【読了】今から始める・見直す　内部統制の仕組と実務がわかる本

今から始める・見直す 内部統制の仕組みと実務がわかる本

はじめに

・監査法人は「継続性の原則」に従い手続方針の変更を嫌う。そのため、導入期に重厚にすると簡素化しにくくなる。
・内部統制対応では、内部統制の実施者（現場）、内部統制の評価者（社内）、内部統制評価結果の監査者（社外）という3者分の工数がかかる。
・財務報告にかかる内部統制の場合、固有リスクは「〈原因〉により、〈勘定科目〉の〈アサーション〉が損なわれるリスク」という表現で記述できる。（記述できない場合、それは財務報告リスクではない可能性が高い）

§1：内部統制の失敗パターンとよくある誤解

内部統制対応の失敗パターン（5個）

↑対応不足：上場準備企業
A：プロジェクトが進まない
B：内部統制の構築が完了しない
C：期限内に内部統制評価が終わらない
D：期限内に不備が改善されない
E：内部統制対応が事業の足枷になっている
↓対応過剰：既上場企業

内部統制を失敗させる誤解（6個）

・内部統制報告制度・会計士監査に対する理解不足

①内部統制には付加価値がない
→下手な内部統制は壊れたブレーキ。節税や訴訟に対策が必要なのと同じで、やらないと事業者価値が大幅に毀損される可能性がある。

②監査法人に頼ればいい
→監査法人は内部統制を構築する立場になれない。
→監査法人は保守的なため、過剰整備になりがち。企業側が経営理念を持って、監査法人に意見をぶつけていく必要がある。

③内部統制対応は文書化が山場
→文書化は一度だが評価は毎年継続する。

④内部統制対応は上場間近に始めればいい
→上場後3年間免除されるのは監査証明のみで、内部統制報告書の提出は上場初年度から必要。

⑤システム導入で対応は激減する
→マニュアル統制の代わりにIT統制の評価が必要になる。

⑥本社のみで完結する
→子会社も巻き込む必要がある。M&Aやシステム導入と連携も必要。

監査法人に対する誤解

○「実務指針」において独立性のために禁止されていること
・プロジェクト管理
・内部統制評価の代行
・内部統制の評価範囲にかかる意思決定
・内部統制に関する報告書の作成
・内部統制の不備について開示するかどうかの意思決定
・内部統制の運用テストの実施

○コンサルティングとアドバイザリの違い
・コンサルティング：企業の立場に立つ
・アドバイザリ：監査の専門家として助言

○よい監査人とは保守的にリスクをとらない監査人
・保守主義の原則：利益はより遅く、費用はより早く計上する
・エンロン事件後、監査法人のスタンスは、基準に記載されていないことや、解釈を要することは、クライアントに提案しなくなった。
・監査法人は、「とりあえず」で統制を増やそうとする。

内部統制成功のためのポイント

・適切なメンバー選定
・経営陣とのコミュニケーションラインの確保：M&Aやシステム導入、経営陣の方針
・主導権を握る知識
・早くからプロジェクトを開始する
・監査法人経験者や外部有識者の活用
・監査人に信頼される品質の内部統制を行う

§2：内部統制地獄を避けるために

内部統制はなぜ必要か

・安心してアクセルを踏むためのブレーキ

2つの内部統制

①金商法に定める財務報告にかかる内部統制報告制度（J-SOX）
・上場企業のみに義務付けられる。
・金商法自体には具体的な評価内容は定義がなく、以下のような基準や指針に従っている。
　・「内部統制基準＆実施基準」（企業会計審議会、2011/3/30改訂）：基本。企業による内部統制と会計監査人による監査の根拠。
　・「内部統制府令＆内部統制府令ガイドライン」（内閣府、2007）：国外企業とNYSE登録国内企業に対する特例措置、上場すぐな企業に対する免除規程、など。
　・「82号報告」（日本公認会計士協会、2019/７/５改訂）：会計監査人が内部統制監査を実施する際に準拠すべき指針。
　・金融庁ガイダンス群：「Q&A」、「11の誤解」、「事例集」

②会社法に定める内部統制対応：会社法上の「大会社」に義務付けられる（非上場会社も含む）。

内部統制報告制度

・整備：時点的有効性
・運用：期間的有効性

金商法における内部統制（J-SOX）

・対象企業：上場企業のみ
・テーマ：財務報告の信頼性のみ
・経営者の責任：内部統制の整備／運用、内部統制報告書の作成と監査証明の取得
・内部統制の報告：内部統制報告書の開示（有価証券報告書）
・監査：監査役等による監査（「全社的な内部統制」の一環）、会計監査人による内部統制監査（経営者評価に対する監査）

監査法人等の責任

・監査法人の監査対象は、内部統制の有効性ではなく、経営者評価（内部統制報告書の記載）に虚偽がないかどうか。（ダイレクトレポーティング方式ではなく、アサーション方式のため）
・企業の負荷を軽減するため、財務諸表監査と内部統制監査は、同一の監査法人によって同時に実施される（統合監査）。
・大企業ではなく、かつ上場後3年未満な場合、監査証明は免除される（有価証券報告書の提出義務は免除されない）。
○罰則規程
・金商法による刑事罰
・証券取引所による上場廃止

