（２） 業務プロセスに係る内部統制の評価の検討

① 業務プロセスに係る内部統制の評価の検討
　監査人は、評価対象となった業務プロセスに係る内部統制の整備及び運用状況を理解し、経営者の評価の妥当性について検討する。
イ. 業務プロセスに係る内部統制の整備状況の検討
　監査人は、評価対象となった業務プロセスに係る内部統制の整備状況を理解しなければならない。そのため、監査人は、経営者の内部統制の整備状況に関する「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の記録を入手するとともに、評価対象となった業務プロセスについて、例えば、以下の手続を実施する。
　ａ. 入手した内部統制の整備状況に関する記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、評価対象となった業務プロセスにおいて、取引がどのように開始、承認、記録、処理及び報告されるかを含めて、取引の流れを把握する。また、取引の発生から集計、記帳といった会計処理の過程を理解する。記録の閲覧や質問等では、内部統制の整備状況について理解することが困難である場合には、監査人は、必要に応じ、業務プロセスの現場に赴いて観察することにより、当該業務プロセスにおいて実施されている手続の適否等を確認する。　ｂ．監査人が内部統制の整備状況に関する理解を確実なものとする上では、評価対象となった業務プロセスごとに、代表的な取引を１つあるいは複数選んで、取引の開始から取引記録が財務諸表に計上されるまでの流れを「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）① ハ．ニ．ホ．ヘ．に記載の内部統制の記録等により追跡する手続を実施することが有用であることに留意する。
　また、監査人は、内部統制の適切な管理者及び担当者が内部統制の整備に関し、必要な権限、能力を有しているかにも留意する。
　ｃ．入手した内部統制の整備状況に関する記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、経営者が財務報告の重要な事項に虚偽記載の発生するリスクをどのように識別したのか把握する。
　ｄ．入手した内部統制の整備状況に関する記録の閲覧や経営者及び適切な管理者又は担当者に対する質問等により、経営者が虚偽記載の発生するリスクを低減するために中心的な役割を果たす内部統制（統制上の要点）をどのように識別したのか把握する。
　ｅ．監査人は、上記ｄ．の内部統制（統制上の要点）が既定の方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるものとなっているかを検討する。その際、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保する合理的な保証を提供できるものとなっているかにより判断する。監査人は、この判断を基に、内部統制の整備状況の有効性に関する経営者の評価の妥当性を検証する。
ロ. 業務プロセスに係る内部統制の運用状況の検討
　監査人は、評価対象となった業務プロセスについて、内部統制が設計どおりに適切に運用されているかどうか及び統制を実施する担当者や責任者が当該統制を有効に実施するのに必要な権限と能力等を有しているかどうかを把握し、内部統制の運用状況の有効性に関する経営者の評価の妥当性を検討する。
　a. 運用状況の検討の内容及び実施方法
　監査人は、評価対象となった業務プロセスに係る内部統制の運用状況を理解しなければならない。そのため、監査人は、経営者の内部統制の運用状況に関する「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）に記載の内部統制の記録を入手し、関連文書の閲覧、適切な管理者又は担当者に対する質問等により、内部統制の実施状況（自己点検の状況を含む。）を検証する。
　また、記録の閲覧や質問等では検証が困難な場合には、業務の観察や、必要に応じて適切な管理者又は担当者に再度手続を実施させることによって検証する。
　以上の手続については、基本的に、監査人自ら選択したサンプルを用いた試査により適切な証拠を入手する方法で行われる（例えば、日常反復継続する取引について、統計上の正規分布を前提とすると、90%の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25 件のサンプルが必要になる。）。
　その際、例えば、反復継続的に発生する定型的な取引について、経営者が無作為にサンプルを抽出しているような場合には、監査人自らが同じ方法で別のサンプルを選択することは効率的でないため、経営者が抽出したサンプルの妥当性の検討及び経営者による作業結果の一部についての検証を行った上で、経営者が評価において選択したサンプルを自ら選択したサンプルの一部として利用することができる。
