監査実施基準

　内部統制は、組織の事業活動を支援する４つの目的を達成するために組織内に構築される。内部統制は、４つの目的の達成を絶対的に保証するものではなく、組織、とりわけ内部統制の構築に責任を有する経営者が、４つの目的が達成されないリスクを一定の水準以下に抑えるという意味での合理的な保証を得ることを目的としている。
　内部統制は、組織から独立して日常業務と別に構築されるものではなく、組織の業務に組み込まれて構築され、組織内のすべての者により業務の過程で遂行される。したがって、正規の従業員のほか、組織において一定の役割を担って業務を遂行する短期、臨時雇用の従業員も内部統制を遂行する者となる。
　内部統制は、組織内のすべての者が業務の中で遂行する一連の動的なプロセスであり、単に何らかの事象又は状況、あるいは規定又は機構を意味するものではない。したがって、内部統制は一旦構築されればそれで完成するというものではなく、変化する組織それ自体及び組織を取り巻く環境に対応して運用されていく中で、常に変動し、見直される。

　内部統制の構築の手法等は、個々の組織が置かれた環境や事業の特性等によって異なるものであり、すべての組織に適合するものを一律に示すことはできない。
　経営者は、組織を取り巻く環境や事業の特性、規模等に応じて、自らの組織に適した内部統制を整備し、運用することが求められる。内部統制の整備及び運用に当たって配慮すべき事項として、例えば、製品市場の状況、製品及び顧客の特性、地理的な活動範囲、組織間の競争の度合い、技術革新の速度、事業規模、労働市場の状況、ＩＴ環境、自然環境への配慮等が挙げられる。
　一方で、内部統制については、個々の組織の規模や形態等を問わず、共通の基本的枠組みが考えられる。本基準における「Ⅰ．内部統制の基本的枠組み」は、金融商品取引法に基づく財務報告に係る内部統制の評価及び報告並びに監査の実施に当たって、前提となる内部統制の基本的な枠組みを示したものである。

　業務とは、組織の事業活動の目的を達成するため、すべての組織内の者が日々継続して取り組む活動をいう。業務の有効性とは事業活動や業務の目的が達成される程度をいい、業務の効率性とは、組織が目的を達成しようとする際に、時間、人員、コスト等の組織内外の資源が合理的に使用される程度をいう。
　業務の有効性及び効率性は、組織全体として把握することもできるが、必要に応じて事業活動を個々の業務に細分化し、細分化した業務ごとに合理的な目的を設定することが適切である。内部統制は、そうした個々の目的の達成を通じて最終的には組織全体としての業務の有効性及び効率性の達成を支援するべく、組織内の各業務において整備及び運用される。
　業務の有効性及び効率性に関する内部統制は、業務の達成度及び資源の合理的な利用度を測定・評価し、適切な対応を図る体制を設けることにより、組織が設定した業務の有効性及び効率性に係る目標の達成を支援する。

　財務報告は、組織の内外の者が当該組織の活動を確認する上で、極めて重要な情報であり、財務報告の信頼性を確保することは組織に対する社会的な信用の維持・向上に資することになる。逆に、誤った財務報告は、多くの利害関係者に対して不測の損害を与えるだけでなく、組織に対する信頼を著しく失墜させることとなる。
　財務報告には、金融商品取引法や会社法などの法令等により義務付けられるもの、銀行や取引先との契約等により求められるもの、利害関係者等への自主的な開示などがあるが、本基準において、財務報告とは、金融商品取引法上の開示書類（有価証券報告書及び有価証券届出書）に記載される財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報をいう（詳細は、「Ⅱ．財務報告に係る内部統制の評価及び報告」１．①財務報告の範囲参照）。
　財務報告の信頼性に係る内部統制は、財務報告の重要な事項に虚偽記載が生じることのないよう、必要な体制を整備し、運用することにより、組織の財務報告に係る信頼性を支援する。

　組織や組織内の者が法令の遵守を怠り、又は社会規範を無視した行動をとれば、それに応じた罰則、批判を受け、組織の存続すら危うくしかねない。反対に、商品の安全基準の遵守や操業の安全性の確保など、法令等の遵守への真摯な取組みが認知された場合には、組織の評判や社会的信用の向上を通じて、業績や株価等の向上にも資することとなる。このように、組織が存続し発展していくためには、事業活動に関し、法令等の遵守体制を適切に整備することが不可欠である。
　事業活動に関わる法令等は、以下のものから構成される。
　　① 法令
　　組織が事業活動を行っていく上で、遵守することが求められる国内外の法律、命令、条令、規則等。
　　② 基準等
　　法令以外であって、組織の外部からの強制力をもって遵守が求められる規範。例えば、取引所の規則、会計基準等。
　　③ 自社内外の行動規範
　　上記以外の規範で組織が遵守することを求められ、又は自主的に遵守することを決定したもの。例えば、組織の定款、その他の内部規程、業界等の行動規範等。
　法令等の遵守に係る内部統制は、法令等を遵守して事業活動を営むための体制を整備し、運用することであり、これらを通じ、組織の存続及び発展が図られる。

　資産が不正に又は誤って取得、使用及び処分された場合、組織の財産や社会的信用に大きな損害や影響を与える可能性がある。また、組織が出資者等から財産の拠出等を受けて活動している場合、経営者は、これを適切に保全する責任を負っている。さらに、監査役又は監査委員会は、会社法の規定上、業務及び財産の状況の調査をすることができるとされており、組織の資産の保全に対して重要な役割・責任を担っている。　資産には、有形の資産のほか、知的財産、顧客に関する情報など無形の資産も含まれる。
　組織においては、資産の取得、使用及び処分に係る不正又は誤謬を防止するため、資産が正当な手続及び承認の下に取得、使用及び処分される体制を整備することが求められる。仮に正当な手続及び承認の下に取得、使用及び処分が行われていない場合には、すみやかに発見して対応を図る体制を整備し、運用することが求められる。

　内部統制の４つの目的である業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守及び資産の保全は、それぞれ固有の目的ではあるが、お互いに独立して存在するものではなく、相互に密接に関連している。
　内部統制は業務に組み込まれ、組織内のすべての者によって遂行されるプロセスであって、いずれか１つの目的を達成するために構築された内部統制であっても、他の目的のために構築された内部統制と共通の体制となったり、互いに補完し合う場合もある。
　金融商品取引法で導入された内部統制報告制度は、経営者による評価及び報告と監査人による監査を通じて財務報告に係る内部統制についての有効性を確保しようとするものであり、財務報告の信頼性以外の他の目的を達成するための内部統制の整備及び運用を直接的に求めるものではない。しかしながら、財務報告は、組織の業務全体に係る財務情報を集約したものであり、組織の業務全体と密接不可分の関係にある。したがって、経営者が財務報告に係る内部統制を有効かつ効率的に構築しようとする場合には、目的相互間の関連性を理解した上で、内部統制を整備し、運用することが望まれる。

　組織において内部統制の目的が達成されるためには、６つの基本的要素がすべて適切に整備及び運用されることが重要である。

　統制環境は、組織が保有する価値基準及び組織の基本的な人事、職務の制度等を総称する概念である。
　組織の気風とは、一般に当該組織に見られる意識やそれに基づく行動、及び当該組織に固有の強みや特徴をいう。組織の気風は、組織の最高責任者の意向や姿勢を反映したものとなることが多い。組織が保有する価値基準や基本的な制度等は、組織独自の意識や行を規定し、組織内の者の内部統制に対する考え方に影響を与える。
　統制環境は、他の基本的要素の前提となるとともに、他の基本的要素に影響を与える最も重要な基本的要素である。
　統制環境に含まれる一般的な事項を例示すると、以下のようになる。
① 誠実性及び倫理観
　組織が有する誠実性及び倫理観は、組織の気風を決定する重要な要因であり、組織内のすべての者の社会道徳上の判断に大きな影響を与える。
　誠実性及び倫理観について様々な取組みが考えられるが、例えば、組織の基本的な理念やそれに沿った倫理規程、行動指針等を作成し、これらの遵守を確保するための内部統制を構築し、経営者自らが関与してその運用の有効性を確保することが挙げられる。
② 経営者の意向及び姿勢
　経営者の意向や姿勢は、組織の基本方針に重要な影響を及ぼすとともに、組織の気風の決定にも大きな影響を及ぼす。また、経営者の意向や姿勢をどのように伝えるかも組織内の者の行動に影響を与える。例えば、財務報告に関して、経営者が適正な会計処理や財務報告を尊重する意向を有し、これを実現していくための方針や原則を明確化し、これを組織の内外に適切に伝え、その実現に向けて適切な体制等を整備していくことは、財務報告の信頼性を達成するための重要な基盤となる。
　経営者が組織の内外に示す声明、日常の行動、予算・人事等の方針の決定などは、組織内の者の意識を通して組織の内部統制に影響を及ぼすものである。また、経営者の意向及び姿勢は、社訓・社是、経営理念、経営計画、倫理規程、行動指針など社内の諸規程に、直接的又は間接的に反映され、組織内では、それらの諸規程の内容を達成又は遵守すべく内部統制が整備及び運用される。
③ 経営方針及び経営戦略
　組織の目的を達成するために、組織がどのような経営方針及び経営戦略を取るかは、組織内の者の価値基準に大きな影響を与え、かつ、組織内の各業務への資源配分を決定する要因となり、他の基本的要素に大きな影響を及ぼす。また、経営方針及び経営戦略に基づく組織全体の目的は、年度別、部門別等の予算、事業計画等を通して分解・具体化され、内部統制による管理の対象とされることにより、内部統制の目的の達成に資することとなる。
④ 取締役会及び監査役又は監査委員会の有する機能
　取締役会及び監査役又は監査委員会は、取締役の業務を監視する職責を負う機関で、会社法上の規定により個々の企業に設けられる制度である。例えば、取締役会及び監査役又は監査委員会が、実質的に経営者や特定の利害関係者から独立して意見を述べることができるか、モニタリングに必要な正しい情報を適時かつ適切に得ているか、経営者、内部監査人等との間で適時かつ適切に意思疎通が図られているか、取締役会及び監査役又は監査委員会の行った報告及び指摘事項が組織において適切に取り扱われているか等、取締役会及び監査役又は監査委員会の活動の有効性は、組織全般のモニタリングが有効に機能しているかを判断する重要な要因となる。
⑤ 組織構造及び慣行
　組織構造が組織の目的に適合し、事業活動を管理する上で必要な情報の流れを提供できるものとなっていることは、組織の目的を達成し、組織の情報と伝達の有効性を確保するために重要である。組織は、その規模や業務の内容、提供する製品・サービスの種類、市場の性格、地理的分散、従業員構成等に従って、組織目的に適合した組織形態、権限及び職責、人事・報酬制度などの仕組みが経営者によって適切に構築されていることが重要である。
　組織の慣行は、しばしば組織内における行動の善悪についての判断指針となる。
　例えば、組織内に問題があっても指摘しにくい慣行が形成されている場合には、統制活動、情報と伝達、モニタリングの有効性に重大な悪影響を及ぼすことになる。組織の慣行は、組織の歴史、規模、業務の内容、従業員構成など組織内部の条件や、市場、取引先、株主、親会社、地域特性、産業固有の規制など組織外部の条件に合わせて形成されたものであることが多い。したがって、特に長年に亘る組織の慣行を変えるには大きな困難が伴うことがあるが、こうした慣行に組織の存続・発展の障害となる要因があると判断した場合、経営者は、適切な理念、計画、人事の方針等を示していくことが重要である。
⑥ 権限及び職責
　権限とは組織の活動を遂行するため付与された権利をいい、職責とは遂行すべき活動を遂行する責任ないし義務をいう。事業活動の目的に適合した権限及び職責が設けられ、適切な者に割り当てられていることは、内部統制の目的の達成のために重要である。
⑦ 人的資源に対する方針と管理
　人的資源とは、組織の経営資源のうち人に関するものを指す。人的資源に対する方針とは、経営上の方針の一部として設定される、雇用、昇進、給与、研修等の人事に関する方針である。組織の目的を達成していくためには、組織の保有する人的資源の能力を高度に引き出していくことが重要であり、そのためには人的資源に対する方針が適切に定められていることが重要である。

　リスクとは、組織目標の達成を阻害する要因をいう。具体的には、天災、盗難、市場競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因と、情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報及び高度な経営判断に関わる情報の流失又は漏洩といった組織の中で生ずる内部的要因など、様々なものが挙げられる。ここでのリスクは、組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない。
　リスクの評価と対応の実務は、個々の組織が置かれた環境や事業の特性等によって異なるものであり、一律に示すことはできないが、リスクの評価の流れの例を示すと次のとおりである。
リスクの評価の流れ「リスクの識別」→「リスクの分類」→「リスクの分析」→「リスクの評価」→「リスクへの対応」
イ． リスクの識別
　リスクの評価と対応のプロセスにおいては、まずはじめに、リスクを適切に識別することが必要である。このため、組織目標の達成に影響を与える可能性のある事象を把握し、そのうちにどのようなリスクがあるのかを特定する。リスクは、全社的なレベルから業務プロセスのレベルまで様々な段階で存在することから、各段階において適切にリスクを識別することが重要である。
ロ． リスクの分類
リスクを適切に分析及び評価するためには、識別したリスクを、全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクか等の観点から分類することが重要である。
ａ．全社的なリスクと業務プロセスのリスク
　全社的なリスクとは、組織全体の目標の達成を阻害するリスクをいう。
　全社的なリスクとしては、例えば、財政状態、経営成績及びキャッシュ・フローの状況の異常な変動、特定の取引先・製品・技術等への依存、特有の法的規制・取引慣行・経営方針、重要な訴訟事件等の発生、経営者個人への依存等が挙げられる。財務報告の信頼性に関して、例えば、適正な会計上の見積りや予測を行っていくためには、全社的なリスクへの適切な対応が重要な要素となる。
　業務プロセスのリスクとは、組織の各業務プロセスにおける目標の達成を阻害するリスクをいう。
　業務プロセスのリスクについては、通常、業務の中に組み込まれた統制活動等で対応することとなるが、全社的なリスクについては、明確な経営方針及び経営戦略の策定、取締役会及び監査役又は監査委員会の機能の強化、内部監査部門などのモニタリングの強化等、組織全体を対象とする内部統制を整備し、運用して対応することが必要となる。
ｂ．過去に存在したことのあるリスクと未経験のリスク
　リスクには、既に過去に存在したことのあるリスクと、未経験のリスクとがある。過去に存在したことのあるリスクについては、リスクの影響を推定できるが、未経験のリスクについては、どういう影響が生じるかということについて不透明であることが多いと考えられることから、その影響について、より慎重に検討する必要がある。なお、過去に存在したことのあるリスクであっても、時の経過とともに、状況等が変化し、影響の度合いが変化している可能性があることに留意する必要がある。
ハ． リスクの分析と評価
　上記の通り識別・分類したリスクについて、当該リスクが生じる可能性及びリスクがもたらす影響の大きさを分析し、当該リスクの重要性を見積もることとなる。その上で、見積もったリスクの重要性に照らして、対応策を講じるべきリスクかどうかを評価する。
　組織は、識別・分類したリスクのすべてに対応策を講じるのではなく、重要性があるものについて対応策を講じることになる。

