内部統制報告制度に関する事例集
~中堅・中小上場企業等における効率的な内部統制報告実務に向けて~
平成23年3月 策定
令和5年8月 改訂
金融庁企画市場局
2
内部統制報告制度においては、内部統制の構築・評価・監査に当たって、企業の
状況等に応じた工夫を行い、内部統制の有効性は保ちつつも、当該企業の実態にあ
った、効率的な内部統制が整備・運用されることを目指している。
企業等においては、制度導入後 2 年間にわたり、基準・実施基準等に基づいて
様々な工夫を行いながら内部統制の整備・運用が行われてきた。その中で、本事例
集は、事業規模が小規模で、比較的簡素な構造を有している組織等において、資源
の制約等の下、様々な工夫を行い、内部統制の有効性を保ちつつも、効率的に内部
統制の評価等が行われていた事例を企業、監査人等から収集し、実務の参考に供す
べく、取りまとめたものである。
各事例は、基本的に、概要、事例、参考(関係する基準・実施基準等。以下同じ。)
により構成されている。
なお、これらの事例については、
① 異なる前提条件が存在する場合、関係法令及び基準・実施基準等が変更され
る場合などには、考え方が異なることもあること
② 基本的には、事業規模が小規模で、比較的簡素な構造を有している組織等に
おける事例であるが、事業規模が小規模でない場合であっても比較的簡素な構
造を有している組織等においては参考にできる場合もあること
③ 各事例中の計数の表示は必要最小限のものにとどめている。いずれにせよ、
計数は各事例の理解に資するようにするためのあくまでも参考であり、当該計数
に縛られるものではないこと
に留意が必要である。
1
目 次
ページ
1.全社的な内部統制
(事例1-1)全社的な内部統制の評価 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例1-2)全社的な内部統制の評価項目の調整 ・・・・・・・・・・・・・・・・・・・・・・・・
2.決算・財務報告プロセスに係る内部統制
(事例2-1)決算・財務報告プロセスの内部統制 ・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例2-2)決算・財務報告プロセスの評価方法 ・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例2-3)決算・財務報告プロセスにおけるチェック・リストの活用 ・・・・・・・・・・
3.業務処理統制に係る内部統制
(事例3-1)評価対象業務プロセスの削減 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例3-2)リスクの分析と評価 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例3-3)統制上の要点の選定 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例3-4)僅少な業務プロセスの評価範囲 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例3-5)業務プロセスに係る内部統制の整備状況の評価 ・・・・・・・・・・・・・・・
(事例3-6)業務プロセスにおけるサンプリングの範囲 ・・・・・・・・・・・・・・・・・・・・・
(事例3-7)業務プロセスにおけるサンプリング方法 ・・・・・・・・・・・・・・・・・・・・・・・
(事例3-8)統制の組み合わせによる内部統制の実施 ・・・・・・・・・・・・・・・・・・・・
(事例3-9)運用状況の評価の実施時期 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例3-10)規模の差異を考慮した直接的なモニタリングの実施 ・・・・・・・・・・・
4.ITを利用した内部統制
(事例4-1)IT統制の本社(親会社)への集中 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・
(事例4-2)ITを利用した内部統制の整備状況評価におけるチェック・リストの活 用
(事例4-3)ITに係る業務処理統制の評価 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
2
4
5
6
8
9
11
13
15
16
18
19
20
21
23
24
25
26
32
ページ
5.評価範囲の制約
(事例5-1)下期に追加された重要な事業拠点の評価 ・・・・・・・・・・・・・・・・・・・・・
34
6.内部統制の記録及び保存
(事例6-1)決算・財務報告プロセスに係る内部統制の記録 ・・・・・・・・・・・・・・・・
(事例6-2)業務プロセスに係る内部統制の記録 ・・・・・・・・・・・・・・・・・・・・・・・・・
36
38
3
(事例1-1)
● 全社的な内部統制の評価
【概要】
監査役と内部監査人が定期的、あるいは適時に打ち合わせを行うなど適切な
連携を保つことにより、効果的・効率的にリスクを抽出。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。
当社の監査役と内部監査人は月次など定期的に、あるいは気になる事象や
問題があると考える状況を発見した場合などは直ちに、打ち合わせを実施し、お
互いの監査状況などの共有化を図るとともに、財務報告に重要な虚偽記載が発
生するリスクの状況に変化がないかを議論している。
この結果、個別に評価対象に追加すべきリスクが大きい取引を行っている事
業又は業務などの重要性の大きい業務プロセスを効果的かつ効率的に評価範
囲に含めることができた。
【参考】
○ 実施基準 Ⅱ.2.(2)②評価対象とする業務プロセスの識別(抜粋)
ロ.①で選定された事業拠点及びそれ以外の事業拠点について、財務報告への影響
を勘案して、重要性の大きい業務プロセスについては、個別に評価対象に追加する。
(略)
a.~d.(略)
リスクについては、例えば、以下のような状況において、発生又は変化する可能性が
ある。
・規制環境や経営環境の変化による競争力の変化
・新規雇用者
・情報システムの重要な変更
・事業の大幅な急速な拡大
・生産プロセス及び情報システムへの新技術の導入
・新たなビジネスモデルや新規事業の採用又は新製品の販売開始
・リストラクチャリング
・海外事業の拡大又は買収
・新しい会計基準の適用や会計基準の改訂
○ 実施基準 Ⅱ.3.(2)①
(参考 1)財務報告に係る全社的な内部統制に関する評価項目の例(抜粋)
統制環境
4
・ 監査役等は内部監査人及び監査人と適切な連携を図っているか。
情報と伝達
・ 経営者、取締役会、監査役等及びその他の関係者の間で、情報が適切に伝達・
共有されているか。
5
(事例1-2)
● 全社的な内部統制の評価項目の調整
【概要】
監査人と協議のうえ、事業拠点の重要度に応じて、全社的な内部統制の評価
項目を調整。
【事例】
当社の連結子会社は○社である。親会社及び連結子会社○社が重要な事業
拠点として選定されており、連結子会社のうち、○社は財務報告に対する影響の
重要性が僅少な事業拠点として、全社的な内部統制の評価対象から除外してい
る。
当社は、監査人と協議のうえ、全社的な内部統制の評価対象とした重要な事
業拠点○社のうち、○社については、重要性を勘案し、実施基準の評価項目の
例(42 項目)に沿った評価を実施し、残りの○社については、実施基準の評価項
目の例(42 項目)のうち、当社にとって重要な項目に絞った評価を実施した。
【参考】
○ 実施基準 Ⅱ.3.(2)①全社的な内部統制(抜粋)
全社的な内部統制は企業全体に広く影響を及ぼし、企業全体を対象とする内部統制であ
り、基本的には企業集団全体を対象とする内部統制を意味する。ただし、企業集団内の子
会社や事業部等に独特の歴史、慣習、組織構造等が認められ、当該子会社や事業部等を
対象とする内部統制を別途評価対象とすることが適切と判断される場合には、個々の子会
社や事業部等のみを対象とする全社的な内部統制を評価することもある。その場合、どの
子会社や事業部等の単位で内部統制を識別し、評価を実施するかは経営者が財務報告へ
の影響の重要性を勘案して適切に判断する。
