監基報 315

監査基準報告書 315

重要な虚偽表示リスクの識別と評価

2011 年 12 月 2 2 日

改正 2 0 1 5 年５月 2 9 日

改正 2 0 1 9 年６月 1 2 日

改正 2 0 2 1 年６月８日

改正 2 0 2 1 年８月 1 9 日

改正 2 0 2 2 年６月 1 6 日

改正 2022 年 1 0 月 13 日

改正 2 0 2 3 年１月 1 2 日

最終改正 2 0 2 4 年９月 2 6 日

日本公認会計士協会

監査・保証基準委員会

（報告書：第 13 号）

項番号

Ⅰ 本報告書の範囲及び目的

１．本報告書の範囲 ...................................................................1

２．本報告書に関連する基本的な概念 ...................................................2

３．本報告書の目的 ..................................................................10

４．定義 ............................................................................11

Ⅱ 要求事項

１．リスク評価手続とこれに関連する活動 ..............................................12

２．企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システムの理解

(1) 企業及び企業環境並びに適用される財務報告の枠組みの理解 ........................18

(2) 企業の内部統制システムの構成要素の理解 ........................................20

３．重要な虚偽表示リスクの識別と評価

(1) 重要な虚偽表示リスクの識別 ....................................................27

(2) 財務諸表全体レベルの重要な虚偽表示リスクの評価 ................................29

(3) アサーション・レベルの重要な虚偽表示リスクの評価 ..............................30

(4) リスク評価手続から得られた監査証拠の評価 ......................................34

(5) 関連するアサーションを識別していない（重要な虚偽表示リスクを識別していない）が重

要性のある取引種類、勘定残高又は注記事項 ........................................35

(6) リスク評価の修正 ..............................................................36

４．監査調書 ........................................................................37

Ⅲ 適用指針

監基報 315

１．定義

(1) アサーション ..................................................................A1

(2) 関連するアサーション ..........................................................A2

(3) 固有リスク要因 ................................................................A3

(4) 情報処理統制 ..................................................................A5

(5) 特別な検討を必要とするリスク ..................................................A6

(6) 内部統制 ......................................................................A7

２．リスク評価手続とこれに関連する活動 .............................................A11

(1) 監査証拠を偏りのない方法で入手することが重要である理由 .......................A14

(2) 監査証拠の情報源 .............................................................A15

(3) 適用の柔軟性 .................................................................A16

(4) リスク評価手続の種類 .........................................................A19

(5) 経営者及びその他の企業構成員への質問 .........................................A22

(6) 分析的手続 ...................................................................A25

(7) 観察及び記録や文書の閲覧 .....................................................A30

(8) 他の情報源からの情報 .........................................................A34

(9) 監査チーム内の討議 ...........................................................A39

３．企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システムの理解

(1) 本報告書で要求されている理解 .................................................A43

(2) 企業及び企業環境並びに適用される財務報告の枠組みの理解が必要となる理由 .......A45

(3) 企業及び企業環境 .............................................................A51

(4) 企業の内部統制システムの理解 .................................................A79

(5) 企業の内部統制システムにおける内部統制の不備 ................................ A170

４．重要な虚偽表示リスクの識別と評価

(1) 監査人が重要な虚偽表示リスクを識別し評価する理由 ............................ A172

(2) 重要な虚偽表示リスクの識別 .................................................. A174

(3) アサーション ................................................................ A176

(4) 財務諸表全体レベルの重要な虚偽表示リスク .................................... A180

(5) アサーション・レベルの重要な虚偽表示リスク .................................. A187

(6) リスク評価手続から得られた監査証拠の評価 .................................... A215

(7) 関連するアサーションを識別していない（重要な虚偽表示リスクを識別していない）が重

要性のある取引種類、勘定残高又は注記事項 ...................................... A218

(8) リスク評価の修正 ............................................................ A221

５．監査調書 ...................................................................... A222

