Definition
CPAAOBの検査結果事例集を見ると、ISA 240に基づく不正リスク対応が「経営者の誠実性を仮定して終了」になっている調書が繰り返し指摘されている。通常の監査手続で不正の兆候を拾えなかった場合、その先に何があるか。フォレンジック監査は、その「先」にある調査手法である。
ISA 240との接点
ISA 240.25は、経営者による内部統制の迂回リスクを評価するよう求めている。計画段階のリスク評価で「不正の可能性がある」と判断された場合、フォレンジック監査の検討が始まる。通常の監査手続では検出できない証拠を追求する必要があるためだ。
経験上、この判断が最も難しい。不正の兆候が明確であればフォレンジック調査員を呼ぶ判断は容易だが、「グレーゾーン」の兆候(承認プロセスの軽微なスキップ、説明のつかない取引パターンの変動)に対して追加調査をどこまで行うかは、パートナーの判断に委ねられている。
証拠収集から報告書作成まで
調査員は、関連する取引記録、通信記録、銀行口座、不動産登記簿から証拠を収集する。各段階で取得した証拠にチェーン・オブ・カストディの記録を作成して管理する。不正の意図を示す行為(架空請求書の作成パターン、同時期の複数送金、追跡困難な口座間移動、架空取引先への反復送金)を分析し、調査員が独立した報告書を作成する。事実、分析、結論を詳細に記載した報告書は、弁護士や規制当局に提出されることが多い。
事例:太陽建設工業の不正調査
日本の建設機械製造会社。年間売上42億円。2023年度、経営陣が誤りを隠蔽している可能性が指摘された。
監査人は、経営者の請求書承認プロセスに異常を発見した。通常、建設プロジェクトの請求書は担当マネージャーの署名後、財務部長が確認する。2023年9月から12月にかけて、複数の大型請求書(各300万円超)が財務部長の確認なく経理部に提出されていた。調書には「承認スキップ」の件数リストを作成し、異常発生期間を特定した。
外部のフォレンジック調査専門家を招聘。調査員はメール記録、システムのアクセスログ、銀行振替記録の調査を計画した。調査契約書に範囲を明記し、チェーン・オブ・カストディ管理の規則を定めた。
問題期間における経営陣のメール全体をシステム管理者に要求。請求書発行システムのアクセスログを取得し、誰がいつどの請求書を修正したかを確認した。銀行の振替明細から請求書金額と振替金額の一致を検証。証拠の取得日時、取得源、取得方法を全て記録し、デジタルフォレンジック報告書(ハッシュ値付き)を作成した。
メール記録から、営業部の課長が経営陣に架空請求書案を送付していたことが判明。経営陣の返信メールには「承認」という1語のみ記載されていた。銀行記録では、これらの請求書金額がすべて架空取引先(実体のない法人)に振り込まれていた。不正の総額は8,700万円。不正パターンの詳細分析(メール日付、請求書番号、金額、振込先口座番号、架空取引先の法人登記番号)をスプレッドシートで整理した。
フォレンジック監査により、意図的な架空請求による横領と確認された。通常の監査では、請求書と銀行振替の対応関係のみを確認しており、メール記録やシステムアクセスログまで調査していなかった。調査結果は弁護士に渡り、刑事告訴に至っている。
監査人と検査機関が見落とす点
ISA 240.A54は、経営者が内部統制を迂回するリスク(management override)を必ず存在すると仮定するよう求めている。現場では、この評価を経営者の誠実性への一般的な信頼に置き換えている調書が多い。結果として、承認プロセスのスキップや異常な取引パターンを「例外」として処理してしまう。正直なところ、品管レビューでこのパターンを指摘されて初めて気づくケースが珍しくない。
証拠のチェーン・オブ・カストディを正しく管理しなければ、法的採用可能性が失われる。監査人がメール記録やシステムログの保全手続を実施していない場合、刑事訴訟ではそれらの証拠が認められない可能性がある。中堅監査法人にはこの専門知識がないことが多い。
フォレンジック調査の結果はISA 500の監査証拠基準に従うべきだが、実際には調査報告書がそのまま監査ファイルに添付されているケースが散見される。調査結果のどの部分が被監査会社の財務諸表上の誤りを構成するのか、監査人が明確に判定していない。
フォレンジック監査 vs. 通常の不正リスク評価(ISA 240)
| 観点 | ISA 240不正リスク評価 | フォレンジック監査 |
|---|---|---|
| 開始の契機 | 全監査で必須。疑わしい点がなくても実施。 | 不正の明確な兆候がある場合、または経営者迂回リスクが高い場合。 |
| 調査範囲 | 財務諸表に影響する不正リスクに限定。 | 横領、資産流用、詐欺全般。財務諸表に直結しない行為も対象。 |
| 証拠の秘密性 | 監査は公開。被監査会社の経営陣が監査計画を認識している。 | 秘密裏に証拠収集。調査対象者に知られないよう進める。 |
| 報告書の用途 | 監査意見の基礎となる。被監査会社へ報告。 | 弁護士、規制当局、刑事司法機関へ渡る。 |
| 必要な専門知識 | 監査人が実施可能。 | デジタルフォレンジック、調査技法の専門家が必要。 |
ISA 240.25と追加手続の判断
ISA 240.25が経営者による迂回の可能性を「リスク」として明示したことで、監査人は「不正がない」という仮定で済ませられなくなった。経営者の迂回リスクが高いと判定された場合、通常の監査手続(取引の選別テスト、残高の確認手続)では検出できない不正を想定した追加調査が必要になる。フォレンジック監査はその追加手続の最後の手段。法的採用可能性のある証拠を確保する必要がある場合、外部専門家に依頼するかどうかの判断が監査品質の分岐点となる。
関連用語
- チェーン・オブ・カストディ:証拠の取得から提示までの一連の保管・移動記録。法的採用可能性の前提条件。 - ISA 240(不正と誤謬):不正リスク評価の基準。フォレンジック監査はこの延長線上にある。 - ISA 500(監査証拠):調査結果が監査証拠として認められるかどうかを判定する基準。 - デジタルフォレンジック:コンピュータシステム、メール、ログファイルから法的採用可能な証拠を収集する技法。 - 経営者による内部統制の迂回(management override):ISA 240で必ず存在すると仮定されるリスク。
---