〔全社的な内部統制の評価項目〕
全社的な内部統制の形態は、企業の置かれた環境や事業の特性等によって様々であ
り、企業ごとに適した内部統制を整備及び運用することが求められるが、各基本的要素
ごとに、例えば、参考1(財務報告に係る全社的な内部統制に関する評価項目の例)の
ような評価項目が考えられる。ただし、必ずしも参考 1 の例によらない場合があること及
び参考 1 の例による場合でも、適宜、加除修正がありうることに留意する。
6
(事例2-1)
● 決算・財務報告プロセスの内部統制
【概要】
会計専門家の活用によって、決算・財務報告プロセスの内部統制の評価及び
監査を効率化。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有しており、連結子
会社を数社有している。親会社の経理部に信頼性のある財務報告の作成を支
えるのに必要な能力を有した社員がいないことに対応するため、会計参与を置
いている。なお、親会社の日常の取引については、市販のパッケージソフトによ
りシステム化していることから、経理部の社員で対応が可能である。
当社は、子会社の連結手続や決算時の処理、及び有価証券報告書の作成な
どの管理・監督について会計参与を活用し、会計参与が実施した業務結果につ
いて、依頼した基本的内容を満たしているかを確認した。
この結果、経営者の評価や監査への対応を効率的に実施することができ、決
算・財務報告プロセスの評価及び監査の工数を削減することができた。
また、会計参与の活用により、例えば、外部の会計専門家へ業務委託するよ
りも効率的に内部統制報告制度への対応ができたと考えている。
7
【参考】
○ 実施基準 Ⅱ.2.(2)評価範囲の決定(抜粋)
〔業務プロセスに係る評価の範囲の決定〕
主として経理部門が担当する決算・財務報告に係る業務プロセスのうち、全社的な観点で
評価することが適切と考えられるものについては、全社的な内部統制に準じて、全ての事業
拠点について全社的な観点で評価することに留意する。
(注) 全社的な観点で評価することが適切と考えられる決算・財務報告プロセスには、例え
ば、以下のような手続が含まれる。
・ 総勘定元帳から財務諸表を作成する手続
・ 連結修正、報告書の結合及び組替など連結財務諸表作成のための仕訳とその内
容を記録する手続
・ 財務諸表に関連する開示事項を記載するための手続
○ 実施基準 Ⅱ.3.(2)①
(参考 1)財務報告に係る全社的な内部統制に関する評価項目の例(抜粋)
統制環境
・ 経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所
要の能力を有する人材を確保・配置しているか。
・ 信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、
常に適切なものとなっているか。
リスクの評価と対応
・ 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させ
る有効なリスク評価の仕組みが存在しているか。
○ Q&A問42 外部の専門家の利用(抜粋)
ただし、企業において、専門家が実施した業務結果について、依頼した基本的内容を満
たしているかを確認することが求められることに留意する必要がある。
8
(事例2-2)
● 決算・財務報告プロセスの評価方法
【概要】
全社的な観点で評価することが適切と考えられる決算・財務報告プロセスに
係る内部統制の運用状況の評価について、親会社のみを対象に実施。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。連結会
計方針の決定、会計上の予測、及び見積りなどの経営者の方針や考え方など、
全社的な観点で評価することが適切と考えられる内部統制については、親会社
で決定しており、決定結果を連結グループに適用する「連結会計方針及び手続
書」に規定している。また、中央集権的に企業集団が運営されており、全ての子
会社に対して共通の方針や手続が確立されている。
当社は、全社的な観点で評価することが適切と考えられる決算・財務報告プロ
セスに係る内部統制の整備状況の評価を実施した結果、評価結果は有効であ
り、連結グループの内部統制の整備状況は同一であると確認できた。このため、
全社的な観点で評価することが適切と考えられる決算・財務報告プロセスに係る
内部統制の運用状況の評価については、親会社のみを対象に評価を実施した。
【参考】
○ 実施基準 Ⅱ.2.(2)評価範囲の決定(抜粋)
〔業務プロセスに係る評価の範囲の決定〕
主として経理部門が担当する決算・財務報告に係る業務プロセスのうち、全社的な観点で
評価することが適切と考えられるものについては、全社的な内部統制に準じて、全ての事業
拠点について全社的な観点で評価することに留意する。
(注) 全社的な観点で評価することが適切と考えられる決算・財務報告プロセスには、例え
ば、以下のような手続が含まれる。
・ 総勘定元帳から財務諸表を作成する手続
・ 連結修正、報告書の結合及び組替など連結財務諸表作成のための仕訳とその内
容を記録する手続
・ 財務諸表に関連する開示事項を記載するための手続
○ 実施基準 Ⅱ.3.(2)②全社的な内部統制の評価方法(抜粋)
全社的な内部統制を評価するときは、評価対象となる内部統制全体を適切に理解及び分
析した上で、必要に応じて関係者への質問や記録の検証などの手続を実施する。
9
(事例2-3)
● 決算・財務報告プロセスにおけるチェック・リストの活用
【概要】
決算・財務報告プロセスについて、監査人と協議のうえ、いわゆる「3点セット」
ではなく、チェック・リストを作成し、決算・財務報告プロセスの評価に活用。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。
当社は、決算・財務報告プロセスについて、監査人と協議のうえ、「業務の流
れ図」、「業務記述書」及び「リスクと統制の対応」の3つの資料(いわゆる3点セ
ット)の代わりにチェック・リストを作成し、決算・財務報告プロセスの評価に利用
している。なお、基本的には、このチェック・リストのみにより評価を行い、改めて
更なるリスクの洗い出し作業やチェック・リストに記載以外の項目についての評
価は行っていない。
(チェック・リスト例)
業務区分 作業名
対象期
作業内容
使用又は
作成資料
承認者印
各部門に対し、決算の留意
事項、締め切り日、資料提
決算準備
通 達 の 発
全四半期
出先等の連絡を、経理部
信
通期
長が承認した文書「決算スケ
シ ゙ ュ ー ル 及 び 依 頼 ・ 注 意 事
項」をもって発信する。
決算スケジュール
及び 依頼 ・注
意事項
・・・
分析
・・・
予算比、前期比等の観点
貸 借 対 照 表
決 算 書 の
全四半期
より、貸借対照表、損益計
分析表、損益
分析
通期
算書の分析を行い、経理部
計 算 書 分 析
長の承認を受ける。
表
10
【参考】
○ 実施基準 Ⅱ.3.(3)業務プロセスに係る内部統制の評価(抜粋)
経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる業務プロセスを分析
した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を統制上の要点として識別す
る。次に、統制上の要点となる内部統制が虚偽記載の発生するリスクを十分に低減してい
るかどうかを評価する。経営者は、各々の統制上の要点の整備及び運用の状況を評価する
ことによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。
① 評価対象となる業務プロセスの把握・整理
(注) 図や表の例としては、参考2(業務の流れ図(例)、業務記述書(例))が挙げられ
る。ただし、これは、必要に応じて作成するとした場合の参考例として掲載したもの
であり、また、企業において別途、作成しているものがあれば、それを利用し、必要
に応じそれに補足を行っていくことで足り、必ずしもこの様式による必要はないこと
に留意する。
② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別
