ステップで理解！内部統制の評価とロールフォワード手続の考え方ついて

財務報告に関わる内部統制の整備及び運用において、適切な内部統制が行われているかを把握する必要があります。そのために利用するのが、「フローチャート」、「業務記述書」、「リスクコントロールマトリックス」の3点セットです。これらのツールは業務におけるリスクを把握すること、それに対する統制（コントロール）を見つけるために利用されます。

その中で、リスクを識別するために作成されるのが、リスクコントロールマトリックスです。業務内容毎に対するリスクを識別して評価し、内部統制によりリスクがどのように低減しているのかを記載します。

識別したリスクを低減するための内部統制が、会社内に整備されているかを確かめるために実施するのが、「整備状況の評価」です。一方、整備状況で評価された内部統制が実際にその通り運用しているかをチェックするのが、「運用状況の評価」です。

内部統制がきちんと整備されており、それが評価した通りに運用しているかどうかを、整備状況の評価と運用状況の評価の2つを使い、確認していきます。

ここまでの流れから、整備状況の評価→運用状況の評価と決まった順番で行われていると思った方は多いのではないでしょうか。

しかし、実際は評価対象によって、順番に行う場合もあれば、ほぼ同時に評価が実施される場合もあります。

例えば全社的に実施される内部統制の場合、各担当者へ質問状などを送り、その内容から評価を行うことが多いです。こうした場合には、整備状況と運用状況を回答から同時に把握することになります。

対して業務処理に関する統制を評価する場合、質問状を送ることはもちろん、フローチャートや業務記述書を担当者とすりあわせながら、リスクとそれに対するコントロールをひとつひとつ比較していく必要があります。この場合には、整備状況の評価から運用状況の評価というようにステップを踏んだ確認が効率的です。

ここからは、整備状況の評価とその流れについて3ステップで説明します。

 

１.3点セットを用いた内部統制デザインの評価

ステップ1では、「フローチャート」、「業務記述書」、「リスクコントロールマトリックス」の3点セットから、リスクが合理的なレベルまで低減できているかを確認します。この作業を「内部統制のデザインを評価する」と言います。

ここで難しいと判断された場合、3点セットの内容を見直し、必要に応じて加筆や修正などを行う必要があります。

 

2.整備状況のテストの実施

ステップ2では、ステップ1で評価した内容が、その通り業務に反映されているかを確認します。確認方法は、担当者への質問、業務で扱われている文書や書類のチェック、観察、ウォークスルーなどさまざまです。なお、ウォークスルーというのは実際の業務がどのように進行するかをシステム反映まで追跡し、同時に担当者への質問を実施する方法です。

 

3.整備状況を各統制ごとに評価

ステップ3では、ステップ1と2の結果を元に、財務報告の虚偽記載リスクが合理的なレベルまで低減されている整備状況になっているかを評価します。もし、有効でないと判断された場合には、補完対応を行う必要があります。それでも難しい場合、運用の評価に進めず、内部統制に不備ないし欠陥があると見なされてしまう可能性があるため注意が必要です。是正策を講じるためにも、期日よりも余裕を持った評価を心がけましょう。

ここからは、運用状況の評価とその流れについて4つのステップで説明します。

 

1.評価手続の決定（事前準備）

ステップ1では、整備状況の評価をクリアした内容について、どのような方法で運用状況の評価を進めていくか決めます。方法は質問、観察、調査、再実施です。

基本的に、運用評価手続から得られる保証レベルは、再実施が最も高く、調査、観察、質問の順に低くなります。保証レベルが高いほど、手続きに時間も費用も必要です。そのため、どの方法でチェックするのが一番効率的でかつ効果的なのかを考えながら、評価方法を決めていく必要があります。

 

2.サンプリング方法の決定（事前準備）

ステップ2では、どれだけの件数に対して運用状況の評価を行うか決定します。実際に全ての内容を評価するのは困難なため、サンプル件数を決定した上で、運用状況の評価が求められます。なお、サンプル件数については、その内容に関わる頻度や煩雑さ、重要性といった条件から決定されます。

サンプル抽出についての留意

内部統制の 実施基準には評価項目における具体的なサンプル数が明記されていません。そのため、有効かどうかを評価するためのサンプリング抽出とその設計に悩む方は多いと思います。どの程度のサンプル数が適切であるかを一概に表すことはできませんが、経済産業省のシステム管理基準 追補版では、内部統制の運用状況の評価におけるサンプリング件数の例として25件（1 日につき多数の場合）という数を示しています。これは統計的に認められる90%の信頼度を得るために必要な数です。

（引用元：経済産業省システム管理基準 追補版P144. 付録図表５－１ サンプル件数の例

https://www.meti.go.jp/policy/netsecurity/downloadfiles/guidance.pdf）

 

3.運用状況の評価手続の実施

ステップ3からは、ステップ1と2で決めた条件でサンプルを評価していきます。もし、サンプルにエラーが出た場合は、追加のサンプルを手に入れる必要があります。そのため、サンプル数が少ない貴重な案件や調整が難しい案件の場合には、事前に担当者へ相談しておいた方が良いでしょう。

 

4.内部統制の実施基準の評価

ステップ4では、ステップ3の結果から、内部統制が作成した文書通りに有効に運用されているかを確認します。なお、内部統制が作成した文書通りに運用されているかどうかは、評価手続の対象となる内部統制ごとに判断します。

内部統制の運用及び実施の評価手続きを行おうとした時、実際は期末日にすべての評価を行うことが困難なため、「期末日前に行なっている評価項目を評価実施日から期末日まで有効化する手続き」をロールフォワード手続と言います。

この手続きは、期末日前に行なっている評価項目が期末日まで項目通りに運用されていることを証明するために実施します。

内部統制の評価に欠かせない、整備状況と運用状況の評価ステップを始め、評価実施日から期末日までさかのぼって有効化するロールフォワード手続までご紹介しました。ぜひこの内容を参考に、実務にお役立てていただけますと幸いです。

 

なお、下記では、内部統制の評価に利用される内部統制文書3点セットの中から、フローチャートの一部を特別公開しますのでご参考までにお使いください。