「売上がリスキー」だけでは監査計画は立たない──固有リスクと統制リスクを混ぜると何が起きるか
jinzaihaken「確認状を増やせばいい」という発想の、どこが甘いか
「売上は毎月の勤怠と請求に基づいて計上しているから、確認を多めに取ればいいでしょう」
人材派遣会社の監査計画の打ち合わせで、そういう発想が出てくることがある。確認状を厚くすること自体は悪くない。売上は重要な監査論点であり、監査証拠を積み上げることは正しい方向だ。ただ、「とりあえず確認を増やす」という発想で監査計画を組むと、危なさの種類を見誤って、効かない手続きを大量にやる一方で、効くはずの手続きを省いてしまうという事態が起きる。
問題は「売上が危ない」という認識の粒度だ。危なさには種類がある。そしてその種類によって、打ち手が真逆になる。
監査基準第三 実施基準 二 監査計画の策定4は、財務諸表項目の重要な虚偽表示リスクを評価するにあたって、固有リスクと統制リスクを分けて評価することを求めている。さらに、固有リスクについては「虚偽表示が生じる可能性」と「虚偽表示が生じた場合の影響」を組み合わせて評価することを求め、その評価に基づいて内部統制の運用状況の評価手続と実証手続の監査計画を策定し、手続の性質・時期・範囲を決定することを求めている。
この規定は何を言っているのか。人材派遣会社の監査の文脈で、順を追って解きほぐしてみたい。
「もともと難しい」と「チェックが効いていない」は、別の話だ
まず概念を整理しよう。
固有リスクとは、内部統制の存在を一切考慮しない場合に、その取引・科目・見積りが本来的に誤りやすい、または不正が入り込みやすい性質を持つリスクのことだ。言い換えれば「もともと難しい、もともと揉めやすい、もともと歪みやすい」という危なさだ。
統制リスクとは、会社の内部統制、つまりルールと実際の運用が、重要な虚偽表示を防止または発見・是正できないリスクのことだ。こちらは「チェック機能が効いていない」という危なさだ。
この二つはどちらも「リスクが高い」という言葉で括られるが、対処法がまったく違う。
固有リスクが高い場合は、そもそも判断が難しいのだから、監査人が深く踏み込んで直接検証し、より強い監査証拠を集める必要がある。統制に頼ったとしても、複雑な判断の誤りを統制だけでは防ぎきれないケースが多いからだ。
統制リスクが高い場合は、会社のチェック機能が当てにならないのだから、統制に依拠して効率化するという設計が崩れる。実証手続を厚くして、自分たちで数字の正しさを直接確かめるしかない。
つまり、同じ「リスク高」でも、どちらが高いのかによって監査計画の組み方が変わり、監査証明の根拠の作り方も変わる。「確認状を増やす」という発想は主に統制リスクへの対応として機能するが、固有リスクが問題であれば、確認状の枚数を増やすだけでは足りない場合がある。
人材派遣業の固有リスクが上がる場面──構造的に難しいところ
人材派遣会社の監査で固有リスクが上がりやすい場面は、いくつかのパターンに整理できる。
収益認識が複雑な契約形態が増えているとき。紹介予定派遣、請負、準委任的な要素が混在すると、いつ売上を計上するかという判断が難しくなる。この「いつ計上するか」という問いが難しい案件では、内部統制が整っていても判断ミスが起きうる。これが固有リスクだ。
単価体系が複雑なとき。時給に深夜割増・残業・交通費・出来高・紹介料・更新料などが組み合わさると、計算誤りが入り込む余地が大きくなる。システムが正しく設定されていても、例外処理の多さが誤りの温床になる。
見積りが重要な比重を占めているとき。有給休暇引当・賞与引当・貸倒引当など、仮定とデータに依存する見積りは、本質的に判断の幅がある。過去データが少ない、前提が変わりやすい、担当者によって結果が変わりやすいという性質が固有リスクを押し上げる。
派遣先の信用状況が急変しているとき。売掛金の回収可能性という評価は客観的な正解がなく、楽観的な見通しと慎重な見通しの間に大きな幅がある。これも固有リスクの典型だ。
