SEC による内部統制評価のための解釈指針

(1)

香川大学経済論叢

第81巻第 1号 2008年6月 63‑90

SEC による内部統制評価のための解釈指針

〜原則ベースのアプローチ〜

井上善

弘

］はじめに

アメリカの証券取引委員会 (Securitiesand Exchange Commission, 以下， SEC という。）は， 2007年6月に，経営者が財務報告に係る内部統制の評価を実施するための解釈指針 (interpretiveguidance) を公表した。この解釈指針は，後に詳述するように，財務報告に係る内部統制の評価に対する原則ベースの

prmc1ples based) アフローチを提示している。

SECが公表したこの解釈指針は，財務報告に係る内部統制の評価の主導権を内部統制藍査の担い手である監査人から経営者に取り戻す役割を果たすと考えられる。アメリカの公開会社会計監視委員会 (PublicCompany Accounting Oversight Board, 以下， PCAOBという。）が2004年3月に公表し，かつて内部統制藍査を規制していた監査基準第 2号は，監査人に対して，経営者による財務報告に係る内部統制の評価プロセスを評価するよう求めていた。そして，

監査基準第2号は，経営者の評価プロセスを評価する際に監査人が従うべき要件を詳細に規定していた。ところが，監査基準第 2号に基づく内部統制監査を受ける経営者の側が，本来監査人を規制するための当該要件を自らが財務報告に係る内部統制を評価する上での拠り所にしていたのである。しかしながら，

PCAOBが2007年5月に公表した内部統制監査に係る新基準である監査基準第5号は，経営者の評価プロセスを監査人が評価しなければならないという規

(2)

定を削除した。その結果として，経営者には，監査基準に頼ることなく自ら主体的に財務報告に係る内部統制を評価する必要性が生じてぎたことになる。そこで，新監査基準である監査基準第5号とほぽ同時期に， SECはこの解釈指針を公表したのである。

本稿は， SECによるこの解釈指針の内容とその特徴について検討するものである。本稿の構成は以下のとおりである。まず，続く II章で，解釈指針の具体的な内容の検討に先立って，解釈指針の基本的なスタンスを確認する。そし

て， III章では，解釈指針の規定に沿ってその具休的内容を検討する。さらに，

W章では， III章での検討を受けて解釈指針の特徴を抽出し説明する。最後のV 章では，解釈指針の特徴が持つ功罪の観点からその課題について論じる。

II 解釈指針の基本的なスタンス

1 財務報告に係る内部統制の意義 (1) 財務報告に係る内部統制の定義

1934年証券取引法 (SecuritiesExchange Act of 1934, 以下34年法という）のルール 13a‑15(￡)及び 15d‑15(￡)は，財務報告に係る内部統制 (internalcontrol over financial reporting, 以下本文中では ICFRと略記する）を次のように定義

している。

「財務報告に係る内部統制という用語は，財務報告の信頼性及び一般に認められた会計原則に従った外部報告目的の財務諸表の作成に関して合理的な保証を提供するために，証券発行者 (issuer)の筆頭業務執行役員及び筆頭財務役員，もしくはこれと同等の職務を行う者によって，またはその監督の下に設計されるプロセスであり，取締役会，経営者及びその他の従業員により実行されるものであると定義され，以下の方針及び手続を含

むものとする。

(2) PCAOB [2007] . また，経営者の評価プロセスの評価に係る規定が削除された経緯については PCAOB [2006]を参照のこと。

(3)

65 SECによる内部統制評価のための解釈指針 ‑65‑

l 証券発行者の取引及び資産の処分を合理的な詳細さで正確かつ適正に反映する記録の維持に適するものであり，

2 取引が一般に認められた会計原則に従った財務諸表の作成に必要とされる程度に記録され，収入と支出が証券発行者の経営者及び取締役会の承認を得た場合にのみ行われることに関して合理的な保証を提供

し

3 財務諸表に重要な影響を及ぼす可能性のある証券発行者の資産の未承認の取得，使用もしくは処分の防止又はその適時の発見に関する合理的な保証を提供すること」

上記の定義に見られるように， ICFRの目的は，財務報告のイ言頻性及び一般に認められた会計原則 (generallyaccepted accounting principles) に従った外部報告目的の財務諸表の作成に関して合理的な1呆証を提供することにある。