ロ.虚偽記載が発生するリスクを低減するための統制上の要点を識別する。
(注) 図や表の例としては、参考3(リスクと統制の対応(例))が挙げられる。ただし、こ
れは、必要に応じて作成するとした場合の参考例として掲載したものであり、また、
企業において別途、作成しているものがあれば、それを利用し、必要に応じそれに
補足を行っていくことで足り、必ずしもこの様式による必要はないことに留意する。
11
(事例3-1)
● 評価対象業務プロセスの削減
【概要】
重要な事業拠点における事業目的に大きく関わる勘定科目に至る業務プロセ
スのうち、評価対象となるプロセス数を、以下の方法で削減。
(1) 新たな業務取引:取引開始時に既存の業務フローの利用を検討
(2) 既存の取引:複数の業務プロセスを合わせて一つの業務プロセスとするこ
とを検討
【事例】
当社は積極的に業務を多角化しており、取引の種類が非常に多い。
(1)新たな業務取引
取引開始前に社内において、業務フローの概要も合わせて稟議申請し、既存
の業務フローに沿って処理することを検討することとした。この結果、評価対象と
なる業務プロセスが安易に増えることを防止した。
(2)既存の取引
社内において内部統制に関するプロジェクトチームを立ち上げ、次の3点を基
本的な方針として、評価対象となる複数の業務プロセスの統合を検討した。
見直しに際しては、次の3点を基本的な方針とした。
① 証憑及びITシステムの可能な限りの共通化
証憑やITシステムを共通化することにより、統制の共通化を図り、それまで
別々に評価していた業務プロセスを併せて評価。
② 各業務プロセスの簡素化
同一の業務プロセスに統一できない場合には、計算や転記の回数を減らす
など、各業務プロセスの簡素化を図ることにより、業務プロセスの評価を効率
化。
③ プロセス・オーナー(各業務プロセスの責任者)の指名
複数の部署に関係する業務プロセスの評価において、部門間に業務プロセ
スがわたっている場合には、プロセス・オーナーを指名することにより、部門間
の責任の押し付け合いの回避を図り、業務プロセスの評価を効率化。
12
【参考】
○ 実施基準 Ⅱ.2.(2)②評価対象とする業務プロセスの識別(抜粋)
イ.①で選定した重要な事業拠点(持分法適用となる関連会社を除く。)における、企業
の事業目的に大きく関わる勘定科目(例えば、一般的な事業会社の場合、原則として、
売上、売掛金及び棚卸資産)に至る業務プロセスは、財務報告に及ぼす影響を勘案
し、原則として、全てを評価の対象とする。
13
(事例3-2)
● リスクの分析と評価
【概要】
リスクの分析と評価を行う際には、特に重要なリスク(高リスク)の特定に重点
を置き、メリハリの利いた評価を実施。
【事例】
重要性があるリスクに対してのみ対応策を講じるため、リスクの金額的重要性
や質的重要性、その生じる可能性を分析し、当該リスクの程度を3段階(高、中
及び低)で評価した。その際、特に重要なリスク(高リスク)の特定に重点を置い
た。
統制上の要点の選定や運用状況評価の手続・実施時期の決定、評価体制の
構築において、特に重要なリスク(高リスク)については、慎重に対応したが、そ
のほかのリスクについては効率性を重視して評価したため、財務報告上のリスク
に応じたメリハリの利いた評価を実施できた。
なお、監査人と協議のうえ、特に重要なリスク(高リスク)と定義したリスクは、
次のとおりである。
特に重要なリスク(高リスク:質的又は金額的重要性が高く、かつ発生可能性
が高いリスク)
① 質的重要性
当社が属する業種や置かれている状況を考慮し、業務プロセスをサブ・
プロセスごとに特に質的重要性が高い要素(不確実性が高い取引、見積
りや予測の要素、及び非定型・不規則な取引など)が存在しないかを検討
する。質的重要性が高い要素が存在する場合、関連するリスクは、発生
可能性も高いとみなし、特に重要なリスク(高リスク)と判断する。
② 過去の指摘事項等
過去の虚偽記載及び監査人・内部監査人の指摘事項等は、質的又は
金額的重要性が高く、かつ発生可能性も高いとみなし、特に重要なリスク
(高リスク)と判断する。なお、直近の指摘事項等については、特に留意す
る。
ただし、①及び②について、明らかに金額的重要性又は発生可能性が低い
ことを合理的に説明できるリスクは、特に重要なリスク(高リスク)とはしない。
14
【参考】
○ 実施基準 Ⅰ.2.(2)①ハ リスクの分析と評価(抜粋)
組織は、識別・分類したリスクの全てに対応策を講じるのではなく、重要性があるものにつ
いて対応策を講じることになる。
○ 実施基準 Ⅱ.2.(2)②評価対象とする業務プロセスの識別(抜粋)
ロ.①で選定された事業拠点及びそれ以外の事業拠点について、財務報告への影響
を勘案して、重要性の大きい業務プロセスについては、個別に評価対象に追加する。
業務プロセスの選定の際の留意点は以下のとおりである。
a.リスクが大きい取引を行っている事業又は業務に係る業務プロセス
例えば、財務報告の重要な事項の虚偽記載に結びつきやすい事業上のリスク
を有する事業又は業務(例えば、金融取引やデリバティブ取引を行っている事業
又は業務や価格変動の激しい棚卸資産を抱えている事業又は業務など)や、複雑
な会計処理が必要な取引を行っている事業又は業務、複雑又は不安定な権限や
職責及び指揮・命令の系統(例えば、海外に所在する事業拠点、企業結合直後の
事業拠点、中核的事業でない事業を手掛ける独立性の高い事業拠点)の下での
事業又は業務を行っている場合には、当該事業又は業務に係る業務プロセス
は、追加的に評価対象に含めることを検討する。
b.見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス
例えば、引当金や固定資産の減損損失、繰延税金資産(負債)など見積りや経
営者による予測を伴う重要な勘定科目に係る業務プロセスで、財務報告に及ぼす
影響が最終的に大きくなる可能性があるものは、追加的に評価対象に含めること
を検討する。
c.非定型・不規則な取引など虚偽記載が発生するリスクが高いものとして、特に留意
すべき業務プロセス
例えば、通常の契約条件や決済方法と異なる取引、期末に集中しての取引や
過年度の趨勢から見て突出した取引等非定型・不規則な取引を行っていることな
どから虚偽記載の発生するリスクが高いものとして、特に留意すべき業務プロセ
スについては、追加的に評価対象に含めることを検討する。
15
(事例3-3)
● 統制上の要点の選定
【概要】
統制上の要点の選定過程を記録・保存することにより、翌年度における統制
上の要点の見直しに影響を与える事象を効果的かつ効率的に把握。
【事例】
業務プロセスに係る内部統制の評価について、統制上の要点の選定過程を
記録・保存していたため、翌年度における統制上の要点の見直しの際、前年度
の選定過程で検討した事項(業務プロセスの特徴、リスクの評価、個々の内部統
制における相互連携等)について変更はないか、又は、企業グループの内外で
新たに考慮すべき事項は発生していないかを効果的かつ効率的に把握すること
ができた。
【参考】
○ 実施基準 Ⅱ.3.(3)業務プロセスに係る内部統制の評価(抜粋)
経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる業務プロセスを分析
した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を統制上の要点として識別す
る。次に、統制上の要点となる内部統制が虚偽記載の発生するリスクを十分に低減してい
るかどうかを評価する。経営者は、各々の統制上の要点の整備及び運用の状況を評価する
ことによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。
① 評価対象となる業務プロセスの把握・整理
経営者は、評価対象となる業務プロセスにおける取引の開始、承認、記録、処理、報告
を含め、取引の流れを把握し、取引の発生から集計、記帳といった会計処理の過程を理
解する。把握された業務プロセスの概要については、必要に応じ図や表を活用して整理・
記録することが有用である。
② 業務プロセスにおける虚偽記載の発生するリスクとこれを低減する統制の識別
