内部統制の評価を進める中で、不備が検出された場合、どのように対応すればよいのでしょうか。
不備が検出された場合、不備の種類やスケジュール等を勘案しながら、対応を検討する必要があります。
不備を出さないということが大事ではありますが、内部監査部門として、いざ不備が出た場合の対応を理解しておくことは有用です。今回は、内部統制評価で不備が検出された場合の対応方法について、解説していきます。
不備検出時の対応手順
内部統制評価を行った結果、不備が検出された場合、以下のような手順で対応を検討します。
①サンプリング件数の追加
②再評価の実施
③開示すべき重要な不備の判定
まずは、期末までに評価を完了させ、有効と判定できる状態にするように進めるべきです。仮に、期末時点で不備が残った場合は、開示すべき重要な不備に該当しないかを判定します。
不備検出時から期末時点までの期間、不備の内容を踏まえ、どの対応を選択するかを判断します。
不備の内容として、整備状況の不備と運用状況の不備があります。整備状況の不備とは、内部統制の仕組みが無く、業務改善等により、統制を構築する必要があるものになります。運用状況の不備とは、統制の仕組みはあるものの、適切に運用ができていないものになります。
例えば、不備検出時から期末時点までの期間がある場合(3か月以上が望ましい)、再評価の実施を行います。
不備の内容がヒューマンエラーによるもの(押印忘れによる不備等)であれば、サンプル件数を追加し、評価を行うという方法が考えられます。
不備の対応について、作業の手戻りを防ぐため、どの方法を選択するか不備検出時に監査法人と事前に認識合わせをしておく必要があります。
サンプリング件数の追加
不備検出時の対応方法について、それぞれ見ていきたいと思います。不備が検出された場合、まず、サンプリング件数を追加した再評価という方法が考えられます。不備の内容がヒューマンエラー等、運用状況の不備であり、かつ日次統制や随時統制といった年間の発生件数が多い場合、この方法を採用します。
実施基準に、「日常反復継続する取引について、90%の信頼度を得るには、評価対象となる統制ごとに少なくとも25件のサンプルが必要となる」という内容があります。25件サンプリングし、不備が0件であれば、90%以上の信頼度(許容逸脱率10%未満)となる統計学の考え方から、25件という数字が基準になっています。
この統計学の考え方を使えば、不備が出た場合でも、サンプリング件数を拡大し追加評価を行うことにより、90%以上の信頼度を得ることを証明できれば有効と判断して問題ないということが言えます。
サンプリング件数に対する不備件数と許容逸脱率の関係については、下の図を参照してください。
具体的には、42件のサンプリングで1件の不備ということであれば、90%以上の信頼性(許容逸脱率9%)になります。
つまり、25件のサンプリングで1件の不備が検出された場合、追加で17件サンプリングし、全て有効であれば、42件中1件の不備となり、内部統制の評価上有効と判断することができます。
追加で17件をサンプリングするという作業負荷はありますが、不備という問題を早期に解決することができます。
再評価の実施
次に、期末までに統制状況を改善し、再評価を行う方法について、説明します。整備状況の不備の場合、この方法を採用します。対応としては、不備が検出された現場部門の担当者と協議し、どのように改善するかを検討します。その際、いつまでに誰が改善を行うのかを協議し、改善策を検討した記録を残しておくことがポイントになります。
改善策の検討記録は、現場部門に対する備忘録になります。また、監査法人に対し、改善状況を説明する証跡にもなります。
改善が完了した後、再評価を行います。改善後の業務状況を踏まえ、評価手続を設定し、証憑をサンプリングし、再評価を行います。期末までに、改善および再評価が完了していれば、内部統制評価上、有効と判定することができます。ただし、再評価の開始時期は留意する必要があります。改善後すぐに再評価するのではなく、1か月程度運用期間を設け、その後再評価を行う形になります。この点については、監査法人とも認識合わせをしておくことをお勧めします。
内部統制が安定的に運用できていれば、ロールフォワードの作業負荷を考慮し、できるだけ期末に近い時期までを対象期間にし、評価を行う方が望ましいですが、不備が発生する可能性がある場合は、改善の期間も考慮し、早めに評価を行うことも検討する必要があります。期末に近い時期に不備が出ると、改善および評価が間に合わなくなるリスクがあります。
※ロールフォワードついては、以下を参照してください。
◆参考:ロールフォワード
ロールフォワードとは、運用状況評価を実施した日以降、期末日までの有効性を確かめるための評価手続になります。
