内部統制評価はどこまで行うべきか~評価の実施ポイント~

2021年07月21日

 

内部統制の評価を進める中で、評価担当者の悩みとして、財務報告に係る内部統制の評価基準はあるものの、どのような評価調書(テンプレート)を使い、どこまで評価を行うのか分からないという声をよく耳にします。内部統制は、財務報告リスクに対応したコントロールが設定されている必要があり、さらには外部監査人による監査をクリアしなければなりません。
そこで、本記事では内部統制評価において全般的な実施ポイントについて解説したいと思います。

 


内部統制の評価対象となる各プロセスの概要

内部統制評価を行う前に、まずは各プロセスにおいて評価調書を選択し、各評価項目のコントロールを設定するとともにコントロールに対する評価手続を決定する必要があります。評価対象プロセスは、以下の7つに区分されます。会社の業務形態や業務内容によって対象となるプロセスは変わりますので、まずは各プロセスの概要と評価範囲についてご紹介します。

 

1. 全社的統制
企業全体の財務報告に重要な影響を及ぼす内部統制のことを指しております。企業のルールや仕組みの確認が中心となり、42項目と6つの基本的要素で構成されます。企業経営上の重要なプロセスになるため、評価上必須となりますが、グループ連結売上高で全体95%に入らない拠点は、評価範囲から除外することができます。

 

2. 業務プロセス統制
販売購買等の業務において、財務報告に関する情報を作成するまでの一連の活動であり、どの企業でも評価が必要です。連結売上高で全体の概ね2/3に達する事業拠点は重要な拠点として評価範囲に含める必要があります。

 

3. 決算・財務報告プロセスに係る統制(全社的な観点)
個別財務諸表および連結財務諸表、開示資料を作成するまでのプロセスになります。全社的統制と同様に財務報告に影響が僅少である事業拠点は対象外にすることができます。

 

4. 決算・財務報告プロセスに係る統制(個別の観点)
リスクが大きい取引や予測を伴う重要な勘定科目に係る業務プロセスになります。会社の業務形態によって、評価する項目が異なることや業務プロセス統制にて評価することもあります。

 

5. IT全社統制
情報システムにおけるルールや体制、IT戦略などの仕組みを確認するプロセスになります。全社的統制の42項目に含まれていますが、より具体的に全社的な観点で評価したい場合は、個別で行うことも可能です。

 

6. IT全般統制
ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制のことをいいます。財務報告の信頼性を達成するためには重要性が高いため、評価は必須となります。

 

7. IT業務処理統制
業務プロセスに組み込まれたITに係る内部統制となり、自動化された業務が中心となります。IT全般統制が有効の前提に、整備・運用状況評価を一体で行うことが多いです。

 

評価の準備段階においては、各プロセスの概要について理解・把握したうえで、どのプロセスが自社の対象となるか整理する必要があります。

 

評価調書テンプレートの選択における留意点

評価調書のテンプレートは、市販のものもあれば、コンサルティング会社からも入手することもあります。チェック項目や統制目標等の内容は、評価作業に影響するとともに、コントロール内容や評価手続の文書化にもつながるため、慎重に検討する必要があります。

 

1. 全社的統制
42項目と6つの基本的要素が網羅されていれば、評価調書テンプレートの選択には特に縛りはありませが、「実施基準」上必須ではないため、会社の規模や業態に応じて作成しても問題はありません。

 

2. 業務プロセス統制
「実施基準」には業務の流れ、リスクとコントロールが把握できるような文書化が求められます。そのため、少なくとも「業務の流れ図」および「リスクコントロールマトリクス」の2つの文書化を行う必要があります。

 

3. 決算・財務報告プロセスに係る統制(全社的な観点)
会社によって該当なしの項目がありますが、基本的に個別財務諸表や連結財務諸表、開示項目などをチェックリストの形で文書化する必要があります。

 

4. 決算・財務報告プロセスに係る統制(個別の観点)
主に3点セット(業務の流れ図・業務記述書・リスクコントロールマトリクス)とチェックリストの方式を利用するケースが多くありますが、チェックリストの場合は、文書管理もしやすく、評価業務の負荷も軽減されます。また、業務の専門性が高いため、財務経理部と十分すり合わせのうえ、選択することが重要です。

 

5. IT全社統制
評価の効率性を考慮した場合、全社的統制のテンプレートを利用し、合わせて評価を行うことがおすすめです。

 

6. IT全般統制
監査法人によって求められる評価基準や要求事項が大きく異なるため、外部監査人と事前の認識合わせが必要です。例えば、システム開発・保守・運用・アクセス権の項目は必須となりますが、外部委託やインフラの評価は行わないこともあります。

 

7. IT業務処理統制
IT全般統制が有効であることを前提に、最小限のサンプル件数で、整備と運用状況を一体で評価することが一般的です。

 

各プロセス統制のテンプレートは、各社の実情に応じて修正していくと同時に外部監査人の評価基準もあるため、評価する前に事前の認識合わせが必要になります。

 

コントロール内容の設定ポイント

コントロール内容は、各プロセス評価テンプレートの統制目標またはリスク内容に沿って設定することになります。自社のリスク方針の許容範囲を超えるリスク、事業遂行上で軽減させなければならないリスクは、コントロールを導入・設定する必要があります。コントロールの設定ポイントは、以下の通りです。

 

