内部統制の評価実務の概要

　内部統制の評価作業は年間を通したスケジュールの下で行われます。

　業務を執行する部門に資料依頼やヒアリングなどを行いますので、評価作業は現場の負担が大きくならないよう、しかし漏れのないように組織的・計画的に行う必要があります。

　この記事では、内部統制の評価実務について簡単にまとめました。

※内部統制基準＝「財務報告に係る内部統制の評価及び監査の基準」
※実施基準＝「財務報告に係る内部統制の評価及び監査に関する実施基準」

内部統制評価の３つのフェーズ
主なテスト手法
全社的な内部統制の評価実務の概要
全社的観点で評価する決算・財務報告プロセスに係る内部統制の評価実務の概要
1. 決算・財務報告プロセスに係る内部統制評価の早期実施
2. 決算・財務報告プロセスに係る内部統制評価のポイント
業務プロセスに係る内部統制の評価実務の概要
ITに係る内部統制の評価実務の概要
委託業務に係る内部統制の評価実務の概要

内部統制評価の３つのフェーズ

　内部統制の評価は、大きく分けて「整備状況評価」→「運用状況評価」→「ロールフォワード」の３つのフェーズがあります。

それぞれどういうものなの？

整備状況評価

　整備状況の評価では、財務報告の信頼性の確保に有効な内部統制のしくみが存在しているかどうかを確認します。

　たとえば、規程類が存在しているか、また、その規程の内容が財務報告の信頼性の確保に有効かどうかの評価を行います。

運用状況評価

　運用状況の評価では、整備された内部統制が狙い通りに運用され、財務報告の信頼性の確保に寄与する機能を発揮しているかどうかを評価します。

　たとえば、証憑や帳票類が定められたとおりに作成・利用されているか、承認権限者の承認の証跡が残されているかなどを確認します。

　運用状況評価は、基本的には、整備状況評価において「有効」と判断された統制事項に対して行われます。

ロールフォワード

　内部統制の評価は、期末日を評価時点として行われますが、実際に期末日に焦点を当てて評価作業をすると、下半期に作業負荷が集中します。

　そうすると、決算業務や開示業務に支障をきたしたり、不備を発見しても改善する時間的余裕がなくなります。

　それを避けるため、整備・運用状況評価は、一旦事業年度の早期に実施し、暫定的な１次評価を下します。

　１次評価時点から期末日まで３ヶ月以上開いている場合、期末日近くで１次評価の結果の見直しが必要かどうかを見極める手続を実施します。

　これを「ロールフォワード」といい、具体的には、整備状況の変更の有無の確認や、業務執行部門の責任者へヒアリング、サンプル１件によるウォークスルーなどを行います。

　なお、ロールフォワードは、整備・運用状況評価において「有効」と判断された統制事項に対して行われます。

主なテスト手法

　テスト手法の種類には、主に以下の①～⑤のようなものがあります。

　なお、②～④は①のウォークスルーの際にも用いられ。その証拠力は下図のとおりとなります。

①ウォークスルー

　ウォークスルーとは、実在の取引を１～２件抽出し、取引の発生、承認、処理、報告、開示までの一連の流れを追跡する手法です。

　業務プロセスで発生する関連帳票が、規程・マニュアル、３点セットと整合しているかを確認しながら、職務分掌の状況やコントロールがリスクを低減できるように設計されているかどうかを評価します。

②質問（ヒアリング）

　業務執行部門の責任者や担当者に業務の流れなどを質問し、３点セットや規程類との合致を確認します。

③文書・記録の閲覧・調査

通査：評価対象業務で発生する帳票類や証憑を全体的に確認する
実査：監査人自らが現物（現金・固定資産等）を確認する
比較・検証：実績数値や計画数値と比較し、異常値の発見、変動要因等を分析する

④観察

　監査人が業務の現場に立ち会って、実際の業務処理手順を確認します。

⑤再実施

　監査人が実際にその業務プロセスを再度実施することで、内部統制が有効に機能しているかどうかを確認します。

全社的な内部統制の評価実務の概要

　全社的な内部統制の評価では、実施基準で例示されている６つの基本的要素に対応した42項目の評価項目を参考にして、自社の状況に合わせて改訂してよいこととされています。

　評価はチェックリストなどを用い、評価対象となる事業拠点ごとに実施します。

　また、全社的な内部統制の評価結果を踏まえて業務プロセスに係る内部統制の評価範囲を検討するという流れのため、全社的な内部統制の評価作業はそれを見越した時期に開始する必要があります。

