内部統制構築 日本版SOX法の対応なら、公認会計士による安心のサポート、アークコンサルティング。
お問合せ | サイトマップ
内部統制・J-SOX対応経験のある公認会計士による信頼のサポート
内部統制 > 内部統制 最新情報 > 監査実施基準 > (3) 業務プロセスに係る内部統制の評価

(3) 業務プロセスに係る内部統制の評価

 経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる内部統制の範囲内にある業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす統制上の要点(以下「統制上の要点」という。)を選定し、当該統制上の要点について内部統制の基本的要素が機能しているかを評価する。

 経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を統制上の要点として識別する。次に、統制上の要点となる内部統制が虚偽記載の発生するリスクを十分に低減しているかどうかを評価する。経営者は、各々の統制上の要点の整備及び運用の状況を評価することによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。
① 評価対象となる業務プロセスの把握・整理
 経営者は、評価対象となる業務プロセスにおける取引の開始、承認、記録、処理、報告を含め、取引の流れを把握し、取引の発生から集計、記帳といった会計処理の過程を理解する。把握された業務プロセスの概要については、必要に応じ図や表を活用して整理・記録することが有用である。
 (注)図や表の例としては、参考2(業務の流れ図(例)、業務記述書(例))が挙げられる。ただし、これは、必要に応じて作成するとした場合の参考例として掲載したものであり、また、企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに補足を行っていくことで足り、必ずしもこの様式による必要はないことに留意する。
② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別
イ.経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを識別する。
 このリスクを識別するに当たっては、当該不正又は誤謬が発生した場合に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となる。
 a.実在性-資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
 b.網羅性-計上すべき資産、負債、取引や会計事象をすべて記録していること
 c.権利と義務の帰属-計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
 d.評価の妥当性-資産及び負債を適切な価額で計上していること
 e.期間配分の適切性-取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
 f.表示の妥当性-取引や会計事象を適切に表示していること
ロ.虚偽記載が発生するリスクを低減するための統制上の要点を識別する。
 経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点から識別する。
 経営者は、個々の重要な勘定科目に関係する個々の統制上の要点について、内部統制が適切に機能し、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった要件を確保する合理的な保証を提供しているかを判断することを通じて、財務報告に係る内部統制についての基本的要素が有効に機能しているかを判断する。
 なお、業務プロセスに係る内部統制の整備及び運用状況の評価については、必要に応じ、図や表を活用して整理・記録することが有用である。
 (注)図や表の例としては、参考3(リスクと統制の対応(例))が挙げられる。ただし、これは、必要に応じて作成するとした場合の参考例として掲載したものであり、また、企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに補足を行っていくことで足り、必ずしもこの様式による必要はないことに留意する。
③ 業務プロセスに係る内部統制の整備状況の有効性の評価
 経営者は、上記②によって識別した個々の重要な勘定科目に関係する個々の統制上の要点が適切に整備され、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保する合理的な保証を提供できているかについて、関連文書の閲覧、従業員等への質問、観察等を通じて判断する。この際、内部統制が規程や方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるものとなっているかにより、当該内部統制の整備状況の有効性を評価する。
 その際には、例えば、以下のような事項に留意する。
 ・内部統制は、不正又は誤謬を防止又は適時に発見できるよう適切に実施されているか。
 ・適切な職務の分掌が導入されているか。
 ・担当者は、内部統制の実施に必要な知識及び経験を有しているか。
 ・内部統制に関する情報が、適切に伝達され、分析・利用されているか。
 ・内部統制によって発見された不正又は誤謬に適時に対処する手続が設定されているか。
④ 業務プロセスに係る内部統制の運用状況の有効性の評価
イ. 運用状況の評価の内容
 経営者は、業務プロセスに係る内部統制が適切に運用されているかを判断するため、業務プロセスに係る内部統制の運用状況の評価を実施する。
 経営者は、関連文書の閲覧、当該内部統制に関係する適切な担当者への質問、業務の観察、内部統制の実施記録の検証、各現場における内部統制の運用状況に関する自己点検の状況の検討等により、業務プロセスに係る内部統制の運用状況を確認する。
ロ.運用状況の評価の実施方法
 運用状況の評価の実施に際して、経営者は、原則としてサンプリングにより十分かつ適切な証拠を入手する。全社的な内部統制の評価結果が良好である場合や、業務プロセスの内部統制に関して、同一の方針に基づく標準的な手続が企業内部の複数の事業拠点で広範に導入されていると判断される場合には、サンプリングの範囲を縮小することができる。
 例えば、複数の営業拠点や店舗を展開している場合において、統一的な規程により業務が実施されている、業務の意思決定に必要な情報と伝達が良好である、内部統制の同一性をモニタリングする内部監査が実施されている等、全社的な内部統制が良好に運用されていると評価される場合には、全ての営業拠点について運用状況の評価を実施するのではなく、個々の事業拠点の特性に応じていくつかのグループに分け、各グループの一部の営業拠点に運用状況の評価を実施して、その結果により全体の内部統制の運用状況を推定し、評価することができる。
 評価対象とする営業拠点等については、計画策定の際に、一定期間で全ての営業拠点を一巡する点に留意しつつ、無作為抽出の方法を導入するなどその効果的な選定方法について検討する。
ハ.運用状況の評価の実施時期
 評価時点(期末日)における内部統制の有効性を判断するには、適切な時期に運用状況の評価を実施することが必要となる。
 運用状況の評価を期中に実施した場合、期末日までに内部統制に関する重要な変更があったときには、例えば、以下の追加手続の実施を検討する。なお、変更されて期末日に存在しない内部統制については、評価する必要はないことに留意する。