一般的には、評価対象期間を8~9か月にすれば、期末時点では質問による統制の変更確認のみで完了できますが、評価対象期間が8か月未満の場合、期末時点で、追加のサンプリングを行い、評価を実施する必要があります。
開示すべき重要な不備の判定
期末時点で不備が残ってしまった場合、不備に関連するリスクに対し、他のコントロールは無いか、いわゆる補完統制を確認します。以下に補完統制の例示を挙げます。
(例)
・リスク:支払金額を誤って計上する
・コントロール:発注部門の上長の承認
・補完統制:経理部門が請求書と突合し、計上を行う
補完統制があり、リスクが低減されているという判断が出来れば、検出された不備は「軽微な不備」と判定し、次年度以降、改善を行う形になります。
以下の不備が発生し、期末までに有効と判定できなかった場合は、開示すべき不備に該当する可能性がありますので、留意してください。開示すべき不備の判断は、監査法人とも協議し、慎重に判断する必要があります。
実施基準でも例示されていますが、質的重要性判定基準・金額的重要性判定基準を勘案し、開示すべき重要な不備に該当しないかを判定します。
◆質的重要性判定基準
・粉飾決算に繋がる不備
☑上場廃止基準に抵触する不備(例:債務超過の回避等、財務諸表の虚偽記載)
☑財務制限条項に抵触する不備(例:純資産維持・利益維持・現預金維持等、財務諸表の虚偽記載)
・重要な開示項目の虚偽記載に繋がる不備
☑関連当事者との取引に関する不備(例:関連当事者の存在や関連当事者との取引が網羅されていない不備)
☑主要株主の判定に関する不備(例:名義株の検討、大量保有報告書の検討等、主要株主の判定における不備)
・その他開示すべき重要な不備に該当するかどうかの判断が求められる場合
☑前期以前の財務諸表について、重要な修正をして公表した場合
☑企業の内部統制で識別できなかった財務諸表の重要な虚偽記載を監査人が発見した場合
☑上級経営者層の一部による不正が特定された場合
また、以下の不備についても、財務報告に与える影響が大きいため、開示すべき重要な不備に該当しないかを判断する必要があります。
☑会計方針の選択適用に関する内部統制で不備が発見された場合
☑リスクが大きい取引を行っている事業又は業務に係る内部統制で不備が発見された場合
☑見積や経営者による予測を伴う重要な勘定科目に係る内部統制
☑非定型・不規則な取引に関する内部統制
◆金額的重要性判定基準
業務プロセス統制の不備が期末時点まで残った場合、不備の影響額が基準値(連結税引前利益の5%)を超えるか否かによって判定します。不備の影響額は、以下のように算出します。
不備の影響額=不備の影響範囲(不備に影響する勘定科目の金額)×影響の発生可能性(不備の発生確率)
例えば、事業拠点Aの商品①に関する売上プロセスのコントロールで、25件中1件の不備が検出されたとします。
その場合、「不備の影響範囲」は事業拠点Aの商品①に関する売上高になり、金額は仮に1000万円とします。
「影響の発生可能性」は、統計学の考え方を基に判断します。「影響の発生可能性」については、以下の図を参考にしてください。25件中1件の不備の場合、影響の発生可能性は「14.7%」となります。
結果として、不備の影響額は1000万円×14.7%=147万円ということになります。
「147万円」と基準値(連結税引前利益の5%)を比較し、開示すべき重要な不備の判定を行います。
まず、不備が出ないような仕組みや運用の徹底が重要ですが、自社における統制状況を踏まえ、評価スケジュールを検討する必要があります。新規で評価を行う場合等は、早めに評価を実施し、不備検出時の改善対応を行う期間を設けたスケジュールを設定することをお勧めします。
まとめ
・不備検出時の対応手順
☑不備が検出された場合、①サンプル件数の追加②再評価の実施③開示すべき重要な不備の判定、の順で対応を検討する
☑不備検出時から期末時点までの期間、不備の内容を踏まえ、どの対応を選択するかを判断する
・サンプリング件数の追加
☑日次統制や随時統制といった年間の発生件数が多い場合、サンプリング件数の追加を検討する
☑42件のサンプリングで1件の不備ということであれば、90%以上の信頼性を確保できる
・再評価の実施
☑いつまでに誰が改善対応を行うのかを協議し、改善策を検討した記録を残しておく
☑期末までに、改善および再評価が完了していれば、内部統制評価上、有効と判定できる
・開示すべき重要な不備の判定
☑補完統制があり、リスクが低減されているという判断が出来れば、「軽微な不備」と判定できる
☑質的重要性判定基準・金額的重要性判定基準を考慮し、開示すべき重要な不備の判定を行う
J-SOX構築・評価アウトソーシングサービスについてはこちら!