　b. 運用状況の検討の実施時期
　監査人は、期末日現在において、内部統制が有効に運用されているか判断できるよう、適切な時期に内部統制の運用状況の検討を行わなければならない。監査人が運用状況の検討を実施する時期は、検討対象となる内部統制の性質や対象となる内部統制が実行される頻度により異なる。
　監査人は、経営者の評価の実施から期末日までの期間に内部統制に重要な変更があった場合、経営者が「Ⅱ 財務報告に係る内部統制の評価及び報告」に照らして、変更に係る内部統制の整備及び運用状況の把握及び評価に必要な追加手続を実施しているか確認する。
　なお、決算・財務報告プロセスに係る内部統制の運用状況の評価については、当該期において適切な決算・財務報告プロセスが確保されるよう、仮に不備があるとすれば早期に是正が図られるべきであり、また、財務諸表監査における内部統制の評価プロセスとも重なりあう部分が多いと考えられることから、期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実施されることを前提に、前年度の運用状況をベースに、早期に実施されることが効率的・効果的であることに留意する。
　上記ａ．及びｂ．に関して、監査人は、財務諸表監査の実施過程において、一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。
　c. 運用状況の検討方法の決定に関する留意事項
　監査人は、評価対象となった業務プロセスに係る内部統制について、経営者による評価の妥当性を判断するために十分かつ適切な証拠を入手しなければならない。実施する手続を決定する際には、以下の事項を考慮する。
　○ 内部統制の性質
　検討の方法を決定する際には、内部統制の重要性及び複雑さ並びに内部統制の運用に際しなされる判断の重要性、内部統制の実施者の能力、内部統制の実施頻度及び前年度の検討結果やその後の変更の状況等を考慮する。
　○ 決算・財務報告プロセス
　決算・財務報告プロセスに係る内部統制は、財務報告の信頼性に関して重要な業務プロセスであることに加え、その実施頻度が低いため、監査人が検討できる実例の数は少ないものとなる。したがって、決算・財務報告プロセスに係る内部統制は、他の内部統制よりも慎重な運用状況の検討作業を行う必要がある（決算・財務報告プロセスは、全社的な観点で評価される場合と固有の業務プロセスとして評価される場合とがあることについて、「Ⅱ 財務報告に係る内部統制の評価及び報告」２．（２）及び３（３）．④ ニ．ｂ．参照）。
② ＩＴを利用した内部統制の評価の検討
イ. ＩＴを利用した内部統制の把握
　監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（７）に記載の内部統制の記録を入手して、ＩＴを利用した内部統制の概要を把握するとともに、経営者が評価対象としたＩＴに係る全般統制及び業務処理統制が評価対象として適切なものか検討する。
　監査人は、企業が業務プロセスにＩＴを利用している場合において、人手を利用した統制が行われている部分については、前述の「①業務プロセスに係る内部統制の評価の検討」を実施し、ＩＴを利用した統制が行われている部分については、以下のＩＴに係る全般統制及び業務処理統制の評価の検証を行うことにより、業務プロセスに係る経営者の評価の妥当性の検証を行う。
ロ. ＩＴに係る全般統制の評価の検討
　監査人は、ＩＴに係る全般統制について理解し、経営者の評価の妥当性を検討しなければならない。その際、例えば、以下の項目を検討する。
　ａ．システムの開発、変更・保守
　監査人は、企業が財務報告に関連して、新たにシステム、ソフトウェアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているか確認する。
　その際、監査人は、例えば、以下の点に留意する。
　・システム、ソフトウェアの開発、調達又は変更について、事前に経営者又は適切な管理者に所定の承認を得ていること
　・開発目的に適合した適切な開発手法がシステム、ソフトウェアの開発、調達又は変更に際して、適用されていること
　・新たなシステム、ソフトウェアの導入に当たり十分な試験が行われ、その結果が当該システム、ソフトウェアを利用する部門の適切な管理者及びＩＴ部門の適切な管理者により承認されていること
　・新たなシステム、ソフトウェアの開発、調達又は変更について、その過程が適切に記録及び保存されるとともに、変更の場合には、変更前のシステム、ソフトウェアに関する内部統制の整備状況に係る記録が更新されていること
　・新たなシステム、ソフトウェアにデータを保管又は移行する場合に、誤謬、不正等を防止する対策が取られていること
　・新たなシステム、ソフトウェアを利用するに当たって、利用者たる従業員が適切な計画に基づき、教育研修を受けていること
