財務報告における「虚偽表示リスク」を排除するには、「経営者の主張(アサーション)」を設定し、それを達成しなければならない。今回は、経営者の主張とは具体的にどのようなものなのか、それを達成するためには「IT統制目標」との関連性をどのように考えるべきか、といったことを解説する。

 コントロール(統制手続き)の配置は、リスクの存在を前提とします。どういったコントロールを配置するべきかは、どういったリスクを想定するか、にかかっています。すべては、そこから始める必要があります。

 本連載で既に申し上げましたように、「財務報告に係る内部統制」に関わるリスクとは、財務報告における「虚偽表示リスク」のことです。監査上、この虚偽表示リスクを評価する際には、「経営者の主張(assertion:アサーション)」をベースにします。「経営者の主張が達成されていれば虚偽表示リスクは小さく、達成されていなければリスクは大きい」と判断するわけです。

 したがって、経営者の主張が達成されていない状況は、一定以上の財務諸表に関する虚偽表示リスクが存在し、財務諸表が何らかの誤った処理を反映したものになっている可能性を示しています。監査人は、経営者の主張が十分に達成されている状況を確認できれば、勘定科目における金額や注記など財務諸表の各構成要素が概ね信頼できるものと推定することになります。

 では、経営者の主張とは何でしょうか。それは一般に、次の5項目を指します(図1)。

1. 実在性または発生(Existence or Occurrence)
2. 網羅性(Completeness)
3. 権利と義務(Rights and Obligation)
4. 評価または配分(Valuation or Allocation)
5. 表示と開示(Presentation and Disclosure)


図1 虚偽表示リスクの評価のベースとなる「経営者の主張(assertion:アサーション)」
[画像のクリックで拡大表示]

 それぞれのカッコ内は、SAS(Statement on Auditing Standards:米国監査基準書)でのオリジナルの表記です。「経営者の主張」をはじめ、本稿で使われている日本語に違和感を覚える読者もいらっしゃると思いますが、これらのほとんどが直訳であることが主な原因です。

 「経営者の主張」は通常、上記の5項目を指しますが、財務諸表そのものを指して経営者の主張という使い方もします。この5要件は主張対象である財務諸表の根拠となるもので、その根拠を経営者の主張と呼んでいるケースです。これに対して、主張しようとする対象そのものである財務諸表を、経営者の主張と呼ぶ場合もあるわけです。

 なお、日本公認会計士協会が規定している「経営者の主張」は、内容は先のものと同じですが、次の通り、表現に若干の違いがあります。

1. 実在性
2. 網羅性
3. 権利と義務の帰属
4. 評価の妥当性
5. 期間配分の適切性
6. 表示の妥当性

経営者の主張(アサーション)の具体例

 「経営者の主張」を具体的に説明していきましょう。例えば、企業にとって最も重要な売上サイクルに関連する勘定科目である「売掛金」において、先に1番目の項目として挙げた「実在性または発生」に関する経営者の主張が達成されなかったとします。この事実は、通常の取引に混じって、実在しない顧客との取引が紛れ込む余地が存在することを示しています。

 「実在しない顧客との取引」とは、いわゆる、架空取引のことです。したがって、「実在性または発生」に関する経営者の主張が未達成であるということは、この会社には架空取引を排除しきれないという管理体制の欠陥があることを意味します。

 より簡単な一例を挙げましょう。「新規顧客の登録」という手続きにおいて、会社の営業方針として、口座申請時に顧客から十分な資料が提出されないケースでも、顧客口座の開設を優先する運用を例外扱いとして認めることになっていたとします。しかし、そのようなケースで、この例外処理を事後的に是正する手続きまでもが疎かにされる状況が認められた場合には、「この営業優先の運用の下でも、架空取引が十分に抑制できているはず」とは判断しにくいと考えられます。

 このようなケースは、「実在性または発生」に関する経営者の主張が達成されていないケースに該当するでしょう。もし、この架空取引を引き起こす事態がリスクとして重要性があると判断すれば、このリスクを軽減するコントロールを設置することが必要となります。

 財務報告に係る内部統制は、経営者の主張の達成を保証し、その結果として、財務報告の信頼性を保証します。また、ITで事業運営されている場合は、以前お話したように内部統制はIT統制に代替され、その場合のコントロールはIT統制目標の達成を目指したものになります。

 ただし、経営者の主張は、あくまでも財務諸表の信頼性を保証する際の要件であり、IT統制目標はITの信頼性を保証するものですので、経営者の主張をそのまま単純にITの統制目標と比較対照することは困難です。そこで、IT統制目標が達成されることと、経営者の主張が達成されることが、どのような関係になるのかを整理することが必要となります。


図2 IT統制目標の4要件
[画像のクリックで拡大表示]