上場に向けた内部統制対応スケジュール

・n-3期：
・n-2期：
・n-1期：
・n期：

会社法における内部統制

・対象企業：非上場企業を含む大会社
・テーマ：4個
・経営者の責任：内部統制システムの整備／運用のみ
・内部統制の報告：株主に対してのみ報告（事業報告）
・監査：監査役等による監査のみ（会計監査人による監査は不要）

内部統制対応にかかるコスト5要素

・5要素のバランスをとりつつ合計コストを最小化する。
・初年度の初動を誤ると、ドミノ倒し的に初年度コストが増大し、次年度以降も半永久的に内部統制地獄が継続することになる。
○直接的コスト
・整備／運用コスト：システム導入費、現場対応の人件費
・評価コスト：内部統制チームの人件費、コンサル会社への報酬
・監査コスト：監査法人への報酬
○間接的コスト（機会損失）
・ビジネススピードの低下
・社会的信用の低下

§3：内部統制の基礎と限界

内部統制のフレームワーク

4目的
①業務の有効性および効率性
・稟議の上長承認
・監査役等や内部監査人による業務監査
②財務報告の信頼性
・財務情報のデータ連携
・経理部門の部長や担当取締役による財務諸表の承認
③法令遵守
・労働基準法
・個人情報保護法
④資産の保全
・購買時における稟議の承認
・与信調査

6要素
①統制環境
・倫理規程、行動指針の教育
・経営理念の教育
・数年間レベルの基本方針、事業計画
・取締役会や監査役等による取締役の監視
・内部通報制度
・権限と職責（Role and Responsibility）
・人材資源管理
②リスクの評価と対応
③統制活動
・相互牽制
・組織化：属人生の排除
④情報と伝達
・ワークフロー
⑤モニタリング
・日常的な自己点検
・定期的または随時の独立評価
⑥ITへの対応
・IT環境への対応：業務へのIT活用
・ITの利用および統制：統制5要素（①〜⑤）へのIT活用（マニュアル統制でも可）

6要素の責任者
①統制環境：コーポレートガバナンス、取締役、監査役
②リスクの評価と対応：内部監査部門
③統制活動：現場部門
④情報と伝達：CG⇔内部監査部門（指示／報告）、内部監査部門⇒現場部門（評価／モニタリング）
⑤モニタリング：内部統制部門
⑥ITへの対応：全体

内部統制の4限界

内部統制には限界があるため、「内部統制に対する内部統制」を整備／運用、評価する必要はない。
①人間性
・判断ミス
・過失
・共謀
②費用対効果
③例外
・予期せぬイベント
・非定型取引
④経営者不正

§4：フェイズ1―計画

・内部統制評価の効率化のために一番重要なのは計画フェイズ。
・評価範囲を最小化し、評価スケジュールを分散化（関係者の負荷を平準化）する

第1節：評価実務を始める前に

○評価範囲の最小化：効率化のための最大ポイント
・全社的な内部統制を有効に保つ
・事業拠点の識別方法を工夫する
・重要性の観点を組み込む
・評価範囲の決定根拠や評価方針を記録する

○内部統制報告制度における「内部統制」の範囲
・評価対象は、内部統制4目的のうち、「財務報告の信頼性」のみ。
・ビジネス上は重要でも、「財務報告の信頼性」に影響しない内部統制は範囲外。
・例えば、受注前の見積承認（赤字発注リスクあり）、請求状況の確認（請求漏れリスクあり）などは、ビジネス上は必要な内部統制だが、「財務報告の信頼性」という観点では除外できる。何故なら、赤字発注しても売上高が実情の時期と価格に合わせて計上されていたり、請求漏れがあっても売掛金や貸倒引当金が妥当な価額なら問題ない。

○財務報告の構成
・財務諸表：PL、BS、CF
・開示事項（「財務諸表の信頼性に重要な影響を及ぼす開示事項等」）：財務諸表上の数値を用いた注記など。主要な経営指標の推移、業績の概要、関係会社の状況

○監査対象範囲
・財務諸表監査の範囲：有報の「経理の状況」のみ
・内部統制監査の範囲：「経理の状況」だけでなく、「企業の概況」「事業の概況」「生産、受注、販売の状況」、その他財務諸表監査の対象外になったセクションにかかる経営者評価

○対象事業範囲
・内部統制の有効性の評価は、原則として連結ベースで行う（親会社の内部統制に「開示すべき重要な不備」が見つからなくても、連結ベースで見つかれば開示する必要がある）
※連結ベース：連結財務諸表を構成する有報提出会社、および当該会社の子会社と関連会社
・子会社Aが上場企業である場合：Aの内部統制報告書を利用可能
・持分法適用会社Aが上場企業である場合：Aの内部統制報告書を利用可能
・持分法適用会社Aが他上場企業Bの子会社である場合：Bの内部統制報告書を利用可能（例外あり）
※持分法適用会社：非連結子会社（支配が一時的）、関連会社（議決権20%以上などで影響を与えている会社）
・在外子会社Aの所在他国に適切な内部統制報告制度がある（もしくは第三国の制度が利用できるとみなせる）場合：当該制度を活用可能

