これから始めるJ-SOX評価~評価調書の作成方法と留意点~

2019年02月21日

 

内部統制の評価は、整備状況(手続や体制、仕組みが適切に整備されているか)と運用状況(整備された仕組み等が問題なく実施されているか)の2つの評価を行うことになりますが、その評価結果を取りまとめた成果物が「評価調書」です。
(「評価調書」は、「評価シート」や「評価チェックリスト」、「RCM」といった表現を使用することもありますが、ここでは「評価調書」という表現を使用します)

 

売上の増加や新規拠点の設立等により、評価範囲が追加となった場合、新規で評価調書を作成する必要があります。では、どのように評価調書を作成していくのでしょうか。
新任の内部統制担当者様にとっては、評価調書作成の経験が無く、どのように進めるのかが分からないという声を聞くこともあります。

 

今回は、評価調書作成の進め方や留意点について、解説します。

 


評価準備:評価項目の設定

評価を行う前に、各統制において、評価する内容(評価項目)を決定する必要があります。
全社統制では、内部統制実施基準の6つの要素(統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応)に基づき、評価項目を設定します。
実施基準の中に、42項目と言われる評価内容が記載されており、そちらを評価項目とするのが一般的です。

 

決算統制(全社)では、総括事項(規程類・体制等)・個別財務諸表作成(決算情報の収集・決算スケジュールの管理・承認体制等)・連結財務諸表作成(連結範囲の検討・連結パッケージの作成・承認体制等)・開示(関連当事者の確認・後発事象の把握)といった内容を評価項目とし、評価を行います。
「日本公認会計士協会監査委員会の研究報告第16号「統制リスクの評価手法」付録5 財務報告サイクル」が決算統制における評価項目の参考として使用できます。

 

IT全般統制については、システム開発・システム変更・システム運用・アクセス管理・外部委託管理といった内容が評価項目になります。「経済産業省のシステム管理基準追補版(財務報告に係るIT統制ガイダンス)」 がIT全統統制における評価項目の参考になります。

 

評価項目は、上記のような参考文献をベースにしながら、自社の業種・事業規模・リスク等を勘案しながら設定します。設定した評価項目については、監査法人の合意を得ておくことが重要です。評価を進めた後、評価項目の追加があると、評価作業の手戻りが発生するため、事前に合意を得ておく必要があります。

 

 

 

評価準備:統制内容の検討

次に、設定した評価項目に対する統制内容を決定します。評価項目をリスクと捉え、リスクをどのようにコントロールしているかという観点で統制内容を記載します。規程類やマニュアル等で定めている業務ルールが統制内容になります。

 

以下に、評価項目に対する統制内容の記載例を挙げていきます。
・IT全般統制評価項目(例)
ユーザID及びアクセス権限の登録・変更・削除を行う場合に、適切な手続を定めているか。

・IT全般統制統制内容(例)
ユーザIDの申請手続は、情報システム管理規程に定めている。ユーザIDの登録・変更・削除を行う際、アカウント登録・変更・削除申請書を発行し、ユーザ部門長・情報システム部門長が承認を受けている。

 

統制内容を記載する際、コントロールではなく、作業内容が記載されているケースが見受けられます。統制内容が適切に実施されているかを確認するのが内部統制の評価になります。統制内容を記載する際は、作業内容ではなく、リスクに対し、どのようにコントロールしているかという視点で進めることがポイントです。

 

評価調書作成の進め方:整備状況評価

次に、評価作業に入っていきます。整備状況評価・運用状況評価それぞれの進め方について見ていきます。まずは、整備状況評価です。整備状況評価は、①評価手続の設定⇒②規程・証憑一覧の作成⇒③規程・証憑の収集⇒④評価調書の作成(評価結果の記録)、というステップで進めていきます。
以下に、それぞれのステップでの作業内容を説明します。

 

①評価手続の設定
評価調書の統制内容が整備されていることを確認するための方法を評価手続として設定し、評価調書に記載します。
評価手続は、規程、証憑は正式な名称を記載し、評価ポイントを明確にすることがポイントになります。

 

以下は、評価項目に対する統制内容の記載例になります。
・IT全般統制統制内容(例)
ユーザIDの申請手続は、情報システム管理規程に定めている。ユーザIDの登録・変更・削除を行う際、アカウント登録・変更・削除申請書を発行し、ユーザ部門長・情報システム部門長が承認を受けている。

・IT全般統制評価手続(例)
「情報システム管理規程」を閲覧し、ユーザIDの登録・変更・削除の申請・承認手続が定められていることを確認する。
「アカウント登録・変更・削除申請書」を閲覧し、ユーザ部門長・情報システム部門長の承認があることを確認する。