〔リスクへの対応の種類〕
　リスクへの対応には、リスクの回避、低減、移転、受容又はその組み合わせ等がある。
・リスクの回避とは、リスクの原因となる活動を見合わせ、又は中止することをいう。リスクの発生可能性や影響が非常に大きい、又はリスクを管理することが困難な場合等において、リスクの回避が選択されることがある。
・リスクの低減とは、リスクの発生可能性や影響を低くするため、新たな内部統制を設けるなどの対応を取ることをいう。
・リスクの移転とは、リスクの全部又は一部を組織の外部に転嫁することで、リスクの影響を低くすることをいう。例えば、保険への加入、ヘッジ取引の締結などが挙げられる。
・リスクの受容とは、リスクの発生可能性や影響に変化を及ぼすような対応を取らなこと、つまり、リスクを受け入れるという決定を行うことをいう。リスクへの事前の対応に掛かる費用が、その効果を上回るという判断が行われた場合、又は、リスクが顕在化した後でも対応が可能であると判断した場合、リスクが許容できる水準以下のものであれば組織はリスクをそのまま受容することが考えられる。

　経営者においては、不正又は誤謬等の行為が発生するリスクを減らすために、各担当者の権限及び職責を明確にし、各担当者が権限及び職責の範囲において適切に業務を遂行していく体制を整備していくことが重要となる。その際、職務を複数の者の間で適切に分担又は分離させることが重要である。例えば、取引の承認、取引の記録、資産の管理に関する職責をそれぞれ別の者に担当させることにより、それぞれの担当者間で適切に相互牽制を働かせることが考えられる。
　適切に職務を分掌させることは、業務を特定の者に一身専属的に属させることにより、組織としての継続的な対応が困難となる等の問題点を克服することができる。また、権限及び職責の分担や職務分掌を明確に定めることは、内部統制を可視化させ、不正又は誤謬等の発生をより困難にさせる効果を持ち得るものと考えられる。
イ．リスクの評価・対応との統合
　リスクの評価と対応において、あるリスクにつき対応策を講じることが決定された場合、リスク、とりわけ業務プロセスのリスクに対応するのは、主として業務の中に組み込まれた統制活動である。この点でリスクの評価・対応と統制活動は密接な関係にある。組織は、統制活動においてリスクへの対応策が適切に実行されているかを把握し、必要に応じて、統制活動の改善を図ることが重要である。
ロ．統制活動の方針と手続
　統制活動の方針は、全社にわたって標準的・統一的に定められることが適切なものについては、例えば、全社的な職務規程等の形で整備するとともに、これに加えて組織内の各部門又は活動単位ごとに定めることが適切なものについては、個々の業務手順等を整備することが考えられる。
　また、この統制活動の方針を達成するため、それぞれの業務につき、必要に応じ、承認、検証、記録等の適切な手続を設けることが考えられる。

① 情報の識別・把握・処理
　組織は、認識された情報の中から真実かつ公正な情報を特定し（識別）、当該情報が組織にとって必要であると判断した場合には、その情報を情報システムに取り入れる（把握）。情報システムとは、手作業によるか、機械化された情報システムによるかにかかわらず、情報を処理及び伝達するための仕組みをいい、情報システムに取り入れられた情報は、分類、整理、選択、演算など、目的に応じて加工される（処理）。
② 情報の伝達
　組織においては、識別、把握、処理された情報が組織内又は組織外に適切に伝達される仕組みを整備することが重要となる。組織内においては、例えば、経営者の方針は組織内のすべての者に適時かつ適切に伝達される必要がある。また、不正又は誤謬等の発生に関する情報など内部統制に関する重要な情報が、経営者及び組織内の適切な管理者に適時かつ適切に伝達される仕組みを整備することが重要である。
　一方、情報は組織外に対して適切に伝達又は報告される必要があり、例えば、株主、監督機関その他の外部の関係者に対する報告や開示等において、適正に情報を提供していく必要がある。また、不正又は誤謬等の重要な情報は、取引先等の関係者を通じて、組織の外部から提供されることがあるため、情報を組織の外部に伝達又は報告する仕組みだけでなく、組織の外部からの情報を入手するための仕組みも整備することが重要である。
③ 内部通報制度など
　組織においては、通常の伝達経路ではないものの、組織の情報と伝達及びモニタリングの仕組みの一つとして、内部通報制度を設ける場合がある。内部通報制度は、法令等の遵守等をはじめとする問題について、組織のすべての構成員から、経営者、取締役会、監査役又は監査委員会、場合によっては弁護士等の外部の窓口に直接、情報を伝達できるようにするものである。内部通報制度を導入する場合、経営者は、内部通報制度を有効に機能させるために、通報者を保護する仕組みを整備するとともに、必要な是正措置等を取るための方針及び手続を整備することが重要である。
　また、組織外部の者から内部統制に関する情報が提供されることもあることから、こうした情報が寄せられた場合にどのように対応するかについての方針及び手続を定めておくことが重要である。
④ 他の基本的要素との関係
　情報と伝達は、内部統制の他の基本的要素を相互に結びつけ、内部統制の有効な運用を可能とする機能を有している。
　例えば、統制環境において新たな経営方針を策定した場合、この内容が組織の適切な者に伝えられ、その内容が正確に理解されることにより、適時にリスクの評価と対応が行われ、適切な統制活動が実施される。
　一方で、統制活動やモニタリングにおいて内部統制の不備に関する重要な情報が発見された場合は、その情報が経営者又は適切な管理者に伝達されることにより、必要に応じて統制環境に含まれる全社的な計画、方針等が変更される。
　組織の内部統制の有効性を確保するためには、組織の情報システムが適切に構築され、質の高い情報と適切な伝達の経路が確保されることが重要である。

① 日常的モニタリング
　日常的モニタリングは、通常の業務に組み込まれた一連の手続を実施することで、内部統制の有効性を継続的に検討・評価することをいう。業務活動を遂行する部門内で実施される内部統制の自己点検ないし自己評価も日常的モニタリングに含まれる。
　例えば、財務報告に関しては、売掛金の管理を行うために、重要な売掛金について、定期又は随時に、適切な管理者等が担当者の行った残高確認の実施過程と発見された差異の分析・修正作業を監視することがある。この手続は財務情報の正確性及び資産の実在性を確認するために有効であるとともに、不一致の存在が確認された場合には、その修正にとどまらず、販売プロセスの問題点を発見してその改善を促すことにつながり得ると考えられる。
② 独立的評価
　日常的モニタリングでは発見できないような経営上の問題がないかを、別の視点から評価するために定期的又は随時に行われるものが独立的評価である。
イ． 経営者による独立的評価
　経営者は、組織の代表者として内部統制の整備及び運用に最終的な責任を有しており、この観点から独立的評価を実施することになる。ただし、経営者が直接実施できる活動には限界がある。したがって、通常は、内部監査部門等に適切な指示を行い、その結果を監視することによって独立的評価を遂行することとなる。
ロ． 取締役会による独立的評価
　取締役会は内部統制の整備及び運用に係る基本方針を決定する。また、取締役会は取締役の職務の執行を監督する責任を負う。
　こうした機能を果たすため、取締役会は、経営者が内部統制を取締役会の決定に従って適切に整備し、運用しているか監視する責務を負っているものと考えられる。
ハ． 監査役又は監査委員会による独立的評価
　監査役又は監査委員会は、取締役等の職務の執行を監査する。
　監査役又は監査委員会は有効なモニタリングを実施するため、調査を補助する者を使用することがある。この際、監査役又は監査委員会は、調査を補助する者について、調査対象となる業務活動、取締役等からの独立性を確保することが重要である。
ニ． 内部監査部門等による独立的評価
　内部監査は、一般に、経営者の直属として設置された内部監査人が、業務活動の遂行に対して独立した立場から、内部統制の整備及び運用の状況を調査し、その改善事項を報告するものである。
③ 内部統制上の問題についての報告
　モニタリングを通じて識別された内部統制の不備は、その内容に則して、適切な者に適時に報告されることが必要であり、このための方針及び手続を定めておくことが重要である｡
　日常的モニタリングにより識別された問題点は、通常、モニタリングを実施した部門において分析され対応が図られることとなるが、同時に、問題点とその対応策を取りまとめて、その上位の管理者等に報告するとともに、必要に応じて、経営者、取締役会、監査役又は監査委員会等にも報告することが求められる。
　独立的評価により識別された問題点は、内部監査人によるものについては、経営者が適時に報告を受ける仕組みを確保することが重要であり、必要に応じて、取締役会、監査役又は監査委員会等にも報告することが求められる。取締役会、監査役又は監査委員会による独立的評価の結果は、取締役会で報告され、経営者による適切な対応を求めていくことが重要である。
　経営者は、報告された問題点に対して、そのリスクを分類、分析、評価して、適切な対応を選択していく必要がある。
　内部統制の不備に係る情報が、非常に広範囲にわたる内部統制の不備の兆候を示していることも多い。そのため、特定の取引又は事象に係る不備に係る報告を受けた経営者は、必要に応じて、さらに広い範囲の調査の実施について検討を指示することが重要である。

　ＩＴ環境の飛躍的な進展によってＩＴが組織に深く浸透した現状に照らして、本基準における「Ⅰ．内部統制の基本的枠組み」では、「ＩＴへの対応」を基本的要素の１つに加えている。組織の業務内容がＩＴに大きく依存していたり、組織の情報システムがＩＴを高度に取り入れている等、現状では多くの組織がＩＴ抜きでは業務を遂行することができなくなっている。ＩＴへの対応を基本的要素に加えたことは、組織に深くＩＴが浸透している現状では、業務を実施する過程において組織内外のＩＴに対し適切に対応することが、内部統制の目的を達成するために不可欠となっていることを示したものであって、組織に新たなＩＴシステムの導入を要求したり、既存のＩＴシステムの更新を強いるものではない。

　組織は、組織を取り巻くＩＴ環境を適切に理解し、それを踏まえて、ＩＴの利用及び統制について適切な対応を行う必要がある。個々の組織を取り巻くＩＴ環境の具体例として、組織が考慮しなければならない項目には以下のものが挙げられる。
イ．社会及び市場におけるＩＴの浸透度
ロ．組織が行う取引等におけるＩＴの利用状況
ハ．組織が選択的に依拠している一連の情報システムの状況（情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか等）
ニ．ＩＴを利用した情報システムの安定度
ホ．ＩＴに係る外部委託の状況

〔ＩＴの利用〕
ＩＴには、情報処理の有効性、効率性等を高める効果があり、これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができる。
イ. 統制環境の有効性を確保するためのＩＴの利用
　統制環境のうちＩＴに関連する事項としては、例えば、次のものが挙げられる。
　(ア) 経営者のＩＴに対する関心、考え方
　(イ) ＩＴに関する戦略、計画、予算等の策定及び体制の整備
　(ウ) 組織の構成員のＩＴに関する基本的な知識や活用する能力
　(エ) ＩＴに係る教育、研修に関する方針
　また、ＩＴの利用は、統制環境の整備及び運用を効率的に行っていく上でも重要となる。例えば、電子メールといったＩＴを利用することは、経営者の意向、組織の基本的方針や決定事項等を組織の適切な者に適時に伝達することを可能にし、統制環境の整備及び運用を支援することになる。
　一方で、ＩＴの利用は、例えば、経営者や組織の重要な構成員等が電子メール等を用いることにより、容易に不正を共謀すること等も可能としかねず、これを防止すべく適切な統制活動が必要となることにも留意する必要がある。
ロ. リスクの評価と対応の有効性を確保するためのＩＴの利用
　組織内外の事象を認識する手段として、またリスク情報を共有する手段としてＩＴを利用することにより、リスクの評価と対応をより有効かつ効率的に機能させることが可能となる。例えば、販売管理部門又は経理部門において、売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする仕組みをＩＴを利用して構築しておくことにより、適切な売掛債権の管理を有効かつ効率的に行うことが可能となる。
　また、ＩＴを利用して組織内部におけるリスク情報の共有状況を把握し、これに基づき、リスクが適切な者の間で共有されているかを分析し、その結果に基づいて、リスク情報の共有範囲を見直すなどの内部統制の整備を行うことも考えられる。
ハ. 統制活動の有効性を確保するためのＩＴの利用
　ＩＴを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となる。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることが考えられる。
　統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、結果として、内部統制の評価及び監査の段階における手続の実施も容易なものとなる。一方で、統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられ、適切なアクセス管理等の措置を講じておくことにつき留意する必要がある。
ニ. 情報と伝達の有効性を確保するためのＩＴの利用
　ＩＴの利用により、組織内部での情報伝達の手段を効果的に業務プロセスに組み込むことも可能となる。ＩＴを利用した情報システム、特にネットワークが使われている場合には、例えば、必要な承認や作業完了が一定期間に実施されないと、その旨が担当者の上司に伝達される機能など、業務管理に必要な情報の伝達を、業務プロセスに組み込むこともできる。
　ホームページ上でメッセージの掲載などＩＴを利用することにより、組織外部に向けた報告を適時に行うことが可能となるとともに、ＩＴを利用して、自社製品へのクレーム情報等を外部から収集したりすることも可能である。ただし、組織外部への情報の公開及び情報の収集にＩＴを利用する場合には、特に外部からの不正な侵入等に対して適切な防止措置を講じるなどの留意が必要となる。
ホ. モニタリングの有効性を確保するためのＩＴの利用
　統制活動の有効性に関する日常的モニタリングは、日常の業務活動を管理するシステムに組み込み自動化することで、より網羅的に実施することが可能となる。その結果、独立的評価に当たってリスクを低く見積もることができるため、独立的評価の頻度を低くしたり、投入する人員を少なくすることも可能となる。
　一方、ＩＴを利用したモニタリングは、予めモニタリングする指標を設定してプログラミングしておく必要があるため、システム設計段階から計画的に準備を進めることが必要となる。

　以上のとおり、内部統制にＩＴを利用することにより、より有効かつ効率的な内部統制の構築が期待できる反面、ＩＴを高度に取り入れた情報システムは、手作業による情報システムと異なり、稼動後の大幅な手続の修正が困難であるとの問題がある。
　また、システムの仕様によっては、ＩＴを利用して実施した手続や情報の変更等が適切に記録されないことがあり、そのような場合には、事後の検証が困難となるとの問題が生じうる。
　したがって、内部統制の整備及び運用に当たっては、ＩＴを利用した情報システムの特性を十分に理解し、予め計画的に準備を進めるとともに、適切な事後の検証方法等について検討しておく必要がある。
　なお、内部統制にＩＴを利用せず、専ら手作業によって内部統制が運用されている場合には、例えば、手作業による誤謬等を防止するための内部統制を、別途構築する必要等が生じ得ると考えられるが、そのことが直ちに内部統制の不備となるわけではないことに留意する。