 a. 重要な変更の内容の把握・整理
 b. 変更に伴う業務プロセスにおける虚偽記載の発生するリスクとこれを低減する
統制の識別を含む変更後の内部統制の整備状況の有効性の評価
 c. 変更後の内部統制の運用状況の有効性の評価
 なお、決算・財務報告プロセスに係る内部統制の運用状況の評価については、当該期において適切な決算・財務報告プロセスが確保されるよう、仮に不備があるとすれば早期に是正が図られるべきであり、また、財務諸表監査における内部統制の評価プロセスとも重なりあう部分が多いと考えられることから、期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実施されることを前提に、前年度の運用状況をベースに、早期に実施されることが効率的・効果的である。
ニ.評価の実施方法の決定に関する留意事項
 運用状況の評価の実施方法(サンプル件数、サンプルの対象期間等)を決定する際に考慮すべき事項は、以下のとおりである。
 a. 内部統制の形態・特徴等
 経営者は、内部統制の重要性、複雑さ、担当者が行う判断の性質、内部統制の実施者の能力、前年度の評価結果やその後の変更の状況等を考慮して運用状況の評価の実施方法(サンプル件数、サンプルの対象期間等)を決定する必要がある。
 また、ITを利用した内部統制は一貫した処理を反復継続するため、その整備状況が有効であると評価された場合には、ITに係る全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル件数を減らし、サンプルの対象期間を短くするなど、一般に運用状況の評価作業を減らすことができる。
 b. 決算・財務報告プロセス
 上記2.(2)で記載したとおり、決算・財務報告に係る業務プロセスのうち、全社的な観点で評価することが適切と考えられるものについては、全社的な内部統制に準じて、全社的な観点で評価が行われることとなるが、それ以外の決算・財務報告プロセスについては、それ自体を固有の業務プロセスとして評価することとなる。
 その際には、決算・財務報告プロセスに係る内部統制は、財務報告の信頼性に関して非常に重要な業務プロセスであることに加え、その実施頻度が日常的な取引に関連する業務プロセスなどに比して低いことから評価できる実例の数は少ないものとなる。したがって、決算・財務報告プロセスに係る内部統制に対しては、一般に、他の内部統制よりも慎重に運用状況の評価を行う必要がある。
⑤ ITを利用した内部統制の評価
イ. ITを利用した内部統制の評価
 情報システムにITが利用されている場合は、通常、情報は種々の業務システムで処理、作成され、その情報が会計システムに反映される。したがって、経営者は、こうした業務システムや会計システムによって作成される財務情報の信頼性を確保するための内部統制を評価する必要がある。この内部統制には、コンピュータ・プログラムに組み込まれて自動化されている内部統制、人手とコンピュータ処理が一体となって機能している内部統制がある。
 また、ITの統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。
ロ. 評価範囲の決定
 a. 業務プロセスとシステムの範囲
 財務報告に係るITの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要がある。業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理する。
 その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使用されているシステムの一覧を作成することが有用である。
 (注)前述の参考2(業務の流れ図(例))においては、右列にシステムに関する流れの欄を設け、この点につき記載できるようになっている。
 b. IT基盤の把握
 各業務プロセスにおけるシステムの把握に加えて、それを支援するIT基盤の概要を把握する。例えば、以下のような項目について把握する。
 ・ITに関与する組織の構成
 ・ITに関する規程、手順書等
 ・ハードウェアの構成
 ・基本ソフトウェアの構成
 ・ネットワークの構成
 ・外部委託の状況
ハ. 評価単位の識別
 ITに係る全般統制は、IT基盤の概要をもとに評価単位を識別し、評価を行う。例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとして識別する。
 一方、ITに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処理統制を識別する。
 (注)前述の参考2(業務の流れ図(例))においては、右列にシステムに関する流れの欄を設けており、例えば、これに対する注記の中で、あるいは業務記述書(例)を別途、作成する場合にはその中で、業務処理統制の内容について記述することが考えられる。
 下図は、販売取引における売上と入金の業務プロセス及び会計データとの関連を、一つの例として図式化したものである。企業の各業務プロセスは機能ごとに細分化され、その機能に基づいてシステム化される場合が多い。例えば、売上プロセスは、受注や出荷等の機能に分類され、必要に応じてシステム化される。
 経営者は、財務諸表の勘定科目と取引、業務プロセス及びシステムとの関係を理解し、主要な取引等について、どの会計データがどのシステムに依存しているのかを把握する必要がある。 ---図(省略)---
ニ. ITを利用した内部統制の整備状況及び運用状況の有効性の評価
 a.ITに係る全般統制の評価
 経営者は、ITに係る全般統制が、例えば、次のような点において有効に整備及び運用されているか評価する。
 ・システムの開発、保守
 ・システムの運用・管理
 ・内外からのアクセス管理などのシステムの安全性の確保
 ・外部委託に関する契約の管理
 内部統制の有効性の評価のうち、内部統制の運用状況の有効性の評価に当たっては、経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況の評価を実施するが、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もある。
 b.ITに係る業務処理統制の評価
 経営者は、識別したITに係る業務処理統制が、適切に業務プロセスに組み込まれ、運用されているかを評価する。具体的には、例えば、次のような点について、業務処理統制が有効に整備及び運用されているかを評価する。
 ・入力情報の完全性、正確性、正当性等が確保されているか。
 ・エラーデータの修正と再処理の機能が確保されているか。
 ・マスタ・データの正確性が確保されているか。
 ・システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。
 c.過年度の評価結果を利用できる場合
 ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則として毎期実施する必要がある。しかし、ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質がある。したがって、経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されてないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができる。