具体的には、「抜き打ち」(正確には「企業が想定しない要素」の組込み)を行う場合を限定しすぎではないかという点と、逆に金融庁が想定している「抜き打ち」に実務上実施がほぼ不可能なものまで含まれているのではないかという点です。
なお、「抜き打ち」という言葉は最終的な基準の文言からは削除されましたが、ぎりぎりまで残っていて、マスコミ報道でも今回の基準は「抜き打ち監査導入である」とされていましたので、使うことにします。
(監査基準の細かい話になるので、追記の方に書きます。)
まず、「抜き打ち監査」に関連する規定は以下のとおりです。
基準 第二 6
「監査人は、財務諸表全体に関連する不正リスクが識別された場合には、実施する監査手続の種類、実施の時期及び範囲の決定に当たって、企業が想定しない要素を監査計画に組み込まなければならない。」
前文二2(3)より
「・・・また、監査人は、財務諸表全体に関連する不正リスクが識別された場合には、実施する監査手続の種類、時期及び範囲の選択に当たり、評価した不正リスクに応じて、監査手続の種類、時期若しくは範囲の変更、往査先の選択方法の変更又は予告なしに往査することなど、企業が想定しない要素を監査計画に組み込むことが必要になる。特に、不正による重要な虚偽の表示の疑義があると判断した場合において、その状況によっては、修正する監査計画に企業が想定しない要素を組み込むこと(予告なしに往査することを含む。)が有効なことがあると考えられる。」
審議会の資料として公開された、パブリックコメント概要とコメントに対する金融庁の考え方をまとめた資料(当サイトの関連記事参照)によると、このような規定は「日本公認会計士協会監査基準委員会報告書240号と同レベルのもの」とのことです。
たしかに、監査基準委員会報告書240「財務諸表監査における不正」では、「評価した不正による重要な虚偽表示リスクへの対応」の中の「全般的対応」として、「企業が想定しない要素の組込み」についてふれています。
しかし、「企業が想定しない要素の組込み」についてふれているのは、240だけではありません。不正に限定しない監査人のより一般的なリスク対応を規定した330「評価したリスクに対応する監査人の手続」における「評価した財務諸表全体レベルの重要な虚偽表示リスクに応じた全般的な対応」の例としても、「実施するリスク対応手続の選択に当たっての企業が想定しない要素の組込み」が挙げられています(A1項)。
現行の監査基準委員会報告書の体系では、監査人のリスク対応には、全般的対応とアサーション・レベル(の重要な虚偽表示リスクへの)対応があるようです。「想定しない要素の組込み」は、監査チームの構成などと並んで、全般的対応の一例であり、不正が疑われる場合にのみ実施すべき対応ではありません。
また、「全般的対応」というのは、「財務諸表全体に関連する」虚偽表示リスクへの対応というより、特定のアサーションにひも付けできないような対応という意味であると思われます。
したがって、基準のように「財務諸表全体に関連する不正リスクが識別された場合」に想定しない要素を組み込むのだと規定するのは、誤解を招くと思われます。
もちろん、基準では、例えば、誤謬による虚偽表示への対応として、あるいは、財務諸表全体ではないが特定の部門や事業所に関連する虚偽表示リスクへの対応として、「企業が想定しない要素の組込み」を行ってはならないとは書かれていませんが、そのように解釈する人がいないとも限りません。また、審議会資料の金融庁回答でも、「6項の企業が想定しない要素の組み込みを、財務諸表項目レベルで不正リスクを識別した場合にまで求めることは、監査実施の可能性の観点などから適切ではないと考えています」というように、「想定しない要素の組み込み」を非常に限定的に考えているようです。
常識的に考えれば、不正の疑いがある場合は「抜き打ち監査」、そうでない場合は十年一日のごとき、企業の想定どおりの「マンネリ監査」という二分法は、ありえないはずです。
次に、前文で言っている「予告なしに往査すること」について考えてみます。
先ほどふれた審議会資料によると、公開草案へのコメントとして以下の指摘があったそうです。
「抜打ち監査には二つの内容があると思われる。一つは監査の窓口部署は承知していて、監査対象の事業所には抜打ちで行うもの。二つ目は監査の窓口部署も知らない状態で特定の監査対象の事業所に抜打ちで行うものである。金融機関や流通業等沢山の拠点があり、そこで行う業務がマニュアルで明確に規定されているような場合には一つ目の抜打ち監査は現実に行われることもあると思われる。しかし、二つ目の抜打ち監査は特別の調査権を持たない通常の会計監査では現実に実行するのは難しいであろう。前文の二4.(3) ① ではその説明がないが、もし上記一つ目の抜打ち監査を意図しているのであれば、そのことを明確にしたほうが良いであろう。」
このコメントは実務的に納得できるものですが、金融庁の回答は「「企業」が想定しない要素という観点からは、二つ目の内容も指す」というものです。
監査基準委員会報告書240でも「予告なしに往査」は例示されていますが、会社側の窓口部署も知らない状態で行うことまで含まれているのかどうかは疑問に感じます。もっとも、金融庁回答でも、「実際に行われることは稀である」といっているので、実務への影響は大きくないのかもしれません。
なお、ISA240(PDFファイル)では、「Incorporate an element of unpredictability in the selection of the nature, timing and extent of audit procedures」というように「an element of unpredictability」(予測不能性)を組み込むことといっているだけです。また「予告なしに往査」に対応する箇所では「Performing audit procedures at different locations or at locations on an unannounced basis.」(A36)というように、たしかに「予告しないベースの」ロケーションにおいて監査手続を実施とありますが、窓口部署に予告しないことまで含んでいるのかどうかはわかりません。
監査基準委員会報告書については日本公認会計士協会の以下のページをご覧ください。
http://www.hp.jicpa.or.jp/specialized_field/post_1587.html
当サイトの関連記事(不正リスク対応基準公表について)
 | 逐条解説で読み解く 監査基準のポイント 八田 進二 町田 祥弘 by G-Tools |
審議会の委員である八田教授と町田教授による解説書。「不正リスク対応基準」に対応しているそうです。「抜き打ち監査」についてはどのような解説がなされているのでしょうか。