〔ＩＴの統制〕
ＩＴの統制とは、ＩＴを取り入れた情報システムに関する統制であり、自動化された統制を中心とするが、しばしば、手作業による統制が含まれる。
イ． 組織目標を達成するためのＩＴの統制目標
　ＩＴの統制を有効なものとするために経営者が設定する目標を、ＩＴの統制目標と呼ぶ。ＩＴの統制目標としては、例えば、次のものが挙げられる。
　a. 有効性及び効率性：情報が業務に対して効果的、効率的に提供されていること
　b. 準拠性：情報が関連する法令や会計基準、社内規則等に合致して処理されていること
　c. 信頼性：情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること（正当性、完全性、正確性）
　d. 可用性：情報が必要とされるときに利用可能であること
　e. 機密性：情報が正当な権限を有する者以外に利用されないように保護されていること
　財務報告の信頼性を確保するためのＩＴの統制は、会計上の取引記録の正当性、完全性及び正確性を確保するために実施される。
　正当性とは、取引が組織の意思・意図にそって承認され、行われることをいい、完全性とは、記録した取引に漏れ、重複がないことをいい、正確性とは、発生した取引が財務や科目分類などの主要なデータ項目に正しく記録されることをいう。
　金融商品取引法による内部統制報告制度においては、ＩＴの統制についても、財務報告の信頼性を確保するために整備するものであり、財務報告の信頼性以外の他の目的を達成するためのＩＴの統制の整備及び運用を直接的に求めるものではない。
ロ． ＩＴの統制の構築
　経営者は、自ら設定したＩＴの統制目標を達成するため、ＩＴの統制を構築する。
　ＩＴに対する統制活動は、全般統制と業務処理統制の二つからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となる。
ａ．ＩＴに係る全般統制
　ＩＴに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。
ＩＴに係る全般統制の具体例としては、以下のような項目が挙げられる。
・システムの開発、保守に係る管理
・システムの運用・管理
・内外からのアクセス管理などシステムの安全性の確保
・外部委託に関する契約の管理

　ＩＴを利用した情報システムにおいては、一旦適切な内部統制（業務処理統制）を組み込めば、意図的に手を加えない限り継続して機能する性質を有しているが、例えば、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しない場合には、適切な内部統制（業務処理統制）を組み込んだとしても、その有効性が保証されなくなる可能性がある。
　こうした問題に対応していくためには、例えば、
① システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
② プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる
など、全般的な統制活動を適切に整備することが重要となる。

　ＩＴに係る全般統制は、通常、業務を管理するシステムを支援するＩＴ基盤（ハードウェア、ソフトウェア、ネットワーク等）を単位として構築することになる。例えば、購買、販売、流通の３つの業務管理システムが１つのホスト・コンピュータで集中管理されており、すべて同一のＩＴ基盤の上で稼動している場合、当該ＩＴ基盤に対する有効な全般統制を構築することにより、３つの業務に係る情報の信頼性を高めることが期待できる。
　一方、３つの業務管理システムがそれぞれ異なるＩＴ基盤の上で稼働している場合には、それぞれのＩＴ基盤を管理する部門、運用方法等が異なっていることが考えられ、それぞれのＩＴ基盤ごとに全般統制を構築することが必要となる。
ｂ．ＩＴに係る業務処理統制
　ＩＴに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたＩＴに係る内部統制である。
　ＩＴに係る業務処理統制の具体例としては、以下のような項目が挙げられる。
・入力情報の完全性、正確性、正当性等を確保する統制
・例外処理（エラー）の修正と再処理
・マスタ・データの維持管理
・システムの利用に関する認証、操作範囲の限定などアクセスの管理
　これらの業務処理統制は、手作業により実施することも可能であるが、システムに組み込むことにより、より効率的かつ正確な処理が可能となる。

　内部統制の限界とは、適切に整備され、運用されている内部統制であっても、内部統制が本来有する制約のため有効に機能しなくなることがあり、内部統制の目的を常に完全に達成するものとはならない場合があることをいう。
　内部統制は、判断の誤り、不注意、複数の担当者による共謀によって有効に機能しなくなる場合がある。しかし、内部統制を整備することにより、判断の誤り、不注意によるリスクは相当程度、低減されるとともに、複数の担当者が共謀して不正を行うことは、相当程度困難なものになる。
　また、内部統制は、当初想定していなかった組織内外の環境の変化や非定型的な取引等には、必ずしも対応しない場合がある。しかし、例えば、当初想定していなかった環境の変化や非定型的な取引の発生しやすいプロセスに重点的に知識・経験を有する者を配置するなど、的確に内部統制を整備することによって、当初想定していなかった環境の変化や非定型的な取引に対する対応の範囲は相当程度、拡げることができる。
　内部統制は、組織の経営判断において、費用と便益との比較衡量の下で整備及び運用される。組織は、ある内部統制の手続を導入又は維持することの可否を決定する際に、そのための費用と、その手続によるリスクへの対応を図ることから得られる便益とを比較検討する。
　さらに、経営者が不当な目的のために内部統制を無視ないし無効ならしめることがある。しかし、経営者が、組織内に適切な全社的又は業務プロセスレベルに係る内部統制を構築していれば、複数の者が当該事実に関与することから、経営者によるこうした行為の実行は相当程度、困難なものになり、結果として、経営者自らの行動にも相応の抑止的な効果をもたらすことが期待できる。
　なお、当初想定していなかった組織内外の環境の変化や非定型的な取引等に対して、経営者が既存の内部統制の枠外での対応を行うこと、既存の内部統制の限界を踏まえて、正当な権限を受けた者が経営上の判断により別段の手続を行うことは、内部統制を無視する、又は無効にすることには該当しない。

　経営者は、組織を代表（会社法第349 条）し、業務を執行する権限を有するとともに、取締役会による基本方針の決定を受けて、組織の内部統制を整備及び運用する役割と責任を負っている。
　経営者は、会社の代表者として有価証券報告書を提出する立場にあり、開示書類の信頼性に係る最終的な責任を有している。
　金融商品取引法における内部統制報告制度においても、内部統制報告書に会社の代表者がその役職氏名を記載して提出することになると考えられ、経営者は、財務報告に係る内部統制の整備及び運用について適正に評価・報告することが求められる。
　なお、会社が最高財務責任者を置いている場合には、代表者と併せて、最高財務責任者の署名等を求めることが考えられる。

　取締役会は、組織の業務執行に関する意思決定機関であり、内部統制の基本方針を決定する。また、取締役会は、経営者の職務執行に関する監督機関であり、経営者を選定及び解職する権限を有する（会社法第362 条、第416 条、第420 条）。
　したがって、取締役会は経営者による内部統制の整備及び運用に対しても監督責任を有している。

　監査役又は監査委員会は取締役等の職務の執行を監査する（会社法第381条第1項、第404条第2項第1号）。また、監査役又は監査委員会は、会計監査を含む、業務監査を行う。
　監査役又は監査委員会は、業務監査の一環として、財務報告の信頼性を確保するための体制を含め、内部統制が適切に整備及び運用されているかを監視する。また、会社法上、監査役又は監査委員会は、会計監査人が計算書類について実施した会計監査の方法と結果の相当性を評価することとされている。
　一方、本基準で示す内部統制監査において、監査人は、監査役が行った業務監査の中身自体を検討するものではないが、財務報告に係る全社的な内部統制の評価の妥当性を検討するに当たり、監査役又は監査委員会の活動を含めた経営レベルにおける内部統制の整備及び運用状況を、統制環境、モニタリング等の一部として考慮する。

　内部監査人は、内部統制の整備及び運用状況を調査、検討、評価し、その結果を組織内の適切な者に報告する。内部監査人は、経営者の直属として設置されることが多く、内部統制の独立的評価において重要な役割を担っている。
　内部監査人がその業務を遂行するには、内部監査の対象となる組織内の他の部署等からの制約を受けることなく、客観性を維持できる状況になければならない。このため、経営者は、内部監査人の身分等に関して、内部監査の対象となる業務及び部署から独立し、当該業務及び部署に対し直接の権限や責任を負わない状況を確保することが重要である。
　また、内部監査の有効性を高めるため、経営者は、内部監査人から適時・適切に報告を受けることができる体制を確保することが重要である。

　内部統制は組織内のすべての者によって遂行されるプロセスである。上記（１）～（４）以外の組織内のその他の者も、日常業務の中で、例えば、統制活動、組織内での情報と伝達及び日常的モニタリングなどに関する活動を遂行しており、自らの権限と責任の範囲で、有効な内部統制の整備及び運用に関して一定の役割と責任を有している。なお、組織内のその他の者には、正規の従業員のほか、組織において一定の役割を担って業務を遂行する短期、臨時雇用の従業員も含まれる。

　以上に示した内部統制の基本的な枠組みを踏まえ、特に財務報告に係る具体的な内部統制の構築に関して、重要となる点を列挙すれば以下のとおりである。経営者は、以下に挙げるような事項を確認し、何らかの不備があった場合には、必要に応じて改善を図ることが求められる。
　○ 適正な財務報告を確保するための全社的な方針や手続が示されるとともに、適切に整備及び運用されていること
　・適正な財務報告についての意向等の表明及びこれを実現していくための方針・原則等の設定
　・取締役会及び監査役又は監査委員会の機能発揮
　・適切な組織構造の構築
○ 財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされること
　・重要な虚偽記載が発生する可能性のあるリスクの識別、分析
　・リスクを低減する全社的な内部統制及び業務プロセスに係る内部統制の設定
○ 財務報告の重要な事項に虚偽記載が発生するリスクを低減するための体制が適切に整備及び運用されていること
　・権限や職責の分担、職務分掌の明確化
　・全社的な職務規程等や必要に応じた個々の業務手順等の整備
　・統制活動の実行状況を踏まえた、統制活動に係る必要な改善
○ 真実かつ公正な情報が識別、把握及び処理され、適切な者に適時に伝達される仕組みが整備及び運用されていること
　・明確な意向、適切な指示の伝達を可能とする体制の整備
　・内部統制に関する重要な情報が適時・適切に伝達される仕組みの整備
　・組織の外部から内部統制に関する重要な情報を入手するための仕組みの整備
○ 財務報告に関するモニタリングの体制が整備され、適切に運用されていること
　・財務報告に係る内部統制の有効性を定時又は随時に評価するための体制の整備
　・内部・外部の通報に適切に対応するための体制の整備
　・モニタリングによって把握された内部統制上の問題（不備）が、適時・適切に報告されるための体制の整備
○ 財務報告に係る内部統制に関するＩＴに対し、適切な対応がなされること
・ＩＴ環境の適切な理解とこれを踏まえたＩＴの有効かつ効率的な利用
・ＩＴに係る全般統制及び業務処理統制の整備

内部統制の構築の手続は各組織において異なるが、内部統制の評価及び報告に先立つ準備作業として求められる一般的な手続を示すことは可能であると考えられたことから、以下に例示することとした。
① 基本的計画及び方針の決定
　内部統制の構築は、経営者の一貫した方針の下で実施されることが重要である。会社法の規定によって、内部統制の基本方針は取締役会が決定することとされており、経営者は、取締役会の決定を踏まえて、財務報告に係る内部統制を組織内の全社的なレベル及び業務プロセスのレベルにおいて実施するための基本的計画及び方針を定める必要がある。
　経営者が定めるべき基本的計画及び方針としては、例えば、以下のようなものが挙げられる。
　・適正な財務報告を実現するために構築すべき内部統制の方針・原則、範囲及び水準
　・内部統制の構築に当たる経営者以下の責任者及び全社的な管理体制
　・内部統制の構築に必要な手順及び日程
　・内部統制の構築に係る個々の手続に関与する人員及びその編成並びに事前の教育・訓練の方法等
② 内部統制の整備状況の把握
　内部統制の基本的計画及び方針が決定された後、組織内では、内部統制の整備状況を把握し、その結果を記録・保存する。こうした作業は、経営者及び内部統制の構築に責任を有する者の指示の下、組織内における全社的なプロジェクトとして実施されることが有効である。
　財務報告に係る全社的な内部統制については、既存の内部統制に関する規程、慣行及びその遵守状況等を踏まえ、全社的な内部統制の整備状況を把握し、記録・保存する。特に、暗黙裡に実施されている社内の決まり事等がある場合には、それを明文化しておくことが重要である。
　なお、全社的な内部統制の整備状況の把握に当たっては、例えば、「Ⅱ 財務報告に係る内部統制の評価及び報告」参考１（財務報告に係る全社的な内部統制に関する評価項目の例）に掲げられた項目を適宜参照することが有用と考えられる。
　また、財務報告に係る業務プロセスにおける内部統制については、重要な業務プロセスについて、例えば、次のような手順で内部統制の整備状況を把握し、記録・保存する。
　ａ．組織の重要な各業務プロセスについて、取引の流れ、会計処理の過程を、必要に応じ図や表を活用して整理し、理解する。
　ｂ．これらの各業務プロセスについて虚偽記載の発生するリスクを識別し、それらのリスクがいかなる財務報告又は勘定科目等と関連性を有するのか、また、識別されたリスクが業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか、必要に応じ図や表を活用して、検討する。

　上記ａ．ｂ．における図や表については、「Ⅱ 財務報告に係る内部統制の評価及び報告」参考２（業務の流れ図（例）、業務記述書（例））～参考３（リスクと統制の対応（例））が参考となる。

　内部統制の整備の状況を記録し、可視化することで、内部統制の有効性に関する評価が実施できる状態となる。

　（注）業務プロセスの識別の例としては、以下の図のようなものが考えられるが、組織により業務の態様等が異なるため、どのように業務プロセスを識別・整理するかについては、組織ごとに判断される必要がある。
　＜業務プロセス細分化の例　省略＞
③ 把握された不備への対応及び是正
　内部統制の整備状況の把握の過程で把握された内部統制の不備には適切な対応が図られなければならない。経営者及び内部統制の構築に責任を有する者は、内部統制の基本的計画及び方針に基づいて、不備の是正措置をとる。
　全社的な内部統制については、例えば、「Ⅱ 財務報告に係る内部統制の評価及び報告」参考１（財務報告に係る全社的な内部統制に関する評価項目の例）に掲げられた項目を参考に、問題があれば、必要な是正をする。
　また、業務プロセスに係る内部統制については、例えば、次のような手順で是正する。
　ａ．現状、業務に組み込まれている内部統制が、虚偽記載の発生するリスクを十分に低減できるものとなっていない場合には、当該内部統制を是正するための措置を講じる。
　ｂ．ａ．によって新たな取引の流れ、会計処理の過程ができた場合には、必要に応じ②ａ．及びｂ．の図や表を更新する。

　金融商品取引法で求める内部統制報告制度は、財務報告の信頼性を確保することが目的であって、財務報告に係る内部統制の不備は、内部統制報告に先立って、適切に対応及び是正されていることが期待される。経営者は、内部統制報告の実施までに、自社内の内部統制が有効なものとなるよう改善していくことが求められる。

