内部統制の構築が終わったら、内部統制が正しく整備されているか、正しく運用されているかを評価します。図13に従って評価のプロセスを説明します。整備の評価は文書化の直後に行います。そして一定期間経過後に、その間に内部統制が整備どおりに運用されていたかについて評価を行います。
図13 内部統制評価プロセス |
全社的な内部統制の評価
全社的な内部統制については、先に挙げた全社的な内部統制の評価項目の例を参考に、整備された項目について正しく統制されているかを理解し、分析します。必要に応じて関係者への質問や記録の検証を行い評価します。この評価を整備時と運用時の2回行います。
業務プロセスに係る内部統制の評価
業務プロセスに係る内部統制の整備の評価は、作成した3点セットを見ながらアサーションが適切に確保される統制が整備されているかについて、関連文書の閲覧、従業員などへの質問、観察などを通じて判断します。ここで「ウォークスルー」という手続きを取る場合があります。これはある業務プロセスの最初から最後までを業務記述書、業務フロー図、リスクコントロールマトリクスを手にして追っていき、文書どおりに業務がなされているかを確認する作業です。
次に運用の評価は、担当者への質問、業務の観察、内部統制の実施記録の検証などに基づいて行います。実際にはサンプリングにより十分かつ適切な証拠を入手します。サンプリング数については監査人との事前の協議を行い決定するべきです。ちなみに監査人か監査の際に自らサンプルを用いた試査を行う場合に日常反復継続する取引の場合は25件のサンプルが必要になることが示されていますので参考にしてください。
運用の評価を行う際には、業務で発生したさまざまな紙の帳票や電子の帳票などの証跡を用いるため、証跡管理というものを確実に行わなければなりません。サンプリング対象になった案件の証跡としての書類が見つからない、などといった不手際は避けたいものです。
ITを利用した内部統制の評価
IT全般統制とIT業務処理統制に分かれますが、いずれも10ページ目で述べたような観点で整備および運用がされているかを評価します。IT統制においても必要に応じて3点セットの文書を作成します。
IT全般統制においては以下の項目を評価します。
- システムの開発、保守に係る管理
新たにシステム、ソフトウェアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているか - システムの運用・管理
障害や故障時に備えてデータやソフトウェアの消失防止、復旧の対策がとられているか。また、障害や故障時の状態把握、分析、解決等の対応が適切に行われているか - 内外からのアクセス管理などのシステムの安全性の確保
データ、システム、ソフトウェア等の不正使用、改竄、破壊などを防止するために、適切なアクセス管理等の方針を定めているか - 外部委託に関する契約の管理
適切にITに関する外部委託に関する契約の管理を行っているか
IT業務処理統制においては以下の項目を評価します。
- 入力情報の完全性、正確性、正当性等を確保するための手段がとられているか
- エラーデータの修正と再処理が適切に行われているか
- 仕入れ、販売などのマスタ・データの維持管理が適切に行われているか
- システムの利用に関する認証、操作範囲の限定など適切なアクセスの管理がなされているか
IT統制の特徴はいったん整備されると一貫して機能することにより、変更やエラーが起きず、関連する全般統制も有効な場合は、前年の評価を継続して利用することができます。
有効性の判断
内部統制の評価段階で不備が見つかった場合は、その不備を評価し、重要な欠陥かどうかを判断します。
全社的な内部統制に不備があった場合は、広範囲に影響を及ぼす可能性があるので慎重に検討する必要がありますが、業務プロセスに係る内部統制が有効に機能することもありえます。
業務プロセスに係る内部統制に不備があった場合は、次の手順で重要な欠陥かどうかを判断します。
- その不備がどの勘定科目等に、どの範囲で影響を及ぼしうるかを検討する
- その影響が実際に発生する可能性を検討する
- 不備の質的・金額的重要性を判断する
金額的重要性については連結税引前利益については概ね5%程度という指針があります。
欠陥の是正
評価プロセスで発見された不備及び重要な欠陥は期末日までに是正しなければなりません。期末日までに是正されていれば内部統制は有効であると認められます。
評価に使用した文書と評価結果についての文書は記録を保存しておかなければなりません。保存期間は5年程度です。後日、第三者により検証できるように、関連する証拠書類も適切に保存する必要があります。
提供:オービックビジネスコンサルタント
『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。