○有効性評価の基準日
・有効性評価は決算期末日（新規上場企業の場合は、上場後最初の決算期末日）の時点の状況を以って判断する

○内部統制対応の3関係者：評価手続数に比例して負荷が高まる
①現場担当者：業務に内部統制を整備し、運用する者
・証憑書類（エビデンス）の準備と提出：内部統制評価者や監査人から、似たような資料を繰り返し要求される
②内部統制チーム：内部統制の評価者
・内部統制の文書化
・評価手続：現場担当者へのヒアリング、現場の観察、エビデンスの確認
・調書化
③監査法人等：独立した外部監査人
・内部統制チームの評価手続の不備を指摘し、改善を求める

第2節：内部統制評価を効率化する計画段階

１．評価範囲の最小化
○内部統制対応のプロセス
①計画
②文書化
③評価
④不備の改善
⑤再評価
⑥総合的評価

○内部統制地獄：初年度計画時の失敗が、半永久的に繰り返される
①計画時に評価範囲を拡げる
②文書化されるプロセスが増え、プロセスに関するリスク、リスクに対するコントロールの識別量も増える
③評価項目が増え、評価工数、監査法人への報酬も増える
④改善すべき項目が増え、不備改善のための工数も増える
⑤再評価項目が増え、未改善項目も増える
⑥重要な不備が開示される可能性が高まる

２．評価スケジュールの分散化（関係者負荷の平準化）
○2段階評価
①期中評価：期中に仮評価を実施
②RF評価：期末前に再評価（改善された不備項目に重点を置く）

○他部門と連携したスケジューリング
・システム化による業務フローの変更：決算期末日時点の業務フローに対して評価しなければならないため、IS部門との連携が必要
・M&Aや組織再編に伴う業務フローの変更：事業拠点の追加

第3節：内部統制評価範囲の決定方法

○2段階の評価範囲の決定
①期首の暫時決定（計画段階）：前期末の決算数値をベースに決定する
・前期末の決算数値に含まれていた異常項目の排除
・当期業績予想
・当期に予定されているM&Aや組織再編による個別／連結財務数値への影響
②期末の見直し：当期末の実績数値をベースに、期首に暫時決定された評価範囲が妥当であったかどうかを再検討する

○トップダウン型アプローチ
・日本の内部統制報告制度（J-SOX）の特徴として、まず基礎的な内部統制を評価し、その評価結果を踏まえて、リスクベースで必要な評価範囲や手続きを限定し、業務プロセスを評価していく。評価の有効性と効率性を追求するため。

○J-SOXにかかる内部統制の階層：図p92
１．全社的な内部統制（ELC）
・最も重要な統制。連結ベースの財務報告全体に影響を及ぼす。実施基準では6目的で合計42項目が定義されている。
・効率的な内部統制評価のためには有効であることが必須。
・内部統制報告書の意見形成という観点からも、全社的な内部統制の不備は、「開示すべき重要な不備」扱いになる。
・子会社などに独自の管理を許さず、中央集権化して全社で画一的な規程（決裁権限規程、人事考課規程、研修制度など）を運用することにより、実質的な評価範囲を大幅に縮小できる。
２．業務プロセスレベルの内部統制（PLC）
２－１．決算・財務報告プロセス
・財務報告の最終工程であるため影響が大きく、実施頻度が1年に1～4回で決算期末日に集中しているため、不備改善の機会がとても少なく、経理部門とのスケジューリングがシビアになる。
２－１－１．全社レベルで評価すべき部分の統制（FR-ELC）
２－１－２．個別プロセスとして評価すべき部分の統制（FR-PLC）
２－２．重要プロセス：重要な拠点における、事業目的に大きく関わる勘定項目に至る業務プロセス
２－３．その他個別プロセス：その他の質的に重要な勘定項目に至る業務プロセス

○評価範囲決定ステップ
①拠点の識別
・拠点の識別単位（法人格別、事業別、地域別、支店別、セグメント別、など）により、評価対象に含めるべき拠点が異なってくる。
業務フローの共通性、連結売上高のカバレッジなどを考慮して、最終的に評価手続を効率化できるようなグルーピングにする。
・物理的にN箇所の拠点だったとしても、業務フローが単一である場合、ひとつの文書化で済む。また、サンプルサイズも、N箇所ごとに25件でなく、全体として25件で済む。

②ELC／FR-ELCの評価範囲の決定
・全社横断的に影響を及ぼすELCとFR-ELCの評価範囲は、原則としてすべての拠点（子会社、持分法適用会社も含む）。
・実務上は、財務報告への影響が少ない（連結売上高における事業拠点ランキングで95%に含まれない）拠点は、範囲外にする。
・ただし、質的に重要性がある拠点は範囲内にする。

③重要プロセスの評価範囲の決定（量的基準）
・PLCとは、個別の勘定科目に至る業務プロセス（例：売上高⇒売上プロセス、売上原価⇒仕入プロセス）。
・各勘定科目ごとに、様々な業務フローが存在し、業務フローのパターンごとに文書化と評価手続が必要になる。（例：国内販売／輸出入販売、取引先や地域による特例）
・PLC評価は、年間に発生した膨大な取引の中から、統計学的に信頼性のある結論を出すために、充分なサンプルサイズ抽出と、エビデンスの収集と確認の作業が必要になる。
A：「重要な拠点」を選定
・全拠点について評価するのは不可能なため、「重要な拠点」を選定し、評価範囲を絞る。
・実施基準に基づき、ELCが有効な場合に限って、連結売上高における事業拠点ランキングで2/3に含まれる拠点を「重要な拠点」と見なす。
・もし非有効な場合、2/3より多くの拠点を評価する必要が生じる（監査法人との協議事項）。
B：重要な拠点における「重要プロセス」を選定
・実施基準に基づき、重要勘定（売上、売掛金、棚卸資産）に至る業務プロセスは、原則として全ての業務フローを評価対象にする。（例：棚卸資産の場合、販売、在庫管理、期末棚卸、購入、原価生産）
・効率化のポイント：業務関連性および財務報告影響が低い、買掛金の消込（形成は除外できない）、期末棚卸以外の原価計算プロセス、