Ⅳ 適用

付録１企業及びそのビジネスモデルを理解するための考慮事項

付録２固有リスク要因の理解

付録３企業の内部統制システムの理解

監基報 315

iii

付録４企業の内部監査機能を理解するための考慮事項

付録５ＩＴを理解するための考慮事項

付録６ＩＴ全般統制を理解するための考慮事項

監基報 315

- 1 -

《Ⅰ 本報告書の範囲及び目的》

《１．本報告書の範囲》

１．本報告書は、財務諸表の重要な虚偽表示リスクを識別し評価することに関する実務上の指針を

提供するものである。

《２．本報告書に関連する基本的な概念》

２．監査基準報告書200「財務諸表監査における総括的な目的」は、監査リスクを許容可能な水準に

抑えるために十分かつ適切な監査証拠を入手することを含め、財務諸表監査の実施に関する実務

上の全般的な指針を提供する。監査リスクは、重要な虚偽表示リスクと発見リスクの二つから構

成される。監査基準報告書200は、重要な虚偽表示リスクは、財務諸表全体レベルとアサーション・

レベルの二つのレベルで存在する可能性があると説明している（監基報200第12項(5)、第16項及

びA33項参照）。

３．監査基準報告書200は、監査人に、財務諸表監査の計画と実施において、職業的専門家としての

判断を行使すること、及び、財務諸表において重要な虚偽表示となる状況が存在する可能性のあ

ることを認識し、職業的懐疑心を保持して監査を計画し実施することを要求している（監基報200

第14項及び第15項参照）。

４．財務諸表全体レベルの重要な虚偽表示リスクは、財務諸表全体に広く関わりがあり、多くのアサ

ーションに潜在的に影響を及ぼす。アサーション・レベルの重要な虚偽表示リスクは、固有リスク

と統制リスクの二つの要素で構成される。

(1) 固有リスクは、関連する内部統制が存在していないとの仮定の上で、取引種類、勘定残高又は

注記事項に係るアサーションに、個別に又は他の虚偽表示と集計すると重要となる虚偽表示が

行われる可能性とされている。

(2) 統制リスクは取引種類、勘定残高又は注記事項に係るアサーションで発生し、個別に又は他

の虚偽表示と集計すると重要となる虚偽表示が、企業の内部統制によって防止又は適時に発見・

是正されないリスクとされている。

５．監査基準報告書200は、十分かつ適切な監査証拠を入手するのに必要なリスク対応手続の種類、

時期及び範囲を決定するため、アサーション・レベルの重要な虚偽表示リスクを評価すると説明

している（監基報200のA40－2項及び監基報330第５項参照）。本報告書では、識別したアサーショ

ン・レベルの重要な虚偽表示リスクについては、固有リスクと統制リスクとに分けて評価するこ

とが要求されている。監査基準報告書200で説明されているとおり、一部のアサーション並びに関

連する取引種類、勘定残高及び注記事項の固有リスクは、他に比べて相対的に高いことがある。評

価した固有リスクの程度は高いものから低いものまで様々であり、これを固有リスクの分布（境

界線がなく無段階に連続的に変化する固有リスクの分布）と呼ぶことがある。

６．監査人が識別し評価する重要な虚偽表示リスクには、誤謬と不正の両方のリスクが含まれる。い

ずれも本報告書の対象としているが、不正は特に重要であることから、監査基準報告書240「財務

諸表監査における不正」に、不正による重要な虚偽表示リスクの識別、評価及び対応手続の立案に

利用する情報を入手するためのリスク評価手続とこれに関連する活動に関する更なる要求事項と

適用指針を記載している。

監基報 315

- 2 -

７．監査人によるリスクの識別と評価のプロセスは、反復的かつ累積的である。企業及び企業環境、

適用される財務報告の枠組み並びに企業の内部統制システムの理解は相互に関係しており、重要

な虚偽表示リスクを識別し評価するための要求事項に記載されている。本報告書が要求する事項

の理解の過程でリスクを暫定的に認識し、リスクの識別と評価の過程で当初の認識が見直される

場合がある。加えて、本報告書及び監査基準報告書330「評価したリスクに対応する監査人の手続」

は、監査基準報告書330に従ったリスク対応手続で入手した監査証拠に基づいて、又は新たな情報

を入手した場合は、リスク評価を更新し、全般的な対応やリスク対応手続を変更することを要求

している。

８．監査基準報告書330は、監査人に、評価した財務諸表全体レベルの重要な虚偽表示リスクに応じ

て、全般的な対応を立案し実施することを要求しており、さらに、監査人の統制環境の理解は、財

務諸表全体レベルの重要な虚偽表示リスクの評価と、それに関する監査人の全般的な対応に影響

を及ぼすと説明している。また、同報告書は、監査人に、評価したアサーション・レベルの重要な

虚偽表示リスクに応じて、実施するリスク対応手続の種類、時期及び範囲を立案し実施すること

を要求している（監基報330第４項及び第５項参照）。

《適用の柔軟性》

９．監査基準報告書200では、幾つかの監査基準報告書において適用の柔軟性に関する考慮事項が含

まれているが、業務の内容と状況の複雑性にかかわらず全ての企業に要求事項を適用することが

示されている（監基報200のA63-2項参照）。本報告書は、規模又は複雑性にかかわらず全ての企業

の監査を対象としており、必要に応じて、複雑でない企業と複雑な企業における特別な考慮事項

を適用指針にそれぞれ記載している。企業の規模がその複雑性の指標となる場合もあるが、小規

模企業が複雑である場合も、大規模企業が複雑でない場合もある。

《３．本報告書の目的》

10．監査人の目的は、不正か誤謬かを問わず、財務諸表全体レベルの重要な虚偽表示リスクと、アサ

ーション・レベルの重要な虚偽表示リスクを識別し評価することである。これにより、リスク対応

手続の立案と実施に関する基礎が提供される。

《４．定義》

11．本報告書における用語の定義は、以下のとおりとする。

(1) 「ＩＴ環境」－ＩＴアプリケーション及びそれを支援するＩＴインフラストラクチャーをい

い、ＩＴプロセスやＩＴプロセスに関わる要員も含まれる。企業は、これらを業務の支援や事業

戦略を達成するために利用する。本報告書の目的において、ＩＴ環境に関連する事項は以下の

とおりである。

① ＩＴアプリケーションは、取引若しくは情報の開始、処理、記録及び報告において使用され

るプログラム又は一連のプログラム群のことをいう。ＩＴアプリケーションにはデータウエ

アハウスとレポートライターも含まれる。

② ＩＴインフラストラクチャーは、ネットワーク、オペレーティング・システム、データベー

監基報 315

- 3 -

ス、そして、これらに関連するハードウェアとソフトウェアから構成される。

③ ＩＴプロセスとは、ＩＴ環境へのアクセスの管理、プログラムの変更又はＩＴ環境に対する

変更の管理及びＩＴ業務の管理をするための企業のプロセスをいう。

(2) 「ＩＴ全般統制」－ＩＴ環境の継続的かつ適切な運用を支援する企業のＩＴプロセスに係る

内部統制のことをいう。ＩＴ環境の継続的かつ適切な運用には、継続して有効に機能する情報

処理統制、及び企業の情報システム内の情報のインテグリティ（すなわち、情報（データ）の網

羅性、正確性、正当性）の確保が含まれる。「(1)ＩＴ環境」の定義も参照する。

(3) 「ＩＴの利用から生じるリスク」－企業のＩＴプロセスにおける内部統制のデザイン若しく

は運用が有効でないことにより、情報処理統制が有効にデザイン若しくは運用されない可能性

又は企業の情報システム内の情報のインテグリティ（すなわち、取引及びその他の情報（デー

タ）の網羅性、正確性、正当性）に対し引き起こされるリスクをいう。「(1)ＩＴ環境」の定義も

参照する。

(4) 「アサーション」－経営者が財務諸表において明示的か否かにかかわらず提示するものであ

り、財務諸表が、情報の認識、測定、表示及び注記に関して適用される財務報告の枠組みに準拠

して作成されていることを表すものである。監査人は、重要な虚偽表示リスクの識別、評価及び

対応において、発生する可能性のある虚偽表示の種類を考慮する際にアサーションを利用する

（A1 項参照）。

(5) 「関連するアサーション」－取引種類、勘定残高又は注記事項に係るアサーションのうち、重

要な虚偽表示リスクが識別されたアサーションをいう。アサーションが「関連するアサーショ

ン」であるかどうかの判断は、関連する内部統制を考慮する前に行われる（すなわち、固有リス

ク）（A2 項参照）。

(6) 「固有リスク要因」－関連する内部統制が存在しないとの仮定の上で、不正か誤謬かを問わ

ず、取引種類、勘定残高又は注記事項に係るアサーションにおける虚偽表示の生じやすさに影

響を及ぼす事象又は状況の特徴をいう。固有リスク要因は定性的又は定量的な要因であり、複

雑性、主観性、変化、不確実性、経営者の偏向又はその他の不正リスク要因が固有リスクに影響

を及ぼす場合における虚偽表示の生じやすさを含んでいる（監基報 240 の A21 項から A25 項参

照）（A3 項から A4 項参照）。

(7) 「事業上のリスク」－企業目的の達成や戦略の遂行に悪影響を及ぼし得る重大な状況、事象、

環境及び行動の有無に起因するリスク、又は不適切な企業目的及び戦略の設定に起因するリス

クをいう。

(8) 「重要な取引種類、勘定残高又は注記事項」－関連するアサーション（定義(5)参照）が一つ

以上存在する取引種類、勘定残高又は注記事項をいう。

(9) 「情報処理統制」－情報のインテグリティ（すなわち、取引及びその他の情報（データ）の網

羅性、正確性、正当性）のリスクに直接対応する、企業の情報システムにおけるＩＴアプリケー

ションの情報処理又は手作業による情報処理に関連した内部統制をいう（A5 項参照）。

(10) 「特別な検討を必要とするリスク」－識別された以下のような重要な虚偽表示リスクをいう

（A6 項参照）。

① 固有リスク要因が、虚偽表示の発生可能性と虚偽表示が生じた場合の影響の度合い（金額的

監基報 315

- 4 -

及び質的な影響の度合い）の組合せに影響を及ぼす程度により、固有リスクの重要度が最も高

い領域に存在すると評価された重要な虚偽表示リスク

② 他の監査基準報告書の要求事項にしたがって特別な検討を必要とするリスクとして取り扱

うこととされた重要な虚偽表示リスク（監基報 240 第 26 項及び監査基準報告書 550「関連当

事者」第 17 項参照）

(11) 「内部統制」－企業が、経営者又は取締役会、監査役若しくは監査役会、監査等委員会若し

くは監査委員会（以下、監査役若しくは監査役会、監査等委員会又は監査委員会を「監査役等」

という。）の統制目的を達成するために策定する方針又は手続をいう(A7 項から A10 項参照）。

① 方針とは、統制を遂行するために、組織内ですべきこと又はすべきでないことを示すもの

をいい、文書化されていることもあれば、伝達の中で明示的に述べられていることもあり、行

為や意思決定を通じて黙示的に示されていることもある。

② 手続とは、方針を実行するための行為をいう。

(12) 「内部統制システム」－企業の財務報告の信頼性を確保し、事業経営の有効性と効率性を高

め、事業経営に係る法令の遵守を促すという企業目的を達成するために、経営者、取締役会、監

査役等及びその他の企業構成員により、整備（デザインと業務への適用を含む。）及び運用され

ている仕組みをいう。監査基準報告書においては、内部統制システムは以下の五つの相互に関

連した要素から構成される。

① 統制環境

② 企業のリスク評価プロセス

③ 内部統制システムを監視する企業のプロセス

④ 情報システムと伝達

⑤ 統制活動

(13) 「リスク評価手続」－不正か誤謬かを問わず、財務諸表全体レベルの重要な虚偽表示リスク

とアサーション・レベルの重要な虚偽表示リスクを識別し評価するために立案され、実施され

る監査手続をいう。

《Ⅱ 要求事項》

《１．リスク評価手続とこれに関連する活動》

12．監査人は、以下に関する適切な基礎を提供する監査証拠を入手するために、リスク評価手続を立

案し実施しなければならない（A11項からA18項参照）。

(1) 不正又は誤謬による、財務諸表全体レベルの重要な虚偽表示リスク及びアサーション・レベ

ルの重要な虚偽表示リスクの識別及び評価

(2) 監査基準報告書 330 に従ったリスク対応手続の立案

監査人は、裏付けとなるであろう監査証拠を入手する方向に偏らないように、又は矛盾するで

あろう監査証拠を除外する方向に偏らないよう、リスク評価手続を立案し実施しなければなら

ない（A14 項参照）。

13．リスク評価手続には以下を含めなければならない（A19項からA21項参照）。

(1) 経営者への質問、及び内部監査の活動に従事する者（内部監査機能がある場合）を含む、その

監基報 315

- 5 -

他の適切な企業構成員への質問（A22 項から A24 項参照）

(2) 分析的手続（A25 項から A29 項参照）

(3) 観察及び記録や文書の閲覧（A30 項から A33 項参照）

《他の情報源からの情報》

14．第12項に基づく監査証拠の入手に当たっては、以下の情報を考慮しなければならない（A34項か

らA35項参照）。

(1) 監査契約の新規の締結及び更新に関する監査人の手続から得られた情報

(2) 監査責任者が企業の監査以外の業務に関与している場合には、その業務から得られた情報

15．監査人は、企業での過去の経験と過年度の監査で実施した監査手続から得られた情報を利用し

ようとする場合には、その情報が当年度の監査における監査証拠として適合性と信頼性を依然と

して有しているかについて評価しなければならない（A36項からA38項参照）。

《監査チーム内の討議》

16．監査責任者と監査チームの主要メンバーは、適用される財務報告の枠組みの適用状況及び財務

諸表の重要な虚偽表示の生じやすさについて討議しなければならない（A39項からA47項参照）。

17．監査チーム内の討議に参加していない監査チームメンバーがいる場合、監査責任者は、当該メン

バーに伝達する事項を決定しなければならない。

《２．企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システムの理解》

（A43 項及び A44 項参照）

《(1) 企業及び企業環境並びに適用される財務報告の枠組みの理解》（A45 項から A50 項参照）

18．監査人は、以下の事項を理解できるように、リスク評価手続を実施しなければならない。

(1) 企業及び企業環境に関する事項

① 企業の組織構造、所有とガバナンス及びビジネスモデル（ビジネスモデルがＩＴをどの程度

活用しているかを含む。）（A51 項から A59 項参照）

② 産業、規制等の外部要因（A60 項から A64 項参照）

③ 企業の業績を評価するために企業内外で使用される測定指標（A65 項から A71 項参照）

(2) 適用される財務報告の枠組み並びに企業の会計方針及び会計方針の変更がある場合にはその

理由（A72 項から A73 項参照）

(3) (1)及び(2)で理解した内容に基づき、適用される財務報告の枠組みに従って財務諸表を作成

する過程で、固有リスク要因がどのように及びどの程度、アサーションにおける虚偽表示の生

じやすさに影響を及ぼすか（A74 項から A78 項参照）。

19．監査人は、企業の会計方針が適切であるか、及び適用される財務報告の枠組みに準拠しているか

どうかを評価しなければならない。

監基報 315

- 6 -

《(2) 企業の内部統制システムの構成要素の理解》（A79 項から A83 項参照）

《① 統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセス》（A84

項から A86 項参照）

《ア．統制環境》

20．監査人は、リスク評価手続を通じて得た以下の理解や評価により、財務諸表の作成に影響を及ぼ

す統制環境を理解しなければならない（A87項からA88項参照）。

(1) 以下に関する一連の内部統制、プロセス及び企業構造の理解（A89項からA90項参照）

① 企業環境に対する経営者の監視責任がどのように遂行されているか。例えば、企業文化の

醸成や、誠実性及び倫理観に対する経営者の姿勢など

② 監査役等が経営者と分離されている場合における、監査役等の独立性と監査役等による

企業の内部統制システムの監視状況

③ 権限と責任の付与の状況

④ どのように、有能な人材を採用し、育成し、良好な雇用関係を維持しているか。

⑤ 内部統制システムの目的を遂行する上での役割をどのように各構成員に認識させている

か。

(2) 以下の事項の評価（A91項からA96項参照）

① 経営者は、取締役等による監督及び監査役等による監視の下で、誠実性と倫理的な行動を

尊重する企業文化を醸成し維持しているかどうか。

② 企業の事業内容と複雑性を考慮した場合、統制環境が内部統制システムの他の構成要素

に適切な基礎を提供しているかどうか。

③ 統制環境の不備によって、企業の内部統制システムの他の構成要素が損なわれていない

かどうか。

《イ．企業のリスク評価プロセス》

21．監査人は、リスク評価手続を通じて得た以下の理解や評価により、財務諸表の作成に影響を及ぼ

す企業のリスク評価プロセスを理解しなければならない。

(1) 以下の事項に関する企業のプロセスの理解（A97 項から A98 項参照）

① 財務報告に影響を及ぼす事業上のリスクの識別（A56 項参照）

② 発生可能性を含む当該事業上のリスクの重要度の評価

③ 当該事業上のリスクへの対処

(2) 企業の事業内容と複雑性を考慮した場合、企業のリスク評価プロセスが、企業の状況に対し

て適切かどうかの評価（A99 項から A101 項参照）

22．監査人は、経営者が識別していない重要な虚偽表示リスクを識別した場合、以下の事項を実施し

なければならない。

(1) 監査人は、当該リスクが企業のリスク評価プロセスにおいて本来識別されなければならない

リスクであるかどうかを判断し、本来識別されなければならないリスクである場合には、なぜ

企業のリスク評価プロセスが当該リスクを識別できなかったのかを理解する。

(2) 第 21 項(2)における監査人の評価を検討する。

監基報 315

- 7 -

《ウ．内部統制システムを監視する企業のプロセス》

23．監査人は、リスク評価手続を通じて得た以下の理解と評価により、財務諸表の作成に影響を及ぼ

す内部統制システムを監視する企業のプロセスを理解しなければならない（A102項からA103項）。

(1) 以下の事項に対応する企業のプロセスの理解

① 内部統制の有効性を監視し、内部統制の不備を識別・是正するための日常的及び独立的評価

（A104 項から A105 項）

② 企業の内部監査機能（その責任及び活動内容を含む。）（A106 項参照）

(2) 内部統制システムを監視する企業のプロセスにおいて利用される情報源の理解と、その情報

が監視目的に照らし十分に信頼できると経営者が判断している理由の理解（A107 項から A108 項

参照）

(3) 企業の事業内容と複雑性を考慮した場合、内部統制システムを監視する企業のプロセスが、

企業の状況に対して適切であるかどうかの評価（A109 項から A110 項参照）

《② 情報システムと伝達及び統制活動》（A111 項から A118 項参照）

《ア．情報システムと伝達》

24．監査人は、リスク評価手続を通じて得た以下の理解や評価により、財務諸表の作成に関する企業

の情報システムと伝達を理解しなければならない（A119項参照）。

(1) 重要な取引種類、勘定残高又は注記事項に関する企業の情報処理活動の理解。企業の情報処

理活動には、処理されるデータ及び情報、情報処理活動に使用される経営資源、並びに情報処理

活動について定めた方針が含まれ、以下の事項を理解する（A120 項から A131 項参照）。

① 以下を含む、企業の情報システムにおける情報の流れ

ア．取引の開始から、それに関する情報の記録、処理、必要に応じた修正、総勘定元帳への取

り込み、財務諸表での報告に至るまでの流れ

イ．取引以外の事象や状況に関する情報が把握され、処理され、財務諸表において開示される

までの流れ

② 会計記録、特定の勘定及び情報システムにおける情報の流れに関連する他の裏付けとなる

記録

③ 注記事項を含む、財務諸表を作成するプロセス

④ 上記①から③に関連するＩＴ環境を含む企業の経営資源

(2) 情報システム及び内部統制システムのその他の構成要素において、財務諸表の作成に係る重

要な事項及び報告責任について企業がどのように内外に伝達しているかの理解（A132 項から

A133 項参照）。これには以下の事項を含む。

① 企業構成員の間での伝達（財務報告の役割と責任の伝達を含む。）

② 経営者と取締役会や監査役等との間の伝達

③ 規制当局等の外部への伝達

(3) 企業の情報システムと伝達が、適用される財務報告の枠組みに従った財務諸表の作成を適切

に支援しているかどうかの評価（A134 項参照）

監基報 315

- 8 -

《イ．統制活動》

25．監査人は、リスク評価手続を通じて実施する以下の識別及び評価により、統制活動を理解しなけ

ればならない（A135項からA145項参照）。

(1) 統制活動のうち、アサーション・レベルの重要な虚偽表示リスクに対応する以下の内部統制

の識別

① 特別な検討を必要とするリスクに対応する内部統制（A146 項から A147 項参照）

② 非経常的な取引や通例でない取引の仕訳、又は修正仕訳といった非定型的な仕訳を含む、仕

訳入力に関する内部統制（A148 項から A149 項参照）

③ 実証手続の種類、時期及び範囲を決定するに当たり、監査人が運用評価手続の実施を計画し

ている内部統制。これには、実証手続のみでは、十分かつ適切な監査証拠を入手できないリス

クに対応する内部統制が含まれる（A150 項から A152 項参照）。

④ アサーション・レベルのリスクに関して第 12 項の目的を達成するために、監査人が職業的

専門家としての判断に基づいて評価することが適切であると考えるその他の内部統制（A153

項参照）

(2) (1)で識別された内部統制について、ＩＴの利用から生じるリスクの影響を受けるＩＴアプリ

ケーション及び関連するその他のＩＴ環境の識別（A154 項から A160 項参照）

(3) (2)で識別されたＩＴアプリケーション及び関連するその他のＩＴ環境について、以下の識別

（A161 項から A162 項参照）

① ＩＴの利用から生じるリスク

② ＩＴの利用から生じるリスクに対応するＩＴ全般統制

(4) (1)及び(3)②で識別された個々の内部統制の評価(A163 項から A169 項参照）

① 当該内部統制が、アサーション・レベルの重要な虚偽表示リスクに効果的に対応するように

デザインされているか、又は他の内部統制の運用を支援するよう効果的にデザインされてい

るかの評価

② 企業の担当者への質問に追加して他の手続を実施することによる、当該内部統制が業務に

適用されているかの判断

《③ 企業の内部統制システムにおける内部統制の不備》

26．企業の内部統制システムの各構成要素の評価に基づき、監査人は、内部統制の不備が識別された

かどうかを判断しなければならない（A170項からA171項参照）。

《３．重要な虚偽表示リスクの識別と評価》（A172 項及び A173 項参照）

《(1) 重要な虚偽表示リスクの識別》

27．監査人は、以下の二つのレベルで重要な虚偽表示リスクを識別しなければならない（A174項から

A179項参照）。

(1) 財務諸表全体レベル（A180 項から A186 項参照）

(2) アサーション・レベル（A187 項参照）

28．監査人は、関連するアサーションとそれに関連する重要な取引種類、勘定残高又は注記事項を決

監基報 315

- 9 -

定しなければならない（A188項からA190項参照）。

《(2) 財務諸表全体レベルの重要な虚偽表示リスクの評価》

29．監査人は識別した財務諸表全体レベルの重要な虚偽表示リスクについて、当該リスクを評価し、

以下を実施しなければならない（A180項からA186項参照）。

(1) 当該リスクが、アサーション・レベルのリスクの評価に影響を及ぼすかどうかの判断

(2) 当該リスクが、財務諸表に対して及ぼす広範な影響の内容とその程度の評価

《(3) アサーション・レベルの重要な虚偽表示リスクの評価》

《① 固有リスクの評価》（A191 項から A202 項参照）

30．識別したアサーション・レベルの重要な虚偽表示リスクについて、監査人は虚偽表示の発生可能

性と影響の度合いを評価することにより、固有リスクを評価しなければならない。その際、監査人

は、以下の事項を考慮しなければならない。

(1) 固有リスク要因が、どのように、そしてどの程度、関連するアサーションにおける虚偽表示の

生じやすさに影響するのか。

(2) 財務諸表全体レベルの重要な虚偽表示リスクが、どのように、そしてどの程度、アサーショ

ン・レベルの重要な虚偽表示リスクに関する固有リスクの評価に影響するのか（A201 項及び A202

項参照）。

31．監査人は、評価した重要な虚偽表示リスクが特別な検討を必要とするリスクであるかどうかを

決定しなければならない（A203項からA206項参照）。

32．監査人は、アサーション・レベルの重要な虚偽表示リスクについて、実証手続のみでは十分かつ

適切な監査証拠を入手することができないリスクかどうかを判断しなければならない（A207項か

らA210項参照）。

《② 統制リスクの評価》

33．監査人が内部統制の運用状況の有効性を評価する場合は、統制リスクを評価しなければならな

い。監査人が内部統制の運用状況の有効性を評価しない場合は、重要な虚偽表示リスクと固有リ

スクは同じ評価となる（A211項からA214項参照）。

《(4) リスク評価手続から得られた監査証拠の評価》

34．監査人は、リスク評価手続から得られた監査証拠が、重要な虚偽表示リスクの識別及び評価のた

めの適切な基礎を提供しているかどうかを評価しなければならない。適切な基礎を提供していな

いと評価する場合、監査人は、適切な基礎を提供する監査証拠が得られるまで、追加的なリスク評

価手続を実施しなければならない。

監査人は、重要な虚偽表示リスクを識別し評価するに当たり、経営者のアサーションに対し裏

付けとなるか矛盾するかを問わず、リスク評価手続から得た全ての監査証拠を考慮に入れなけれ

ばならない（A215項からA217項参照）。

監基報 315

- 10 -

《(5) 関連するアサーションを識別していない（重要な虚偽表示リスクを識別していない）が重要

性のある取引種類、勘定残高又は注記事項》

35．関連するアサーションを識別していないが重要性のある取引種類、勘定残高又は注記事項に重

要な虚偽表示リスクがないとした監査人の評価が、引き続き適切であるかどうかを評価しなけれ

ばならない（A218項からA220項参照）。

《(6) リスク評価の修正》

36．監査人は、当初の重要な虚偽表示リスクの識別又は評価の基礎となった監査証拠と矛盾する新

たな情報を入手した場合には、リスクの識別及び評価を修正しなければならない（A221項参照。監

査基準報告書230「監査調書」第７項から第10項並びにA6項及びA7項参照）。

《４．監査調書》

37．監査人は、以下の事項を監査調書に記載しなければならない（A222項からA226項参照）。

(1) 監査チーム内の討議（第 16 項参照）及び重要な結論

(2) 企業及び企業環境並びに適用される財務報告の枠組み（第 18 項参照）、統制環境（第 20 項参

照）、企業のリスク評価プロセス（第 21 項参照）、内部統制システムを監視する企業のプロセス

（第 23 項参照）及び情報システムと伝達（第 24 項参照）について、監査人が理解した主な内

容、理解に当たって利用した情報の情報源、及び実施したリスク評価手続

(3) 識別した内部統制のデザインの評価、及び内部統制が業務に適用されているかどうかの判断

（第 25 項参照）

(4) 財務諸表全体レベル及びアサーション・レベルにおいて識別し評価した重要な虚偽表示リス

ク（特別な検討を必要とするリスク及び実証手続のみでは十分かつ適切な監査証拠を入手でき

ないリスクを含む。）及び重要な判断の根拠

《Ⅲ 適用指針》

《１．定義》（第 11 項参照）

《(1) アサーション》（第 11 項(4)参照）

A1．アサーションの区分は、重要な虚偽表示リスクの識別、評価及び対応において、発生する可能性

のある虚偽表示の種類を考慮する際に監査人が利用する。このアサーションの区分の例は、A178

項に記載されている。アサーションは、特定の事項を確認するため又は他の監査証拠を裏付ける

ために監査基準報告書580「経営者確認書」において要求されている確認事項とは異なる。

《(2) 関連するアサーション》（第 11 項(5)参照）

A2．重要な虚偽表示リスクは、複数のアサーションに関係する場合があり、その場合には当該リスク

が関係するアサーションは全て「関連するアサーション」である。重要な虚偽表示リスクが識別さ

れなかったアサーションは、「関連するアサーション」ではない。

監基報 315

- 11 -

《(3) 固有リスク要因》（第 11 項(6)参照）

付録２では、固有リスク要因の理解に関するより詳細な考慮事項を示している。

A3．固有リスク要因は、定性的又は定量的な要因であり、アサーションにおける虚偽表示の生じやす

さに影響を及ぼす。適用される財務報告の枠組みで要求される情報の作成に関する定性的な固有

リスク要因には、以下が含まれる。

・複雑性

・主観性

・変化

・不確実性

・経営者の偏向又はその他の不正リスク要因が固有リスクに影響を及ぼす場合における虚偽表

示の生じやすさ

A4．取引種類、勘定残高又は注記事項に係るアサーションにおける虚偽表示の生じやすさに影響を

及ぼすその他の固有リスク要因には、以下の事項を含むことがある。

・取引種類、勘定残高若しくは注記事項の量的又は質的な重要度

・取引種類や勘定残高を通じて処理される項目若しくは注記事項に反映される項目の量又は項

目の構成内容の多様性

《(4) 情報処理統制》（第 11 項(9)参照）

A5．情報のインテグリティに対するリスクは、企業の情報システムにおける情報の流れ、記録及び報

告に係るプロセスを規定する企業の情報に関する方針が有効に適用されないことに影響を受ける。

情報処理統制は、企業の情報に関する方針が有効に適用されるための処理又は手続である。情報

処理統制は、自動化されている場合（すなわち、ＩＴアプリケーションに組み込まれている。）と

手作業の場合（例えば、インプット又はアウトプットに係る内部統制）があり、他の情報処理統制

やＩＴ全般統制を含む他の内部統制に依拠することがある。

《(5) 特別な検討を必要とするリスク》（第 11 項(10)参照）

A6．特別な検討を必要とするリスクにおける固有リスクの重要度とは相対的なものであり、その検

討においては監査人の判断を伴う。固有リスク要因がどのように、そしてどの程度、虚偽表示の発

生可能性と虚偽表示が生じた場合の影響の度合いの組合せに影響を及ぼすかという観点で固有リ

スクの重要度を検討する。

《(6) 内部統制》（第 11 項(11)参照）

A7．内部統制は、企業の内部統制システムの構成要素に組み込まれている。

A8．方針は、企業構成員の行為を通じて実現されるが、方針と相反する企業構成員の行為を抑制する

ことによっても実現される。

A9．手続は、正式な文書によって規定されている場合もあれば、経営者や監査役等によって伝達され

ることもある。また、強制されてはいないが、企業文化によって当然のこととされた行為からもた

らされる場合もある。手続は、企業が利用するＩＴアプリケーションや企業のＩＴ環境の他の側

監基報 315

- 12 -

面（データベース、オペレーティング・システム、ネットワーク等）による処理を通じて実行され

る場合もある。

A10．内部統制には、直接的な内部統制と間接的な内部統制がある。直接的な内部統制は、アサーシ

ョン・レベルの重要な虚偽表示リスクに対応するのに十分な精度を有した内部統制であり、間接

的な内部統制は、直接的な内部統制を支援する内部統制である。

《２．リスク評価手続とこれに関連する活動》（第 12 項から第 17 項参照）

A11．識別され評価される重要な虚偽表示リスクには、不正と誤謬の両方のリスクを含み、いずれも

本報告書の対象としている。

しかしながら、不正は特に重要であることから、監査基準報告書240に、不正による重要な虚偽

表示リスクの識別、評価及び対応手続の立案に利用する情報を入手するためのリスク評価手続と

これに関連する活動に関する更なる要求事項と適用指針を記載している（監基報240第15項から第

26項参照）。加えて、以下の監査基準報告書では、特定の事項又は状況に関する重要な虚偽表示リ

スクの識別及び評価のための、更なる要求事項と適用指針を提供している。

・監査基準報告書 540「会計上の見積りの監査」

・監査基準報告書 550「関連当事者」

・監査基準報告書 570「継続企業」

・監査基準報告書 600「グループ監査における特別な考慮事項」

A12．職業的懐疑心は、リスク評価手続の実施により入手した監査証拠の批判的な評価に必要であり、

監査証拠が認識したリスク評価を裏付ける方向に偏っていないか、又は監査証拠が認識したリス

ク評価と矛盾していないかについて、監査人が常に注意を払うのに役立つ。職業的懐疑心は、職業

的専門家としての判断を行う際に監査人が保持すべき姿勢であり、その後の監査人の行動の基礎

となるものである。監査人は、リスク評価に関する適切な基礎を提供するに足る監査証拠を入手

しているかについて、職業的専門家としての判断を適用する。

A13．監査人が職業的懐疑心を保持する場面には、例えば、以下がある。

・情報の矛盾や、記録や証憑書類の信頼性について、疑念を抱く。

・経営者及び監査役等から入手した質問への回答やその他の情報を検討する。

・不正又は誤謬による虚偽表示の可能性を示す状況に注意を払う。

・入手した監査証拠が、企業の事業内容及び状況に照らして、監査人による重要な虚偽表示リス

クの識別及び評価を裏付けるものであるかどうかを検討する。

《(1) 監査証拠を偏りのない方法で入手することが重要である理由》（第 12 項参照）

A14．監査人は、重要な虚偽表示リスクの識別及び評価に役立つ監査証拠を偏りのない方法で入手す

るようにリスク評価手続を立案し実施することで、矛盾が疑われる情報を識別することがある。

そして、矛盾が疑われる情報を識別した場合には、重要な虚偽表示リスクの識別及び評価におい

て職業的専門家としての懐疑心を保持することになる。

監基報 315

- 13 -

《(2) 監査証拠の情報源》（第 12 項参照）

A15．リスク評価手続を立案し実施する上で、入手する監査証拠が偏らないように、企業の内外の複

数の情報源から証拠を入手する場合があるが、監査人は、監査証拠を入手し得る全ての情報源を

識別するために、網羅的な調査を行うことは要求されていない。リスク評価手続のための情報源

には、A34項及びA35項の他の情報源からの情報に加えて、例えば、以下が含まれる。

• 経営者、監査役等及びその他の主要な企業構成員（例えば、内部監査人）とのコミュニケーシ

ョン

• 規制当局等の特定の外部者（情報を直接入手したか間接的に入手したかを問わない。）

• 企業に関する公開情報。例えば、企業が発行したプレスリリース、アナリスト若しくは投資家

グループ向けの説明資料、アナリスト・レポート又は取引活動に関する情報

監査人は、情報源に関わりなく、監査基準報告書500「監査証拠」に従って、監査証拠として利

用する情報の適合性と信頼性を考慮する（監基報500第６項参照）。

《(3) 適用の柔軟性》（第 12 項参照）

A16．リスク評価手続の種類及び範囲は、企業及び企業の状況（例えば、企業の方針と手続が明文化

されている程度及びプロセスとシステムが確立されている程度）により異なる。監査人は本報告

書の要求事項を満たすために実施すべきリスク評価手続の種類及び範囲を、職業的専門家として

の判断に基づいて決定する。

A17．企業の方針と手続が明文化されている程度及び業務プロセスと内部統制システムが確立されて

いる程度は、企業によって異なるが、監査人は、第18項、第20項、第21項、第23項、第24項及び第

25項に従って、企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システム

を理解することが求められている。

例

複雑でない企業等、特にオーナーが経営する企業では、業務プロセスと内部統制システム

（例えば、リスク評価プロセスや内部統制システムを監視するプロセス）が確立されていな

い場合、又は業務プロセスや内部統制システムは確立されているが、それらが十分に文書化

されていない若しくは業務プロセスや内部統制システムが一貫性をもって実施されていない

場合がある。このような場合においても、監査人は、観察と質問によってリスク評価手続を実

施できることがある。

その他の企業、特により複雑な企業では、方針と手続が定められ十分に文書化されている

ことが想定され、監査人は、リスク評価手続を実施する際に、当該文書を利用することがあ

る。

A18．初年度監査において実施するリスク評価手続の種類及び範囲は、継続監査における手続よりも

広範となる可能性がある。継続監査においては、監査人は、前期以降に生じた変化に重点を置くこ

とがある。

《(4) リスク評価手続の種類》（第 13 項参照）

A19．監査基準報告書500は、リスク評価手続及びリスク対応手続から監査証拠を入手する際に実施

監基報 315

- 14 -

する監査手続の種類を記載している（監基報500のA14項からA17項及びA21項からA25項参照）。監

査手続の種類、時期及び範囲は、ある会計データとその他の証拠が電子媒体のみであるか、又はあ

る時点においてのみ利用可能であるかどうかによって影響を受ける（監基報500のA12項参照）。監

査人は、効率的である場合には、リスク評価手続を、実証手続又は運用評価手続と同時に実施する

ことがある。また、重要な虚偽表示リスクの識別及び評価を裏付ける監査証拠が、アサーション・

レベルの虚偽表示の発見又は内部統制の運用状況の有効性の評価を裏付ける監査証拠にもなる場

合がある。

A20．監査人は、企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システム（第

18項から第25項参照）の理解の過程において、第13項に記載している全てのリスク評価手続の実

施を要求されているが、理解すべき項目のそれぞれに対して、全てのリスク評価手続の実施が求

められているわけではない。また、重要な虚偽表示リスクの識別において有用な情報が入手でき

る場合には、その他の手続を実施することがあり、例えば、顧問弁護士や監督当局又は企業が利用

した鑑定や評価の専門家に対し質問することがある。

《自動化されたツール及び技法》（第 13 項参照）

A21．分析、再計算、再実施、整合性チェックが可能な自動化されたツールと技法を利用することで、

監査人は、大量のデータ（総勘定元帳、補助元帳又はその他の業務上のデータ）に対してリスク評

価手続を実施する場合がある。

《(5) 経営者及びその他の企業構成員への質問》（第 13 項(1)参照）

《① 経営者及びその他の企業構成員に対し質問する理由》

A22．監査人は、リスクの識別及び評価、並びにリスク対応手続の立案のための適切な基礎として役

立つ情報を、経営者及び財務報告の責任者に対する質問を通じて入手することがある。

A23．経営者及び財務報告の責任者、並びにその他の適切な企業構成員及び異なる階層の従業員に対

する質問を通じて、重要な虚偽表示リスクの識別及び評価に関する異なる見方を入手することが

ある。

例

・監査役等への質問は、経営者による財務諸表の作成に対する監査役等による監視の程度

を監査人が理解するのに役立つ。監査基準報告書 260「監査役等とのコミュニケーション」

では、監査人が監査役等から情報を入手する上での、双方向のコミュニケーションの重要性

について記載している（監基報 260 第４項(2)参照）。

・複雑な取引又は通例でない取引の開始、処理若しくは記録に責任を有する従業員への質

問は、このような取引に適用する会計方針の選択及び適用の適切性を評価するのに役立つ。

・法務部門への質問は、訴訟、法令の遵守、不正又は不正の疑いについての認識、製品保証、

瑕疵担保責任、共同支配企業などの業務提携形態、契約条項等の情報を提供する。

・マーケティング又は営業担当者への質問は、販売戦略、販売動向又は顧客との販売契約の

変更についての情報を提供する。

監基報 315

- 15 -

・リスク管理に従事する者への質問は、財務報告に影響を及ぼす可能性がある事業運営上

又は規制上のリスクについての情報を提供する。

・ＩＴの担当者への質問は、情報システムの変更、情報システムの不具合や内部統制の逸脱

等の情報システムに関連するリスクについての情報を提供する。

《② 内部監査人に対する質問（企業が内部監査機能を有している場合）》

付録４では、企業の内部監査機能を理解するための考慮事項を記載している。

《③ 内部監査人に対し質問する理由（企業が内部監査機能を有している場合）》

A24．企業が内部監査機能を有している場合、内部監査機能の活動に従事する適切な者に対する質問

は、監査人が、リスクを識別し評価する際に、企業及び企業環境並びに企業の内部統制システムを

理解するのに役立つ。

《(6) 分析的手続》（第 13 項(2)参照）

《① リスク評価手続として分析的手続を実施する理由》

A25．分析的手続は、監査上留意すべき他の関連情報との矛盾、通例でない取引又は事象、金額、比

率及び傾向を識別するのに有益である。識別された通例でない又は予期せぬ関係は、監査人が重

要な虚偽表示リスク、特に不正による重要な虚偽表示リスクを識別するのに役立つことがある。

A26．リスク評価手続として実施する分析的手続によって、気付いていなかった企業の状況を識別し

たり、変化などの固有リスク要因がどのようにアサーションにおける虚偽表示の生じやすさに影

響を及ぼすのかについて理解することがあり、それゆえ、分析的手続は重要な虚偽表示リスクを

識別し評価するのに役立つ。

《② 分析的手続の種類》

A27．リスク評価手続として以下の分析的手続を実施することがある。

・売上高と売場面積や販売数量の関係などの財務情報と非財務情報の両方を用いた分析的手続

・総括的に集約された情報を用いた分析的手続。ただし、このような分析的手続の結果は、重要

な虚偽表示が存在するか否かについての兆候を示しているにすぎない。

例

多くの企業（ビジネスモデル及びプロセスが複雑でない企業、並びに情報システムが複雑で

ない企業を含む。）の監査において、監査人は、前期末残高と四半期末残高又は月次残高との

増減比較を実施することで、潜在的にリスクが高い領域を識別することがある。

A28．本報告書は、監査人によるリスク評価手続としての分析的手続の利用を扱っている。監査基準

報告書520「分析的手続」は、監査人による実証手続としての分析的手続（以下「分析的実証手続」

という。）の利用及び監査の最終段階の分析的手続の実施に関する監査人の責任を扱っている。し

たがって、リスク評価手続として実施する分析的手続は、監査基準報告書520の要求事項に従って