(2) 合理性 (reasonableness) の意味内容

ところで，上記の定義にある「合理的な保証 (reasonableassurance)」及び「合理的な詳細さ」 (reasonabledetail) という言葉に関して， 34年法の 13(b)(7)は，それを「職務を遂行する慎重な役員 (prudentofficials) を満足させる水準の詳細さ及び保証の程度」であると定めている。 SECは，従前より，「合理性 (reasonableness)」は会社の記録の正確性に関する絶対的な基準ではない，とのスタンスをとってきていた。また， SECは，「合理性」はひとつの客観的な基準ではあるものの，証券発行者がSOX法404条や SECのルールを履行する際に何をもって合理的であると考えるかの判断には，一定の範囲が存在するとの認識を示している。そして，それゆえに， SECは， SOX法 404条の履行というコンテクストでは，「合理的である」，「合理的に」及び「合理性」という用語は単一の方法論や結論を意味するものではなく，証券発行者がその意思決定の基礎に置く潜在的に適切な行為，結論あるいは方法論の全範囲を包含する概

(3)

念であるとの立場をとっている。

(4)

2 ICFR評価の一般原則

ICFRを評価する目的は，会計年度末時点において ICFRに重要な欠陥 (material weakness) が存在するかどうかに関する年次評価のための合理的な基

4)

礎を経営者に提供することにある。解釈指針は，その導入部分において以下で説明する ICFR評価に関する 2つの一般原則 (broadprinciple)を提示しており，

解釈指針全休はこの 2つの一般原則を中心に体系化されている。

ICFR評価のための第 1原則は，「経営者は，財務諸表の重要な虚偽表示が適時に防止及び摘発されないリスクに十分に対応する内部統制を実施してきたか

(5)

どうかを評価しなければならない。」というものである。この第 1原則に従うことにより，経営者は財務諸表における重要な虚偽表示のリスクに十分に対応するために必要とされる阿部統制に ICFR評価の焦点を合わせることができ，

それは結果として ICFR評価の効率性を向上させることにつながる。すなわち，解釈指針は，経営者に対してある業務プロセスに存在するすべての内部統制を識別することも， ICFRに影響を及ぼす事業プロセスを文書化することも要求しない。むしろ，経営者は解釈指針の第 1原則に従うことで， ICFRの評価プロセス及びその評価結呆 (assessment)を裏付けるための文書化の焦点を，

財務諸表における重要な虚偽表示のリスクに十分に対応すると判断した内部統

6)

制に合わせることができるとする。

ICFR評価のための第 2原則は，「経営者は，リスクの評価に基づいて内部統制の運用状況 (operation) に関する証拠を評価しなければならない。」という

(7)

ものである。後に詳述することになるが，この第 2原則のなかの「リスクの評価Jにおけるリスクとは，解釈指針がICFRリスクと称するものである。 ICFR

リスクは，財務諸表の金額及び開示事項（以下，解釈指針の用語に従いこれを

「財務報告要素」 (financialreporting elements) という）に虚偽表示が存在する

(3) SEC [2007 a], p. 3. (4) SEC [2007 a], p. 9. (5) SEC [2007 a], p. 4. (6) SEC [2007 a], pp. 4‑5. (7) SEC [2007 a], p. 5.

(5)

リスクと，当該財務報告要素に関連する内部統訓が虚偽表示の防止• 発見に失

(8)

敗するリスクとを合わせて考慮した場合のリスクをいう。この第 2原則は，内部統制の運用状況の評価のために必要な証拠の量や質に関する判浙に際して，

経営者がリスク・ベースのアプローチを採用することを求めている。その結果，経営者は，この第 2原則に従うことで，連用状況の評価のための手続の性質と範囲を ICFRリスクに応じて決定することになる。例えば， ICFRリスクが低い財務報告要素ないし領域では自已評価 (self‑assessments) による証拠収集がより効率的な評価手続として正当化され， ICFRリスクが高い財務報告要素ないし領域ではより広範囲にわたる肉部統制の検証が実施されることにな

芦9~

解釈指針は，経営者が上記の 2つの一般原則に従うことで，あらゆる規模と複雑性の会社がSECのルールを有効的かつ効率的に履行することができると

(10)

主張する。また，解釈指針は，経営者に対して， ICFRの有効性に関する年次評価のための合理的な裏づけを得ることができるように評価プロセスを計画する際に，自らの経険と見識に基づく判断を十分に発揮するように求めている。

そして，解釈指針は，このことは評価プロセスの計画策定に経営者の十分かつ

(11)

適切な裁量を認めることを意味する，との立場をとっている。

III ICFR評価のプロセス

1 財務報告リスクと内部統制の識別 (1) 総論

解釈指針は，経営者に対して ICFRの日的（すなわち，財務報告の信頼性に関して合理的な保証を提供すること）を達成すると目される内部統制を実際に運用してきたかどうかを評価するように要求する。そこで， ICFR評価のプロセスは，経営者が信頼できる財務報告に対するリスクを当該リスクの変化も含 (8) SEC [2007 a], p. 21.

(9) SEC [2007 a], p. 5. (IO) SEC [2007 a], p. 5. (11) SEC [2007 al 5.

