「監査における不正リスク対応基準」の当事者は誰ですか、と問われれば、それは「監査における・・・」なのだから監査人のためでしょう、という返答がありそうですが、それはもちろん正解であるとして、企業にとっても監査を受けることを通じて以外にこの基準は関係がないのか、ということを考えてみました。その前に先週、所属するグループの監査法人の所内研修に出席した話から触れたいと思います。
不正リスク対応基準にみるレトリックな表現
先週出席した研修会『「監査における不正リスク対応基準」が監査人の財務諸表監査に与える法的影響等』の講師をされた弁護士の遠藤先生によれば、不正リスク対応基準が、今後裁判所の判断にも影響を及ぼし得るのではないかという興味深いお話をされていました。その遠藤先生のお話の中で、基準の文言に関して何回か「レトリック」という表現を使用していたのですが、これがなるほどと思える内容でした。
不正リスク対応基準は監査実務に影響を与える/与えない
例えば、不正リスク対応基準では、その前文において、既存の財務諸表監査の目的を変えるものではないことが明確に述べられていますが、それがレトリックだと言うことです。
(1) 財務諸表の虚偽の表示は、不正又は誤謬から生じるが、本基準においては、監査人が財務諸表監査において対象とする重要な虚偽の表示の原因となる不正について取り扱う。・・(中略)・・・したがって、本基準は、重要な虚偽の表示とは関係のない不正は対象としていない。
(2) 本基準は、財務諸表監査における、不正による重要な虚偽表示のリスク(以下「不正リスク」という。)に対応する監査手続等を規定しているものである。本基準は、財務諸表監査の目的を変えるものではなく、不正摘発自体を意図するものでもない。
(前文二2より引用、一部抜粋)
財務諸表監査における監査報告書の適正意見には、もともと不正による重要な虚偽の表示がないことも含まれますので、不正リスク対応基準が現行の監査基準における不正の取扱いを変更するものではない、ということで監査人にとってはOKということかもしれません。しかし、遠藤先生によれば、それは“本来やるべきことをきちんと実施している監査人であれば”これまで実施してきた監査実務のあり方を変更する必要がないということですよ、と説明していました。
不正リスク対応基準の付録1、2はチェックリストにする/しない
別の例では、不正リスク対応基準では付録1として典型的な不正リスク要因を、また付録2として不正による重要な虚偽の表示を示唆する状況がともに例示されています。付録2を例にとりますと、不正リスク対応基準の前文では、「チェック・リストとして取り扱うことを意図したものではない」と規定しています。当ブログでも3回ほどJICPA緊急開催シンポジウムにおける討議内容をレポートしてきましたが、この付録2の取扱いについては次のように報告しています。
付録2について
基準案の付録2は前回も問題となりましたが、不正による重要な虚偽の表示を示唆する状況(考え方案では不正の端緒)の各項目について、細かい点や軽微な点は削除され、重要なものを残す方向で修正が入っています。パネルディスカッションにおける企業開示課長のコメントでしたが、この付録2をチェックリストとして使用することは想定しておらず、(監査時間の使い方として)チェックリストを消込むための時間はさけるべきであり、チェックリスト化はむしろ不適切とまでと話されていました。
消込むためだけのチェックリスト化は不適切という表現を聞いたときは、付録2の使い方を単に監査実務に委ねていると理解していたのですが、遠藤先生によれば、付録2のようなチェックリストが基準において明示されることによって、監査人の現実の監査プロセスにおいて該当するような状況があったのかどうか、裁判所による判断やトレースが(監査の専門家でなくとも)容易になったと説明していました。
つまり、有価証券報告書等において虚偽記載が発生したときに、監査人側に故意・過失がなかったことを証明するためには、この付録2の取扱い=「チェック・リストとして取り扱うことを意図したものではない」について慎重に検討した方が良い、という問題提起をされています。
企業にとっての不正リスク対応基準
遠藤先生が使われた「レトリック」という表現は、不正リスク対応基準の文言が、基準として設定することを監査人が受け入れやすくするために工夫されたもの、という意味で使われています(と理解しました)。なるほど、と思いながら1時間半の研修もあっという間に終わりました。
ところで、不正リスク対応基準の当事者は、監査の有効性を高めるために設定された基準ですので、当然それは監査人であるのですが、私は企業も当事者意識を持つべきであると考えています。
具体的にとるべきアクションは、過去の一般的な事例から典型的な不正リスク要因を例示した付録1を参考に自社の不正リスク要因を検討することです。例えば、自社の構成員にとっての動機やプレッシャーを検討したり、内部統制の脆弱性といった不正を犯す機会の評価をします。
実際この付録1の不正リスク要因に例示された状況に該当するかどうかは企業が一番良くわかっていることですし、内部統制評価報告制度の下では、内部統制の基本的要素の一つである「リスク評価と対応」そのものだからです。
たしかに、企業はこの基準の中で何の行為者にも定義されていませんので関係はありませんし、(監査人の責任追及可能性といった法的影響を監査手続上どのように考慮するかによって程度の違いはありますが)監査を受ける立場として質問対応などに影響は限定されるという見方もあります。
しかし、今回の基準設定の背景として社会(市場)から求められているのは、「財務報告の信頼性の確保」であり、その前提としての「不正及び不正による重要な虚偽表示の排除」です。そのためには監査人の努力に加えて、企業側の株主及び投資家に対して信頼性ある財務報告を作成・公表する責任は企業にあるという当事者意識が不可欠になります。
企業が当事者となるには、監査人の手の内もオープンにすることが有効かもしれない
遠藤先生が付録2を例にして、不正リスク対応基準が導入されると、個々人の監査人の裁量に委ねるのではなく、定型的な監査手続を要求事項として義務付けられ、また、監査プロセスを見える化することで監査の専門家以外でもトレースが可能になると説明されていました。
個人的にはオープンになることのプラスの影響が、内部統制の基準・実施基準が導入された時の状況に似ていると思っています。といいますのは、内部統制の実施基準ではそれまで監査人の中でクローズされていた手法がいくつかオープンになりました。例えば、内部統制の不備が、開示すべき重要な不備に該当するかどうかの金額的重要性の例示として「連結税引前利益の概ね5%程度」が明記され、また例えば、運用状況評価は、「サンプリングにおける信頼度は90%とし、これに基づけば、統制上の要点ごとに少なくとも25件のサンプルが必要」といった例示がされました。もっと実務よりなところでは各ファームのノウハウの一つだったリスク・コントロールマトリクス(RCM)も徐々にですがクライアントにオープンになりました。これら監査人の手の内をオープン化することでその後の制度対応がスムーズになったという事実があります。
監査人にとって、従来、専門家の裁量・判断で実施してきた手の内をオープンにすることは抵抗があるかもしれませんが、この不正リスク対応基準は企業も当事者であるという観点に立てば、手の内をオープンにすることも基準対応をスムーズに行うために有効かもしれません。
