先日、アシスタント2年目の人に色々と業務を依頼していたのですが、思いのほか監査をわかってないということがわかりました。細かい手続の方法は意外とわかってるけど、これが何を意味するのかといった全体像があまりわかっていないようでした。

AUDの勉強でも同じようなことが起こりうるなと思いました。MC中心に解いていると各論ばかり覚えていくことになるので、ざっくりと全体像をつかむことは大事だと思います。特に、監査関係の業務に関与していない人は総論の確認は大事かと思います。

細々した問題をやってても、これがなににつながるのかという点を理解していないと、ひたすら暗記となってしまいます。私にとってはREGが同じような感じでした。なんか意味わからんけど覚えるみたいな。。。

今回、長いので気軽に読むとイラっとするかもしれません。

さて、簡単に図を書くと、監査は下記の図のような流れです。

ポイントになると個人的に思うのは、この流れというのは一方通行ではないという点です。実証手続段階で計画で想定しないことが起きるとまた計画に戻り再度手続に進んでいくという流れになります。

監査計画

監査計画は年間を通じてどのように監査を行っていくかの計画です。どういう手続をいつ、どういう人材配置で行うのかを決めていくもので、ここが監査がうまくいくかどうかで最も大事な点になります。パートナー、マネージャー、主査の腕の見せ所と言っていいでしょう。

（前提として理解しておくべきことは、内部統制のところでも書きますが、内部統制が有効であれば、実証手続は少なくてすみます。逆に非有効となると、実証手続を細かくやらないといけません。なので、基本的には監査人は内部統制を有効を目指します。）

・会社の理解

監査計画で最も大事になるのは、会社を知ることです。会社を知ることでどこにリスクがあるのかを理解し、ではそのリスクをつぶすためにはどういう手続きをすればよいのかということがわかってきます。

会社を知るためには、経営者へのインタビューや、前期の数字や期中の数字、予算を使った全般分析、業界の動向や特殊な会計方針、会計処理を確認する、過去の監査での経験から会社の特徴を理解するといった総合的なことを行います。

・監査リスク

会社の理解をもとに、監査の様々なリスクを決定していきます。契約をしてもいいのかに始まり、会社の全社的なリスク、各科目のリスクを決めていきます。

不正があったような組織の場合は全社リスクは高まります。

科目リスクとしては例えば工事業界で、工事進行基準があるような場合は売上高のリスクは高いと判断するケースが多いでしょう。

・重要性の基準値の決定、重要勘定の選定、手続の策定

また監査で重要となるのは、重要性の基準値です。監査上、会社がどこまでミスっていてもOKかとかの基準値で、手続を行うかどうかの選定基準値ともなります。

これらの重要性の基準値や監査リスクを勘案して、リスクアプローチの観点から各手続を設計していきます。金額が大きかったり、金額が小さくてもデリバティブ等で潜在的なリスクが高いと判断すれば、重要勘定として選定し、内部統制評価を行います。

一方、基準値を超えないような些末な勘定は内部統制評価は行わず、分析等の簡単な手続きで済ませてしまうことが多いです。

例えば1兆円の売上がある会社で1億円ぐらいの預り金等があったとしても、全額ミスっていても財務諸表全体に与える影響は大したことありません。こういう科目は内部統制理解する時間があるなら、他のところにリソースを割くべきなので、ざっと眺める程度で十分と判断されます。監査では「効果的かつ効率的」要はリスクアプローチが非常に重要です。

・計画の見直し

監査計画は最初に行うのですが、手続き中に想定と異なるような状況になった場合は、監査リスクの見直し、基準値の見直し、アプローチ（内部統制手続をメインに見るのか、実証手続をメインに見るのか等）の見直しが行われます

よくあるのは重要性の基準値を会社の予算ベースで決めていたけど、下方修正で未達となるようなケース。基準値を見直す必要性が生じる可能性が高く、結果的に重要勘定とすべき勘定が増え、内部統制評価や実証手続を新たに設計するというパターンです。他にも、有効と想定していた内部統制が実は機能していなかったといったケースでは、実証手続を手厚く行う計画に修正する必要がでてきます。

