Embed Size (px)
Citation preview
1
内部統制
第 1 回:内部統制報告制度の概要
2012.03.14
新日本有限責任監査法人 公認会計士 友行貴久
(はじめに)
財務報告に係る内部統制報告制度は、金融商品取引法の制度として運用され、3 年が経過しました。
制度導入当初は、自社の内部統制を、どの程度整備運用すれば有効になるかのレベル感がつかめず、
過度に手続きを設定し、内部統制の評価作業が加重となってしまったケースが見受けられました。この
ような背景から、リスクが低い項目については、より簡素化を図るべきであるという実務サイドの要望を
受け、平成 23 年 3 月に内部統制報告制度に関する基準が改訂されました。そこでは、内部統制の基
準・実施基準のさらなる簡素化・明確化が図られ、一定の条件の下で、評価範囲の明確化、評価方法
の簡素化を可能としています。今回の連載においては、財務報告に係る内部統制報告制度の基本的
な概念、実務上の留意点、改訂基準の留意点についてテーマごとに Q&A 方式で取り上げました。
(注 ) Q&A で引用している法令等については、以下の略称を使用しています。(全 6 回共通)
意見書
財務報告に係る内部統制の評価及び監査の基準ならびに財務報告に係る内部統制の評価及び
監査に関する実施基準の改定について(意見書)
改訂内部統制基準
財務報告に係る内部統制の評価及び監査の基準(最終改訂 平成 23 年 3 月 30 日 企業会計審
議会)
改訂実施基準
財務報告に係る内部統制の評価及び監査に関する実施基準(最終改訂 平成 23 年 3 月 30 日
企業会計審議会)
実務指針
財務報告に係る内部統制の監査に関する実務上の取扱い(最終改訂 平成 21 年 3 月 23 日 日
本公認会計士協会監査・保証実務委員会第 82 号)
Q1. 財務報告に係る内部統制とは何ですか。
Answer
内部統制とは、(1)業務の有効性及び効率性、(2)財務報告の信頼性、(3)事業活動に関わる法令等
の遵守ならびに(4)資産の保全という四つの目的が達成されているとの合理的な保証を得るために、
業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいいます。
2
このうち金融商品取引法における内部統制報告制度は、財務報告の信頼性を確保するための内部統
制を評価及び報告の対象としていますが、これには、財務報告以外の目的も併せて達成されるように
業務に組み込まれている内部統制も含まれます。
財務報告に係る内部統制は、その影響の及ぶ範囲から、全社的な内部統制と業務プロセスに係る内
部統制とに分類されます。
また、内部統制は統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及
び IT(情報技術)への対応の六つの基本的要素から構成されており、内部統制の目的を達成するには、
全ての基本的要素が有効に機能していることが必要であるとされています。
Q2. 全社的な内部統制とは何ですか。また、業務プロセスに係る内部統制とは何ですか。
Answer
全社的な内部統制とは、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制としています。
これは、企業(企業集団)全体を対象として、企業(企業集団)全体に広く影響を及ぼすような内部統制
を意味します。
これに対して、業務プロセスに係る内部統制とは、販売業務、仕入業務などの企業の業務プロセスに
組み込まれ一体となって遂行される内部統制をいいます。
表 2-1
3
業務プロセスに係る内部統制は、決算・財務報告プロセスとその他の業務プロセスとに分類されます。
Q3. トップダウン型のリスク・アプローチとは何ですか。
Answer
日本の内部統制報告制度は、トップダウン型のリスク・アプローチが採用されています。トップダウン型
のリスク・アプローチとは、内部統制の有効性を評価するに当たっては、まず全社的な内部統制が良好
に機能しているかを評価し、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに
着眼し、必要な業務プロセスを絞り込んで評価する方法です。トップダウン型のリスク・アプローチを採
用することにより、内部統制の評価は、財務報告に関する全ての業務の内部統制を評価するのではな
く、財務報告の信頼性に及ぼす影響の重要性の観点から必要な範囲において行うこととされていま
す。
具体的には、全社的な内部統制の評価が良好であれば、売上高等の金額の高い事業拠点から合算
して、連結ベースの売上高等の概ね 3 分の 2 に達するまでの事業拠点を「重要な事業拠点」と選定し
ます。そして、重要な事業拠点において、企業の事業目的に大きく関わる勘定科目(一般的な事業会
社の場合、売上高、売掛金及び棚卸資産)に至る業務プロセスを、評価の対象とします。この他に、重
要な事業拠点及び、それ以外の事業拠点において、財務報告への影響を勘案して、重要性の大きい
業務プロセスについては、個別に評価対象に追加します。
財務報告に係る内部統制の評価・報告の流れ
改訂実施基準(参考図 2)より
4
Q4. 財務報告に係る内部統制の評価の概要について教えてください。
Answer
1. 全社的な内部統制
原則として、全ての事業拠点について全社的な観点で評価することが必要となります。具体的には、内
部統制の六つの基本的要素ごとに評価していきますが、実施基準にある 42 の評価項目の例を参考に、
チェックリストを用いて評価することが効果的・効率的です。
2. 決算・財務報告プロセス
決算・財務報告プロセスとは、主として経理部門が担当する残高試算表の作成、個別財務諸表、連結
財務諸表を含む、外部公表用の有価証券報告書を作成する一連の過程です。
決算・財務報告プロセスのうち、全社的な観点で評価することが適切と考えられるものについては、全
社的な内部統制と同様にチェックリストを用いて、各業務区分で財務報告の信頼性のための内部統制
の有効性について評価することが効果的・効率的です。それ以外の決算・財務報告プロセスについて
は、財務報告への影響を考慮して、重要性の大きい業務プロセスを個別に評価対象に追加し、次の 3
と同様に評価します。
3. その他の業務プロセスの評価
全社的な観点で評価することが適切と考えられる決算・財務報告プロセス以外の業務プロセスは、フロ
ーチャートや業務記述書などにより取引フローを把握・整理し、財務報告の信頼性に係るリスクを識別
した上で、当該リスクに対してコントロールが有効に機能しているかを、リスク・コントロール・マトリックス
やウォークスルー文書・運用テスト文書を作成し、評価します。
なお、上記のコントロールに IT が利用されている場合は、IT 全般統制の評価を実施するかどうかの検
討を行います。IT 全般統制とは、IT によるコントロールの反復性を担保する内部統制であり、IT 全般統
制が有効と評価されれば、IT によるコントロールの運用テストを省力化することが可能となります。IT 全
5
般統制の有効性を評価するためのコストと、運用テストを省力化できるメリットを比較考量して、IT 全般
統制を評価するかを決定します。
6
内部統制
第 2 回:内部統制の評価範囲の決定
2012.03.22
新日本有限責任監査法人 公認会計士 湯本純久
Q5. 財務報告の範囲について教えてください。
Answer
内部統制報告制度において評価・報告の対象となる「財務報告」とは、財務諸表及び財務諸表の信頼
性に重要な影響を及ぼす開示事項等に係る外部報告をいいます。具体的には<表 5-1>のものをい
