Contents
Part1
1.リスクマネジメントの評価に用いるツール
| 1.内部統制質問書 (なんらかの方法で裏付けをとる)全ての裏付け不要 | internal control questionnaire(ICQ)→供述証拠(間接証拠) | ・リスク・マネジメント・プロセスの有効性を評価するための効率的なツールで、「はい」「いいえ」の直接的回答を求めるもの。 (1~5のレーティング、自由記述欄形式も) 適切な統制の存在を確認後、期待される統制が継続遵守されているか確認 ・内部統制質問書は、エラーや不正の発生を予防もしくは発見するためのコントロールに関する質問で構成 ・回答は、内部監査人に内部統制のアサーションのインターナル・コントロールを識別させて、内部監査人がその設計と運用の有効性を評価(テスト)する際に役立つ。 |
| 2. 内部統制の文書化3点セット | ①業務記述書 | 業務内容を明文化した資料 →最も時間がかけないで済み、有用な情報を獲得(内部統制質問書より) |
| ②フローチャート | 業務の有効性と統制を視覚的に分析する手法。システムのフローチャートは、職務分離の指針と、組織体内での異なるセグメント間のデータの移動を表す。 | |
| ③リスクコントロール・マトリックス →内部統制のアサーション |  | |
| 3. リスクマップ(ヒートマップ) →リスクは定性的または定量的(またはその双方)で識別されるので、ヒートマップでも「定性的」に評価できる | リスク優先順位付けツールの1つ →発生可能性と影響度は横軸と縦軸という同等の関係 →リスクによりいずれを重視すべきかという観点が欠落(リスクの優先順位が曖昧) |  |
| 4.マトリックス分析 | 各リスクが統制で補填されていることを確認。統制が一つ以上のリスクを補填していることを確認。 |
2.リスク対応策の種類
| 意味・内容 | 具体例 | |
| リスクの回避 | リスクが大きい、又はリスク管理が困難な場合には、リスクの回避を選択する | 収益性の悪い事業を、売却・廃止する |
| 低減 | リスクをリスク選考のレベル迄低くするため、対応を取ること | 権限分離、 定期ローテーション、 上長承認 |
| 移転(共有) | リスクの全部・一部を組織外部に転嫁して、リスクの影響を低くする | 災害保険に加入、 為替ヘッジ |
| 受容 | リスク対応を取らないこと、 つまり、リスクを受入れること | 財務状況が悪化しているが、事業活動において不可欠なので取引を継続する |
| 活用(追求) | リスクファイナンス |
| リスクとは?(定義) | 組織目標に「⑴影響」を与える大きさと、「⑵発生可能性」を提示するもの →定性的・定量的またはその両方 |
| リスク評価の方法 | ⑴組織目標に及ぼす影響を評価 ⑵リスクレベルを評価 ⑶内在する原因を評価 |
| 内部監査計画でリスク評価を用いる理由 | リスク評価は組織体内で起こり得る不利な状況について、専門的判断を統合し、評価する体系的プロセスを備えているから |
リスクベースの内部監査をする際には、以下の3ステップを踏みます。
- 組織目標を確認
- 固有リスクを識別→⑴影響度と⑵発生可能性で評価
- 経営者によるリスク対応を確認
- 残余リスクを優先順位付
上記のステップを踏むことで、「監査対象」を選定する手続きに進むことができます
3.内部監査のアサーション
業務監査においては、文書化3点セットのうち「リスク・コントロール・マトリクス」には、統制上の要点(アサーションともいう)も記載される。
アサーションとは、あるリスクに対してある統制をおこなった場合、どのような要件を満たしたか?ということ。
言い換えれば統制上の要点を満たせば、リスクがカバーされることいなる。アサーションとは主張・表明・断言と英訳される(①〜⑥)
| ① 実在性 | 資産や負債が実際に存在すること、または実際取引や会計事象が発生していることです。 |
| ② 網羅性 | 計上されるべき資産や負債、取引などがもれなくすべて計上されていることをいいます。 |
| ③ 権利と義務の帰属 | 貸借対照表上に計上されている資産に対する権利や負債に対する義務が会社に帰属していることをいいます。 |
| ④ 評価の妥当性 | 資産および負債を適正な価格で計上しているのか。将来の対価および負担に見合った金額を計上しているか。 具体例:期末時の商品で、商品が摩耗劣化している場合は棚卸資産の金額をへらす必要あり。市場性のある有価証券は、時価基準による評価に変動があった場合再評価を行い適切に計上。 |
| ⑤ 期間配分の適切性 | 取引や会計事象が正しい会計期間で計上されているか、 あるいは 収益や費用が適切な期間で計上しているか |
| ⑥ 表示の妥当性 | 資産や負債をはじめとする財務諸表の表示が適切な項目に表記されているのか。 1年以内に完済される借入金が、固定負債でなく流動負債に分類されているのか等。 |
Part2 CAEの対応
| ・内部監査部門の管理 | ||
| ・記録媒体の保存・閲覧 | ||
| ・①不正の兆候、②残余リスクを受容、③改善提案の無視、④ルール違反を発見の場合 |
1.中長期計画→年次計画→「実施計画」
| 中長期・年次計画 | ↓ | ↓ |
| 監査実施計画 | ↓ | リスクを考慮 |
| ー予備調査 | ↓ | 不要 |
| ー事前MTG | ↓ | |
| 監査手続書 | 客観性を考慮 | |
| 実査(証拠収集) | ||
| 監査調書 | 不要 | |
| 監査報告書 | ||
| フォローアップ |