全社的な内部統制の整備状況評価

　全社的な内部統制の整備項目は、そのほとんどが規程・マニュアル類の明文化や組織体制の確立になります。

　評価手続では、それらが存在しているか、その内容が十分なものであるかなどを確認します。

　確認する証憑例としては以下のようなものがあります。

統制環境：経営理念、組織図
リスクの評価と対応：リスク管理規程、内部統制規程、リスク管理委員会
統制活動：各業務マニュアル、業務関連規程、職務権限表
情報と伝達：取締役会、取締役会規程、内部通報制度
モニタリング：内部監査規程、内部統制規程、業務関連規程
ITへの対応：情報システム管理規程、予算管理規程

全社的な内部統制の運用状況評価

　全社的な内部統制の運用状況評価では、整備された規程に沿った業務実績や、会議体の運営実績を確認できる証憑を使用します。

　規程・マニュアル類は年１回見直すなどして、継続的なルール運用により証憑を蓄積していくことが重要です。

　また、規程類は制定するだけでなく、周知活動が行われていることも評価ポイントになります。

　評価の際に収集する証憑例としては以下のようなものがあります。

経営理念：中期経営計画書
リスク管理委員会：議事録、リスク検討資料
内部統制規程：内部統制基本計画書
取締役会：議事録
内部通報制度：通報に対する調査資料
業務マニュアル：定期的見直しの際の部門責任者押印
内部監査規程：評価作業関係書類
情報システム管理規程：中期経営計画等のIT計画、アクセス権限表

全社的な内部統制のロールフォワード

　全社的な内部統制のロールフォワードでは、整備状況評価と同じような証憑確認を行います。

　また、該当部門の責任者へのヒアリングを実施し、１次評価から変更がないことを確認します。

前年度の評価結果の利用

　前年度の評価結果が有効で、かつ、前年度の整備状況と重要な変更がない評価項目については、前年度の運用状況の評価結果を利用することができます。

　その際には、財務報告の信頼性に重要な影響を及ぼす項目でないことの判断過程や、重要な変更がないことの証跡（１件のサンプル収集、該当部門の責任者へのヒアリングなど）が必要です。

全社的な内部統制の評価

全社的な内部統制は「決算・財務報告プロセスに係る内部統制」「業務プロセスに係る内部統制」「ITに係る内部統制」の基盤となり、その他の内部統制の有効性に影響を与えます。この記事では、全社的な内部統制の評価について簡単にまとめました。

全社的観点で評価する決算・財務報告プロセスに係る内部統制の評価実務の概要

　全社的観点で評価する決算・財務報告プロセスに係る内部統制の整備・運用状況評価は、全社的な内部統制の評価と同様に、チェックリストを用いて行います。

　なお、親会社と子会社ではチェックリストの内容が異なる場合がありますので、注意が必要です。

決算・財務報告プロセスに係る内部統制評価の早期実施

　内部統制評価の基準日は「期末日」ですが、決算業務は期末日を越えて行われますので、評価対象期間の決算業務における内部統制に不備があった場合、「期末日」には改善が間に合いません。

　さらに財務報告の信頼性に直接影響を及ぼすため、「開示すべき重要な不備」となる可能性が高くなります。

　そのため、前期の決算・財務報告プロセス業務を評価し、不備を事前に把握・改善をします。

決算・財務報告プロセスに係る内部統制評価のポイント

　決算・財務報告プロセスは、その業務の性質上、経理部門内で完結するものが多くあります。

　内部統制も決算処理の枠組みに組み込まれているため、文書類などの評価対象は、全社的な内部統制のように多岐にわたるものではありません。

　評価事項の例としては以下のようなものがあります。

経理規程や組織図における経理担当と財務担当の分離
経理規程、決算関連マニュアル、連結パッケージ、組替表、決算業務分担表、決算業務チェックリスト等の内容の充実さ、見直しや利用の証跡等
経理人員の会計知識やスキルの向上促進のための教育制度や職位基準書等
外部委託業務の検証機能
定形外処理の手続の規定
監査法人との決算処理に関する協議記録

決算・財務報告プロセスに係る内部統制の評価

決算・財務報告プロセスに係る内部統制は、財務報告に係る内部統制（J-SOX）の目的である「財務報告の信頼性」に直接的に影響する重要な内部統制です。この記事では、決算・財務報告プロセスに係る内部統制の評価について簡単にまとめました。