いますが、必ずしも財務報告の全てが評価対象とならないことに留意が必要です。
表 5-1 財務報告の範囲
7
Q6. 評価対象となる内部統制の範囲について教えてください。
Answer
1. 全社的な内部統制の評価範囲
全社的な内部統制については、原則として、全ての事業拠点について全社的な観点での評価が必要
ですが、財務報告に対する影響の重要性が僅少な事業拠点を評価対象としないことが可能です。改
訂前の実施基準では僅少である事業拠点についての具体的な判断基準がありませんでしたが、改訂
実施基準では、例えば売上高で全体の 95%に入らないような連結子会社は僅少なものとして外すとい
った取扱いが考えられるとされ、全社的な内部統制の評価範囲の明確化が図られました。なお、財務
報告に対する影響の重要性が僅少である事業拠点の判断は、経営者によって、必要に応じて監査人
と協議して行われるものであり、特定の比率を機械的に使用すべきものでないことに留意する必要があ
ります。また、財務報告に対する影響の重要性が僅少である事業拠点の判断については、例えば、売
上高の一定比率といった基準を全ての連結子会社に適用するのではなく、各連結子会社の事業の内
容等に応じ、異なる基準を適用する方法も考えられることが示されました。
2. 決算・財務報告プロセスの評価範囲
決算・財務報告プロセスのうち、全社的な観点で評価することが適切と考えられるものの評価範囲は、
1 の全社的な内部統制の評価範囲と基本的に一致します。もし、両者に差異が生じている場合は、そ
の理由を記録しておく必要があります。それ以外の決算・財務報告プロセスの評価範囲は、次の 3(2)
の評価範囲と同様の考え方により決定します。
3. その他の業務プロセスの評価範囲
その他の業務プロセスは、事業目的に大きく関わる勘定科目と、個別に評価対象に追加すべき重要
性の大きいプロセスで、評価範囲の選定方法が異なります。
(1) 事業目的に大きく関わる勘定科目
a. 重要な事業拠点の選定
企業が複数の事業拠点を有する場合には、評価対象とする事業拠点を売上高等の重要性により決定
します。例えば、本社を含む各事業拠点の売上高等の金額の高いものから合算していき、連結ベース
の売上高等の一定割合に達するまでの事業拠点を評価対象とします。一定割合については、全社的
な内部統制の評価が良好であれば、連結ベースの売上高等の概ね 3 分の 2 程度とされています。これ
に関して、改訂実施基準において内部統制報告制度の過去の整備運用の実績により評価手続の簡
素化を図る観点より、以下の要件を充足した場合には、当該事業拠点をその事業年度の評価範囲と
しないことができるようになりました。
当該事業拠点が前年度に重要な事業拠点として評価範囲に入っていること
前年度の当該拠点に係る内部統制の評価結果が有効であること
当該拠点の内部統制の整備状況に重要な変更がないこと
重要な事業拠点の中でも、グループ内での中核会社でないことなど特に重要な事業拠点でないこ
とを確認できること
8
上記要件の検討により評価手続の簡素化が行われた結果、改訂実施基準で例示されている一定割
合である「連結ベースの売上高等の概ね 3 分の 2」という比率を相当程度下回ることもあり得ることが明
示されました。なお、改訂実施基準の解釈により、評価対象とされなかった重要な拠点は、翌事業年度
は評価範囲に含まれることになります。このため、一定の要件を充足した重要事業拠点でも 2 年に 1 度
は評価範囲に含めることに留意が必要です。
b. 評価対象とする業務プロセスの識別
選定された重要な事業拠点における、企業の事業目的に大きく関わる勘定科目に至る業務プロセス
は、原則として、全てを評価対象とする必要があります。一般的な事業会社の場合、原則として、売上、
売掛金及び棚卸資産と例示されていますが、重要な勘定科目は経営者が事業の特性などを踏まえて
慎重に検討すべきです。
また、当該重要な事業拠点が行う重要な事業又は業務との関連性が低く、財務報告に対する影響の
重要性も僅少である業務プロセスについては、それらを評価対象としないことができるとされています。
その判断基準について、例えば、売上を「企業の事業目的に大きく関わる勘定科目」としている場合に
おいて、売上に至る業務プロセスの金額を合計しても連結売上高の概ね 5%程度以下になる業務プロ
セスを、売上に至る業務プロセスを重要な事業又は業務との関連性が低く、財務報告に対する影響の
重要性も僅少なものとして評価の対象から外す取扱いが考えられるとされています。また、この概ね
5%の程度の取扱いについては、実質的に判断して行うもので機械的に適用すべきでないことが示され
ています。
(2)個別に評価対象に追加すべき重要性の大きいプロセス
重要な事業拠点か否かにかかわらず、財務報告への影響を勘案して重要性の大きい業務プロセスに
ついては、個別に評価対象に追加します。実施基準によれば、以下のような視点で選定します。
リスクが大きい取引を行っている事業又は業務に係る業務プロセス
見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス
非定型・不規則な取引など虚偽記載が発生するリスクが高いものとして、特に留意すべき業務プロ
セス
なお、追加的に評価対象に含める場合、財務報告への影響を勘案して、事業又は業務の全体でなく、
特定の取引又は事象(あるいは、その中の特定の主要な業務プロセス)のみを評価対象に含めれば足
りる場合には、その部分だけを評価対象に含めることでよいとされています。
Q7. 評価範囲の決定における留意点について教えてください。
Answer
1. 評価範囲の決定時期
評価範囲は、前期の実績値や対象年度の予算値をベースに、評価対象年度の早い段階で決定して
おくことが必要です。さらに、期中における事業内容や組織の変更などを含め、期末日近くに評価範囲
が適切であるかを再検討することに留意が必要です。
9
また、全社的な内部統制の有効性の評価結果が業務プロセスの評価範囲に影響するので、全社的な
内部統制の評価は早い段階に実施することが望まれます。
2. 監査人との協議
監査人による評価範囲の妥当性の検討の結果、経営者の決定した評価範囲が適切でないと判断され
た場合、時間的な制約により経営者の評価が困難となる場合が想定されるため、経営者は評価の範
囲を決定した後に監査人と協議を行っておくことが適切です。
Q8.評価範囲の決定で記録すべき内容及び記録上の留意点について教えてください。
Answer
経営者により決定された内部統制の評価範囲の妥当性は監査人の監査対象となるため、評価範囲を
決定した過程は適切に記録しておく必要があります。
記録しておく評価範囲の決定資料としては、例えば以下のようなものが考えられます。
(1) 事業拠点の一覧表
(2) 全社的な内部統制の評価範囲の決定のための判定シート(僅少な事業拠点の判定シート)
(3) 重要な事業拠点の決定のための判定シート
(4) 重要な事業拠点における企業の事業目的に関わる勘定科目及び財務報告に重要な影響を及ぼ
す業務プロセスの決定のための判定シート
上記以外にも、重要性の判定のために利用した指標や比率の考え方、全社的な内部統制の評価結
果を踏まえた評価範囲の調整、監査人との協議なども記録しておくことが必要と考えられます。
10
内部統制
第 3 回:全社的な内部統制
2012.03.29
新日本有限責任監査法人 公認会計士 湯本純久
Q9. 全社的な内部統制の評価手順について教えてください。
Answer
1. チェックリストの作成
内部統制の目的が達成されるためには、内部統制の六つの基本的要素が全て適切に整備・運用され
ることが必要となります。そこで、六つの基本的要素ごとに評価項目を列記したチェックリストを作成し、