イ.経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載
が発生するリスクを識別する。
ロ.虚偽記載が発生するリスクを低減するための統制上の要点を識別する。
経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その
際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、
網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性とい
った適切な財務情報を作成するための要件を確保するために、どのような内部統制が
必要かという観点から識別する。
16
(事例3-4)
● 僅少な業務プロセスの評価範囲
【概要】
コアとなる事業のほかに少量多数の事業を営んでいるため、個々の事業には
重要性の低い業務プロセスが多数存在する。このため、重要性に応じた効果的・
効率的評価を実施。
【事例】
当社は、コアとなる事業のほかに、細かいものも含め多数の事業を営んでい
る。ある重要な事業拠点における業務プロセス数は 28 であり、このうち、僅少な業
務プロセス(合算で連結売上高のおおむね○%程度以下となる業務プロセス)の
数は 15、重要な業務プロセスの数は3であり、重要な業務プロセスの当該主要な
事業拠点の連結売上高に占める割合は、8割程度である。
実施基準では僅少な業務プロセスを除く 13 プロセスが評価範囲であるが、監査
人と協議のうえ、重要な業務プロセスに係る内部統制の運用状況の評価は毎年、
重要な業務プロセス以外の業務プロセスの運用状況の評価は3年を限度としてロ
ーテーションで実施した。この結果、運用評価の対象業務プロセスを大幅に削減
することができた。
【イメージ】
重要な業務プロセス(3プロセス)
重 要な業務 プロ セ
ス 以外の業 務プ ロ
セス(10 プロセス)
僅少な業
務プロセ
ス(15 プ
ロセス)
運用評価を毎年実施
運用評価を 3 年に 1 回実施
17
【参考】
○ 実施基準 Ⅱ.2.(2)② 評価対象とする業務プロセスの識別(抜粋)
イ.選定した重要な事業拠点(持分法適用となる関連会社を除く。)における、企業の事
業目的に大きく関わる勘定科目に至る業務プロセスは、財務報告に及ぼす影響を勘
案し、原則として、全てを評価の対象とする。
(注2) 重要な事業拠点における企業の事業目的に大きく関わる勘定科目に至る業
務プロセスの評価範囲については、経営者が重要な虚偽記載の発生するリスクを
勘案して、企業ごとに適切に判断すべきものであり、その判断基準について、一概
に言うことは適切ではないと考えられるが、例えば、売上を「企業の事業目的に大
きく関わる勘定科目」としている場合において、売上に至る業務プロセスの金額を
合算しても連結売上高のおおむね5%程度以下となる業務プロセスを、重要な事
業又は業務との関連性が低く、財務報告に対する影響の重要性も僅少なものとし
て評価の対象からはずすといった取扱いはありうるものと考えられる。なお、この
「おおむね5%程度」については機械的に適用すべきでないことに留意する。
18
(事例3-5)
● 業務プロセスに係る内部統制の整備状況の評価
【概要】
監査人と協議のうえ、監査人が経営者の評価結果を利用しない業務プロセス
に係る内部統制の整備状況の評価としてプロセス・オーナー(業務プロセスの責
任者)への質問のみを実施。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。過年度
の業務プロセスに係る内部統制の整備・運用状況の評価結果は有効である。
当社は、監査人と協議のうえ、監査人が経営者の評価結果を利用しない業務
プロセスに係る内部統制のうち過年度の整備・運用状況の評価結果が有効な一
部の業務プロセスについて、業務プロセスに係る内部統制の整備状況に重要な
変更がないこと(例えば、取引の流れ、内部統制、IT、担当者の状況など)をプロ
セス・オーナーへの質問により確認することで、整備状況の評価を実施した。
この結果、取引の流れを追跡する手続や関連文書の閲覧などを実施すること
なく、効率的に業務プロセスに係る内部統制の整備状況の評価を実施できた。
【参考】
○ 実施基準 Ⅱ.3.(3)業務プロセスに係る内部統制の評価(抜粋)
③ 業務プロセスに係る内部統制の整備状況の有効性の評価
経営者は、上記②によって識別した個々の重要な勘定科目に関係する個々の統
制上の要点が適切に整備され、実在性、網羅性、権利と義務の帰属、評価の妥当
性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための
要件を確保する合理的な保証を提供できているかについて、関連文書の閲覧、従
業員等への質問、観察等を通じて判断する。この際、内部統制が規程や方針に従
って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十
分に低減できるものとなっているかにより、当該内部統制の整備状況の有効性を
評価する。
○ 内部統制 Q&A 問33 取引の流れを追跡する手続の実施(抜粋)
評価対象となった業務プロセスごとに、代表的な取引を1つあるいは複数選んで、取引の
開始から取引記録が財務諸表に計上されるまでの流れを追跡する手続は、監査人が内部
統制の整備状況に関する理解を確実なものとする上で、有用な手続ではあるとされている
が(実施基準Ⅲ4(2)①イb)、経営者が必ず実施しなければならない手続とはされていな
い。
19
(事例3-6)
● 業務プロセスにおけるサンプリングの範囲
【概要】
全社的な内部統制の評価結果が有効であることを確認したうえ、サンプリング
の範囲を縮小。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している小売店を
経営しており、全国に○店舗を有している。各店舗の業務内容はほぼ同一であ
る。当社の全社的な内部統制及び評価対象の業務プロセスに係る内部統制の
整備状況の評価結果は有効である。
当社は、全社的な内部統制の評価結果が有効であり、各店舗の業務内容が
ほぼ同一であることから、業務プロセスに係る内部統制の運用状況の評価を毎
年全ての店舗で1店舗当たり 25 件のサンプルを抽出することによって評価を行
うのではなく、年間○店舗ずつ、3年間で全店舗を評価することとした。1店舗当
たりのサンプル件数は、拠点の規模や、重要な内部統制担当者の交代の有無
により差を設けた。
【参考】
○ 実施基準 Ⅱ.3.(3)④業務プロセスに係る内部統制の運用状況の有効性の評価(抜
粋)
ロ.運用状況の評価の実施方法
運用状況の評価の実施に際して、経営者は、原則としてサンプリングにより十分
かつ適切な証拠を入手する。全社的な内部統制の評価結果が良好である場合や、
業務プロセスに係る内部統制に関して、同一の方針に基づく標準的な手続が企業
内部の複数の事業拠点で広範に導入されていると判断される場合には、サンプリ
ングの範囲を縮小することができる。
例えば、複数の営業拠点や店舗を展開している場合において、統一的な規程に
より業務が実施されている、業務の意思決定に必要な情報と伝達が良好である、
内部統制の同一性をモニタリングする内部監査が実施されている等、全社的な内
部統制が良好に運用されていると評価される場合には、全ての営業拠点について
運用状況の評価を実施するのではなく、個々の事業拠点の特性に応じていくつか
のグループに分け、各グループの一部の営業拠点に運用状況の評価を実施して、
その結果により全体の内部統制の運用状況を推定し、評価することができる。
20
(事例3-7)
● 業務プロセスにおけるサンプリング方法
【概要】
経営者は重要性が高い項目をサンプル抽出し、業務プロセスに係る内部統制
の運用状況の評価を実施した。サンプル数は、1プロセスにつき、○件ずつ(監
査人は 25 件)とした。
【事例】
当社は、監査人と協議のうえで、経営者の判断で運用状況の評価手続を実施
し、監査人が経営者のサンプルを利用しないことについて、監査人と経営者は合
意している。
当社は、無作為抽出ではなく、金額的に多額の取引をサンプル抽出すること
により業務プロセスに係る内部統制の運用状況の評価を実施した。1プロセスに