実施する必要はないが、監査基準報告書520の要求事項と適用指針は、監査人がリスク評価手続の

監基報 315

- 16 -

一環として分析的手続を実施する際の有益な指針となることがある。

《③ 自動化されたツール及び技法》

A29．分析的手続は、多くのツール又は技法を利用して実施することが可能で、ツール又は技法は自

動化されている場合がある。データに対して自動化されたツール又は技法を用いて分析すること

をデータアナリティクスということがある。

例

監査人は、スプレッドシートを利用して実績と予算を比較することもあれば、一方で、より

具体的なリスク評価手続が必要となる取引種類、勘定残高又は注記事項を識別するために、

より高度な手続として、企業の情報システムからデータを抽出し可視化技法を用いて当該デ

ータを詳しく分析することもある。

《(7) 観察及び記録や文書の閲覧》（第 13 項(3)参照）

《① リスク評価手続として観察及び記録や文書の閲覧を実施する理由》

A30．監査人は、観察及び記録や文書の閲覧により、経営者等に対する質問の回答を裏付けたり、又

は否定したりすることもあれば、企業及び企業環境についての情報を入手することもある。

《② 適用の柔軟性》

A31．方針若しくは手続が文書化されていない場合、又は企業が正式に確立された内部統制を有して

いない場合であっても、監査人は、内部統制の実施状況の観察又は内部統制の実施状況に関する

記録や文書の閲覧を通じて、重要な虚偽表示リスクの識別と評価を裏付ける一定の監査証拠を入

手することができる場合がある。

例

・監査人は、棚卸資産の実地棚卸に関する内部統制が企業によって文書化されていない場

合であっても、実地棚卸を直接観察することにより、当該内部統制を理解する場合がある。

・監査人は、職務の分離の状況について観察できる場合がある。

・監査人は、パスワードの入力について観察できる場合がある。

《③ リスク評価手続としての観察及び記録や文書の閲覧》

A32．リスク評価手続には、例えば、以下の事項の観察又は記録や文書の閲覧がある。

・企業活動の観察

・内部文書（事業計画書や予算書等）、関連する記録及び内部統制マニュアルの閲覧

・経営者によって作成された四半期財務情報等や取締役会等の議事録の閲覧

・企業の施設や工場設備の視察

・業界誌や経済誌、アナリスト、銀行や格付機関の報告書、政府刊行物のような外部の情報源か

ら得た情報、又は企業の業績に関するその他の外部文書の閲覧（A70 項に記載されている文書等）

・経営者、取締役会又は監査役等の姿勢及び行為の観察

監基報 315

- 17 -

《④ 自動化されたツール及び技法》

A33．自動化されたツール又は技法が、観察又は文書の閲覧のために利用されることもある。例えば、

特定の資産について、ドローンといった遠隔監視ツールが利用されることがある。

《(8) 他の情報源からの情報》（第 14 項参照）

《① 監査人が他の情報源からの情報を考慮する理由》

A34．他の情報源から入手した情報が、以下の事項に関する情報や知見を提供する場合には、重要な

虚偽表示リスクの識別及び評価に役立つ。

・企業の事業内容及び企業の事業上のリスク並びに過年度からの変化

・経営者及び監査役等の誠実性と倫理観。これは、監査人による統制環境の理解にも関係するこ

とがある。

・適用される財務報告の枠組み及び企業の事業内容と状況に応じた当該枠組みの適用

《② その他の関連する情報源》

A35．その他の関連する情報源には、以下が含まれる。

・監査基準報告書 220「監査業務における品質管理」に従った、監査契約の新規の締結及び更新

に関する監査人の手続並びに到達した結論（監基報 220 第 22 項から第 24 項参照）

・監査責任者が企業に対して実施した監査以外の業務。監査責任者は、企業に対して監査以外の

業務を実施した際に、監査に関連する知識（企業及び企業環境に関する知識を含む。）を得るこ

とがある。このような業務には、合意された手続業務やその他の監査又は保証業務（法令で追加

的に要求される報告事項に対応するための業務を含む。）が含まれる。

《③ 監査人の企業での過去の経験と過年度の監査から得られた情報》（第 15 項参照）

《ア．過年度の監査から得られた情報が、当年度の監査にとって重要である理由》

A36．監査人は、企業での過去の経験と過年度の監査で実施した監査手続から、リスク評価手続の種

類及び範囲並びに重要な虚偽表示リスクの識別及び評価に関する監査人の判断に関連する情報を

入手することがある。

《イ．過年度の監査から得られた情報の種類》

A37．監査人は、企業での過去の経験と過年度の監査で実施した監査手続から、以下のような情報を

入手することがある。

・過去の虚偽表示及びそれらが適時に修正されたかどうか。

・企業及び企業環境並びに企業の内部統制システム（不備を含む。）

・過年度からの企業又は事業運営の重大な変化

・例えば、その複雑性のため、監査人が必要な監査手続を実施することが困難であった取引、事

象又は勘定残高（関連する注記事項を含む。）

A38．監査人が、当年度の監査において、監査人の企業での過去の経験と過年度の監査で実施した監

査手続から得られた情報を利用しようとする場合には、その情報が当年度においても依然として

監基報 315

- 18 -

適合性と信頼性を有しているかどうかについて判断することが求められる。企業の事業内容若し

くは状況が変化した場合、又は新たな情報を入手した場合、過年度において得られた情報は、当年

度の監査においてもはや適合性又は信頼性を有していない可能性がある。監査人は、変化が当該

情報の適合性又は信頼性に影響を及ぼしているか否かを判断するために、質問及びその他の適切

な監査手続、例えば、関連する内部統制システムのウォークスルーを実施することがある。過年度

において得られた情報にもはや依拠できない場合には、監査人は、状況に応じた適切な追加的手

続の実施を検討することになる。

《(9) 監査チーム内の討議》（第 16 項及び第 17 項参照）

《① 適用される財務報告の枠組みの適用状況及び財務諸表の重要な虚偽表示の生じやすさについ

て監査チーム内の討議が要求される理由》

A39．適用される財務報告の枠組みの適用状況及び財務諸表の重要な虚偽表示の生じやすさについて

監査チーム内で討議を行うことによって、以下が可能になる。

・監査責任者を含む、経験豊富な監査チームメンバーの企業に関する知識と知見を共有するこ

と。情報の共有は、全ての監査チームメンバーの理解を深める。

・企業が直面している事業上のリスクや固有リスク要因が取引種類、勘定残高及び注記事項に

係るアサーションにおける虚偽表示の生じやすさにどのように影響を及ぼす可能性があるか、

並びに不正又は誤謬による重要な虚偽表示が財務諸表のどこにどのように行われる可能性があ

るかについて意見を交換する。

・担当する特定の領域において、財務諸表の重要な虚偽表示が生じやすいかどうかをより良く

理解すること、並びに、実施する監査手続の結果が、実施するリスク対応手続の種類、時期及び

範囲の決定を含む監査の他の局面にどのように影響を及ぼすことがあるかについて理解するこ

と。特に、討議は、監査チームメンバーが、企業の事業内容と状況に関する各メンバーの理解に

基づいて矛盾する情報を詳細に検討するのに役立つ。

・監査の過程を通じて入手した重要な虚偽表示リスクの評価、又はリスク対応手続に影響を及

ぼすことがある新しい情報を伝達し共有する。

監査基準報告書240は、監査チーム内の討議において、不正がどのように発生するのかも含め、

不正による重要な虚偽表示が財務諸表のどこにどのように行われる可能性があるのかに特に重点

を置くことを求めている（監基報240第14項参照）。

A40．職業的懐疑心は、監査証拠を批判的に評価するために必要であり、妥協のない率直な監査チー

ム内の討議は、継続監査においても、重要な虚偽表示リスクの識別と評価の改善につながること

がある。また、監査チーム内の討議の結果、職業的専門家としての懐疑心を保持することが特に重

要となる監査の特定の領域を識別し、当該領域に関連する監査手続を実施するのに適切な技能を

有する経験豊富な監査チームメンバーを関与させることができるようになる。

A41．グループ監査のように、大規模な監査チームによって業務が行われる場合、監査チーム内の討

議に全てのメンバーが参加することは必ずしも必要ではなく、実務的でもない。また、監査チーム

の全てのメンバーに討議の結論の全てを知らせることも必ずしも必要ではない。

監査責任者は、適切と考える場合には、特定の技能又は知識を有するメンバーや構成単位で実

監基報 315

- 19 -

施される作業の責任者を含む監査チームの主要メンバーと討議を行うが、その一方で、監査チー

ムメンバーにそれぞれ必要と考えられる情報の範囲を考慮に入れて、監査チームの主要メンバー

にその他の監査チームメンバーとの討議を委ねることがある。監査責任者が同意した監査チーム

内の討議に関する計画は、有意義である。

《② 適用される財務報告の枠組みにおける注記事項に関する討議》

A42．監査チーム内の討議の一環として、適用される財務報告の枠組みにおいて要求される注記事項

を検討することは、適用される財務報告の枠組みが簡潔な注記事項のみを要求している場合でも、

注記事項に関連する重要な虚偽表示リスクを監査の初期段階において識別するのに役立つ。監査

チームが討議する可能性がある事項には、以下のものが含まれる。

・新たな重要な注記事項又は重要な注記事項の変更をもたらす可能性がある、適用される財務

報告の枠組みの改正

・新たな重要な注記事項又は重要な注記事項の変更をもたらす可能性がある、企業環境、事業活

動又は財務状況の変化（例えば、監査対象期間における重要な企業結合）

・過去に十分かつ適切な監査証拠を入手することが困難であった注記事項

・複雑な事項に関する注記事項（例えば、注記事項の要否及びその詳細さについて経営者の重要

な判断を伴うものを含む。）

《３．企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システムの理解》

（第 18 項から第 26 項参照）

付録１から６は、企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制シス

テムを理解するためのより詳細な考慮事項を記載している。

《(1) 本報告書で要求されている理解》（第 18 項から第 26 項参照）

A43．企業及び企業環境、適用される財務報告の枠組み並びに企業の内部統制システムの理解は、情

報の収集、更新及び分析の累積的かつ反復的なプロセスであり、監査期間全体を通じて継続する。

したがって、新たな情報を入手することで、監査人のリスク評価の認識が変化する場合がある。

A44．企業及び企業環境、並びに適用される財務報告の枠組みを理解することは、監査人が、重要な

取引種類、勘定残高又は注記事項を暫定的に識別することに役立つ。監査人は、当該重要な取引種

類、勘定残高又は注記事項に基づき、理解する企業の情報システムの範囲を決定する。

《(2) 企業及び企業環境並びに適用される財務報告の枠組みの理解が必要となる理由》（第 18 項及

び第 19 項参照）

A45．企業及び企業環境並びに適用される財務報告の枠組みの理解は、監査人が、企業に関連する事

象や状況を理解するのに役立ち、また、適用される財務報告の枠組みに従った財務諸表の作成に

おいて、固有リスク要因がどのように及びどの程度アサーションにおける虚偽表示の生じやすさ

に影響を及ぼすのかを特定するのに役立つ。また、企業及び企業環境並びに適用される財務報告

の枠組みの理解は、監査人が重要な虚偽表示リスクを識別し評価する際の判断の枠組みとなり、

監基報 315

- 20 -

例えば、以下の事項について監査人が計画する際、及び監査の過程を通じて職業的専門家として

の判断を行い職業的懐疑心を保持する際に役立つ。

・本報告書又は他の関連する監査基準報告書に従った、財務諸表の重要な虚偽表示リスク（例え

ば、監査基準報告書 240 に従った不正リスクや監査基準報告書 540 に従った会計上の見積りに

関するリスク）の識別及び評価

・監査基準報告書 250「財務諸表監査における法令の検討」に従った、財務諸表に重要な影響を

及ぼすことがある法令への違反の識別に資する手続の実施（監基報 250 第 14 項参照）

・監査基準報告書 700「財務諸表に対する意見の形成と監査報告」に従った、財務諸表が適正に

表示されているかどうかの評価（監基報 700 第 13 項(5)参照）

・監査基準報告書 320「監査の計画及び実施における重要性」に従った、重要性の基準値又は手

続実施上の重要性の決定（監基報 320 第９項及び第 10 項参照）

・会計方針の選択及び適用の適切性、並びに財務諸表の開示の妥当性についての検討

A46．企業及び企業環境並びに適用される財務報告の枠組みの理解により、監査人は、例えば以下の

局面において、どのようにリスク対応手続を計画し実施すればよいかについて判断することがで

きる。

・監査基準報告書 520 に従った分析的実証手続を実施する際に使用する監査人の推定値の算定

（監基報 520 第４項参照）

・監査基準報告書 330 に従った十分かつ適切な監査証拠を入手するためのリスク対応手続の立

案と実施

・入手した監査証拠の十分性と適切性の評価（例えば、経営者が使用した仮定、又は経営者によ

る口頭、書面及び電磁的記録による陳述に関連した監査証拠の評価）

《適用の柔軟性》

A47．企業及び企業環境並びに適用される財務報告の枠組みの理解の内容と程度は、監査人の職業的

専門家としての判断事項であり、以下を含む企業の事業内容及び状況によって企業ごとに異なる。

・ＩＴ環境を含む、企業の規模及び複雑性

・企業に関する監査人の過去の経験

・企業の内部統制システム及び業務プロセスの内容（企業として正式に確立しているかどうか

を含む。）

・文書化されている事項及びその文書の形態

A48．企業及び企業環境並びに適用される財務報告の枠組みを理解するための監査人のリスク評価手

続は、複雑でない企業の監査と比べ、複雑な企業の監査ではより広範囲となる場合がある。ただ

し、監査人に求められる理解の程度は、経営者の理解の程度よりも低いものとなる。

A49．一部の財務報告の枠組みでは、小規模企業に対して、財務諸表の注記事項の簡素化が容認され

ている。しかしながら、これは、企業及び企業環境並びに当該企業に適用される財務報告の枠組み

を理解する監査人の責任を軽減するものではない。

A50．企業のＩＴの利用状況及びＩＴ環境の変更の内容と程度によっては、企業及び企業環境並びに

適用される財務報告の枠組みを理解するために、より専門的な知識が必要となる場合がある。

監基報 315

- 21 -

《(3) 企業及び企業環境》（第 18 項(1)参照）

《① 企業の組織構造、所有構造とガバナンス及びビジネスモデル》（第 18 項(1)①参照）

《ア．企業の組織構造と所有構造》

A51．企業の組織構造及び所有構造を理解することにより、監査人は次のような事項を理解できるこ

とがある。

・企業の組織構造の複雑性

例

企業は、単一の事業体である場合もあれば、複数の所在地に子会社、事業部又はその他の事

業単位を有する企業集団の場合もある。さらに、法的な企業又はその他の事業単位と、事業運

営上の企業又はその他の事業単位とが一致しない場合もある。企業グループの複雑な組織構

造は、重要な虚偽表示リスクを生じさせる論点につながることが多い。このような論点には、

のれん、共同支配企業、投資又は特別目的事業体が適切に会計処理されているかどうか、及び

財務諸表に適切に注記されているかどうかが含まれる。

・所有構造及び所有者とその他の者との関係（関連当事者を含む。）。関連当事者との取引が適切

に識別され、記録され、財務諸表に適切に注記されていることを確かめる際に、所有構造及び所

有者とその他の者との関係についての理解が役立つ。

・所有者、監査役等及び経営者の区別

例

複雑でない企業において、企業の所有者が経営に関与している場合があり、その場合は、所

有とガバナンスと経営の区別がほとんどないか、又は全くない。一方で、多くの上場企業と同

様に、経営者、企業の所有者及び監査役等の間に明確な区別がある場合もある。

・企業のＩＴ環境の構造と複雑性

例

・多様な事業において多くのレガシーシステムが使用され、それらのシステムが十分に統

合されていないため、結果として複雑なＩＴ環境となっている。

・ＩＴ環境の一部について、内外のサービスプロバイダを利用している（例えば、ＩＴ環境

のホスティングを第三者に外部委託したり、又はグループ内のＩＴプロセスを集約管理す

るためにシェアード・サービス・センターを利用したりする。）。

《自動化されたツール及び技法》

A52．監査人は、情報システムを理解するための監査手続の一環として、自動化されたツール及び技

法を利用することにより取引及び処理の流れを理解することがある。手続の結果、監査人は、企業

の組織構造や企業の取引相手（例えば、仕入先、顧客、関連当事者）に関する情報を入手すること

がある。

監基報 315

- 22 -

《イ．ガバナンス》

《監査人がガバナンスを理解する理由》

A53．企業のガバナンスを理解することは、監査人が、企業が内部統制システムを適切に監視できて

いるかを理解するのに役立つ。理解の結果、内部統制の不備を識別することがあり、このような不

備が、企業の財務諸表における重要な虚偽表示リスクの生じやすさが高まっていることを示して

いる場合がある。

《企業のガバナンスの理解》

A54．監査人が企業のガバナンスについて理解する際に考慮することがある事項には、以下が含まれ

る。

・監査役等のいずれかが企業の経営に関与しているかどうか。

・業務執行に関与しない役員による会議体の有無。有る場合には業務執行を担当する者からの

分離状況

・監査役等が、企業の機関における法的に不可欠な地位を占めているか。

・機関の設置状況に応じた監査役等の責任

・財務諸表の承認を含む、財務報告の監視における監査役等の責任

《ウ．企業のビジネスモデル》

付録１では、企業及びそのビジネスモデルを理解するための追加的な考慮事項、並びに特別目

的事業体の監査のための追加的な考慮事項を記載している。

《監査人が企業のビジネスモデルを理解する理由》

A55．企業の目的、戦略及びビジネスモデルを理解することにより、監査人が企業戦略の観点から企

業を理解し、企業がどのような事業上のリスクに直面し対処しているかを理解することができる。

事業上のリスクの多くは財務諸表に影響を与えるため、財務諸表に影響を与える事業上のリスク

を理解することは、監査人が重要な虚偽表示リスクを識別するのに役立つ。

例

企業のビジネスモデルは、以下のように様々な形でＩＴの活用に依拠している。

・企業は、実店舗において靴を販売しており、先進的な在庫管理システムや POS システム

を使って靴の販売を記録している。

・企業は、靴をオンラインで販売しており、ウェブサイト上での受注を含め、全ての販売取

引処理がＩＴ環境で実施されている。

両企業とも靴の販売をしているが、ビジネスモデルが大きく異なるため、事業上のリスク

も大きく異なる。

《企業のビジネスモデルの理解》

A56．監査人は、ビジネスモデルの全ての側面を理解する必要はない。事業上のリスクは、財務諸表

の重要な虚偽表示リスクを含み、これよりも広義のリスクである。全ての事業上のリスクが必ず

監基報 315

- 23 -

しも重要な虚偽表示リスクとなるわけではないため、監査人は全ての事業上のリスクを理解し識

別する責任を負うものではない。

A57．重要な虚偽表示リスクの生じやすさを高める事業上のリスクは、以下の事項から生じることが

ある。

・不適切な企業目標や戦略、戦略の効果的でない実行又は変化や複雑性

・変化に対応する必要性を認識しないことも事業上のリスクとなることがあり、例えば、以下の

事項により発生することがある。

－新製品又はサービスの開発に失敗すること。

－新製品又はサービスの開発に成功したとしても、市場で販売する段階で、市場がいまだ十分

に成熟していないため販売が伸び悩むこと。

－製品やサービスの欠陥により法的責任が生じ、又は評判に傷がつくこと。

・経営者に対するインセンティブやプレッシャーは、意図的であるか否かを問わず経営者の偏

向を招く可能性があり、よって、経営者による重要な仮定の合理性や将来の予測に影響を与え

る可能性がある。

A58．企業のビジネスモデル、企業目的及び戦略並びに財務諸表の重要な虚偽表示リスクとなる可能

性のある関連する事業上のリスクを理解する際に、監査人が検討する事項には、例えば、以下が含

まれる。

・産業の発展（産業変化に対処できる人材や経験が企業にないこと。）

・新しい製品やサービス（製造物責任の増加）

・事業の拡大（需要を正確に予測できないこと。）

・新しい会計基準（不完全又は不適切な導入）

・法的な要求事項（増加する法的リスク）

・現在又は将来の資金需要（見込まれる需要に対応できないために生じる財務損失）

・ＩＴの利用（業務と財務報告の双方に影響を及ぼす新しいＩＴシステムの導入）

・戦略の導入の影響（特に新たな会計上の対応が必要となるような影響）

A59．通常、経営者は事業上のリスクを識別し、これに対応するためのアプローチを策定する。この

ようなリスク評価プロセスは、企業の内部統制システムの一部であり、第21項及びA97項からA101

項で記載している。

《② 産業、規制等の外部要因》（第 18 項(1)②参照）

《ア．産業》

A60．産業に関連する外部要因には、競争的な環境、仕入先や顧客との関係、技術開発等の産業の状

況を含んでいる。監査人の考慮事項には、例えば、以下の事項が含まれる。

・市場と競争（需要、供給及び価格競争を含む。）

・循環的又は季節的な変動

・企業の製品に関連する生産技術

・エネルギーの供給と価格

A61．企業が属する産業によっては、事業の性質及び規制等の程度により、特定の重要な虚偽表示リ

監基報 315

- 24 -

スクが生じることがある。

例

建設業における長期工事契約には、重要な虚偽表示リスクを発生させる収益及び費用の見積

りが含まれていることがある。このような場合には、必要な知識と経験を有するメンバーを監

査チームに含めることが重要である（監基報 220 第 25 項から第 28 項参照）。

《イ．規制》

A62．規制に関連する外部要因には、規制環境、特に適用される財務報告の枠組み、法的及び政治的

な環境、並びにその変更を含んでいる。監査人の考慮事項には、例えば、以下の事項がある。

・規制産業に対する規制の枠組み（例えば、関連する開示要求事項を含む、金融機関に対する健

全性規制）

・企業の事業運営に著しく影響を与える法令（例えば、雇用や就労関連の法令及び規則）

・税に関する法令

・企業の事業に影響を与える政策（例えば、外国為替管理等の金融政策、財政政策、政府の助成

金制度のような財務的インセンティブ及び関税や通商政策）

・産業と企業の事業に影響を与える環境規制

A63．監査基準報告書250には、企業及び企業が属する産業に対して適用される法令に関連する特定

の要求事項が含まれている（監基報250第12項参照）。

《ウ．その他の外部要因》

A64．監査人が検討する企業に影響を及ぼすその他の外部要因には、例えば、以下の事項がある。

・一般的な経済情勢

・金利又は資金調達の容易さ

・インフレーション又は通貨価値の改定

《③ 企業の業績を評価するために経営者が使用する測定指標》（第 18 項(1)③参照）

《ア．経営者が使用する業績の測定指標を監査人が理解する理由》

A65．企業の業績の測定指標を理解することは、それが企業の内外のいずれで使用されているかにか

かわらず、業績目標の達成に対するプレッシャーが企業に生じているかどうかを検討するのに役

立つ。このようなプレッシャーは、経営者の偏向や不正による虚偽表示の生じやすさを高めるよ

うな行動の動機となることがある。例えば、業績の改善策を講じる動機付けとなることもあるが、

財務諸表の意図的な虚偽表示を行う動機となることもある（不正リスクに関連する要求事項と適

用指針については監基報240を参照）。

A66．業績の測定指標は、関連する財務諸表上の重要な虚偽表示リスクの発生可能性を監査人に示す

ことがある。例えば、同業他社との比較によって企業の異常な急成長や異常な収益率に気が付く

ことがある。

監基報 315

- 25 -

《イ．経営者が使用する業績の測定指標》

A67．経営者及び企業内外の者は、通常、重要とみなした指標を測定して検討する。経営者が業績を

評価して行動を取るために一定の主要指標（一般に入手可能な場合もあれば、そうでない場合も

ある。）に依拠していることが、経営者への質問により明らかになる場合がある。この場合、監査

人は、企業が経営管理のために使用している情報を検討することによって、関連する業績の測定

指標（社内的なものもあれば、対外的なものもある。）を識別する場合がある。また、質問により、

経営者が業績を測定し又は検討していないことが明らかになった場合には、虚偽表示が発見され

ず修正されないリスクが高まることがある。

A68．業績を評価するために使用される主要な指標には、以下のような事項を含む。

・主要な業績指標（財務及び非財務）、主要比率、趨勢及び業務運営上の統計数値

・業績の期間比較分析

・予算、予測、差異分析、セグメント情報及び事業部又は他の組織レベルでの業績報告

・従業員の業績評価とインセンティブ報酬に関する方針

・競合企業との業績比較

《ウ．適用の柔軟性》（第 18 項(1)③参照）

A69．企業の業績の測定指標を理解するために行われる手続は、企業の規模又は複雑性並びに企業経

営に対する所有者又は監査役等の関与によって異なる。

例

・一部の複雑でない企業については、財務制限条項などの銀行借入条件が業績又は財政状

態に関連する特定の指標（例えば、運転資本の金額）と関連付けられていることがある。銀

行取引に使用されている業績の測定指標を理解することは、重要な虚偽表示リスクの生じ

やすさが高まっている領域の識別に役立つことがある。

・保険業や銀行業などの事業や環境がより複雑な一部の企業については、規制上の要求事

項（自己資本比率や流動性比率の最低水準のような比率規制）に照らして、業績や財政状態

を測定することがある。これらの業績の測定指標を監査人が理解することは、重要な虚偽

表示リスクの生じやすさが高まっている領域の識別に役立つことがある。

《エ．その他の考慮事項》

A70．特に財務情報が外部に公表されている企業については、企業の外部者によって当該企業の業績

の検討と分析が行われることがある。また、監査人は、以下のような情報源からの公表情報を検討

して、事業内容を更に理解し、矛盾する情報に気付くことがある。

・アナリストや格付機関

・ニュース及びソーシャルメディアを含むその他のメディア

・税務当局

・規制当局

・労働組合

・金融機関

監基報 315

- 26 -

このような財務情報は、被監査会社から入手できることも多い。

A71．業績の測定と検討の目的は、内部統制システムの監視活動（A102項からA110項参照）の目的と

重複することがあるが、以下のとおり同じものではない。

・業績の測定と検討は、業績が経営者（又は第三者）の設定した目標に沿っているかどうかに着

目している。

・一方で、内部統制システムの監視活動は、経営者による業績の測定と検討に関連する内部統制

を含む内部統制の有効性の監視に関するものである。

しかし、業績の測定と検討に用いられる指標は、経営者が内部統制の不備を識別する情報を提供

する場合もある。

《④ 適用される財務報告の枠組み》（第 18 項(2)参照）

《ア．適用される財務報告の枠組み及び企業の会計方針の理解》

A72．企業に適用される財務報告の枠組みを理解し、適用される財務報告の枠組みが企業及び企業環

境に照らしてどのように適用されているかを理解する際に、監査人は以下の事項を考慮すること

がある。

・適用される財務報告の枠組みに関する財務報告の実務

－会計基準と、重要な取引種類、勘定残高又は注記事項を含む業界特有の実務（例えば、銀行

にとっての融資と投資、製薬業にとっての研究開発）

－収益認識

－関連する信用損失を含む、金融商品の会計処理

－外貨建資産及び負債並びに取引

－議論のある又は新たな領域における取引を含む、通例でない又は複雑な取引の会計処理（例

えば、暗号資産の会計処理）

・企業の会計方針の選択及び適用（会計方針の変更及びその理由を含む。）に関する理解

－重要かつ通例でない取引の認識、測定、表示及び開示方法

－確立された指針等がない、議論のある又は新たな領域における重要な会計方針への影響

－会計方針の変更が必要となるかもしれない、適用される財務報告の枠組みや税制などの環

境の変化

－企業に新たに適用される会計基準及び法令、並びに適用時期及び適用方法

A73．企業及び企業環境について理解することは、企業の財務報告に及ぼす変化（例えば、前期以前

からの変更）を監査人が想定するのに役立つことがある。

例

当期中に重要な企業結合があった場合、当該企業結合に関連して取引種類、勘定残高及び

注記事項の変更が想定される。また、当期中に企業及び企業環境に重要な変更がなければ、前

期に得られた企業の財務報告に関する監査人の理解が、依然として適切と確認できる場合が

ある。

監基報 315

- 27 -

《イ．固有リスク要因がどのようにアサーションにおける虚偽表示の生じやすさに影響を及ぼすか》

（第 18 項(3)参照）

付録２は、重要な虚偽表示リスクを生じさせる可能性のある事象や状況の例を、固有リス

ク要因によって分類したものである。

《ウ．企業及び企業環境並びに適用される財務報告の枠組みを理解する際に、監査人が固有リスク

要因を理解する理由》

A74．企業及び企業環境並びに適用される財務報告の枠組みを理解することは、取引種類、勘定残高

又は注記事項に係るアサーションにおける虚偽表示の生じやすさに影響を及ぼすような特徴のあ

る事象又は状況を識別するのに役立つ。これらの特徴は、固有リスク要因である。固有リスク要因

は、虚偽表示の発生可能性又は発生した場合の虚偽表示の影響の度合いに関連することで、アサ

ーションにおける虚偽表示の生じやすさに影響を及ぼす可能性がある。

固有リスク要因がどのように及びどの程度、アサーションにおける虚偽表示の生じやすさに影

響を及ぼすのかを理解することは、以下に役立つことがある。

・第 27 項(2)に従ってアサーション・レベルの重要な虚偽表示リスクを識別する際の、虚偽表

示の発生可能性と影響の度合いの監査人の予備的な理解

・第 30 項(1)に従って固有リスクを評価する際の、起こり得る虚偽表示の発生可能性と影響の

度合いの監査人の評価

したがって、固有リスク要因を理解することは、監査人が監査基準報告書330に基づくリスク対

応手続を立案し実施するのに役立つことにもなる。

A75．監査人によるアサーション・レベルの重要な虚偽表示リスクの識別及び固有リスクの評価は、

他のリスク評価手続やリスク対応手続の実施の際に又は監査基準報告書における他の要求事項に

準拠する際に監査人が入手した監査証拠の影響を受けることもある（A83項、A91項、A99項、A109

項、A112項及びA139項参照）。

《エ．取引種類、勘定残高又は注記事項に対する固有リスク要因の影響》

A76．複雑性又は主観性から生じる取引種類、勘定残高又は注記事項における虚偽表示の生じやすさ

の程度は、多くの場合、状況の変化又は不確実性の影響をどの程度受けるかに密接に関係してい

る。

例

企業がある仮定に基づく会計上の見積りを行っており、その仮定の選択において重要な判

断を伴う場合、会計上の見積りの測定は主観性と不確実性の両方の影響を受ける可能性が高

くなる。

A77．複雑性又は主観性に起因して、取引種類、勘定残高又は注記事項の虚偽表示の生じやすさが高

いほど、監査人が職業的懐疑心を保持する必要度は高まる。さらに、ある取引種類、勘定残高又は

注記事項に、複雑性、主観性、変化又は不確実性に起因して虚偽表示が生じやすい場合には、これ

らの固有リスク要因は意図的であるかどうかにかかわらず経営者の偏向が存在する機会を発生さ

せ、経営者の偏向による虚偽表示の生じやすさに影響を及ぼす可能性がある。監査人による重要

監基報 315

- 28 -

な虚偽表示リスクの識別やアサーション・レベルの固有リスクの評価は、固有リスク要因の間の

相互関係にも影響を受ける。

A78．経営者の偏向による虚偽表示の生じやすさに影響を及ぼす可能性のある事象や状況は、その他

の不正リスク要因による虚偽表示の生じやすさにも影響を及ぼす可能性がある。したがって、こ

れは監査基準報告書240第23項の不正リスク要因の検討に関連する情報となる可能性があり、監査

人は、実施したその他のリスク評価手続とこれに関連する活動により入手した情報が、一つ又は

複数の不正リスク要因の存在を示しているかどうかを検討しなければならない。

《(4) 企業の内部統制システムの理解》（第 20 項から第 26 項参照）

付録３は、企業の内部統制システムの内容及び内部統制の固有の限界について記載してい

る。また、監査基準報告書における内部統制システムの構成要素についても説明している。

A79．第20項から第26項に記載している、内部統制システムの各構成要素の理解と評価の双方を目的

として実施するリスク評価手続を通じて、監査人は、企業の内部統制システムを理解する。

A80．本報告書における企業の内部統制システムの構成要素は、必ずしも、企業がどのように内部統

制システムを整備及び運用しているのか又はある内部統制がどの構成要素に分類されるかを表し

ているわけではない。内部統制システムの様々な側面を説明するために、企業が異なる用語や枠

組みを用いることがある。また、監査人も、本報告書に記載されている全ての構成要素の内容が網

羅されている場合は、内部統制の様々な側面や監査への影響を検討するために、本報告書に記載

したもの以外の異なった用語や枠組みを使用することも可能である。

《適用の柔軟性》

A81．企業の内部統制システムの整備及び運用方法は、企業の規模及び複雑性によって異なる。例え

ば、複雑でない企業では、内部統制の目的を達成するために、非公式な方法やより簡素な内部統制

の手続を用いられることがある。

《内部統制システムの構成要素におけるＩＴ》

付録５は、企業の内部統制システムの構成要素におけるＩＴの利用を理解する際のより詳

細な指針を提供している。

A82．監査の総括的な目的及び範囲は、企業の業務を運営する環境が、ほとんど自動化されていない

か、完全に自動化されているか、又は部分的に自動化されているか（すなわち、手作業による内部

統制及び自動化された内部統制、並びにその他のＩＴに係る経営資源が企業の内部統制システム

で利用されている状況）によって、異なるものではない。

《内部統制システムの構成要素の理解》

A83．内部統制のデザインの有効性の評価、及びそれらの内部統制が業務へ適用されているかどうか

の評価に当たり（A163項からA169項参照）、内部統制システムの各構成要素についての監査人の理

解は、企業がどのように事業上のリスクを識別し、どのように対応しているかについての予備的

な理解となる。また、内部統制システムの各構成要素についての監査人の理解は、重要な虚偽表示

監基報 315

- 29 -

リスクについての監査人の識別及び評価に影響を与えることがあり（A75項参照）、内部統制の運

用状況の有効性の評価の計画など、監査人がリスク対応手続を立案し実施するのに役立つ。

例えば、企業の統制環境、リスク評価プロセス及び内部統制システムを監視するプロセスに対

する監査人の理解は、財務諸表全体レベルの重要な虚偽表示リスクの識別及び評価に影響を与え

る可能性が高く、また、企業の情報システムと伝達及び企業の統制活動に対する監査人の理解は、

アサーション・レベルの重要な虚偽表示リスクの識別及び評価に影響を与える可能性が高い。

《① 統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセス》（第

20 項から第 23 項参照）

A84．統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセスにおけ

る内部統制は、主に間接的な内部統制である。すなわち、アサーション・レベルの虚偽表示を防

止、発見又は修正するのに十分な精度の内部統制ではないが、他の内部統制を支援することで、虚

偽表示が適時に発見又は防止される可能性に間接的な影響を与えることがある内部統制である。

ただし、統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセス

における内部統制にも、直接的な内部統制が含まれる場合がある。

《ア．統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセスを理

解しなければならない理由》

A85．統制環境は、内部統制システムの他の構成要素に全般的な基礎を提供する。統制環境は、虚偽

表示を直接的に防止又は発見し修正するものではないが、内部統制システムの他の構成要素にお

ける内部統制の有効性に影響を及ぼす。同様に、企業のリスク評価プロセス及び内部統制システ

ムを監視する企業のプロセスは、内部統制システム全体を支援するようにデザインされる。

A86．統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセスは企業

の内部統制システムの基礎となるものであるため、その運用における不備は財務諸表の作成に広

範な影響を及ぼす可能性がある。したがって、これらの構成要素に対する監査人の理解及び評価

は、財務諸表全体レベルの重要な虚偽表示リスクの監査人による識別及び評価に影響を与え、ア

サーション・レベルの重要な虚偽表示リスクの識別及び評価にも影響を与える可能性がある。財

務諸表全体レベルの重要な虚偽表示リスクは、監査基準報告書330で説明されているように、監査

人のリスク対応手続の種類、時期及び範囲への影響を含め、全般的な対応の立案に影響を及ぼす

（監基報330のA1項からA3項参照）。

《イ．統制環境の理解》（第 20 項参照）

《適用の柔軟性》

A87．複雑でない企業の統制環境は、複雑な企業における統制環境とは異なることが多い。例えば、

複雑でない企業における取締役会や監査役等には、独立性を有する社外の者が含まれていないこ

とがあり、また企業を単独で所有するオーナー経営者（企業の所有者であり、かつ、日々の事業運

営に関与している者）が直接ガバナンスの役割を担っている場合がある。企業の複雑性によって、

企業の統制環境に関する幾つかの考慮事項は、関連性が低いか該当しない場合がある。

監基報 315

- 30 -

A88．また、特に経営者と従業員との間の意思疎通が正式な形で行われないことが多い複雑でない企

業では、統制環境の各要素についての監査証拠が文書化された形で入手できない場合があるが、

その状況においても監査証拠が適合性と信頼性を有していることがある。

例

・複雑でない企業の組織構造は簡素となる傾向にあり、財務報告に関する役割を担う従業

員が少数の場合がある。

・オーナー経営者が直接ガバナンスの役割を担っている場合、監査人は、取締役会や監査役

等の独立性は考慮する事項に該当しないと判断する場合がある。

・複雑でない企業では、文書化された行動規範はないが、その代わりに口頭による伝達や経

営者による実践を通じて、誠実性と倫理的行動の重要性を重視する企業文化を醸成してい

ることがある。その場合、経営者又はオーナー経営者の態度、姿勢及び行動が、複雑でない

企業の統制環境の監査人の理解にとって特に重要である。

《統制環境の理解》（第 20 項(1)参照）

A89．統制環境の理解に関連する監査証拠は、質問と聴取した内容を裏付ける文書の閲覧や観察など

のその他のリスク評価手続とを組み合わせて実施することにより、入手される場合がある。

A90．経営者が誠実性及び倫理観に対する姿勢をどの程度示しているかを検討するに当たり、監査人

は、経営者及び従業員への質問、並びに外部の情報源から得た情報の考慮を通じて、次の事項を理

解する場合がある。

・企業経営に対する考え方や倫理的行動についての見解を経営者がどのように従業員に伝達し

ているか。

・経営者が正式な行動規範を策定し、実際にその規範に準拠して行動しているか。

《統制環境の評価》（第 20 項(2)参照）

《監査人が統制環境を評価する理由》

A91．統制環境は内部統制システムの他の構成要素の基礎となっていることから、以下について評価

することは、監査人が内部統制システムの他の構成要素における潜在的な問題を識別するのに役

立つ。

・誠実性と倫理観に対する企業の方針が、企業内にいかに伝達され、誠実で倫理的な行動が企業

内に定着しているか。

・統制環境は、内部統制システムの他の構成要素に適切な基礎を提供しているか。

・統制環境の不備によって、内部統制システムの他の構成要素が損なわれていないか。

また、この評価は、監査人が、企業が直面するリスクを理解し、財務諸表全体レベルの重要な虚

偽表示リスク及びアサーション・レベルの重要な虚偽表示リスクを識別し評価するのに役立つこ

とがある（A75項参照）。

《統制環境に対する監査人の評価》

A92．監査人は、第20項(1)に従って得た理解に基づき、統制環境を評価する。

監基報 315

- 31 -

A93．特定の個人が企業を支配し、大きな裁量を行使している場合、その個人の行動や態度は、企業

の文化に広範な影響を及ぼし、統制環境にも広範な影響を及ぼすことがある。その影響は、肯定的

にも否定的にもなり得る。

例

個人が事業経営に直接関与することは、企業の成長及びその他の目標の達成を可能とし、内

部統制システムの有効性に大きく貢献する可能性がある。その一方で、情報や権限が集中する

ことで、経営者が内部統制を無効化し、虚偽表示の生じやすさが高まることがある。

A94．監査人は、取締役会や監査役等で、独立性を有する者の関与も考慮し、上級経営者の経営理念

及び経営方針が統制環境の各構成要素に与える影響を検討することがある。

A95．統制環境は内部統制システムの適切な基礎を提供し、不正リスクの軽減に役立つことがあるが、

適切な統制環境は必ずしも不正に対する有効な抑止とはならない。

例

必要な能力のある財務、会計及びＩＴ担当者を雇用する人事方針や手続は、財務情報の処

理における誤謬のリスクを軽減することがあるとしても、利益を過大に計上しようとするよ

うな上級経営者による内部統制の無効化リスクを必ずしも軽減するものではない。

A96．企業のＩＴの利用に関する統制環境の監査人による評価には、以下のような事項を含む場合が

ある。

・ＩＴに対するガバナンスは、企業の事業内容と複雑性、及びＩＴの利用によって可能となる事

業運営の内容に見合ったものであるか。これには、企業におけるＩＴ環境の複雑性又は成熟度、

及び財務報告のために利用するＩＴアプリケーションへの依存度を考慮する。

・ＩＴに関する意思決定組織及び経営資源（例えば、カスタマイズがされていないか限定的な市

販ソフトウェアを使用している場合も含め、企業が適切なＩＴ環境の維持・更新に必要な投資

をしているか、又は適切な技能を有する十分な人員を雇用しているか。）

《ウ．企業のリスク評価プロセスの理解》（第 21 項及び第 22 項参照）

《企業のリスク評価プロセスの理解》（第 21 項(1)参照）