　ｂ．システムの運用・管理
　監査人は、財務報告に係るシステムの運用・管理の有効性を確認する。その際、例えば、以下の点に留意する。
　・システムを構成する重要なデータやソフトウェアについて、障害や故障等によるデータ消失等に備え、その内容を保存し、迅速な復旧を図るための対策が取られていること
　・システム、ソフトウェアに障害や故障等が発生した場合、障害や故障等の状況の把握、分析、解決等の対応が適切に行われていること
　ｃ．システムの安全性の確保
　監査人は、企業がデータ、システム、ソフトウェア等の不正使用、改竄、破壊等を防止するために、財務報告に係る内部統制に関連するシステム、ソフトウェア等について、適切なアクセス管理等の方針を定めているか確認する。
　ｄ．外部委託に関する契約の管理
　企業が財務報告に関連して、ＩＴに係る業務を外部委託している場合、監査人は、企業が適切に外部委託に関する契約の管理を行っているか検討する。
　上記a.～ｄ.に関しては、財務諸表監査の実施過程において一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。なお、販売されているパッケージ・ソフトウェアをそのまま利用するような比較的簡易なシステムを有する企業の場合には、ＩＴに係る全般統制に重点を置く必要があることに留意する。
ハ．ＩＴに係る業務処理統制の評価の検討
　監査人は、例えば、以下の手続に従ってＩＴに係る業務処理統制の整備及び運用状況の評価の検討を行う。
　ａ．監査人は、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステムが作成されていることを確認する。
　ｂ．その際、監査人は、「Ⅱ 財務報告に係る内部統制の評価及び報告」３．（３）に記載されている、例えば、以下のような評価項目について留意する。
　・入力情報の完全性、正確性、正当性等を確保するための手段が取られているか。
　・エラーデータの修正と再処理が適切に行われているか。
　・仕入先、販売先等のマスタ・データの維持管理が適切に行われているか。
　・システムの利用に関する認証・操作範囲の限定など適切なアクセスの管理がなされているか。
　ｃ．監査人は、業務処理統制の運用状況について確認を実施する。
　監査人は、上記イ．により入手した記録等の閲覧、適切な管理者又は担当者に対する質問等により、業務処理統制の実施状況及び自己点検の状況を検討する。
　その際、評価対象となった業務処理統制に係る統制上の要点ごとに、一部の取引を抜き出し（サンプリング）、当該取引に係るシステムへの入力情報とシステムからの出力情報を比較し、予想していた出力情報が得られているかを、例えば、入力データに基づいて、検算を行うこと等により確認する。
　監査人は、前述のように、基本的には、監査人自ら選択したサンプルを用いた試査により、適切な監査証拠を入手して行うこととなるが、監査人は、経営者が抽出したサンプルの妥当性の検討及び経営者による作業結果の一部についての検証を行った上で、経営者が評価において選択したサンプルを自ら選択したサンプルの一部として利用することができる。
　なお、ＩＴを利用した内部統制は一貫した処理を反復継続するため、その整備状況が有効であると評価された場合には、ＩＴに係る全般統制の有効性を前提に、監査人においても、人手による内部統制よりも、例えば、サンプル数を減らし、サンプルの対象期間を短くするなど、一般に運用状況の検討作業を減らすことができる。また、ＩＴを利用して自動化された内部統制については、過年度の検討結果を考慮し、検討した時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を検討した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該検討結果を継続して利用することができる。
　上記については、財務諸表監査の実施過程において一定の監査証拠を入手しているのが一般的と考えられ、その場合には、その利用が可能であることに留意する。
ニ．ＩＴの専門家の利用
　監査人は、監査計画の策定及び内部統制監査の実施に際して、企業のＩＴの利用状況及びＩＴが財務報告に係る内部統制の有効性の評価に及ぼす影響を検討して、専門家の業務を利用するか否かの判断を行わなければならない。監査人は、専門家の業務を利用する場合には、その専門家が、単にＩＴの知識のみではなく、情報システムに関係する財務報告に重要な影響を及ぼすリスクの評価に必要な知識を有しているかなど、専門家としての能力を考慮するとともに、その専門家の業務が十分な客観性を有しているかについても考慮する。
③ 委託業務の評価の検討
　監査人は、経営者が外部の受託会社に対して委託した業務が、評価対象となる業務プロセスの一部を構成している場合には、当該委託業務に関し、例えば、以下のとおり、内部統制の有効性を検討する。