●統制内容を記載する際は、作業内容ではなく、リスクに対し、どのようにコントロールしているかという視点で進めることが重要。
●リスクが存在しない、もしくは、リスク方針の許容範囲内である場合は、追加のコントロールを検討する必要はない。
●不備があった場合に備えて1つのリスクに対し複数のコントロールを設定することが望ましいが、リスクをカバーする必要最低限のコントロールを設定する。
●リスク内容が似たような複数の統制項目について、コントロール数の削減等の簡素化により、文書更新の時間を圧縮することが可能になりる。
●コントロールの中でも、キーと一般的なもので分類されます。キーコントロールは、実施されなかった場合や実施に失敗した場合に、財務報告に影響してしまう重要なリスクのコントロール。キーコントロールが多ければ、運用テストに係る工数が増えるため、なるべく集約した形のほうが良い。
●自社の業種・規模・リスク等を勘案しながらコントロール内容を設定し、手戻りを防ぐために監査法人の合意を得ておくことが重要。

 

「実施基準」では、すべてのリスクを網羅的に把握し統制を識別することまでは求められていないため、明らかに質的・金額的重要性が低い、又は発生の可能性が低いリスクは除外することも検討すべきです。効率的に評価するために、過度なコントロールが設定されていないかを留意することが重要です。

評価手続の策定ポイント

内部統制における評価手続には、評価の信頼性が一番高いのは閲覧です。統制内容の変更はヒアリング、承認証跡は文書の閲覧により確かめます。評価手続の文書化において、手続がコントロールの内容と一致しているか、どの程度の強さの証拠が必要かという観点で検討することが重要です。ここでは、全般的な評価手続の策定ポイントについては解説したいと思います。

 

●評価手続を策定する際は、テストの容易さを検討する必要があります。実務上の負担を軽減するためには、なるべくテスト手法が容易で、必要なサンプル数が少ないよう文書化することが望ましいです。
評価手続はより具体的に作成することで、評価作業の属人化を防ぎ、評価の効率化にもつながります。また、外部監査人などの第三者から見て、わかりやすく作成することが重要です。
●文書化された評価手続の内容が、統制目標および想定されるリスク、自社コントロールの内容と一致しているかを確認・見直しする必要があります。
社内規程や証憑名などを具体化するとともに、証憑の収集方法を詳細に記載することにより評価の効率化が実現可能になります。
●策定した評価手続については、評価作業の手戻りが発生するため、事前に監査法人の合意を得ておく必要があります。

 

評価手続の内容が曖昧ではないか、不足証憑がないか、評価担当者が何をどのように確認すればよいかという観点で見直しすることが重要です。

 

内部統制評価における留意事項

内部統制報告書において、開示すべき重要な不備があり、有効でないと提出されていることが少なくありません。「開示すべき重要な不備」に当たらないようにするには、「実施基準」に満たした最低限の内部統制の対応を行う必要はあります。評価上の留意事項について、簡単に説明したいと思います。

 

●統制環境の変化により社内規程、統制内容等に変更があった場合は、評価手続に記載する規程・証憑も変わってくるので、定期的に見直しを行う必要があります。
前期において検出された発見事項や不備事項が改善されないまま放置されることもありますので、特に注意を払い、改善状況の確認とともに評価を実施すべきです。
●発見された不備事項などは早期に察知し、コントロール内容や評価手続を見直ししたうえで、適時に改善・解決する必要があります。
●現状、内部統制評価を法対応として捉えていることが多くあるが、監査をクリアするためには、「実施基準」以外にも監査法人の基準に従い内部統制が有効に機能しているかを評価しないといけません。

 

上場基準や会社の規模によって、外部監査人から求められる評価のレベルが異なります。さらには、外部監査人によって評価項目や監査の難易度が異なることもあります。そのため、自社環境に合致した内容でコントロールの設定や評価手続を策定し、十分協議を行ったうえで、評価を進めることが重要です。

 

まとめ

■内部統制評価対象となる各プロセスの概要
内部統制評価の対象プロセスは、全社的統制・業務プロセス統制・決算財務報告プロセスに係る統制(全社・個別)・IT全社統制・IT全般統制・IT業務処理統制に区分されます。会社の業務形態や業務内容によって全てを対象にする必要はありません。

 

■評価調書テンプレートの選択における留意点
評価調書テンプレートのチェック項目や統制目標は、評価作業に影響するとともに、コントロールや評価手続の文書化にもつながるため、慎重に検討する必要があります。各社の実情に応じて修正していくと同時に外部監査人の評価基準もあるため、評価する前に事前の認識合わせが必要です。

 

■コントロール内容の設定ポイント
効率的な評価を実施するために、明らかに質的・金額的重要性が低い、又は発生の可能性が低いリスクは除外し、リスク方針の許容範囲を超えるリスク、事業遂行上で軽減させなければならないリスクは、コントロールを導入・設定する必要があります。

 

■評価手続の策定ポイント
評価手続の内容がコントロールの内容と一致しているか、曖昧ではないか、どの程度の強さの証拠か、不足証憑がないか、何をどのように確認すればよいかという観点で策定することが重要です。

 

■内部統制評価における留意事項
上場基準や会社の規模によって、外部監査人から求められる評価項目や監査の難易度が異なることもあります。自社環境に合致した内容でコントロールや評価手続を策定し、外部監査人と十分協議を行ったうえで、評価を進めることが重要です。

CONTACT

経理、監査、情報システムに関するお悩みなど
お気軽にご相談ください

お電話でのお問い合わせ
受付時間:平日10:00~19:00
お気軽にお電話ください
03-6230-9526
フォームからのお問い合わせ メルマガ登録

認証フォーム

※お名前・メールアドレスを入力するとすぐに資料がご覧いただけます。

氏名必須
メールアドレス必須