④その他個別プロセスの評価範囲の決定（質的基準）
・実施基準に基づき、経営者は、「量的重要性」の観点で決定した「重要プロセス」に加えて、財務報告への影響を考慮した「質的重要性」の観点で評価対象の業務プロセスを追加する必要がある。以下のようにFR-PLCが多い。
A：虚偽記載リスクが高い業務プロセス：投資性の高い取引（金融取引、デリバティブ取引など）、価格変動の激しい棚卸資産に関するもの
B：担当者による恣意性や予測を伴う業務プロセス：引当金（債権評価）、退職給付、固定資産評価／減損、税効果（繰延税金資産／負債）
C：非定型や不規則な業務プロセス：通常とは異なる取引
D：その他の理由により追加すべき業務プロセス：コベナンツ（財務制限条項）、過去の不正や監査指摘事項、上場廃止基準に関するもの
・質的重要性により評価範囲に追加すべき業務プロセスについて、量的重要性（金額）の観点から絞り込みを行うために、独自に重要性の基準値の算定する必要がある。経営者は、評価範囲の決定が合理的であることを監査法人に説明する必要があるため、「評価範囲決定調書」として記録する必要がある。

§5：フェイズ2―文書化

・評価手続を行うための下準備に過ぎない
・初年度において最も高負荷な業務

文書化作業の成果物と手順

・内部統制報告制度のための資料（3点セット）に、既存の社内資料（ISO取得用文書など）を転用すると、却ってコストがかかる場合が多い。
・そもそも資料の作成目的が異なるため、評価範囲の過不足が生じ、不要な業務フローに対して評価コストを費やしてしまう一方で、財務報告リスクの評価を漏らしてしまう。
①業務フローがズレる
②リスクがズレる

業務記述書（ナラティブ）の作成

○ヒアリングでやるべきこと
①取引の発生から終了（会計処理や開示情報のインプット）までを網羅する
・内部統制報告制度は会計の制度なので、会計情報まで結び付けないと無意味
②プロセスの全体像を記録する
・単なるアクティビティなのか／コントロールなのか、財務報告リスクなのか／それ以外（事業リスクなど）なのかは、後でピックアップする
③業務記述書の記載内容を現場担当者にレビューしてもらう
④現場担当者の事実誤認や思い込みを防ぐために、業務記述書の作成段階で、業務に関するエビデンスのサンプルを入手し、閲覧しておく
・エビデンスのサンプルが入手できない場合、当該業務フローが実際に運用されているのか怪しい
・事実誤認があると、評価手続フェイズになった段階で、再度業務フローの再確認に工数投下が必要になる
⑤現状ありのままの業務内容を記載する
・現場担当者は、ルール上あるべき姿（ルールが、財務報告リスクを合理的に低減可能に設計されているとは限らない）や、個人的な理想を語る場合があるので注意する
・決算期末日までに変更が予定されている部分の業務文書化は保留する
⑥共通の業務フローは部品化して共有する
・もし現時点で業務フローや内部統制が未整備の場合は、評価しやすいように単純なものにする（独自性や分岐多のルールにしない）
⑦コントロールと財務報告リスクのピックアップは、一番最後に実施する
・キーコントロールのピックアップは、RCM作成時の作業

フローチャートの作成

・担当者がレビューしやすいように、業務記述書と同時にフローチャートを作成した方がいい
・情報準備中の企業であれば、フローチャートは、上場審査書類の一部（「Ⅱの部」）にも転用できる可能性が高い

RCMの作成

・3点セットのなかで最重要
・業務記述書は時系列ベースな整理法、RCMはリスク別のコントロール整理法

○4-3

財務報告リスクの識別方法

・財務報告リスクの識別方法は、会計監査人の職人芸的な要素がある
・リスクは、3個のコンポーネントに分解して記述する。
・「〈原因〉により、〈勘定科目〉の〈アサーション〉が損なわれるリスク」。例えば、「架空売上の計上により、売上高と売掛金の実在性が損なわれるリスク」。
・なお、〈原因〉に、「想定されていたコントロールが整備されていないこと」を記述するのは誤った思考回路である。「コントロールがないからリスクがある」のではなく、正しい思考回路は、「リスクがあるからコントロールにより低減すべき」であるため。
・チェックリスト（コントロール一覧表）を使った評価手続は、組織のリスクから思考するのではなく、コントロールありきで思考しているため、誤りに陥りやすい。
・財務諸表アサーション
①実在性
②網羅性
③権利と義務の帰属
④評価の妥当性
⑤期間配分の適切性
⑥表示の妥当性

