監査リスクモデル(ARM: Audit Risk Model)とは
監査リスクモデルとは、
$$AR = IR \times CR \times DR$$
として一般的に表現され、監査に関係する諸々のリスクの関連を示す、監査基準の解説などでもよく用いられる「概念式」です。概念式というのは数式という意味ではなく、各因数を数値化して監査リスクとの関係式として計算できるものではないことを意味しています。
しかし、監査リスクは財務諸表への虚偽表示の程度そのものですから、監査人が把握した虚偽表示の額が影響としてまとめられ評価されているわけですから、数字で表せないというのは言い過ぎで、実際に監査意見形成の段階では、最終的には数字で表されなければならないとも言えます。
監査基準のリスクの考え方
監査基準では、監査リスク(AR: Audit Risk)を重要な虚偽表示リスク(RMM: Risk of Material Misstatment)と監査人による発見リスク(DR: Detect Risk)として捉えています(監査基準委員会報告書200.12.(5))。
$$AR=RMM \times DR$$
重要な虚偽表示リスクRMMには、因子として不正によるものと誤謬によるものが含まれますが、影響が及ぶのは財務諸表全体レベルないしアサーションレベルです(200.A33)。このうちアサーションレベルの\({RMM_a}\)は、あわせて固有リスク(IR: Inherent Risk)と統制リスク(CR: Control Risk)とで構成されます(監査基準委員会報告書200.12.(10))。
$$RMM=RMM_f + RMM_a \\ RMM_a = IR \times CR$$
アサーションレベルとは勘定科目において取引が実体を伴っているか、処理が漏れていないか、金額や区分等に誤りがないか、といったことを意味します。財務諸表全体レベルとは、連結の範囲、継続企業の前提など個々の勘定科目を超えたところでの虚偽表示リスクを意味しています。
以上から導かれた概念式が、冒頭に示した監査リスクモデルARMです。
なぜ掛け算なのか
監査リスクを単純に虚偽表示の影響額で表現できると想定しましょう。財務諸表の不確定性、つまり監査人によって何も確かめられていないありのままの状態に含まれる数字のブレ幅\(\theta\)を固有リスクIRと捉えます。
RMMは、固有リスクIRのうち内部統制により信頼性を確保されない(発見是正されない)部分を言うので、内部統制が有効に機能している取引割合を内部統制の検出力\(\gamma\)とおけば、
$$RMM:= \theta(1-\gamma)$$
最終的な監査リスクARは、重要な虚偽表示リスクのうち監査人によって確かめ、発見されない部分を言うので、監査人により確かめられる(虚偽表示の発見に加えて虚偽表示でないことの確かめも含む)割合を監査人の検出力 \(\delta\) とおけば、
$$AR:= RMM (1−\delta)$$
すなわち、最終的な監査リスク\(\alpha\)は、
$$\alpha= \theta(1-\gamma)(1-\delta)$$
が得られます。これをARMの概念式に照らして捉えると、
ARは金額\(\alpha\)、固有リスクは金額\(\theta\)、統制リスクは統制により信頼性を確保できない割合\(1-\gamma\)、発見リスクは監査により確かめきれない割合\(1-\delta\)として理解できます。
引き算でも表現できる
監査基準の定義では、監査リスクは重要な虚偽表示リスクのうち監査人によって見逃された部分を言いますから、上と同じく、監査人により確かめられた割合を\(\delta\)とすれば、
$$AR := RMM – \delta \times RMM \\= RMM(1-\delta)$$
と引き算でも表現できます。
このうち、RMMの部分は、固有リスク\(\theta\)の額のうち内部統制により確かめられない部分を表すので、
$$RMM := \theta – \gamma\theta \\= \theta(1-\gamma)$$
とやはり引き算で表せます。2つの式を合わせると
$$AR:= \theta(1-\gamma)(1-\delta) = \alpha$$
と変形できるので、掛け算の式と同じです。
このように、ARMは監査基準の定義を忠実に表現した引き算の概念に変換可能です。
監査基準の定義から導出したモデルと、一般に用いられるARMとを同じ概念で説明するために用いた、\(\gamma\)および\(\delta\)という2つの係数は、端的にはそれぞれ内部統制の有効性レベル、監査の品質レベルを表していると考えられます。
もう一つの引き算
考えているうちに、次のような表現もあるのではないかと思いつきました。
$$\alpha = \theta(1 – \gamma – \delta)$$
最初の式で算出されるARを\(\alpha_1\)、直前の式で算出されるARを\(\alpha_2\)とすると、
$$\alpha_1-\alpha_2 = \theta(1-\gamma)(1-\delta) \\- \theta(1-\gamma-\delta) \\= \gamma \delta$$
両者の差\(\gamma \delta\)は内部統制によって確かめた割合と監査人が確かめた割合の重なる部分ですので、確かめたという点においては冗長な部分、つまり全体のリスクの軽減割合には貢献していないと考えれば、\(\alpha_1\)と\(\alpha_2\)の違いは、重複を想定するかしないかの違いです。
検出力の意味
監査人によるリスクのある取引の確かめられる割合を\(\delta\)としましたがこの意味するところを考えてみます。
虚偽表示リスク→ | Scope | ||
実際の虚偽記載↓ | In | Out | Total |
あり | Detected | Missed | |
なし | Confirmed | Disregarded |
監査人は虚偽表示の全てを検出することは求められておらず、財務諸表の利用者の意思決定に重要な影響を及ぼす虚偽表示、すなわち重要な虚偽表示が財務諸表に含まれていないことを確かめることが求められます。
RMMに該当する取引はあくまでもリスクがあると言っているだけで、それ自体が虚偽記載を意味しているわけではありません。監査人は虚偽記載リスクの中から重要な虚偽記載リスクがあると考えるものを対象として詳細テストなどを適用して取引の正否を確かめます。したがって、虚偽記載のリスクを母集団とすれば、監査人は重要な虚偽記載リスクのある取引をテスト対象とし、該当しない取引をテスト対象外とします。虚偽記載リスクのある取引に実際に虚偽記載があるかどうかは、結局のところは確かめて見なければわからないわけですが、監査範囲とするかしないかと合わせると、上の4区分にできます。監査の結果として、
$$\delta = \frac{Detected}{Detected+Missed}$$
が得られます。監査人はリスクのある取引をScope InしてMissedを極小化しなければなりません。但し投入資源がより多く必要です。ConfirmedかDetectedかは結果からしかわかりません。Scopeを小さく取れば監査コストは下がりますが、Missedが増える可能性が高まります。Confirmedを広く採ることは結果的に情報の不確実性を下げる監査の役割を果たすことになります。