A97．A56項に記載のとおり、全ての事業上のリスクが重要な虚偽表示リスクとなるわけではない。経

営者及び監査役等が、財務諸表の作成に影響を及ぼす事業上のリスクをどのように識別し、当該

リスクへの対処をどのように決定したかを理解するに当たり、監査人は、経営者又は必要に応じ

て監査役等について以下の事項を検討する場合がある。

・企業の目的に関連するリスクの識別と評価が可能となるよう、企業の目的をどのように詳細

かつ明確に特定したか。

・企業の目的の達成を妨げるリスクをどのように識別したか。また、識別したリスクの管理方法

を決定するためにリスクをどのように分析したか。

・企業の目的の達成を妨げるリスクを検討する際に、不正の可能性をどのように検討したか（監

基報 240 第 19 項参照）。

A98．監査人は、識別した事業上のリスクが企業の財務諸表の作成及び内部統制システムのその他の

側面に及ぼす影響を考慮することがある。

監基報 315

- 32 -

《企業のリスク評価プロセスの評価》（第 21 項(2)参照）

《企業のリスク評価プロセスが適切であるかどうかを監査人が評価する理由》

A99．企業のリスク評価プロセスを評価することは、企業が発生可能性のあるリスクをどの領域で識

別し、当該リスクにどのように対処したのかを理解するのに役立つことがある。また、企業がどの

ように事業上のリスクを識別し、評価し、対処しているかについて評価することは、企業が直面し

ているリスクが識別され、評価され、企業の事業内容や複雑性に応じて適切に対処されているか

を理解するのに役立つ。また、当該評価は、監査人が財務諸表全体レベルの重要な虚偽表示リスク

及びアサーション・レベルの重要な虚偽表示リスクを識別し評価するのに役立つ場合もある（A75

項参照）。

《企業のリスク評価プロセスが適切であるかどうかの評価》（第 21 項(2)参照）

A100．企業のリスク評価プロセスの適切性に関する監査人の評価は、第21項(1)に従って得た理解に

基づく。

《適用の柔軟性》

A101．企業の事業内容及び複雑性を考慮した場合、企業のリスク評価プロセスが、企業の状況に対し

て適切かどうかは、監査人の職業的専門家としての判断によることとなる。

例

一部の複雑でない企業、特にオーナー経営の企業では、経営者が事業に直接関与すること

により、リスク評価が適切に実施されることがある（例えば、経営者は、新たに発生した事業

上のリスクを識別するために、市場における競合企業の活動及びその他の状況変化の定期的

な監視に時間を費やすことがある。）。このような企業のリスク評価の証跡は、正式に文書化

されていない場合が多いが、経営者とのディスカッションにより経営者がリスク評価手続を

実施していることが明らかになることがある。

《エ．内部統制システムを監視する企業のプロセスの理解》（第 23 項参照）

《適用の柔軟性》

A102．複雑でない企業、特にオーナー経営の企業において、経営者又はオーナー経営者が事業に直接

関与し、他に監視活動がないため、監査人が内部統制システムを監視する企業のプロセスを理解

する場合、経営者又はオーナー経営者がどのように事業に直接関与しているかに着目することが

多い。

例

オーナー経営者は、月次請求書の誤りについて顧客からクレームを受けることにより、顧

客からの入金の起票のタイミングの問題点を認識することがある。

A103．内部統制システムを監視する企業の正式なプロセスが存在しない場合は、内部統制システム

を監視する企業のプロセスを理解するために、企業が虚偽表示を防止又は発見できるようにデザ

インした管理会計の情報の定期的なレビューを理解することがある。

監基報 315

- 33 -

《内部統制システムを監視する企業のプロセスの理解》（第 23 項(1)参照）

A104．内部統制システムを監視する企業のプロセスを理解する際に監査人が考慮する事項には、例

えば、以下が含まれる。

・監視活動のデザイン（例えば、定期的な監視か日常的な監視か。）

・監視活動の実施状況及び頻度

・内部統制が有効に運用されているかを判断するために適時に実施される監視活動の結果の評

価

・識別された不備は、是正措置を講じる責任者に適時に報告され、適切な是正措置によって対処

されているか。

A105．監査人は、内部統制システムを監視する企業のプロセスが、ＩＴの利用を伴う情報処理統制に

どのように対応しているかを考慮することがある。これには、例えば、以下の事項がある。

・複雑なＩＴ環境を監視する以下の内部統制

－情報処理統制のデザインが引き続き有効であるかを評価し、適宜、状況の変化に応じて当該

内部統制を修正する。

－情報処理統制の運用状況の有効性を評価する。

・自動化された情報処理統制により職務の分離が確保されている場合、そこで適用されている

承認を監視する内部統制

・財務報告の自動化に関連する誤りや内部統制の不備がどのように識別され対処されているか

を監視する内部統制

《企業の内部監査機能の理解》（第 23 項(1)②参照）

付録４では、企業の内部監査機能を理解するためのより詳細な考慮事項を記載している。

A106．内部監査に従事する適切な者への質問は、監査人が内部監査機能の責任を理解するのに役立

つ。内部監査機能の責任が企業の財務報告に関連していると監査人が判断する場合、監査人は、監

査対象期間の内部監査計画の査閲や、内部監査に従事する適切な者に対する追加的な質問により、

内部監査人が実施した又は実施する予定の活動について理解を深めることがある。また、内部監

査機能の理解は、監査人の質問から得た情報と併せて、監査人が行う重要な虚偽表示リスクの識

別及び評価に直接関連する情報をもたらす場合がある。

内部監査機能に対する監査人の予備的な理解に基づき、監査人が実施する監査手続の種類若し

くは時期を変更するか又は範囲を縮小するために内部監査人の作業を利用する予定である場合、

監査基準報告書610「内部監査人の作業の利用」が適用される。

《内部統制システムを監視する企業のプロセスにおいて利用されるその他の情報源》

《情報源の理解》（第 23 項(2)参照）

A107．経営者による監視活動では、顧客からの苦情や規制当局からの改善勧告等、問題点を指摘し、

改善の必要のある点を示唆することがある外部者からの情報を利用することがある。

監基報 315

- 34 -

《内部統制システムの監視において利用される情報源を理解しなければならない理由》

A108．情報が目的に適合していて信頼できるかどうかを含め、内部統制システムを監視する際に企

業が利用する情報源について監査人が理解することは、内部統制システムを監視する企業のプロ

セスが適切であるかどうかに関して監査人が評価することにも役立つ。経営者が何らかの根拠に

基づくことなく監視活動に使用する情報が目的に適合していて信頼できるとみなしている場合に

は、情報に誤りが存在していることがあり、これにより経営者は誤った結論を導き出す可能性が

ある。

《内部統制システムを監視する企業のプロセスの評価》（第 23 項(3)参照）

《内部統制システムを監視する企業のプロセスが適切であるかどうかを監査人が評価する理由》

A109．内部統制の有効性を監視するための企業の日常的監視活動と独立的評価の方法について監査

人が評価することは、企業の内部統制システムの監視活動以外の構成要素が存在し機能している

かどうか、すなわち、内部統制システムの他の構成要素を理解するのに役立つ。また、この監査人

の評価は、財務諸表全体レベルの重要な虚偽表示リスク及びアサーション・レベルの重要な虚偽

表示リスクを監査人が識別し評価するのに役立つ（A75項参照）。

《内部統制システムを監視する企業のプロセスが適切かどうかの評価》（第 23 項(3)参照）

A110．内部統制システムを監視する企業のプロセスの適切性に関する監査人の評価は、第23項(1)及

び(2)に従って得た理解に基づく。

《② 情報システムと伝達及び統制活動》（第 24 項及び第 25 項参照）

A111．情報システムと伝達及び統制活動における内部統制は、主に直接的な内部統制である。すなわ

ち、アサーション・レベルの虚偽表示を防止、発見又は修正するのに十分な精度の内部統制であ

る。

《ア．情報システムと伝達及び統制活動における内部統制を監査人が理解しなければならない理由》

A112．財務諸表の作成に関連する取引の流れやその他の情報処理活動を含めた企業の方針を理解し、

内部統制システムの構成要素である情報システムと伝達が財務諸表の作成を適切に支援している

かどうかを評価することは、監査人がアサーション・レベルの重要な虚偽表示リスクを識別し評

価することに役立つ。また、この理解と評価の結果、監査契約の新規の締結及び更新の過程におい

て入手した情報から想定された内部統制システムと、監査手続の結果とが整合していない場合に

は、財務諸表全体レベルの重要な虚偽表示リスクを識別する場合もある（A75項参照）。

A113．監査人は、統制活動における個々の内部統制を識別し、デザインを評価し、実際に適用されて

いるかどうかを評価することが求められている。この識別と評価は、特定のリスクへの経営者の

対処方針の理解を可能とし、監査基準報告書330において要求されるリスク対応手続の立案及び実

施に関する決定に役立つ。

監査人が、識別した内部統制の運用状況の有効性の評価を計画していない場合であっても、特

定のリスクに対する経営者の対処方針の理解は、関連する重要な虚偽表示リスクに対応する実証

監基報 315

- 35 -

手続の種類、時期及び範囲の立案に役立つ。

《イ．情報システムと伝達及び統制活動に対する監査人による反復的な理解と評価》

A114．A44項の記載にあるとおり、企業及び企業環境並びに適用される財務報告の枠組みを理解する

ことで、監査人は、重要な取引種類、勘定残高又は注記事項を暫定的に識別する場合がある。監査

人は、第24項(1)に従って情報システムと伝達を理解する際に、暫定的に識別した重要な取引種類、

勘定残高又は注記事項に基づいて、企業の情報処理活動の理解の範囲を決定する場合がある。

A115．情報システムに対する監査人の理解には、重要な取引種類、勘定残高又は注記事項に関連する

情報の流れやその他の情報処理活動を定めた企業の方針の理解が含まれる。当該理解及び情報シ

ステムに対する評価から得られた理解により、暫定的に識別した重要な取引種類、勘定残高又は

注記事項に対する監査人の評価が影響を受ける場合がある（A114項参照）。

A116．監査人は、重要な取引種類、勘定残高又は注記事項に関連する、企業の情報システムにおける

情報の流れを理解する際に、第25項(1)に記載されている統制活動における内部統制を識別する場

合がある。統制活動における内部統制のうち、監査人がはじめに着目し識別し評価する内部統制

は、仕訳入力に関する内部統制と、実証手続の種類、時期及び範囲を立案するために運用評価手続

の実施を計画している内部統制となることがある。

A117．固有リスクに対する監査人の評価は、統制活動における内部統制の識別にも影響を与える場

合がある。例えば、特別な検討を必要とするリスクに関連する内部統制は、第30項に従って監査人

がアサーション・レベルの固有リスクを評価した後でのみ識別可能となる場合がある。また、監査

人が（第32項に従って）実証手続のみでは十分かつ適切な監査証拠を入手することができないと

判断したリスクに対応する内部統制についても、監査人による固有リスクの評価が実施された後

でのみ識別可能となる場合がある。

A118．監査人によるアサーション・レベルの重要な虚偽表示リスクの識別と評価は、監査人が実施す

る次の事項の影響を受ける。

・情報システムと伝達における企業の情報処理活動に関する方針の理解

・統制活動における内部統制の識別及び評価

《ウ．情報システムと伝達の理解》（第 24 項参照）

付録３の第 15 項から第 19 項は、情報システムと伝達に関するより詳細な考慮事項を記載し

ている。

《適用の柔軟性》

A119．複雑でない企業の情報システム及び関連する業務プロセスは、大規模企業のそれと比べて精

緻でなく、ＩＴ環境も複雑でないことが多いが、情報システムの役割は同様に重要である。経営者

が直接関与する複雑でない企業では、広範囲にわたる会計手続の記述、詳細な会計記録又は文書

による方針を必要としない場合がある。したがって、複雑でない企業の監査においては、情報シス

テムに関連する内容の理解に多くの工数をかける必要がなく、理解するために実施する手続は、

観察や文書の閲覧よりも質問の割合が多くなる場合がある。しかしながら、関連する情報システ

監基報 315

- 36 -

ムを理解することは、監査基準報告書330に従ったリスク対応手続を立案する上で変わらず必要で

あり、重要な虚偽表示リスクを識別し評価するのに役立つことがある（A75項参照）。

《情報システムの理解》（第 24 項(1)参照）

A120．企業の内部統制システムには、企業の報告目的（財務報告の信頼性を確保する目的を含む。）

に関する側面が含まれるが、財務報告に関連する場合には、企業の事業経営の有効性と効率性を

高める目的や事業経営に係る法令の遵守を促す目的に関する側面も含まれる場合がある。監査人

による情報システムの理解の一環として、企業がどのように取引を開始し情報を把握しているか

の理解に加え、財務諸表の作成に関連している場合には、事業経営の有効性と効率性を高める目

的や事業経営に係る法令の遵守を促す目的に対処するためにデザインされた企業の内部統制（企

業の方針）に関しても理解することが必要になる場合がある。また、高度に統合された情報システ

ムを有している企業においては、財務報告の信頼性を確保する目的、事業経営の有効性と効率性

を高める目的及び事業経営に係る法令の遵守を促す目的並びにその組合せを同時に達成できるよ

うに内部統制がデザインされている場合がある。

A121．企業の情報システムの理解には、企業の情報処理活動で利用される経営資源についての理解

も含まれる。監査人が、情報システムの完全性に関するリスクを理解する上で必要となる人的資

源の情報には、以下が含まれる。

・業務の担当者の能力

・適切な人材が存在しているか。

・適切な職務分離が行われているか。

A122．重要な取引種類、勘定残高又は注記事項に関連する情報の流れを定めた情報システムと伝達

における方針を理解する際に監査人が考慮する事項には、以下が含まれる。

(1) 処理すべき取引、その他の事象及び状況に関するデータ又は情報

(2) 当該データ又は情報のインテグリティ（すなわち、取引及びその他の情報（データ）の網羅

性、正確性、正当性）を維持するための情報処理

(3) 情報処理プロセスにおける情報処理、担当者及びその他の経営資源

A123．企業の業務プロセス（取引がどのようにその中で発生するかを含む。）の理解は、監査人が企

業の状況に応じて情報システムを理解することに役立つ。

A124．監査人が情報システムを理解する方法は様々であり、次の方法が含まれる。

・取引の開始から、記録、処理及び報告に至るまでの手続、又は企業の財務報告プロセスについ

ての担当者への質問

・企業の情報システムの方針、マニュアル又はその他の文書の閲覧

・担当者による方針又は手続の実施の観察

・情報システムにおいて、取引の開始から財務諸表に反映されるまでを追跡すること（すなわ

ち、ウォークスルーの実施）。

《自動化されたツール及び技法》

A125．監査人は、取引の会計記録を保存している企業の情報システムのデータベースに直接アクセ

監基報 315

- 37 -

スするために、又は、データベースからデータをダウンロードするために、自動化された技法を使

用する場合がある。監査人は、この情報に対して自動化されたツール又は技法を用いることで、特

定の取引又は取引の母集団全体に係る仕訳入力又は他の電子的な記録を追跡し、会計記録の開始

から総勘定元帳への転記に至るまでの情報システム内の取引の流れについての監査人の理解を確

認することがある。取引を網羅的に又は広範囲に分析することにより、通常の処理又は想定され

る処理から逸脱した取引が識別され、結果として、重要な虚偽表示リスクが識別されることがあ

る。

《総勘定元帳や補助元帳以外から入手した情報》

A126．財務諸表には総勘定元帳や補助元帳以外から入手した情報が注記される場合がある。監査人

が考慮する財務諸表の注記と関連する情報には、例えば、以下のものがある。

・リース契約に関する情報

・企業のリスク管理システムにより作成された情報

・経営者が利用する専門家が作成した公正価値（時価を含む。）に関する情報

・会計上の見積りに使用されたモデル等に用いられる情報。これには、以下のようなモデル等で

使用された基礎データ及び仮定が含まれる。

－資産の耐用年数に影響を及ぼす可能性のある社内で立てた仮定

－企業の影響が及ばない要因により変動するデータ（例えば、金利）

・経営者が代替的な仮定を検討したことを示す感応度分析に関する情報

・企業の納税申告や税務に関連する情報

・継続企業の前提に関する経営者の評価を裏付けるために実施された分析から得られた情報。

例えば、継続企業の前提に重要な不確実性が認められた場合、又は重要な疑義を生じさせるよ

うな事象若しくは状況が識別されているが、継続企業の前提に重要な不確実性が認められない

場合に適用される財務報告の枠組みに基づいて財務諸表に注記される情報（監基報 570 第 18 項

及び第 19 項参照）

A127．企業の財務諸表における特定の金額又は注記事項（例えば、信用リスク、流動性リスク及び市

場リスク）は、企業のリスク管理システムから得られる情報に基づく場合がある。しかしながら、

監査人はリスク管理システムの全てを理解することまでは求められておらず、どこまで理解する

必要があるかを決めるのは職業的専門家としての判断による。

《企業による情報システムにおけるＩＴの利用状況》

《情報システムに関連するＩＴ環境を監査人が理解する理由》

A128．企業がＩＴアプリケーションや関連するその他のＩＴ環境を利用することによりＩＴの利用

から生じるリスクが高まる場合があるため、情報システムに対する監査人の理解には、企業の情

報システムにおける取引の流れや情報処理に関連するＩＴ環境が含まれる。

A129．企業のビジネスモデルや当該ビジネスモデルがＩＴをどの程度活用しているかを理解するこ

とにより、情報システムにおいて利用が想定されるＩＴの内容と利用の程度についての有用な情

報が得られる場合がある。

監基報 315

- 38 -

《企業によるＩＴの利用状況の理解》

A130．監査人は、ＩＴ環境を理解する際に、情報システムにおける取引の流れや情報処理に関連する

特定のＩＴアプリケーション及びその他のＩＴ環境を識別し、その内容や数を理解することに重

点を置く場合がある。ＩＴアプリケーションのプログラム変更、又は、取引や情報を処理又は保存

するデータベース上でのデータの直接修正により、取引の流れ又は情報システム内の情報が変更

されることがある。

A131．監査人は、重要な取引種類、勘定残高又は注記事項に関連する、企業の情報システムにおける

情報の流れを理解するのと同時に、関連するＩＴアプリケーション及びそれを支援するＩＴイン

フラストラクチャーを識別することがある。

《エ．企業の伝達に関する理解》（第 24 項(2)参照）

《適用の柔軟性》

A132．大規模で複雑な企業においては、企業の伝達を理解する際に監査人が考慮する情報は、財務報

告の規定やマニュアルから入手することができる場合がある。

A133．複雑でない企業においては、責任の階層が少なく、経営者の目が行き届くことから、伝達が組

織化されていない場合がある（例えば、正式なマニュアルが作成されていない。）。企業の規模に

かかわらず、自由闊達な雰囲気や風土は、例外事項の報告とこれに対する行動を自然と促す。

《関連する情報システムが、財務諸表の作成を支援しているかどうかの評価》（第 24 項(3)参照）

A134．企業の情報システムと伝達が、財務諸表の作成を適切に支援しているかどうかに関する監査

人の評価は、第 24 項(1)及び(2)に従って得た理解に基づいて行われる。

《オ．統制活動》（第 25 項参照）

《統制活動における内部統制》

付録３の第 20 項及び第 21 項は、統制活動に関するより詳細な考慮事項を記載している。

A135．統制活動には、企業の内部統制システムの統制活動以外の構成要素に含まれる方針（それ自体

が内部統制である。）が適切に適用されるようにデザインされた内部統制が含まれる。統制活動に

おける内部統制には直接的な内部統制と間接的な内部統制がある。

例

年次の実地棚卸において、担当者が棚卸資産を適切にカウントし、記録するための内部統

制を企業は確立することがある。このような内部統制は、棚卸資産勘定残高の実在性と網羅

性のアサーションに関する重要な虚偽表示リスクと直接的に関連している。

A136．統制活動における内部統制の識別と評価において、監査人は情報処理統制に重点を置く。情報

処理統制は、情報のインテグリティ（すなわち、取引及びその他の情報（データ）の網羅性、正確

性、正当性）のリスクに直接対応する、企業の情報システムにおける情報処理に適用される内部統

制である。しかしながら、監査人は、重要な取引種類、勘定残高又は注記事項に関する取引の流れ

やその他の情報処理活動を定めた企業の方針に関連する全ての情報処理統制を識別し、評価する

ことは求められていない。

監基報 315

- 39 -

A137．統制環境、企業のリスク評価プロセス、又は内部統制システムを監視する企業のプロセスにお

いて、第25項に従って識別される内部統制が、直接的な内部統制である場合もある。内部統制と虚

偽表示リスクとの関係が間接的であればあるほど、関連する虚偽表示の防止及び発見・修正にお

いて内部統制が効果的でない可能性がある。

例

通常、販売担当マネージャーによる特定の店舗の販売活動の要約情報のレビューと、収益

の網羅性のアサーションに関する重要な虚偽表示リスクの関係は間接的であり、出荷に関す

る文書と請求書を照合する等の虚偽表示リスクに直接対応する内部統制と比べ、当該虚偽表

示リスクに対し十分に効果的でない可能性がある。

A138．ＩＴ全般統制は、有効な情報処理統制の継続的な運用を支援するため、第25項は、ＩＴの利用

から生じるリスクの影響を受けるＩＴアプリケーション及び関連するその他のＩＴ環境について、

監査人にＩＴ全般統制を識別し評価することを要求している。通常、ＩＴ全般統制だけでは、アサ

ーション・レベルの重要な虚偽表示リスクに対応できない。

A139．監査人が第25項に従って、識別し、デザインを評価し、また業務に適用されているかどうかを

判断することが要求される内部統制は以下である。

・実証手続の種類、時期及び範囲を決定するに当たり、監査人が運用評価手続の実施を計画して

いる内部統制。このような内部統制の評価は、監査基準報告書 330 に準拠した運用評価手続を

監査人が立案するための基礎を提供する。この内部統制には、実証手続のみでは十分かつ適切

な監査証拠を入手できないリスクに対応する内部統制が含まれる。

・特別な検討を必要とするリスクに対応する内部統制及び仕訳入力に関する内部統制。これら

の内部統制の識別及び評価は、重要な虚偽表示リスクの追加的な識別を含め（A83 項参照）、重

要な虚偽表示リスクに関する監査人の理解に影響を及ぼすこともある。また、この理解は、評価

した重要な虚偽表示リスクに対応する実証手続の種類、時期及び範囲を決定するための基礎も

提供する。

・アサーション・レベルのリスクに関して第 12 項の目的を達成するために、監査人が職業的専

門家としての判断に基づいて評価することが適切であると考えるその他の内部統制

A140．第25項(1)の項目に該当する場合には、統制活動における内部統制を識別しなければならない。

しかしながら、複数の内部統制が同一の目的を達成する場合には、その目的に関連する全ての内

部統制を識別する必要はない。

《統制活動における内部統制の種類》（第 25 項参照）

A141．統制活動における内部統制の例としては、承認、調整、検証（エディット・チェック、バリデ

ーション・チェック又は自動計算など）、職務の分離、物理的又は論理的なアクセス権管理に関す

る内部統制（資産の保全に対処するものを含む。）が挙げられる。

A142．適用される財務報告の枠組みに従った注記事項が作成されないことに関する重要な虚偽表示

リスクにも対応する統制活動における内部統制が、経営者によって確立されている場合もある。

そのような内部統制は、財務諸表に含まれる情報で、総勘定元帳と補助元帳以外から入手される

情報と関連することがある。

監基報 315

- 40 -

A143．自動化された内部統制か手作業による内部統制かにかかわらず、内部統制には様々な目的が

あり、組織の様々な階層で適用されることがある。

《適用の柔軟性》（第 25 項参照）

A144．複雑でない企業の統制活動における内部統制は、大規模企業の内部統制と同様である場合も

多いが、運用形態は異なる場合もある。また、複雑でない企業では、より多くの内部統制が経営者

によって直接実施される場合もある。

例

顧客への信用枠の付与や重要な購買の承認を経営者が単独で行うことは、重要性のある勘

定残高や取引に関して強力な内部統制となる場合がある。

A145．従業員の少ない複雑でない企業において職務の分離を確立することは、現実的ではない場合

があるが、オーナー経営の企業では、オーナー経営者は、直接的な関与を通じて、大規模企業に比

べより効果的に監督することが可能な場合があり、限られた職務の分離を補完することがある。

しかしながら、監査基準報告書240のA25項に記載されているとおり、一人の経営者による支配は、

経営者による内部統制の無効化の機会があるので潜在的な内部統制の不備となることもある。

《アサーション・レベルの重要な虚偽表示リスクに対応する内部統制》（第 25 項(1)参照）

《特別な検討を必要とするリスクに対応する内部統制》（第 25 項(1)①参照）

A146．特別な検討を必要とするリスクに対応する内部統制の運用評価手続の実施を計画しているか

否かにかかわらず、当該リスクへの経営者の対処方針について得た理解は、監査基準報告書 330 で

要求されている特別な検討を必要とするリスクに対応する実証手続の立案と実施の基礎を提供す

ることがある（監基報 330 第 20 項参照）。重要な非定型的事象又は判断に依存している事項に関

連するリスクは、定型的な内部統制では対応できない場合が多いが、経営者はこのようなリスク

への別の対処を行っている場合がある。したがって、非定型的事象又は判断に依存している事項

により生じる特別な検討を必要とするリスクに対応するための内部統制について企業がデザイン

し業務に適用しているかどうかの監査人の理解には、経営者が当該リスクに対処しているかどう

か、又は経営者がどのように対処しているかが含まれることがある。経営者による対処には、以下

のような事項がある。

・上級経営者や専門家による、仮定の検討などの内部統制

・会計上の見積りに関する文書化された手順

・取締役会による承認

例

重要な訴訟の通知の受領等の非定型的事象が生じた場合の企業の対処には、法務部や顧問

弁護士等の適切な専門家の意見の聴取、潜在的な影響の評価、財務諸表上にどのように開示す

べきかの検討が含まれる。

A147．監査基準報告書240は、不正による重要な虚偽表示リスク（これは特別な検討を必要とするリ

スクとして扱われる。）に関連する内部統制を理解することを求めており、また経営者が不正を防

止し発見するために整備及び運用している内部統制を理解することが重要であるとしている（監

監基報 315

- 41 -

基報240第26項及びA30項参照）。

《仕訳入力に関する内部統制》（第 25 項(1)②参照）

A148．企業が取引処理に関連する情報を総勘定元帳に記録する方法は、定型的か否か、自動化されて

いるか否かにかかわらず、通常、仕訳入力を伴うため、仕訳入力に関する内部統制は、アサーショ

ン・レベルの重要な虚偽表示リスクに対応し、全ての監査において識別されることが想定される

内部統制である。

その他の内部統制を識別する範囲は、企業の性質や監査人が計画しているリスク対応手続の方

針により異なる。

例

複雑でない企業の監査において、企業の情報システムは複雑ではなく、監査人は内部統制へ

の依拠を予定しないことがある。また、監査人が内部統制のデザインを評価し、当該統制が業

務に適用されていることを判断することが求められる特別な検討を必要とするリスク又はそ

の他の重要な虚偽表示リスクを識別しないこともある。監査人は、このような監査では、仕訳

入力に関する企業の内部統制以外に識別すべき内部統制は存在しないと判断することがある。

《自動化されたツール及び技法》

A149．手作業中心の帳簿体系では、非定型的な仕訳入力は、元帳、仕訳帳、証憑書類等の閲覧により

識別できる場合がある。

自動化された手続により帳簿が作成され、財務諸表の作成が行われている場合には、このよう

な仕訳入力は、電子的情報のみで存在するため、自動化された技法の利用により容易に識別でき

る場合がある。

例

複雑でない企業の監査においては、監査人が全ての仕訳をスプレッドシートに出力するこ

とができる場合がある。この場合、金額、作成者若しくは査閲者、貸借対照表又は損益計算書

上で総額表示になっているだけの仕訳といったフィルターを適用したり、仕訳の総勘定元帳

への転記日の一覧を閲覧することで、監査人は、仕訳入力に関連して識別されたリスクへの対

応を立案することが可能となる。

《監査人が運用評価手続の実施を計画している内部統制》（第 25 項(1)③参照）

A150．監査人は、実証手続のみでは十分かつ適切な監査証拠を入手できないアサーション・レベルの

重要な虚偽表示リスクが存在するかどうかを判断する。アサーション・レベルの重要な虚偽表示

リスクについて、実証手続のみでは十分かつ適切な監査証拠を入手できない場合には、監査基準

報告書330に準拠して、重要な虚偽表示リスクに対応した内部統制の運用評価手続を立案し実施す

ることが要求されるため（監基報330第７項(2)参照）、当該リスクに対応する内部統制を識別し評

価することが求められる。

A151．その他の場合でも、監査人が内部統制の運用状況の有効性を考慮して監査基準報告書330に従

って実証手続の種類、時期及び範囲を決定する場合、監査基準報告書330は監査人に内部統制の運

監基報 315

- 42 -

用評価手続を立案し実施することを要求しているため（監基報330第７項(1)参照）、その内部統制

を識別し評価することが求められる。

例

監査人は、以下の内部統制の運用評価手続の実施を計画することがある。

・定型的な取引に対する内部統制。大量の同種類の取引に対する内部統制の運用状況の有

効性を評価することは、より効果的又は効率的である。

・企業が作成した情報の網羅性と正確性に対する内部統制（例えば、システムにより生成さ

れた情報に関する内部統制）。企業が作成した情報の信頼性を判断するために、リスク対応

手続の立案と実施において、当該内部統制の運用評価手続の実施を計画する場合がある。

・事業経営の有効性と効率性を高める目的や事業経営に係る法令の遵守を促す目的に関連

する内部統制。これらの内部統制が、監査人が監査手続を実施する際に評価又は利用する

データに関連する場合には、当該内部統制の運用評価手続の実施を計画する場合がある。

A152．財務諸表全体レベルの重要な虚偽表示リスクが識別された場合、監査人の内部統制の運用評

価手続に影響する可能性がある。例えば、統制環境に関連して不備が識別された場合、直接的な内

部統制の運用状況の有効性に対する全般的な想定に影響を及ぼすことがある。

《監査人が評価することが適切であると考えるその他の内部統制》（第 25 項(1)④参照）

A153．識別し、デザインを評価し、業務に適用されているかを判断することが適切と考えるその他の

内部統制には、以下の内部統制が含まれる。

・特別な検討を必要とするリスクとは判断されていないものの、固有リスクが相対的に高いと

評価されたリスクに対応する内部統制

・総勘定元帳と明細の調整に関する内部統制

・受託会社を利用している場合の、企業の相補的な内部統制

《ＩＴアプリケーション及び関連するその他のＩＴ環境、ＩＴの利用から生じるリスク並びにＩ

Ｔ全般統制の識別》（第 25 項(2)及び(3)参照）

付録５には、ＩＴアプリケーション及び関連するその他のＩＴ環境の特徴の例示並びにＩＴの

利用から生じるリスクの対象となるＩＴアプリケーション及び関連するその他のＩＴ環境の識

別における特徴に関する指針が含まれている。

《ＩＴアプリケーション及び関連するその他のＩＴ環境の識別》（第 25 項(2)参照）

《監査人が、識別されたＩＴアプリケーション及び関連するその他のＩＴ環境に関して、ＩＴの

利用から生じるリスク及びＩＴ全般統制を識別する理由》

A154．ＩＴの利用から生じるリスク及び当該リスクに対応するために企業が適用するＩＴ全般統制

の理解は、以下の事項に影響を及ぼす可能性がある。

・アサーション・レベルの重要な虚偽表示リスクに対応する内部統制の運用評価手続を実施す

るか否かについての監査人の判断

監基報 315

- 43 -

例

ＩＴの利用から生じるリスクに対応するためのＩＴ全般統制が、有効にデザインされて

いない又は適切に業務に適用されていない場合（例えば、内部統制がＩＴアプリケーション

に対し未承認のプログラム変更や未承認のアクセスを適切に防止又は発見しない場合）が

ある。この場合、当該ＩＴ全般統制の影響を受けるＩＴアプリケーションの自動化された情

報処理統制に依拠するという監査人の判断に影響を及ぼすことがある。

・監査人によるアサーション・レベルの統制リスクの評価

例

情報処理統制の継続的で有効な運用は、情報処理統制に対する未承認のプログラム変更

を防止又は発見するＩＴ全般統制（すなわち、関連するＩＴアプリケーションに対するプロ

グラム変更の内部統制）の有効性に依存する場合がある。この場合、想定されるＩＴ全般統

制の有効性（又はその欠如）が、監査人の統制リスクの評価に影響を及ぼすことがある。例

えば、ＩＴ全般統制が有効ではないと想定される場合又は監査人にＩＴ全般統制の運用評

価手続を実施する計画がない場合、情報処理統制の統制リスクの評価が高まることがある。

・ＩＴアプリケーションによって生成された企業が作成した情報に対する監査計画

例

監査証拠として利用する企業が作成した情報が企業のＩＴアプリケーションによって生

成されている場合、監査人は、システムが生成したレポートに対する内部統制を評価する場

合がある。この内部統制の評価には、不適切若しくは未承認のプログラム変更又はレポート

上でのデータの直接変更のリスクに対応するＩＴ全般統制の識別や評価を含む。

・監査人によるアサーション・レベルの固有リスクの評価

例

適用される財務報告の枠組みの新たな要求事項や改訂された要求事項に対応するため

に、ＩＴアプリケーションに重要な又は広範なプログラム変更が行われる場合がある。これ

は、新たな要求事項が複雑で、財務諸表に重要な影響を及ぼすことを示唆している。こうし

た大幅なプログラムやデータの変更が行われる場合、ＩＴアプリケーションがＩＴの利用

から生じるリスクの影響を受ける可能性が高い。

・リスク対応手続の立案

例

監査人は、情報処理統制がＩＴ全般統制に依存している場合、ＩＴ全般統制の運用評価手

続の実施を決定する場合がある。一方、同じ状況において、監査人がＩＴ全般統制の運用状

況の有効性を評価しない場合又はＩＴ全般統制が有効ではないと想定する場合には、ＩＴ

の利用から生じるリスクは実証手続の立案により対応することになる。しかしながら、当該

リスクが実証手続のみでは十分かつ適切な監査証拠を入手できないリスクに関連している

場合は、ＩＴの利用から生じるリスクに対応することができない。そのような場合、監査人

は、監査意見に及ぼす影響を判断することが必要となる場合がある。

監基報 315

- 44 -

《ＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションの識別》

A155．情報システムに関連するＩＴアプリケーションについて、特定のＩＴプロセス及びＩＴ全般

統制の内容と複雑性を理解することは、情報システムにおける情報のインテグリティ（すなわち、

取引及びその他の情報（データ）の網羅性、正確性、正当性）を適切に達成し維持するために企業

が依拠するＩＴアプリケーションを特定するのに役立つ。このようなＩＴアプリケーションは、

ＩＴの利用から生じるリスクの影響を受けやすい。

A156．ＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションを特定する際には、監査

人が識別した内部統制がＩＴの利用を伴うか又はＩＴに依拠する場合があるため、識別した内部

統制を考慮する。監査人は、識別した内部統制のうち、経営者が依拠している自動化された情報処

理統制に関連するＩＴアプリケーションに着目する。これには、実証手続のみでは十分かつ適切

な監査証拠を入手できないリスクに対応する内部統制が含まれる。

また、監査人は、重要な取引種類、勘定残高又は注記事項に関連する情報システムにおいて、情

報がどのように保存及び処理されるか、並びに経営者がその情報のインテグリティ（すなわち、取

引及びその他の情報（データ）の網羅性、正確性、正当性）を維持するためにＩＴ全般統制に依拠

しているか否かについても考慮する。

A157．識別した内部統制は、システムにより生成された情報に依拠する場合があり、その情報を生成

するＩＴアプリケーションはＩＴの利用から生じるリスクの影響を受けることがある。監査人は、

システムにより生成された情報に対する内部統制に依拠せず、その情報のインプットとアウトプ

ットを直接検証することを計画する場合もある。この場合、監査人は関連するＩＴアプリケーシ

ョンを、ＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションとして識別しない場

合がある。

《適用の柔軟性》

A158．ＩＴ全般統制をどの程度業務に適用しているかの理解を含め、ＩＴプロセスに対する監査人

の理解の範囲は、企業及びＩＴ環境の性質及び状況、並びに監査人が識別した内部統制の内容及

び範囲により異なる。ＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションの数も、

これらの要因により異なる。

例

・市販のソフトウェアを使用し、プログラム変更を行うためのソースコードへのアクセス

権を持たない企業は、ソフトウェアの環境設定（例えば、勘定科目体系、レポートのパラメ

ータや閾値の設定）を行うプロセスや手続を有していても、プログラム変更のプロセスは

有していないと考えられる。また、企業は、アプリケーションへのアクセス権を管理するプ

ロセス又は手続を有する場合もある（例えば、市販のソフトウェアへの管理者権限を有す

る個人を限定する。）。このような状況では、企業が正式なＩＴ全般統制を必要とする可能

性は低い。

・これに対して、大規模企業はＩＴへの依存度が高く、ＩＴ環境には複数のＩＴアプリケー

ションが含まれ、またＩＴ環境を管理するためのＩＴプロセスが複雑であり（例えば、プロ

監基報 315

- 45 -

グラムの変更管理及びアクセス権の管理のための専属のＩＴ部門が存在する。）、企業がＩ

Ｔプロセスに対する正式なＩＴ全般統制を業務に適用している。

・経営者が取引の処理やデータの維持について自動化された情報処理統制やＩＴ全般統制

を適用していない場合で、監査人が自動化された情報処理統制やその他の情報処理統制（又

はＩＴ全般統制に依拠する内部統制）を識別していない場合には、監査人は、企業がＩＴを

利用して生成した情報を直接検証することを計画し、ＩＴの利用から生じるリスクの影響

を受けるＩＴアプリケーションを識別しない場合がある。

・経営者がデータの処理及び維持にＩＴアプリケーションを利用しており、データの量に

重要性があって、自動化された情報処理統制の実行のために経営者がＩＴアプリケーショ

ンに依拠している場合には、ＩＴアプリケーションはＩＴの利用から生じるリスクの影響

を受ける可能性が高い。

A159．企業のＩＴ環境が複雑になるほど、ＩＴアプリケーション及び関連するその他のＩＴ環境の

識別、ＩＴの利用から生じるリスクの決定、並びにＩＴ全般統制の識別においてＩＴの専門的な

スキルを有するチームメンバーの関与の必要性が高まる。複雑なＩＴ環境については、このよう

な専門家の関与は不可欠であり、広範な関与が必要となる可能性が高い。

《ＩＴの利用から生じるリスクの影響を受けるその他のＩＴ環境の識別》

A160．ＩＴの利用から生じるリスクの影響を受ける可能性のあるその他のＩＴ環境には、ネットワ

ーク、オペレーティング・システム、データベースが含まれる。また、状況によってＩＴアプリケ

ーション間のインターフェースが含まれる場合もある。

ＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションを監査人が識別していない

場合は、通常、その他のＩＴ環境も識別されない。一方、その他のＩＴ環境は、ＩＴアプリケーシ

ョンを支援し、ＩＴアプリケーションと相互作用があるため、監査人が、ＩＴの利用から生じるリ

スクの影響を受けるＩＴアプリケーションを識別した場合は、関連するその他のＩＴ環境（例え

ば、データベース、オペレーティング・システム、ネットワーク）も、識別される可能性が高い。

《ＩＴの利用から生じるリスクとＩＴ全般統制の識別》（第 25 項(3)参照）

付録６は、ＩＴ全般統制を理解するための考慮事項を記載している。

A161．監査人は、ＩＴの利用から生じるリスクを識別する際に、識別されたＩＴアプリケーション又

はその他のＩＴ環境の内容及びこれらがＩＴの利用から生じるリスクの影響を受ける理由を考慮

することがある。監査人は、識別されたＩＴアプリケーション又はその他のＩＴ環境について、主

に、未承認のアクセス、未承認のプログラム変更、不適切なデータ変更に関連するリスクを識別す

ることがある（例えば、データベースへ直接アクセスすることによるか、情報を操作するツールを

用いることによりデータが不適切に変更されるリスク）。

A162．ＩＴの利用から生じるリスクの程度及び内容は、識別されたＩＴアプリケーション及び関連

するその他のＩＴ環境の内容及び特徴により異なる。企業がＩＴ環境の一部について外部又は内

部のサービスプロバイダを利用する場合（例えば、ＩＴ環境のホスティングを第三者に委託する

場合又はグループ内のＩＴプロセスの集中管理のためにシェアード・サービス・センターを利用

監基報 315

- 46 -

する場合）は、関連するＩＴリスクが生じる可能性がある。ＩＴの利用から生じるリスクは、サイ

バーセキュリティに関連して識別されることもある。自動化された情報処理統制の数又は複雑性

が増すほどＩＴの利用から生じるリスクが高まる可能性は大きくなり、取引の適切な処理又は取

引の基礎となる情報のインテグリティ（すなわち、情報（データ）の網羅性、正確性、正当性）の

適切な維持のために、経営者が関連する内部統制に依拠する程度が高いほど、ＩＴの利用から生

じるリスクも高まる可能性が大きくなる。

《統制活動において識別された内部統制のデザインの評価及び業務への適用の判断》（第 25 項(4)