| ⓪中長期・年次計画 | ・リスクベースで計画策定 →リスクは量的・質的の両面から →リスクは実施計画まで考慮 | |
| ①実施計画書 | ||
<計画策定における考慮事項:2201>
・レビュー対象の活動について背景事情を入手して、計画策定 ◆組織体外部の「監査実施計画」を策定するときは、以下を文書化する
◆コンサルティングをするときは、
| ||
| ①目標 | ・目標、戦略、ガバナンス、リスク、コントロール、フレームワークと比較した妥当性、改善の機会、KPI(重要業績指標)を考慮する。 ・重大な誤謬、不正、コンプライアンス違反、その他のエクスポージャー、主要リスクを考慮する。 →トップダウンアプローチ →経営者のリスク評価、年次計画策定時のリスク評価、その他のリスク評価、監査報告書を含む →×個人の能力は考慮しない | |
| ②範囲(カバレッジ) ・コンプライアンステストを実施 | ・重要固有リスクに対する全ての「キーコントロール」を含める (キーコントロールのみ!第三者の管理下にある統制も含める) (リスクに対して1つ以上のキーコントロールを選定) →×二次的コントロールは含めない (○キーコントロールを「補完」するときは二次的も含める) (× →×設計上弱点があるコントロールは含めない →○ビジネス上価値あるコントロールは含める(経営者と議論) | |
| <キーコントロールの評価> ・一つまたは複数の業務の組み合わせで評価 ・予防的統制と発見的統制がある。予防的はリスク感応度が高く、発見的は多くのリスクに対応可能(サンプル数が少ない) ・リスク管理の有効性に意見表明するときは、キーコントロールの整備状況全体も、監査範囲に含める | ||
| ③実施時期 | ||
| ④資源の配分(人的資源を含む) | 適切な「質」 ⅰ技能・経験=不十分なら研修・監督 ⅱ専門知識=専門性が欠けるなら外部委託 十分な「量」 実施する者の「独立性・客観性」 | |
| ・担当者はⅰとⅱを考慮して選任する。 →内部監査人の訓練の必要性を考慮(人材開発) →資源の配分が効率的・効果的だったかは、業務完了後に判明。 | ||
| ※評価基準 | ●妥当な規準がある場合、その規準を使用する。 →規準がなければ規準策定を助ける。評価基準は、経営管理者と同意したもの →業界慣行、専門家・政府の基準を参考。ベストプラクティスはコンサルティングでも利用。 ●×昨年度の監査において文書化されて業務(昨年度の業務は法令規則等に違反している可能性あり) | |
2.予備段階(予備調査→事前MTG→手続書)
| ⑴予備調査〜 詳細な検証は行わない | (予備調査) ●対象業務を理解 →業務知識を得る(法令規則・業務マニュアルから) →業務実態を把握(担当者の態勢・経験、情報システム化の度合、インタビューも) →過去の内部監査の結果を確認 ●リスクと統制手段を理解 →固有リスクの評価 →キーコントロールを理解 ●重点領域を識別 ●判定基準の明確化 |
| ⑵事前MTG(事前通知) | 監査の目的・手段を説明する。 →監査実施計画の記載内容を説明 その他の議題 →経営管理者の関心・要求 →求められる文書記録 →監査スケジュール 監査業務の効率化に寄与、 対象部門との信頼関係を確立する |
| ⑶監査手続書(監査プログラム、作業プログラム) | 具体的で詳細な監査計画 「いつ、誰が、どこで、何を、なぜ、どのように」 →監査業務を指揮監督 →プロセスを記載 →監査リスクは考慮しない(リスクは実施計画で考慮済み) →サンプリング計画も立てる |
(予備調査)
| 物理的証拠 | 職能的ウォークスルー(対象業務を始めから最後までテスト) |
| 供述証拠 | 対象部署からインタビュー(意見・提案) →内部統制質問書を送ることも。 |
| 文書証拠 | 文書の3点セット ①業務記述書 ②RCM(RCMの使用は義務ではない) ③フローチャート |
| △分析的証拠 | 分析は実査(監査手続)で実施されるので、 予備調査では基本的に利用されない。 |
3.監査手続=現場作業=フィールドワーク
| ③実査(証拠収集) ⑴監査手続 ⑵証拠 ⑶事実証明(証拠力) | ⅰ直接事実←直接証拠 ↑ ⅱ間接事実(状況証拠) ↑ ⅲ間接証拠(状況証拠) ⅳ※補強証拠 |
⑴監査手続=現場作業=フィールドワーク→ ⑵証拠
| ⑴現場作業 | ⑵証拠 | ||
| ①観察・立会 (視覚) →他人の行う手続を観察また実査してその正否を確認 | 実際の作業を確認(ウォークスルー) | 物理的証拠(観察で得た証拠) | 精度は高いが、入手コスト高い
|
| 実地棚卸=実査(資産の実在性を現物確認) | |||
| ②質問(口頭) | 供述証拠(口頭・書面での回答) | 精度は低いが、入手コストも低い | |
| ③文書(文字) | 文書証拠 | 一般的な証拠 | |
| ④分析 | →CPU利用 →手作業 | 分析的証拠 | 情報があれば短時間・低コストで分析可能 |
| ⑤自分で確認 | 再実施 | ー | インターナル・コントロールの有効性・正確性を確認 |
| 確認 | ー | 取引の関係者に文書で照会し、真実性・正確性を確認 | |
| 検査 | ー | 確認状の送付(積極的・消極的)、独立した確認(情報の正確性を第三者確認) | |
| ↓↑ ↓↑ ↓↑ | |||
| 調査 | 不正調査 | ||
内部監査の口頭インタビュー
| 内部監査 | 不正調査 | |
| 準備 | ・質問内容は入念に準備し、整理する。 (事前に質問リスト用意、論理的順番で質問項目を配置) ・自由に発言できる環境づくり (上司と部下など利害関係ある者は同時にインタビューしない) | |
| 自己紹介 | ・ | |
| 導入 | ・インタビューの目的、監査業務における位置付けを説明 ・インタビュー予定時間を伝達 | |
| 意思の疎通 | ・意思疎通を確立する(名前で呼び合う。誠意を持って接する。脅迫言動を控える。組織体の目的達成という内部監査の目的を伝える) | |
| 質問 | ・基本的に1人で質問 ・5W1Hを使い、自由解答式で相手の積極的返答を導く →はい、いいえで完結する質問は避ける ・回答者が防衛的になる質問の仕方は避ける⇄内部統制質問書 | ・基本的に2人で質問 (一人が質問し、一人が証人) |
| 聞き取りと会話 | ・ | |
| 記録 | ・議事録又はインタビューメモは必ずとる。 ・目立たない形で記録する | |
| 非言語的伝達 | ・ボディランゲージは控え目に(笑いや頷きを用いて議論を促進する。しかし過剰な使用は逆効果) | |
| 終了 | ・形式的な形でインタビューを終了させる(次の監査業務についても説明する) |
練習問題
Q.内部監査人がインタビューを実施する場合、
- インタビューの計画に基づき、主題メモを予め作成しておき、メモの適切な箇所に回答を書きとめる。質疑応答を進めながら、追加質問が必要か検討する。
- その場では質疑応答をメモしない(回答者とのコミュニケーションが円滑に進まなかったり、回答者の仕草や表情の変化等を見落としたりする可能性)
- 録音や速記者の同席は避ける(回答に消極的になる可能性がある)
という点に注意することが重要。
インタビューの回答者は、質問者からの「あなたはどのような仕事をしていますか」という質問に重要性を感じる傾向がある。
なぜなら質問者が、回答者自身に関心を持っていると感じ、質問者に親近感を抱くからである。
(「どのようなコントロール手続が導入されていますか」という質問はNG)
内部監査のインタビューと、不正調査のインタビューは異なることに注意する。
③事実証明(証拠力)
| 立証 | 物理的証拠、供述的証拠、文書的証拠を用いて、総合的に事実認定 | |
| 証明 | ⑴(量的)十分性 ⑵(質的)信頼性 ⑶(論理的)関連性 ⑷ 有用性 × | ⑴誰でも同じ結果になる事実に基づいた証拠量 ⑵証拠能力(虚偽、偽りがない) ⑶ ⑷組織全体の目標を助ける |
| 証拠力または証明力 | 証拠能力のある証拠が、事実認定の際に心証を動かす力の強さ | |
実査・物理的証拠>外部の供述的証拠・文書的証拠>観察>内部の供述的証拠・文書的証拠
- 原因の究明のためには、⑴〜⑸の監査手続(観察、分析、質問等)の手段が必要となる。
→サンプル数を増やしても原因究明につながらない。
→サンプル数を増やせば、サンプリングの精度(サンプルにより示される結果と、母集団全体が示す結果が一致する率)は高くなるが、原因の究明にはつながらない。 - 監査手続は監査目標を達成するために、監査証拠(十分性、信頼性、関連性、有用性を持つ証拠)を入手するために実施される。
- 業務プロセスのウォークスルー(観察)を行い、使用されたすべての書類のコピーを取得した場合、コピー書類は「物理的証拠」になる。
- 固定資産の評価をするときは、観察により以下を確認する
(①減価償却計算が正しく行われていること)
②当該固定資産が実際に使用されており、遊休していないこと
4.監査調書
| (調書) 目的 手続き 結果 ・事実 ・結論 ・提言 | ④監査調書 | (当座監査調書)当期のみ ex試算表 (永久監査調書)継続、複数年度・監査調書は独立性・客観性と無関係 ・監査業務の全てを記載する ・監査調書には発見事項は記載しない(事実を記載する) |
| サンプルサイズ | ・サンプルサイズが妥当である根拠を記載 | |
| ティックマーク | ・ティックマーク(担当者以外が、監査調書の内容を理解しやすいように、あらかじめ意味を決めた符号)を記載。 →但し、全て該当なしのときは不要 | |
| 個人情報 | ・個人情報の記載はOK →監査調書自体が秘密保持されるため | |
| 所有権 | ・所有権は組織体にある →補完は内部監査部門。CAEの承認あれば閲覧可能。 |
4.監査報告書
1.中間報告(口頭or文書、公式or非公式)
- 中間報告しても、最終報告は必要
- 中間報告するケース
①即座に認識してもらうことが必要
②監査範囲を変更する(監査計画を変更)
③監査が長期に渡り延長(進捗報告) - 不正の兆候は、対象部門には伝達しない。
- 監査中に非常口ドア付近に重い箱が置かれておりドアを開けないことに気がついた。→○緊急に改善を要する問題発見として「中間報告」を行う。→×「監査範囲の拡大」が必要かは不明だし内部監査人だけで判断を行うことはできない。
2.監査終了会議(講評会:報告書の発行前)
- 監査担当者が担当部門と事実確認を終えていることが前提
- 講評会の目的は「発見事項を確認」し「改善策を提案」すること
- 対象部門が「見解を述べる機会」を付与するもの
→発見事項について事実誤認・誤解を回避
→改善提案について - 参加者は、
①対象部門の経営管理者
②対象業務に詳細知識を持つ者
③是正措置の承認権限を持つ者
Q.法規制の遵守を含む環境管理に対する内部監査業務が行われ、その監査終了会議で是正のための可能な行動について議論が行われた。環境管理を担当するマネージャーは、改善するべき点について同意し、是正措置を提案した。その提案は、最低限、法規制を遵守するようにするものであった。内部監査人は、法規制を遵守するだけでは不十分で、さらにコントロールを強化することが必要であると考えている。内部監査人は、この相違をどのように解決するべきか。–監査終了会議における見解の不一致に関する問題-.
※内部監査人が公式なコンサルティング業務において、追求すべき業務目標が経営者が要求するそれを上回ると信じる場合ではない。場面が異なる。
a.提案された是正措置を受け入れる。
→目標および方針を決定するのは、マネージャーの責任である。内部監査人は、マネージャーが決定した目標よりも高い目標を設定する立場にはない。
正解はa。
3監査報告書
- 目標
- 範囲(期間・業務内容)
・限界明確化のため、対象外の業務を補足情報として記載することも
・「監査範囲の制約」により十分な監査手続が実施できない場合も記載(独立性など)
→×監査委員会がした監査計画の一部を削除は非該当
(計画された活動範囲の承認は監査委員会の責任)
→○顧客を怒らせたくないは該当
→○基幹システムを入れ替え中は該当 - 結果
・発見事項(重要性は監査人が主観で判断)
(重要・軽微・重要でないの3段階。重要と軽微のみ報告必要)
(従業員の「不正」の記載があるときは「法律顧問」がレビュー)
・結論
・改善提案(任意的)
(基準→現状=発見事項→原因→影響→改善提案)というプロセスで
(監査人が真の原因を理解していなときは改善提案できない)
・意見(任意)
意見は最高経営者、取締役会、利害関係者の期待を考慮する
(対象部門と意見が対立するとき、見解相違の理由を客観的に記載)
| ⑤監査報告書等(結果の伝達) | ⅰ中間報告 ⅱ発見事項を確認 →改善策を提案する ⅲ監査終了会議(対立点の解消、発見事項・改善勧告の討議、経営管理者の対応・発見事項と改善対応の責任を識別) ⅳ監査報告書 ⅴ総合意見(任意) | |
| 結果の報告 | ・口頭または書面(監査報告書) →口頭は対面応答なので反論に即座に対応したり追加情報を提供できる利点あり ・コンサルティング業務も結果の正式な伝達が必要→文書化の要求はない(手続書、調書、報告書は必須でない) | |
| 監査報告書の配布先 | (CAEが全責任を負う) ①結果を受け取るビジネス上の必要がある者 ②改善措置の計画を管理する責任がある者 | |
| <伝達の品質> | 正確 | 誤り、歪曲がない |
| 客観的 | 公正不偏でバランスが取れた評価 | |
| 明確 | 専門用語を排除 | |
| 簡潔 | 冗長でなく、言い回しがクドくない | |
| 建設的 | 組織体と依頼者に役立つ (改善をもたらす) | |
| 完全 | 重要事項が欠けてない | |
| 適時 | 時宜を得ている 重大性に応じてる | |
| ・誠実性は要件ではない。 ・問題点だけを意図的に取り上げたり、強調してはいけない (客観性に反する) | ||
(監査報告書の配布)
| 最高経営者・取締役会 | CAEは配布しても良い。 (伝達は必須ではない) (通常は「要約書」を配布する) |
| 外部監査人 | CAEは配布しても良い。 |
| 外部の者(債権者・株主等) | 最高経営者や法律顧問に相談して、 CAEが判断する。 →結果の利用を制限して、核酸をコントロール |
Q.ある内部監査マネージャーは、新人の監査人によって作成された内部監査報告書の草案をレビューしている。
「販売部門の販売プロセスを対象として監査を行った。監査の項目は、現場担当者への質問と、業務記述書と関連帳票の整合性のサンプリングによって検証した。
受注プロセスについて、注文書内容とシステムの入力内容の照合を50件のサンプリングによって検証した結果、2件について注文書とシステムの入力内容に差異が発見された。」
下記の要素のうち、監査報告書に最低限含めることが「基準」で要求されているが、この草案に含まれていないものはどれか。
a.範囲
b.目標
c.結果
d.改善提案
→
監査報告書は最低限、監査の目標、範囲、及び結果を含むことが要求されている。この草案には、監査の目標が書かれていない。
従って、正解はb。
- 組織体のITポリシーについて、規定で要求される社内承認はないが、従業員はポリシーを遵守していることを発見した。
→内部監査人はまず承認が欠如していることを発見事項として報告する。経営者に直ちにポリシー承認を推奨することは時期相性(ポリシーの承認は必要だが、経営者がレビューしてないのか、それとも単なる手続き漏れなのか、問題の重要性を推奨すべき)
4.総合意見(口頭or書面)任意
| 総合意見 | ・複数業務の監査意見を集約したり、 ・部門全体のコントロールに対して意見する。 ・関連プロジェクトを全て考慮 ・外部監査、外部委託に関するもの含む ・経営陣、取締役会、利害関係者の期待を考慮する |
| (内容) | ・範囲(期間、監査範囲の制約があればその旨-独立性の侵害等-) ・総合意見の基礎に用いたフレームワークや基準 |
| (分類) | ○組織体全体に対する意見(マクロ) ・財務報告の内部統制についての組織全体のシステムに対するもの ・法規制対応に必要なコントロール、手続きに対するもの ・予算管理、業績管理というコントロールの有効性に対するもの○個々に対する意見(ミクロ) ・部門ごとに対するもの ・子会社、各報告単位に対するもの |
- 最終的伝達に「意見」は含まれないこともある。
- 基準は「結論」と「意見」は別個のものとしている。
「結論」は最終的伝達に必須としているが、「意見」は適切な場合に提供されるべき
5フォローアップ(監査)