コントロールの識別方法

①コントロールのカテゴリ
・承認
・突合
・業務分掌：第三者チェック、相互チェック、
・ITAC：計算や集計の自動化、データ連携（転記）の自動化、アクセス制限
・マネジメントレビュー（上長によるレビューと承認）
②5W1Hの記載
・特にHowとして、「どんな証跡を以ってコントロールが実施されたことを確認できるのか」を記載しておくことは重要
③実行頻度の記載
・評価時のサンプリングを効率化するため
④リスクと対応関係の記載
・リスクとコントロールの対応は、N:Nなので、それを示せる資料（RCMサマリ）があると便利

キーコントロールの選定

・キーコントロールとは、財務報告の信頼性に重要な影響を及ぼす「統制上の要点」
・財務報告リスク1個につき、最低1個のキーコントロールを識別する：カバーされないリスクをなくすため
・キーコントロール選定時の判断条件：
　・強さ（より上位者が実施する）
　・タイミング（より財務報告に近い）
　・不可欠さ（他に沿のリスクをカバーするコントロールがない）
　・金額

§6：フェイズ3―評価（整備状況と運用状況の評価）

・外部監査に耐えうる品質（十分なテスト実施と調書記録）の内部統制評価であること
・簡素化と効率化

評価手続の種類

○1-1. 期中評価とRF評価
・内部統制報告制度における評価基準日は期末日である。しかし、すべての評価を期末日直前に実施すること（さらに不備が検出されれば改善と再評価も必要になる）は、リソース的に現実的ではない。
・そこで、まずは暫定的な結論を出すために①期中評価を行い、次にその結論の対象期間を期末日まで引き延ばすために②RF評価を行う。

①期中評価
・期中の一定期間を評価基準日とした暫定評価。例えば、期首から6-9ヶ月経過時点におけるコントロールの有効性を評価する。
②RF評価（ロールフォワード期間における評価）
・期中時点で有効だと判断されたコントロール：整備運用が、期末時点まで変更されていないことを検証する。
・期中時点で非有効だと判断されたコントロール：RF期間における改善状況を再評価する。

○1-2. 整備状況評価と運用状況評価
・期中評価とRF評価の双方に対して、評価の深度別に2種類の評価がある。
①整備状況の評価
・時点における有効性
・ルールは存在するか？
・広く浅く検証：例えば、閲覧による承認印の有無
・一般的には、ウォークスルー（Walk Through：WT、Test of Design：設計評価）という手続で実施される。
②運用状況の評価
・期間における有効性
・ルールは遵守されているか？
・狭く深く検証：例えば、質問による承認者の理解度の確認
・一般的には、運用テスト（Test of Effectiveness：有効性テスト）という手続で実施される。

整備状況の評価実務（TOD、WT）

○2-1. ウォークスルー手続の概要
・PLCについては、評価対象となる業務プロセスにおける取引をサンプルとして、1件抽出する
・取引の開始から終了まで、一連の全てのコントロール（ノンキー、キーのどちらも）について、満遍なくエビデンスを収集＆確認する
・ELCについては、業務プロセスが存在しないため、各コントロールの実施結果をサンプルとして、1件抽出する

○2-2. WT実施者の要件
・コントロール実施者（部署や本人）によるセルフチェックは独立的評価とは認められない。

○2-3. WTの対象範囲
・プロセスのうち、開始時点と終了時点の両方が評価対象期間に含まれるもの
・RCM上で識別された全てのコントロール
・コントロールはノンキーもキーも評価対象にしておいた方が、万が一、想定していたキーコントロールが非有効になった場合に、補完統制を選定しやすくなるというメリットがある。

○2-4.WTの評価方法
①WTマニュアルの作成
・内部統制チーム内で、WT実施担当者による評価方法や記録品質がバラバラにならないようにするため
②WT手続の代表的な評価手法
・再実施：証拠力が最強だが、手間もかかる
・観察：現地に赴く必要あり
・閲覧／調査：
・質問：証拠力が最弱、単体での使用は避けるべきで、エビデンスがない場合の最終手段（複数名に質問する）

○2-6.前年度の整備評価結果の再利用
・整備評価は原則として毎年実施する必要があるが、2011年3月以降、特定条件（ELC評価が有効であることなど）を満たせば再利用できることになった（実施基準）

運用状況の評価実務（TOE）

○3-1.運用テストの概要
・運用テスト：ToE（Test of Effectiveness）
・一定期間継続的に有効であることが必要（評価対象年度中、1年間ずっと継続している必要はない）

○3-2.運用テストの実施者要件
・評価対象プロセスからの独立性：セルフチェック（コントロール実施者による自己評価）は不可
・評価手続を実施できるための専門性

○3-3.運用テストの対象コントロール
・整備状況の評価対象となったコントロールのうち、以下の条件を満たすもの。
①有効だと判断されたもの：整備に不備があるコントロールについて運用テストを試みるのはリソースの無駄。そもそも準拠性を判断する基準がない。
②キーコントロールであるもの：より多くのリスク低減に資するコントロールに着目するのが合理的。

○3-4.運用テストの評価方法
・運用テストマニュアルの必要性
①評価者による品質（サンプリングや評価の基準）のばらつきを防ぐため
②外部監査人に対して、信頼可能な評価作業を実施していることを説明するため
・運用テストの評価手法：TODと同じ手法（再実施、観察、閲覧・調査、質問）を組み合わせる。形式的なTODよりも、計算の正確性や上長の理解度を確認する。
・運用テストの実施時期：期首から6-7ヶ月経過後が目安。早すぎ（RF期間が長くなるため、コントロール状況が変わってしまう可能性が高まる）ても、遅すぎ（不備の検出が遅れると、改善や再評価のための時間が短くなる）ても、問題。

