に当たっては、いわゆる「リスクマップ」という考え方を導入して、発生の可能性と発生した場合の影響の大きさという次元に分けてリスクの大きさを評価し、右上象限に来る項目については特別に検討を要するリスクとして分類することになっています。この考え方は一般的なリスクマネジメントのアイデアを借用したものだと考えられますが、私個人としてはやや批判的です。この点はまた改めて書くつもりです。
監査人は実務の上では固有のリスクはかなり考えていますし日頃からも意識して情報を集めているので、改訂が根本的に監査の方法を変えることにはなりません。ただ監査基準委員会報告で色々と定められると、監査調書にその検討記録を残す必要が生ずるので、また考えることよりも書くことの方に時間をとられてしまうという声が聞こえてきそうです。
加えてこの改訂で注目されるのは、情報処理システムに関係する監査上の対応がたくさん加わったところです。日本の監査基準は情報処理システムに関しては、IT委員会報告6号という基準が監査基準委員会報告とは別枠の監査基準として設定されていて、いわば取ってつけたような印象が拭えませんでした。今回の315の改訂にはその内容以上の新しい概念も入っているので、(明示はされていませんが)IT6号は315号の導入により廃止されるのではないでしょうか。
「情報システムの理解」が要求事項として明示
従来の基準には内部統制の構成要素として「情報と伝達」「ITへの対応」というカテゴリがあったのですが、それが「情報システムと伝達」となっており、両者が一体化した概念となっています。もともと内部統制報告制度が日本に入ったときに、「ITへの対応」を内部統制の構成要素として独立させる必要があるのか、という議論はありました。当時の判断として、日本の内部統制制度の特徴として「ITへの対応」は残されました。
監査人側の監査基準である本改訂でITの重視が軽んじされたわけではありません。むしろ、以下の要求事項を見ると監査上の対応の必要性が強化されたと言って良いでしょう。
14. 監査人は、リスク評価手続を通じて得た以下の理解や評価により、財務諸表の作成に関する企業の情報システムと伝達を理解しなければならない。(A119項参照)
《ア.情報システムと伝達》 24.
(1) 重要な取引種類、勘定残高及び注記事項に関する企業の情報処理活動の理解。企業の情報処理活動には、処理されるデータ及び情報、情報処理活動に使用される経営資源、並びに情報処理活動について定めた方針が含まれ、以下の事項を理解する。(A120項からA131項参照)
① 以下を含む、企業の情報システムにおける情報の流れ
ア.取引の開始から、それに関する情報の記録、処理、必要に応じた修正、総勘定元帳への取り込み、財務諸表での報告に至るまでの流れ
イ.取引以外の事象や状況に関する情報が把握され、処理され、財務諸表において開示されるまでの流れ
② 会計記録、特定の勘定及び情報システムにおける情報の流れに関連する他の裏付けとなる記録
③ 注記事項を含む、財務諸表を作成するプロセス
④ 上記①から③に関連するIT環境を含む企業の経営資源
(2) 情報システム及び内部統制システムのその他の構成要素において、財務諸表の作成に係る重要な事項及び報告責任について企業がどのように内外に伝達しているかの理解(A132項からA133項参照)。
これには以下の事項を含む。
① 企業構成員の間での伝達(財務報告の役割と責任の伝達を含む。)
② 経営者と取締役会や監査役等との間の伝達
③ 規制当局等の外部への伝達
(3) 企業の情報システムと伝達が、適用される財務報告の枠組みに従った財務諸表の作成を適切に支援しているかどうかの評価(A134項参照)
この規定は、現行315基準(2019年6月19日版)の17や18あたりにも類似したものは入っています。
監査対象である、会社の活動を知りそれが会計情報の生成プロセスを経て会計情報にどう反映されているかを理解することは、監査の前提条件であることは言うまでもありません。あえて「理解」を強調している点は、これまでのように「ITへの対応」として「IT専門家の関与がある」という答えでは、リスクを理解するという監査人の態度として監査基準の要求を満たさない、つまり監査人自らが情報(伝達・作成)システムを(監査リスクの判断に必要な程度は)理解しなければ監査リスクは評価できないということです。これは次の25項「統制活動」を理解することとも別ですから、統制活動の位置づけを理解するためにも「情報システムと伝達」を理解することは必須となります。
IT関連では、新しい概念として「情報処理統制」「ITプロセス」「ITの利用から生じるリスク」が加わった