| フォローアップ(監査) →内部監査基本規定で制定 →内部監査の結果(発見事項、改善提案)が確実に実施され、定着しているか確認する | 改善した結果を確認すること (監査終了後にモニタリングする)以下を考慮し、CAEはフォローアップの内容・範囲・程度を決定する ・発見事項、改善事項の重要性 ・改善に要する努力、費用の程度 ・改善(是正)が失敗したときの影響 ・改善(是正)措置の複雑性 |
| フォローアップでやること ・合意した改善措置の内容、状況確認 ・改善措置の時期、経過期間、達成期日の変更 ・改善措置の責任者の確認 ・改善措置が「問題解決に資するか」「適切か」「組織体に便益があったか」 | |
| × 固有リスクが除去されたことは保証できない ×監査資源の不足は、フォローアップを省略する十分な理由にならない | |
| モニタリング | 内部統制が有効に機能しているかを継続的に監視(確認)し、その結果を評価するプロセスのこと |
◆分析手続き
分析手続→手法・ツール
| 分析的手続き | 内部監査人は実査で得た証拠を、分析・評価して間接証拠を生み出すこと |
| 分析的手続きは、(それ自体だけでは証拠力が弱い)実査で得た2つの情報(証拠)を、比較分析することで「間接証拠」を生み出す。 →記録されている取引に関連する証拠を提供するので「経営者のアサーション」や「重要性の低い勘定科目」を裏付ける証拠として利用できる | |
| 業務が安定していて、大きな変化がない業務データは、 分析手続きをしやすい環境にある | |
| |
分析手続きにも限界がある。
分析手続きが、予測しない結果や関係を導くときは、潜在的な誤謬・異常・違法行為を示唆していることがあるので、
|
| 時系列 (定量分析) | 当期情報と前期情報の比較 | 増減分析 |
| 当期情報と将来予測との比較 | 差異分析 | |
| 異常値 (定量分析) (財務分析) | 財務情報と非財務情報の比較 | 例、人件費と人員数 |
| 財務情報と財務情報の比較 | 例、借入金と支払利息 | |
| 整合性 (ベストプラクティス) | 同じ組織体の類似情報と比較 | ベンチマーキング |
| 同じ業界の類似情報と比較 |
| トレンド分析 | 過去データから当期データを予測 | ・指数平滑法(直近数値を重視) ・加重平均法(一定期間の平均値) ・移動平均法(仕入れる度に平均値を再計算)→例、棚卸資産 |
| 回帰分析 | 幾つかの数値情報の関連を調査 | ・単回帰分析(一時関数)y=aX+b ・重回帰分析 |
| 比率分析 (財務情報の整合性を検証) | ○流動比率 ○当座比率 | ○流動資産/流動負債 200%が理想 ○流動資産-棚卸資産/流動負債 100%以上が理想 |
| ○売掛金回転率 ○棚卸資産回転率 ○売上総利益率 ○棚卸資産回転日数 | ○PL売上/BS売掛金 高いほどよい ○PL売上原価/BS棚卸資産 高いほどよい ○ 売上総利益(売上高-売上原価)/売上高 ○ (棚卸資産残高/1日当たりの売上高) | |
| 差異分析 | ||
| ベンチマーキング | ベストプラクティスと、数量的に比較する手法。 | ・内部(社内の部門・人) ・競争的(競合他社) ・業界(業界全体の指標) *機能的(特定分野のみ)同一技術を行う組織体 ・包括的(他の業界) *一般プロセス(業種を無視)革新的プロセスに着目 |
ツール
| プロセス・マッピング | 業務プロセスを図示マッピングして問題点を探す手法 | 無駄な業務、リスク高い業務 |
| RACI図 (人または組織単位の場合がある) | Responsible(実行責任者) | 複数可能 |
| Accountable(説明責任者) | 一人だけ:最終責任 | |
| Consulted(協業先) | 双方向 | |
| Informed(報告先) | 一方向 (報告先は必須でない!)実態が大事! | |
| スパゲティ・マップ | 原料、作業者の動きを把握する →ワークフローを可視化して、ワークフローを合理化単純化 | |
| 散布図分析 | 複数の変数の相関関係を分析する |  |
| ベンフォード分析 | 自然界の数値は「1」が多いので、虚偽数値を発見しやすい。 | 架空請求の発見など |
| 相関分析 | 2つの関係 | |
| ヒストグラム | 度数分布を図で表示する。 |  |
| パレート図 | 主要な傾向を表示し、同時に些細な項目を区別する。 |  |
分析手法→手作業(マニュアル手法)
マニュアル手法としては、質問、調査・観察のほか、以下も実施される。
| ヴァウチング(証拠突合) | 実在性の確認 |
| トレーシング(全部写image) | 網羅性の確認 (追跡調査) |
| 再実施 | 対象業務のコントロールの有効性を直接確認 (≠再計算は実施しない) |
| 独立した確認 | 独立した第三者に書面確認すること |
分析手法→コンピュータ技法(プログラム)
①汎用監査ソフトウエア
| ①汎用監査ソフトウエア | ・全体チェック ・比較分析 ・不正の兆候は定義すれば検出可能 ・不正そのものは検出不可能 |
②CAAT(コンピュータ支援監査技法)
監査後も、継続モニタリングすることが可能になる。
| ①テストデータ法 (ダミーデータ) | 一連のテストデータを監査対象プログラムに投入し、想定した結果が出力されるか否かを確認する技法である。 本番環境と同一のプログラムを用意して、1)エラーデータを投入して、プログラムがエラーを検出するか、2)事前に処理結果を確認しているデータを投入して同じ結果がでるか(例えば金額集計が一致するか)を確かめる技法 | バッチ処理(一括処理)のテストで用いられる。 | ・監査対象プログラムの処理の正確性を検証 |