参照）

A163．識別された内部統制のデザインの評価は、内部統制が単独で又は他の内部統制との組合せで、

重要な虚偽表示を有効に防止又は発見・是正できるかどうか（すなわち、内部統制の目的）を検討

することを含む。

A164．監査人は、内部統制が存在し、実際に企業が利用していることを確認することで、識別された

内部統制が業務に適用されているかどうかを判断する。デザインが有効でない内部統制について、

業務への適用を評価することは、監査上意義がないので、内部統制のデザインが最初に検討され

る。デザインが不適切な内部統制は、内部統制の不備となることがある。

A165．統制活動において識別された内部統制のデザインと業務への適用についての監査証拠を入手

するためのリスク評価手続には、以下の事項を含むことがある。

・企業の担当者への質問

・特定の内部統制の適用状況の観察

・文書や報告書の閲覧

質問のみでは、内部統制のデザインと業務への適用についてのリスク評価手続の目的には十

分ではない。

A166．過年度の監査や当期のリスク評価手続により、特別な検討を必要とするリスクに対応する内

部統制を経営者が有効にデザインしていない又は業務に適用していないと想定する場合がある。

このような場合には、第25項(4)の要求事項に対応するために実施する手続は、その内部統制が有

効にデザインされていない又は業務に適用されていないことを結論付けるための手続となる場合

がある。手続の結果、内部統制が新たにデザインされていたり、業務に適用されていることが判明

した場合、監査人は新たにデザイン又は業務に適用された内部統制に対して第25項(2)から(4)の

手続を実施する必要がある。

A167．有効にデザインされ業務に適用されている内部統制について、内部統制の運用状況の有効性

を考慮して実証手続を立案するために、その内部統制の運用評価手続を実施することが適切と結

論付ける場合がある。これに対して、内部統制が有効にデザインされていない又は業務に適用さ

れていない場合は、運用評価手続を実施しても意義がない。

内部統制の運用評価手続を実施する場合、その内部統制が重要な虚偽表示リスクに対応する程

度を認識することは、監査人のアサーション・レベルの統制リスクの評価において必要である。

A168．統制活動において識別された内部統制のデザインを評価し、業務への適用を判断することだ

けでは、運用評価手続としては十分ではない。しかしながら、自動化された内部統制の運用状況の

監基報 315

- 47 -

有効性の評価については、その運用評価手続を直接実施する代わりに、自動化された内部統制の

一貫した運用を支援するＩＴ全般統制を識別し運用評価手続を実施することを計画する場合があ

る。

手作業による内部統制が一定時点において業務に適用されているという監査証拠を入手したと

しても、監査対象期間の他の時点で内部統制が有効に運用されていたという監査証拠とはならな

い。

間接的な内部統制を含む、内部統制の運用評価手続については、監査基準報告書330に詳細に記

載されている（監基報330第７項から第10項参照）。

A169．識別された内部統制の運用評価手続を実施しない場合であっても、監査人のその内部統制に

対する理解は、重要な虚偽表示リスクに対応する実証手続の種類、時期及び範囲の立案に役立つ

ことがある。

例

このようなリスク評価手続の結果が、監査サンプリングを立案する際に、母集団において

起こり得る内部統制の逸脱を監査人が検討する上での基礎を提供する場合がある。

《(5) 企業の内部統制システムにおける内部統制の不備》（第 26 項参照）

A170．監査人は、企業の内部統制システムの各構成要素の評価を実施する際に（第20項(2)、第21項

(2)、第23項(3)、第24項(3)及び第25項(4)参照）、ある構成要素における企業の特定の方針が企業

の性質及び状況にとって適切ではないと判断することがある。このような判断は、監査人が内部

統制の不備を識別するのに役立つ兆候となり得る。監査人は、内部統制の不備を識別した場合、そ

の不備が監査基準報告書330に従ったリスク対応手続の立案に与える影響を検討する。

A171．監査人が内部統制の不備を識別した場合、監査基準報告書265「内部統制の不備に関するコミ

ュニケーション」は、内部統制の不備が、単独で又は複数組み合わさって重要な不備となるかどう

かの判断を要求している（監基報265第７項参照）。不備が内部統制の重要な不備となるかどうか

の判断は、職業的専門家としての判断事項である（監基報265のA6項及びA8項参照）。

例

内部統制の重要な不備の存在を示唆する状況には、以下の事項が含まれる。

・重要かどうかを問わず、上級経営者が関与する不正が識別されたこと。

・内部監査において指摘された不備の報告と伝達に関連する不適切な内部プロセスが識別

されたこと。

・経営者が、過去に伝達された不備を適時に是正していないこと。

・経営者が、特別な検討を必要とするリスクに対応していないこと。例えば、特別な検討を

必要とするリスクに対する内部統制を業務に適用していないこと。

・過去に公表した財務諸表の修正再表示又は訂正報告書の提出

《４．重要な虚偽表示リスクの識別と評価》（第 27 項から第 36 項参照）

《(1) 監査人が重要な虚偽表示リスクを識別し評価する理由》

A172．監査人は、十分かつ適切な監査証拠を入手するために必要なリスク対応手続の種類、時期及び

監基報 315

- 48 -

範囲を決定するため、重要な虚偽表示リスクを識別し評価する。十分かつ適切な監査証拠によって、

監査人は、監査リスクを許容可能な低い水準に抑えた上で、財務諸表に対する意見を表明できる。

A173．リスク評価手続を実施して入手した情報は、重要な虚偽表示リスクの識別と評価の基礎とな

る監査証拠として使用される。例えば、統制活動において識別した内部統制のデザインを評価し、

当該内部統制が業務に適用されているかどうかを判断する際に入手した監査証拠は、リスク評価

を裏付ける監査証拠として使用される。リスク評価手続を実施して入手した監査証拠は、監査人

が監査基準報告書 330 に従って、評価した財務諸表全体レベルの重要な虚偽表示リスクに応じて、

全般的な対応を立案し、また、評価したアサーション・レベルの重要な虚偽表示リスクに応じて、

実施するリスク対応手続の種類、時期及び範囲を立案し実施するための基礎にもなる。

《(2) 重要な虚偽表示リスクの識別》（第 27 項参照）

A174．重要な虚偽表示リスクの識別は、関連する内部統制を考慮する前に実施され（すなわち

、

固有

リスク）、発生する可能性と発生した場合に重要となる可能性が合理的にあり得る虚偽表示に関す

る監査人の予備的な検討に基づいている（監基報200のA15-2項参照）。

A175．重要な虚偽表示リスクを識別することは、監査人が関連するアサーションを決定するための

基礎も提供し、監査人が重要な取引種類、勘定残高又は注記事項を決定する際に役立つ。

《(3) アサーション》

《① 監査人がアサーションを利用する理由》

A176．監査人は、重要な虚偽表示リスクを識別し評価する際に、発生する可能性のある虚偽表示の種

類を検討するためにアサーションを利用する。監査人が重要な虚偽表示リスクを識別したアサー

ションは、関連するアサーションとなる。

《② アサーションの利用》

A177．監査人は、重要な虚偽表示リスクを識別し評価する際に、A178項(1)及び(2)のアサーションの

区分をそのまま利用することもあれば、同項の全てを検討した上で、同項と異なる組合せや表現

を利用することもある。例えば、監査人は、ある局面においては、(1)取引種類と会計事象及び関

連する注記事項に係るアサーションと(2)期末の勘定残高及び関連する注記事項に係るアサーシ

ョンを組み合わせて、一つのアサーションとして設定することがある。

A178．発生する可能性のある虚偽表示を考慮する際に監査人が利用するアサーションは、以下の区

分に分類されることがある。

(1) 監査対象期間の取引種類と会計事象及び関連する注記事項に係るアサーション

① 発生

記録又は注記された取引や会計事象が発生し、当該取引や会計事象が企業に関係している

こと。

② 網羅性

記録すべき取引や会計事象が全て記録されていること、及び財務諸表に含まれるべき注記

事項が全て含まれていること。

監基報 315

- 49 -

③ 正確性

記録された取引や会計事象に関する金額や他のデータが正確に記録されていること、及び

関連する注記事項に含まれる金額の測定及び記述が適切であること。

④ 期間帰属

取引や会計事象が正しい会計期間に記録されていること。

⑤ 分類の妥当性

取引や会計事象が適切な勘定科目に記録されていること。

⑥ 表示及び注記

取引及び会計事象が適切に集計又は細分化され、明瞭に記述されていること、並びに適用さ

れる財務報告の枠組みに照らして、関連する注記事項が目的適合性を有し、理解しやすいこと。

(2) 期末の勘定残高及び関連する注記事項に係るアサーション

① 実在性

資産、負債及び純資産が実際に存在すること。

② 権利と義務

企業は資産の権利を保有又は支配していること。また、負債は企業の義務であること。

③ 網羅性

記録すべき資産、負債及び純資産が全て記録されていること、並びに財務諸表に含まれるべ

き注記事項が全て含まれていること。

④ 正確性、評価と期間配分

資産、負債及び純資産が適切な金額で財務諸表に計上され、評価の結果又は期間配分調整が

適切に記録されていること、並びに関連する注記事項に含まれる金額の測定及び記述が適切

であること。

⑤ 分類の妥当性

資産、負債及び純資産が適切な勘定科目に記録されていること。

⑥ 表示及び注記

資産、負債及び純資産が適切に集計又は細分化され、明瞭に記述されていること、並びに適用

される財務報告の枠組みに照らして、関連する注記事項が目的適合性を有し、理解しやすいこと。

A179．A178項(1)及び(2)に記載されているアサーションは、状況に応じて、取引種類、会計事象又は

勘定残高に直接関連しない注記事項において発生する可能性のある様々な種類の潜在的な虚偽表

示を考慮する際に利用されることがある。

例

これらの注記事項には、例えば、金融商品から生じるリスクについて、リスクに対するエク

スポージャー及び当該リスクがどのように生じるのか、リスク管理の目的、方針及び手続、並

びにリスクを測定するために用いている方法等に関して、適用される財務報告の枠組みによ

り要求される注記事項が含まれる。

監基報 315

- 50 -

《(4) 財務諸表全体レベルの重要な虚偽表示リスク》（第 27 項(1)及び第 29 項参照）

《① 監査人が財務諸表全体レベルの重要な虚偽表示リスクを識別し評価する理由》

A180．監査人は、重要な虚偽表示リスクが財務諸表に広範な影響を及ぼすことで、監査基準報告書

330 に従った全般的な対応（監基報 330 第４項参照）が必要となるかどうかを判断するために、財

務諸表全体レベルの重要な虚偽表示リスクを識別する。

A181．財務諸表全体レベルの重要な虚偽表示リスクは、個々のアサーションにも影響を与えること

があり、当該リスクを識別することは、監査人がアサーション・レベルの重要な虚偽表示リスクを

評価し、リスク対応手続を立案する際にも役立つことがある。

《② 財務諸表全体レベルの重要な虚偽表示リスクの識別と評価》

A182．財務諸表全体レベルの重要な虚偽表示リスクは、財務諸表全体に広く関わりがあり、アサーシ

ョンの多くに潜在的に影響を及ぼす。当該リスクは、アサーション・レベル、すなわち、取引種類、

勘定残高及び注記事項における特定のアサーションと必ずしも結び付けられるものではない。む

しろ、経営者による内部統制の無効化リスクのように、アサーション・レベルにおける重要な虚偽

表示リスクを広範に高めることがある状況を意味する。

識別したリスクが財務諸表全体に広く関わりがあるかどうかに関する監査人の評価は、財務諸

表全体レベルの重要な虚偽表示リスクの評価に役立つ。また、財務諸表全体レベルの重要な虚偽

表示リスクが潜在的に多くのアサーションに影響を及ぼす場合には、監査人によるアサーション・

レベルの重要な虚偽表示リスクの識別と評価に影響を及ぼすことがある。

例

企業が、営業損失や流動性の問題に直面しており、実行が不確かな資金調達に依存している

状況においては、監査人は継続企業を前提とした会計処理が財務諸表全体レベルの重要な虚

偽表示リスクを生じさせると判断することがある。この場合、継続企業を前提としない会計処

理が必要となることがあり、このことが全てのアサーションに広く影響を及ぼすことがある。

A183．監査人による財務諸表全体レベルの重要な虚偽表示リスクの識別と評価は、内部統制システ

ム、特に統制環境、企業のリスク評価プロセス及び内部統制システムを監視する企業のプロセス

の理解並びに以下の事項の影響を受ける。

・第 20 項(2)、第 21 項(2)、第 23 項(3)及び第 24 項(3)において要求される事項に関連する評

価の結果

・第 26 項に従って識別された内部統制の不備

特に、財務諸表全体レベルのリスクは、統制環境の不備又は経済状況の悪化などの外部の事象

や状況から生じることがある。

A184．不正による重要な虚偽表示リスクは、財務諸表全体レベルの重要な虚偽表示リスクに関する

監査人の検討に特に関連することがある。

例

運転資金を確保するための融資先との追加借入協議に企業の財務諸表が使用されること

を、経営者に対する質問により理解している。この場合、監査人は、固有リスクに影響を及ぼ

監基報 315

- 51 -

す不正リスク要因が、虚偽表示の発生可能性を高めていると判断することがある（すなわち、

資金調達が確実に行われるように、資産及び収益の過大計上や負債及び費用の過小計上等の

不正な財務報告のリスクが高まる。）。

A185．統制環境及び内部統制システムのその他の構成要素の理解や評価の結果、監査意見の基礎と

なる監査証拠の入手可能性に疑義が生じることや、適用される法令の下で可能であれば契約の解

除を判断することがある。

例

・企業の統制環境を評価した結果、経営者の不正な財務報告のリスクにより監査を実施で

きないと監査人が結論付けるほどの、経営者の誠実性について深刻な懸念を抱くことがあ

る。

・企業の情報システムと伝達を評価した結果、ＩＴ環境の重大な変化について経営者及び

取締役会又は監査役等による監視がほとんど行われておらず、その管理が不十分であった

と監査人が判断し、企業の会計記録の状態や信頼性に重大な懸念があると結論付ける。そ

のような状況では、監査人は、財務諸表に対する無限定適正意見の基礎となる十分かつ適

切な監査証拠を入手できないと判断することがある。

A186．監査基準報告書705「独立監査人の監査報告書における除外事項付意見」には、監査人が限定

意見を表明すること又は意見を表明しないことが必要かどうかを判断する際の、また、適用され

る法令の下で可能であれば、契約の解除を判断する際の要求事項と適用指針が記載されている。

《(5) アサーション・レベルの重要な虚偽表示リスク》（第 27 項(2)参照）

付録２は、重要な虚偽表示を生じさせる可能性を示唆する事象や状況の例を、固有リスク要

因の観点から記載したものである。

A187．財務諸表に広く関わりがない重要な虚偽表示リスクは、アサーション・レベルの重要な虚偽表

示リスクである。

《① 関連するアサーション並びに重要な取引種類、勘定残高又は注記事項》（第 28 項参照）

《ア．関連するアサーション並びに重要な取引種類、勘定残高又は注記事項を決定する理由》

A188．第24項(1)に従って監査人が理解すべき企業の情報システムの範囲は、関連するアサーション

並びに重要な取引種類、勘定残高又は注記事項の決定に基づく。また、当該理解は、重要な虚偽表

示リスクを識別し評価する際に役立つことがある。

《イ．自動化されたツール及び技法》

A189．監査人は、重要な取引種類、勘定残高又は注記事項を識別するために、自動化されたツールと

技法を利用する場合がある。

例

・取引の性質、情報源、金額及び量を理解するために、自動化されたツールや技法を利用

して取引の母集団全体を分析することがある。例えば、監査人は、自動化されたツールと

監基報 315

- 52 -

技法を利用することにより、期末においては残高がゼロとなる勘定が、期中では多くの相

殺取引と仕訳で構成されており、当該勘定残高又は取引種類が重要であると識別するこ

とがある（例えば、給与決済勘定）。また、この給与決済勘定が、経営者（及びその他の

従業員）に対する他の目的での支払いにも使用されている場合には、当該支払いが関連当

事者取引として重要な注記事項となる可能性がある。

・監査人は、収益に関する取引の母集団全体の流れを分析することにより、以前には識別

されていなかった重要な取引種類をより容易に識別できることがある。

《ウ．重要な注記事項となり得る注記事項》

A190．重要な注記事項には、関連するアサーションが存在する定量的及び定性的な注記事項の双方

が含まれる。関連するアサーションが存在するため、監査人が重要な注記事項であると考える定

性的な注記事項は、例えば、以下の事項がある。

・財政状態の悪化時における、企業の流動性や借入に係る財務制限条項

・減損損失を認識することとなった事象又は状況

・見積りの不確実性の主な原因（将来事象に関する仮定を含む。）

・適用される財務報告の枠組みにより注記が要求される会計方針の変更の内容及び他の関連す

る注記事項（例えば、未適用の新しい財務報告の基準が企業の財政状態や経営成績に重要な影

響を及ぼすことが予想される場合）

・株式に基づく報酬契約（費用として認識した金額等の算定方法に関する情報や関連する他の

注記事項を含む。）

・関連当事者及び関連当事者取引

・会計上の見積りに関連する感応度分析（計上又は注記された金額の測定の不確実性を利用者

が理解するために記載された、企業の評価技法に使用されている仮定の変更の影響に関する注

記事項を含む。）

《② アサーション・レベルの重要な虚偽表示リスクの評価》

《ア．固有リスクの評価》（第 30 項から第 32 項参照）

《虚偽表示の発生可能性と影響の度合いの評価》（第 30 項参照）

《監査人が虚偽表示の発生可能性と影響の度合いを評価する理由》

A191．固有リスクは、虚偽表示の発生可能性と虚偽表示が生じた場合の影響の度合いの組合せの重

要度に応じて評価され、当該評価はリスク対応手続の立案に役立つため、監査人は、重要な虚偽表

示リスクの発生可能性と影響の度合いを評価する。

A192．識別した重要な虚偽表示リスクにおける固有リスクを評価することは、監査人が特別な検討

を必要とするリスクを決定する際にも役立つ。なお、監査基準報告書330及びその他の監査基準報

告書において、特別な検討を必要とするリスクへの個別の対応が要求されている。

A193．固有リスク要因は、識別したアサーション・レベルの重要な虚偽表示リスクについて、虚偽表

示の発生可能性と影響の度合いに関する監査人の評価に影響を及ぼす。取引種類、勘定残高又は

注記事項の重要な虚偽表示の生じやすさの程度が高いほど、固有リスクの評価は高くなる傾向が

監基報 315

- 53 -

ある。固有リスク要因がアサーションの虚偽表示の生じやすさに影響を及ぼす程度を考慮するこ

とは、監査人がアサーション・レベルの重要な虚偽表示リスクにおける固有リスクを適切に評価

し、当該リスクに対してより的確な対応手続を立案するのに役立つ。

A194．監査人は、固有リスクの評価において、虚偽表示の発生可能性と影響の度合いの組合せの重要

度を職業的専門家としての判断に基づいて決定する。

A195．特定のアサーション・レベルの重要な虚偽表示リスクに関連する固有リスクが、低リスクから

高リスクの間のいずれに該当するかは判断による。この固有リスクの評価の判断は、企業の事業

活動、規模及び複雑性に応じて異なり、また、虚偽表示の発生可能性と影響の度合いの評価及び固

有リスク要因が考慮される。

A196．監査人は、虚偽表示の発生可能性を検討する際に、固有リスク要因を考慮する。

A197．監査人は、虚偽表示の影響の度合いを検討する際に、起こり得る虚偽表示の定性的及び定量的

な側面を考慮する（すなわち、取引種類、勘定残高又は注記事項に関するアサーションにおける虚

偽表示を、規模、内容又は状況と照らし重要であると判断することがある。）。

A198．監査人は、起こり得る虚偽表示の発生可能性と影響の度合いの組合せの重要度により、固有リ

スクの評価を決定する。虚偽表示の発生可能性と影響の度合いの組合せの重要度が高いほど固有

リスクの評価は高くなり、低いほど固有リスクの評価は低くなる。

A199．固有リスクの程度は、発生可能性と影響の度合いの組合せに基づく。発生可能性と影響の度合

いの両方が高いと評価された場合にのみ固有リスクが高いと評価されるわけではない。発生可能

性と影響の度合いの組合せは様々であり、例えば、虚偽表示の発生可能性は低くても、影響の度合

いが非常に大きいと想定される場合には、固有リスクは高いと評価されることがある。

A200．重要な虚偽表示リスクに対応する方針を適切に策定するために、重要な虚偽表示リスクにお

ける固有リスクの評価に基づき、重要な虚偽表示リスクを分類することがある。この分類方法は

様々であるが、識別したアサーション・レベルの重要な虚偽表示リスクに対するリスク対応手続

の立案と実施が、固有リスクの評価とその評価理由に適切に対応していることが重要である。

《財務諸表全体レベルの重要な虚偽表示リスクがアサーション・レベルの重要な虚偽表示リスク

に及ぼす影響》（第 30 項(2)参照）

A201．監査人は、識別したアサーション・レベルの重要な虚偽表示リスクの評価において、複数の重

要な虚偽表示リスクが財務諸表全体により広く関連し、多くのアサーションに潜在的に影響を及

ぼすと結論付けることがある。この場合、監査人は、財務諸表全体レベルの重要な虚偽表示リスク

を新たに識別することがある。

A202．重要な虚偽表示リスクが多くのアサーションに広く影響を及ぼすことで財務諸表全体レベル

のリスクとして識別され、また特定のアサーションと関連付けられる状況においては、監査人は

アサーション・レベルの重要な虚偽表示リスクにおける固有リスクを評価する際に、当該財務諸

表全体レベルのリスクを考慮することが求められる。

監基報 315

- 54 -

《特別な検討を必要とするリスク》（第 31 項参照）

《特別な検討を必要とするリスクを決定する理由及び監査への影響》

A203．監査人は、特別な検討を必要とするリスクを決定することで、固有リスクが最も高い領域に存

在すると評価したリスクにより重点を置くことができ、以下の事項を含む要求された特定の対応

を実施することができる。

・第 25 項(1)①では、特別な検討を必要とするリスクに対応する内部統制を識別し、第 25 項(4)