評価項目に対する回答から、有効性を評価することが効果的・効率的です(<図 9-1>参照)。(六つ
の基本的要素については、第 1 回:Q2「全社的な内部統制とは何ですか。また、業務プロセスに係る内
部統制とは何ですか。」参照)
図 9-1 チェックリストの例
2. 評価項目の決定
実施基準には、全社的な内部統制について基本的要素ごとに 42 の評価項目が例示されており、さら
に全社的な内部統制の形態は、企業の置かれた環境や事業の特性などによってさまざまです。企業ご
11
とに適した内部統制を整備・運用することが求められるとされ、必ずしも当該例によらない場合があるこ
と、また当該 42 の評価項目による場合でも、適宜、加除修正することとされています。
よって、実施基準の 42 項目をベースに、企業ごとに適した評価項目を決定します。ただし、監査人は実
施基準の 42 項目の例に照らして、企業の状況に即した適切な内容になっているかを検討することから、
評価項目の削除には慎重に対応すべきです。また、実施基準の評価項目の例は抽象的な表現が多
いため、評価対象となる拠点において同一の評価が実施できるように、評価項目を具体的な質問に変
更することが有効です。
3. 評価項目に関する改訂実施基準の留意点
基本的要素ごとに全社的な内部統制の整備状況及び運用状況の評価を行うこと、その際の参考とし
て 42 項目が例示されていること自体に変更はありません。ただし、企業において次の要件を充足した
場合には、その旨を記録することで、前年度の運用状況の評価結果を継続して利用することが可能と
なり、評価手続の簡素化が図られました。
(1) 財務報告の信頼性に特に重要な影響を及ぼす項目でない
(2) 前年度の評価結果は有効
(3) 整備状況について前年度から重要な変更がない項目
また、前年度の評価結果を利用するに当たっては、個々の子会社や事業部等といった評価単位ごとに
判断することができます。
4. 統制の状況の記載
チェックリストの評価項目に回答することで、企業の統制の状況を文書化していきます。特に、全社的
な内部統制は経営者が自ら回答することが重要ですが、現実的な方法として、評価項目に応じて関係
する部署の担当者が回答を行い、それを事務局などが取りまとめ、全体的な整合性などの検討を行っ
た後、経営者がそれを確かめる方法などが考えられます。
また、統制の状況は第三者が理解できるように、5W1H を考慮しながら記載し、さらに評価業務が効果
的・効率的に行えるように、チェックリストには具体的な資料名及び記載箇所(条文番号など)、頻度、
主管部署・関係部署を記載することが望まれます。
Q10. 全社的な内部統制の整備状況・運用状況の評価方法について教えてください。
Answer
1. 整備状況・運用状況の評価
内部統制の評価は整備状況と運用状況の評価に区分されますが、全社的な内部統制の評価は業務
プロセスに係る内部統制の評価のように、多くのサンプル件数をテストすることは想定されていないため、
整備状況と運用状況の評価を同時に実施することが効率的です。
整備状況の評価は、各部署の担当者・関係部署を対象に、質問や記録の閲覧などを行い、チェックリ
ストの全ての評価項目に対する統制の状況が適切に記述されているか、すなわち内部統制が適切に
設計され、実際に業務に適用されているかを検証します。また、運用状況の評価も同様の手続きを実
12
施することにより、チェックリストの全ての評価項目について、統制の状況どおりに運用されているかを
確かめます。
2. 評価時期
実務指針では、経営者及び監査人は、ともに、まず全社的な内部統制を評価し、その評価結果を踏ま
えて、全社的な内部統制では重要な虚偽記載を防止・発見できないと判断した業務プロセスに係る内
部統制を評価する、いわゆるトップダウン型のリスク・アプローチに基づく内部統制の評価又は監査を
それぞれ実施することが求められています。経営者は、全社的な内部統制の評価結果、(特に整備状
況の評価結果)は、業務プロセスの評価の範囲に影響することから、また、全社的な内部統制に不備
が見受けられた場合に、その是正に時間を要することもあることから、会計年度の早い時期に評価を
実施する必要があり、その実施時期について監査人と協議をしておく必要があります。ただし、実務上
の対応として、全社的な統制の内部統制について大きな変更が行われてなく、前期の全社的な内部統
制の評価結果が有効である場合には、年度末に近い時点において評価を実施すれば、期末のロール
フォワードの手続きを質問等の簡略化された手続きで対応することができます。 (トップダウン型のリス
ク・アプローチに基づく内部統制の評価又は監査については、第 1 回:Q3.「トップダウン型のリスク・ア
プローチとは何ですか。」参照)
3. その他
実施基準では全社的な内部統制については、業務プロセスに係る内部統制と異なり、サンプリングに
よる評価が明示されていないことから、経営者が全社的な内部統制の有効性の判断を行うことが可能
であれば、サンプリングは必要ないと考えられます。
また、内部統制の評価基準は期末日であるため、評価時点から期末日まで内部統制が有効に整備・
運用されていることを確かめる必要があります。全社的な内部統制に変更が生じた時点で、経営者が
適時に把握できる有効なモニタリング手続を整備・運用していれば、モニタリングを通じて入手した内部
統制の変更情報に基づき、変更のあった内部統制について追加的評価を実施すればよいため、効率
的に評価を行うためにも、有効なモニタリング手続を整備・運用しておくことが推奨されます。
Q11. 子会社における全社的な内部統制の文書化・評価のポイントについて教えてください。
Answer
1. チェックリストの見直しの検討
全社的な内部統制は企業集団全体を対象とするため、子会社も親会社と同じ評価項目でチェックリス
トを作成し、評価する必要があります。
全社的な内部統制は、グループ全体を通じて適切な管理体制が整備されていることが有益です。全社
的な内部統制の評価項目の中には、グループで統一されている項目や、グループの管理方針に従っ
て各社の置かれた事情などに応じて柔軟な対応がされている項目、完全に子会社独自の管理体制と
なっている項目があることも考えられます。このような場合は、グループの管理体制に応じて、親会社用
のチェックリストを子会社用に改めることが考えられます。
例えば、親会社でグループ全体の全社的な内部統制を構築している場合には、親会社での全社的な
13
内部統制の評価作業に当たっては、親会社の管理体制のみならず、グループ全体としてどのような管
理をしているかを取りまとめ、文書化することになります。そして、子会社等では、グループ方針に従っ
て運用されているかについて評価を行います。一方、グループ全体の全社的な内部統制と異なること
により、子会社や事業部等を対象とする内部統制を別途評価対象とする場合には、その異なる部分に
ついて、子会社等では別途、整備も含めて評価することになると考えられます。
具体的には、「適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した
行動が発見された場合には、適切に是正が行われるようになっているか」という評価項目に対して、「グ
ループ倫理規程・行動指針を定めており、当該事項に関する研修を本社で定期的に受けることが義務
付けられている」というグループ統一の管理体制が存在する場合、子会社用のチェックリストでは当該
グループ統一の管理体制が実際に運用されているかを評価すればよいため、「グループ倫理規程・行
動指針に関する研修に全役員、従業員を参加させているか」といった質問に見直すことが考えられま