ここで重要なのが、許可更新や財産的基礎の議論が絡むと「影響」の評価が跳ね上がるという点だ。固有リスクを評価するとき、監査基準は「虚偽表示が生じる可能性」と「生じた場合の影響」の組み合わせで評価することを求めている。利益や純資産がある水準を割ると派遣事業の許可更新や資金調達に影響が出るような状況では、影響面の評価が一段重くなる。同じ難しさの判断でも、会社の状況次第で固有リスクの総合評価が変わる。
人材派遣業の統制リスクが上がる場面──運用の穴が拠点に広がるとき
一方、統制リスクが上がる場面は性質が異なる。これは取引の難しさではなく、チェック体制の機能不全だ。
勤怠の承認が形骸化しているとき。拠点長が実質的に見ていない、営業担当者が代理入力できる、差し戻しのルートがない。承認という行為は存在するが、それが実質的な確認を伴っていない状態だ。
単価マスタの変更統制が弱いとき。誰でも変更できる、承認が口頭で完結する、変更ログが追えない。単価の変更は売上金額に直結するため、この統制が弱いと架空単価の設定や意図的な変更が通りやすくなる。
請求と入金消込の統制が弱いとき。消込が遅れ、未消込が放置され、相殺や値引きが口頭で処理される。残高の実態が帳簿から見えにくくなる典型的な状態だ。
例外処理がルール化されていないとき。遡及修正、手入力、Excelでの集計が常態化し、監査証拠の信頼性が落ちる。例外が例外として管理されていないと、監査人はどの数字を信頼すべきかの判断から始めなければならない。
システム移行や拠点増が続いているとき。新システムの権限設計が整っていない、新拠点の教育が追いついていないという状態は、統制が設計上は存在しても運用が追いついていないケースだ。これも統制リスクの上昇要因になる。
ある会議室の会話──「危なさの種類」を切り分ける実務
年商60億円、拠点10箇所、派遣スタッフ約1,800名のP社での監査計画会議を見てみよう。
監査チームが「売上がリスキー」という結論を出したところで、主任のS公認会計士が問いを投げた。「固有リスクが高いのか、統制リスクが高いのか、どちらですか」。
スタッフのUさんは「勤怠の入力が複雑で、深夜割増や残業もあるので固有リスクが高いと思います」と答えた。マネージャーのTさんは「ただ、拠点によって承認が形骸化しているという話も聞きました。統制リスクも高いのでは」と加えた。
経理部長のQさんが口を開く。「実は今期から一部拠点で勤怠を紙からシステムに移行しました。現場が慣れておらず、修正入力が多い状態です」。営業統括のRさんも続く。「売上目標が厳しいので、月末に稼働の入力が集中します。拠点長が承認はしていますが、正直、全部は確認しきれていないと思います」。
Sさんが整理した。「深夜割増や残業で計算が複雑になるのは固有リスクの問題です。承認が見切れていない、修正が多い、拠点でばらつくのは統制リスクの問題です。両方が高いなら、計画も両建てで設計する必要があります」。
この会話が示しているのは、同じ「売上に問題がある」という認識でも、原因の性質を分けないと手続の設計ができない、ということだ。
内部統制テストと実証手続の組み合わせ方──どちらを先に考えるか
監査計画の策定4が求めているのは、リスク評価を踏まえて、内部統制の運用状況の評価手続と実証手続の計画を作ることだ。
ここで二つの概念を定義しておく。
内部統制の運用状況の評価手続とはつまり、ルールが存在するだけでなく現場がそのとおりに動いているかを確かめる手続のことだ。勤怠承認のログ、単価変更の承認記録、アクセス権限の設定、例外処理のワークフローなどが対象になる。統制が機能していると確認できれば、実証手続をある程度合理化できる。
実証手続とはつまり、統制に頼らず、残高や取引の正しさを直接確かめる手続のことだ。確認状の発送・入手、証憑との突き合わせ、再計算、分析的手続、期末後入金の確認などが典型だ。