○3-5.サンプリング
・依頼状況や入手状況について、ステータス管理が必要
・『実施基準』Ⅱ.3.(3)④ロ
①代表的サンプリングの必要性
・「特定項目抽出」で推測できるのは、特定条件を満たす偏った集団の性質のみであり、母集団に対する評価は不可能。
・バイアスを除去するために、「代表的サンプリング」を行う。代表的サンプリングを行っても、誤差はゼロにならない。
②代表的サンプリングの種類
・非統計的サンプリング：外部監査人に対して、恣意性がないことを説明できる必要がある。
・統計的サンプリング：外部監査時にサンプルを流用できる。
③効率化ポイント
・外部監査人が内部統制チームのサンプリング手法を信頼して依拠してくれれば、現場担当者の監査対応工数を減らすことができる。
④サンプル数の決定
・許容逸脱率、予想逸脱率、サンプリングの信頼度、母集団サイズ、から決定できる
⑤逸脱（エラー）発見時の追加的手続
・コントロールから逸脱したサンプルが発見された場合、運用評価の結果を非有効にするか、サンプルサイズを大きくして運用テストを再実施する。
⑥複数事業拠点がある場合
・全拠点からサンプルを抽出する方法
・一定期間内に対象拠点をローテーションする方法

○3-6.複数年に1度の対応の可否
・運用評価は原則として毎年実施する必要があるが、2011年3月以降、特定条件（ELC評価が有効であることなど）を満たせば再利用できることになった（実施基準）

○3-7.その他小規模企業の効率化ポイント

○3-8.調書化
・運用テスト調書は、RCM、WT調書に繋げて作成するのがお薦め

他者の利用

○4-1.専門家の利用
①外部専門家への評価委託
・内部統制評価を自社外部監査人に委託することできない（独立性の観点）
○4-2.委託業務の評価
①外部委託業務に対しても内部統制評価が必要
・データ管理（クラウド、データセンタ）
・決算支援
・税額計算
②外部委託業務に対する内部統制評価の方法
・サンプリングによる自社検証：工数がかかる
・受託会社の評価結果の利用（「86号報告書」など）：請求費用がかかる
・自社内にキーコントロール（マネジメントレビューなど）を整備運用する

§7：フェイズ3―評価（IT統制の評価）

IT統制の概要

○1-1.IT統制とは
・ITによる自動化は、飽くまでもコントロールの実装手段のひとつであり、マニュアルによる統制と同様に評価が必要。
○1-2.経営者によるIT統制目標の設定
・有効性および効率性
・準拠性：社外の法令や基準、社内規則に対する準拠性。
・信頼性：財務報告にかかる内部統制で特に重要。正当性（承認されていること）、完全性（アウトプットの記録がモレなくダブりなく改竄されないこと）、正確性（プロセスが正しいこと）
・可用性
・機密性

IT統制の分類

・ITELC
・ITGCは、自動化されたITACの運用状況の有効性を担保するためのコントロールだと見なせる。
・ITACは、一度その整備／運用状況の有効性を示すことができれば、ITGCの整備／運用状況が有効な限り、ITACの運用有効性が維持される。（ITAC自体が変更された場合は、再検証が必要）
・ITGCとITACは、IS部門が運用する統制と、その他部門が運用する統制（EUC）がある。EUC部門には、経理部や業務部門がある。

①IT全社統制（ITELC）：「戦略／計画／方針／規程の適用範囲ごと」に評価する。
・戦略と計画
・内部統制の整備におけるマニュアル統制とIT統制の使い分け方針
・IT利用に起因するリスクの管理
・ITGCおよびITACに関する方針や手続

②IT全般統制（ITGC）：「IT基盤ごと」に評価する。
○ITGCの種類：
・システム開発／保守の管理：
環境分離、変更管理（変更要否の検証）、リリース管理（リリースのタイミングと計画、リリース前テスト＝リリース可否判定）、デプロイ管理（本番環境へのデプロイ手順、デプロイ失敗時のリカバリ手順、デプロイ成功時の動作検証と承認）
・システム運用の管理：
ジョブ管理、バックアップ／リカバリ管理、インシデント管理
・アクセス管理：
社内から／社外から、論理的／物理的、識別／認証／認可、承認、監視、情報セキュリティ、サイバーセキュリティ
・外部委託契約の管理：
委託先の選定と管理、委託要件の契約書への反映、委託先のモニタリング、クラウド利用に起因するリスクの管理

③IT業務処理統制（ITAC）：「IT業務ごと」に評価する。
・IT統制目標のうち「信頼性（正当性、完全性、正確性）」（勘定科目の適正性）に直結するため、ITACの不備は「開示すべき重要な不備」に繋がる可能性が高い。
・各業務プロセス上のコントロールのうち、ITを利用したコントロールがITAC（自動化されたITAC／マニュアルと複合したIT依存統制）と呼ばれているに過ぎない。よって、ITACの文書化に際して特別な文書を作成する必要はなく、RCM上も区分として非IT／ITがあればいいだけ。
○ITACの種類
・アウトプットの信頼性（正当性、完全性、正確性）
・例外発生時の修正処理と再実行処理
・マスタデータの連携
・アプリユーザのアクセス管理（識別／認可／認証）
④EUC統制
○ITGC-EUC
・スプレッドシートファイルの格納場所に対するアクセス管理
・スプレッドシートファイルの変更にかかる変更管理
○ITAC-EUC
・スプレッドシート処理の正確性の検証
・スプレッドシート処理の例外処理