す。
2. 子会社の全社的な内部統制の評価体制について
全社的な内部統制の評価は、通常、親会社の内部監査人などが原則として企業集団の全ての事業
拠点について評価すると考えられますが、全ての事業拠点を親会社の内部監査人が評価することが
困難な場合も考えられます。
そのような場合には、子会社に係る全社的な内部統制は、まず子会社の内部監査人などが一次的な
評価を行い、その結果を親会社の内部監査人などが評価し、必要に応じて追加手続を実施する方法
が考えられます。
なお、全社的な内部統制はローテーションによる評価は認められず、原則として毎期全ての事業拠点
について評価が必要であるとされていましたが、改訂実施基準により以下のような取扱いが定められま
した。すなわち、全社的な内部統制の評価項目(財務報告の信頼性に特に重要な影響を及ぼす評価
項目を除く)のうち、前年度の評価結果が有効であり、かつ、前年度の整備状況に重要な変化がない
項目については、前年度の運用状況の評価結果を継続して利用することが容認されました。また、全
社的な内部統制の評価を個々の子会社や事業部等の単位で実施している場合は、評価単位ごとに
財務報告の信頼性に影響を与える重要性を検討し、前年度の運用状況の評価結果を利用する評価
項目を決定することができるとされています。
Q12. 全社的な内部統制の開示すべき重要な不備の判定方法について教えてください。
Answer
例えば、次のような手順で検討することが考えられます。
1. 評価項目ごとに不備を把握
チェックリストの各評価項目について、整備状況・運用状況の評価を行った結果、識別された不備を把
握します。不備が存在する場合は、それが連結財務諸表における重要な虚偽記載の発生可能性に与
える影響を慎重に検討します。
14
2. 全事業拠点の不備を基本的要素ごとに集約
1 で把握した全事業拠点の不備を内部統制の六つの基本的要素ごとに集約し、不備の一覧表を作成
し、基本的要素ごとに有効性を評価します。
3. 有効性の判断(開示すべき重要な不備の判定)
基本的要素ごとの有効性の評価結果を取りまとめて、全社的な内部統制の有効性の総合的な評価を
実施します。全社的な内部統制が連結財務諸表における虚偽記載の発生する可能性を低減するため
に、次の両方の要件を満たしているかを検討します。
(1) 全社的な内部統制が、一般に公正妥当と認められる内部統制の枠組みに準拠して整備及び運用
されていること
(2) 全社的な内部統制が、業務プロセスに係る内部統制の有効な整備及び運用を支援し、企業にお
ける内部統制全般を適切に構成している状況にあること
なお、実務指針は「全社的な内部統制が有効であるということは、全社的な内部統制に開示すべき重
要な不備がないということであり、たとえ、全社的な内部統制に一部不備があった場合もその不備が財
務報告に重要な虚偽記載をもたらす可能性が高くない場合は、全社的な内部統制は有効と判断する
ことができる」としており、全社的な内部統制は重要な欠陥がないかどうかという視点で検討します。
また、実施基準には開示すべき重要な不備の例が六つ挙げられており、これらの事項に該当する場合
は開示すべき重要な不備となる可能性が高いといえるため、識別された不備がこの例示に該当しない
かどうかも、有効性の検討対象とする必要があります。
Q13. 全社的な内部統制の有効性の評価結果が与える影響について教えてください。
Answer
全社的な内部統制の有効性の評価結果は、<表 13-1>のとおり、業務プロセスに係る内部統制の評
価範囲や運用評価手続に影響を与えます。
このように全社的な内部統制が有効でないと判断されると、業務プロセスに係る内部統制の評価範囲
の拡大や、サンプル数の増加が必要となり、場合によっては内部統制の評価が間に合わない恐れもあ
るため、全社的な内部統制は必ず有効となるように整備・運用しておく必要があると考えられます。
表 13-1 全社的な内部統制の有効性の評価結果が与える影響
15
内部統制
第 4 回:全社的観点で評価する決算・財務報告プロセス及びスプレッドシートの管理
2012.04.05
新日本有限責任監査法人 公認会計士 七海健太郎
Q14. 全社的観点で評価する決算・財務報告プロセスの領域について教えてください。
Answer
全社的観点で評価する決算・財務報告プロセスは、財務報告の信頼性を確保するために、企業グル
ープ全体の体制として整備する仕組みです。実施基準では次のような手続きが例として挙げられており、
例えば<図 14-1>の網掛けをした部分が考えられます。
総勘定元帳から財務諸表を作成する手続き
連結修正、報告書の結合及び組替など連結財務諸表作成のための仕訳とその内容を記録する手
続き
財務諸表に関連する開示事項を記載するための手続き
図 14-1 全社的観点で評価する決算・財務報告プロセスの例
決算・財務報告プロセスは、連結会計方針の決定や会計上の見積り(経営者の判断)など、経営者の
方針や考え方のように、全社的な内部統制と性格的に近い部分があり、また各事業拠点で管理が共
通していることが多いため、効率性の観点から全社的な内部統制に準じて評価することにしたものと思
われます。ただし、グループの会計方針が確立されていない場合や、財務諸表への影響を勘案して重
要性の大きい業務プロセスは、全社的観点で評価するのではなく、個別の業務プロセスとして評価する
16
必要があります。
Q15. 全社的観点で評価する決算・財務報告プロセスの評価手順について教えてください。
Answer
評価手順は、基本的に全社的な内部統制と同様です。
1. チェックリストの作成
例えば、<図 14-1>(「Q14.全社的観点で評価する決算・財務報告プロセスの領域について教えてくだ
さい。」参照)の業務区分ごとに評価項目を列記したチェックリストを作成し、項目に対する回答から有
効性を評価します(<図 15-1>参照)。
図 15-1 チェックリストの例
17
2. 評価項目の決定
評価項目は、企業グループとして整備すべきプロセスや仕組みについて記載します。具体的には、日
本公認会計士協会監査委員会研究報告第 16 号「統制リスクの評価手法」付録 5 に記載されている統
制手続や、監査法人のチェックリストの例などを参考に、評価項目を決定していきます。
3. 統制の状況の記載
チェックリストの評価項目に回答することにより、企業の統制の状況を文書化していきます。文書化の
ポイントは、全社的な内部統制のチェックリスト(第 3 回「Q9.全社的な内部統制の評価手順について教
えてください。」参照)と同様です。
なお、決算・財務報告プロセスは財務報告の信頼性に重要な影響を与えるプロセスであるにもかかわ
らず、専門的で複雑な業務が多いことから、内部統制の可視化が難しい部分もありますが、例えば「決
算業務点検表」などを参考に(「Q16.決算業務点検表の有効性について教えてください。」参照)、可視
化を行う必要があります。
Q16. 決算業務点検表の有効性について教えてください。
Answer
決算・財務報告プロセスに係る内部統制は、専門的で複雑な業務が多く、業務のマニュアル化が必要
です。また、開示までの時間的制約からコントロールの運用の証跡を残すのが難しいという特徴があり
ます。そこで、<図 16-1>のような決算業務点検表の利用が有効と考えられます。この点検表により、
担当者が実施すべき業務が明確になり、担当者が決算業務を実施しながら実施記録を残し、担当者
以外の者が担当者の業務の点検や記録を行うことで、コントロールの証跡を残すことができ、運用評価
手続を効率的・効果的に行うことが可能となります。
18
図 16-1 決算業務点検表
※当該点検表は各点検項目がどのアサーションに対応しているかを明確にしています。これによって、