| ② 統合テスト法(ITF法) (ダミーデータ) | 監査対象ファイルの中に監査人用のデータ処理用の部門、口座(例えば架空の部署やダミーの勘定科目)を作って、その部門等に対して取引の入力処理等の各種の操作を行い、処理の正確性を確認する技法。 →個別のテストプロセス不要(システム停めない) | オンライン処理データのテストを行う際に用いられる。 →独立的に計算したデータを同じプログラムで出力して比較する | |
| ③並行シミュレーション法 (本番データ) (実行中のオペレーション) | 汎用プログラム言語で書かれたプログラムや監査ソフトウエアの監査用検証プログラムにより、同じ入力データを投入した結果と、 実際のシステムによって生成された結果を比較する技法 | 監査部門のPC →GASを利用して対象部門と同じプログラムを作る | |
| ④システムコントロール監査ログファイル法(例外抽出ファイル) | 特定条件に合致する取引データを発見するプログラムを本番環境に導入しておき、システムに入力される全データの妥当性をチェック。 所定条件に合致した(又は合致しなかった)場合には、例外レポートが作成される。(例えば、退職した従業員を識別するために利用:給与控除項目の例外テスト) | ||
| 組込型 監査モジュール法 | ・監査モジュールを監査対象プログラムに組み込むことで監査用データの抽出や例外報告を行う。 ・埋込型監査モジュールは過去の取引ではなく、現在起こっている取引の監査証拠の収集を可能にする | ||
| スナップショット法 | プログラムにあらかじめ設定した条件を満たすデータが通過するたびにスナップショットする。 | ||
| トレーシング(追跡調査)法 | ・特定のトランザクションの処理を追跡(トレース) ・プログラムの実行を詳細把握できるが、トレース情報が詳細すぎると分析に多大の労力が必要に。 | ・監査対象プログラムの処理の正確性を検証 | |
| コード比較法 | ・プログラムのコードを開発段階と、それ以降の段階で比較して、プログラムの改竄や変更の有無を確認する。 |
- ダミーデータは全ての条件ではなく、調査対象となる条件を備えていれば良い
③その他のソフトウエア・プログラム
◆サンプリング
| ⑵サンプリング技法 | サンプリングリスク | サンプルと母集団が異なるリスク |
| 非サンプリングリスク (ノンサンプリングリスク) | サンプルに関する監査人の判断の誤り(人的エラー) →全体調査をしても存在するリスク →統計的・非統計的サンプリングの両方に存在するリスク<監査リスク>監査結論を誤る <非サンプルリスク>個々のサンプル判断を誤る | |
| ||
| ①統計的サンプリング | 数学的 (定量的に抽出) 測定可能な信頼度で母集団を予測 | →定量的・定性的の両方で評価 |
| 乱数サンプリング | 乱数表、CPUで無作為に | (+)サンプリングリスクを定量的に測定可能 (+)測定可能な信頼度で母集団を予測(定量的なので) (+)ソフトウエアと整合性 (+)いずれも連番管理不要 (−)統計やソフトウエアについて、人の専門教育が必要 |
| 系軸サンプリング | 母集団を一定の間隔で | |
| 層別サンプリング (階層化) | 母集団を2つ以上の同質グループに分類 →母集団の差異による影響を減少し、サンプル数を減少可能 | |
| ②非統計的サンプリング(判断サンプリング) | 主観 (経験則で抽出) | →定量的・定性的の両方で評価 |
| ハップハザードサンプリング | 恣意的に抽出、行き当たりばったりで抽出 | (+)母集団が少ない場合や、重要事項が特定部分に集中する場合は、効率的に抽出可能 (−)偏向の可能性を排除できない |
| ブロックサンプリング | 連続したひと塊で抽出 | |
| ③金額単位抽出法 取引記録や財務諸表項目など | 金額属性を持つ母集団で、累計額が一定額以上になったら、その上位項目をサンプル抽出 | ・金額的重要性の高い項目が抽出される可能性が高い。 ・サンプル数が少なくて済む |
| ⑶ 内部監査のサンプリング | ||
| ①属性サンプリング (%) →誤りの有無といった対立する命題を扱う | ・業務監査→「逸脱率」という結論 ・コントロールの有効性をテスト(統制テスト) | |
| ・属性サンプリングは逸脱率の最大値(上限逸脱率)を求める →許容できるサンプリングリスクを一定の信頼水準(90%以上)で決定する。 | ||
| ⑴許容できるサンプリングリスク ⑵許容逸脱率「6%」 ⑶予想逸脱率「2.5%」 ⑷母集団 ○サンプルの逸脱率「5%」 ○逸脱率の上限(調整数値)「9.5%」 | 逸脱率の上限が、許容逸脱率を超過 →有効でない | |
| <問題> ○ 社内承認を経ているか確認するために属性サンプリングを使用 × 売掛金の残高を確認すべく確認上の送付先を選定する(PPS) ○ 商品の出荷漏れを確認 ○ 架空人への給与支払いの有無 ○ 未承認の購買意を調査× 母集団のサイズが二倍になると、サンプルのサイズも二倍になる ○ 逸脱の質的側面は、監査人は考慮しない。 →×監査人は逸脱の質的側面を考慮しなければならない。○サンプルサイズと許容逸脱率の間には逆相関の関係がある。 →○サンプルサイズが大きくなるに従い、許容逸脱率は小さくなる | ||
| ②変数サンプリング (ドル、金) →金額や数値を推定 | ・財務諸表の計上数値の正確性を検証 ・実証性テスト(勘定科目に虚偽項目はないか) | |