業務プロセスに係る内部統制の評価実務の概要

　業務プロセスに係る内部統制の評価では、全社的な内部統制の評価結果を踏まえ、評価範囲を検討します。

　ただし、時間的に厳しい場合は、前期実績や当期予算を参考にして、評価範囲を選定する場合があります。

業務プロセスに係る内部統制の整備状況評価

　整備状況の評価では、手法として主にウォークスルーを用い、コントロールがリスクを低減できるように設計されているかどうかを確認します。

キーコントロール

　キーコントロールとは、業務プロセスにおいて整備されたコントロール（承認、照合、検証など）のなかでも、リスクの低減に大きな有効性をもつコントロールのことをいいます。

　整備状況評価では、キーコントロールが適切に設定されているかを確認します。

　キーコントロールは、アサーション（実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性）を満たすように選定されます。

　もしキーコントロールの有効性が不十分であれば、複数設定する場合も考えられますが、その分評価作業が増加するので、適切なキーコントロールの選定が効率的な評価作業には必要です。

業務プロセスの文書化　ーキーコントロールの選定ー

業務プロセスに係る内部統制の整備にあたって、識別した虚偽記載リスクを軽減するための内部統制である「キーコントロール（統制上の要点）」を選定します。この記事では、キーコントロールの選定について簡単にまとめました。

業務プロセスに係る内部統制の整備状況評価　～ウォークスルー～

経営者は、全社的な内部統制の評価結果を踏まえた上で、業務プロセスに係る内部統制が有効に機能しているかを評価します。この記事では、業務プロセスに係る内部統制の整備状況評価について簡単にまとめました。

業務プロセスに係る内部統制の運用状況評価

　運用状況の評価では、キーコントロールで使用している帳票類を無作為に収集（サンプリング）し、３点セットなどを利用し、整備されたとおりに帳票類が運用されているかどうかを評価します。

サンプリングテストの実施

　キーコントロールで使用している帳票類が、サンプリングテストの対象となる帳票類です。

帳票を無作為に選ぶには、乱数表を用いるなど、監査法人などが妥当であると判断する方法でサンプリングする必要があります。
サンプリングテストを行う帳票類の枚数が膨大になる場合があるため、評価対象となる業務プロセスの関係部門へ帳票の収集を事前に依頼します。
キーコントロールで使用している帳票類が適切に運用されているか（例：承認権限者の承認の証跡があるか）を確認します。

統計的サンプル数

　実施基準では、サンプリングテストで収集する妥当なサンプル数について、以下のように示しています。

例えば、日常反復継続する取引について、統計上の二項分布を前提とすると、90%の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25件のサンプルが必要になる。

どうして「25件」なの？

　以下の表は、内部統制の評価手続に係る統計的サンプル数をまとめたものです。

　「90％の信頼度を得る」には、リスク発生率（＝許容逸脱率）を10%未満に抑える必要があります。

　許容逸脱率が９％（＝10％未満）の場合、25件の帳票類を確認して不備がなければ（＝０件）、そのキーコントロール全件において不備がない（＝予想逸脱率０.00％）と想定することができます。

『監査・保証実務委員会報告第82号付録２「統計的サンプル数の例示』より一部抜粋（※括弧内は予想逸脱数）

　なお、上記は統制頻度が日次的な場合であり、その他の統制頻度のサンプル数例は、一般的に、年次：１件、四半期：２件、月次：３～５件、週次：５～10件、などのようになります。

サンプリングの概念

母集団となる帳票から一部を抽出してテストすることで、母集団全体に合理的な結論を下す手法を、サンプリングテストといいます。この記事では、サンプルの抽出方法であるサンプリングと、属性サンプリングについて簡単にまとめました。

ローテーション評価

　複数の事業拠点があり、評価対象となる業務プロセスに係る内部統制に同一性が見られる場合、数年で全拠点を一巡することを前提に、当期の評価対象となる事業拠点を選択して評価する方法が認められています。

前年度の評価結果の利用

　以下の条件を満たす場合は、前年度の整備状況の評価結果を利用することができます。

全社的な内部統制の評価結果が有効
前年度の評価結果が有効
前年度の整備状況に重要な変更がない

業務プロセスに係る内部統制のロールフォワード

　業務プロセスに係る内部統制のロールフォワードでは、整備状況評価と同様にウォークスルーの手法を用います。

　業務執行部門の担当者にヒアリングを実施し、１次評価時点から変更等がないか確認します。

業務プロセスに係る内部統制の運用状況評価　～サンプリングテスト～

経営者は、全社的な内部統制の評価結果を踏まえた上で、業務プロセスに係る内部統制が有効に機能するように整備され、その意図どおりに運用されているかを評価します。この記事では、業務プロセスに係る内部統制の運用状況評価について簡単にまとめました。