 

②規程・証憑一覧の作成
評価手続に記載した規程、証憑を一覧化し、各部門に規程・証憑の収集を依頼します。
証憑を最終保管している部門に規程・証憑一覧を配布し、証憑の収集依頼を行います。

 

③規程・証憑の収集
各部門は規程・証憑一覧に基づき、規程、証憑を収集します。実施している業務内容・統制内容に変更があれば、内部監査部門へ報告します。内部監査部門は、報告を受けた変更内容を評価調書に反映させます。

 

④評価調書の作成(評価結果の記録)
収集した規程、証憑を基に評価手続に沿って評価を行い、不備事項(押印の漏れ等)がないか確認し、評価結果を評価調書に取り纏めます。

 

定義した統制内容が整備されているか、評価手続に沿い、評価を行います。その際、統制内容の変更の有無も確認します。業務やシステム等により、統制内容に変更があった場合は、評価調書に記載する規程、証憑も変わってくるので留意する必要があります。

 

評価調書作成の進め方:運用状況評価

続いて、運用状況評価の進め方を見ていきます。運用状況評価は、①評価手続の設定⇒②対象案件の選定⇒③サンプリング一覧の作成⇒④評価調書の作成(評価結果の記録)、というステップで進めていきます。
以下に、それぞれのステップの作業内容を説明します。

 

①評価手続の設定
整備状況評価で確認した仕組み(統制内容)が、一定期間継続して運用されているかを確認するための方法を検討し、評価手続を設定します。設定した評価手続は、評価調書に記載します。また、運用状況評価においては、評価手続を設定する際、統制頻度(統制内容の実行頻度)によってサンプリング件数が変わるので、担当部門に予め確認しておく必要があります。

 

②対象案件の選定
評価対象期間における案件(取引)の総件数(母集団)を把握し、統制頻度に応じて母集団の中より対象する取引等をランダムに抽出し、サンプリング対象案件を選定します。

 

対象案件の選定方法・統制頻度とサンプリング件数については、以下の記事を参照してください。
業務プロセス統制の評価方法~ウォークスルーとサンプリングテスト~

 

③サンプリング一覧の作成
評価手続に記載した証憑を一覧化します。そして、サンプリング対象案件(取引)の連絡も含め、各部門にサンプリング一覧を配布し、証憑の収集・提出依頼を行います。

 

④評価調書の作成(評価結果の記録)
各部門から収集した証憑を基に評価手続に沿って評価を行い、評価結果を評価調書に取り纏めます。

 

定義した統制内容が継続的に運用されているか、評価手続に沿い、評価を行います。
運用状況評価の場合は、母集団の件数やサンプリング件数、サンプリングした案件(取引)名等についても、評価調書に記載します。

 

内部統制対応において、評価調書は経営者評価を反映させた成果物となるため、重要な位置づけになります。監査法人も評価調書を基に、経営者評価の妥当性を判断します。評価調書の中でも、評価手続がポイントになります。評価手続が具体的になっていれば、監査法人に対し、どのように評価を行ったかを説明しやすくなります。
また、評価作業の属人化を防ぎ、評価の効率化にもつながります。評価調書を作成する際は、評価手続を明確にすることを意識し、進めていただければと思います。

 

 

 

まとめ

■評価準備:評価項目の設定
・評価を行う前に、評価する内容(評価項目)を決定する
・評価項目は、自社の業種・事業規模・リスク勘案しながら設定する

 

■評価準備:統制内容の検討
・評価項目をリスクと捉え、リスクをどのようにコントロールしているかという観点で統制内容を記載する
・統制内容を記載する際、作業内容ではなく、コントロール内容を記載する

 

■評価調書作成の進め方:整備状況評価
・評価手続は、規程・証憑は正式な名称を記載し、評価ポイントを明確にする
・統制内容に変更があった場合は、記載する規程、証憑も変わってくるので留意する

 

■評価調書作成の進め方:運用状況評価
・統制頻度(統制内容の実行頻度)によってサンプリング件数が変わるので、予め確認する
・母集団の件数やサンプリング件数、サンプリングした案件(取引)名等についても、評価調書に記載する

CONTACT

経理、監査、情報システムに関するお悩みなど
お気軽にご相談ください

お電話でのお問い合わせ
受付時間:平日10:00~19:00
お気軽にお電話ください
03-6230-9526
フォームからのお問い合わせ メルマガ登録

認証フォーム

※お名前・メールアドレスを入力するとすぐに資料がご覧いただけます。

氏名必須
メールアドレス必須