今回は、弊社オリジナルの連載特集【内部統制報告制度(J-SOX)対応の実務】第13回目をお届けいたします。
内部監査支援、J-SOX対応支援
内部統制が有効かどうかを評価するためには、経営者が設定した内部統制が、きちんと実務で機能しているかを検証する必要があります。されど、全ての取引について内部統制がきちんと機能しているかを検証していくことは実質的に不可能ですから、全取引の中からいくつかサンプルを抽出し、当該サンプルを検証することで、全体の有効性を間接的に立証することとなります(一部が有効なら全体も有効だろうという推定を行います)。
今回はそのサンプルの抽出方法に関する留意点について述べたいと思います。
サンプル抽出の留意点
サンプルといっても適当に抽出すればよいわけでなく、また、恣意(しい)的に抽出してはいけません。一部のサンプルから全体を評価するわけですから、サンプルはそのような「推定」に適したものを抽出する必要があります。少々アカデミックな話になりますが、まずはサンプリングの方法から説明していきたいと思います。
【サンプリングの方法は2種類ある】
内部統制の運用テストで用いられる「サンプリング」という用語は、一部の項目に対する検証から得た結果をもって全体の特性を評価する手続きをいいます。そのため、ある項目を抽出し検討する手続きが母集団全体の特性を評価するにふさわしくなければサンプリングとは言わず(後者は「特定項目抽出」といいます)、一般的に広く用いられる「サンプリング」と区分が必要かもしれません。
サンプリングの方法は「統計サンプリング」と「非統計サンプリング」があります。
(1) サンプルを無作為抽出法で抽出(サンプルの元となる全体(以下「母集団」といいます)がサンプルとして抽出される可能性が等しくなるような方法で抽出)
(2) 確率論の考え方に基づき、サンプルのテスト結果から母集団の特性を推定する
上記(1)と(2)の要件を満たすのが「統計サプリング」、それ以外を「非統計サンプリング」といいます。
内部統制の評価テストでは「25件」のサンプルテストが必要だ、という話を耳にされる方も多いかと思いますが、これは、確率論の考え方に基づき母集団の結論を導くのに必要なテスト件数なので、そもそもこの考えは「統計サンプリング」に基づくものだと言えます。
実施基準では、必ずしも統計サンプリングの適用が要請されているわけではありませんが、実務では統計サンプリングにより内部統制の運用テストを行う場面が多いため、下記では統計サンプリングを中心に進めることとします(非統計サンプリングを用いるケースもありますが、統計サンプリング以外が全て該当するということなので、説明は割愛します)。ただ、あまりアカデミックな話を深堀しても、本稿の趣旨からかけ離れてしまうため、ここではさらりと「そういうものか」とご理解いただける程度の内容とさせていただきたいと思います。
【無作為抽出法】
サンプル抽出に際し恣意性を完全に排除し、母集団を構成する項目がすべて等しく抽出されるように抽出する方法を言います。
実務では、母集団の全ての項目に連番を付し、乱数表を用いてサンプルを機械的に抽出する方法や、母集団をサンプル数で割って得た数字の間隔ごとにサンプルを抽出するなどの方法がとられます(母集団が750、抽出すべきサンプル数が25の場合、30間隔(750÷25)でサンプルを抽出します(最初のサンプルは乱数表で決定。例えば最初のサンプルがNo3となれば次のサンプルはNo33(3+30)、その次はNo63(33+30))。
【サンプルの件数】
実施基準では「運用状況の評価の実施に際して、経営者は、原則としてサンプリングにより十分かつ適切な証拠を入手する。」とあるのみであり、会社に対する具体的なサンプル件数については言及されていません。一方実施基準の中でも監査人に対するガイダンスの中では、「例えば、日常反復継続する取引について、統計上の正規分布を前提とすると、90%の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25件のサンプルが必要になる」と記載されています。
