内部統制の運用評価:サンプル数の決め方【公認会計士が解説】

ITシステム統制
2024.10.05

運用状況評価手続のサンプル数はどのようにして決まるのか

サンプル数が不足すればサンプルを追加で集めなければいけない。

多すぎると無駄な労力になる。

公認会計士として、内部統制の評価に携わってきた私がサンプル数の決め方を解説します。

ぜひ最後までお読みください。

テストサンプル数

内部統制の評価は、

「整備状況評価」で内部統制のデザインが適切であるかを評価し、

「運用状況評価」で整備状況評価の通りに機能していることをテストする

この流れで確かめます。

そして、運用状況評価のテストは発生した全件を対象とするのではなく、サンプルを選び、サンプルに対してテストします。

サンプル数の決め方は、アメリカのSOX法や日本の財務諸表監査で使用される基準で下記の表の件数で行われます。

統制頻度サンプル数母集団数
都度母集団数から決定実際発生数をカウント
日次25件250件
週次5件52件
月次2件12件
四半期1件4件
年次1件1件

このサンプル数でテストした結果、不備が0件であれば「内部統制は有効である」と結論づけます。

リンク:経済産業省 システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

システム管理基準 追補版 (財務報告に係る IT 統制ガイダンス) 平成19年3月30日 経済産業省

表の用語解説

  • 統制頻度:内部統制の発生頻度
  • 具体例1:年度決算の取締役会の承認であれば年1回のみですので、統制頻度は”年次”となります。
  • 具体例2:毎日行われるバッチ処理のチェックであれば統制頻度は”日次”となります。
  • ”都度”はあらかじめ発生が予見できない統制がここに当てはまります。”都度”の扱いはこの記事中で後ほど解説します。
  • サンプル数:「統制頻度」に応じて決まる必要最低サンプル数
  • 母集団数:「統制頻度」に応じた予想発生件数

表のサンプル数は統計学から算出されたもの

内部統制の逸脱率が数%以下であろうと推測されるようなサンプル数という位置づけです。

サンプルテストで不備が0件だから、100%内部統制の逸脱が無いということを意味しません。

難解な言い方ですが「許容可能な逸脱率を超える内部統制の不備は無いといえる」という意味です。

サンプルで不備が検出されたら、追加で複数のサンプルを選び再テストする

この表のサンプル数は、もっともミニマムなサンプル数を記載しています。

このため、表のサンプル数を用いてテストを実施した時には、不備が0件のときのみ「運用状況評価に不備はない」と評価ができます。

不備が検出された場合には、追加のサンプルを複数件選び、追加のテストを行わなければなりません。

追加のテスト件数は監査法人と相談し、テストを実施してください。

表の使い方の要注意事項

注意: この表はリスクが低い・内部統制の重要度が高くない統制の評価にのみ使用できます。

重要度とは例えば、統制で不備があったら該当する統制以外にも問題が波及するような重要なものではない、といった規模の問題があるかで判断してください。

具体的には、下記のような場合です。

  • 過去に該当の内部統制で不備があった
  • 経営者不正があり、改善途中である
  • 監査法人が重要な統制リスクがあると判断している場合

こういった場合には監査法人と相談して内部統制は改善済みとみなせる主張をするか、サンプル数を決めるかといった対応をとることになるでしょう。

サンプル数を無理に減らさないようにしてください。

サンプル数決定の手順

運用状況評価は通常年末ではなく、期中の9ヶ月経過した時点で実施します。

理由は期末あるいは期末日後は決算で忙しくなることと、期末で不備が見つかった場合に内部統制が不備であると確定してしまい、修正・フォローができないからです。

サンプル指定は年度の開始から10ヶ月目の月中に行い、1月前後の資料収集しテスト実施する流れになります。

統制頻度の判断とサンプル数の決定手順

”都度”の統制とは、1日に複数回発生するまたは数ヶ月に1件発生するのか、あらかじめ発生が予見できない統制がこれに該当します。

このため、サンプル数は実際の発生数をカウントして、発生頻度が表の中のどこに位置するかを推定して決めることになります。

具体的な流れは以下の手順です。

  1. 評価期間を決める:通常9ヶ月、整備評価時かそれ以前に決定
  2. 評価期間中に発生した母集団を数える:母集団は整備状況評価時点で定義する
  3. 数えた母集団数から年間の推定発生件数を計算する
  4. 推定発生件数から、統制頻度を判断する
  5. 統制頻度に応じたサンプル数に決定する