最悪なのは、企業で不正が起きた場合です。この場合、全社的なリスクが高まる可能性が高く、そうなると内部統制の有効性が揺らぐので、監査計画の根本的な見直しが行われ、監査手続がかなり増えます。ただ、対応する監査法人側のリソースは限りがあるので、運悪く不正が絡むクライアントを担当していると土日返上、平均睡眠時間一日3時間とかの超絶激務になるケースがあります。最悪です。

内部統制評価

内部統制評価は大きく言うと、全社的な統制と、各プロセスの内部統制評価にわかれます。

・全社的な統制
全社的とは、経営者の姿勢とか、経理の能力とか、ITの状況とか。BECでやったCOSOフレームワークとほぼ同じと考えていいでしょう。ここが怪しいとなると、会社の根幹に問題があるという事となり、各プロセスの内部統制はあんまり信用できないと判断することになります。あまりにひどいと、監査不可能で契約解除とか、意見出せませんといったことになり得ます。

東芝の監査なんかは、不正発覚の時点で全社統制が×となり、すべての計画を一から練り直し、監査をやり直すぐらいのことをしたと思われます。

・プロセスレベルの統制の理解

プロセスとは、例えば販売プロセスのことで、このプロセスを知ることで売上や売掛金等の販売に関連する科目はどのようにして計上されていくのかを確認していきます

これらの評価は、まず業務フローを理解し、その業務の中でどこにリスクがあって、コントロールがどこにあって…といったことを理解していきます。例えば注文書がきて、営業が販売システムに入力し上長が承認、倉庫から出荷したタイミングで出荷データが経理システムに登録され…みたいなことを証憑等で追っかけていき、業務を理解したうえで、注文書の入力エラーがありうるな、それは上長が2重チェックで入力ミスがないようにコントロールしているなというふうに内部統制を確認していきます。

・統制テスト

そのうえで、内部統制依拠戦略をとる科目については理解した内部統制の有効性を評価するために統制テストを行っていきます。これは理解した内部統制が本当に行われているかどうかを確認していく作業になります（一般的にはランダムサンプリングで25件の手続を検証します。）。この戦略は売上等、日常反復的に行われる科目に使用されるケースが多いでしょう。

例えば10億円の売上のあるスーパーマーケットの売上を立証しようと思うと数千円とかの小さな売上の何十万件もの証憑を確認していかなくてはいけなくなりますが、内部統制が有効という心証を得れば、見るべき証憑は少なくて済みます。これは、監査人が全てチェックしなくても会社の内部統制機能で会社処理の妥当性が確認できているという仮定に依拠しています。

一方で、借入金等、年間を通して取引が少なくPLにも関係しないような科目については、直接契約書閲覧、残高確認等によって実証していく実証戦略をとるケースが多く、その場合は統制テストは行う必要はないでしょう。

この統制テストを行い、内部統制が有効という心証を得れば、実証手続は少なくなります。先ほどのスーパーの例だと、何十万件もの証憑を見る必要はなく、うまくやれば回転率分析や店舗別分析、月別分析等で事足りる可能性もあります。

実証手続

そして、実証手続を行います。基本となるのは、実査、立会、確認です。他にももちろんいろいろな方法がありますが、心証が強いのは実査、立会、確認です。ただ、PL科目については強い心証を得ることが難しく、回転期間分析や、前期比較分析、1人当たり分析、オーバーオールテスト等を組み合わせていきますし、サンプリング等を活用して心証を得ていきます。

実務では、けっこういろいろやるのですが、概要となるとこんなものかと思います。

総括

最後に、総括的な全般分析や、監査で生じた差異の集計、監査計画の見直しの要否等を行い、最終的な意見の表明を行うことになります。だいたい、経営者確認書（社長とか財務担当役員が「ちゃんと会計処理して、適切な財務諸表作って、監査で必要な資料はちゃんと出したよ！」という文書に署名したもの。）と監査報告書は引き換えのような形で出すケースが多いです。そして、監査役への結果説明等も必要になります。

なお、実務ではこのあと調書整理を行っていくことになりますが、これがけっこうしんどいです。理屈的には意見表明後に調書を修正する必要はないはずなのですが、なんだかんだ補足説明入れたり細かいところを調整したり、かなりの時間が必要になってきます。

以上、ざっくりですが監査の流れでした。口頭でアシスタントの人に説明したのですが、書いてみると長い。。