では、当該内部統制が効果的にデザインされ、業務に適用されているかどうかを評価すること

を要求している。

・監査基準報告書 330 は、特別な検討を必要とするリスクに対応する内部統制の運用評価手続

は、当年度の監査において実施すること（監査人が当該内部統制の運用状況の有効性に依拠す

る場合）、及び識別した特別な検討を必要とするリスクに個別に対応する実証手続を計画し実施

することを要求している（監基報 330 第 14 項及び第 20 項参照）。

・監査基準報告書 330 は、評価した重要な虚偽表示リスクの程度が高いほど、より確かな心証

が得られる監査証拠を入手することを要求している（監基報 330、第６項(2)参照）

・監査基準報告書 260 は、監査人が識別した特別な検討を必要とするリスクについて監査役等

とのコミュニケーションを要求している（監基報 260 第 15 項参照）。

・監査基準報告書 701「独立監査人の監査報告書における監査上の主要な検討事項の報告」は、

監査上の主要な検討事項となる可能性のある、監査人が特に注意を払った事項を決定する際に

は、特別な検討を必要とするリスクを考慮することを要求している（監基報 701 第８項参照）。

・監査責任者が、監査の実施中の適切な段階で適時に監査調書を査閲することによって、監査報

告書日以前に、特別な検討を必要とするリスクを含む重要な事項を監査責任者が納得した上で

適時に解決することが可能となる（監基報 220 第 32 項及び A87 項から A89 項参照）。

・監査基準報告書 600 は、グループ財務諸表における重要な虚偽表示リスクが高いと評価され

た領域又は特別な検討を必要とするリスクについて、実施するリスク対応手続を構成単位の監

査人が決定している場合、グループ監査人がそのリスク対応手続の立案及び実施の適切性を評

価することを要求している（監基報 600 第 42 項参照）。

《特別な検討を必要とするリスクの決定》

A204．監査人は、特別な検討を必要とするリスクを決定する際に、まず固有リスクが高いと評価した

重要な虚偽表示リスクを特定し、どのリスクが最も高い領域に近いリスクであるかを検討するた

めの基礎とすることがある。リスクが最も高い領域に近いかどうかは企業によって異なり、また、

企業にとって必ずしも毎期同じではなく、リスクを評価した企業の事業内容と状況によって異なる。

A205．評価した重要な虚偽表示リスクのうち、どのリスクが最も高い領域に存在し特別な検討を必

要とするリスクとなるかの決定は、職業的専門家としての判断による（当該リスクが、他の監査基

準報告書で要求される事項に従って、特別な検討を必要とするリスクとして取り扱うこととされ

た重要な虚偽表示リスクである場合を除く。）。監査基準報告書240は、不正による重要な虚偽表示

リスクの識別と評価に関して詳細な要求事項と適用指針を記載している（監基報240第24項から第

26項参照）。

監基報 315

- 55 -

例

・小売業者であるスーパーマーケットの現金は、流用されるリスクにより、起こり得る虚偽

表示の発生可能性が高いと通常判断されるが、その影響の度合いは、店舗で扱われる現金の

量が少ないため一般的に極めて低い。発生可能性と影響の度合いの組合せを考慮すると、現

金の実在性が特別な検討を必要とするリスクとなる可能性は低い。

・企業が、ある事業セグメントの売却の交渉を行っている場合、監査人は、のれんの減損に

及ぼす影響を検討し、主観性、不確実性、経営者の偏向の生じやすさ又はその他の不正リス

ク要因といった固有リスク要因の影響により、起こり得る虚偽表示の発生可能性と影響の

度合いが高いと判断することがある。この場合、のれんの減損が特別な検討を必要とするリ

スクと判断されることがある。

A206．監査人は、固有リスクを評価する際に、固有リスク要因が及ぼす影響も考慮する。固有リスク

要因の影響が低いほど、固有リスクは低く評価されることが多い。固有リスクが高く、特別な検討

を必要とするリスクであると判断することがある重要な虚偽表示リスクは、以下の事項から生じ

ることがある。

・複数の会計処理が認められる取引で、その選択に主観性が伴う取引

・不確実性が高い又は複雑なモデルの会計上の見積り

・勘定残高を記録するためのデータ収集と処理の複雑性

・複雑な計算を伴う勘定残高や定量的な注記事項

・異なる解釈をもたらす可能性がある会計基準

・会計処理の変更を伴う企業の事業の変化（例えば、企業結合）

《実証手続のみでは十分かつ適切な監査証拠を入手できないリスク》（第 32 項参照）

《実証手続のみでは十分かつ適切な監査証拠を入手できないリスクを識別する理由》

A207．重要な虚偽表示リスクの性質及び当該リスクに対応する統制活動の内容によっては、内部統

制の運用評価手続を実施しなければ十分かつ適切な監査証拠を入手できない場合がある。そのた

め、アサーション・レベルの重要な虚偽表示リスクに対応するための監査基準報告書330に従った

リスク対応手続を立案し、実施するためには、実証手続のみでは十分かつ適切な監査証拠を入手

できないリスクを識別することが必要となる。

A208．監査人は、監査基準報告書330に従って、実証手続のみでは十分かつ適切な監査証拠を入手で

きないリスクに対応する内部統制の運用評価手続を立案し実施することが要求されるため（監基

報330第７項参照）、第25項(1)③は、当該リスクに対応する内部統制を識別することを要求してい

る。

《実証手続のみでは十分かつ適切な監査証拠を入手できないリスクの決定》

A209．定型的な取引が、ほとんど又は全く手作業を介在させずに高度に自動処理されている場合に

は、実証手続のみを実施することで関連するリスクに対応することが不可能なことがある。また、

ＩＴアプリケーションを高度に統合した情報システムのように、企業の膨大な情報が、電子的な

方法によってのみ開始、記録、処理、報告されるような状況において、監査人は実証手続のみを実

監基報 315

- 56 -

施することでは関連するリスクに対応することができないと考えることがある。これらの状況で

は、利用可能な監査証拠は電子媒体のみでしか存在しないことがあり、その十分性と適切性は、一

般に、正確性と網羅性に対する内部統制の有効性に依存している。また、適切な内部統制が有効に

運用されていない場合には、情報の不適切な開始又は変換が発生しても発見されない可能性が増

大することがある。

例

携帯電話事業を営む企業の収益については、音声通話やデータ通信が観察可能な形の証拠

で存在しないため、一般に、実証手続のみでは十分かつ適切な監査証拠を入手することはでき

ない。代わりに、音声通話の開始と終了やデータ通信量が正確に把握され（例えば、通話時間

やダウンロードの量）、当該企業の請求システムに正確に記録されていると判断するために、

通常、内部統制の運用評価手続を十分に実施する。

A210．監査基準報告書 540 は、会計上の見積りについて、実証手続のみでは十分かつ適切な監査証

拠を入手できないリスクに関するより詳細な指針を提供している（監基報 540 の A87 項から A89

項参照）。会計上の見積りに関連し、自動処理だけでなく、複雑なモデルが使用される場合には、

実証手続のみでは十分かつ適切な監査証拠を入手できないことがある。

《イ．統制リスクの評価》（第 33 項参照）

A211．監査人が内部統制の運用状況の有効性を評価する場合は、内部統制が有効に運用されている

ことを想定しており、当該想定は統制リスクの評価の基礎となる。内部統制の運用状況の有効性

に関する想定は、統制活動において識別された内部統制のデザインの評価と業務への適用の判断

に基づいている。

監査人は、監査基準報告書330に従って内部統制の運用評価手続を実施することで、内部統制の

運用状況の有効性に関する想定を裏付けることができる。内部統制が想定と異なり有効に運用さ

れていない場合、監査人は第36項に従って統制リスクの評価を修正することになる。

A212．監査人による統制リスクの評価は、監査の手法に応じて様々な方法で実施され、また様々な方

法で表現されることがある。

A213．監査人が内部統制の運用評価手続を実施する場合、内部統制が有効に運用されているという

監査人の想定を裏付けるために、内部統制の組合せの評価が必要となることがある。監査人は、直

接的な内部統制と間接的な内部統制（ＩＴ全般統制を含む。）の両方を評価する場合、内部統制を

組み合わせた効果を考慮して統制リスクを評価する。運用評価手続の対象となる内部統制が、評

価した固有リスクに十分に対応していない場合、監査リスクを許容可能な低い水準に抑えるため、

その影響を判断しリスク対応手続を立案する。

A214．監査人は、自動化された情報処理統制の運用評価手続を実施する場合、ＩＴの利用から生じる

リスクに対応し、自動化された情報処理統制が監査対象期間を通じて有効に運用されているとい

う基礎を得るために、当該自動化された情報処理統制の継続的な運用を支援するＩＴ全般統制の

運用評価手続も実施することがある。関連するＩＴ全般統制が有効ではないと想定される場合は、

アサーション・レベルの統制リスクの評価に影響を及ぼすことがあり、監査人はＩＴの利用から

生じるリスクに対応するための実証手続をリスク対応手続に含めることが必要となる場合がある。

監基報 315

- 57 -

監査基準報告書330は、こうした状況において監査人が実施する手続に関してより詳細な指針を提

供している（監基報330のA28項及びA29項参照）。

《(6) リスク評価手続から得られた監査証拠の評価》（第 34 項参照）

《① 監査人がリスク評価手続から得られた監査証拠を評価する理由》

A215．リスク評価手続の実施から得られた監査証拠は、重要な虚偽表示リスクを識別し評価するた

めの基礎を提供する。これにより、監査人は、監査基準報告書330に従って、評価したアサーショ

ン・レベルの重要な虚偽表示リスクに応じたリスク対応手続の種類、時期及び範囲を立案するこ

ととなる。

リスク評価手続から得られた監査証拠は、不正か誤謬かを問わず、財務諸表全体レベルの重要

な虚偽表示リスクとアサーション・レベルの重要な虚偽表示リスクを識別し評価するための基礎

となる。

《② 監査証拠の評価》

A216．リスク評価手続から得られる監査証拠は、経営者のアサーションを裏付ける情報と矛盾する

情報の両方から構成される（監基報500のA1項参照）。

《③ 職業的懐疑心》

A217．監査人は、リスク評価手続から得られた監査証拠を評価する際に、企業及び企業環境、適用さ

れる財務報告の枠組み並びに企業の内部統制システムに関して、重要な虚偽表示リスクを識別で

きるほど十分に理解したかどうか、また重要な虚偽表示リスクを示唆する矛盾する証拠が存在す

るかどうかを考慮する。

《(7) 関連するアサーションを識別していない（重要な虚偽表示リスクを識別していない）が重要

性のある取引種類、勘定残高又は注記事項》（第 35 項参照）

A218．監査基準報告書320で説明されているように、取引種類、勘定残高及び注記事項における重要

な虚偽表示リスクを識別し評価する際には、重要性及び監査リスクを考慮する（監基報320のA1項

参照）。監査人による重要性の決定は、職業的専門家としての判断事項であり、財務諸表の利用者

が有する財務情報に対するニーズについての監査人の認識によって影響を受ける（監基報320第４

項参照）。

本報告書及び監査基準報告書330の第17項の目的において、重要性のある取引種類、勘定残高又

は注記事項とは、これらに関する情報を省略したり、誤った表示をしたり、又は不明瞭に記載する

ことで、当該財務諸表の利用者の経済的意思決定に影響を与えると合理的に見込まれる場合をいう。

A219．「重要な取引種類、勘定残高又は注記事項」ではないが、「関連するアサーションは識別してい

ないが重要性のある取引種類、勘定残高又は注記事項」となる場合がある。

例

企業は、監査人が重要な虚偽表示リスクを識別していない役員報酬について開示すること

監基報 315

- 58 -

があるが、監査人は、A218 項の考慮事項に基づいて、この注記を重要性のある注記と判断す

ることがある。

A220．関連するアサーションを識別していないが重要性のある取引種類、勘定残高又は注記事項に

対応するための監査手続は、監査基準報告書330の第17項に記載されている。本報告書第28項の要

求事項に従って決定した重要な取引種類、勘定残高又は注記事項は、監査基準報告書330第17項の

目的においては重要性のある取引種類、勘定残高又は注記事項でもあるため、実証手続を実施する。

《(8) リスク評価の修正》（第 36 項参照）

A221．監査人は、監査期間中に、当初のリスク評価の基礎となった情報と大きく異なる新しい又はそ

の他の情報に気付くことがある。

例

監査人は、企業のリスク評価において、内部統制が有効に運用されていると想定していた

にもかかわらず、運用評価手続の実施により、監査期間中の内部統制が有効に運用されてい

ないという監査証拠を入手することがある。同様に、実証手続を実施した結果、監査人は、そ

のリスク評価時に想定したよりも大きな金額又は多数の虚偽表示を発見する場合もある。こ

うした状況においては、当初のリスク評価結果は企業の実態を適切に反映しておらず、立案

したリスク対応手続では重要な虚偽表示を発見するのに有効ではない可能性がある。なお、

監査基準報告書 330 第 15 項及び第 16 項は、内部統制の運用評価手続に関するより詳細な指

針を提供している。

《５．監査調書》（第 37 項参照）

A222．継続監査においては、特定の監査調書は、翌期へ繰り越され、企業の事業やプロセスの変化を

反映するため必要に応じて更新される場合がある。

A223．監査人の職業的専門家としての懐疑心を文書化する方法は一つではないが、監査調書が、監査

人が職業的専門家としての懐疑心を行使したという証拠を提供することがあると監査基準報告書

230は記載している（監基報230のA7項参照）。例えば、リスク評価手続から得られた監査証拠に、

アサーションを裏付ける証拠と矛盾する証拠が含まれている場合には、監査人がどのように当該

監査証拠を評価したのかを監査調書に含める（監査証拠が、監査人による重要な虚偽表示リスク

の識別と評価のための適切な基礎を提供しているかどうかを評価する際に行われた、職業的専門

家としての判断を含む。）。本報告書の他の要求事項において、監査人が職業的専門家としての懐

疑心を保持したという証拠を監査調書が提供することがある事項には、例えば、以下が含まれる。

・第 12 項は、リスクの存在の裏付けとなるであろう監査証拠を入手する方向に偏らないように、

又は矛盾するであろう監査証拠を除外する方向に偏らないよう、リスク評価手続を立案し実施

することを監査人に要求している。

・第 16 項は、適用される財務報告の枠組みの適用状況及び財務諸表に重要な虚偽表示が行われ

る可能性について、監査責任者と監査チームの主要メンバーによる討議を要求している。

・第 18 項(2)及び第 19 項は、企業の会計方針の変更がある場合にはその理由を理解すること、

並びに企業の会計方針が適切であるか及び適用される財務報告の枠組みに従っているかを評価

監基報 315

- 59 -

することを監査人に要求している。

・第 20 項(2)、第 21 項(2)、第 22 項(2)、第 23 項(3)、第 24 項(3)、第 25 項(4)及び第 26 項は、

監査人が得た理解に基づいて、企業の内部統制システムの構成要素が、企業の事業内容と複雑

性を考慮した場合、企業の状況に対して適切かどうかを評価すること、及び内部統制の不備が

識別されたかどうかを判断することを要求している。

・第 34 項は、経営者のアサーションに対し裏付けとなるか矛盾するかを問わず、リスク評価手

続から得た全ての監査証拠を考慮に入れること、並びにリスク評価手続から得られた監査証拠

が、重要な虚偽表示リスクの識別及び評価のための適切な基礎を提供しているかどうかを評価

することを要求している。

・第 35 項は、関連するアサーションを識別していないが重要性のある取引種類、勘定残高又は

注記事項に重要な虚偽表示リスクがないとした監査人の評価が、引き続き適切であるかどうか

を評価することを要求している。

《適用の柔軟性》

A224．第37項で要求される事項を監査調書に記載する方法は、監査人が職業的専門家としての判断

に基づき決定する。

A225．重要な判断を裏付けるためには、経験豊富な監査人が、以前に当該監査に関与していなくと

も、実施した監査手続の種類、時期及び範囲を理解できるように、より詳細な監査調書の記載が必

要となることがある。

A226．複雑でない企業の監査における監査調書は、様式と範囲が単純で、かつ比較的簡潔なものとな

る場合がある。監査調書の様式と範囲は、企業とその内部統制システムの性質、規模及び複雑性、

並びに企業から入手可能な情報及び監査の過程で使用される監査の手法と技法によって異なる。

企業や企業に関連する事項について、監査人が理解した全ての事項を監査調書に記載する必要は

ない。監査人が理解した事項のうち監査調書に記載する主なものとしては、監査人が重要な虚偽

表示リスクを評価するための基礎とした事項などがある（監基報230第７項参照）。ただし、監査人

は、アサーション・レベルの重要な虚偽表示リスクを識別し評価する際に考慮した全ての固有リ

スク要因を、監査調書に記載することを要求されているわけではない。

例

複雑でない企業の監査の場合は、監査の基本的な方針と詳細な監査計画の監査調書を一体

として文書化することがある（監査基準報告書 300「監査計画」第６項、第８項及び A11 項参

照）。同様に、例えば、リスク評価の結果は、別個の監査調書に文書化することもあれば、リ

スク対応手続の監査調書の一部として文書化することもある（監基報 330 第 27 項参照）。

《Ⅳ 適用》

・本報告書（2011 年 12 月 22 日）は、2012 年４月１日以後開始する事業年度に係る監査及び同

日以後開始する中間会計期間に係る中間監査から適用する。

・本報告書（2015 年５月 29 日）は、2015 年４月１日以後開始する事業年度に係る監査及び同

日以後開始する中間会計期間に係る中間監査から適用する。

監基報 315

- 60 -

・本報告書（2019 年６月 12 日）は、2020 年４月１日以後開始する事業年度に係る監査及び同

日以後開始する中間会計期間に係る中間監査から適用する。ただし、2019 年４月１日以後開始

する事業年度に係る監査及び同日以後開始する中間会計期間に係る中間監査から早期適用する

ことができる。

・本報告書（2021 年６月８日）は、2023 年３月 31 日以後終了する事業年度に係る財務諸表の

監査及び 2022 年９月に終了する中間会計期間に係る中間財務諸表の中間監査から実施する。た

だし、それ以前の決算に係る財務諸表の監査及び中間会計期間に係る中間財務諸表の中間監査

から実施することを妨げない。

・本報告書（2021 年８月 19 日）は、2021 年９月１日から適用する。

・本報告書（2022 年６月 16 日）は、2023 年７月１日以後開始する事業年度に係る財務諸表の

監査及び同日以後開始する中間会計期間に係る中間財務諸表の中間監査から適用する。なお、

公認会計士法上の大規模監査法人以外の監査事務所においては、2024 年７月１日以後に開始す

る事業年度に係る財務諸表の監査及び同日以後開始する中間会計期間に係る中間財務諸表の中

間監査から適用する。ただし、それ以前の決算に係る財務諸表の監査及び中間会計期間に係る

中間財務諸表の中間監査から適用することを妨げない。なおその場合、品質管理基準委員会報

告書第１号「監査事務所における品質管理」（2022 年６月 16 日）、品質管理基準委員会報告書第

２号「監査業務に係る審査」（2022 年６月 16 日）及び監査基準委員会報告書 220（2022 年６月

16 日）と同時に適用する。

・本報告書（2023 年１月 12 日）は、2024 年４月１日以後開始する事業年度に係る財務諸表の

監査及び同日以後開始する中間会計期間に係る中間財務諸表の中間監査から適用する。また、

公認会計士法上の大規模監査法人以外の監査事務所においては、2024 年７月１日以後に開始す

る事業年度に係る財務諸表の監査及び同日以後開始する中間会計期間に係る中間財務諸表の中

間監査から適用する。ただし、それ以前の決算に係る財務諸表の監査及び中間会計期間に係る

中間財務諸表の中間監査から適用することを妨げない。その場合、品質管理基準報告書第１号

（2022 年６月 16 日）、品質管理基準報告書第２号（2022 年６月 16 日）及び監査基準報告書 220

（2022 年６月 16 日）と同時に適用する。なお、2022 年６月 16 日付けで改正された品質管理基

準に関する事項は、品質管理基準委員会報告書第１号「監査事務所における品質管理」（2022 年

６月 16 日）、品質管理基準委員会報告書第２号「監査業務に係る審査」（2022 年６月 16 日）及

び監査基準委員会報告書 220「監査業務における品質管理」（2022 年６月 16 日）と同時に適用

する。

以上

・本報告書（2022 年 10 月 13 日改正）は、次の公表物の公表に伴う修正を反映している。

－監査基準報告書（序）「監査基準報告書及び関連する公表物の体系及び用語」（2022 年７月

21 日改正）

監基報 315

- 61 -

・本報告書（2023 年１月 12 日改正）は、次の公表物の公表に伴う修正を反映している。

－監査基準報告書 600「グループ監査における特別な考慮事項」（2023 年１月 12 日改正）

・本報告書（2024 年９月 26 日改正）は、次の公表物の公表に伴う修正を反映している。

－監査基準報告書 260「監査役等とのコミュニケーション」（2024 年９月 26 日改正）

－監査基準報告書 700「財務諸表に対する意見の形成と監査報告」（2024 年９月 26 日改正）

監基報 315

- 62 -

《付録１企業及びそのビジネスモデルを理解するための考慮事項》（A55 項から A59 項参照）

この付録では、企業のビジネスモデルの目的と範囲について説明し、監査人が、ビジネスモデル

に含まれる企業活動を理解する際に検討する可能性のある事項を例示している。企業のビジネス

モデル及び事業戦略や事業目的がビジネスモデルに及ぼす影響を監査人が理解することは、財務

諸表に影響を与える可能性のある事業上のリスクを識別するのに役立つことがある。さらに、監

査人が重要な虚偽表示リスクを識別するのに役立つことがある。

《１．企業のビジネスモデルの目的と範囲》

１．企業のビジネスモデルは、組織構造、事業運営又は事業活動の範囲、事業単位（その事業におけ

る競合他社及び顧客を含む。）、ビジネスプロセス、成長機会、グローバル化、規制上の要件並びに

関連する技術等を企業がどのように捉えているかを表わす。企業のビジネスモデルは、利害関係

者にとっての財務的な価値又はより広範な価値を、企業がどのように創造し、保持し、獲得するの

かを表わす。

２．戦略とは、企業が直面するリスクと機会への対処計画を含め、経営者が企業の目的を達成するた

めのアプローチである。企業の戦略は、内外の環境と事業目的の変化に応じて、経営者によって時

の経過に応じ変更される。

３．ビジネスモデルの説明には、一般的に以下が含まれる。

・企業の活動の範囲とその活動理由

・企業構造及び事業規模

・企業が事業を行う市場、地理的・人口統計的な商圏及びバリューチェーン。市場や商圏（主要

な製品、顧客セグメント及び流通方法）でどのように事業をし、企業の競争基盤は何か。

・企業活動を遂行するための業務又は運営プロセス（投資、財務及び業務プロセス等）で、とり

わけ、価値を創造し、保持し、獲得するために重要な業務プロセス

・成功する上で不可欠又は重要な財務、人事、知財、環境及び技術に関連する資源等、並びに顧

客、競合他社、仕入先及び従業員との関係

・企業のビジネスモデルが、顧客、仕入先及び資金の貸手などの利害関係者との遣り取りにおい

て、ＩＴインターフェースや他の技術を通じて、どのようにＩＴを活用しているか。

４．事業上のリスクには、直ちにアサーション・レベルの重要な虚偽表示リスク又は財務諸表全体レ

ベルの重要な虚偽表示リスクにつながるものがある。例えば、不動産の市場価格の大幅な下落か

ら生じる事業上のリスクは、中期の不動産担保付ローンの貸手にとって、評価のアサーションに

関連する重要な虚偽表示リスクを増加させる場合がある。一方、長期貸付金の信用リスクを増加

させるような深刻な景気後退と組み合わさった場合には、同じリスクでもより長期的な影響をも

たらすことがある。その結果、貸倒損失額が増加し、企業の継続企業の前提に重大な疑義が生じる

可能性がある。その場合、このことは、企業が継続企業の前提に基づき財務諸表等を作成すること

の適切性に関する結論及び重要な不確実性が存在するかどうかの決定に影響を及ぼす可能性があ

る。したがって、監査人は、事業上のリスクが重要な虚偽表示リスクとなる可能性があるかどうか

については、企業の状況を考慮した上で検討する必要がある。付録２には、重要な虚偽表示リスク

の存在を生じさせる事象と状況を例示している。

監基報 315

- 63 -

《２．企業の事業活動等》

５．企業の活動（企業のビジネスモデルに含まれる。）を理解する際に考慮する事項の例として、以

下が挙げられる。

(1) 事業運営

・収益の源泉、製品又はサービス及び市場の特徴（例えば、インターネット販売のような電子

商取引への参画やマーケティング活動）

・業務の運営（例えば、生産工程と方法又は環境リスクを伴う活動）

・業務提携、共同支配企業及び外部委託

・地理的分散と事業セグメント

・生産設備、倉庫及び事務所の所在地、並びに棚卸資産の保管場所と数量

・主要顧客及び商品とサービスの主要仕入先、並びに雇用協定（例えば、労働協約、年金など

の退職給付、ストック・オプションや業績連動賞与、労働関連法規）

・研究開発活動と支出

・関連当事者との取引

(2) 投資及び投資活動

・計画中か若しくは最近実行された事業買収又は事業売却

・有価証券、貸付金等の投融資と処分

・設備投資

・パートナーシップ、共同支配企業及び特別目的事業体を含む、非連結企業への投資

(3) 財務及び財務活動

・主要な子会社と関係会社の所有構造（例えば、連結及び非連結の状況）

・負債構成とその関連条件（例えば、オフバランスでの資金調達等の契約とリース契約）

・実質的所有者（例えば、国内外、事業の評判と経験）及び関連当事者

・デリバティブ取引の利用状況

《３．特別目的事業体》

６．特別目的事業体は、一般的に、リース、金融資産の証券化又は研究開発活動など、限定された明

確な目的のために設立される事業体である。特別目的事業体は、法人、信託、パートナーシップ又

は非法人型の組織の形態を取ることがある。他社が特別目的事業体に資金を提供しているとして

も、企業は、自らのために特別目的事業体に資産を譲渡したり、特別目的事業体から資産の利用権

を入手したり、又は特別目的事業体にサービスの提供を行ったりすることがある。特別目的事業

体は、監査基準報告書550が記載するように、特定の状況においては、企業の関連当事者である場

合がある（監基報550のA7項参照）。

７．適用される財務報告の枠組みは、特別目的事業体を支配していると判断する具体的な条件や、連

結対象とすべき状況について明記していることが多い。そのような枠組みにおいて要求されてい

る事項の適用に当たっては、特別目的事業体が関与している契約についての詳細な情報が必要と

されることが多い。

監基報 315

- 64 -

《付録２固有リスク要因の理解》（第 11 項(6)、第 18 項(3)、A3 項及び A4 項、A74 項から A78

項参照）

本付録は、固有リスク要因について解説するとともに、アサーション・レベルの重要な虚偽表示

リスクの識別と評価において、固有リスク要因を理解し適用する上で監査人が考慮する事項につ

いても解説している。

《１．固有リスク要因》

１．固有リスク要因とは、関連する内部統制が存在しないとの仮定の上で、不正か誤謬かを問わず、

取引種類、勘定残高又は注記事項に係るアサーションにおける虚偽表示の生じやすさに影響を及

ぼす事象又は状況の特徴をいう。固有リスク要因は定性的又は定量的な要因であり、複雑性、主観

性、変化、不確実性、経営者の偏向又はその他の不正リスク要因（監基報240のA21項からA24項参

照）が固有リスクに影響を及ぼす場合における虚偽表示の生じやすさを含んでいる。監査人は、第

18項(1)及び(2)に従って、企業及び企業環境、適用される財務報告の枠組み並びに企業の会計方

針を理解することで、財務諸表を作成する過程で、固有リスク要因がどのようにアサーションに

おける虚偽表示の生じやすさに影響を及ぼすのかについても理解する。

２．適用される財務報告の枠組みに従って必要となる情報（以下「財務報告に必要な情報」という。）

の作成に関連する固有リスク要因には、以下の事項が含まれる。

・「複雑性」－財務報告に必要な情報の性質、又は財務報告に必要な情報の作成過程のいずれか

から生じる。これには財務報告に必要な情報の作成プロセス自体に困難さを伴う場合も含まれ

る。例えば、複雑性は以下のような場合から生じることがある。

－仕入先に対するリベートの支払額を計算する際には取引条件を考慮する必要があり、仕入

先が多く仕入先ごとに取引条件が異なる場合、又は相互に関係する多くの取引条件がある場

合には、計算が複雑になる。

－会計上の見積りを行う際に、多くの利用可能な情報源が存在し、それぞれが会計上の見積り

において異なる特徴を有する場合には、データの処理は相互に関連する多くの手順を経て行

われることから、そのデータは、識別、取得、利用、理解又は処理において困難さを伴う。

・「主観性」－利用可能な知識や情報に制約があり、客観的な方法で財務報告に必要な情報を作

成することに固有の限界がある場合に生じる。この場合、経営者は、採用する適切なアプローチ

及びその結果として財務諸表に含まれる情報について、選択又は主観的判断を行う必要がある。

財務報告に必要な情報を作成する際に、適用される財務報告の枠組みにおいて要求される事項

を適切に適用したとしても、異なるアプローチを採用すれば異なる結果が生じる可能性がある。

知識やデータに制約があるほど、十分な知識及び独立性を有する者による判断であっても、そ

の主観性が高まり、様々な判断結果が生じることとなる。

・「変化」－時の経過により、企業の事業又は経済、会計、規制、産業若しくは企業が事業を行

う環境の他の側面に影響を及ぼす事象や状況がもたらす結果で、それらの事象や状況の影響が

財務報告に必要な情報に反映される場合に生じる。このような事象や状況は、複数会計期間に

わたって発生する場合がある。例えば、変化は、適用される財務報告の枠組みにおいて要求され

る事項、企業及びそのビジネスモデル又は企業の事業環境の進展の結果から生じ、経営者の仮

監基報 315

- 65 -

定及び判断に影響を与える場合がある。なお、経営者の判断には、会計方針の選択又は会計上の

見積り方法若しくは関連する注記事項の決定が含まれる。

・「不確実性」－財務報告に必要な情報が、直接的な観察によって検証可能な十分に正確かつ包

括的なデータのみによって作成することができない場合に生じる。このような状況においては、

財務報告に必要な情報を作成するための利用可能な知識に基づいて、利用可能な範囲で十分に

正確かつ包括的で観察可能なデータを使用し、利用可能な最も適切なデータに裏付けられた合

理的な仮定を用いる必要がある。知識又はデータの利用の制約は、経営者の管理可能な範囲に

なく（ただし、管理可能かどうかはコストの制約次第となる場合もある。）、不確実性の要因とな

り、財務報告に必要な情報の作成に及ぼす影響を排除することはできない。例えば、見積りの不

確実性は、財務諸表において認識又は開示が要求される金額を正確には決定できず、財務諸表

が確定するまでに見積りの結果が判明しない場合に生じる。

・「経営者の偏向又はその他の不正リスク要因が固有リスクに影響を及ぼす場合における虚偽

表示の生じやすさ」－経営者の偏向の生じやすさは、財務報告に必要な情報を作成する際に、意

図的であるか否かを問わず、経営者が中立性を保つことが難しい状況から生じる。経営者の偏

向は、判断を行う際に経営者が中立性を保つことができない可能性のある特定の状況（潜在的

な経営者の偏向の兆候）と関係することが多く、経営者が意図的であれば、財務報告に必要な情

報が不正による重要な虚偽表示となり得る。このような兆候には、例えば、利益目標や自己資本

比率等の財務目標を達成しようとする誘因といった固有リスクに影響を及ぼす動機やプレッシ

ャー及び機会が含まれ、結果として中立性を保つことが困難となる。不正な財務報告又は資産

の流用による虚偽表示に関係する不正の特徴については、監査基準報告書 240 の A1 項から A5

項に記載されている。

３．複雑性が固有リスク要因である場合、財務報告に必要な情報を作成する際には適用が難しい複

雑なプロセスを必要とすることがあり、その適用において、専門的な技能又は知識が必要となり、

専門家の利用が必要となる場合がある。

４．経営者の判断が主観的になるほど、意図的であるか否かを問わず経営者の偏向による虚偽表示

の生じやすさが高まる。例えば、不確実性が高い会計上の見積りは経営者の重要な判断を伴い、使

用する会計上の見積りの手法、データ及び仮定の選択に、意図的であるか否かを問わず経営者の

偏向が反映される場合がある。

《２．重要な虚偽表示リスクを生じさせる可能性のある事象又は状況の例》

５．財務諸表全体レベルの重要な虚偽表示リスク又はアサーション・レベルの重要な虚偽表示リス