IT統制の評価

・経営者は、ITACを直接評価するために要するリソースと、ITGCを有効に（ITAC運用が依拠できるレベルに）整備／運用していくために要するリソースを、費用対効果の観点から考慮して、評価戦略を決定する。

①ITELCの評価
・自動化された統制は少ない。全社的な内部統制評価の一環として、WTとTOEを行う。

②ITGCの評価
・ITGCに不備がある場合でも、直ちに「重要な不備」になるわけではない。結果的に関連するITACが有効に機能していれば、財務報告リスクは顕在化せず、財務報告にかかる内部統制は有効であるといえる。
・評価対象を絞り込むため、キーコントロールとして識別され、かつTOEの対象となったITACに影響を及ぼすITGCのみに限定する。財務報告リスクに直結するのはITGCではなくITACであるため、社内のすべてのシステム基盤を評価する必要はない。
・評価対象となるITACを特定①し、そのITACに関係する業務アプリを特定②し、その業務アプリが稼働するIT基盤を特定し③、そのIT基盤を対象としているITGCプロセスを特定④する。
・ITGCプロセスの例：
システム開発／保守の管理におけるプロセス例：企画→開発→テスト→本番登録→本盤運用
アクセス管理におけるプロセス例：権限設計→ユーザIDの付与→ユーザIDの変更
・ITGCプロセスを文書化する場合、IT基盤に関する、管理者（社内／外部委託）、規程類、基盤の構成情報（NW、HW、MW）などを記載する

③ITACの評価
・ITELCとITGCがいくら有効な場合でも、ITACの整備／運用状況が非有効な場合、それは財務報告にかかる内部統制の不備を意味する。この不備が単独もしくは他不備と合わさり連結上重要な場合、「開示すべき重要な不備」になる可能性がある。
○ITACの評価手続の種類
・人手が介するITAC：一般的なコントロールと同様の手続で整備／運用状況を評価する。
・自動化されたITAC：「ITを利用した評価手法」（テストデータを本番環境で処理したり、本番データをテスト環境で処理したりする）と「ITを利用しない評価手法」（「画面の観察」または「一覧表の突合」）がある。
○ITACの整備状況の評価
・一般的なコントロールの整備状況評価と同様に、WTを実施する。
○ITACの運用状況の評価
・一般的なコントロールの運用状況評価と同様に、TOEを実施する。
・ただし、関連するITGCの整備／運用状況が有効であると事前を示すことができれば、それに依拠することにより、ITACのTOEのサンプルサイズを減らすことができる。
○過年度評価結果の利用
・過年度評価でITACが有効だと評価されていれば、ITGCが以下の条件を満たす場合、ITGCが有効に機能していると判断し、その結果を記録して依拠することができる。
・過年度評価時点から変更されていないこと
・不具合が発生していないこと

§8：フェイズ4―不備の改善

・整備状況の不備（WTで検出された不備）と運用状況の不備では、意味も改善アプローチも異なる

発見された不備の意義

・WTで発見された不備：ルールが未整備または形骸化しており、業務プロセスに組み込まれていない。改善には大きなコストを要する。
・TOEで発見された不備：ルールが遵守されていない。改善は比較的容易。
・IT統制に関して発見された不備

①ITELC：ITELCに不備がある場合、直ちに「開示すべき重要な不備」に繋がるわけではないが、長期的にITGCとITACに影響を与える。そのため、「ITGCの不備が改善されずに放置されている」という件は「開示すべき重要な不備」に該当する。

②ITGC：ITGCに不備がある場合、関連するITACのサンプリング期間を長くとる必要がある。何故ならば、仮に現時点で他の補完統制によって信頼性が担保されていたとしても、ITAC自体の継続的な維持が困難になるため。

③ITAC：ITACに不備がある場合、原因は「人間の操作ミス」か「ITの欠陥」である。「ITの欠陥」である場合、直ちに「開示すべき重要な不備」に繋がる可能性が高い。何故ならば、誤った会計処理が短期間に大量に発生している可能性があるため。

不備の改善

・内部統制チームの使命は、不備を指摘するだけではなく、現場部門を巻き込み、決算期末日までに不備の改善を完了させて、再評価で「有効」にできるかにある。
・不備を改善するためには、不備を集計し、不備の内容をタイムリーに現場部門にフィードバックし、現場担当部門と協力して根本原因を探し、改善の方向性を提案（指示ではない）する必要がある。
・表面的な改善指導（承認印を徹底させる、など）はビジネスを妨げたり形骸化（レビューせずに承認印だけ押す）の原因になる。

○根本原因の考え方
・人員不足？
・業務フロー設計ミス？
・別のコントロールでカバーできないか？
・他の方法でリスク回避できないか？

○不備の集計
・コントロール内容、不備と判断された根拠、改善の方向性（現場への改善提案事項）

○不備の全容把握とモニタリング・経営者へのレポーティング
・どの拠点の、どのプロセスで、何個の不備が発生したのか
・改善活動は現時点でいくつ完了し、いくつ途上なのか