点検表が財務報告リスクを十分に低減しているかどうかを評価することが可能となります。
また、<図 15-1>(「Q15.全社的観点で評価する決算・財務報告プロセスの評価手順について教えてく
ださい。」参照)のチェックリストにおける評価項目について、「決算業務点検表が整備され、適用されて
いる」ことをもって回答とすることが可能になります。
19
Q17. 全社的観点で評価する決算・財務報告プロセスの整備状況・運用状況の評価方法について教
えてください。
Answer
全社的な内部統制と同様、担当者に対する質問や記録の閲覧などを行い、チェックリストの全ての評
価項目に対して内部統制が整備・運用されているかを確かめます。このとき、評価項目は、親会社と子
会社とで内容が異なる場合もあるので、適宜加除修正が必要です。
反復継続される業務プロセスと異なり、決算・財務報告プロセスにおける内部統制の実施時期、回数
は限られています。そのため、サンプリングによる検証がなじまない場合があります。期末日時点におい
て内部統制が業務に適用されていることの検証が目的であり、目的を達成できるよう評価の実施時期、
手続きについては創意工夫が必要です。
Q18. 決算・財務報告プロセスの評価時期について教えてください。
Answer
実施基準では、「期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実
施されることを前提に、前年度の運用状況をベースに、早期に実施されることが効率的・効果的である」
とされています。実際、期末決算業務の終了後、内部統制監査報告書提出日までの短期間に経営者
と監査人の評価を終了することは容易ではなく、また不備の是正を行うことができません。
前年度の運用状況の評価を利用するとは、具体的には、平成 X1 年 3 月期の会社であれば、平成 X1
年度の早い時期に、前期末である平成 X0 年 3 月期末の内部統制の運用状況の評価を行うことになり
ます。そこで識別された不備については是正し、是正後の運用状況については、平成 X1 年 3 月期の期
末決算(四半期決算で評価が実施できるものについては四半期決算)に再評価を実施することになり
ます。この場合、不備の有無にかかわらず、平成 X1 年 3 月末には内部統制に重要な変更がなかった
ことの確認が必要です。なお、四半期決算を評価対象とできるプロセスは年度と同じプロセスだけであ
ることに留意が必要です。
Q19. スプレッドシートを利用する上でのリスク及びコントロールの必要性について教えてください。
Answer
スプレッドシートとは表計算ソフトなどで作成した表や数式を含むシートのことをいい、企業の実務にお
いて必要不可欠なものになっていますが、計算式や使用するマクロの誤りなどにより処理結果が正しく
ないリスクや、シートを各自各様に保管しており、過去の処理結果に関する記録が残っていないといっ
たリスクがあります。よって、スプレッドシートを財務報告目的に利用している場合には、その複雑性に
応じて特別なコントロールが必要となります。
ただし、スプレッドシートで計算した結果の妥当性について、照合などによって別途、検証を実施してい
る場合には特別なコントロールは必要なく、内部統制評価においては当該検証業務をコントロールとし
て評価すればよいことになります。
Q20. スプレッドシートの複雑性によって、例えば、どのような特別なコントロールが必要となりますか。
20
Answer
スプレッドシートの複雑性によって、次のようなコントロールが必要と考えられます。マクロやピボットテー
ブルを利用しているものや、容易に計算できない計算式や複雑な参照関係を持っているものは複雑性
が高いといえるため、(1)~(7)全てのコントロールが求められます。一方、複雑性の低いものは、(6)や
(7)の必要性はそれほど高くないと思われます。スプレッドシートの複雑性や、財務報告への重要性を
勘案して、最低限必要と考えられるコントロールを整備します。
21
内部統制
第 5 回:その他の業務プロセス
2012.04.20
新日本有限責任監査法人 公認会計士 七海健太郎
Q21. 業務プロセスの理解・整理について教えてください。
Answer
重要な事業拠点における、企業の事業目的に大きく関わる勘定科目に至る業務プロセス、財務報告
への影響を勘案して重要性の大きい業務プロセスを分析し、財務報告の信頼性に重要な影響を及ぼ
す統制上の要点(統制上の要点)を選定し、その統制上の要点について内部統制が機能しているか評
価するのが、業務プロセスに係る内部統制の評価です。
評価すべき業務プロセスを理解・整理するためには、まず取引の開始から仕訳の作成までの業務の流
れを理解・整理する必要があります。そのためには、評価対象とした勘定科目に計上される仕訳パター
ンを確認し、評価の対象となる業務プロセスを特定する必要があります(<図 21-1>参照)。
図 21-1 業務プロセスの識別
評価すべき業務プロセスを特定したら、仕訳から上流にさかのぼり、仕訳を生成する業務の流れ(取引
フロー)を理解し、担当部署や業務の行われるタイミングによってサブ・プロセスを識別します。そして、
理解した業務の流れを、サブ・プロセスごとに業務記述書・フローチャートを作成して整理します(<図
21-2>参照)。サブ・プロセスごとに財務報告リスク(財務報告に重要な虚偽記載が発生するリスク)と、
それを低減するコントロールを識別した RCM(リスク・コントロール・マトリックス)を作成することになりま
す。
図 21-2 サブ・プロセスの識別
22
Q22. 財務報告リスクの識別について教えてください。
Answer
1. 財務報告リスクの識別
財務報告リスクを的確に識別するためには、仕訳の生成に必要な情報(会計情報)を分析し、当該情
報が業務プロセスで、どのように転換されて仕訳につながっているかを確かめることが重要です。例え
ば、売上仕訳を生成するための会計情報として「品名・単価・数量・売上日付・勘定科目」が必要であ
った場合、これらの会計情報が業務プロセスで、どのように捕捉・入力・転換・転送・計算・起票される
か(情報の転換点)に着目します。リスクは一般的に、この情報の転換点で発生します。
また、情報の転換点で発生するリスクは「情報が架空であるリスク(正当性)」「正確でないリスク(正確
性)」「網羅的でないリスク(網羅性)」「維持継続されていないリスク(維持継続性)」といった観点(情報
処理目的の観点)で考えることが有効です。ただし、これは、あくまでも識別方法の例であり、このような
観点から捉えられる、全てのリスクを識別する必要があるわけではなく、識別するのは財務報告に「重
要な」虚偽記載が発生するリスクです(<表 22-1>参照)。なお、財務報告が信頼できるためには、財
務報告が適正であるための要件(アサーション)を満たす必要があることから、リスクは RCM で評価対
象とした勘定科目のアサーションに関連付けることが必要です。
表 22-1 情報の転換点とリスクの識別の例
情報の転換点 具体例 財務報告リスクの例
会計事象の捕捉 会計事象の対象となる事象(取引)を捕
捉する時点
出荷 • 架空の出荷情報を捕捉する
• 誤った出荷情報を捕捉する
• 出荷情報の捕捉を漏らす
記録・入力 取引が企業の帳票に記録される時点
や、アプリケーションに入力される時点
販売管理シス
テムへの入力
• 架空の出荷情報を入力する
• 出荷情報の入力を誤る
• 誤った出荷情報を入力する
計算・転送 会計仕訳につながる情報が帳票やアプ
リケーション上で計算、転送される時点
売上計上仕訳
の作成
• 月次出荷一覧表の集計を漏らす、誤る