つき、サンプル数は○件ずつとしたが、監査人は、経営者のサンプルを利用せ
ず、独自に無作為で 25 件のサンプルを抽出した。また、サンプル抽出日程につ
いては、監査人と同時期にした。
この結果、経営者が無作為抽出を行う工数を削減することができた。
【参考】
○ 実施基準 Ⅱ.3.(3)④業務プロセスに係る内部統制の運用状況の有効性の評価(抜
粋)
ロ.運用状況の評価の実施方法
運用状況の評価の実施に際して、経営者は、原則としてサンプリングにより十分
かつ適切な証拠を入手する。全社的な内部統制の評価結果が良好である場合や、
業務プロセスに係る内部統制に関して、同一の方針に基づく標準的な手続が企業
内部の複数の事業拠点で広範に導入されていると判断される場合には、サンプリ
ングの範囲を縮小することができる。
二.評価の実施方法の決定に関する留意事項
運用状況の評価の実施方法(サンプル件数、サンプルの対象期間等)を決定す
る際に考慮すべき事項は、以下のとおりである。
a.内部統制の形態・特徴等
経営者は、内部統制の重要性、複雑さ、担当者が行う判断の性質、内部統制
の実施者の能力、前年度の評価結果やその後の変更の状況等を考慮して運用
状況の評価の実施方法(サンプル件数、サンプルの対象期間等)を決定する必要
がある。
21
(事例3-8)
● 統制の組み合わせによる内部統制の実施
【概要】
リスクに対して、1つの統制のみで対応するのではなく、財務報告上の重要な虚
偽記載を低減する可能性の高い統制であるかどうかを考慮した上で、複数の統制
を組み合わせることにより統制上の要点の絞り込みを適切に実施するとともに、
適切にリスクに対処。
【事例】
当社は、少額の売上取引が大量に発生する。当該取引についてのシステム化
が十分ではなく、日常的取引に関する統制がリスクを低減させる可能性の度合い
は高くない。
売上取引のリスクと統制の関係、運用テストの対象は、以下のとおりである。
統制に関する情報
リスクの重要度
統制①
統制②
統制③
(日常的取引)
(日常的取引)
(定期的な取引先
財 務 報
リスクA
告 リ スク
リスクB
に 関 す
リスクC
る情報
リスクD
△
△
△
△
への残高確認)
○
○
△
△
○
重要(実在性に関係)
重要(評価の妥当性に関係)
重要(期間帰属に関係)
重要でない(網羅性に関係)
(注)○は、財務報告上の重要な虚偽記載を低減する可能性が高いことを、△は低いことを表している。
運用テストの対象
統制①(日常的取引に関する統制)は全てのリスクに対応するが、リスクを低減
する効果は低い。
そこで、統制②(日常的取引に関する統制であるが、リスク C(期間帰属に関す
るリスク)を低減する効果が高い)と統制③(定期的な取引先への残高確認。リス
ク A、B を防ぐ効果が高い)を組み合わせて評価した。
この結果、効果的な内部統制を実現するとともに、統制上の要点の絞り込みを
適切に実施することによって内部統制の評価作業も軽減した。
統制の組み合わせにあたり、留意した点は以下のとおりである。
・ リスクを低減する効果の高い統制を組み合わせる。なお、取引先から入手し
た残高確認との照合のように、外部から入手した証拠を用いる統制は、リス
クを低減する効果が高いと考えられる。
・ 重要性が低く、発生可能性が低いリスクについては、運用テストをしないこと
22
が考えられる。例えば、取引等によっては「網羅性」より「実在性」が重要で
ある、といったように、適切な財務情報を作成するための要件は、取引等に
よって異なることを考慮する。
【参考】
○ 実施基準 Ⅱ.3.(3)②業務プロセスにおける虚偽記載の発生するリスクとこれを低減
する統制の識別(抜粋)
ロ.虚偽記載が発生するリスクを低減するための統制上の要点を識別する。
経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。
その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実
在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥
当性といった適切な財務情報を作成するための要件を確保するために、どのような
内部統制が必要かという観点から識別する。
23
(事例3-9)
● 運用状況の評価の実施時期
【概要】
不備の発生状況等により、業務プロセスを分類し、効果的かつ効率的な業務
プロセスに係る内部統制の運用状況の評価の実施時期を決定。
【事例】
業務プロセスを次のとおり区分し、それぞれの業務プロセスに係る内部統制
の運用状況の評価の実施時期(運用状況の評価を期中に実施した場合におけ
る期末日までの期間の有効性を確かめる追加手続(以下、「ロールフォワード」と
いう。)を含む。)を決定した。
1.期中における運用状況の評価結果が有効であった業務プロセス
継続して、期末時点でも有効である可能性は高いと考えられることか
ら、期末のロールフォワードは、評価対象とした業務プロセスに係る内部
統制の整備状況に重要な変更がないことを確認するため、担当者に対す
る質問等を実施した。
2.期中における運用状況の評価において不備が発見された業務プロセス
期末のロールフォワードは、運用状況の再評価手続として、期末日に
近い時点でサンプルの検証を実施した。
【参考】
○ 実施基準 Ⅱ.3.(3)④ハ. 運用状況の評価の実施時期(抜粋)
評価時点(期末日)における内部統制の有効性を判断するには、適切な時期に運用状況
の評価を実施することが必要となる。
運用状況の評価を期中に実施した場合、期末日までに内部統制に関する重要な変更が
あったときには、例えば、以下の追加手続の実施を検討する。なお、変更されて期末日に存
在しない内部統制については、評価する必要はないことに留意する。
○ Q&A問35 期中における運用評価の実施(抜粋)
期中に運用状況の評価を実施した場合、その後、担当者への質問等により、評価対象と
した内部統制の整備状況に重要な変更がないことが確認されたときには、新たに追加的な
運用状況の評価は要しないものと考えられる。
24
(事例3-10)
● 規模の差異を考慮した直接的なモニタリングの実施
【概要】
経営者が直接的なモニタリングを実施することにより、評価手続を効率化。
【事例】
当社は、小規模な小売業であり、店舗数が少なく、従業員数も少ないため、経
営者が日常の業務活動に広範に関与している。
当社の経営者の誠実性及び倫理的価値観の保持、監査役会による監視活
動、内部通報の仕組みといった全社的な内部統制は有効であり、経営者等が内
部統制を無効化するリスクに対し、適切な対応がとられていると考えられる。この
ため、経営者による直接的なモニタリングを業務プロセスに係る内部統制の評価
手続の中心としている。
例えば、当社は、在庫管理プロセスの評価における統制上の要点として店長
による週3回及び月次の実地棚卸を選定している。当該統制上の要点に対する
直接的なモニタリング(評価手続)として、経営者は、店長の実地棚卸の日時及
び結果に関する報告書を直接入手し棚卸差異分析の状況などを確認するととも
に、実地棚卸を2週間行っていない店舗を把握し、当該店舗を訪問し、調査を実
施しており、改めて内部監査人等による評価手続を実施していない。監査人とも
協議を行い、監査人は、経営者による直接的なモニタリングの実施状況、全社的
な内部統制を検証することで、在庫管理プロセスに係る内部統制の有効性につ
いて、十分な監査証拠が入手可能であるとしている。
この結果、経営者による評価、監査の工数を削減することができた。
【参考】
○ 実施基準 Ⅲ.4.(2)①ロ.業務プロセスに係る内部統制の運用状況の検討(抜粋)
a.運用状況の検討の内容及び実施方法
事業規模が小規模で、比較的簡素な構造を有している組織等においては、経
営者が直接行った日常的モニタリングの結果や監査役が直接行った内部統制の
検証結果(例えば、棚卸の立会などの往査の結果をまとめた報告書等)を内部統
制の実施状況の検証として利用するなど、効率的な運用状況の検討が可能な場
合があることに留意する。
25
(事例4-1)
● IT統制の本社(親会社)への集中
【概要】
IT統制のうち重要性の高いものについては、本社(親会社)に権限を集中させ