○不備の改善管理
・特に初年度は、RF評価1回のみで改善完了を確認するのは危険
・月次全体会議：経営者の名のもとに、全てのプロセスオーナを集合させて実施する
・プロセス単位の分科会：不備ステータスチェックシート（改善責任者、改善期限、改善内容、証跡名称）

○決算・財務報告プロセスの不備改善
・コントロール評価の機会は月次～年次しかないため、必要に応じて予行演習をする必要がある

○上場準備企業が整備すべき規程類（例）：業務の柔軟性を損なわないように、詳細は細則やガイドラインで定めるべき。
・組織運営：取締役会規程、監査役会規程、業務分掌規程、職務権限規程
・人事労務：就業規則、給与規程、退職金規程
・業務管理：予算管理規程、株式取扱規程、関係会社管理規程、販売管理規程、購買管理規程、資産管理規程、会社情報管理規程、決裁権限規程
・経理：経理規程、原価計算規程

○ビジネススピードの失速を避けるためのコントロール整備
・上長が内部統制対応に時間を割かれると、ビジネススピードは低下する
・上長承認は、経営判断を要する業務（非定型取引や高額取引）のみに限定する
・定常業務は、上長承認がなくても財務報告リスクが低減できるように、IT活用などでコントロールを整備する
・押印がなくても、ログやメモがあれば、更によいコントロールになる可能性がある

§9：フェイズ5―再評価

ロールフォワード評価

○目的
・期中評価で有効と判断されたコントロールの再確認：WT再実施や現場ヒアリングに留める
・期中評価で非有効と判断されたコントロールの改善確認：不備改善完了日以降からサンプリングを行いTOEを実施する
・期中評価を保留したコントロールの初回評価：期中評価と同じ深さでTOD、TOEを実施する

○実務における留意点
・評価マニュアルと評価スケジュールを作成し、品質と効率性を維持するための教育を行う
・評価期間が短い（例：期中評価の対象は9ヶ月間、RF評価の対象は3ヶ月間）ため、効率化が必要

○調書化

○RF評価で発見された不備
・「総合的評価」手続きにおいて、単独または複合で「開示すべき重要な不備」に該当するか判断する

§10：フェイズ6―総合的評価

・RF評価の結果、不備が残った場合に、内部統制報告書上でどのような意見形成すればいいか

内部統制報告書における評価結果（4タイプ）

①有効
・期末日に不備が残っていても、それら不備が「重要」でなければ、内部統制報告書上の意見は「有効」を表明できる

②評価範囲の除外
・連結ベースで財務報告の信頼性に重要な影響がなく、かつやむを得ない事情の場合、評価手続きを実施できなかった範囲を除外して、「有効」を表明できる
下期でのM&A、災害、システムリプレイスなど

③開示すべき重要な不備
・内部統制評価を実施して発見した不備が、連結ベースで財務報告の信頼性に重要な影響がある場合、「有効でない」旨を表明する

④意見不表明
・内部統制評価の手続きを実施できず、連結ベースで財務報告の信頼性に重要な影響がある場合、意見を表明できない

「開示すべき重要な不備」に該当するかどうかの判断基準

○ELC
・ELC上の不備が発見された場合、PLCの有効性を証明することは難しくなり、「開示すべき重要な不備」に該当する

○PLC
・金額的重要性と質的重要性の2観点で判断する
・金額的重要性：虚偽記載による影響額（＝不備による影響範囲×虚偽表示の発生可能性）が、基準値以内かどうか。
・金額的重要性の影響範囲は、不備コントロールを実施する拠点数、発生可能性はサンプリングテスト時の頻度、原因（故意なのか不注意なのか）、代替統制の有無、などで判断する。
・金額的重要性は、個々の不備ごとではなく、同じ勘定科目に関係する不備を全て合わせて考慮する。
・金額的重要性の基準値は、連結税引前利益の5%をよく使う。例年と比較して連結税引前利益が少なくなった場合、連結売上高や総資産の一定割合を使う。
・質的重要性は、上場廃止基準や財務制限条項などにかかる記載

総合的評価調書の作成

略

内部統制報告書の作成

○内部統制報告書の記載事項（内閣府令）
①整備および運用に関する事項
②評価の範囲、評価時点、評価手続
③評価結果
④付記事項：「開示すべき重要な不備」に関して、期末日以降に実施した是正措置など
⑤特記事項

補遺

・導入期に重厚な統制を作り上げてしまうと、継続性原則の制約により、後に簡素化しにくくなる。
・内部統制評価は2段階で実施される
　①期中評価で期首から期中時点までを対象期間とした暫定結論を出す
　②RF評価で評価対象期間を期末日時点まで引き延ばす
　※期中時点で不備を検出できないと、改善と再評価が間に合わなくなる
・リスク識別時、「コントロールがない（原因）ため、リスクが高まる（結果）」という思考順序は誤り。正しくは、「リスクが許容できない（原因）ため、コントロールで低減する（結果）」。例えば、「承認プロセスがないために売上債権の実在性が損なわれるリスクが高まる」という思考順序は誤りで、「売上債権の実在性が損なわれるリスクが許容できないために承認プロセスで低減する」という思考順序が正しい。

完