内部統制のサンプル件数25件の根拠を考える
「内部統制のサンプリング件数は25件」は、本当によく聞くかと思います。実務に従事する方も馴染みがあることでしょう。ただ、なぜ「25件」か、その根拠を聞かれて、即答できる会計士を私はあまり知りません。
「基準で示されている」と言えば、それまでですが、その「基準」で示されている内容は、結構、さっぱりしていますよね(具体的な計算式の明示はない)
しかし、内部統制におけるテストのサンプリング件数が「25件」と示されているなら、その数に至った背景、統計的考えに基づく根拠があるはずです。ということで、今回はそんなサンプリング件数「25件」の根拠について、ご紹介します。
なお、会計士受験でここまで深ぼる必要は全くないと思いますが、頭休めということで。
内部統制のテスト「25件」とはどういうことか?
よく聞かれる「内部統制のテストは25件」という話。これをもう少し正確に記載すると、「内部統制の評価は、整備評価と運用評価があり、運用評価を実施する際のサンプル件数が25件」となります。
今回、ご紹介するのはこの「運用評価のテスト件数は25件」という考え方についてです。
ちなみに、件数の根拠について、いろいろ調べると実は結構出てきますが、この記事では、関連基準から読み解いていきたいと思います。
内部統制のサンプル件数について触れているのは「実施基準」
サンプル件数の話をする時、よく内部統制関連の基準で触れられるのは「実施基準」です。正確には、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」となります。長いので以下、実施基準とします。
この中で、P.75「a.運用状況の検討の内容及び実施方法」にて下記の記載があります。
「25件」が出てきました。本文を言い換えると、「25件サンプルテストした結果は、90%の信頼度で当該統制の評価ができる」とも読めます。つまり、25件テストして、エラーがなければ当該統制は「有効」と判断できるという解釈です(これが、巷で広まっている考え)。
ここまでなら、理解は比較的容易です。また、通常はこの説明で終わり(基準上も)ですが、今回はもう少し掘り下げます。なぜ「25件」なのか、その根拠について考えましょう。
統計的思考に基づいたサンプル数が「25件」
そもそもこの「25件」というのはどこから出てきたのでしょうか?
それを紐解くヒントは前述の「統計上」「二項分布」「90%」「許容逸脱率」にあります。これらの要素を含めて「25件」に至る経緯を記載します。なお、ここでは、前述の実施基準で示されているモデルについて、「監査・保障実務委員会報告82号」の付録をふまえご紹介します。
赤丸部分に着目です。これが意味しているのは「実行する試行について、許容逸脱率9%、目指す信頼度が90%(=サンプリングリスク10%)の時、有効ではないケースが「0件」=サンプルが全て有効なら、その試行の逸脱率は9%より低いと判断できる試行回数が25件」ということです。…ん~わかりづらいですが、一般的に言われる「25件」はこの赤丸部分のケースで語られているわけです。
つまり、あくまで一つのモデルなんですね。そのため、許容逸脱率や信頼度、有効ではないサンプルが1件以上の場合等、前提条件が変われば、当然、求められる試行回数も変わる点は注意が必要です。
許容逸脱率、信頼度
続いて、統計の用語や数値が出てきたのでそのあたりを嚙み砕いて追記します。
・許容逸脱率は、監査人がエラーだとしても許容する割合
・信頼度は、サンプルテスト結果から推定した評価と本来の母集団の評価との乖離度合=結論の正確性
サンプル件数「25件」に至る経緯と「有効」の判断
さらに、「25件」に至る統計的過程、及び「有効性」評価の流れを追記します。
・有効か否かの評価(=2択の試行/ベルヌーイ試行)の確率分布=二項分布を基礎とする
・二項分布の前提で、試行回数25回の確率分布を見ると逸脱率9%の統制で抽出したサンプルが逸脱0件になる確率は9.463%とわかる
=裏を返すと、90.537%(=信頼度90%以上)は逸脱率9%とすると、「1件以上のエラーは発生するはず」という前提に立っている(仮説)
・実際に25件のテストを行った結果、逸脱が0件だった
=本来は90%以上、1件以上は逸脱があるはずなのに発生なし
=前述の仮説が棄却される、つまり、対象統制の逸脱率は少なくとも9%よりは低いと考えるのが妥当
=許容逸脱率より逸脱が抑えられる当該統制は「有効」と判断
補足.ベルヌーイ試行の二項分布で9.463%はどう算出するのか
これは公式がありますが、実はエクセルで算出可能です。関数は「BINOMDIST」です。この関数は、【成功数, 試行回数, 成功率, 関数形式】を決めることで確率が算出されます。
では、改めて前述の9.463%の算出ですが、成功数(=ここではエラーになる件数)0回、試行回数(=ここではテスト件数)25回、成功率(=許容逸脱率)9%で入力してみてください。これで「9.463%」となります。ちなみに、エラーになる件数を0回~25回まで算出した結果は以下です。
作成:CPA-MAP BINOMDIST関数による算出結果
いろいろ書きましたが、要約すると(雑にまとめると)以下です。
・ちょうど「25件」のテストでエラーが「0件」なら、「90%以上は1件くらいエラーが出るはず」という前提が崩れるため「9%くらいエラーが出る統制」という見立ては否定(=裏っ返しで9%よりエラー発生は低い)されるということ
・監査人の「許容逸脱率9%」の元では、9%よりエラー発生が低いなら、テスト結果について「有効」と判断できるというお話
=これを実務で「内部統制の運用評価手続きの結果は有効」と表現
内部統制のサンプル件数が「25件」の理由 まとめ
Twitter質問大歓迎!
他のブログは↓から
にほん ブログ村
いろいろ用語を引っ張り出しましたが、改めてまとめです。
→許容逸脱率9%、信頼度90%の前提で示されたモデルの話
→エラー件数が「0件」の時、許容逸脱率が9%より低くなると推定されるのがサンプル件数「25件」の時
合わせて、注意点です。
・25件のサンプルテストでわかるのは、前提として「想定した許容逸脱率より低い」ということであり、決して「逸脱がない」ことは検証できていない。
=「内部統制の検証=何でも25件」は正しくなく、また、「25件テストでエラーなし=このコントロールは100%問題なし」ではないということ
このあたりは、しっかり理解した上で、実務に取り組みたいところですね。
*監査論の「サンプリング」を実務で解説したこちらの記事もご覧ください
コメント