• 会計システムへの転送を漏らす、誤る
起票 総勘定元帳に計上される時点 仕訳の計上 • 架空の売上仕訳を計上する
• 売上仕訳を誤る
23
2. 財務報告リスクを識別する上で誤りやすい例
財務報告リスクを識別する上で、特に誤りやすい典型的な例として、<表 22-2>のようなものがありま
す。
表 22-2 財務報告リスクを識別する上で誤りやすい例
誤ったケース 具体例 誤っている理由
財務報告リスクではないリスク
を識別しているケース
• 納品遅延を起こす
• 製品不良が発生する
• 在庫の欠品を起こす
• 違法な契約を締結する
内部統制報告制度は財務報告リスクを対象とするた
め、「業務の有効性及び効率性」や「法令等の遵守」に
関するリスクは直接、関係ない
コントロールの運用上の不備を
リスクと識別しているケース
• 現品と出荷指示書の照合を誤る
• 承認を漏らす
照合や承認というコントロールの実施を誤ったり、漏ら
したりするのはコントロールの運用上の不備
リスクが複数のリスクから生じる
結果となっているケース
• 売上が計上されない 売上が計上されないのは複数の要因が重なり合って
起きる結果であり、この前に出荷実績入力漏れや、仕
訳の入力漏れといったリスク要因があるはずである
Q23. コントロールの識別について教えてください。
Answer
1. コントロールの効果的な識別
リスクを識別したら、当該リスクを低減するコントロールを識別する必要があります。<表 23-1>にある
ようなリスクの類型に対応する典型的なコントロールに留意しながらコントロールを識別すると、コントロ
ールと単なる手続きを混同してしまうことを避けることができます。
表 23-1 リスクの類型と典型的なコントロールの例
リスクの類型 典型的なコントロール
• 架空の出荷情報を記録する 情報の承認・記録の担当者を分ける
ほかの情報との照合によって、記録の結果を第三者が検証する
アクセス権限管理により、職務分掌をシステム上、強制する
• 情報の記録を漏らす 予定と記録の結果を比較する
• 情報の記録作業を誤る ほかの情報との照合によって、記録の結果を第三者が検証する
入力画面において許容範囲外のデータを拒否する
マスターの情報以外は入力を受け付けない
• 計算(集計作業や金額計算など)を誤る アプリケーションにより自動計算する
第三者が計算結果を検算する
24
• 帳票間の転記やシステム間のインターフェ
ースを誤る
• 仕訳が正しく計上されない
アプリケーションにより自動転記する
転記前情報と転記後情報を照合する
• そのほか広いリスクをカバーする 得意先などとの残高照合・現物実査・棚卸
分析(月次比較分析・前年同期比較分析・予算実績分析・部門別比較分析な
ど)
また、RCM の作成においては、識別したコントロールが「手作業による照合」のみであったり、防止的な
コントロールばかりだったりで、発見的なコントロールがほとんど識別されないこととならないように留意
する必要があります。
漏れやすいコントロールとして、自動化されたコントロール(自動計算・自動転記・エディットチェックなど)、
得意先などとの残高照合・現物実査・棚卸、分析(月次比較分析・前年同期比較分析・予算実績分
析・部門別比較分析など)があるので、これらの識別を漏らしていないか確かめておくことが望まれま
す。
2. キーコントロールの選定
一つのリスクに対して複数のコントロールが識別された場合、その中からキーコントロールを選定する必
要があります。実施基準では、「統制上の要点」という用語が使われていますが、リスクを最も効果的に
低減するコントロール、すなわち財務報告の信頼性に重要な影響を及ぼす内部統制(いわゆるキーコ
ントロール)を意味しているものと考えられます。
キーコントロールを選定するときには、次の点に留意する必要があります。
(1)識別されたリスクに対し、少なくともキーコントロールが一つ以上、識別されていること。なお、不備
があった場合に備え、一つのリスクに対し、複数のキーコントロールの識別が望まれる。
(2)防止的コントロールと発見的コントロールがバランスよく組み合わされていること。一般的に、前者
のほうがリスクに対する感応度は高く、後者のほうが多くのリスクをカバーする。
(3)運用テストの容易さを検討すること。実務上の負担を軽減するために、なるべくテスト手法が容易で、
必要なサンプル数が少ないほうが望ましい。
(4)リスクに対する感応度が高いこと。リスクに直接的に対応しているコントロール(例:異常レビューよ
りも照合)をキーコントロールに選定することが望まれる。
なお、キーコントロールの選定に際しては、取引フロー全体として財務報告リスクが低減しているかとい
った総合的な観点での検討も重要です。
そのほか、評価作業の負担を軽減するために、複数のリスクに共通したキーコントロールを選定するこ
とが効率的である点や、会社の識別したキーコントロールと監査人が考えるキーコントロールに相違が
ないかどうかを確認しておくことが望ましい点などがポイントとして挙げられます。
Q24. 整備状況の評価方法について教えてください。
25
Answer
1. ウォークスルーの実施
ウォークスルーとは、取引の開始から取引記録が財務諸表に計上されるまでの流れを追跡する手続き
です。実施基準では、経営者によるウォークスルーの実施は必ずしも求められていませんが、次のよう
な目的を達成するにはウォークスルーを行うことが有効です。
(1)取引フローの理解・整理の検証
(2)職務分掌の状況の検証
(3)コントロールの整備状況の評価
2. ウォークスルーを行う上でのポイント
ウォークスルーは、業務記述書などで理解・整理されている業務プロセスに沿って、担当者への質問や
関連文書の閲覧により、前記(1)~(3)の点を確かめていけばよいのですが、難しいのは記述に不足
がないか、特に必要なコントロールの識別が不足していないかということです。
そのためにも、ウォークスルーを実施するときは、次の点に留意することがポイントです。
• 5W1H の観点から取引フローが記述されているか。
• 必要な関連資料は具体的に記述されているか。
• 仕訳の生成に必要な情報が検討され、その転換点の記述が抜けていないか。また、情報が途中で
途切れていないか。
• 情報処理目的の観点で考えられるリスクを低減するコントロールの記述は不足していないか。
• 例外があった場合はどのように対処するか(照合の結果が不一致の場合、受注先がマスターにな
い得意先の場合、承認者が不在の場合)。ただし、例外を全て記述することが必要というわけでは
なく、あくまでも重要な業務が漏れていないかを確かめる。
業務記述書などの記述の内容が曖昧・不足している状態で、ウォークスルーを実施すると、特に、評価
する担当者が何を質問すればよいのか、何の資料を閲覧したらよいのか分からないといった事態が生
じます。プロセスの変更等により関連文書の記述を変更した場合には、それを認識するためにも早い段
階で一度、ウォークスルーを実施してみることが重要です。
Q25. 運用状況の評価方法について教えてください。
Answer
1. 運用状況の評価
運用状況の評価とは、経営者が構築した内部統制が、デザインどおりに継続的に実施されているかど
うかを確かめる手続きであり、一般的にはコントロールの実施者への質問、観察、関連文書の閲覧、再
実施といった手続きを組み合わせて実施します。通常、質問のみでは内部統制の運用の有効性を裏
付けるには十分な証拠を入手できないため、関連文書の閲覧や再実施などと組み合わせて実施する
ことが必要です。なお、閲覧と再実施のどちらを選択するかは、コントロールのデザインに応じて、十分