| ・PPS(金額比例)サンプリング | ・勘定科目が過大評価されている可能性を検証する(金額の大きいサンプルが抽出される可能性が高い) ・「系軸サンプリング」を用いる | |
| ・古典サンプリング | ||
| ⑴許容できるサンプリングリスク ⑵許容虚偽表示金額「10$」 ⑶予想虚偽表示金額「40$」 ⑷母集団 ○サンプルの虚偽表示金額「2$」 ○虚偽表示金額の上限(調整数値)「6$」 | 虚偽表示金額の上限が、許容虚偽表示金額を超過してない →有効 | |
| <問題> ○ 残高が多い口座が抽出されやすい ○ 過大計上の疑いに最適 ○ 残高が「0」または「ー」だと抽出されない ○ 残高がサンプリング間隔以上なら必ず抽出されるQ.サンプリングリスクの評価において、過誤棄却およびコントロール・リスクの過大評価のリスクは次のどれに影響するか。a.監査の効率性 b.監査の有効性 c.サンプルの選択 d.監査の品質管理正解はa。 | ||
| ③連続サンプリング | ストップアンドゴーサンプリング (発見したら連続GO) | |
| ・逸脱率が低いと予測される場合に、サンプルサイズを少なくして、効率よく監査を行う目的で主に用いる (少し調べてエラーがあれば再プルサイズを増やして逸脱率を低下させてから終了) ・リスクが低いときに利用(予想逸脱率が許容逸脱率より低い) ・連続サンプリングのみサンプルサイズを固定しない | ||
| ④発見サンプリング | 一つ発見するまで | |
| ・不正のように1件の例外が重要な意味を持つ場面で用いる ・絶対にミスがあってはダメ ・予想逸脱率が低いときに利用(ゼロに近い) ・(例)不正出荷、二重払い、架空の従業員への支払い ・サンプルサイズは固定する | ||
アシュアランス
| 3●アシュアランス業務(種類とその内容)🌟🌟🌟 | ||
| ・種類とその内容 ・複数の監査を統合した場合、「希釈効果」がある →監査範囲がまとめられるので監査結果が減少する。・問題 | ||
| ・業績監査(プログラム監査) →設定された評価基準に対する実績をレビューする | ・重要業績評価指標(KPI)の妥当性 ・KPIに対する実績 | ・部門の業績評価では、「人員数」を業界標準と比較することもある。 ・環境条件の評価 ・設定した評価基準に対する実績と比較 |
| ・コンプライアンス監査 | ||
| ・業務監査 | 業務の効率性・有効性 | ・有効性・効率性を評価する基準は、
|
| ・セキュリティ監査 | 資産の防御措置、情報の信頼性・安全性 | |
| ・IT、情報セキュリティ監査 | 自動化された(されてない)情報処理システムを調査し評価する。 | 例えば、データベースへのアクセスコントロール ×組織体がIT目標を達成したか、は該当しない! |
| ・契約監査 | ⑴確定価格契約 ⑵一括払い契約 ⑶コストプラス契約 | ⑴⑵代金を変更する条項がある場合、変更に伴う請求に注意 ⑶効率性のインセンティブが働かない |
| ・品質監査 | 総合品質管理(TQM) | ・TQMは全社的な品質向上サービス ・PDCAサイクルで継続して業務プロセスを改善する ×プロセスを抜本改革するのはビジネスプロセスリエンジニアリング ×TQMは発見的統制ではない。品質を高めて欠品削減を重視 |
| ・DD監査 | M&Aで対象企業の資産価値、収益性、リスクを評価 | ・買収先の業務の効率性 ・融資約款の準拠性 ・売掛金の年齢調べ、回収方針 ・棚卸資産の保管、陳腐化の状態 |
| ・プライバシー監査 | ||
<業績評価>
- 重要業績評価指標(KPI)とは、プロセスの達成状況を定量的に測るための指標であり、
KPIを導入することで、ROE、キャッシュ・フローなどにより業績を測定している企業と比較して、適時に現場の状況をつかむことが可能 - リスク・マネジメントにおいては、KPIを個別リスクに対するコントロールが有効に機能し、会社が直面するリスクが許容範囲内にあるかを確認するために利用する。
- 企業の目標・戦略にとって重要なプロセスを明らかにし、そのパフォーマンスを測定するために、コスト・品質・時間などに関する指標をKPIとして選定し、定期的にモニターする。
コンサルティング
実施計画書
- 実施計画は、依頼部門との合意内容を書面化したもの
| 目標 | ・依頼部門の経営管理者のニーズに従い決定 ・より高い目標を追求すべきと判断した場合 →⑴高い目標を追加するよう「経営管理者」を説得 →⑵別のアシュアランスで実施 →⑶その旨を監査報告書に記載する cf.是正措置が不十分と判断した場合 |
| 範囲 | 専門性、誠実性、信頼性、評判を考慮 |
| 時期・資源の配分 |
文書化は要求されない
- コンサルティングでは、文書化の要求はない(手続書、調書、報告書は必須でないと理解)
結果の伝達
- コンサルティングでも「結果の伝達」が必要である(2440、c1)
- CAEはコンサルティング業務の性質・範囲・結果を取締役会と経営者に報告する
(内部監査の他の報告書とともに報告する) - 重大な懸念事項がある場合も取締役会と経営者に報告する
- コンサルティングの依頼者以外に対して「結果の伝達」をする場合は、
⑴依頼者に相談するか
⑵IIAや内部監査基本規程などのコンサルティング業務の結果報告に係る記載を確認する
フォローアップ
- フォローアップにおいては、依頼部門と「合意した範囲」でコンサルティング結果をモニタリングする(2500 c1)
その他