人材派遣会社の売上で言えば、統制が機能していると確認できれば、勤怠承認プロセスのテストを基礎として、実証手続を一定程度絞り込める。逆に統制が機能していないと判断すれば、統制への依拠を諦め、実証手続を厚くするしかない。
ただし、固有リスクが高い領域では、統制が十分に機能していたとしても、実証手続をある程度厚く残す判断になる。複雑な収益認識の判断は、承認フローが整っていても判断ミスが起きうるからだ。これを薄くしすぎると、監査証明の根拠が崩れる。
「統制テストで薄くできるところ」と「固有リスクが高いので薄くできないところ」の線引きを正確に引けるかどうかが、監査証明の品質と効率を両立させる鍵になる。
手続の性質・時期・範囲という三つの設計軸
監査計画の策定4は、実施すべき監査手続の性質・時期・範囲を決定することを求めている。
性質とはどんな種類の手続を使うかだ。外部証拠中心にするのか内部資料中心にするのか、確認状を重視するのかデータ分析を使うのか、専門家を活用するのか、という選択だ。
時期とは期中に実施するのか期末に集中するのか、前倒しできる手続はどれか、期末後の入金確認まで視野に入れるのか、という時間の設計だ。
範囲とはどれだけの件数・どの拠点・どの期間を対象にするか、という量の設計だ。
固有リスクと統制リスクを分けて評価することで、この三つが論理的に決まるようになる。統制リスクが高い拠点は範囲を広げる、固有リスクが高い領域は時期を前倒しして期中から手をつける、判断の難しい契約案件は性質として外部専門家の知見を借りる、という設計がすべて「リスク評価の結果」として導き出せる。
根拠なく「なんとなく多めにやっておこう」という設計ではなく、「このリスクの種類だからこの手続を、この時期に、この範囲で実施する」という論理的な連鎖が、監査証明の信頼性を担保する。
「危なさの種類が違う」という問いが、監査証明の設計を変える
ここで問いをひとつ置きたい。
あなたが担当している人材派遣会社の売上に「リスクがある」と感じているとして、それは固有リスクの問題か、統制リスクの問題か、あるいは両方か。
この問いに答えられないまま「確認状を増やしておこう」という判断は、炎の種類を見ずに水をかけるようなものだ。油火災に水は禁忌であるように、リスクの種類を誤認した監査手続は、場合によって状況を悪化させる。ここでいう悪化とはつまり、監査証明に耐える証拠が集まっていないのに、手続を実施したという事実だけが積み上がっている状態のことだ。
固有リスクと統制リスクを切り分けることは、監査の形式的な要件を満たすためではない。「何が危ないのか」を正確に見立て、それに対応した手続を設計することで、監査証明を本当に支える証拠を積み上げるためだ。
監査基準が求めることを一言で封じるなら、こうなる。「リスクの診断なくして、手続の処方なし」。
危なさの種類を見誤れば、処方は効かない。そしてその効かない処方が積み上がった監査は、見た目は分厚くても、中身は薄い。そういう監査証明が問われる場面が来たとき、初めてその問題が表に出る。そのとき後悔しても、審査の結果は変わらない。
人材派遣会社の監査において固有リスクと統制リスクを丁寧に切り分ける作業は、地味で手間がかかる。だが、その地味な診断の精度が、監査証明全体の論理的強度を決定する。そういう話だと、私は思っている。
この見立てから、監査は設計できます。
お問い合わせ
預金不足の解決策、純資産不足の解決策、合意された手続、監査のお問い合わせなどお気軽にお問い合わせください。
投稿者プロフィール
- 労働者派遣事業許可に必要な監査や合意された手続に精通し、数多くの企業をサポートしてきました。日々の業務では「クライアントファースト」を何よりも大切にし、丁寧で誠実な対応を心がけています。監査や手続を受けなくても財産的基礎の要件をクリアできる場合には、そちらを優先してご提案するなど、常にお客様の利益を第一に考える良心的な姿勢が信条です。お困りの際は、ぜひお気軽にご相談ください。