な心証が得られるかどうかという観点から検討すべきと思われます。例えば、「全てのサンプルを閲覧し、
上長の承認印があることを確かめた上で、そのうち数件は元資料と数値が一致していることを確かめて
みる」など、状況に応じて工夫することが有効です。
26
なお、評価手続を決定する際に検討すべき事項として、実施基準や実務指針では次の項目を挙げて
いるので、運用評価手続を実施する上では十分、留意が必要です。
• 内部統制の重要性・複雑さ、内部統制の運用に際してなされる判断の重要性
• 内部統制の実施者の能力
• 内部統制の実施頻度
• 前年度の検討結果や、その後の変更の状況など
2. サンプリングについて
運用状況の評価は、母集団から一定数のサンプルを抽出してテストすることになりますが、抽出に当た
り、恣意(しい)性が介入しないことが重要です。なお、恣意性が排除される限りは、統計的サンプリング
だけでなく、非統計的サンプリング(例えば系統的抽出法、任意抽出法など)の手法も認められると考
えられます。
また、サンプル数は実施基準 III に、「例えば、日常反復継続する取引について、統計上の正規分布を
前提とすると、90%の信頼性を得るには、評価対象となる統制上の要点ごとに少なくとも 25 件のサンプ
ルが必要になる」との記述があり、参考になりますが、日常反復的な取引以外については記述がない
ため、週次、月次、四半期、年次などの頻度に従い、経営者が適切なサンプル数を決定する必要があ
ります。ただし通常、監査人が具体的なサンプリング基準を持っていると考えられることから、監査人と
サンプリング方法について協議しておくことが実務的です。
3. 運用評価を実施する時期
内部統制の評価時点は期末日であるため、期末日時点で内部統制が有効に運用されていることを確
かめられるように、事業拠点別・業務プロセス別に評価実施時期を決定し、評価スケジュールを作成す
る必要があります。
4. 運用評価のローテーション
重要な事業拠点における事業目的に大きく関わる勘定科目に至る業務プロセスは、原則として全てが
評価対象とされますが、今回の実施基準の改訂で、一定割合については、次の要件を充足した場合に
は、当該事業拠点を評価対象としないことができるとされました(改訂実施基準 II.2. (2)①)。
• 前年度の当該拠点に係る内部統制の評価結果が有効であること
• 当該拠点の内部統制の整備状況に重要な変更がないこと
• 重要な事業拠点の中でもグループ内の中核会社となるような特に重要な事業拠点には該当しな
いこと
なお、ローテーションをする拠点については、少なくとも 2 年に 1 回は運用評価の対象とすることが必要
であるとされています(実務指針 96 項)。
また、統制上の要点として識別された内部統制は、原則として毎期評価の対象となりますが、全社的
な内部統制の評価結果が有効であれば、特に重要な項目を除き、前年度の評価結果が有効であり、
かつ、前年度の整備状況と重要な変更がないものについて、整備評価・運用評価について、前年度の
評価結果を継続して利用することができる、と今回の改訂で明確化されました(改訂実施基準 II.3.(3)
27
③及び④ロ)。よって、特定の業務プロセスの評価について一定の複数会計期間ごとに評価対象とす
ることも考えられます。
28
内部統制
第 6 回:IT に係る業務処理統制及び IT に係る全般統制
2012.04.27
新日本有限責任監査法人 公認会計士 七海健太郎
Q26. IT に係る業務処理統制及び IT に係る全般統制と、その関係について
Answer
IT に係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、
記録されることを確保するため業務プロセスに組み込まれた ITに係る内部統制です。また、ITに係る全
般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、
複数の業務処理統制に関係する方針と手続きをいいます。
IT に係る業務処理統制は一貫した処理を反復継続する性質を有しているため、その整備状況が有効
な場合、IT に係る全般統制が有効であることを前提に、IT に係る業務処理統制の運用状況の評価作
業を最小限のサンプル件数に減らすことが可能です。
Q27. IT に係る業務処理統制の識別における留意点について
Answer
留意点は第 5 回:その他の業務プロセスの Q&A とほぼ同様ですが、次の点について識別が漏れやす
いので留意が必要です。
1. リポートの自動作成機能
手作業の統制に利用される重要なリポート(売掛金の滞留債権一覧など)がシステムにより自動的に
作成される場合、当該リポートが信頼できることが前提であるため、当該自動作成機能は IT に係る業
務処理統制として識別する必要があります。
2. 自動化された会計手続
自動計算(入力された数値を基に、プログラム化された計算式により自動計算を行う機能)や自動仕
訳(入力された数値や情報を基に、プログラムにより自動で仕訳を起票し、総勘定元帳へ記録する機
能)については、IT に係る業務処理統制としての識別が漏れやすいので留意が必要です。
Q28. IT に係る業務処理統制の評価方法について
Answer
IT に係る業務処理統制が自動化されていたとしても、例えばソースコードやプログラム仕様書を読む、
導入時のテスト結果を査閲する、ダミーデータを流してみるといった方法により評価することが必ずしも
必要というわけではありません。財務報告に係る内部統制の有効性評価では、統制の有効性は<表
28-1>のように本番環境を利用した検証手続で評価することも可能です。
また、IT に係る業務処理統制に関するテストは、IT に係る全般統制の評価が有効であれば、一貫した
処理を反復継続する性質を有しているため、多くのサンプルをテストする必要はありません。
29
表 28-1 本番環境を利用した検証手続
ITに係る業務処理統
制の例
IT に係る業務処理統制の概要 評価方法の例
自動転記(インターフ
ェース)
あるシステムから他のシステムへのデータ転送時に、
必要な全てのデータが正確に転送されることを保証
する統制
転送元システムと転送先システムから、それぞ
れ帳票を出力して件数・金額などを照合する
アクセス制限 重要な機能、データへの不正なアクセスを防止する
統制
実際に権限設定されていないメニューを使用で
きないかコンピューターの画面で確かめる
自動計算 計算が正確に実施されていることを保証する統制。
自動計算については、自動化された計算自体が統制
となる
プログラムの計算結果を実際に手計算などを行
い、自動計算の正確性を検証する
バリデーションチェッ
ク
入力、処理もしくは出力が不適切になるリスクを、さま
ざまな確認を行うことにより制限する統制
コンピューターの画面で販売枠を超える受注を入
力し、リジェクトされることを確かめる
エディットチェック 入力、処理もしくは出力が不適切になるリスクを項目
の属性で制限する統制
コンピューターの画面で入力できない項目を実際
に入力し、リジェクトされることを確かめる
Q29. IT に係る業務処理統制の評価におけるテスト環境の利用について
Answer
IT に係る業務処理統制は本番環境を利用して済む場合が多いですが、テスト環境が本番環境と同質
であることを確認できる場合には、テスト環境で評価を行うことも可能と考えられます。
特に、システム部門の方はテスト環境の利用を前提に統制評価を検討する傾向がありますが、得られ
る心証の程度及び手続きの効率性を考慮し、まずは本番環境のデータでどのように統制評価を行うか
を先に検討すべきです。
Q30. IT に係る業務処理統制における過年度の結果の利用について
Answer