　イ. 委託業務に係る内部統制について、受託会社が実施している内部統制及び、受託会社が提供している業務に対し、企業が実施している内部統制を理解する。
　ロ. 受託会社の業務に対し企業が自ら内部統制を実施している場合には、経営者の行った検証の状況を確認する。
　ハ．委託業務について受託会社が実施した内部統制の整備及び運用状況に関する確認の結果を記載した報告書等を企業が受託会社から入手している場合には、当該報告書等が十分な証拠を提供しているかどうか検討する。
④ 業務プロセスに係る内部統制の不備の検討
　監査人は、内部統制の不備が識別された場合、当該不備が、個々に又は組み合わせにより重要な欠陥に該当するかどうかを、例えば、以下のとおり判断する。
イ. 業務プロセスから発見された不備がどの勘定科目等に、どの範囲で影響を及ぼしうるかについての検討
　監査人は、業務プロセスに係る不備が発見された場合、不備の重要性を判断するに当たり、当該業務プロセスに係る内部統制の不備がどの勘定科目にどの範囲で影響を及ぼすか検討する。
　例えば、ある事業拠点において、ある商品の販売に係る業務プロセスで問題が起きた場合、その問題の影響が及ぶ売上高は、当該販売プロセスが当該事業拠点に横断的な場合（例えば、る事業拠点において、すべての出荷が定型化した販売手順を経て行われる場合であって、その出荷のプロセスに不備が発見された場合）には、当該事業拠点全体の売上高に影響を及ぼすものと考えられる一方、問題となった業務プロセスが特定の商品に係る販売プロセスに固有のものである場合には、当該商品の売上高だけに影響を及ぼすものと考えることができる。
　また、他の事業拠点でも、問題となった業務プロセスと同様の業務手順を横断的に用いている場合（例えば、別の事業拠点でも、同一の手順書等に基づき、先の事業拠点と同一の手順を経て販売が行われる場合）には、上記の問題の影響は当該他の事業拠点全体の売上高にも及ぶことが考えられる。ただし、最終的な内部統制の不備の程度については、以下ロ．に示すように、当該他の事業拠点において実際に問題が発生する確率の高低等を考慮して決定することになる。
ロ. 影響が実際に発生する可能性の検討
　監査人は、上記イ．で検討された影響が実際に発生する可能性を検討する。その際には、発生確率をサンプリングの結果を用いて統計的に導き出すことも考えられるが、それが難しいと考えられる場合には、例えば、以下に掲げる事項に留意して、リスクの程度を定性的（例えば、発生可能性の高、中、低）に把握し、それに応じて予め定めた比率を発生確率として適用することも考えられる。
　この場合、影響の発生可能性が無視できる程度に低いと判断される場合には、判定から除外することも考えられる。
　・検出された例外事項の大きさ・頻度
　例えば、試査による検討の結果、検出された誤謬等の規模が大きく、検出の頻度が高いほど、影響の発生可能性は高いと判断される。
　・検出された例外事項の原因
　例えば、事業拠点において内部統制に関するルールが遵守されてはいたが不注意により誤りが発生したという場合、内部統制のルールが全く遵守されていなかったという場合よりも、影響の発生可能性は低いと判断される。
　・ある内部統制と他の内部統制との代替可能性
　例えば、内部統制に代替可能性が認められる場合、ある内部統制の不備を他の内部統制が補完している可能性があり、その場合には影響の発生する可能性が低減されるということが考えられる。
ハ. 内部統制の不備の質的・金額的重要性の判断
　監査人は、上記イ．ロ．で求めた金額と発生可能性を勘案し、当該不備が財務報告に及ぼす潜在的な影響額を検討し、「Ⅱ 財務報告に係る内部統制の評価及び報告」１．② 重要な欠陥の判断指針に照らして、その質的・金額的重要性を判断する。業務プロセスの不備が及ぼす影響に質的又は金額的な重要性があると認められる場合には、当該不備は重要な欠陥に該当するものと判断される。
　なお、内部統制の不備が複数存在する場合には、影響額を合算（重複額は控除）した上で、重要な欠陥に該当しないか検討する。
ニ. ＩＴを利用した内部統制に係るＩＴの全般統制の不備の取扱い
　ＩＴを利用した内部統制に係るＩＴの全般統制は、ＩＴに係る業務処理統制が有効に機能する環境を保証するための統制活動であり、仮に、全般統制に不備があった場合には、たとえ業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性がある。したがって、全般統制に不備が発見された場合には、それをすみやかに改善することが求められる。
　しかしながら、ＩＴに係る全般統制の不備は、それ自体が財務報告の重要な事項に虚偽記載が発生するリスクに必ずしも直接に繋がるものではないため、業務処理統制が現に有効に機能していることが検証できているのであれば、全般統制の不備をもって直ちに重要な欠陥と評価されるものではないことに留意する。