① 財務報告の範囲
イ． 「財務諸表」とは、連結財務諸表の用語、様式及び作成方法に関する規則（昭和51年大蔵省令第28 号）第1 条に規定する連結財務諸表及び財務諸表等の用語、様式及び作成方法に関する規則（昭和38 年大蔵省令第59 号）第1 条に規定する財務諸表をいう。
ロ． 「財務諸表の信頼性に重要な影響を及ぼす開示事項等」とは、有価証券報告書等における財務諸表以外の開示事項等で次に掲げるものをいう。
　a. 財務諸表に記載された金額、数値、注記を要約、抜粋、分解又は利用して記載すべき開示事項（以下「財務諸表の表示等を用いた記載」という。）。
　例えば、有価証券報告書の記載事項中、「企業の概況」の「主要な経営指標等の推移」の項目、「事業の状況」の「業績等の概要」、「生産、受注及び販売の状況」、「研究開発活動」及び「財政状態及び経営成績の分析」の項目、「設備の状況」の項目、「提出会社の状況」の「株式等の状況」、「自己株式の取得等の状況」、「配当政策」及び「コーポレート・ガバナンスの状況」の項目、「経理の状況」の「主要な資産及び負債の内容」及び「その他」の項目、「保証会社情報」の「保証の対象となっている社債」の項目並びに「指数等の情報」の項目のうち、財務諸表の表示等を用いた記載が挙げられる。
　なお、この点に係る経営者の評価は、財務諸表に記載された内容が適切に要約、抜粋、分解又は利用される体制が整備及び運用されているかについてのものであることに留意する。
　b. 関係会社の判定、連結の範囲の決定、持分法の適用の要否、関連当事者の判定その他財務諸表の作成における判断に密接に関わる事項
　例えば、有価証券報告書の記載事項中、「企業の概況」の「事業の内容」及び「関係会社の状況」の項目、「提出会社の状況」の「大株主の状況」の項目における関係会社、関連当事者、大株主等の記載事項が挙げられる。
　なお、この点に係る経営者の評価は、これらの事項が財務諸表作成における重要な判断に及ぼす影響の大きさを勘案して行われるものであり、必ずしも上記開示項目における記載内容の全てを対象とするものではないことに留意する。
② 重要な欠陥の判断指針
　本基準においては、財務報告の信頼性に与える影響の程度の観点から、重要な欠陥の判断指針を示している。重要な欠陥の判断指針は、企業の置かれた環境や事業の特性等によって異なるものであり、一律に示すことはできないが、基本的には、財務報告全般に関する虚偽記載の発生可能性と影響の大きさのそれぞれから判断される。
　したがって、以下に述べる重要な欠陥の判断指針は、不備が重要な欠陥に該当するか判断する際に用いられるものであり、Ⅱ．２．（２）②「評価対象とする業務プロセスの識別」において個別に評価対象に追加する業務プロセスを決定する際に用いる指針として示したものではないことに留意する必要がある。
イ．内部統制の不備
　内部統制の不備は、内部統制が存在しない、又は規定されている内部統制では内部統制の目的を十分に果たすことができない等の整備上の不備と、整備段階で意図したように内部統制が運用されていない、又は運用上の誤りが多い、あるいは内部統制を実施する者が統制内容や目的を正しく理解していない等の運用の不備からなる。
　内部統制の不備は単独で、又は複数合わさって、一般に公正妥当と認められる企業会計の基準及び財務報告を規制する法令に準拠して取引を記録、処理及び報告することを阻害し、結果として重要な欠陥となる可能性がある。
ロ．重要な欠陥
　内部統制の重要な欠陥とは、内部統制の不備のうち、一定の金額を上回る虚偽記載、又は質的に重要な虚偽記載をもたらす可能性が高いものをいう。
　経営者は、内部統制の不備が重要な欠陥に該当するか判断する際には、金額的な面及び質的な面の双方について検討を行う。
　財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行うので、重要な影響の水準も原則として連結財務諸表に対して判断する。
　a. 金額的な重要性の判断
　金額的重要性は、連結総資産、連結売上高、連結税引前利益などに対する比率で判断する。これらの比率は画一的に適用するのではなく、企業の業種、規模、特性など、会社の状況に応じて適切に用いる必要がある。
　（注）例えば、連結税引前利益については、概ねその５％程度とすることが考えられるが、最終的には、財務諸表監査における金額的重要性との関連に留意する必要がある。
　b. 質的な重要性の判断
　質的な重要性は、例えば、上場廃止基準や財務制限条項に関わる記載事項などが投資判断に与える影響の程度や、関連当事者との取引や大株主の状況に関する記載事項などが財務報告の信頼性に与える影響の程度で判断する。

① 連結ベースの評価範囲
　「財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行うものとする」とは、連結財務諸表を構成する有価証券報告書提出会社及び当該会社の子会社並びに関連会社を、財務報告に係る内部統制の評価範囲の決定手続を行う際の対象とすることをいい、次の点に留意するものとする。
イ． 連結対象となる子会社等（組合等を含む。）は、評価範囲を決定する際の対象に含まれる。なお、子会社が上場しており、当該子会社が本基準に基づき内部統制報告書を作成し監査を受けている場合、親会社は、当該子会社の財務報告に係る内部統制の有効性の評価に当たって、当該子会社の財務報告に係る内部統制報告書（内部統制報告書が作成途上である場合における当該子会社からの報告等を含む。）を利用することができる。
ロ． 持分法適用となる関連会社は、評価範囲を決定する際の対象に含まれる。ただし、当該関連会社が本基準に基づき内部統制報告書を作成し監査を受けている場合、又は当該関連会社が他の会社の子会社であって当該関連会社の親会社が本基準に基づき内部統制報告書を作成し監査を受けている場合には、イ．のなお書きに準じて取り扱う。なお、当該関連会社における他の支配株主の存在の有無、当該関連会社への投資持分及び持分法損益の状況、役員（取締役、監査役等）の派遣や兼任の状況などによって、子会社と同様の評価が行えないことが考えられるが、そうした場合には、全社的な内部統制を中心として、当該関連会社への質問書の送付、聞き取りあるいは当該関連会社で作成している報告等の閲覧等適切な方法により評価を行う必要がある。
ハ． 在外子会社等についても、評価範囲を決定する際の対象に含まれる。ただし、当該在外子会社等について、所在地国に適切な内部統制報告制度がある場合には、当該制度を適宜活用することが可能である。また、所在地国に内部統制報告制度がない場合であっても、歴史的、地理的な沿革等から我が国以外の第三国の適切な内部統制報告制度が利用できることが考えられ、そのような場合には、これを適宜活用することが可能である。
② 委託業務の評価
イ． 委託業務の評価の範囲
　委託業務には、例えば、企業が財務諸表の作成の基礎となる取引の承認、実行、計算、集計、記録又は開示事項の作成等の業務を企業集団の外部の専門会社に委託している場合が挙げられる。
　委託業務に関しては、委託者が責任を有しており、委託業務に係る内部統制についても評価の範囲に含まれる。委託業務が、企業の重要な業務プロセスの一部を構成している場合には、経営者は、当該業務を提供している外部の受託会社の業務に関し、その内部統制の有効性を評価しなければならない。
ロ． 委託業務に係る内部統制の評価
　経営者は、委託業務に係る内部統制について、当該受託会社が実施している内部統制の整備及び運用状況を把握し、適切に評価しなければならない。その際には、以下の手続のいずれかにより内部統制の有効性を評価することも考えられる。
　a. サンプリングによる検証
　委託業務結果の報告書と基礎資料との整合性を検証するとともに、委託業務の結果について、一部の項目を企業内で実施して検証する。
　例えば、給与計算業務について、受託会社に委託した給与データの対象人数を受託会社から受領した計算データの件数と、企業において比較するとともに、無作為に抽出したその一部について、企業において検算を実施する。
　b. 受託会社の評価結果の利用
　委託業務に係る内部統制の整備及び運用状況に関しては、経営者は、委託業務に関連する内部統制の評価結果を記載した報告書等を受託会社から入手して、自らの判断により委託業務の評価の代替手段とすることが考えられる。
　その際、経営者は、当該報告書等が十分な証拠を提供しているかどうかを検討しなければならない。

　経営者は、全社的な内部統制の評価を行い、その評価結果を踏まえて、業務プロセスの評価の範囲を決定する。
　なお、全社的な内部統制については、以下の「業務プロセスに係る評価の範囲の決定」において記述する手順により評価の範囲を決定する対象には含まれず、原則として、すべての事業拠点について全社的な観点で評価することに留意する。
　ただし、財務報告に対する影響の重要性が僅少である事業拠点に係るものについて、その重要性を勘案して、評価対象としないことを妨げるものではない。
〔業務プロセスに係る評価の範囲の決定〕
　主として経理部門が担当する決算・財務報告に係る業務プロセスのうち、全社的な観点で評価することが適切と考えられるものについては、全社的な内部統制に準じて、すべての事業拠点について全社的な観点で評価することに留意する。
　（注）全社的な観点で評価することが適切と考えられる決算・財務報告プロセスには、例えば、以下のような手続が含まれる。 　・総勘定元帳から財務諸表を作成する手続
　・連結修正、報告書の結合及び組替など連結財務諸表作成のための仕訳とその内容を記録する手続
　・財務諸表に関連する開示事項を記載するための手続
　ただし、財務報告に対する影響の重要性が僅少である事業拠点に係るものについて、その重要性を勘案して、評価対象としないことを妨げるものではない。

　上記以外の業務プロセスについては、以下の手順で評価範囲を決定する。
① 重要な事業拠点の選定
　企業が複数の事業拠点を有する場合には、評価対象とする事業拠点を売上高等の重要性により決定する。例えば、本社を含む各事業拠点の売上高等の金額の高い拠点から合算していき、連結ベースの売上高等の一定の割合に達している事業拠点を評価の対象とする。
　（注１）事業拠点は、必ずしも地理的な概念にとらわれるものではなく、企業の実態に応じ、本社、子会社、支社、支店のほか、事業部等として識別されることがある。
　また、事業拠点を選定する指標として、基本的には、売上高が用いられるが、企業の置かれた環境や事業の特性によって、異なる指標や追加的な指標を用いることがある。
　（注２）一定割合をどう考えるかについては、企業により事業又は業務の特性等が異なることから、一律に示すことは困難であると考えられるが、全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合を概ね２／３程度とし、これに以下②で記述する、重要性の大きい個別の業務プロセスの評価対象への追加を適切に行うことが考えられる。なお、連結ベースの売上高に対する一定割合ではなく、内部取引の連結消去前の売上高等に対する一定割合とする方法も考えられる。
　（注３）関連会社については、連結ベースの売上高に関連会社の売上高が含まれておらず、当該関連会社の売上高等をそのまま一定割合の算出に当てはめることはできないことから、別途、各関連会社が有する財務諸表に対する影響の重要性を勘案して評価対象を決定する。
　なお、期末日直前の買収・合併、災害等、評価作業を実施することが困難な事情がある重要な事業拠点については、評価対象から除外することができるが、この場合には、内部統制報告書において評価範囲の限定の記載を行う必要があることに留意する。
② 評価対象とする業務プロセスの識別
イ．①で選定した重要な事業拠点（持分法適用となる関連会社を除く。）における、企業の事業目的に大きく関わる勘定科目（例えば、一般的な事業会社の場合、原則として、売上、売掛金及び棚卸資産）に至る業務プロセスは、原則として、すべてを評価の対象とする。
　ただし、例えば、当該重要な事業拠点が行う重要な事業又は業務との関連性が低く、財務報告に対する影響の重要性も僅少である業務プロセスについては、それらを評価対象としないことができる。その場合には、評価対象としなかった業務プロセス、評価対象としなかった理由について記録しておく必要があることに留意する。
　なお、棚卸資産に至る業務プロセスには、販売プロセスの他、在庫管理プロセス、期末の棚卸プロセス、購入プロセス、原価計算プロセス等が関連してくると考えられるが、これらのうち、どこまでを評価対象とするかについては、企業の特性等を踏まえて、虚偽記載の発生するリスクが的確に把えられるよう、適切に判断される必要がある。
　一般に、原価計算プロセスについては、期末の在庫評価に必要な範囲を評価対象とすれば足りると考えられるので、必ずしも原価計算プロセスの全工程にわたる評価を実施する必要はないことに留意する。
ロ．①で選定された事業拠点及びそれ以外の事業拠点について、財務報告への影響を勘案して、重要性の大きい業務プロセスについては、個別に評価対象に追加する。その際の留意点は以下のとおりである。
　ａ．リスクが大きい取引を行っている事業又は業務に係る業務プロセス
　例えば､財務報告の重要な事項の虚偽記載に結びつきやすい事業上のリスクを有する事業又は業務(例えば、金融取引やデリバティブ取引を行っている事業又は業務や価格変動の激しい棚卸資産を抱えている事業又は業務など)や、複雑な会計処理が必要な取引を行っている事業又は業務を行っている場合には、当該事業又は業務に係る業務プロセスは、追加的に評価対象に含めることを検討する。
　ｂ．見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス
　例えば、引当金や固定資産の減損損失、繰延税金資産（負債）など見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセスで、財務報告に及ぼす影響が最終的に大きくなる可能性があるものは、追加的に評価対象に含めることを検討する。
　ｃ．非定型・不規則な取引など虚偽記載が発生するリスクが高いものとして、特に留意すべき業務プロセス
　例えば、通常の契約条件や決済方法と異なる取引、期末に集中しての取引や過年度の趨勢から見て突出した取引等非定型・不規則な取引を行っていることなどから虚偽記載の発生するリスクが高いものとして、特に留意すべき業務プロセスについては、追加的に評価対象に含めることを検討する。
　ｄ．上記その他の理由により追加的に評価対象に含める場合において、財務報告への影響の重要性を勘案して、事業又は業務の全体ではなく、特定の取引又は事象（あるいは、その中の特定の主要な業務プロセス）のみを評価対象に含めれば足りる場合には、その部分だけを評価対象に含めることで足りる。
〔監査人との協議〕
　監査人による評価範囲の妥当性の検討の結果、後日、経営者の決定した評価範囲が適切でないと判断されることが考えられ、この場合、経営者は、新たな評価範囲について、評価し直す必要が生じるが、その手続の実施は、時間的な制約等から困難になる場合も想定される。したがって、経営者は、評価の範囲を決定した後に、当該範囲を決定した方法及びその根拠等について、必要に応じて、監査人と協議を行っておくことが適切である。

① 内部統制の評価体制
　経営者による評価とは、一義的には、経営者自らが企業の内部統制の評価を行い、評価の結果を表明することを意味する。内部統制の評価の最終的な責任は経営者にあり、評価の計画、実施、評価結果の責任は経営者が負うことになる。
　ただし、経営者がすべての評価作業を全て実施することは困難であり、経営者の指揮下で経営者を補助して評価を行う責任者を指定するほか、通常、経営者の指揮下で評価を行う部署や機関を設置することが考えられるが、例えば、自らの業務を評価することとならない範囲において、経理部、内部監査部など既設の部署を活用することも考えられる。
　経営者を補助して評価を実施する部署及び機関並びにその要員は、評価の対象となる業務から独立し、客観性を保つことが求められる。また、評価に必要な能力を有していること、すなわち、内部統制の整備及びその評価業務に精通していること、評価の方法及び手続を十分に理解し適切な判断力を有することが必要である。
　日常の業務を遂行する者又は業務を執行する部署自身による内部統制の自己点検は、それのみでは独立的評価とは認められないが、内部統制の整備及び運用状況の改善には有効であり、独立的評価を有効に機能させることにもつながるものである。自己点検による実施結果に対して独立したモニタリングを適切に実施することにより、内部統制の評価における判断の基礎として自己点検を利用することが考えられる。
② 専門家の業務の利用
　経営者は、財務報告に係る内部統制の評価作業の一部を、社外の専門家を利用して実施することができる。
　専門家による作業結果を評価の証拠として利用するかどうかについては、あくまで経営者が自らの責任において判断する必要があり、評価結果の最終的な責任は経営者が負う。そのためには、例えば、以下の事項に留意する。
　イ． 専門家が、単に業務の専門的知識のみならず、内部統制の評価について経営者の依頼内容を達成するのに必要な知識と経験を有していること
　ロ． 専門家に業務を依頼するにあたり、評価手続の具体的内容、評価対象期間、評価範囲、サンプル件数等の基本的要件を明確にすること
　ハ． 評価手続や業務の内容を明確にするため、専門家から経営者に提出される報告に盛り込まれるべき事項を明確にすること
　ニ． 専門家が実施する業務の進捗状況を定期的に検証すること
　ホ． 専門家が実施した業務結果が、依頼した基本的内容を満たしているか確認すること

① 全社的な内部統制
　全社的な内部統制は企業全体に広く影響を及ぼし、企業全体を対象とする内部統制であり、基本的には企業集団全体を対象とする内部統制を意味する。ただし、企業集団内の子会社や事業部等に独特の歴史、慣習、組織構造等が認められ、当該子会社や事業部等を対象とする内部統制を別途評価対象とすることが適切と判断される場合には、個々の子会社や事業部等のみを対象とする全社的な内部統制を評価することもある。その場合、どの子会社や事業部等の単位で内部統制を識別し、評価を実施するかは経営者が財務報告への影響の重要性を勘案して適切に判断する。
〔全社的な内部統制の評価項目〕
　全社的な内部統制の形態は、企業の置かれた環境や事業の特性等によって様々であり、企業ごとに適した内部統制を整備及び運用することが求められるが、各基本的要素ごとに、例えば、参考１（財務報告に係る全社的な内部統制に関する評価項目の例）のような評価項目が考えられる。ただし、必ずしも参考1 の例によらない場合があること及び参考1 の例による場合でも、適宜、加除修正がありうることに留意する。
② 全社的な内部統制の評価方法
　全社的な内部統制を評価するときは、評価対象となる内部統制全体を適切に理解及び分析した上で、必要に応じて関係者への質問や記録の検証などの手続を実施する。
③ 全社的な内部統制と業務プロセスに係る内部統制
　経営者は、全社的な内部統制の評価結果を踏まえ、業務プロセスに係る内部統制を評価するが、全社的な内部統制と業務プロセスに係る内部統制は相互に影響し合い、補完する関係にある。経営者は両者のバランスを適切に考慮した上で内部統制の評価を行うことが求められる。
〔企業の業務の性質等によるバランスの相違〕
企業の行う業務の性質等により、全社的な内部統制と業務プロセスに係る内部統制のどちらに重点を置くかが異なることもある。例えば、組織構造が相対的に簡易な場合には、全社的な内部統制の重要性が高くなることがある。
　一方、社内の規程や方針、手続に準拠して行う業務の割合が高い企業においては、業務プロセスに係る内部統制が相対的に重要となることが考えられる。例えば、多店舗に展開する小売販売業務においては、業務の手続を定型化する必要があり、販売規程、現金取扱規程、従業員教育規程、例外事項対応規程などの多くの業務プロセスに係る内部統制の手引きが作成されることになる。
　経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。例えば、全社的な内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係る内部統制の評価について、評価範囲の拡大や評価手続を追加するなどの措置が必要となる。一方、全社的な内部統制の評価結果が有効である場合については、業務プロセスに係る内部統制の評価に際して、サンプリングの範囲を縮小するなど簡易な評価手続を取り、又は重要性等を勘案し、評価範囲の一部について、一定の複数会計期間ごとに評価の対象とすることが考えられる。
　なお、例えば、上記①に記載のとおり、企業集団内の子会社や事業部等の特性等にかんがみ、その重要性を勘案して、個々の子会社や事業部等のみを対象とする全社的な内部統制の評価が行われた場合には、その評価結果を踏まえて、当該子会社や事業部等に係る業務プロセスにつき、評価の範囲、方法等を調整することがありうることに留意する。

　経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を統制上の要点として識別する。次に、統制上の要点となる内部統制が虚偽記載の発生するリスクを十分に低減しているかどうかを評価する。経営者は、各々の統制上の要点の整備及び運用の状況を評価することによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。
① 評価対象となる業務プロセスの把握・整理
　経営者は、評価対象となる業務プロセスにおける取引の開始、承認、記録、処理、報告を含め、取引の流れを把握し、取引の発生から集計、記帳といった会計処理の過程を理解する。把握された業務プロセスの概要については、必要に応じ図や表を活用して整理・記録することが有用である。
　（注）図や表の例としては、参考２（業務の流れ図（例）、業務記述書（例））が挙げられる。ただし、これは、必要に応じて作成するとした場合の参考例として掲載したものであり、また、企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに補足を行っていくことで足り、必ずしもこの様式による必要はないことに留意する。
② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別
イ．経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。
　このリスクを識別するに当たっては、当該不正又は誤謬が発生した場合に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となる。
　ａ．実在性－資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
　ｂ．網羅性－計上すべき資産、負債、取引や会計事象をすべて記録していること
　ｃ．権利と義務の帰属－計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
　ｄ．評価の妥当性－資産及び負債を適切な価額で計上していること
　ｅ．期間配分の適切性－取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
　ｆ．表示の妥当性－取引や会計事象を適切に表示していること
ロ．虚偽記載が発生するリスクを低減するための統制上の要点を識別する。
　経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点から識別する。
　経営者は、個々の重要な勘定科目に関係する個々の統制上の要点について、内部統制が適切に機能し、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった要件を確保する合理的な保証を提供しているかを判断することを通じて、財務報告に係る内部統制についての基本的要素が有効に機能しているかを判断する。
　なお、業務プロセスに係る内部統制の整備及び運用状況の評価については、必要に応じ、図や表を活用して整理・記録することが有用である。
　（注）図や表の例としては、参考３（リスクと統制の対応（例））が挙げられる。ただし、これは、必要に応じて作成するとした場合の参考例として掲載したものであり、また、企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに補足を行っていくことで足り、必ずしもこの様式による必要はないことに留意する。
③ 業務プロセスに係る内部統制の整備状況の有効性の評価
　経営者は、上記②によって識別した個々の重要な勘定科目に関係する個々の統制上の要点が適切に整備され、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保する合理的な保証を提供できているかについて、関連文書の閲覧、従業員等への質問、観察等を通じて判断する。この際、内部統制が規程や方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるものとなっているかにより、当該内部統制の整備状況の有効性を評価する。
　その際には、例えば、以下のような事項に留意する。
　・内部統制は、不正又は誤謬を防止又は適時に発見できるよう適切に実施されているか。
　・適切な職務の分掌が導入されているか。
　・担当者は、内部統制の実施に必要な知識及び経験を有しているか。
　・内部統制に関する情報が、適切に伝達され、分析・利用されているか。
　・内部統制によって発見された不正又は誤謬に適時に対処する手続が設定されているか。
④ 業務プロセスに係る内部統制の運用状況の有効性の評価
イ. 運用状況の評価の内容
　経営者は、業務プロセスに係る内部統制が適切に運用されているかを判断するため、業務プロセスに係る内部統制の運用状況の評価を実施する。
　経営者は、関連文書の閲覧、当該内部統制に関係する適切な担当者への質問、業務の観察、内部統制の実施記録の検証、各現場における内部統制の運用状況に関する自己点検の状況の検討等により、業務プロセスに係る内部統制の運用状況を確認する。
ロ．運用状況の評価の実施方法
　運用状況の評価の実施に際して、経営者は、原則としてサンプリングにより十分かつ適切な証拠を入手する。全社的な内部統制の評価結果が良好である場合や、業務プロセスの内部統制に関して、同一の方針に基づく標準的な手続が企業内部の複数の事業拠点で広範に導入されていると判断される場合には、サンプリングの範囲を縮小することができる。
　例えば、複数の営業拠点や店舗を展開している場合において、統一的な規程により業務が実施されている、業務の意思決定に必要な情報と伝達が良好である、内部統制の同一性をモニタリングする内部監査が実施されている等、全社的な内部統制が良好に運用されていると評価される場合には、全ての営業拠点について運用状況の評価を実施するのではなく、個々の事業拠点の特性に応じていくつかのグループに分け、各グループの一部の営業拠点に運用状況の評価を実施して、その結果により全体の内部統制の運用状況を推定し、評価することができる。
　評価対象とする営業拠点等については、計画策定の際に、一定期間で全ての営業拠点を一巡する点に留意しつつ、無作為抽出の方法を導入するなどその効果的な選定方法について検討する。
ハ．運用状況の評価の実施時期
　評価時点（期末日）における内部統制の有効性を判断するには、適切な時期に運用状況の評価を実施することが必要となる。
　運用状況の評価を期中に実施した場合、期末日までに内部統制に関する重要な変更があったときには、例えば、以下の追加手続の実施を検討する。なお、変更されて期末日に存在しない内部統制については、評価する必要はないことに留意する。
　a. 重要な変更の内容の把握・整理
　b. 変更に伴う業務プロセスにおける虚偽記載の発生するリスクとこれを低減する
統制の識別を含む変更後の内部統制の整備状況の有効性の評価
　c. 変更後の内部統制の運用状況の有効性の評価
　なお、決算・財務報告プロセスに係る内部統制の運用状況の評価については、当該期において適切な決算・財務報告プロセスが確保されるよう、仮に不備があるとすれば早期に是正が図られるべきであり、また、財務諸表監査における内部統制の評価プロセスとも重なりあう部分が多いと考えられることから、期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実施されることを前提に、前年度の運用状況をベースに、早期に実施されることが効率的・効果的である。
ニ．評価の実施方法の決定に関する留意事項
　運用状況の評価の実施方法（サンプル件数、サンプルの対象期間等）を決定する際に考慮すべき事項は、以下のとおりである。
　a. 内部統制の形態・特徴等
　経営者は、内部統制の重要性、複雑さ、担当者が行う判断の性質、内部統制の実施者の能力、前年度の評価結果やその後の変更の状況等を考慮して運用状況の評価の実施方法（サンプル件数、サンプルの対象期間等）を決定する必要がある。
　また、ＩＴを利用した内部統制は一貫した処理を反復継続するため、その整備状況が有効であると評価された場合には、ＩＴに係る全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル件数を減らし、サンプルの対象期間を短くするなど、一般に運用状況の評価作業を減らすことができる。
　b. 決算・財務報告プロセス
　上記２.（２）で記載したとおり、決算・財務報告に係る業務プロセスのうち、全社的な観点で評価することが適切と考えられるものについては、全社的な内部統制に準じて、全社的な観点で評価が行われることとなるが、それ以外の決算・財務報告プロセスについては、それ自体を固有の業務プロセスとして評価することとなる。
　その際には、決算・財務報告プロセスに係る内部統制は、財務報告の信頼性に関して非常に重要な業務プロセスであることに加え、その実施頻度が日常的な取引に関連する業務プロセスなどに比して低いことから評価できる実例の数は少ないものとなる。したがって、決算・財務報告プロセスに係る内部統制に対しては、一般に、他の内部統制よりも慎重に運用状況の評価を行う必要がある。
⑤ ＩＴを利用した内部統制の評価
イ． ＩＴを利用した内部統制の評価
　情報システムにＩＴが利用されている場合は、通常、情報は種々の業務システムで処理、作成され、その情報が会計システムに反映される。したがって、経営者は、こうした業務システムや会計システムによって作成される財務情報の信頼性を確保するための内部統制を評価する必要がある。この内部統制には、コンピュータ・プログラムに組み込まれて自動化されている内部統制、人手とコンピュータ処理が一体となって機能している内部統制がある。
　また、ＩＴの統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。
ロ． 評価範囲の決定
　a. 業務プロセスとシステムの範囲
　財務報告に係るＩＴの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要がある。業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理する。
　その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使用されているシステムの一覧を作成することが有用である。
　（注）前述の参考２（業務の流れ図（例））においては、右列にシステムに関する流れの欄を設け、この点につき記載できるようになっている。
　b. ＩＴ基盤の把握
　各業務プロセスにおけるシステムの把握に加えて、それを支援するＩＴ基盤の概要を把握する。例えば、以下のような項目について把握する。
　・ＩＴに関与する組織の構成
　・ＩＴに関する規程、手順書等
　・ハードウェアの構成
　・基本ソフトウェアの構成
　・ネットワークの構成
　・外部委託の状況
ハ． 評価単位の識別
　ＩＴに係る全般統制は、ＩＴ基盤の概要をもとに評価単位を識別し、評価を行う。例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の２つとして識別する。
　一方、ＩＴに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処理統制を識別する。
　（注）前述の参考２（業務の流れ図（例））においては、右列にシステムに関する流れの欄を設けており、例えば、これに対する注記の中で、あるいは業務記述書（例）を別途、作成する場合にはその中で、業務処理統制の内容について記述することが考えられる。
　下図は、販売取引における売上と入金の業務プロセス及び会計データとの関連を、一つの例として図式化したものである。企業の各業務プロセスは機能ごとに細分化され、その機能に基づいてシステム化される場合が多い。例えば、売上プロセスは、受注や出荷等の機能に分類され、必要に応じてシステム化される。
　経営者は、財務諸表の勘定科目と取引、業務プロセス及びシステムとの関係を理解し、主要な取引等について、どの会計データがどのシステムに依存しているのかを把握する必要がある。 ---図(省略)---
ニ． ＩＴを利用した内部統制の整備状況及び運用状況の有効性の評価
　ａ．ＩＴに係る全般統制の評価
　経営者は、ＩＴに係る全般統制が、例えば、次のような点において有効に整備及び運用されているか評価する。
　・システムの開発、保守
　・システムの運用・管理
　・内外からのアクセス管理などのシステムの安全性の確保
　・外部委託に関する契約の管理
　内部統制の有効性の評価のうち、内部統制の運用状況の有効性の評価に当たっては、経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況の評価を実施するが、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もある。
　ｂ．ＩＴに係る業務処理統制の評価
　経営者は、識別したＩＴに係る業務処理統制が、適切に業務プロセスに組み込まれ、運用されているかを評価する。具体的には、例えば、次のような点について、業務処理統制が有効に整備及び運用されているかを評価する。
　・入力情報の完全性、正確性、正当性等が確保されているか。
　・エラーデータの修正と再処理の機能が確保されているか。
　・マスタ・データの正確性が確保されているか。
　・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。
　ｃ．過年度の評価結果を利用できる場合
　ＩＴを利用した内部統制の評価は、ＩＴを利用していない内部統制と同様に原則として毎期実施する必要がある。しかし、ＩＴを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質がある。したがって、経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されてないこと、障害･エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができる。

① 全社的な内部統制の有効性の判断
イ．不備の評価
　全社的な内部統制の不備は、業務プロセスに係る内部統制にも直接又は間接に広範な影響を及ぼし、最終的な財務報告の内容に広範な影響を及ぼすことになる。
　したがって、全社的な内部統制に不備がある場合には、業務プロセスに係る内部統制にどのような影響を及ぼすかも含め、財務報告に重要な虚偽記載をもたらす可能性について慎重に検討する必要がある。
ロ．有効性の判断
　全社的な内部統制が有効であると判断するには、全社的な内部統制が財務報告に係る虚偽の記載及び開示が発生するリスクを低減するため、以下の条件を満たしていることが重要となる。
・全社的な内部統制が、一般に公正妥当と認められる内部統制の枠組みに準拠して整備及び運用されていること。
・全社的な内部統制が、業務プロセスに係る内部統制の有効な整備及び運用を支援し、企業における内部統制全般を適切に構成している状態にあること。
ハ．全社的な内部統制に不備がある場合
　全社的な内部統制に不備がある場合、内部統制の有効性に重要な影響を及ぼす可能性が高い。内部統制の重要な欠陥となる全社的な内部統制の不備として、例えば、以下のものが挙げられる。
　ａ．経営者が財務報告の信頼性に関するリスクの評価と対応を実施していない。
　ｂ．取締役会又は監査役若しくは監査委員会が財務報告の信頼性を確保するための内部統制の整備及び運用を監督、監視、検証していない。
　ｃ．財務報告に係る内部統制の有効性を評価する責任部署が明確でない。
　ｄ．財務報告に係るＩＴに関する内部統制に不備があり、それが改善されずに放置されている。
　ｅ．業務プロセスに関する記述、虚偽記載のリスクの識別、リスクに対する内部統制に関する記録など、内部統制の整備状況に関する記録を欠いており、取締役会又は監査役若しくは監査委員会が、財務報告に係る内部統制の有効性を監督、監視、検証することができない。
　ｆ．経営者や取締役会、監査役又は監査委員会に報告された全社的な内部統制の不備が合理的な期間内に改善されない。
　全社的な内部統制に不備がある場合でも、業務プロセスに係る内部統制が単独で有効に機能することもあり得る。ただし、全社的な内部統制に不備があるという状況は、基本的な内部統制の整備に不備があることを意味しており、全体としての内部統制が有効に機能する可能性は限定されると考えられる。
② 業務プロセスに係る内部統制の有効性の判断
イ．内部統制の整備状況の有効性の評価
　内部統制が有効に整備されているか評価する場合には、内部統制が財務諸表の勘定科目、注記及び開示項目に虚偽記載が発生するリスクを合理的なレベルまで低減するものとなっているか確認する。
ロ．内部統制の運用状況の有効性の評価
　経営者は、内部統制が所期の通り実際に有効に運用されているかを評価する。その場合、それぞれの虚偽記載のリスクに対して内部統制が意図した通りに運用されていることを確認しなければならない。
ハ．虚偽記載が発生する場合の影響度と発生可能性の評価
　内部統制の不備が重要な欠陥に該当するか否かを評価するために、内部統制の不備により勘定科目等に虚偽記載が発生する場合、その影響が及ぶ範囲を推定する。さらに、内部統制の不備による影響額を推定するときには、虚偽記載の発生可能性も併せて検討する必要がある。
　内部統制の不備が複数存在する場合には、それらの内部統制の不備が単独で、又は複数合わさって、重要な欠陥に該当していないかを評価する。すなわち、重要な欠陥に該当するか否かは、同じ勘定科目に関係する不備をすべて合わせて、当該不備のもたらす影響が財務報告の重要な事項の虚偽記載に該当する可能性があるか否かによって判断する。例えば、売掛金勘定の残高は、販売業務プロセスでの信用販売と入金業務プロセスの代金回収の影響を受けるが、この両方の業務プロセスに不備がある場合は、それぞれの不備がもたらす影響を合わせて、売掛金勘定の残高に及ぼす影響を評価しなければならない。
　また、集計した不備の影響が勘定科目ごとに見れば財務諸表レベルの重要な虚偽記載に該当しない場合でも、複数の勘定科目に係る影響を合わせると重要な虚偽記載に該当する場合がある。この場合にも重要な欠陥となる。
　さらに、勘定科目等に虚偽記載が発生する可能性と影響度を検討するときには、個々の内部統制を切り離して検討するのではなく、個々の内部統制がいかに相互に連係して虚偽記載が発生するリスクを低減しているかを検討する必要がある。そのために、ある内部統制の不備を補う内部統制（補完統制）の有無と、仮に補完統制がある場合には、それが勘定科目等に虚偽記載が発生する可能性と金額的影響をどの程度低減しているかを検討する。
　内部統制の不備による影響金額の算定方法については、「Ⅲ 財務報告に係る内部統制の監査」４．（２）④ 業務プロセスに係る内部統制の不備の検討に詳細を記載しており、これは評価に当たっても参考になると考えられる。
③ ＩＴに係る内部統制の有効性の判断
イ．ＩＴに係る全般統制に不備がある場合
　ＩＴに係る全般統制に不備がある場合には、代替的又は補完的な他の内部統制により、財務報告の信頼性という目的が達成されているかを検討する。
　ＩＴに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに重要な欠陥と評価されるものではない。しかし、ＩＴに係る全般統制に不備があった場合には、たとえＩＴに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることとなる。
ロ．ＩＴに係る業務処理統制に不備がある場合
　ＩＴに係る業務処理統制に不備がある場合には、業務プロセスに係る内部統制に不備がある場合と同様に、その影響度と発生可能性の評価を行う。
　ＩＴに係る業務処理統制のうち、人とＩＴが一体となって機能する統制活動に不備がある場合に、経営者は、その不備の内容が、人に関する部分から生じているものなのか、それともＩＴに関する部分から生じているものなのかを識別する必要がある。ＩＴに関する部分から生じている場合には、同じ種類の誤りが繰り返されている可能性があることに留意する。
④ 不備等の報告
　財務報告に係る内部統制の評価の過程で識別した内部統制の不備及び重要な欠陥は、その内容及び財務報告全体に及ぼす影響金額、その対応策、その他有用と思われる情報とともに、識別した者の上位の管理者等適切な者にすみやかに報告し是正を求めるとともに、重要な欠陥（及び、必要に応じて内部統制の不備）は、経営者、取締役会、監査役又は監査委員会及び会計監査人に報告する必要がある。なお、重要な欠陥が期末日に存在する場合には、内部統制報告書に、重要な欠陥の内容及びそれが是正されない理由を記載しなければならない。

① 重要な欠陥等の是正手続
　内部統制の評価及び報告の計画を作成するときには、内部統制の不備及び重要な欠陥を発見した場合に、これを是正することを想定して、最終的な評価の時点（期末日）まで一定の期間を確保しておくことが適切である。
② 期末日後に実施した是正措置に関する評価手続
　内部統制の評価時点は期末日であり、期末日後に実施した是正措置は、期末日における財務報告に係る内部統制の評価には影響しない。
　ただし、経営者は、内部統制報告書の提出日までに実施した是正措置がある場合は、その内容を内部統制報告書に付記事項として記載できる。
　なお、提出日までに有効な内部統制を整備し、その運用の有効性を確認している場合には、是正措置を完了した旨を、実施した是正措置の内容とともに記載できる。

〔評価範囲の制約が認められる場合〕 　「やむを得ない事情」とは、例えば、期末日直前に他企業を買収又は合併したこと、災害が発生したこと等の事由が生じたことにより、財務諸表を作成して取締役会の承認を受けるまでに通常要する期間内に本基準に準拠した評価手続を実施することが困難と認められる事情をいう。
　評価範囲の除外に関しては、その範囲及びその理由を内部統制報告書に記載することが必要であり、また、評価を実施できないことが財務報告の信頼性に重要な影響を及ぼす場合には、内部統制の評価結果は表明できないこととなることに留意する。

① 内部統制の記録
　内部統制に係る記録の範囲、形式及び方法は一律に規定できないが、例えば、以下のような事項を記録し保存することが考えられる。
　イ．財務報告に係る内部統制の整備及び運用の方針及び手続
　ロ．全社的な内部統制の評価にあたって、経営者が採用する評価項目ごとの整備及び運用の状況
　ハ．重要な勘定科目や開示項目に関連する業務プロセスの概要（各業務プロセスにおけるシステムに関する流れやＩＴに関する業務処理統制の概要、使用されているシステムの一覧などを含む。）
　ニ．各業務プロセスにおいて重要な虚偽記載が発生するリスクとそれを低減する内部統制の内容（実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性との関係を含む。また、ＩＴを利用した内部統制の内容を含む。）
　ホ．上記二．に係る内部統制の整備及び運用の状況
　ヘ．財務報告に係る内部統制の有効性の評価手続及びその評価結果並びに発見した不備及びその是正措置
　・評価計画に関する記録
　・評価範囲の決定に関する記録（評価の範囲に関する決定方法及び根拠等を含む。）
　・実施した内部統制の評価の手順及び評価結果、是正措置等に係る記録
　なお、記録の形式、方法等については、一律に規定されるものではなく、企業の作成・使用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることに留意する。
② 記録の保存
　財務報告に係る内部統制について作成した記録の保存の範囲・方法・期間は、諸法令との関係を考慮して、企業において適切に判断されることとなるが、金融商品取引法上は、有価証券報告書及びその添付書類の縦覧期間（５年）を勘案して、それと同程度の期間、適切な範囲及び方法（磁気媒体、紙又はフィルム等のほか必要に応じて適時に可視化することができる方法）により保存することが考えられる。
　記録・保存に当たっては、後日、第三者による検証が可能となるよう、関連する証拠書類を適切に保存する必要がある。

統制環境

• 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
• 適切な経営理念や倫理規程に基づき、社内の制度が設計運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
• 経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の客観的な実施過程を保持しているか。
• 取締役会及び監査役又は監査委員会は、財務報告とその内部統制に関し経営者を適切に監督監視する責任を理解し、実行しているか。
• 監査役又は監査委員会は内部監査人及び監査人と適切な連携を図っているか。
• 経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。
• 経営者は、企業内の個々の職能（生産、販売、情報、会計等）及び活動単位に対して、適切な役割分担を定めているか。
• 経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保配置しているか。
• 信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、常に適切なものとなっているか。
• 責任の割当てと権限の委任がすべての従業員に対して明確になされているか。
• 従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
• 経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員等の能力を引き出すことを支援しているか。
• 従業員等の勤務評価は、公平で適切なものとなっているか。

リスクの評価と対応

• 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
• リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。

(注） 全社的な内部統制に係る評価項目の例を示したものであり、全社的な内部統制の形態は、企業の置かれた環境や特性等によって異なると考えられることから、必ずしもこの例によらない場合があること及びこの例による場合でも、適宜、加除修正がありうることに留意する。

• 経営者は、組織の変更やＩＴの開発など、信頼性のある財務報告の作成に重要 な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組み を設定し、適切な対応を図っているか。
• 経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

統制活動

• 信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続を定めているか。
• 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。
• 統制活動に係る責任と説明義務を、リスクが存在する業務単位又は業務プロセスの管理者に適切に帰属させているか。
• 全社的な職務規程や、個々の業務手順を適切に作成しているか。
• 統制活動は業務全体にわたって誠実に実施されているか。
• 統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
• 統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

情報と伝達

• 信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
• 会計及び財務に関する情報が、関連する業務プロセスから適切に情報システム に伝達され、適切に利用可能となるような体制が整備されているか。
• 内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
• 経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達共有されているか。
• 内部通報の仕組みなど、通常の報告経路から独立した伝達経路が利用できるように設定されているか。
• 内部統制に関する企業外部からの情報を適切に利用し、経営者、取締役会、監査役又は監査委員会に適切に伝達する仕組みとなっているか。

モニタリング

• 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
• 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
• モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
• 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
• 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
• モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
• 内部統制に係る重要な欠陥等に関する情報は、経営者、取締役会、監査役又は監査委員会に適切に伝達されているか。

ＩＴへの対応

• 経営者は、ＩＴに関する適切な戦略、計画等を定めているか。
• 経営者は、内部統制を整備する際に、ＩＴ環境を適切に理解し、これを踏まえた方針を明確に示しているか。
• 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びＩＴを用いた統制の利用領域について、適切に判断しているか。
• ＩＴを用いて統制活動を整備する際には、ＩＴを利用することにより生じる新たなリスクが考慮されているか。
• 経営者は、ＩＴに係る全般統制及びＩＴに係る業務処理統制についての方針及び手続を適切に定めているか。

〔内部統制監査の目的〕
　本基準に基づく内部統制監査の目的は、経営者の作成した内部統制報告書が、一般に公正妥当と認められる内部統制の評価の基準に準拠して、適正に表示されているかについて、監査人が意見表明することにある。
　すなわち、内部統制監査においては、内部統制の有効性の評価結果という経営者の主張を前提に、これに対する監査人の意見を表明するものであり、経営者の内部統制の有効性の評価結果という主張と関係なく、監査人が直接、内部統制の整備及び運用状況を検証するという形はとっていない。
　(注)この点について、米国では、以上のような内部統制監査とともに、直接報告業務(ダイレクト・レポーティング)が併用されているが、我が国においては、直接報告業務を実施しないこととしている。
　しかしながら、内部統制監査において監査人が意見を表明するに当たって、監査人は自ら、十分かつ適切な監査証拠を入手し、それに基づいて意見表明することとされており、その限りにおいて、監査人は、企業等から、直接、監査証拠を入手していくこととなる。

〔内部統制監査業務と非監査証明業務の同時提供に関する制限〕
　監査人は、内部統制監査業務について、関係法令に規定する身分的、経済的利害関係を有してはならず、一定の非監査証明業務との同時提供が制限されることに留意しなければならない。
　しかしながら、監査人が内部統制監査の実施において内部統制の不備や重要な欠陥を発見した場合に、経営者に報告して是正を求めなければならないことはもちろんのこと、内部統制の構築等の段階においても、経営者等と必要に応じ意見交換を行い、内部統制の構築等に係る作業や決定は、監査人によってではなく、あくまで企業・経営者によって行われるとの前提の下で、有効な内部統制の構築等に向けて適切な指摘を行うことを妨げるものではない。

　監査人は、内部統制監査を効果的かつ効率的に実施するために、企業の置かれた環境や事業の特性等を踏まえて、経営者による内部統制の整備及び運用状況並びに評価の状況を十分に理解し、監査上の重要性を勘案して監査計画を策定しなければならない。
　内部統制監査は、原則として、財務諸表監査と同一の監査人が実施することから、監査人は、内部統制監査の計画を財務諸表監査の監査計画に含めて策定することとなる。
① 企業の置かれた環境や事業の特性等の理解
　監査人は、例えば、次のような当該企業の置かれた環境や事業の特性等を理解する。
　・市場、取引先、株主、親会社、地域特性、産業固有の規制など企業外部の条件
・当該企業の歴史、規模、業務の内容、従業員構成など企業内部の条件
　ただし、多くの場合、監査人は財務諸表監査を通じて、これらの点については既に理解しているのが一般的と考えられ、そのような場合に特別の手続を求めるものではないことに留意する。
② 内部統制の整備及び運用の状況の理解
　監査人は、記録の閲覧、経営者及び適切な管理者又は担当者への質問等により、例えば、次に掲げる事項を含む企業の内部統制の整備及び運用の状況を理解する。
　・企業の財務報告に係る内部統制についての知識
　・企業の事業や財務報告に係る内部統制について、最近の変更の有無
　・企業集団内の事業拠点の状況及びそれら事業拠点における財務報告に係る内部統制に関する記録と保存の状況、モニタリングの実施状況
③ 経営者による内部統制の評価の理解
　監査人は、記録の閲覧、経営者及び適切な管理者又は担当者への質問等により、例えば、次に掲げる事項を含む財務報告に係る内部統制の有効性を評価する経営者の評価手続の内容について、その計画も含めて把握し、理解する。
　・評価の範囲の決定など、重要な手続の内容及びその実施時期
　・内部統制の不備が、重要な欠陥に該当するか判定するための重要性の判断基準等の設定状況
　・既に経営者、監査役又は監査委員会、取締役会に報告された内部統制の不備、重要な欠陥の有無とその内容
　・内部監査等を通じて実施された作業の結果
上記②及び③については、財務諸表監査を通じて、監査人によって一定の理解が得られている場合に、監査人がその理解を利用することを妨げるものではない。
④ 監査計画の策定
　監査人は、上記①～③を勘案し、財務報告の重要な事項に虚偽記載が発生するリスクに着眼して、また、前年度の監査結果を勘案して、効果的・効率的な監査が実施できるよう、監査計画を策定する。
　監査人は、監査計画策定の前提となった事象や状況が変化した場合、あるいは監査の実施過程で新たな重要な事実を発見した場合には、適宜、監査計画を修正しなければならない。

