内部統制ブログ(フジタヒロキ)

現役の監査法人の中の人が、こっそりと心の声をささやくブログ

内部統制は100回中8回間違えて良い

コラム

2017/6/25 全面的に書き換えました。

 

・内部統制とは
 上場企業では内部統制の整備・運用が求められています。例えば、営業担当者が売上伝票の起票を行う場合、営業課長がその内容を確認し、日付や金額に誤りがないか、顧客の受領証など必要な書類がそろっているか、確認して伝票に押印するとします(電子化されている企業が多いとは思いますが)。この確認が内部統制です。こういった当たり前のように行われている業務に内部統制が含まれています。

 

・どうやってチェックするのか
 上場企業ではこれらの内部統制が、年間を通じて誤りなく行われているか、会社の内部監査室がチェック(※1)することになっています。上記の例では、伝票に営業課長の押印があるかチェックし、また、伝票と関連する書類が揃っていてそれぞれが整合していること、したがって営業課長承認が妥当であったことをチェックします。年間で作成されているすべての伝票をチェックすることは、効率的でありませんし、時間と人的費用の的制約から事実上不可能なため、統計的な手法を用いて、何件かの伝票をサンプル抽出しチェックすることにより、該当する内部統制が有効であったか判断することになっています。さらに監査法人が、その経営者評価の実施状況をチェックして、お墨付きとなる監査報告書を出すわけです。


※1 この文書では、内部監査室の行為を英語で表記することにします。チェック(確認)、エラー(誤り)などです。一方で、被監査対象である営業課長の行為は日本語で記載します。承認、誤り、などです。

 

・統計的な手法とは
 統計的な手法を用いて何件かの伝票をサンプル抽出してチェックすると書きましたが、その件数はどうやって決めるのでしょうか。監査法人から言われるままに25件のサンプルを使っていませんか?会社が内部統制評価の基準としている「内部統制の実施基準」には次のように書かれています。

財務報告に係る内部統制の評価及び監査に関する実施基準 75ページ Ⅲ.4.(2)①.ロ.a.
例えば、日常反復継続する取 引について、統計上の二項分布を前提とすると、90%の信頼度を得るには、評価 対象となる統制上の要点ごとに少なくとも 25 件のサンプルが必要になる。

また、公認会計士協会のサイトにある会計士向けの文書(監査・保証実務委員会報告第82号)には次のように書かれています。

財務報告に係る内部統制の監査に関する実務上の取扱い(監査・保証実務委員会報告第82号)
付録2 統計的サンプル数の例示
許容誤謬率が9%、サンプリングリスクが10%(信頼度が90%)、予想誤謬率が0%である場合のサンプル数は、次の表の枠囲みのとおり。

f:id:it-audit:20170625111451p:plain

 確率統計の知識がないと、さっぱり意味が分からないと思いますが、これから解説しますので大丈夫です。実はこれらの基準では、どちらも同じことが書かれています。ここでは赤字の部分「①二項分布」「②許容誤謬率が9%」、「③サンプリングリスク10%(90%の信頼度)」が基準で求められているサンプル件数の要件であるということを把握してください。この要件を基に計算した結果、導き出されたのが25件のサンプルになります。

 

・「①二項分布」「②許容誤謬率が9%」、「③サンプリングリスク10%(90%の信頼度)」の具体例
 これらの言葉の意味を、売上伝票の例を基に考えてみます。営業課長が年間1000件の売上伝票を承認しているとします。内部監査室は、1000件の伝票の束から25件のサンプルを抽出して承認状況をチェックしました。その結果、25件すべてに異常は見つからなかったとします。
 この結果、何が分かったのでしょうか。よくある勘違いは、「25件の伝票の承認が有効であったことを確かめたので、1000件の伝票の承認も全て有効であると推定できる」と考えてしまうことです。そうではありません。この例を使って正確に説明するとこうなります。

 「伝票を承認する課長は、9%の確率で誤った承認をしてしまう(②許容誤謬率9%)」という仮定を置いたうえで、25件の伝票をチェックしたところ課長の承認はすべて正しかった。
 課長が伝票の承認を間違える確率が9%(②許容誤謬率9%)であれば、25件のサンプルから見つかるエラーの件数の期待値は2件(25件×9%=2.25件)であり、エラーが1件も出ない確率は9.5%であると二項分布(①)の確率分布関数※より計算できる。発生する確率が10%未満(③サンプリングリスク10%(90%の信頼度))のありえない事象が起きたため、課長が実際に誤った伝票を承認してしまう確率は仮定の9%ではないと推定できる。9%よりも大きいのか少ないかを考えると、0件のエラー件数であるため9%よりも少ないと推定できる。したがって、課長が実際に伝票の承認を間違えてしまう確率は9%未満であろうと推定できるということです。1000件の売上伝票の例の場合、有効でない伝票が1000件中90件未満であろうということが推定できるということになります。
 これが、表題の「内部統制は100回中8回間違えて良い。」の意味です(未満なので9ではなくて8にしています)。内部統制の運用テストでは、1件もエラーが無いことを検証していると勘違いされている方が多い気がします。しかし、実施基準をしっかり理解すれば、内部統制の誤りが9%未満であることをチェックしているに過ぎないということが分かります。
※2項分布の計算方法は後日(2017年7月中)作成します

 

・許容誤謬率は9%で良いのか。
「財務報告に係る内部統制の監査に関する実務上の取扱い(監査・保証実務委員会報告第82号)付録2 統計的サンプル数の例示」を見ると、許容誤謬率の9%は例であって、2%~20%までの許容誤謬率を想定した、サンプル件数が示されています。
許容誤謬率を9%に固定するのではなく、その内部統制の影響金額がいくらなのか考えたうえで、柔軟に変更するのが本来だと思います。実際に許容誤謬率を検討している会社さんがあったらぜひ教えてください!監査法人も許容誤謬率9%とサンプル件数25件で思考停止している気がします。