そのため、経営者評価の際はどのようなサンプル数を用いるべきか判断に迷われるかもしれません。この点、実務的には監査人と同様の評価方法を用いることが多いとえいます。なぜなら、監査人から内部統制評価の適正意見を入手する必要がありますから同様の評価方法により、意見のすり合わせを行うのが効率的ですし、何よりやみくもな評価手続よりも統計的な考えによる評価手続の方が、評価結果の導き方が理論的となるためです。
なお、実務指針では日常反復継続的な取引(日々何度も行われる取引)について25件のサンプル数を提案していますが、それ以外の取引(日次、週次、月次等)については言及されていません。これらについては米国SOX法を参考に、一般的に下記が用いられることが多いようです。
➣ 日常反復継続的な取引のサンプル数 ⇒ 25件~60件
➣ 日次取引のサンプル数 ⇒ 20件~40件
➣ 週次取引のサンプル数 ⇒ 5件~15件
➣ 月次取引のサンプル数 ⇒ 2件~4件
➣ 四半期取引のサンプル数 ⇒ 1~2件
➣ 年次取引のサンプル数 ⇒ 1件
(活動頻度が増えれば増えるほど、母集団を推定するためにサンプル件数が多くなります。なお、各内部統制の評価に必要な具体的なサンプル件数については監査人と協議の上決定することが望ましいです。)
【サンプル評価結果からの母集団の特性の推定】
統計サンプリングでは、確率論の考えを用い、サンプルの結果から母集団の特性を推定します。そのため、結果が画一的かつ非常にシビアなものとなります。例えば、25件のサンプルから1件でもエラーが出た場合、J-SOX実務では、追加のサンプルの検証ができなければその母集団は「エラーがある」という判断となります。追加のサンプルを検証できた結果として、そこでエラーが出なければよいのですが、追加的な2件目のエラーが判明した場合、結果として母集団全体がエラーという判定となります。なお、サンプル件数とエラーの件数は、サンプル数が増えるほど許容されるエラー件数が増えますが、いくらサンプル数を増やしたとしても、実務上は許容されるエラー数は2,3件程度だとご理解ください(母集団全体をエラーと判定したうえ、代替的な内部統制を探るか、根本的に内部統制の改善策を講じるべきといえます)。なお、具体的なサンプル数と許容エラー数の相関関係は、別途委ねますが、監査人と協議の上評価テーブルを設け、手続きの際に用いるのがよいでしょう。
【サンプリングが必要な評価手続きは限定されている】
内部統制の評価を実施する上で、全てにサンプリングが必要というわけではありません。まず、整備状況の評価テストでサンプリングの手法を用いることはなく、運用テストの対象にのみ用いるものである点ご留意ください。また、運用テスト(質問、関連文書の閲覧、観察及び内部統制の再実施)のうち「関連文書の閲覧」、「再実施」を行う際に用います。さらに、自動化された統制では1件のテストのみで十分であることから、対象外となり、手作業で行う統制のみがサンプリング対象となります。
つまり、サンプリリングが必要な評価手続は、業務プロセスの内部統制の運用評価手続のうち、手作業で行う統制のものだとご理解いただければと思います。なお、作業ボリュームは業務プロセスに比して少ないことが想定されますが、IT全般統制にも手作業の内部統制が含まれるため、サンプリングを適用する場面がある点、ご留意下さい。
では、今回はこの辺で失礼いたします。お読みいただきありがとうございました。
J-SOX連載
第2回 そもそも“内部統制”って何?
第8回 RCM(リスクコントロールマトリクス)の作成方法(J-SOX対応実務⑤)
第10回 コンサルタントやツールの活用法(J-SOX対応実務⑦)
第11回 監査法人が行う内部統制監査への対応(J-SOX対応実務⑧)
第13回 サンプル抽出についての留意点(J-SOX対応実務⑩)(今回)
第14回 開示すべき重要な不備について(J-SOX対応実務⑪)
第16回 経営者による内部統制報告書の作成方法(J-SOX対応実務⑬)
「予算利益の達成にコミットしたい」上場会社、上場準備会社の皆様必見
【オリジナルレポート】
内部監査支援、J-SOX対応支援