ITに係る内部統制の評価実務の概要

　ITに係る内部統制の評価では、企業のITへの依存状況によって、評価範囲が異なります。

　評価手続において、業務プロセスに係る内部統制のうちITを利用している統制の認識、また、それらに関連するIT基盤の把握が必要になります。

ITに係る全社統制の評価

　ITに係る全社統制は、全社的な内部統制のチェックリストと同じ方法で評価することができます。

　整備状況評価では、IT組織の明確化や業務分掌、及びそれらの方針を文書化した規程の有無や内容を評価することになります。

　運用状況評価では、規定された組織体制などが機能しているかどうかを評価します。

ITに係る全般統制の評価

　ITに係る全般統制の評価では、業務プロセスに係る内部統制の評価手順と類似し、整備状況評価ではウォークスルー、運用状況評価ではサンプリングテストを実施し、以下のような項目を確認します。

システムの開発、保守：システムの開発・調達、IT基盤の構築、変更管理、テスト、開発・保守に関する手続きの策定と保守
システムの運用・管理：システム障害管理、サーバ保守管理、データ管理
内外からのアクセス管理などシステムの安全性の確保：情報セキュリティ対策の策定とインシデントの管理、アクセス権限管理、ID・パスワード管理
外部委託に関する契約の管理：委託先のサービスレベルの定義と管理

　なお、以下の条件を満たす場合は、運用状況評価について前年度の整備状況の評価結果を利用することができます。

財務報告の信頼性に特に重要な影響を及ぼす項目ではないこと
前年度の評価結果が有効であること
前年度の整備状況から重要な変更がないこと

ITに係る業務処理統制の評価

　ITに係る業務処理統制の評価では、ITを利用した統制が業務プロセスに組み込まれ、適切に運用されているかを評価します。

　ITに係る全般統制の評価が有効であれば、適切なデータ処理が反復継続されます。

　その場合、業務処理統制の評価手続では、サンプル件数を減らし、評価作業を簡略化することも考えられます。

　評価方法の例としては、以下のようなものがあります。

システム間のデータ転送：転送元と転送先から出力した帳票類を照合する
アクセス制限：権限設定されていないIDを入力してエラー表示を確認する
データ自動集計：手計算してみて計算結果を検証する

過年度の評価結果の利用

　ITに係る業務処理統制が一度有効に設定されれば、変更が発生しない限りその有効性は継続しますので、以下の条件を満たす場合は、過年度の整備状況の評価結果を利用することができます。

ITに係る業務処理統制に変更がないこと
ITに係る業務処理統制に障害・エラー等の不具合が生じていないこと
ITに係る全般統制が有効に機能していること

　ただし、１．２．を確認する手法を検討する必要があります。

IT業務処理統制の評価

IT統制はIT全般統制とIT業務処理統制の二つからなり、両者が有効に機能することが重要であるため、経営者は両方とも評価する必要があります。この記事では、IT業務処理統制の評価について簡単にまとめました。

委託業務に係る内部統制の評価実務の概要

外部に業務を委託している場合はどうしたらいいの？

　外部へ委託している業務に係る内部統制の評価手続には以下のようなものがあります。

サンプリングによる検証

　委託業務結果の報告書と基礎資料との整合性を検証するとともに、委託業務の結果について、一部の項目を企業内で実施して検証します。

　ただし、委託業務の内容によっては、委託先に出向いてのテストが必要になる場合があります。

　それを避けるため、自社内で報告内容を総合的に分析できるようなキーコントロールを設定します。

受託会社の評価結果の利用

　委託先が自ら行った内部統制評価の結果を、自社の内部統制評価の代替とします。

　委託先は、専門家に内部統制の評価に関する保証を委託し、その専門家は保証報告書（例：監査・保証実務委員会保証業務実務指針に基づく「3402報告書」）を作成します。

　その報告書を委託先から入手し、評価対象となる業務プロセスにとって十分な内部統制評価の証拠を提供しているかどうかを検討します。

委託業務の評価

財務報告に係る内部統制の有効性の評価は原則として連結ベースで行われ、評価範囲の決定には子会社や関連会社を含みますが、必要であれば外部に委託した業務の内部統制も評価範囲に含めます。この記事では、委託業務の評価について簡単にまとめました。