ることによって、IT 統制の評価及び監査を効率的に実施。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。支社
(子会社)は、独自のシステムを採用している。
当社は、システムの開発・保守、外部委託に関する契約などITに係る全般統
制を中心に、重要なIT統制について、本社に権限を集中させた。
この結果、ITに係る全般統制や業務処理統制の整備・運用状況の評価及び
監査を本社のみで実施することが可能になり、効率的な評価及び監査を実施す
ることができた。
【参考】
○ 実施基準 Ⅱ.3.⑶⑤二 ITを利用した内部統制の整備状況及び運用状況の有効性の
評価(抜粋)
a.ITに係る全般統制の評価
経営者は、ITに係る全般統制が、例えば、次のような点において有効に整備及
び運用されているか評価する。
・ システムの開発、保守
・ システムの運用・管理
・ 内外からのアクセス管理などのシステムの安全性の確保
・ 外部委託に関する契約の管理
b.ITに係る業務処理統制の評価
例えば、次のような点について、業務処理統制が有効に整備及び運用されてい
るかを評価する。
・ 入力情報の完全性、正確性、正当性等が確保されているか。
・ エラーデータの修正と再処理の機能が確保されているか。
・ マスタ・データの正確性が確保されているか。
・ システムの利用に関する認証・操作範囲の限定など適切なアクセス管理が
なされているか。
26
(事例4-2)
● ITを利用した内部統制の整備状況評価におけるチェック・リストの活用
【概要】
重要な変更がないITを利用した内部統制について、チェック・リストを作成し、
監査人と協議のうえで、全社的な内部統制やITに係る全般統制の整備状況評
価に利用。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。IT に関
しては、自社開発のシステムではなく、基本的に市販のパッケージソフト等をそ
のまま利用している。
当社は、重要な変更がないITを利用した内部統制について、チェック・リストを
作成し、監査人と協議のうえで、全社的な内部統制やITに係る全般統制の整備
状況評価に利用した。この結果、改めて更なるリスクの洗い出し作業やチェック・
リストに記載以外の項目についての評価は基本的には行わなかった。
27
(全社的な内部統制に関するチェック・リスト例)
質問項目
分類
No
内容
はい:○
いいえ:×
該当なし:N/A
変更なし:-
補足事項
経営戦略に合致した IT 戦略計画を定期的に文書化しているか
C1
C2
C3
C4
計画立案の際に利害関係者からの意見を吸い上げるようにしてい
るか
情報システムを全社的に統括する部門が存在し、会社で利用して
いる情報システムを包括的かつ継続的に把握しているか
職務分掌規程等により、情報システム部門の役割と責任が明確化
されているか
情報システム部の要員に対して、IT 関連の教育・研修を計画的に
実施しているか
全ての情報システムの主管部門又は責任者が明確になっているか
外部委託業務の契約書にセキュリティ要件、委託業務に対する評
C5
価の実施、必要に応じた監査の実施、等の項目を盛り込んでいる
か
新規もしくは既存のシステムに対して、定期的にリスク評価を行
C6
い、その結果に基づく対策の立案及び対応をしているか
C7
C8
C9
C10
C11
C12
IT 戦略及び年度計画を、業務プロセス責任者や関係者に伝達して
いるか
情報システム部の責任者は、定期的に経営者や取締役会に情報
システム部の計画に対する進捗や成果、課題を伝達しているか
セキュリティポリシーや IT 全般統制についての規程を定め、関連
部署・要員に伝達しているか
情報システム部門内において、品質保証のために自己点検を実施
しているか
内部監査部門はシステム監査を実施し、その結果を経営者に報告
するとともに、指摘事項に対するフォローアップを実施しているか
IT に関する委託業務の内容に応じ、委託先における業務実施状況
や結果に対する確認、評価等を実施しているか
統 制 環 境
リ ス ク 評 価
情 報 と 伝 達
モ ニ タ リ ン グ
28
(IT に係る全般統制に関するチェック・リスト例)
質問項目
分類
No
内容
はい:○
いいえ:×
該当なし:N/A
変更なし:-
補足事項
情 報 セキュリ
プログラム及びデータへのアクセスに対する方針を定め、関係者
テ ィ の 方 針 /
G1
(外部委託先を含む)に周知しているか
ユーザの認識
物理的アクセ
情報処理施設への物理的アクセスを必要な要員のみに制限する
ス
ための対策を講じているか
G2
アクセス権限
業務分掌と合致するアクセス権限のみをユーザに付与するため
の設定
の対策を講じているか
G3
アクセス管理
G4
ユーザ ID 及びアクセス権限の付与申請、承認、発行、一時停
止、削除を適切に行うための対策を講じているか
識別と認証
G5
G6
G7
業務上権限を有しない要員のシステムアクセスを防止するための
対策を講じているか
パスワードを使用している場合、その漏洩等を防止するための対
策を講じているか
不要なユーザ ID の有無、及び不適切なアクセス権限の有無を確
認するための対策を講じているか
モニタリング
G8
するための対策を講じているか
重要なシステム又はデータに対する不正アクセスの有無を確認
ネットワークからの不正アクセスの防止対策が適切であることを
G9
確認するための対策を講じているか
情報システム部門内の規程等により、要員間の相互牽制の観点
G10
から、必要な職務分離(開発業務と運用業務の分離等)を定め、
実施しているか
システムレベル(OS、DBMS、ミドルウェア、ネットワーク)の特権
ID は、全て特定された上で、極めて限定された適切な要員にの
特殊権限ユー
G11
ザ
み付与されているか
不正な使用の有無を監視するための対策を講じているか
アプリケーションレベルの特権 ID は、全て特定された上で、極め
て限定された適切な要員にのみ付与されているか
G12
また、その不正な使用の有無を監視するための対策を講じている
か
29
質問項目
分類
No
内容
はい:○
いいえ:×
該当なし:N/A
変更なし:-
補足事項
プログラムを変更する際の手続(変更依頼から本番移行まで)
G13
を、規程や業務手続書等に定めているか
プログラム変更がユーザ部門からの依頼に基づく場合、ユーザ
許 可 、 開 発 、
G14
部門及び情報システム部門双方の管理者が文書に基づき承認を
テス ト及 び承
行っているか
認
プログラム変更に際し、適切なテストが行われるとともに、その結
G15
G16
G17
果について、適切な管理者が文書に基づき承認を行っているか
テストが本番環境データに影響を与えないようにするために、テ
スト環境は本番環境から分離されているか
変更されたプログラムを本番環境に登録する前に、適切な管理
者が文書に基づき承認を行っているか
本番環境へのプログラムの登録権限は、必要最低限の適切な要
本 番 環 境 へ
の移行
G18
員のみに付与されているか
また、その中に開発要員は含まれていないか
適切な承認を受けていないプログラムが、本番環境に登録されて
G19
いないことを確認するための対策を講じているか
OS、DBMS、ハードウェアの環境設定、又はアプリケーションのパ
コンフィギュレ
ラメータ変更に関わる手続を規程や業務手続書等に定めている
ー シ ョ ン の 変
G20
か
更
変更を行う場合、適切な管理者が文書に基づき承認を行っている
か
通常の変更管理手続を通らない緊急のプログラム変更につい
緊急の変更
G21
て、不適切なプログラムが本番環境に登録されないようにする/
又は登録されていないことを確認するための対策を講じているか
システム開発の標準的な手続(例:分析、設計、コーディング、テ
開発/取得の
スト、移行)を規程や業務手続書等に定めているか
G22
ための方法論
当該規程・手続書等において、システム開発局面毎の標準的な
作成文書・レビュー・承認手続等を定めているか
30
質問項目
分類
No
内容
はい:○
いいえ:×
該当なし:N/A
変更なし:-
補足事項
重要なシステムの開発にあたり、プロジェクトの範囲、要件、予算