| 経営者から特別な要請のある場合に公式なコンサルティング業務を計画する。内部監査人は、経営者の適切なニーズを満たすよう業務目標を設定する。 しかし追求すべき業務目標が、経営者が要請した目標を超えると考えられる場合、内部監査人は以下の行動を検討する。ⅰ)コンサルティング業務に目標追加するよう、経営者を説得する ⅱ)追求すべき目標が達成されなかった事実を文書化(コンサルティング業務の最終報告書) ⅲ)別のアシュアランス業務に追求すべき目標を含める | ||
| 内部監査基本規程 | コンサルティング業務の内容は、内部監査基本規程で明確に規程されなくてはいけない →例:診断、助言、ファシリテーション、教育訓練など(1000 c1) | |
| コンサルティング業務を実施するとき | 依頼部門との合意に基づいて実施すること | |
| 独立性・客観性 | 依頼内容が独立性や客観性を侵害するときでも、コンラルティングを引受けることができる →内部監査基本規程に書いてあれば良い →但し、独立性・客観性の侵害事実の開示を要する | |
| 記録・保存の方針 | 内部監査人は、適切な「記録保存の方針」を策定し、コンサルティング業務の「記録の所有権」「内外関係者に対する開示方針」などを明らかにする (2330 c1)(合意で決定しない) | |
| ・ベンチマーキング (ベストプラクティスと比較) →数量的比較 | 内部 internal | 社内の部門・人 |
| 競争的 competitive | 競合他社 | |
| 業界 | 業界全体の指標 | |
| 包括的 | 業界を無視(他の業界も含む) | |
| 一般プロセス generic process | 革新的なプロセスを持つ他社のプロセスと比較 | |
| 機能的 functional | 他の業界で類似した機能を持つプロセスと比較 | |
| ・インターナルコントロール研修 | ||
| ・プロセスマッピング (問題点を図示) | (アプローチ例) BPR (ビジネスプロセス・リエンジニアリング) | 核となるプロセスを再設計すること (×既存プロセスの改良ではない) →影響は複数部門に及ぶ →再設計なので情報技術、関連投資、従業員の訓練を要する |
| ・システムの設計・開発 | GTAG | Audit Guide |
| Q.内部監査が実施するコンサルティング業務において、伝達に必ず含めなければならないものの組み合わせてとして適切なものはどれか。 Ⅰ. 範囲 a.ⅠとⅡのみ → 基準2410によると「伝達には、内部監査(アシュアランスおよびコンサルティング)の個々の業務の目標、範囲および結果を含めなければならない」としている。基準2410. A1では、個々のアシュアランス業務の結果の最終的伝達には、適切な結論を含めなければならず、適切な場合には、改善のための提言および改善措置の計画、またはそのいずれかをも含めなければならないとしている。一方で、コンサルティング業務においてはⅢの「結論」およびⅥの「改善提案」は含めなければならない事項とされていない。 Q.コンサルティング業務に関する記述のうち、正しいものは次のうちどれか。 a.コンサルティング業務は着手後に課題の把握を行うため、業務開始時点においては、当該業務の目標、範囲などを定めた計画は策定されない。 → aは誤り。コンサルティング業務は、業務の範囲や期間を明確にした上で業務を開始する。従って業務の計画は必ず作成される。 公式なコンサルティング業務を計画する際、内部監査人は、コンサルティング業務の受入者である経営者の適切なニーズを満たすよう業務目標を設定する。経営者から特別な要請のある場合に、追求すべき業務目標が、経営者から要請された目標を超えると考えられる場合、内部監査人は以下の行動を検討する。 ⅰ)<t>コンサルティング業務に目標を追加するよう、経営者を説得する
| ||
| 3●自己評価(CSA)レビュー | ||
| 3●不正の兆候(前後) | ||
| ・不正リスク→不正調査 | ||
不正のリスク→不正調査
不正には以下3つが挙げられる
- 粉食
- 粉飾決算
- 汚職(利益相反・賄賂)
不正のトライアングル(ⅰ不正の機会、ⅱ動機、ⅲ正当化要素)が不正に影響を与えます。
また、不正リスクの程度(発生可能性、影響の大きさ)は、
ⅰビジネス固有のリスクか、
ⅱ統制の不備か、
ⅲ人の不誠実と関連する。
不正発見のためのリスク・マネジメント(役割)
| 経営管理者 | 第一義的責任→リスクマネジメントの体制構築責任 |
| 内部監査部門 | 不正リスクの管理体制を評価 →ⅰ管理方法、ⅱ発見可能性、ⅲ不正防止の枠組み(行為規範、人事評価・第三者レビュー、文書化、統制のモニタリング制度) |
| 内部監査人 |
|
不正調査を実施する者の役割
| 経営者 | 体制構築責任、権限・役割を明確化する責任 |
| 不正調査の実施者 |
|
| 内部監査人 | 当然には不正調査の担当者にならない |
フォレンジック監査 forensic audit
フォレンジック監査(科学的監査)とは、不正などの重大犯罪について、法廷で専門家として証言するべく、事実関係を全容把握するために実施するもの。
| デジタル・フォレンジック | CPU内のソフトウエアのログ・メール記録などを調査する |
| eディスカバリー | 電子証拠開示制度(企業が損害賠償請求を受けたときに、デジタル資料を自ら収集し、開示する制度) |
| フォレンジック会計 | 専門性が高い会計分野について、法廷で使用する情報分析を行う |
Part3