クの存在を示唆する事象（取引を含む。）と状況の例示は以下のとおりである。固有リスク要因ご

との以下の例示は、多くの監査業務に該当する一般的な事象と状況を包含しているが、全てがあ

らゆる監査業務に関連しているとは限らず、また、例示は必ずしも網羅的なものではない。これら

の事象と状況は、各環境において最も影響を与える可能性のある固有リスク要因によって分類さ

れている。なお、事象と状況の例示は、固有リスク要因の相互関係により、程度の差こそあれ、他

の固有リスク要因の影響を受けることがある点に留意する。

監基報 315

- 66 -

関連する固有リスク

要因

アサーション・レベルの重要な虚偽表示リスクの存在を示唆する事象

又は状況の例示

複雑性規制

・非常に複雑な規制を受ける事業運営

ビジネスモデル

・複雑な業務提携及び合弁企業の存在

適用される財務報告の枠組み

・複雑な計算プロセスを必要とする会計上の測定

取引

・オフバランス化、特別目的事業体及びその他の複雑な財務上の契

約の利用

主観性適用される財務報告の枠組み

・会計上の見積りにおいて、適用され得る広範な測定規準（例えば、

減価償却費や工事収益の経営者による認識）

・投資不動産のような非流動資産の評価技法やモデルに関する経営

者の選択

変化経済状況

・経済的に不安定な地域における事業運営（例えば、重大な通貨切

下げや高いインフレーション経済にある国々）

市場

・市場の不安定性に晒されている事業運営（例えば、先物取引）

顧客喪失

・重要な顧客喪失等による事業継続と流動性の問題

産業モデル

・企業が事業運営している産業の変化

ビジネスモデル

・サプライチェーンの変更

・新製品や新サービスの開発若しくは提供又は新規事業への参入

地理

・新たな地域の新規開拓

企業構造

・大規模な買収、組織変更又はその他の通例でない事象といった企

業内の変化

・売却の可能性のある関係会社又は事業セグメントの存在

人材

・主要な役員の退任を含む重要な人事異動

ＩＴ

・ＩＴ環境の変化

・財務報告に関係する重要な新規ＩＴシステムの導入

適用される財務報告の枠組み

・新しい会計基準の適用

資本

・資金調達に関する新たな制約

規制

監基報 315

- 67 -

・企業の事業運営又は経営成績についての規制当局等による調査の

開始

・環境保護関連の新しい法律の影響

不確実性財務報告

・会計上の見積り及び関連する注記事項に係る重要な測定の不確実

性を伴う事象又は取引

・係争中の訴訟と偶発債務（例えば、製品保証、保証債務、環境改

善）

経営者の偏向又はそ

の他の不正リスク要

因が固有リスクに影

響を及ぼす場合にお

ける虚偽表示の生じ

やすさ

財務報告

・経営者や従業員による不正な財務報告（重要な情報の省略、又は

不明瞭な注記事項を含む。）の機会

取引

・関連当事者との重要な取引

・関係会社間取引及び期末日近くに計上された巨額の収益を含む、

通例でない多額の取引

・借入金の借換え、資産の売却予定及び市場性のある有価証券の分

類のような経営者の意思に基づいて記録される取引

《財務諸表全体レベルの重要な虚偽表示リスクを示唆するその他の事象又は状況》

・適切な会計と財務報告の技能を持った人材の欠如

・内部統制の不備－統制環境、リスク評価プロセス及び監視プロセスにおける不備。特に経営者

が対応していないこれらの不備

・過去の虚偽表示、過去の誤謬の発生状況又は期末の重要な修正

監基報 315

- 68 -

《付録３企業の内部統制システムの理解》（第 11 項(13)、第 20 項から第 25 項、A79 項から

A169 項参照）

１．企業の内部統制システムは、方針及びマニュアル、システム及び様式、並びにそこに組み込まれ

た情報に反映され、企業の構成員により運用される。企業の内部統制システムは、企業の組織構造

に即して、経営者、取締役会、監査役等及びその他の企業構成員によって業務に適用されるが、経

営者、取締役会、監査役等若しくはその他の企業構成員の意思決定又は法令上の要請により、企業

の事業運営上の組織構造、法的な企業構造若しくは両者を考慮した上で業務に適用されることが

ある。

２．本付録では、第11項(12)、第20項から第25項及びA79項からA169項に規定されている企業の内部

統制システムの構成要素とその限界について更に解説する。

３．企業の内部統制システムには、企業の報告目的（財務報告の信頼性を確保する目的を含む。）に

関する側面が含まれるが、財務報告に関連する場合には、事業経営の有効性と効率性を高める目

的や事業経営に係る法令の遵守を促す目的に関する側面も含まれる場合がある。

例

法令の遵守に関する内部統制が財務諸表における企業の偶発事象の注記事項に関連する場

合には、財務報告にも関連する可能性がある。

《１．企業の内部統制システムの構成要素》

《(1) 統制環境》

４．統制環境には、ガバナンス及び経営の機能、並びに企業の内部統制システムとその重要度に対す

る、経営者、取締役会及び監査役等の態度、姿勢及び実際の行動が含まれる。統制環境は、内部統

制に対する従業員の意識に影響を与え、社風を形成するとともに、企業の内部統制システムの他

の構成要素に全般的な基礎を提供する。

５．取締役会や監査役等の役割の一つが、市場からの要求や報酬体系から生ずる財務報告に関わる

プレッシャーを受けている経営者を牽制することにあるため、企業の内部統制に対する姿勢は、

取締役会や監査役等によって影響を受ける。取締役会や監査役等の参画に関連する統制環境のデ

ザインの有効性は、以下のような事項によって影響を受ける。

・取締役会や監査役等の経営者からの独立性や経営者の行動を評価する能力

・取締役会や監査役等が企業の事業や取引を理解しているかどうか。

・取締役会や監査役等が、適用される財務報告の枠組みに従って財務諸表が作成されているか

否かをどの程度評価しているか。これには、財務諸表に注記が適切に行われているかどうかが

含まれる。

６．統制環境には以下の各要素が含まれる。

(1) 企業文化の醸成及び維持、並びに誠実性及び倫理観に対する経営者の姿勢などを通して経営

者の責任がどのように遂行されているか。内部統制の有効性は、これらを構築し管理し監視す

る人々の誠実性と倫理観に依存する。誠実性と倫理的な行動は、企業の倫理基準や行動規範と、

これらが企業内にいかに伝達され、定着しているかに関する成果である。誠実性と倫理観の定

着には、例えば、不誠実な行為、違法行為、若しくは非倫理的な行動を誘引する原因を軽減する

監基報 315

- 69 -

又は取り除く経営者の行動も含まれる。誠実性と倫理観に関する企業方針の伝達には、倫理に

関する方針、行動規範及びこれらの具体的な適用例を通じての従業員への行動指針の伝達が含

まれる。

(2) 監査役等が経営者と分離されている場合、監査役等がどのように経営者からの独立性を示し、

企業の内部統制システムを監視しているか。企業の内部統制に関する姿勢は、取締役会及び監

査役等によって影響を受ける。取締役会及び監査役等についての考慮事項には、例えば、以下が

含まれる。

・経営者から独立し、客観的な評価及び判断を下せる者が選任されているかどうか。

・取締役会及び監査役等が自らの監督責任を認識しているか。

・経営者による内部統制システムのデザインから適用及び運用に対し、監督責任を遂行して

いるか。

取締役会及び監査役等の責任の重要性は、行動規範及びその他の法令、並びに取締役会及び監

査役等のために作成された指針等で認識されている。

取締役会及び監査役等のその他の責任には、内部通報制度の整備や有効な運用を監視するこ

とも含まれる。

(3) 企業がその目的を遂行するために、どのように権限と責任を付与するか。考慮事項には、例え

ば、以下が含まれる。

・主要な権限や職責及び指揮・命令・報告の系統

・適切な業務慣行、重要な役割を担う者の知識と経験、及び職務を達成するために提供される

経営資源に関する方針

・全ての従業員に以下を確保するための方針と伝達

－企業目的の理解

－従業員個人の行動と企業目的との相互関連及び貢献の自覚

－従業員が説明責任を有している対象と方法の認識

(4) 企業がその目的に適う有能な人材を採用し、育成し、良好な雇用関係を維持しているか。これ

には、以下のような個々人に与えられている職務を達成するのに必要な知識と技能を有する人

材を確保しようとする企業の取組を含む。

・最適任者を採用するために制定された採用基準。これには、学歴や職歴又は業務経験及び誠

実かつ倫理的な行動の姿勢などの要件を含む。

・期待される役割と責任を伝達する研修方針。これには、例えば、期待される成果と行動の水

準を示すための社内外の研修への参加を含む。

・有能な人々をより責任のある高い職位に昇格させる企業の取組を明らかにするような、定

期的に実施される実績評価に基づく昇進制度

(5) 企業の内部統制システムの目的を遂行する上での役割と責任をどのように各構成員に認識さ

せているか。これは、例えば、以下のような手段によって達成される。

・内部統制の実施の役割と責任を構成員に伝達し認識させ、必要な際には是正措置を実施す

るための仕組み

・内部統制システムの責任者に対する職務遂行の評価基準、インセンティブ及び報酬制度の

監基報 315

- 70 -

確立。これには、職務遂行の評価方法とインセンティブや報酬との関連付けを含む。

・内部統制の目的の達成と構成員の責任及び職務遂行の評価との関連付け

・必要に応じた構成員への懲戒

企業の規模、企業構造の複雑性及び事業活動により、上記の事項の適切性は異なる。

《(2) 企業のリスク評価プロセス》

７．企業のリスク評価プロセスは、企業目的を達成するためのリスクを識別し分析するための反復的

なプロセスであり、経営者又は監査役等が管理すべきリスクをどのように決定するかの基礎となる。

８．財務報告のための企業のリスク評価プロセスには、経営者が、企業に適用される財務報告の枠組

みに従った財務諸表の作成に関連する事業上のリスクをどのように識別し、リスクの重要度をど

のように見積もり、リスクの発生可能性をどのように評価し、リスクに対処する方法をどのよう

に決定するかが含まれる。例えば、企業のリスク評価プロセスは、簿外取引の可能性をどのように

検討するか、又は財務諸表に計上された重要な見積りをどのように識別して分析するか、に注目

することがある。

９．信頼性のある財務報告に影響を及ぼすリスク要因には、財務情報の開始、記録、処理及び報告に

おいて、アサーションに影響を及ぼす可能性のある外部及び内部の事象、取引及び状況が含まれ

る。経営者は、特定のリスクに対処するための計画、プログラム、若しくは行動に着手する場合も

あれば、対応に要する費用やその他の点を考慮してリスクを受け入れる決定をする場合もある。

リスクは、以下のような状況において、発生又は変化する可能性がある。

・経営環境の変化

規制環境、経済環境又は経営環境の変化は、競争力の変化や著しく異なるリスクをもたらす可

能性がある。

・新規従業員の雇用

新規に採用された人々は、内部統制システムに対する異なった見方や理解を有していること

がある。

・情報システムの導入や改良

情報システムの重要かつ急速な変化は、内部統制システムに関連するリスクを変化させるこ

とがある。

・事業の急成長

事業の大幅で急速な拡大は、内部統制を弱め、内部統制が機能しなくなるリスクを高める可能

性がある。

・新技術の導入

生産プロセスや情報システムへの新技術の導入は、内部統制システムに関連するリスクを変

化させることがある。

・新たなビジネスモデルや新規事業の採用又は新製品の販売開始

これまでに余り経験のない事業領域や取引への参入は、内部統制システムに関連する新たな

リスクをもたらすことがある。

・リストラクチャリング

監基報 315

- 71 -

リストラクチャリングは、従業員の削減及び監督と職務の分離の変更により、内部統制システ

ムに関連するリスクに変化をもたらすことがある。

・海外での事業活動の拡大

海外事業の拡大又は買収は、外貨取引による新しいリスク又は従来とは異なるリスクのよう

に、内部統制に影響を及ぼす新規で独特のリスクをもたらすことがある。

・新しい会計基準の制定

新しい会計基準の適用や会計基準の改訂は、財務諸表の作成に係るリスクに影響することが

ある。

・ＩＴの利用

ＩＴの利用は、以下に関連するリスクをもたらすことがある。

－データ及び情報処理のインテグリティ（すなわち、情報（データ）の網羅性、正確性、正当

性）の維持

－企業のＩＴ戦略が企業の事業戦略を効果的に支援していない場合に生じる、企業の事業戦

略に関するリスク

－企業のＩＴ環境の変更若しくは阻害、企業のＩＴ担当者の退職、又は企業がＩＴ環境の必要

な更新を行っていないか更新が適時でない場合

《(3) 内部統制システムを監視する企業のプロセス》

10．内部統制システムを監視する企業のプロセスは、企業の内部統制システムの有効性を評価し、必

要な是正措置を適時に行うための継続的なプロセスであり、日常的監視活動、独立的評価（定期的

に実施される。）、又はその二つの組合せによって構成される。日常的監視活動は、多くの場合、企

業の反復継続する通常の活動の中に組み込まれ、定期的な管理・監督活動も日常的監視活動に含

まれる。このプロセスは、企業によるリスク評価に応じて、その範囲と頻度が異なる。

11．内部監査機能の目的と範囲には、通常、企業の内部統制システムの有効性を評価又は監視するこ

とを目的とした活動が含まれる（監基報610及び本報告書の付録４は、内部監査に関連するより詳

細な指針及び考慮事項を提供している。）。内部統制システムを監視する企業のプロセスには、銀

行勘定調整表が適時に作成されているかどうかについての管理者による査閲、営業部門の販売契

約の条件に関する企業の方針の遵守についての内部監査人による評価、又は企業倫理や企業行動

指針の遵守についての法務部門による監視が含まれる場合もある。監視は、内部統制が期間を通

じて継続的に有効であるかどうかを確かめるために実施される。例えば、銀行勘定調整表が適時

に網羅的に作成されているかどうかの監視が行われていない場合には、担当者は作成自体を中止

してしまうこともある。

12．自動化された内部統制に対する監視を含め、企業の内部統制システムを監視する企業のプロセ

スに関連する内部統制は、自動化された内部統制若しくは手作業による内部統制、又はその両方

の組合せとなる場合がある。例えば、企業は、特定の技術に対する異常なアクセスを監視しレポー

トする自動化された内部統制を使用して、レポートされた異常なアクセスに対し管理者が調査を

実施する。

13．内部統制を監視活動と情報システムに関連する内部統制に区分する際に、特に内部統制に監視

監基報 315

- 72 -

的なレビュー行為が含まれている場合には、その詳細を検討する。監視的なレビューは自動的に監

視活動に分類されるものではなく、当該レビューが情報システムに関連する内部統制に分類される

か、監視活動に分類されるかは、判断事項である。例えば、月次の網羅性チェックの内部統制の目

的は、エラーを識別し修正することであるが、監視活動である場合には、エラーの発生原因を追究

し、再発防止のために管理者にプロセスの改善を指示する。言い換えると、情報システムに関連す

る内部統制は特定のリスクに対応するが、監視活動は、企業の内部統制システムの五つの構成要素

のそれぞれにおける内部統制が意図したとおりに運用されているかどうかを評価するものである。

14．監視活動には、問題を示唆し改善が必要な領域を明らかにすることがある、企業外部から伝えら

れた情報の利用を含むことがある。

請求書作成のデータ処理については、顧客が請求書どおりに支払っていること、又は顧客から

請求書に対する苦情があることを通じて、明示的ではないが確証を得ることがある。

さらに、例えば、銀行検査を通じての伝達のように、規制当局が内部統制システムの機能に関連

する事項を伝達することがある。

また、経営者は、監視活動を実施する際に、監査人からの内部統制システムに関する指摘事項を

検討することがある。

《(4) 情報システムと伝達》

15．財務諸表の作成に関連する情報システムは、以下の事項のためにデザインし構築された活動及

び方針並びに会計処理及びその他の裏付けとなる記録から構成される。

・企業の取引の開始、記録、処理（及び取引以外の事象や状況に関する情報の把握、処理、開示）、

並びに資産、負債及び純資産を適正に計上すること。

・取引の誤処理を解消すること（例えば、保留ファイルの自動処理による作成と、保留項目を適

時に処理するフォロー手続）。

・システム化された内部統制の無効化又は回避を調査し報告すること。

・取引処理システムから総勘定元帳に情報を転送すること（例えば、補助元帳に蓄積された取引

の転送）。

・財務諸表の作成に関連する取引以外の事象や状況に関する情報を把握及び処理すること（例

えば、資産の減価償却、及び資産の回収可能性の見直しなど）。

・適用される財務報告の枠組みにより開示が要求される情報が、収集、記録、処理、要約され、

財務諸表上で適切に報告されることを確かめること。

16．企業の業務プロセスは、以下の事項のためにデザインされた活動を含む。

・製品やサービスの開発、購買、生産、販売及び流通

・法令の遵守の確保

・情報の記録（会計と財務報告の情報を含む。）

業務プロセスのフローは、情報システムによって記録、処理、報告されることにより、取引と

して認識される。

17．情報の質は、企業の活動を管理する際の適切な意思決定を行うため及び信頼できる財務報告を

作成するための経営者の能力に影響を及ぼす。

監基報 315

- 73 -

18．伝達は、企業内での内部統制システムに関する個々人の役割と責任を理解させることに関係し、

会計と財務報告に関連する基本方針、マニュアル及び通達といった形式をとることがある。伝達

は、電子的手段若しくは口頭で、又は経営者の行動を通して行われることもある。

19．財務報告の役割と責任及びこれに関係する重要な事項に関しての伝達は、財務報告に関連する

内部統制システムに関する個々人の役割と責任を理解させることに関係している。この伝達には、

情報システムにおいて、企業構成員が自らの行動と他の企業構成員の作業との関連をどの程度理解

しているか、企業内の適切な上位者に対して例外事項をどのように報告するかも含むことがある。

《(5) 統制活動》

20．統制活動における内部統制は、第25項に従って識別される。これらの内部統制には、情報処理統

制とＩＴ全般統制が含まれ、手作業による情報処理統制である場合もあれば、自動化された情報

処理統制である場合もある。経営者が財務報告において依拠する内部統制が自動化されている程

度が高いほど、自動化された情報処理統制の継続的な運用を支援するＩＴ全般統制の適用は重要

となる。統制活動における内部統制には、例えば、以下の事項がある。

・承認

承認は、取引が正当である（すなわち、取引が実際に発生した経済事象に基づいている、又は

企業の方針に従ったものである。）ことを確認する内部統制である。承認は、一般的に、上長に

よる承認、又は取引が正当であるかどうかの検証と判断という形式をとる。例えば、上長は、経

費が合理的か、企業の方針に従ったものであるかどうかを検討した上で、経費報告書を承認す

る。自動承認の例としては、請求書に記載された単価が、注文書の単価と自動的に照合され、事

前に定められた許容範囲内である請求書は自動で支払の承認がされ、許容範囲を超える請求書

は追加調査が必要なものとして識別される場合が挙げられる。

・調整

調整は、二つ以上のデータを照合し、差異がある場合には、差異の調整を行うもので、通常、

取引処理の網羅性又は正確性に関する内部統制である。

・検証

検証は、二つ以上の項目を相互に照合したり、又は、ある項目と企業の方針の比較に基づいた

りして行われる。項目間の不整合が識別されたり、当該項目が方針と整合していなかったりする

場合には、追加対応が行われる可能性が高い。検証は、通常、取引処理の網羅性、正確性及び正

当性に関する内部統制である。

・物理的又は論理的アクセスに係る内部統制（未承認のアクセス、取得、使用又は処分を防止す

るための資産保全に関する内部統制を含む。）

－資産や記録へのアクセスに対する安全性の高い設備のような適切な保全手段を含む、資産

の物理的保全

－コンピュータ・プログラムとデータファイルへのアクセス権限の付与（すなわち、論理的ア

クセス）

－資産の実際残高と帳簿残高との定期的な照合。例えば、現金、有価証券の実査及び棚卸資産

の実地棚卸と帳簿残高との比較

監基報 315

- 74 -

資産の窃盗や流用を防止するための資産の保全に係る内部統制が財務諸表の信頼性にとって

適切となる水準は、資産の横領の可能性の影響を受ける。

・職務の分離

職務の分離は、取引の承認、記録及び資産の管理に関する職責をそれぞれ違う担当者に割り当

てることである。職務の分離は、職務担当者が職務遂行の過程において不正や誤謬を犯し、隠蔽

する機会を減少させることを意図している。

例えば、掛売りによる販売を承認する権限を持つ管理者は、売掛金の記帳及び入金処理を担当

しない。これら全ての権限が一人の担当者に割り当てられる場合、架空売上の計上が可能とな

り、発見も困難である。同様に、商品価格や販売手数料率を変更する権限は販売担当者に付与さ

れるべきではない。

職務の分離が実務的ではない、費用対効果がない、又は実行不可能である場合もある。例えば、

小規模で複雑でない企業は、理想的な職務の分離を達成するために必要なリソースを有してい

ない場合がある。また、追加人員を雇用するための費用を支払えない場合もある。このような状

況において、経営者は代替的な内部統制を整備・運用することがある。上記の例において販売担

当者が商品価格を変更できるならば、販売担当者が価格を変更したかどうか及びどのような状

況で変更したかを、販売活動に従事していない別の担当者に定期的にレビューさせるといった

発見的な内部統制を整備することもできる。

21．統制活動には、経営者や取締役会によってあらかじめ設定された監視活動を前提にするもので

ある場合がある。例えば、取締役会が設定した投資基準等のガイドラインに基づき承認権限が委

譲されている場合や、買収や投資の撤退等の非定型的な取引について上位の意思決定機関による

承認（株主総会による承認を含む。）が必要となる場合がある。

《２．内部統制の限界》

22．企業の内部統制システムは、いかに有効であっても、企業の財務報告の信頼性を確保するという

目的の達成について企業に合理的な保証を提供するにすぎない。財務報告の信頼性を確保する目

的を達成する可能性は、内部統制の固有の限界により影響を受ける。これには、意思決定時の判断

誤りや、過失により内部統制システムが機能しなくなる場合が含まれる。例えば、内部統制のデザ

インやその変更において、不備が発生する可能性がある。同様に、内部統制目的で作成された情報

（例えば、例外処理報告書）が、当該情報の検討に責任を有する者がその目的を理解していないこ

と又は適切な行動を取らなかったことにより、効果的に使用されなかった場合には、内部統制は

有効に機能しないことがある。

23．内部統制は、共謀による場合、又は経営者が不当に内部統制を無効化した場合にも、本来の機能

を果たせなくなる。例えば、経営者が、正規の承認を受けることなく標準的な販売契約の取引条件

を変更する付帯契約を顧客と結ぶような場合には、結果的に不適切な収益認識につながることも

ある。また、特定の与信限度を超える取引を識別し報告するＩＴアプリケーション内のエディッ

ト・チェックによる内部統制が、経営者により無効化されてしまうことがある。

24．さらに、内部統制のデザイン及び業務への適用に際し、経営者は、業務に適用する内部統制の種

類と程度やその適用の前提となるリスクの種類と程度に関する判断を行うことがある。

監基報 315

- 75 -

《付録４企業の内部監査機能を理解するための考慮事項》（第 13 項(1)、第 23 項(1)②、A24

項から A26 項、A106 項参照）

この付録では、企業の内部監査機能が存在する場合における、当該機能の理解のためのより詳

細な考慮事項を提供する。

《１．内部監査機能の目的及び範囲》

１．内部監査機能の目的及び範囲並びに責任及び組織上の位置付け（権限及び説明責任を含む。）は

様々であり、企業の規模、複雑性及び構造並びに経営者、取締役会及び監査役等の要請に応じて定

まる。これらの事項は、内部監査規程等に記載される場合がある。

２．内部監査機能の責任には、経営者、取締役会及び監査役等に保証・助言を提供するため、リスク

管理、企業の内部統制システム及びガバナンス・プロセスのデザイン及び有効性に関する手続の

実施並びに結果の評価が含まれることがある。そのような場合、内部監査機能は、企業の内部統制

システムの監視において重要な役割を担う場合がある。しかしながら、内部監査機能の責任は、事

業経営の経済性、有効性及び効率性の評価に限定されている場合があり、そのような場合には、内

部監査人の作業は企業の財務報告に直接関連しないことがある。

《２．内部監査人への質問》

３．内部監査に従事する適切な者（企業が内部監査機能を有する場合）への質問は、監査人が企業及

び企業環境、適用される財務報告の枠組み並びに企業の内部統制システムを理解する際や、財務

諸表全体レベルの重要な虚偽表示リスク及びアサーション・レベルの重要な虚偽表示リスクを識

別し評価する際に、有益な情報をもたらす場合がある。内部監査人は、内部監査の実施を通じて、

企業の事業運営や事業上のリスクに関する知識を有していることが多く、また、内部統制の不備

等の指摘を行っていることがある。これらの情報は、企業及び企業環境、適用される財務報告の枠

組み並びに企業の内部統制システムに関する監査人の理解、監査人のリスク評価又は監査の他の

局面において有益なことがある。したがって、監査人は、実施する監査手続の種類若しくは時期を

変更するか又は範囲を縮小するために内部監査人の作業を利用するか否かにかかわらず、質問を

実施する（関連する要求事項が監査基準報告書610に記載されている。）。特に、内部監査人から取

締役会や監査役等に報告された事項や、内部監査人が実施したリスク評価プロセスの結果に関す

る事項についての質問は有益である。

４．監査人の質問に対する回答に、企業の財務報告や監査に関連する可能性がある指摘事項が含ま

れる場合、監査人は、関連する内部監査の報告書を通読することが適切かどうかを検討すること

がある。関連する内部監査の報告書には、例えば、内部監査の方針や計画書、経営者、取締役会又

は監査役等のために作成された内部監査の指摘事項を記載した報告書が含まれる。

５．さらに、監査基準報告書240第18項に従い、監査人が、不正、不正の疑い又は不正の申立てに関

する情報を内部監査人から入手した場合、監査人は、不正による重要な虚偽表示リスクを識別す

る際に当該情報を考慮する。

６．質問の対象となる内部監査に従事する適切な者は、適切な知識、経験及び権限を有すると監査人

が判断した者、例えば、内部監査責任者や状況によっては内部監査に従事する他の者となる。監査

監基報 315

- 76 -

人は、これらの者と定期的な協議を行うことが適切と考えることがある。

《３．統制環境の理解における内部監査機能に関する考慮事項》

７．監査人は、統制環境を理解する際に、財務諸表の作成に関連する内部統制において識別された不

備に関して、内部監査人からの指摘や提言に対して経営者がどのように対応しているかを検討す

る場合がある。これには、経営者により行われた是正措置の実施状況及び内部監査人による是正

措置の評価が含まれる。

《４．内部統制システムの監視活動における内部監査機能の役割の理解》

８．内部監査機能の責任や活動が企業の財務報告に関連する場合、監査人は、監査証拠の入手に当た

り、監査人自らが実施する監査手続の種類若しくは時期を変更するか、又は範囲を縮小するため

に、内部監査人の作業を利用できる場合がある。例えば、過去の監査やリスク評価手続により、企

業の複雑性と事業内容に見合った適切な内部監査体制が整備されており、かつ内部監査人が取締

役会又は監査役等に直接報告するように位置付けられていると考えられる場合、監査人は、当該

企業の内部監査人の作業を利用できる可能性が高い。

９．内部監査機能に対する監査人の予備的な理解に基づき、監査人が実施する監査手続の種類若し

くは時期を変更するか、又は範囲を縮小するために内部監査人の作業を利用する予定である場合、

監査基準報告書610が適用される。

10．内部監査機能の活動は、財務報告に関連し得る他の監視活動（例えば、企業が虚偽表示を防止又

は発見することに役立つように設計された会計情報の管理者による査閲等）とは区別される（監

基報610のA3項参照）。

11．監査の初期段階から監査期間を通じた内部監査に従事する適切な者との継続的なコミュニケー

ションは、効果的な情報共有を促進する。それにより、内部監査人が把握した重要な事項のうち、

監査人の作業に影響を与える可能性のある情報が監査人に提供される関係が構築される。また、

監査期間を通じた内部監査人とのコミュニケーションによって、監査証拠として利用する記録や

証憑書類、又は質問に対する回答の信頼性に疑念を抱かせるような情報を、内部監査人が監査人

に伝達する機会がもたらされる。監査人は、重要な虚偽表示リスクの識別及び評価の際に、そのよ

うな情報を考慮することが可能となる。監査基準報告書200は、そのような情報について注意を払

うことを含め、監査人が職業的懐疑心を保持して監査を計画し実施することの重要性について記

載している（監基報200第７項参照）。

監基報 315

- 77 -

《付録５ＩＴを理解するための考慮事項》（第 24 項(1)、第 25 項(2)から(3)、A82 項及び A154

項から A160 項参照）

この付録では、企業の内部統制システムにおけるＩＴの利用を監査人が理解する場合における、

詳細な考慮事項を提供する。

《１．企業の内部統制システムの構成要素におけるＩＴの利用の理解》

１．企業の内部統制システムには、手作業の要素と自動化された要素（すなわち、手作業による内部

統制及び自動化された内部統制並びに企業の内部統制システムで利用されるその他の経営資源）

が含まれる。手作業及び自動化された内部統制の組合せは、企業が利用しているＩＴの内容や複

雑性によって異なる。企業のＩＴの利用は、適用される財務報告の枠組みに従った財務諸表の作

成に関連する情報の処理方法、保管方法及び伝達方法に影響を与え、その結果、企業の内部統制シ

ステムのデザインと業務への適用方法に影響を与える。企業は、内部統制システムの各構成要素

において、ある程度のＩＴを利用することがある。

一般にＩＴには、内部統制に対して、以下に掲げるような利点がある。

・大量の取引やデータを処理する場合であっても、あらかじめ定められた方針や規定に従い一

貫して処理し、複雑な計算を実行できる。

・情報の適時性、可用性及び正確性を高める。

・情報の追加的な分析を容易にする。

・企業の活動状況と企業の方針及び手続を監視する能力を高める。

・内部統制の適用を回避してしまうリスクを抑える。

・アプリケーションシステム、データベース及びオペレーティング・システム内にセキュリテ

ィ・コントロールを導入することにより、適切な職務の分離を維持・確保することができる。

２．手作業による又は自動化された内部統制の特徴が監査人による重要な虚偽表示リスクの識別及

び評価並びにリスク対応手続に影響を及ぼすこととなる。自動化された内部統制は容易に回避、

無視又は無効化することができず、また単純な間違いを起こしにくいため、一般的に、手作業によ

る内部統制よりも信頼性は高い。以下のような場合には、自動化された内部統制は、手作業による

内部統制より効果的である。

・反復する取引が大量に行われる場合、又は想定される誤りを自動化された内部統制で防止若

しくは発見・是正できる場合

・内部統制を適切に構築し自動化することができるような明確な方法が存在する場合

《(1) 企業の情報システムにおけるＩＴの利用の理解》（第 24 項(1)参照）

３．企業の情報システムは、手作業及び自動化された情報処理統制の利用を含み、取引の開始から記

録、処理、報告に至るまでの手続が影響を受ける。特に、取引を開始、記録、処理及び報告するた

めの手続は、ＩＴアプリケーションを利用すること、及びアプリケーションの環境設定の方法に

よって強化される場合がある。さらに電子媒体による記録が、紙媒体の記録を代替又は補完する

こともある。

４．情報システムにおける取引や情報処理の流れに関連するＩＴ環境の理解において、監査人は、利

監基報 315

- 78 -

用されているＩＴアプリケーションの性質と特性、さらにはそれを支援するＩＴインフラストラ

クチャーやＩＴに関する情報を収集する。以下の表は、ＩＴ環境を理解する際に監査人が考慮す

る事項の例と、企業の情報システムにおいて用いられるＩＴアプリケーションの複雑性に基づく

ＩＴ環境の一般的な特性の例を示している。ただし、これらの特性は傾向を示すものの、企業が利

用するＩＴアプリケーションの性質によって異なることがある。

一般的な特性の例

複雑でない市販のソ

フトウェア

中規模及び中程度に

複雑な市販のソフト

ウェア又はＩＴアプ

リケーション

大規模又は複雑なＩ

Ｔアプリケーション

（ERP システム等）

自動化の範囲及びデータ

の利用に関する事項

処理手続の自動化の範囲

及び自動化された処理手

続の複雑性。これには、高

度に自動化されている

か、ペーパーレスな処理

であるかどうかを含む。

該当無該当無広範囲、かつ自動化さ

れた処理手続も複雑

なことが多い。

情報処理においてシステ

ムが生成するレポートに

企業が依拠する範囲

単純な自動化された

レポートのロジック

単純だが重要な自動

化されたレポートの