や開発局面毎の作成文書・レビュー・承認等を定めた、適切なプ
デ ザ イ ン 、 開
ロジェクト計画書を作成するとともに、経営者・業務部門・IT 部門
G23
発、テスト、承
の適切な管理者が承認を行っているか
認、実施
テストを含むシステム開発の各局面において、プロジェクト計画書
G24
に応じ、適切な管理者(必要に応じてユーザ部門も含む)が文書
に基づきレビュー・承認を行っているか
データ移行
G25
正確なデータ移行を行うために、移行計画及び移行結果につい
て、適切な管理者が文書に基づき承認を行っているか
適切なジョブスケジュールの登録・作成を行うための対策を講じ
ているか
ジョブスケジュールに従った運用を確実に行うための対策を講じ
G26
G27
ジョブの処理
ているか
臨時ジョブを適切に承認し、確実に行うための対策を講じている
G28
か
ジョブスケジュール及び臨時ジョブ依頼に従った運用が行われた
G29
ことを確認するための対策を講じているか
重要なデータ及びプログラムのバックアップを適時適切に取得す
バ ッ ク ア ッ プ
G30
及 び リ カ バ リ
手続
G31
るための対策を講じているか
バックアップからのリカバリを確実に行えるようにするための対策
を講じているか
本番環境における事故及び障害を適時に発見するための対策を
G32
講じているか
障 害 及 び 問
G33
題 の 管 理 手
順
G34
全ての事故及び障害を記録し、解決に至るまでを管理するため
の対策を講じているか
重要な事故及び障害を、適切な管理者に対し、適時に漏れなく伝
達するための対策を講じているか
データの直接修正を行う場合、適切な管理者が文書により承認を
G35
行っているか
31
【参考】
○ 実施基準 Ⅱ.3.(2)①
(参考 1)財務報告に係る全社的な内部統制に関する評価項目の例(抜粋)
ITへの対応
・ 経営者は、ITに関する適切な戦略、計画等を定めているか。
・ 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方
針を明確に示しているか。
・ 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低
減するため、手作業及びITを用いた統制の利用領域について、適切に判断して
いるか。
・ ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリ
スクが考慮されているか。
・ 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び
手続を適切に定めているか。
○ 実施基準 Ⅱ.3.⑶⑤二 ITを利用した内部統制の整備状況及び運用状況の有効性の
評価(抜粋)
a.ITに係る全般統制の評価
経営者は、ITに係る全般統制が、例えば、次のような点において有効に整備及
び運用されているか評価する。
・ システムの開発、保守
・ システムの運用・管理
・ 内外からのアクセス管理などのシステムの安全性の確保
・ 外部委託に関する契約の管理
32
(事例4-3)
● IT に係る業務処理統制の評価
【概要】
ITに係る業務処理統制の運用状況の評価において、監査人と協議のうえ、過
年度の評価結果を活用。
【事例】
過年度のITに係る業務処理統制の整備・運用状況の評価結果は有効であり、
その後、障害・エラー等の不具合は発生していない。
当年度の関連するITに係る全般統制の整備及び運用状況の評価結果は有効
であり、ITに係る業務処理統制の整備状況の評価結果も有効である。
当社は、IT に係る業務処理統制に対応するプログラム又は環境設定が過年
度から変更がないということを直接確認することによって、過年度の評価結果を
そのまま利用することとした。
下記のような過年度から変更がないことを、監査人に対し、説明・立証したとこ
ろ、監査人の評価においても、ITに係る業務処理統制の運用状況の評価につい
て、過年度の評価結果が利用され、その結果、内部統制評価のための工数を全
体として削減することができた。
<過年度に実施した手続>
IT に係る業務処理統制が意図したとおりに機能していることを評価し、翌年度
以降に当該評価結果を利用するための準備として以下の手続を実施した。
1. 評価結果の利用対象とした自動化された統制を実行するプログラム又は環境
設定を具体的に特定。
2. アプリケーションに対する変更がほとんどないことを確認。(変更が頻繁に生じ
るアプリケーションだと、翌期にプログラムが変更される可能性が高いため)
3. 自動化された統制を実行するプログラム又は環境設定が、テストを行った以後
に変更されていないことを立証する証拠(例:プログラムの最終更新一覧)が存
在することを確認。
<当年度に実施した手続>
過年度にテストを行った以降に IT に係る業務処理統制に対応するプログラム
又は環境設定が変更されていないことを立証する証拠(例:プログラムの最終更
新一覧)を入手し、当該プログラム又は環境設定が変更されていないことを確
認。
33
【参考】
○ 実施基準 Ⅱ.3.(3)⑤二.ITを利用した内部統制の整備状況及び運用状況の有効性
の評価(抜粋)
b.ITに係る業務処理統制の評価
経営者は、識別したITに係る業務処理統制が、適切に業務プロセスに組み込
まれ、運用されているかを評価する。
c.過年度の評価結果を利用できる場合
ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則と
して毎期実施する必要がある。しかし、ITを利用して自動化された内部統制に関し
ては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機
能するという性質がある。したがって、経営者は、自動化された内部統制が過年
度に内部統制の不備が発見されずに有効に運用されていると評価された場合、
評価された時点から内部統制が変更されてないこと、障害・エラー等の不具合が
発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び
評価した結果、全般統制が有効に機能していると判断できる場合には、その結果
を記録することで、当該評価結果を継続して利用することができる。
34
(事例5-1)
● 下期に追加された重要な事業拠点の評価
【概要】
下期に他企業を買収又は合併したが、通常要する期間内に評価手続を実施
することが困難であったため、以下の手続を実施し、内部統制報告書には評価
手続の一部が実施できなかったが、財務報告に係る内部統制は有効である旨
並びに実施できなかった評価手続及びその理由を記載。
(1) 当該企業の全社的な内部統制の評価
(2) 当該買収又は合併に関連する財務報告の数値についての確認
【事例】
当社は、企業再編を進めており、下期において大規模な買収を行った。当該
企業は重要な事業拠点に該当するが、本年度については、当該企業の規模等
から、財務諸表を作成して取締役会の承認を受けるまでに通常要する期間内に
内部統制の基準・実施基準に準拠した全ての評価手続を完了することが困難で
あったため、以下の手続を実施した。
(1) 当該企業の全社的な内部統制の評価
(2) 当該買収に関連する財務報告の数値についての確認(例えば、合併承継財
産の引継の確認作業やシステム移行の確認作業など)
内部統制報告書には、評価手続の一部が実施できなかったが、財務報告に
係る内部統制は有効である旨、実施できなかった評価手続及びその理由を記載
した。監査人も当該事項はやむを得ない事情によると認められると判断してい
る。
監査人は、①経営者による評価が、やむを得ない事情を除き、全体として適切
に実施されていること、②やむを得ない事情により、十分な評価手続を実施でき
なかったことが財務報告の信頼性に重要な影響を及ぼすまでには至っていない
こと、を確認できたため、無限定適正意見を表明し、十分な評価手続を実施でき
なかった範囲及びその理由を追記情報に記載した。
35
【参考】
○ 実施基準 Ⅱ.3.(6)評価範囲の制約(抜粋)
〔評価範囲の制約が認められる場合〕
「やむを得ない事情」とは、例えば、下期に他企業を買収又は合併したこと、災害が発
生したこと等の事由が生じたことにより、財務諸表を作成して取締役会の承認を受ける