3)から5)を具体例を交えて解説します。

  1. 数えた母集団数から年間の推定発生件数を計算する

母集団数はあくまで年間発生件数を意味します。

評価期間中の発生件数を年間発生件数に割り戻して算出します。

もし評価対象期間中の発生件数が250件を超えている、あるいは250件に近いのであれば、その時点で「日次の統制とみなす」として以下の計算を省略して問題ありません。

  1. 例1

評価期間:9ヶ月

発生件数:37件

年間推定発生件数=37件÷9ヶ月12ヶ月= 49.33件

切り上げで44件とします。

  1. 例2

評価期間:9ヶ月

発生件数:133件

年間推定発生件数=133件÷9ヶ月12ヶ月= 177.33件

切り上げで178件とします。

  1. 推定発生件数から、統制頻度を判断する

「推定発生件数が◯件なので、日次の統制とみなす」というように統制頻度を判断します。

ここで注意しなければならないのは、表のなかで記載されている母集団数の扱いです。

推定件数が母集団数の中の”週次”と”月次”の間の件数であった場合には、統制頻度は”週次”を選びます。

より頻度の高いものを選ばなければならないのです。

  1. 例1

発生頻度は44件。これは月次の12件と週次の52件の間の件数です。

したがって、「推定発生件数が44件なので、週次の統制とみなす」と判断します。

  1. 例2

発生頻度は178件。これは週次の52件と日次の250件の間の件数です。

したがって、「推定発生件数が178件なので、日次の統制とみなす」と判断します。

  1. 統制頻度に応じたサンプル数に決定する

あとは表の統制頻度に応じた”サンプル数”がテスト実施する件数となります。

  1. 例1

「週次相当の統制なので、サンプル数を5件とする」と決定します。

  1. 例2

「日次相当の統制なので、サンプル数を25件とする」と決定します。

現場でよくある質問や相談事項

現場でよくある質問や相談事項と私の回答を記載します。

サンプル数が多いので減らせないか

母集団の定義を監査法人と相談して見直す方法が考えられます。

例をあげると、「本部で統括して本部で毎月チェックしているので月次にする」というように共通化する方法などです。

ただし、監査法人の合意を得ていない場合には変更することはやめるべきです。

母集団の定義を頻繁に変更するようだと、組織構造が大きく変わったというような事情がなければ原則不適切であり、場合によっては全社的な内部統制の不備とされるので注意しましょう。

監査法人がサンプル件数がこの方法では足りないと修正を求めてきた

監査法人のリスクの考え方が違うといった個別の状況があると推察されます。

本記事で説明した方法は一般に財務諸表監査で用いられている方法で、J-SOX関連の基準に適しているものを紹介しました。

  • 本記事の方法が間違いと指摘しているのか
  • 母集団が違うと指摘しているのか
  • リスクレベルから足りないと指摘しているのか

このように、監査法人に対して細分化した理由を聞いて、相談して決めましょう。

日次の統制は母集団数は365件ではないのか

活動日数を基準に年月日は決まります。

日は営業日ベースで考えてください。

年によって増減しますが営業日は250日として一般的には使っています。365日稼働している場合も250とします。

整備状況評価で使ったサンプルを運用状況評価でも使っていいのか

原則、整備状況評価と運用状況評価のサンプルは別にしていただきたいです。

しかし、発生件数が無いのでサンプル数を確保できない場合には利用可能です。

監査法人が何と言うかはお答えできないので監査法人に伝えて相談しましょう。

運用状況評価のサンプル数関係で監査法人と相談しておいたほうがいいことは何か

「母集団が適切であるか」の監査法人の判断を確かめておいてください。

母集団の認識が間違っていると指摘されるとサンプル数の数え方から見直さなければならないので大きな手戻りが発生します。

これを予防するために、監査法人が整備状況評価を終えたタイミングで、監査法人の判断をできれば文章で「整備状況評価で指摘がない」といったことを確かめてください。

監査法人から「評価期間を上期で6ヶ月、下期で3ヶ月の合計9ヶ月の2回の実施」と要求された

これは監査法人の負担と、不備検出時の対応の余裕を持たせるために要求してくることが多いです。

例えば、統制の数が多い、多数の重要で複雑なITシステムを利用している大規模の会社では、テスト数が多くなります。

監査法人が会社の評価結果を受け取って検証しますが、9ヶ月を評価範囲とした場合には2月から3月の時期に検証します。

テスト件数が多いと、監査法人の評価が終わるころには3月末から4月になってしまい、ここで不備が検出された場合には対処のしようがなく、監査法人の立場からは不備があると結論づける以外に手段がなくなります。

さらに、監査法人側が監査意見に不備と記載するまでにはいかなくても、会計監査の実証テストの見直しを期末に行うことになり、監査法人だけでなく、会社にも多大な負担がかかります。

多大な負担と記述しましたが、実質的に会社と監査法人の両者とも対応が不可能な状態もおこりえます。

監査法人が要求する背景は、このような事態を避けるためなのです。

おわりに

サンプル数の決定についての本記事は以上となります。

本記事では、下記をお伝えしました。

  • 運用状況評価のテストサンプル数:統計学で定型的に決められた数で行う
  • サンプル数の決め方:年間発生件数で判断する
  • サンプル数に関わる注意事項

サンプル数次第で事務負担は大きく変わりますし、サンプル数を間違えればさらに負担になるのは避けられません。

そういった事態にならないように効率的になればと記事を執筆しました。

本記事では「監査法人に相談」と記載してばかりで曖昧さがあります。

これは監査法人ごとにはそれぞれポリシーがあること、さらに公認会計士ごとにも理解の違いがあること、現場の判断や事情があることなど一概に定まらないためです。

それでも金融庁・監査基準などの規定に沿いつつ、自身の経験を踏まえて実用性のある記事になるよう執筆しました。

本記事が後戻りなく運用状況評価のテストを進める助けになれば幸いです。

当記事は以上になります。

最後までお読みいただきありがとうございました。

記事を読んだ感想、質問、疑問点あるいはご指摘事項がありましたら質問フォームにご記載ください。

可能な限りご回答させていただきます。

コメント