ロジック

複雑な自動化された

レポートのロジック。

例えば、レポート作成

ソフトウェア

データの入力方法（すな

わち、手作業入力、顧客又

はベンダーによる外部入

力、又はファイルのアッ

プロード）

手作業でのデータ入

力

少数のデータ入力又

は単純なインターフ

ェース

大量のデータ入力又

は複雑なインターフ

ェース

ＩＴは、内部又は外部を

問わず、アプリケーショ

ン、データベース又は関

連するその他のＩＴ環境

の間での情報伝達を、シ

ステム・インターフェー

スを通じてどのように実

施するか。

自動化されていない

インターフェース（手

作業の入力のみ）

少数のデータ入力又

は単純なインターフ

ェース

大量のデータ入力又

は複雑なインターフ

ェース

会計記録又はその他の情

報がデジタル形式で保存

手作業で検証できる

少量のデータ又は単

純なデータ

大量のデータ又は複

雑なデータ。

監基報 315

- 79 -

されているかどうか及び

保存されたデータの場所

を含む、情報システムに

よって処理されるデジタ

ル形式のデータの量と複

雑性

純なデータ。データは

ローカルで使用可能

データウエアハウス

※

又は内外のＩＴサー

ビスプロバイダの使

用（第三者によるデー

タの保管又はホステ

ィング等）

※

データウエアハウスは、一般に、一つ又は複数の異なるソース（複数のデータベース等）からの

データを統合して保管する場所として説明され、そこからレポートが作成されたり、他のデータ

分析活動のために使用される。レポートライターとは、一つ又は複数のソース（データウエアハ

ウス、データベース、若しくはＩＴアプリケーション等）からデータを抽出し、指定された形式で

データを提示するために使用されるＩＴアプリケーションである。

ＩＴアプリケーションや

ＩＴ基盤に関する事項

アプリケーションの種類

（例えば、カスタマイズ

がほとんど行われていな

いか、全く行われていな

い市販のアプリケーショ

ン、外部から購入し高度

にカスタマイズ若しくは

高度に統合したアプリケ

ーション、又は社内で開

発されたアプリケーショ

ン）

カスタマイズがほと

んど行われていない

か、又は全くない市販

のアプリケーション

単純なレガシーシス

テム、外部から購入し

たアプリケーション、

又はカスタマイズが

ほとんど行われてい

ないか、全く行われて

いない簡易仕様のERP

アプリケーション

特注のアプリケーシ

ョン、又は大きなカス

タマイズを伴うより

複雑なERP

ＩＴアプリケーションと

その基礎となるＩＴ基盤

の性質の複雑性

小型で簡素なノート

パソコン、又はクライ

アントサーバーシス

テム

成熟し安定したメイ

ンフレーム、小型又は

単純なクライアント

サーバー、クラウドサ

ービスとしてのソフ

トウェア

複雑なメインフレー

ム、大規模又は複雑な

クライアントサーバ

ー、ウェブ接続、クラ

ウドサービスとして

のインフラストラク

チャー

第三者によるホスティン

グ又はＩＴのアウトソー

シングの有無

アウトソーシングし

ている場合のアウト

ソーシング先は、能力

があり、成熟した、実

績のあるプロバイダ

（クラウドプロバイ

アウトソーシングし

ている場合のアウト

ソーシング先は、能力

があり、成熟した、実

績のあるプロバイダ

（クラウドプロバイ

一定のアプリケーシ

ョンについては、能力

があり、成熟した、実

績のあるプロバイダ

を利用し、その他のア

プリケーションにつ

監基報 315

- 80 -

ダ等）ダ等）いては新しい又はス

タートアップ段階の

プロバイダを利用

企業が財務報告に影響を

与える新技術を利用して

いるかどうか。

新技術の利用はない。

一部のアプリケーシ

ョンで新技術を限定

的に利用

プラットフォーム間

での新技術の利用が

混在

ＩＴプロセスに関する事

項

ＩＴ環境のメンテナンス

担当者（セキュリティと

ＩＴ環境の変更を管理す

るＩＴサポート人材の数

とスキルレベル）

担当者が少数で、ベン

ダーが提供するアッ

プグレードとアクセ

ス権管理に限定した

知識しか有さない。

ＩＴスキルのある担

当者を専属としてい

るが人数は限定され

ている。

プログラミングスキ

ルを含む、熟練した技

術者を擁する専門の

ＩＴ部門がある。

アクセス権を管理するプ

ロセスの複雑性

アクセス権の管理権

限を有する１人の担

当者がアクセス権を

管理している。

アクセス権の管理権

限を有する複数の担

当者でアクセス権を

管理している。

ＩＴ部門が、複雑なプ

ロセスでアクセス権

を管理している。

ＩＴ環境に対するセキュ

リティの複雑性。特にウ

ェブベースの取引又は外

部とのインターフェース

を含む取引がある場合に

おける、ＩＴアプリケー

ション、データベース及

びその他のＩＴ環境のサ

イバーリスクに対する脆

弱性等

外部のウェブと接続

のない、単純なオンプ

レミス（社内環境）に

アクセスするのみの

状況

ロールでアクセス権

を制限する簡単なセ

キュリティを主とし

たウェブベースのア

プリケーションが幾

つかある状況

ウェブベースのアク

セスと複雑なセキュ

リティモデルを備え

たプラットフォーム

が多数存在する状況

情報の処理方法に対しプ

ログラム変更が実施され

ているか、またその変更

の頻度

インストールされた

ソースコードのない

市販のソフトウェア

・ソースコードの

ない市販アプリケ

ーションと僅かな

又は簡単な変更を

した成熟したアプ

リケーションの併

用

・必要に応じて更

新するプログラム

開発（例えば、ウォ

・新規、大規模又は

複雑なプログラム

変更

・継続更新を前提

としたプログラム

開発（例えば、アジ

ャイル形式の開発）

監基報 315

- 81 -

ーターフォール形

式の開発）

ＩＴ環境内の変更の程度

（例えば、ＩＴアプリケ

ーションに関連するその

他の環境の追加、又はＩ

Ｔアプリケーション若し

くはそれを支援するＩＴ

インフラストラクチャー

の著しい変更）

市販ソフトウェアの

バージョンアップに

限定した変更

市販ソフトウェアの

アップグレード、ERP

のバージョンのアッ

プグレード、又はレガ

シーシステムの機能

の拡張といった変更

・新規、大規模又は

複雑なプログラム

変更

・継続更新を前提

としたプログラム

開発（例えば、アジ

ャイル形式の開発）

・大規模なERPのカ

スタマイズ

期中に重要なデータ変換

があったか。ＩＴ環境の

変更があった場合には、

その内容と重要性及びデ

ータ変換の有無

ベンダー提供のソフ

トウェアのアップグ

レード（アップグレー

ドに伴うデータ変換

はない。）

限られたデータ変換

を伴う、市販ソフトア

プリケーションの軽

微なバージョンアッ

プ

大規模バージョンア

ップ、新規リリース、

プラットフォーム変

更

《(2) 最先端技術》

５．最先端技術（ブロックチェーン、ロボティクス、人工知能等）は業務の効率性を高めたり、財務

報告を強化する上で、明確な好機をもたらすため、企業は、最先端技術を利用することがある。財

務諸表の作成に関連する企業の情報システムに最先端技術が使用される場合、監査人は、ＩＴの

利用から生じるリスクの対象となるＩＴアプリケーション及びその他のＩＴ環境を識別する際に

当該技術を考慮する。最先端技術は、既存の技術に比べて高度化又は複雑化していると考えられ

るが、ＩＴアプリケーション及び第25項(2)から(3)に従い識別したＩＴ全般統制に関する監査人

の責任に変わりはない。

《(3) 適用の柔軟性》

６．市販のソフトウェアを使用している複雑でない企業で、プログラムの変更を行うためのソース

コードにアクセスができない場合は、企業のＩＴ環境の理解はより容易となる。このような企業

は、ＩＴの専任者を有さず、従業員へのアクセス権の付与又はＩＴアプリケーションに対してベ

ンダーが提供するアップデートのインストールを管理する役割を特定の担当者に割り当てる場合

がある。監査人が市販の会計パッケージ・ソフトウェア（複雑でない企業が情報システムにおいて

利用する唯一のＩＴアプリケーションである場合もある。）の性質を理解する際に考慮することが

ある具体的な事項には次の内容が含まれる。

・ソフトウェアの安定性及び信頼性についての評判

・企業がソフトウェアのソースコードを変更して、ソフトウェアにモジュールを追加（すなわ

ち、アドオン）したり、データに直接変更を加えることができる程度

・ソフトウェアに実施した修正の内容と程度。ソフトウェアのソースコードの変更ができなく

監基報 315

- 82 -

ても、多くのパッケージ・ソフトウェアでは環境設定の変更が可能である（例えば、レポートに

関するパラメータの設定や変更）。環境設定の変更は、通常、ソースコードの変更を伴うもので

はないが、監査証拠として利用するソフトウェアが作成する情報の網羅性及び正確性を検討す

る際に、監査人は、企業がソフトウェアの設定値をどの程度変更できるかを考慮する。

・財務諸表の作成に関連するデータに直接アクセスできる程度（すなわち、ＩＴアプリケーショ

ンを介さずにデータベースに直接アクセスできる程度）、及び処理されるデータの量。データの

量が多いほど、データのインテグリティの維持に対応する内部統制が必要になる可能性が高ま

り、これには未承認のアクセスやデータ変更に関するＩＴ全般統制が含まれることがある。

７．複雑なＩＴ環境には、高度にカスタマイズされたか、高度に統合されたＩＴアプリケーションが

含まれる場合があるため、理解のためにより多くの労力が必要となることがある。財務報告に関

するプロセス又はＩＴアプリケーションは、他のＩＴアプリケーションと統合されている場合が

ある。このような統合には、企業の事業運営で使用されるＩＴアプリケーションで、企業の情報シ

ステムにおいて取引の流れ及び情報処理に関わるＩＴアプリケーションに情報を提供するＩＴア

プリケーションが含まれる。このような状況では、企業の事業運営で使用される特定のＩＴアプ

リケーションも財務諸表の作成に関連する場合がある。また、複雑なＩＴ環境では、ソフトウェア

開発やＩＴ環境の保守のスキルを備えた担当者と、組織的なＩＴプロセスを備えた専門のＩＴ部門

が必要となる場合もある。上記の他、企業は、その他のＩＴ環境やＩＴプロセスを管理するために、

内部又は外部のサービスプロバイダを利用する場合がある（例えば、第三者によるホスティング）。

《ＩＴの利用から生じるリスクに関連するＩＴアプリケーションの識別》

８．情報処理統制の内容と範囲を含む、企業のＩＴ環境の性質と複雑性を理解することにより、監査

人は、財務情報を正確に処理し、財務情報のインテグリティを維持するために、企業がどのＩＴア

プリケーションに依拠しているかを判断することができる。企業が依拠するＩＴアプリケーショ

ンを識別し、そのＩＴアプリケーションにおける自動化された内部統制が、識別した重要な虚偽

表示リスクに対応すると想定される場合には、監査人は、自動化された内部統制を評価すると決

定する場合がある。逆に、企業がＩＴアプリケーションに依拠していない場合、そのＩＴアプリケ

ーションにおける自動化された内部統制は、運用状況の有効性の評価の目的上、適切又は十分に

正確である可能性は低い。第25項(2)で識別される自動化された内部統制には、例えば、自動計算

や、発注書、送り状及び請求書の３者間照合のような入力、処理及び出力の内部統制が含まれる場

合がある。監査人が自動化された内部統制を識別し、ＩＴ環境の理解を通じて当該自動化された

内部統制を含むＩＴアプリケーションに企業が依拠していると結論付けた場合、監査人はＩＴの

利用から生じるリスクの影響を受けるＩＴアプリケーションとして識別することがある。

９．監査人は、自動化された内部統制を識別したＩＴアプリケーションが、ＩＴの利用から生じるリ

スクの影響を受けているかどうかを検討する際に、自動化された内部統制やＩＴアプリケーショ

ンのプログラムの変更を可能とするソースコードへの企業のアクセスの可否及びその範囲を検討

することになる。企業がプログラム又は環境設定を変更する程度、及び変更に関連するＩＴプロ

セスが正式化されている程度も、関連する考慮事項になる。監査人は、データへの不適切なアクセ

ス又は変更のリスクも考慮することになる。

監基報 315

- 83 -

10．監査人が監査証拠として利用するシステムが生成したレポートには、例えば、売掛金の年齢表や

在庫の評価レポートが含まれる。監査人は、こうしたレポートについては、レポートへの入力情報

と出力情報を実証的に検証することにより、網羅性と正確性に関する監査証拠を入手することが

ある。その他の方法としては、監査人は、レポートの作成及び維持に係る内部統制の運用評価手続

の実施を計画することがあり、その場合には当該レポートを作成するＩＴアプリケーションは、

ＩＴの利用から生じるリスクの影響を受ける可能性が高く、監査人は、レポートの網羅性と正確

性に対する内部統制の有効性の評価に加えて、レポートを作成するプログラムやレポートに含ま

れるデータの不適切若しくは未承認の変更に関連するリスクに対応するＩＴ全般統制の運用評価

手続の実施を計画することがある。

11．レポート作成機能を備えたＩＴアプリケーションがある一方で、別のレポート作成アプリケー

ションを利用する企業もある（すなわち、レポートライター）。その場合、ＩＴの利用から生じる

リスクの影響を受けるＩＴアプリケーションを決定するために、監査人は、システムから生成さ

れるレポートの源泉を識別する必要がある場合がある（すなわち、レポートを作成するアプリケ

ーションとレポートの生成に使用するデータソース）。

12．ＩＴアプリケーションが使用するデータソースは、例えば、ＩＴアプリケーションを介するか又

はデータベースの管理者権限を持つＩＴ担当者によってのみアクセスすることが可能なデータベ

ースであることがある。また、データソースがデータウエアハウスで、データウエアハウス自体が

ＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションとみなされる場合もある。

13．企業が多数の統合されたＩＴアプリケーションを用いた高度に自動化されたペーパーレスな取

引処理を行う場合、監査人は実証手続のみでは十分かつ適切な監査証拠が得られないリスクを識

別することがある。そのような状況では、監査人が識別した内部統制には、自動化された内部統制

が含まれる可能性が高い。さらに、企業は、処理された取引及び当該処理に利用されるその他の情

報のインテグリティ（すなわち、情報（データ）の網羅性、正確性、正当性）を維持するために、

ＩＴ全般統制に依拠する場合がある。このような場合、情報の処理や保存に関わるＩＴアプリケ

ーションは、ＩＴの利用から生じるリスクの影響を受ける可能性が高い。

《(4) エンドユーザー・コンピューティング》

14．エンドユーザー・コンピューティングのツール（例えば、表計算ソフトウェア又は単純なデータ

ベース）から出力された計算結果を監査証拠とすることもあるが、そのようなツールは一般的に

は、第25項(2)で説明しているＩＴアプリケーションとしては識別されない。エンドユーザー・コ

ンピューティングのツールへのアクセスや変更に対する内部統制をデザインし、業務に適用する

ことは困難であり、そのような内部統制がＩＴ全般統制と同等又は同程度の有効性を持つことは

まれである。むしろ、監査人は、以下のようなエンドユーザー・コンピューティングの目的及び複

雑性を考慮した上で、情報処理統制との組合せを検討する。

・データ抽出に対する自動化された内部統制又はインターフェースに係る内部統制を含む、デ

ータ転送の開始及び処理に関する情報処理統制

・ロジックが意図したとおりに機能していることを確認するための内部統制。例えば、データ抽

出を検証する内部統制（レポートとその抽出元のデータを照合する内部統制、又はレポートか

監基報 315

- 84 -

ら抽出した個々のデータとその元データを照合し、逆に元データから抽出した個々のデータと

レポートのデータを照合する内部統制）、及び数式やマクロを検証する内部統制

・スプレッドシートの整合性チェックツールといった、数式やマクロを系統的に検証するツー

ルの利用

《２．適用の柔軟性》

15．情報システム内に保存及び処理される情報のインテグリティ（すなわち、情報（データ）の網羅

性、正確性、正当性）を維持するために必要な企業の能力は、関連する取引及びその他の情報の複

雑性や量に応じて異なる。重要な取引種類、勘定残高又は注記事項の基礎となるデータの複雑性

と量が増すほど、企業が情報処理統制（例えば、インプットとアウトプットの内部統制又はレビュ

ーの内部統制等）のみで当該情報のインテグリティを維持できる可能性は低くなる。また、当該情

報が監査証拠として利用される場合には、監査人が実証手続のみにより当該情報の網羅性及び正

確性に関する監査証拠を入手できる可能性は低くなる。状況によっては、取引の量が少なく、複雑

性が低い場合、経営者がデータの正確性と網羅性を検証するのに十分な情報処理統制を有してい

る可能性がある（例えば、処理及び請求された個々の受注が、当初ＩＴアプリケーションに入力さ

れた紙資料と照合される。）。企業が、ＩＴアプリケーションが使用する特定の情報のインテグリ

ティを維持するためにＩＴ全般統制に依拠している場合、情報を維持するＩＴアプリケーション

が、ＩＴの利用から生じるリスクの影響を受けていると監査人は判断する場合がある。

ＩＴの利用から生じるリスクの影響を受ける可

能性が高くないＩＴアプリケーションの特徴例

ＩＴの利用から生じるリスクの影響を受ける可

能性が高いＩＴアプリケーションの特徴例

・外部と接続のないスタンドアローンのアプ

リケーション

・データ（取引）の量が大きくない。

・アプリケーションの機能が複雑ではない。

・各取引は紙媒体の原始文書によって裏付け

られる。

・インターフェース接続のあるアプリケーシ

ョン

・データ（取引）の量が大きい。

・アプリケーションの機能が以下のように複

雑である。

- アプリケーションは自動的に取引を開始

する。

- 自動仕訳の基礎に様々な複雑な計算があ

る。

ＩＴアプリケーションは、以下の理由により、

ＩＴの利用から生じるリスクの影響を受ける可

能性が高くない。

・データの量が大きくないため、経営者はデ

ータを処理又は維持するためのＩＴ全般統制

に依拠していない。

・経営者は、自動化された内部統制や他の自

動化された機能に依拠していない。監査人は、

ＩＴアプリケーションは、以下の理由により、

ＩＴの利用から生じるリスクの影響を受ける可

能性が高い。

・データの量が大きいため、経営者はデータ

を処理又は維持するためにアプリケーション

システムに依拠している。

・経営者は、監査人が識別した特定の自動化

された内部統制を実行するために、アプリケ

監基報 315

- 85 -

第25項(1)のアサーション・レベルの重要な虚

偽表示リスクに対応する内部統制の識別にお

いて、自動化された内部統制を識別していな

い。

・経営者は、システムにより生成されたレポ

ートを使用するが、当該レポートから原始文

書に遡及して照合し、レポートの計算を検証

している。

ーションシステムに依拠している。

《(1) ＩＴの利用から生じるリスクの対象となるその他のＩＴ環境》

16．ＩＴアプリケーションが、ＩＴの利用から生じるリスクの影響を受ける場合、通常、その他のＩ

Ｔ環境もＩＴの利用から生じるリスクの影響を受ける。ＩＴインフラストラクチャーには、デー

タベース、オペレーティング・システム及びネットワークが含まれる。データベースは、ＩＴアプ

リケーションが使用するデータを保存し、また多くの相互に関連するデータテーブルで構成され

る。データベース内のデータは、データベース管理者権限を持つＩＴ部門又はその他の担当者に

よって、データベース管理システムを通じて直接的にアクセスされることがある。オペレーティ

ング・システムは、ハードウェア、ＩＴアプリケーション及びネットワークで使用される他のソフ

トウェア間の情報連携を管理する。このように、ＩＴアプリケーション及びデータベースは、オペ

レーティング・システムを通じて直接的にアクセスされる。ＩＴインフラストラクチャーでは、ネ

ットワークを使用してデータを送信し、また共通のコミュニケーションリンクを通じて情報、リ

ソース及びサービスを共有する。また、ネットワークは、通常、基礎となるリソースにアクセスす

るための論理セキュリティの階層（オペレーティング・システムを通じて有効化される。）を確立

する。

17．監査人によってＩＴの利用から生じるリスクの影響を受けるＩＴアプリケーションが識別され

た場合、識別されたＩＴアプリケーションによって処理されたデータを保管するデータベースも

通常ＩＴの利用から生じるリスクの対象として識別される。同様に、ＩＴアプリケーションの稼

働能力はオペレーティング・システムに依存していることが多く、またＩＴアプリケーションや

データベースはオペレーティング・システムから直接アクセスできる場合があるため、オペレー

ティング・システムも通常ＩＴの利用から生じるリスクの影響を受ける対象となる。ネットワー

クが、識別されたＩＴアプリケーション及び関連データベースへのアクセスポイントである場合、

ＩＴアプリケーションがインターネットを通じてベンダーや外部関係者と接続する場合、又はウ

ェブに接続されたＩＴアプリケーションが監査人により識別されている場合は、ネットワークは

ＩＴの利用から生じるリスクの影響を受ける対象として識別される。

《(2) ＩＴの利用から生じるリスクの識別とＩＴ全般統制》

18．データの不正確な処理、不正確なデータの処理、又は両方を実行する不適切なＩＴアプリケーシ

ョンへの依存に関連するＩＴの利用から生じるリスクの例としては、以下のようなものがある。

・データの破壊や不適切なデータの変更につながる可能性のある、データへの未承認のアクセ

監基報 315

- 86 -

ス（未承認若しくは架空取引の記録、又は取引の不正確な記録等）。特に、複数の利用者が共通

のデータベースにアクセスする場合にリスクが生じる可能性がある。

・ＩＴ部門の担当者が担当業務の遂行に必要な権限を越えてアクセス権を取得し、それにより

職務の分離を侵害する可能性

・マスターファイル内のデータに対する未承認の変更

・ＩＴアプリケーション又はその他のＩＴ環境に対する未承認の変更

・ＩＴアプリケーション又はその他のＩＴ環境に必要な変更が行われない。

・手作業による不適切な介入

・データの消失の可能性、又は必要なデータへのアクセスができない。

19．未承認のアクセスに関する監査人の考慮事項には、社内外からの未承認のアクセスに関連する

リスク（サイバーセキュリティリスクと呼ばれることが多い。）を含む場合がある。企業のＩＴ環

境には、業務上又は法令遵守上の必要性に対応するＩＴアプリケーション及び関連データが含ま

れる場合があるため、そのようなリスクは必ずしも財務報告に影響を与えるとは限らない。通常、

サイバー事故は、社外との接点から内部のネットワークの階層を通じて発生し、財務諸表の作成

に影響を与えるＩＴアプリケーション、データベース及びオペレーティング・システムからはか

なり離れているという点を認識することが重要である。したがって、監査人は、セキュリティ侵害

に関する情報が特定された場合、通常、そのような侵害が財務報告に影響を及ぼす可能性がどの

程度あるかを考慮する。財務報告に影響が及ぶ可能性がある場合、監査人は財務諸表における潜

在的な虚偽表示の影響若しくは範囲を判断するために、関連する内部統制を識別し評価するか、

又は企業がそのようなセキュリティ侵害に関して適切な情報開示をしているかを判断することが

ある。

20．さらに、企業の財務諸表に直接的又は間接的な影響を及ぼす可能性のある法令に、データ保護の

法令が含まれる場合がある。監査基準報告書250に従って企業がそのような法令を遵守しているか

を検討する際には、企業が関連する法令に対処するために導入したＩＴプロセスやＩＴ全般統制

を理解することがある。

21．ＩＴ全般統制は、ＩＴの利用から生じるリスクに対応するために実施される。したがって、監査

人は、識別すべきＩＴ全般統制を決定する際には、識別されたＩＴアプリケーション、その他のＩ

Ｔ環境及びＩＴの利用から生じるリスクについて得た理解を利用する。企業は、場合によっては、

ＩＴ環境全体又は特定のＩＴアプリケーション全体において、共通のＩＴプロセスを使用するこ

とがある。その場合、ＩＴの利用から生じる共通のリスク及び共通のＩＴ全般統制が識別される

場合がある。

22．一般的に、ＩＴアプリケーション及びデータベースに関連するＩＴ全般統制の方が企業の情報

システムにおける情報の処理と保存に密接に関連していることから、その他のＩＴ環境（オペレ

ーティング・システムやネットワーク等のＩＴインフラストラクチャー）に関連するＩＴ全般統

制よりも、多く識別される可能性が高い。監査人は、ＩＴ全般統制を識別する際に、エンドユーザ

ーと企業のＩＴ担当者又はＩＴサービスプロバイダの双方の活動に対する内部統制を考慮する。

23．付録６において、異なるＩＴ環境においても一般的に実施されるＩＴ全般統制の内容について

の詳細な説明を記載している。また、ＩＴ全般統制の各プロセスの例示も記載している。

監基報 315

- 87 -

《付録６ＩＴ全般統制を理解するための考慮事項》（第 25 項(3)②、A161 項及び A162 項参照）

本付録は、監査人がＩＴ全般統制を理解する上での詳細な考慮事項を提供する。

１．それぞれのＩＴ環境に対して通常適用されるＩＴ全般統制の内容

(1) アプリケーション

ＩＴアプリケーション層のＩＴ全般統制は、アプリケーション機能の性質と程度及び技術上

許容されたアクセス経路と相互関係にある。例えば、複雑なセキュリティオプションを備え、高

度に統合されたＩＴアプリケーションには、アクセス方法が取引処理のみであり、少数の勘定残

高をサポートするレガシーＩＴアプリケーションよりも、より多くの内部統制が関連する。

(2) データベース

データベース層のＩＴ全般統制は、一般に、データベースへの直接アクセス又はスクリプトや

プログラムの実行による、データベース内の財務報告情報の未承認の更新に関連するＩＴの利

用から生じるリスクに対応する。

(3) オペレーティング・システム

オペレーティング・システム層のＩＴ全般統制は、一般に、他の内部統制を無効化するような、

管理者権限でのアクセスに関連するＩＴの利用から生じるリスクに対応する。これには、他の利

用者の資格情報の侵害、新しい未承認の利用者の追加、マルウェアの埋め込み、又はスクリプト

若しくは他の未承認のプログラムの実行等の行為が含まれる。

(4) ネットワーク

ネットワーク層のＩＴ全般統制は、一般に、ネットワークの分割（セグメント化）、リモート

アクセス及び認証に関連したＩＴの利用から生じるリスクに対応する。ネットワーク統制は、企

業が、財務報告においてウェブとつながるアプリケーションを利用する場合に関連する。また、

ネットワーク統制は、企業がデータの転送やリモートアクセスの必要性を増大させるような、重

要な事業上のパートナーとの関係又は第三者へのアウトソーシングがある場合に関連する可能

性がある。

２．ＩＴ全般統制の例をＩＴプロセスによって整理すると以下になる。

(1) アクセス管理のプロセス

・認証

ＩＴアプリケーションやその他のＩＴ環境にアクセスする利用者が、利用者自身のログイ

ン資格情報を使用している（すなわち、利用者が別の利用者の資格情報を使用していない。）

ことを保証する内部統制

・権限の付与

利用者が職責に必要な情報にアクセスし、それ以外の情報にはアクセスできないようにす

る内部統制。これにより、適切な職務分離が促進される。

・プロビジョニング

新規利用者への権限付与及び既存のアクセス権の変更を承認する内部統制

・デプロビジョニング

退職又は異動時に利用者のアクセス権を削除する内部統制

・特権アクセス

監基報 315

- 88 -

管理者権限又は高権限のアクセス権に対する内部統制

・利用者アクセスレビュー

付与している権限に対して随時、利用者アクセス権を再証明又は評価する内部統制

・セキュリティの環境設定

情報システムには、一般的に、ＩＴ環境へのアクセスを制限する、主要な環境設定がある。

・物理的アクセス

論理的アクセスコントロールを無効化するような、データセンターやハードウェアへの物

理的なアクセスに対する内部統制

(2) プログラムや他のＩＴ環境への変更を管理するためのプロセス

・変更管理

設計、開発、テスト及び本番環境への移行プロセスに対する内部統制

・本番環境への移行に関する職務の分離

プログラムの変更と本番環境への移行に対するアクセス権の分離の内部統制

・システムの開発、取得又は導入

ＩＴアプリケーション又はその他のＩＴ環境に関連する、当初の開発又は導入に対する内

部統制

・データコンバージョン

ＩＴ環境の開発、導入又はアップグレードにおいて生じるデータコンバージョンに対する

内部統制

(3) ＩＴ業務を管理するプロセス

・ジョブ・スケジューリング

財務報告に影響を及ぼす可能性のあるジョブ又はプログラムをスケジューリングし、実行

するための内部統制

・ジョブの監視

財務報告のジョブ又はプログラムの実行の成否を監視する内部統制

・バックアップと復旧

財務報告データのバックアップが計画どおりに実行され、また停止や攻撃が発生した場合

に、適時の復旧のために当該データが利用可能であり、当該データにアクセスが可能であるこ

とを確保するための内部統制

・侵入の検出

ＩＴ環境の脆弱性や侵入を監視する内部統制

以下の表は、ＩＴの利用から生じるリスクの事例に対処するためのＩＴ全般統制を例示した

ものでありＩＴアプリケーションの性質に応じて記載している。

プロセスリスク内部統制ＩＴアプリケーション

ＩＴプロセス

ＩＴの利用か

ら生じるリス

クの例

ＩＴ全般統制

の例

複雑ではない

市販ソフトウ

ェア - 該当

中規模及び中

程度に複雑な

市販ソフトウ

大規模又は複

雑なＩＴアプ

リケーション

監基報 315

- 89 -

（有/無）ェア又はＩＴ

アプリケーシ

ョン

– 該当（有/

無）

（ ERP システ

ム等） - 該当

（有/無）

アクセス管理

利用者のアク

セス権。

利用者が担当

業務の遂行に

必要以上のア

クセス権を有

すると、不適切

な職務の分離

を引き起こす

可能性がある。

管理者は、利用

者のアクセス

権の新規追加

及び修正につ

いて、内容と範

囲を承認する。

これには、基本

的なアプリケ

ーションのプ

ロファイルや

役割、重要な財

務報告上の処

理、及び職務の

分離へのアク

セスを含む。

（プロビジョ

ニング）

有

下記の利用者

アクセスのレ

ビューと代替

する。

有有

退職又は異動

した利用者の

アクセス（権）

は、適時な方法

で削除又は修

正される。（デ

プロビジョニ

ング）

有

下記の利用者

アクセスのレ

ビューと代替

する。

有有

利用者のアク

セス権の付与

状況は定期的

にレビューさ

れる。

有

上記のプロビ

ジョニング又

はデプロビジ

ョニングと代

替する。

有

特定のアプリ

ケーションに

ついて

有

職務の分離が無有有

監基報 315

- 90 -

監視され、コン

フリクトする

アクセス（権）

は削除される

か、又は軽減す

るための内部

統制（文書化及

び評価され

る。）に関連付

けられる。

どのシステム

も職務分離の

機能を有しな

い。

特定のアプリ

ケーションに

ついて

特権レベルの

アクセス（例え

ば、環境設定、

データ及びセ

キュリティの

管理者）が承認

され、また適切

に制限される。

有

ＩＴアプリケ

ーションの階

層のみで

有

ＩＴアプリケ

ーションとプ

ラットフォー

ムのＩＴ環境

の特定の階層

で

有

プラットフォ

ームのＩＴ環

境の全ての階

層で

データへの直

接的なアクセ

ス。

アプリケーシ

ョン上の処理

以外の方法に

よる、財務デー

タに対する直

接的で不適切

な変更

アプリケーシ

ョンデータフ

ァイル又はデ

ータベース・オ

ブジェクトや

テーブルやデ

ータへのアク

セスが、職務上

許可された担

当者に制限さ

れており、また

当該アクセス

が管理者に承

認される。

無

有

特定のアプリ

ケーション及

びデータベー

スについて

有

システム設定。

システムへの

不適切なアク

セスを制限す

るように、適切

ユーザーのシ

ステムへのア

クセスを承認

する仕組みと

して、固有のユ

有

パスワード

認証のみ

有

パスワードと

多要素認証の

併用

有

監基報 315

- 91 -

に環境設定が

されていない

又はシステム

設定がアップ

デートされて

いない。

ーザー IDとパ

スワード又は

他の方法によ

る認証がある。

パスワードの

パラメータは

会社や業界の

基準を満たし

ている（例え

ば、パスワード

の必要最低限

の長さと複雑

性、有効期限並

びにアカウン

トのロック）。

セキュリティ

の環境設定の

主要な属性が

適切に実施さ

れている。

無

技術的なセキ

ュリティの環

境設定は存在

しない。

有

特定のアプリ

ケーション及

びデータベー

スについて

有

変更管理アプリケーシ

ョンの変更。