までに通常要する期間内に本基準に準拠した評価手続を実施することが困難と認めら
れる事情をいう。
(注) なお、「下期」はあくまでも例示であり、該当する事象が発生したが内部統制報
告書作成日までに、やむを得ず評価を完了することができない場合でその合理性
が認められるときには、「下期」に限られないことに留意する。
評価範囲の除外に関しては、その範囲及びその理由を内部統制報告書に記載するこ
とが必要であり、また、評価を実施できないことが財務報告の信頼性に重要な影響を及
ぼす場合には、内部統制の評価結果は表明できないこととなることに留意する。
○ Q&A問64 やむを得ない事情がある場合の監査意見(抜粋)
1. 監査人が経営者の評価手続の一部が実施できなかったことに正当な理由が認めら
れるとして無限定適正意見を表明する場合には、次の点に留意しなければならない。
(1) 経営者による評価が、やむを得ない事情を除き、全体として適切に実施されてい
ること。
(2) やむを得ない事情により、十分な評価手続を実施できなかったことが財務報告の
信頼性に重要な影響を及ぼすまでには至っていないこと。
2. 例えば、下期の合併等の組織再編や大規模なシステム変更等のやむを得ない事情
により、経営者が基準等に準拠した十分な評価手続を実施できない場合でも、監査人
は、次の事項を考慮することにより、評価手続を実施できなかったことが財務報告の信
頼性に重要な影響を及ぼすまでには至っていないと判断して、無限定適正意見を表明
することができると考えられる。
(1) 全社的な内部統制の評価結果が有効であること。
(2) 合併等の組織再編や大規模なシステム変更等のやむを得ない事情に関連する
財務報告の数値について会社が何らかの確認作業(合併承継財産の引継の確認
作業やシステム移行の確認作業など)を実施していること。
3. なお、監査人は、やむを得ない事情によると認められるとして無限定適正意見を表
明する場合には、十分な評価手続を実施できなかった範囲及びその理由を追記情報と
して記載することとなる。
36
(事例6-1)
● 決算・財務報告プロセスに係る内部統制の記録
【概要】
内部監査人等と管理部門が適切に連携を保つことにより、決算・財務報告プ
ロセスに係る内部統制の記録を削減。
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。
当社は、決算・財務報告プロセスについて、毎四半期決算の開始前に内部監
査人と管理部門にて、事前に提出予定資料リストを作成しミーティングを実施す
ることによって、決算・財務報告プロセスに必要かつ内部統制報告制度に有効な
資料かどうかを見直している。また、監査人とも協議を行い、過度な資料作成を
回避している。
この結果、決算・財務報告プロセスの評価及び監査に必要な資料を削減する
ことができた。
37
【参考】
○ 実施基準 Ⅱ.3.(7) ① 内部統制の記録(抜粋)
内部統制に係る記録の範囲、形式及び方法は一律に規定できないが、例えば、以下のよ
うな事項を記録し保存することが考えられる。
イ.財務報告に係る内部統制の整備及び運用の方針及び手続
ロ.全社的な内部統制の評価にあたって、経営者が採用する評価項目ごとの整備及び
運用の状況
ハ.重要な勘定科目や開示項目に関連する業務プロセスの概要(各業務プロセスにお
けるシステムに関する流れやITに関する業務処理統制の概要、使用されているシス
テムの一覧などを含む。)
二.各業務プロセスにおいて重要な虚偽記載が発生するリスクとそれを低減する内部
統制の内容(実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切
性、表示の妥当性との関係を含む。また、ITを利用した内部統制の内容を含む。)
ホ.上記二.に係る内部統制の整備及び運用の状況
ヘ.財務報告に係る内部統制の有効性の評価手続及びその評価結果並びに発見した
不備及びその是正措置
・ 評価計画に関する記録
・ 評価範囲の決定に関する記録(評価の範囲に関する決定方法及び根拠等を含
む。)
・ 実施した内部統制の評価の手順及び評価結果、是正措置等に係る記録
なお、記録の形式、方法等については、一律に規定されるものではなく、企業の作成・使
用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることに留
意する。
特に、事業規模が小規模で、比較的簡素な構造を有している組織等においては、様々な
記録の形式・方法をとりうる。例えば、当該会社の経営者からの社内への通達等、当該会社
の作成している経営者から組織の内外の者に対する質問書、各業務の業務内容を前任者
から後任者に伝達するための文書等、販売担当者が受注の際に作成した文書等、ソフトウ
ェアのマニュアル、伝票や領収書などの原資料、受注入力後販売管理システムから出力さ
れる出荷指図書などの業務指示書等を適宜、利用し、必要に応じてそれに補足を行っていく
ことで足りることに留意する。
38
(事例6-2)
● 業務プロセスに係る内部統制の記録
【概要】
業務の流れ図の更新業務について、以下の方法で効率化。
(1) 業務の流れ図を機能ごとに細分化して作成
(2) 異なる業務プロセス間で部分的に同じ業務処理が行われる場合は同一
の資料を利用
【事例】
当社は、事業規模が小規模で、比較的簡素な組織構造を有している。
当社は、業務の流れ図の更新業務について、以下の方法で効率化をしてい
る。
(1) 業務の流れ図を機能ごとに細分化して作成
(2) 各業務の流れ図に管理番号を付記
(3) 各業務プロセスについて管理番号の流れを業務記述書に記載
(ex)
0001 → 0002 → 0301 → 1003 → 0003
(4) 異なる業務プロセス間で部分的に同じ業務処理が行われる場合は同一
の資料を利用
この結果、業務の流れ図の管理で以下の利点があったと考えている。
(1) 業務の流れ図に更新が発生した場合、異なる業務プロセスにおいても
同一の業務の流れ図を使用しているため、更新箇所は1箇所で済み、
業務の流れ図の更新時間の削減が可能
(2) 業務の流れ図の更新漏れを防止
【イメージ】
39
【参考】
○ 実施基準 Ⅱ.3.(7) ① 内部統制の記録(抜粋)
内部統制に係る記録の範囲、形式及び方法は一律に規定できないが、例えば、以下のよ
うな事項を記録し保存することが考えられる。
イ.財務報告に係る内部統制の整備及び運用の方針及び手続
ロ.全社的な内部統制の評価にあたって、経営者が採用する評価項目ごとの整備及び
運用の状況
ハ.重要な勘定科目や開示項目に関連する業務プロセスの概要(各業務プロセスにお
けるシステムに関する流れやITに関する業務処理統制の概要、使用されているシス
テムの一覧などを含む。)
二.各業務プロセスにおいて重要な虚偽記載が発生するリスクとそれを低減する内部
統制の内容(実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切
性、表示の妥当性との関係を含む。また、ITを利用した内部統制の内容を含む。)
ホ.上記二.に係る内部統制の整備及び運用の状況
ヘ.財務報告に係る内部統制の有効性の評価手続及びその評価結果並びに発見した
不備及びその是正措置
・ 評価計画に関する記録
・ 評価範囲の決定に関する記録(評価の範囲に関する決定方法及び根拠等を含
む。)
・ 実施した内部統制の評価の手順及び評価結果、是正措置等に係る記録
なお、記録の形式、方法等については、一律に規定されるものではなく、企業の作成・使
用している記録等を適宜、利用し、必要に応じそれに補足を行っていくことで足りることに留
意する。
特に、事業規模が小規模で、比較的簡素な構造を有している組織等においては、様々な
記録の形式・方法をとりうる。例えば、当該会社の経営者からの社内への通達等、当該会社
の作成している経営者から組織の内外の者に対する質問書、各業務の業務内容を前任者
から後任者に伝達するための文書等、販売担当者が受注の際に作成した文書等、ソフトウ
ェアのマニュアル、伝票や領収書などの原資料、受注入力後販売管理システムから出力さ
れる出荷指図書などの業務指示書等を適宜、利用し、必要に応じてそれに補足を行っていく
ことで足りることに留意する。
40