① 重要な事業拠点の選定
　監査人は、経営者が評価対象とする重要な事業拠点の決定過程を理解し、経営者が重要な事業拠点を「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして、適切に選定しているか確認する。
　その際、監査人の実施する手続としては、例えば、以下のものが挙げられる。
・子会社、関連会社等を含め当該企業における連結ベースのすべての事業拠点を網羅した事業拠点の一覧を入手する。
・事業拠点は、企業の実態に応じ、本社、子会社、支社、支店、事業部等として識別されることがあるが、その識別の方法及び識別された結果が、適切であるか確認する。
・重要な事業拠点を選定するための指標としては、売上高等が基本となるが、経営者の採用した指標が「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして、適切であるか確認する。
・重要な事業拠点が経営者の採用した指標に基づき適切に選定されているか確認する。
・経営者の行った重要な事業拠点の選定の過程や結果が適切でないと判断した場合には、経営者に対し重要な事業拠点の選定の見直しなどの追加的な作業を求める。
② 評価対象とする業務プロセスの識別
イ．重要な事業拠点における企業の事業目的に関わる業務プロセス
　監査人は、重要な事業拠点について、売上、売掛金、棚卸資産など企業の事業目的に大きく関わる重要な勘定科目に至る業務プロセスが、「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして適切に評価対象とされているか確認する。
　また、監査人は、経営者が、当該重要な事業拠点が行う事業との関連性が低く、財務報告に対する影響の重要性も僅少であるとして評価対象としなかった業務プロセスがある場合には、その適切性を確認する。
　これらについて、監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の内部統制の記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、評価対象となる業務プロセスの選定の適切性を確認する。
　監査人は、経営者が評価対象とした業務プロセスが適切でないと判断した場合には、経営者に対し評価対象とした業務プロセスの見直しなどの追加的な作業を求める。
ロ．財務報告に重要な影響を及ぼす業務プロセス
　監査人は、重要な事業拠点及びそれ以外の事業拠点において、財務報告に重要な影響を及ぼす業務プロセスがある場合に、それが「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして適切に追加的な評価対象とされているか確認する。
　この際、監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の内部統制の記録の閲覧や経営者及び適切な管理者又は担当者への質問等により確認を行うが、財務諸表監査を通じて、財務報告に重要な影響を及ぼす業務プロセスの存否に係る検証が既に行われている場合には、その利用が可能であることに留意する。
　監査人は、リスクが大きい取引を行っている事業又は業務の識別が適切でないなど、経営者が評価対象とした業務プロセスが適切でないと判断した場合には、経営者に対し評価対象とした業務プロセスの見直しなどの追加的な作業を求める。
ハ．全社的な内部統制の評価結果を踏まえた評価範囲、方法等の調整
　全社的な内部統制の評価結果を踏まえて、経営者が業務プロセスに係る評価の範囲、方法等を調整している場合（「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（２）③ 参照）、監査人は、当該調整の妥当性について、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の内部統制の記録の閲覧や経営者及び適切な管理者又は担当者への質問等により確認する。
　なお、監査人は、経営者の行った調整が適切でないと判断した場合には、経営者に対し適切な評価の範囲、方法等に修正するための追加的な作業を求める。
③ 経営者との協議
　監査人による評価範囲の妥当性の検討の結果、経営者の決定した評価範囲が適切でないと判断されることが考えられ、この場合、経営者は新たな評価範囲について評価し直す必要が生じるが、その手続の実施には時間的な制約等の困難が伴う場合も想定される。したがって、監査人は、経営者が内部統制の評価の範囲を決定した後に、当該範囲を決定した方法及びその根拠等について、必要に応じて経営者と協議を行っておくことが適切である。

　監査人は、全社的な内部統制の概要を理解し、例えば、「Ⅱ 財務報告に係る内部統制の評価及び報告」参考１（財務報告に係る全社的な内部統制に関する評価項目の例）に示された評価項目の例に留意して、経営者の評価の妥当性について検討する。
① 全社的な内部統制の整備及び運用状況の検討
　監査人は、全社的な内部統制の整備状況を検討するに当たって、経営者が採用する評価項目が、例えば、前述の参考１（財務報告に係る全社的な内部統制に関する評価項目の例）に示された評価項目の例に照らして、適切なものとなっているか確認する。その際、監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）イ．ロ．に記載の内部統制の記録の閲覧や経営者等に対する質問等を通じて、各評価項目についての経営者の評価結果、経営者が当該評価結果を得るに至った根拠等を確認し、経営者の行った評価結果の適切性を判断する。
　なお、統制環境に係るいくつかの項目は、内部統制の運用状況に関する記録が作成されないケースもある。その場合、監査人は、関係者への質問や観察等により、運用状況を確認する。
② 取締役会並びに監査役又は監査委員会の監視機能の検討
　有価証券報告書等の財務報告書類については、最終的には経営者が責任を持って作成し公表することになるが、公表に至る過程での取締役会や監査役又は監査委員会の監視機能が適切な情報開示に重要な役割を果たすことから、全社的な内部統制の整備及び運用の状況の検討に当たっては、取締役会や監査役又は監査委員会における監視機能について、例えば、以下の点に留意して確認することが重要となる。
イ. 取締役会や監査役又は監査委員会の責任が記載された規定が存在しているか。
ロ. 取締役会や監査役又は監査委員会の開催実績の記録や議事録等が存在しているか。
ハ. 取締役会や監査役又は監査委員会の構成員は、内部統制の整備及び運用に関するモニタリングを実施するため、経営者を適切に監督・監視する責任を理解した上で、それを適切に実行しているか。
ニ． 監査役又は監査委員会は、内部監査人及び監査人と適切な連携を図っているか。
　ただし、上記①及び②に関して、監査人は、財務諸表監査の実施過程において、一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。
③ 全社的な内部統制の不備の検討
　監査人は、全社的な内部統制に不備が認められる場合には、業務プロセスに係る内部統制に及ぼす影響をも含め、財務報告に重要な影響を及ぼす可能性について慎重に検討し、経営者の評価が妥当であるか確認する。
　全社的な内部統制の不備が重要な欠陥となるかどうかについては、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（４）① 全社的な内部統制の有効性の判断に記載した事項を考慮して判断する。

① 業務プロセスに係る内部統制の評価の検討
　監査人は、評価対象となった業務プロセスに係る内部統制の整備及び運用状況を理解し、経営者の評価の妥当性について検討する。
イ. 業務プロセスに係る内部統制の整備状況の検討
　監査人は、評価対象となった業務プロセスに係る内部統制の整備状況を理解しなければならない。そのため、監査人は、経営者の内部統制の整備状況に関する「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の記録を入手するとともに、評価対象となった業務プロセスについて、例えば、以下の手続を実施する。
　ａ. 入手した内部統制の整備状況に関する記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、評価対象となった業務プロセスにおいて、取引がどのように開始、承認、記録、処理及び報告されるかを含めて、取引の流れを把握する。また、取引の発生から集計、記帳といった会計処理の過程を理解する。記録の閲覧や質問等では、内部統制の整備状況について理解することが困難である場合には、監査人は、必要に応じ、業務プロセスの現場に赴いて観察することにより、当該業務プロセスにおいて実施されている手続の適否等を確認する。　ｂ．監査人が内部統制の整備状況に関する理解を確実なものとする上では、評価対象となった業務プロセスごとに、代表的な取引を１つあるいは複数選んで、取引の開始から取引記録が財務諸表に計上されるまでの流れを「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の内部統制の記録等により追跡する手続を実施することが有用であることに留意する。
　また、監査人は、内部統制の適切な管理者及び担当者が内部統制の整備に関し、必要な権限、能力を有しているかにも留意する。
　ｃ．入手した内部統制の整備状況に関する記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、経営者が財務報告の重要な事項に虚偽記載の発生するリスクをどのように識別したのか把握する。
　ｄ．入手した内部統制の整備状況に関する記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、経営者が虚偽記載の発生するリスクを低減するために中心的な役割を果たす内部統制（統制上の要点）をどのように識別したのか把握する。
　ｅ．監査人は、上記ｄ．の内部統制（統制上の要点）が既定の方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるものとなっているかを検討する。その際、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保する合理的な保証を提供できるものとなっているかにより判断する。監査人は、この判断を基に、内部統制の整備状況の有効性に関する経営者の評価の妥当性を検証する。
ロ. 業務プロセスに係る内部統制の運用状況の検討
　監査人は、評価対象となった業務プロセスについて、内部統制が設計どおりに適切に運用されているかどうか及び統制を実施する担当者や責任者が当該統制を有効に実施するのに必要な権限と能力等を有しているかどうかを把握し、内部統制の運用状況の有効性に関する経営者の評価の妥当性を検討する。
　a. 運用状況の検討の内容及び実施方法
　監査人は、評価対象となった業務プロセスに係る内部統制の運用状況を理解しなければならない。そのため、監査人は、経営者の内部統制の運用状況に関する「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）に記載の内部統制の記録を入手し、関連文書の閲覧、適切な管理者又は担当者に対する質問等により、内部統制の実施状況（自己点検の状況を含む。）を検証する。
　また、記録の閲覧や質問等では検証が困難な場合には、業務の観察や、必要に応じて適切な管理者又は担当者に再度手続を実施させることによって検証する。
　以上の手続については、基本的に、監査人自ら選択したサンプルを用いた試査により適切な証拠を入手する方法で行われる（例えば、日常反復継続する取引について、統計上の正規分布を前提とすると、90%の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25 件のサンプルが必要になる。）。
　その際、例えば、反復継続的に発生する定型的な取引について、経営者が無作為にサンプルを抽出しているような場合には、監査人自らが同じ方法で別のサンプルを選択することは効率的でないため、経営者が抽出したサンプルの妥当性の検討及び経営者による作業結果の一部についての検証を行った上で、経営者が評価において選択したサンプルを自ら選択したサンプルの一部として利用することができる。
　b. 運用状況の検討の実施時期
　監査人は、期末日現在において、内部統制が有効に運用されているか判断できるよう、適切な時期に内部統制の運用状況の検討を行わなければならない。監査人が運用状況の検討を実施する時期は、検討対象となる内部統制の性質や対象となる内部統制が実行される頻度により異なる。
　監査人は、経営者の評価の実施から期末日までの期間に内部統制に重要な変更があった場合、経営者が「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして、変更に係る内部統制の整備及び運用状況の把握及び評価に必要な追加手続を実施しているか確認する。
　なお、決算・財務報告プロセスに係る内部統制の運用状況の評価については、当該期において適切な決算・財務報告プロセスが確保されるよう、仮に不備があるとすれば早期に是正が図られるべきであり、また、財務諸表監査における内部統制の評価プロセスとも重なりあう部分が多いと考えられることから、期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実施されることを前提に、前年度の運用状況をベースに、早期に実施されることが効率的・効果的であることに留意する。
　上記ａ．及びｂ．に関して、監査人は、財務諸表監査の実施過程において、一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。
　c. 運用状況の検討方法の決定に関する留意事項
　監査人は、評価対象となった業務プロセスに係る内部統制について、経営者による評価の妥当性を判断するために十分かつ適切な証拠を入手しなければならない。実施する手続を決定する際には、以下の事項を考慮する。
　○ 内部統制の性質
　検討の方法を決定する際には、内部統制の重要性及び複雑さ並びに内部統制の運用に際しなされる判断の重要性、内部統制の実施者の能力、内部統制の実施頻度及び前年度の検討結果やその後の変更の状況等を考慮する。
　○ 決算・財務報告プロセス
　決算・財務報告プロセスに係る内部統制は、財務報告の信頼性に関して重要な業務プロセスであることに加え、その実施頻度が低いため、監査人が検討できる実例の数は少ないものとなる。したがって、決算・財務報告プロセスに係る内部統制は、他の内部統制よりも慎重な運用状況の検討作業を行う必要がある（決算・財務報告プロセスは、全社的な観点で評価される場合と固有の業務プロセスとして評価される場合とがあることについて、「Ⅱ 財務報告に係る内部統制の評価及び報告」２．（２）及び３（３）．④ ニ．ｂ．参照）。
② ＩＴを利用した内部統制の評価の検討
イ. ＩＴを利用した内部統制の把握
　監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）に記載の内部統制の記録を入手して、ＩＴを利用した内部統制の概要を把握するとともに、経営者が評価対象としたＩＴに係る全般統制及び業務処理統制が評価対象として適切なものか検討する。
　監査人は、企業が業務プロセスにＩＴを利用している場合において、人手を利用した統制が行われている部分については、前述の「①業務プロセスに係る内部統制の評価の検討」を実施し、ＩＴを利用した統制が行われている部分については、以下のＩＴに係る全般統制及び業務処理統制の評価の検証を行うことにより、業務プロセスに係る経営者の評価の妥当性の検証を行う。
ロ. ＩＴに係る全般統制の評価の検討
　監査人は、ＩＴに係る全般統制について理解し、経営者の評価の妥当性を検討しなければならない。その際、例えば、以下の項目を検討する。
　ａ．システムの開発、変更・保守
　監査人は、企業が財務報告に関連して、新たにシステム、ソフトウェアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているか確認する。
　その際、監査人は、例えば、以下の点に留意する。
　・システム、ソフトウェアの開発、調達又は変更について、事前に経営者又は適切な管理者に所定の承認を得ていること
　・開発目的に適合した適切な開発手法がシステム、ソフトウェアの開発、調達又は変更に際して、適用されていること
　・新たなシステム、ソフトウェアの導入に当たり十分な試験が行われ、その結果が当該システム、ソフトウェアを利用する部門の適切な管理者及びＩＴ部門の適切な管理者により承認されていること
　・新たなシステム、ソフトウェアの開発、調達又は変更について、その過程が適切に記録及び保存されるとともに、変更の場合には、変更前のシステム、ソフトウェアに関する内部統制の整備状況に係る記録が更新されていること
　・新たなシステム、ソフトウェアにデータを保管又は移行する場合に、誤謬、不正等を防止する対策が取られていること
　・新たなシステム、ソフトウェアを利用するに当たって、利用者たる従業員が適切な計画に基づき、教育研修を受けていること
　ｂ．システムの運用・管理
　監査人は、財務報告に係るシステムの運用・管理の有効性を確認する。その際、例えば、以下の点に留意する。
　・システムを構成する重要なデータやソフトウェアについて、障害や故障等によるデータ消失等に備え、その内容を保存し、迅速な復旧を図るための対策が取られていること
　・システム、ソフトウェアに障害や故障等が発生した場合、障害や故障等の状況の把握、分析、解決等の対応が適切に行われていること
　ｃ．システムの安全性の確保
　監査人は、企業がデータ、システム、ソフトウェア等の不正使用、改竄、破壊等を防止するために、財務報告に係る内部統制に関連するシステム、ソフトウェア等について、適切なアクセス管理等の方針を定めているか確認する。
　ｄ．外部委託に関する契約の管理
　企業が財務報告に関連して、ＩＴに係る業務を外部委託している場合、監査人は、企業が適切に外部委託に関する契約の管理を行っているか検討する。
　上記a.～ｄ.に関しては、財務諸表監査の実施過程において一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。なお、販売されているパッケージ・ソフトウェアをそのまま利用するような比較的簡易なシステムを有する企業の場合には、ＩＴに係る全般統制に重点を置く必要があることに留意する。
ハ．ＩＴに係る業務処理統制の評価の検討
　監査人は、例えば、以下の手続に従ってＩＴに係る業務処理統制の整備及び運用状況の評価の検討を行う。
　ａ．監査人は、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステムが作成されていることを確認する。
　ｂ．その際、監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（３）に記載されている、例えば、以下のような評価項目について留意する。
　・入力情報の完全性、正確性、正当性等を確保するための手段が取られているか。
　・エラーデータの修正と再処理が適切に行われているか。
　・仕入先、販売先等のマスタ・データの維持管理が適切に行われているか。
　・システムの利用に関する認証・操作範囲の限定など適切なアクセスの管理がなされているか。
　ｃ．監査人は、業務処理統制の運用状況について確認を実施する。
　監査人は、上記イ．により入手した記録等の閲覧、適切な管理者又は担当者に対する質問等により、業務処理統制の実施状況及び自己点検の状況を検討する。
　その際、評価対象となった業務処理統制に係る統制上の要点ごとに、一部の取引を抜き出し（サンプリング）、当該取引に係るシステムへの入力情報とシステムからの出力情報を比較し、予想していた出力情報が得られているかを、例えば、入力データに基づいて、検算を行うこと等により確認する。
　監査人は、前述のように、基本的には、監査人自ら選択したサンプルを用いた試査により、適切な監査証拠を入手して行うこととなるが、監査人は、経営者が抽出したサンプルの妥当性の検討及び経営者による作業結果の一部についての検証を行った上で、経営者が評価において選択したサンプルを自ら選択したサンプルの一部として利用することができる。
　なお、ＩＴを利用した内部統制は一貫した処理を反復継続するため、その整備状況が有効であると評価された場合には、ＩＴに係る全般統制の有効性を前提に、監査人においても、人手による内部統制よりも、例えば、サンプル数を減らし、サンプルの対象期間を短くするなど、一般に運用状況の検討作業を減らすことができる。また、ＩＴを利用して自動化された内部統制については、過年度の検討結果を考慮し、検討した時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を検討した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該検討結果を継続して利用することができる。
　上記については、財務諸表監査の実施過程において一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。
ニ．ＩＴの専門家の利用
　監査人は、監査計画の策定及び内部統制監査の実施に際して、企業のＩＴの利用状況及びＩＴが財務報告に係る内部統制の有効性の評価に及ぼす影響を検討して、専門家の業務を利用するか否かの判断を行わなければならない。監査人は、専門家の業務を利用する場合には、その専門家が、単にＩＴの知識のみではなく、情報システムに関係する財務報告に重要な影響を及ぼすリスクの評価に必要な知識を有しているかなど、専門家としての能力を考慮するとともに、その専門家の業務が十分な客観性を有しているかについても考慮する。
③ 委託業務の評価の検討
　監査人は、経営者が外部の受託会社に対して委託した業務が、評価対象となる業務プロセスの一部を構成している場合には、当該委託業務に関し、例えば、以下のとおり、内部統制の有効性を検討する。
　イ. 委託業務に係る内部統制について、受託会社が実施している内部統制及び、受託会社が提供している業務に対し、企業が実施している内部統制を理解する。
　ロ. 受託会社の業務に対し企業が自ら内部統制を実施している場合には、経営者の行った検証の状況を確認する。
　ハ．委託業務について受託会社が実施した内部統制の整備及び運用状況に関する確認の結果を記載した報告書等を企業が受託会社から入手している場合には、当該報告書等が十分な証拠を提供しているかどうか検討する。
④ 業務プロセスに係る内部統制の不備の検討
　監査人は、内部統制の不備が識別された場合、当該不備が、個々に又は組み合わせにより重要な欠陥に該当するかどうかを、例えば、以下のとおり判断する。
イ. 業務プロセスから発見された不備がどの勘定科目等に、どの範囲で影響を及ぼしうるかについての検討
　監査人は、業務プロセスに係る不備が発見された場合、不備の重要性を判断するに当たり、当該業務プロセスに係る内部統制の不備がどの勘定科目にどの範囲で影響を及ぼすか検討する。
　例えば、ある事業拠点において、ある商品の販売に係る業務プロセスで問題が起きた場合、その問題の影響が及ぶ売上高は、当該販売プロセスが当該事業拠点に横断的な場合（例えば、る事業拠点において、すべての出荷が定型化した販売手順を経て行われる場合であって、その出荷のプロセスに不備が発見された場合）には、当該事業拠点全体の売上高に影響を及ぼすものと考えられる一方、問題となった業務プロセスが特定の商品に係る販売プロセスに固有のものである場合には、当該商品の売上高だけに影響を及ぼすものと考えることができる。
　また、他の事業拠点でも、問題となった業務プロセスと同様の業務手順を横断的に用いている場合（例えば、別の事業拠点でも、同一の手順書等に基づき、先の事業拠点と同一の手順を経て販売が行われる場合）には、上記の問題の影響は当該他の事業拠点全体の売上高にも及ぶことが考えられる。ただし、最終的な内部統制の不備の程度については、以下ロ．に示すように、当該他の事業拠点において実際に問題が発生する確率の高低等を考慮して決定することになる。
ロ. 影響が実際に発生する可能性の検討
　監査人は、上記イ．で検討された影響が実際に発生する可能性を検討する。その際には、発生確率をサンプリングの結果を用いて統計的に導き出すことも考えられるが、それが難しいと考えられる場合には、例えば、以下に掲げる事項に留意して、リスクの程度を定性的（例えば、発生可能性の高、中、低）に把握し、それに応じて予め定めた比率を発生確率として適用することも考えられる。
　この場合、影響の発生可能性が無視できる程度に低いと判断される場合には、判定から除外することも考えられる。
　・検出された例外事項の大きさ・頻度
　例えば、試査による検討の結果、検出された誤謬等の規模が大きく、検出の頻度が高いほど、影響の発生可能性は高いと判断される。
　・検出された例外事項の原因
　例えば、事業拠点において内部統制に関するルールが遵守されてはいたが不注意により誤りが発生したという場合、内部統制のルールが全く遵守されていなかったという場合よりも、影響の発生可能性は低いと判断される。
　・ある内部統制と他の内部統制との代替可能性
　例えば、内部統制に代替可能性が認められる場合、ある内部統制の不備を他の内部統制が補完している可能性があり、その場合には影響の発生する可能性が低減されるということが考えられる。
ハ. 内部統制の不備の質的・金額的重要性の判断
　監査人は、上記イ．ロ．で求めた金額と発生可能性を勘案し、当該不備が財務報告に及ぼす潜在的な影響額を検討し、「Ⅱ 財務報告に係る内部統制の評価及び報告」１．② 重要な欠陥の判断指針に照らして、その質的・金額的重要性を判断する。業務プロセスの不備が及ぼす影響に質的又は金額的な重要性があると認められる場合には、当該不備は重要な欠陥に該当するものと判断される。
　なお、内部統制の不備が複数存在する場合には、影響額を合算（重複額は控除）した上で、重要な欠陥に該当しないか検討する。
ニ. ＩＴを利用した内部統制に係るＩＴの全般統制の不備の取扱い
　ＩＴを利用した内部統制に係るＩＴの全般統制は、ＩＴに係る業務処理統制が有効に機能する環境を保証するための統制活動であり、仮に、全般統制に不備があった場合には、たとえ業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性がある。したがって、全般統制に不備が発見された場合には、それをすみやかに改善することが求められる。
　しかしながら、ＩＴに係る全般統制の不備は、それ自体が財務報告の重要な事項に虚偽記載が発生するリスクに必ずしも直接に繋がるものではないため、業務処理統制が現に有効に機能していることが検証できているのであれば、全般統制の不備をもって直ちに重要な欠陥と評価されるものではないことに留意する。