これまでの基準を理解している監査人には難しい話でも新しいことでもありません。
情報処理統制とは、
情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおけるITアプリケーションの情報処理又は手作業による情報処理に関連した内部統制
11(9)
これまで業務処理統制とされていたものとほぼ同じです。
ITプロセスとは、組織内での情報システムへのアクセス、変更、運用業務を管理する業務のことで、従来は全般統制という形でひと括りにされていたものです。ではIT全般統制はなくなったのかといえばそうではなく、IT環境が継続して適切に運用されるよう支援するITプロセスに係る内部統制とされました。この考え方は従来のIT全般統制の目的と変わるものではありませんが、結局のところ組織の管理業務という側面と、情報処理統制を支援して情報インテグリティを確保する目的を持つ統制という側面とを分けて捉えるようになっただけです。
ITの利用から生じるリスクが最もわかりにくいかもしれません。
企業のITプロセスにおける内部統制のデザイン若しくは運用が有効でないことにより、情報処理統制が有効にデザイン若しくは運用されない可能性又は企業の情報システム内の情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)に対し引き起こされるリスクをいう。
11(3)
以前は「ITに起因するリスク」(現行315基準20, A102-A104)という表現がありました。これは会計から見たIT関連の統制に対する目的を情報インテグリティというIT側の言葉で表現することで、全般統制と業務処理統制との関係や、監査目的を明確に絞ったものと解されます。言い換えれば、財務報告の適正を確保するという意味で情報システムに期待されるのは、情報インテグリティの確保であり、そのためには、組織のITプロセスが適切に機能することで情報処理統制が継続適切に運用されるべきというロジックが監査基準上で明らかになりました。これにより、従来は可用性の観点からデータのバックアップがとられているかとか、災害対策ができているかといった情報システムからみればごく当たり前の活動は、財務報告からは距離を置いて考えることができ、監査資源をより重点的に配置できます。無論、金融機関等のようにシステムの可用性の確保が財務的な信頼につながっている業種は別次元の話です。
自動化されたツールおよび技法への言及が増えた
Automated Tools and Technicsの和訳による言い回しで、従来はCAATと言われたものですが、今後はATTと言われるかもしれません。最近のCAATは監査ツールとしてパッケージされたものも出てきていることから、それを意識した書きぶりです。大量データと格闘するときにCAATを用いて、分析、再計算、再実施、整合性チェックする(A21)のは従来と変わりませんが、観察閲覧のツール(A33)としてドローンについて遠隔監視ツールとして書かれているのは、最近のCOVID-19で突如出てきた「リモート棚卸立会」に対応したものなのでしょうか。さらに、情報システムの理解の一環として取引及び処理の流れを理解するために、自動化されたツールを用いること(A52)や、組織のデータベースへのアクセスやデータの取得のためのツール(A125)、記録や取引の流れの追跡、通常処理・想定処理からの逸脱の識別(A125)、非定型的な仕訳入力の把握(A149)、重要な取引種類、勘定残高及び注記事項を識別(A189)など、関連する他の基準で「CAATを用いることがある」と書かれていたものが加わっています。
「データアナリティクス」や「可視化技法」にも言及(A29)があり、データを用いた監査が当然視される時代の監査基準として、ようやく具体的な形でCAATが現れるようになってきました。
まとめ
こうしてみると、訳出文としての読みにくさはあるものの、IT関連ではあまり目新しさはなく、一部の言葉の定義付や概念の明確化が図られた以外は、これまでの実務が監査基準として追認されたという印象を受けます。ただし、これまでの監査基準の建付け自体が「ITはITの専門家が見る別物」という意識を一部の監査人に植え付けていたこともまた事実です。今回の改訂では、監査人に特にIT環境の理解や業務との関連の中でのリスクの把握について、監査人が積極的に関わらなければ監査自体が遂行できないことが明示的に要求されたという点は注目すべきです。監査基準の主語は「監査人は」で始まっているので、基準に書かれたという点では(参考資料にはまったく触れられていませんが)、監査人の能力に対する要求を明らかにしたという点でも大きな意味を持っています。
Tags: リスク評価