 IT統制目標には、データセンターの安全性や、経営に役立つ情報がいつでも取り出せる可用性など、さまざまなものがあり、各企業が個々の経営環境や事業形態などに応じて判断することが原則になっています。このうち、「財務報告に係る内部統制」に関連したIT統制目標は、情報システムで生成する財務情報の信頼性を確保するためのものが中心となり、通常、次の4つの要件を指します(図2)。

1. 網羅性
2. 正確性
3. 正当性
4. ファイルの維持継続性

 最初の「網羅性」は、すべての会計取引が漏れなく重複なく記録され、残高を更新していることが要件です。次の「正確性」は、会計取引が正確かつ適切に、すなわち、正しい勘定科目に正しい金額でタイムリーに記録されることが要件となります。

 3番目の「正当性」は、会計取引が企業取引として公認されたもの、承認されたものであることが要件です。ITへの適切なアクセス・コントロールの下で、正規の承認権限に基づいてデータへのアクセスおよびデータの取り込みが行われている、ということを意味します。最後の「ファイルの維持継続性」は、マスタ・ファイルが常に最新の状態で維持管理されていることを要件とします。

経営の主張とIT統制目標の関連性は状況に応じて決定すべし


図3 経営者の主張とIT統制目標の関係。これは例であり,実際の適用には個別の判断が必要となる
[画像のクリックで拡大表示]

図4 「IT統制目標の達成」から、最終的な目標である「虚偽表示リスクの排除」(すなわち財務報告の信頼性確保)に至るまでのプロセス
[画像のクリックで拡大表示]

 一見してお分かりのように、経営者の主張の5要件とIT統制目標の4要件を単純に比べても、そのまま一致するのは網羅性だけです。そのほかは、定義だけで関連性を求めることは困難なため、個々の状況ごとに判断して、経営者の主張のどの要件がIT統制目標のどの要件に該当するのか、その関連性を確定させる必要があります。

 経営者の主張とIT統制目標との一般的な関連性について、その一例を示すと図3のようになります。ただし、繰り返しますが、これはあくまでも一例です。両者の関係は、個々に具体的に検討しなければなりません。

 以上を総括すると、財務報告に係る内部統制によって虚偽記載リスクが一定水準に軽減されていることを保証するロジックは、次のように整理されます(図4)。

 ITに大きく依存して事業展開する企業は、ITを利用して信頼性の高い財務情報を確保する必要があります。信頼性の高い財務情報を入手するには、まずITの信頼性を確保する必要があります。このため、財務報告に関連する情報システム(これを「会計システム」と呼びます)に対してIT統制目標を設定し、目標の達成を実現します。

 達成されたIT統制目標は、経営者の主張との関連性を判断して、経営者の主張の達成を傍証します。そして、その経営者の主張の達成は、財務報告の虚偽表示のリスクが低レベルに抑えられたことを示します。これにより、最終目標である財務報告の信頼性が確保されたことを立証できたことになります。このように、非常に長い検証過程をたどって行くことになります。

 内部統制監査において、IT統制目標から経営者の主張に至るまでの一連の統制目標の達成状況は、財務報告に係る内部統制の有効性を評価するうえで重要な確認事項です。

 ここでは、「経営者の主張が確実に達成されていれば、財務諸表の虚偽表示リスクはほとんど無視できるほど小さいと判断できる」という論理が想定されています。このように、経営者の主張との関連で、虚偽表示リスクとコントロールのバランスに関して判断を行うことになります。ここでいうバランスとは、「リスクの大きさに対応して、適度のコントロールを配置する」ということを表しています。

 リスクとコントロールとを対比して、リスクがコントロールを上回る状態は、事業プロセスがリスクにさらされている可能性を示します。反対に、コントロールがリスクを上回って完全にリスクが克服されている状態は、リスクの大きさから見て過剰なコントロールが配置され、結果的に経営資源を無駄に浪費している可能性を含みます。リスクとコントロールを単に対比するだけでは、両者が適度にバランスしているかどうかは分からないということです。

 そこで、コントロールの配置に関しては、リスク・コントロールの考え方を理解しておくことが必要になります。次回は、このリスク・コントロールにおけるコントロールの適用について見ていきます。

次回へ

深見 浩一郎(ふかみ こういちろう)
深見公認会計士事務所/コンサルティング・ネットワークITAS代表。大手都市銀行を経て,国内大手監査法人マネジメントコンサルティング室長,外資系コンサルティング会社ERP担当マネージング・ダイレクター等を経て,現職。一昨年から公認会計士,システム監査技術者,システム・コンサルタントによるネットワークITASを創設。内部統制構築,IT統制整備に関するコンサルティング・サービス,メソドロジーの教育研修を展開。