IT に係る業務処理統制が一度、有効に機能するように整備されると、変更やエラーが発生しない限り
一貫して機能するという性質があるため、過去に一度、有効に運用されていると評価された場合、(1)
当該統制に変更がないこと、(2)統制に不具合が発生していないこと、(3)IT に係る全般統制が有効に
機能していると判断できることの 3 要件を満たせば、IT に係る業務処理統制の評価において過年度の
評価結果を利用することが可能となります。
ただし、過年度の評価結果を利用する場合は、(1)(2)について具体的に、どのように確かめるか(モニ
タリングするか)を十分に検討しておく必要があること、IT に係る全般統制の整備状況の評価は過年度
の評価結果を利用できないため、毎年実施する必要があることにご留意ください。
Q31. IT に係る全般統制の評価範囲及び評価単位の決定について
30
Answer
評価範囲及び評価単位の決定は一般的に、次のように行います。なお、決定の過程は適切に文書化
しておくことが必要です。
1. 評価対象とすべきシステムの絞り込み
IT に係る全般統制の評価対象とすべきシステムは財務報告に係る内部統制に関連するものに限定さ
れるため、まずは評価対象とした業務プロセスとシステムの関係を把握し、評価対象とすべきシステム
を絞り込む必要があります。
なお、評価対象とした業務プロセスにおいて、IT に係る業務処理統制を適切に識別した結果、IT に係
る業務処理統制に依拠していない場合、そのシステムを評価対象とする必要はありません。
2. IT 基盤の概要の把握
各業務プロセスとシステムの関係に加え、それを支援する IT 基盤の概要を把握する必要があります。
例えば、次のような項目について把握します。
IT に関する組織の構成
IT に関する規程、手順書など
ハードウェアの構成
基本ソフトウェアの構成
外部委託の状況
ネットワークの構成
3. IT に係る全般統制の評価単位の決定
IT に係る全般統制は、システムごとに個別に評価することは効率的でないため、IT 基盤の概要をもとに
実態に合わせて評価単位を決定し、評価します。例えば、次のような場合には評価単位を分けるかど
うかを慎重に検討することが必要です。
システムによって開発手順や変更管理手順が異なる場合
システムによって運用業務の担当部署が異なる場合
システム機器の設置場所が自社と外部データセンターに分離されている場合
セキュリティーに係る方針・手続きが部門などにより異なる場合
Q32. IT に係る全般統制の評価領域について
Answer
実施基準では、IT に係る全般統制の評価対象の例として<表 32-1>の四つの領域が示されています。
ほかにも「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リス
クの評価及び評価したリスクに対応する監査人の手続について」(IT 委員会報告第 3 号 14~18 項)、
システム管理基準追補版などが参考になると思われます。なお、各基準によって評価領域の区分は異
なりますが、評価項目には大きな差がないと思われます。
31
また、監査法人によっては評価領域の例を提示しているところもあるので、評価領域について事前に担
当監査法人と協議しておくことが有効と考えます。
表 32-1 IT に係る全般統制の評価領域
領域 各領域に該当する項目の例
システムの開発・保守に係る管理 IT 基盤の構築、変更管理、テスト、開発・保守に関する手続きの策定と保守など
システムの運用・管理 運用管理、構成管理(ソフトウェアと IT 基盤の保守)、データ管理など
内外からのアクセス管理などシステ
ムの安全性の確保
情報セキュリティーフレームワーク、アクセス管理などのセキュリティー対策、情報セキュリ
ティーインシデント(事故)の管理など
外部委託に関する契約の管理 外部委託先とのサービスレベルの定義と管理など
Q33. IT に係る全般統制の評価手順について
Answer
IT に係る全般統制の評価手順は、その他の業務プロセスの評価手順と基本的に同じであり、一般的
には、(1)業務フローの理解・整理、(2)リスクの識別、(3)コントロールの識別、(4)コントロールの評価
(整備状況・運用状況の評価)といった手順で行われます。
留意事項についても、基本的にその他の業務プロセスと同様なので、第 5 回:その他の業務プロセスの
Q&A を参考にしてください。
Q30 で述べたように IT に係る全般統制の整備状況については毎期、評価が必要ですが、運用状況の
評価については、今回の実施基準の改訂により、次の要件を充足した場合には、前年度の運用状況
の評価結果を利用できるとされました(改訂実施基準 II.3.(3)⑤ニ a.)。
財務報告の信頼性に特に重要な影響を及ぼす項目ではないこと
前年度の評価結果が有効であること
前年度の整備状況から重要な変更がないこと
Q34. IT に係る全般統制に不備がある場合の影響について
Answer
IT に係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接につながる
ものではないため、直ちに開示すべき重要な不備と評価されるものではありません。しかし、IT に係る全
般統制に不備があった場合には、たとえ ITに係る業務処理統制が有効に機能するように整備されてい
たとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリ
スクが高まることとなります。従って、IT 全般統制に不備がある場合には、IT 全般統制の不備の程度な
らびに IT に係る業務処理統制に与える影響を勘案し、IT に係る業務処理統制の運用状況評価に対
する十分な心証形成ができるよう、サンプル件数、テスト対象期間、ロールフォワード手続等を決定して
いく必要があります。
また、IT に係る全般統制は、IT に係る業務処理統制が有効に機能する環境を保証するための統制活
動であり、仮に、全般統制に不備があった場合には、たとえ業務処理統制が有効に機能するように整
32
備されていたとしても、その有効な運用を継続的に維持することができない可能性があるとされていま
す。従って、全般統制に不備が発見された場合には、不備の程度ならび IT に係る業務処理統制に与
える影響を勘案し、必要に応じすみやかに改善することが求められます。
通常、IT に係る全般統制に係る不備を一覧表として集計し、不備の程度や IT に係る業務処理統制に
与える影響の程度等に応じて改善計画を作成します。急な改善を要しない軽微な不備であれば、中長
期的な改善計画の中で改善していくこともあるでしょう。また、システムの性質上、短期の改善が困難な
場合には、補完的統制を設けることで当面の間、対応することもあるかもしれません。
監査人は、会社の策定した改善計画について説明を受け、改善に向けた前向きな意思が反映された
計画であるかどうかの判断をします。経営者が不備の改善に対し前向きに取り組む計画を立て、会社
の状況の変化に応じて適宜計画を見直しながら、計画に従って不備の改善を実施しているのであれば、
たとえ不備の一部について改善が未了であっても「不備が改善されずに放置されている」状況には該
当しないものと判断が可能です。
![統合レポート2020(和文) [ 表紙解説 ] 3㎜...統合報告フレームワーク(国際統合報告評議会:IIRC) 環境報告ガイドライン(2018年版)](https://img.pdfslide.tips/doc/110x75/60ca92db50cadd5f517af002/cffff2020ioei-ecee-3oe-cffffffieceeiiirci.jpg)