① 重要な欠陥等の報告
〔内部統制監査で発見した重要な欠陥等の報告〕
　監査人は、監査の過程で重要な欠陥を発見した場合には、その内容を、経営者に報告して是正を求めなければならない。また、監査人は、当該重要な欠陥の内容を経営者に報告した旨を、取締役会及び監査役又は監査委員会に報告しなければならない。
　監査人は、重要な欠陥以外の不備を積極的に発見することを要求されてはいないが、監査の過程において、財務報告に係る内部統制のその他の不備を発見した場合には、適切な管理責任者に適時に報告しなければならない。
　監査人による報告では、報告の対象となる不備が内部統制の不備、重要な欠陥のいずれに区別されるのかを明らかにしなければならない。ただし、迅速な報告が必要であると判断した場合に、その時点では当該区別を明らかにしないですみやかに報告し、当該区別については、改めて報告するということも考えられる。
② 重要な欠陥の是正状況の検討
〔期中に存在した重要な欠陥の是正状況の確認〕
　監査人は、監査の過程で内部統制の重要な欠陥を発見した場合には、経営者に報告して是正を求めるとともに、当該重要な欠陥の是正状況を適時に確認しなければならない。
　経営者又は監査人が重要な欠陥を発見した場合でも、前年度以前に発見された重要な欠陥を含め、それが内部統制報告書における評価時点（期末日）までに是正されていれば、内部統制は有効であると認めることができる。
　監査人は、重要な欠陥の是正結果を、取締役会及び監査役又は監査委員会に報告しなければならない。
　なお、評価時点（期末日）までに重要な欠陥について是正措置が実施された場合には、監査人は、実施された是正措置について経営者が行った評価が適切であるか確認を行う。
③ 期末後の是正措置
イ. 期末日後に実施された是正措置の検討
　内部統制報告書に期末日後に実施された重要な欠陥に対する是正措置が付記された場合、監査人は、当該是正措置に係る内部統制報告書の付記事項などの記載内容の妥当性を検討するため、例えば、以下の手続を実施する。
　a. 当該是正措置に関する稟議書等の社内文書を入手して、その内容を確認する。
　b. 是正措置の内容について、財務、経理及び関連する部署の担当役員等に質問する。
　c. 是正措置が連結子会社等で実施された場合で、当該連結子会社等を他の監査人が監査している場合には、当該他の監査人から、当該是正措置の内容に関する他の監査人の見解等を確認する。
ロ. 期末日後に実施された是正措置についての追記情報
　監査人は、経営者が内部統制報告書に付記事項として記載した、期末日後に実施された是正措置の内容の記載が適切と判断した場合には、追記情報として内部統制監査報告書に重ねて記載する。
　監査人は、是正措置の内容の記載が適切でないと判断した場合は、当該不適切な記載についての除外事項を付した限定付適正意見を表明するか、又は、内部統制報告書の表示が不適正である旨の意見を表明し、その理由を記載しなければならない。
　また、内部統制報告書の提出日までに有効な内部統制を整備し、その運用の有効性を確認している場合には、経営者は、是正措置を完了した旨を、実施した是正措置の内容とともに記載することとなるが、このような記載が行われる場合には、記載内容の適正性について確認を実施する。
　ただし、これらの記載事項について、財務諸表監査の過程において一定の監査証拠が得られている場合には、これらの監査証拠を、適宜、利用できることに留意する。

　監査人は、内部統制監査の実施において不正又は法令に違反する事実を発見した場合には、経営者、取締役会及び監査役又は監査委員会に対して適時に報告して適切な対応を求めるとともに、内部統制の有効性に及ぼす影響の程度について検討し、その結果、その事実が内部統制の不備又は重要な欠陥に該当する場合には上記（３）に記載した対応を取らなければならない。

　監査人は、効果的かつ効率的な監査を実施するために、監査役等との連携の範囲及び程度を決定しなければならない。ここで、連携の方法、時期及び情報や意見を交換すべき事項等については、被監査会社の置かれた状況等に応じて、監査役等との合意により決定される。

① 他の監査人の利用
　内部統制監査における他の監査人の利用については、財務諸表監査における一般に公正妥当と認められる基準に準拠して判断される。
　なお、在外子会社における他の監査人の監査結果の利用について、監査人は、国外の監査人が国内基準以外の監査基準に準拠して内部統制監査を実施する場合、国内基準に準拠して実施する場合と実質的に同等であると監査人が判断できるときには、当該監査基準に準拠して実施された監査結果を利用することができる。
② 専門家の業務の利用
　財務報告に係る内部統制の監査における専門家の業務の利用についても、財務諸表監査における一般に公正妥当と認められる基準に準拠して判断される。
③ 内部監査人等の作業の利用
イ. 内部監査人等の作業の検証
　内部監査人等が内部統制の有効性の評価に関して作業を行っている場合、監査人は、内部監査人等の作業を自己の検証そのものに代えて利用することはできないが、内部監査人等の作業の品質及び有効性を検証した上で、経営者の評価に対する監査証拠として利用することが考えられる。
ロ. 内部監査人等の作業の検証にあたって実施すべき手続
　監査人が内部監査人等の評価作業の品質及び有効性を検証するに当たっては、例えば、以下の手続を実施する。
　a. 作業実施者の能力及び独立性の検討
　監査人は、評価作業の実施者が適切な専門的能力を備えているかどうか、及び、評価を実施した業務から独立しているかについて検討する。
　b. 当該作業の一部についての検証
　監査人は、内部監査等による評価作業の品質及び有効性を判断するため、その作業の一部について検証する。

〔限定付適正意見の表明〕
　監査人が、経営者が決定した評価範囲、評価手続、及び評価結果に関して不適切なものがあり、無限定適正意見を表明することができない場合において、その影響が内部統制報告書を全体として虚偽の表示に当たるとするほどには重要でないと判断できる場合には、限定付適正意見が表明される。
　例えば、財務報告に係る内部統制に関する重要な欠陥があるとした経営者の評価結果は適正であるが、期末日後に実施した是正措置を内部統制報告書に記載している場合において、監査人が当該是正措置に関する経営者の記載は不適切であると判断した場合が挙げられる。

〔評価範囲の制約に係る監査上の取扱い〕
　監査人は、「やむを得ない事情」により、内部統制の一部について十分な評価手続を実施できなかったことにつき正当な理由が認められるか否かについて慎重に検討しなければならない。監査人は、やむを得ない事情により十分な評価を実施できなかった範囲を除き、一般に公正妥当と認められる内部統制の評価の基準に準拠し、財務報告に係る内部統制の評価について、すべての重要な点において適正に表示していると認められると判断した場合には、内部統制監査報告書において無限定適正意見を表明する。この場合、監査人は、経営者がやむを得ない事情によって評価範囲に含めなかった範囲及びその理由を内部統制監査報告書に追記しなければならない。
　なお、経営者の評価手続の一部が実施できなかったことに正当な理由が認められるとして無限定適正意見を表明する場合には、次の点に留意しなければならない。
イ．経営者による財務報告に係る内部統制の有効性の評価が、やむを得ない事情により十分な評価手続を実施できなかった一部の内部統制を除き、全体として適切に実施されていること。
ロ．やむを得ない事情により、十分な評価手続を実施できなかった内部統制の範囲が、財務報告に係る内部統制の全体に及ぼす金額的、質的影響が重要な欠陥に該当するまでには至っていないこと。

〔内部統制報告書に記載する後発事象の検討〕
　監査人は、財務報告に係る内部統制の有効性の評価に重要な影響を及ぼす後発事象の発生の有無及び、内部統制報告書に記載すべき後発事象が存在する場合には、当該後発事象が適切に記載されているかを確認する。
　重要な後発事象の発生の有無を確認する手続としては、例えば、以下のものが挙げられる。
イ．重要な後発事象として認識すべき事象が発生したか否かについて財務・経理担当役員等に質問する。
ロ．決算日後に開催された株主総会、取締役会、監査役会及び常務会等の重要な会議の議事録を閲覧する。議事録が入手できない場合には、会議で討議された事項について質問する。
　ただし、監査人は、財務諸表監査の実施過程において、重要な後発事象の把握を行っていると考えられ、その場合には、財務諸表監査の実施過程で得られた重要な後発事象に関する監査証拠を、適宜、利用することに留意する。