(6)

(12)

めて識別・評価することにより始まる。それから，経営者は，それらリスクに十分に対応するために設計した内部統制を実際に運用してきたかどうかを評価する。また，リスクの評価及び当該リスクに十分に対応する内部統制の識別の両方において，経営者には会社レベルの内部統制 (entity‑levelinternal controls)

(13)

を考慮することが求められる。

解釈指針が提示する ICFR評価のためのアプローチでは，経営者が（下で定義が示される）会社の財務報告リスクに適合したやり方で，内部統制を識別し，当該附部統制に関する裏づけとなる証拠資料を保持することが，認められている。したがって，経営者が識別し，またそれに関して文書による証拠固めが必要な内部統制は， ICFRの目的の達成にとって重要な内部統制ということ

(14)

になる。

(2) 財務報告リスクの識別

解釈指針は，単独で，あるいは他のものと組み合わせた場合に結果として財務諸表の重要な虚偽表示となる虚偽表示が存在するリスクを，財務報告リスク

(financial reporting risk) と定義してい

i !

経営者は，まず，この財務報告リスクを識別しなければならない。そして，経営者は，財務報告リスクを識別するために，財務報告要素において発生する可能性のある虚偽表示の原因とその発生可能性を，会社の事業，およびその組織・業務・プロセスに関する知識と理

(16)

解を利用して検討する。

この財務報告要素における虚偽表示のリスクの評価に関して，解釈指針は特に不正を原因とする虚偽表示のリスクの検討を経営者に求めている。すなわち，経営者は，不正を原因とする重要な虚偽表示のリスクは規模やタイプに関係なくあらゆる組織に存在すること，また，それが事業拠点あるいはセグメン

(12) SEC [2007 a], p. 12. (13) SEC [2007 a], p. 12. (14) SEC [2007 a], p. 12. (15) SEC [2007 a], p. 12. (16) SEC [2007 a], p. 13.

(7)

69 SECによる内部統訓評価のための解釈指針 ‑69‑

トごとに，さらには財務報告要素ごとに異なることを，認識しなければならな

(17)

い。例えば，すべての規模とタイプの会社で不正な財務報告につながる不正リスクは，財務報告プロセスに係る内部統制に対する無効化 (override) のリス

(18)

クである。

解釈指針は，財務報告リスクを識別するために経営者の利用する方法と手続

(19)

が会社の特性 (characteristics) に基づき異なることを強調している。ここにいう特性には，経営者が採用する内部統制のフレームワークとともに，会社の規模，複雑性及び組織構造，さらには会社の事業プロセスや財務報告環境が含ま

れる。例えば，大規模な事業あるいは複雑な事業プロセスにおいて財務報告リスクを識別するためには，専門的な知識を有する従菓員を含めて会杜の多様な従業員が，経営者が利用する財務報告リスクの識別のための方法及び手続に関与するかもしれない。対照的に，中央集権的な組織をベースに経営活動がなされ，事業プロセスも複雑でなく，またリスクあるいはプロセスの変化が小さい小規模会社では，経営者は経営活動に日常的に関与することで，財務報告リス

(20)

クを適切に識別するのに十分な知識を得ることができるとする。

(3) 財務報告リスクに対応する内部統制の識別

経管者は，続いて上で識別した財務報告リスクに十分に対応する内節統制を

(21)

実際に運用してきたかどうかを評価しなければならない。単一の内部統制，あるいは内部統制の組合せが財務報告リスクに十分に対応しているかどうかの判定には，内部統制が，もし適切に運用されているならば，結果として財務諸表の重要な虚偽表示となり得る虚偽表示を有効に防止又は発見できるかどうかの

(22)

判断が含まれなければならない。

(17) SEC [2007 a], p. 14. (18) SEC [2007 a], p. 14. (19) SEC [2007 a], p.13. (20) SEC [2007 a], pp. 13‑14. (21) SEC [2007 a], p. 15.

(8)

解釈指針は，財務報告リスクに十分に対応する内部統制を経営者が識別するに際しての留意点を，特に評価プロセス全体の効率性の観点から次のように説

(23)

明している。まず，解釈指針は， 1つの財務報告要素に係る財務報告リスクに対応する内部統制が複数ある場合もあれば，反対に 1つの内部統制が2つ以上の財務報告要素に係る財務報告リスクに対応する場合もあるとの認識を示す。

その上で解釈指針は第 1に，（財務報告リスクに対応すると目される）既存のすべての内部統制を識別する必要はなく，財務報告リスクヘの対応という観点からして余分な (redundant) 内部統制は，その余剰性自1本が財務報告リスクへの対応のために必要とされない限り，識別する必要はないことを強調する。第 2に，解釈指針は，経営者に対して，財務報告リスクに十分に対応する内部統制を識別するに際して内部統制の運用状況に関する証拠を収集する場合の効率性を考慮するよう求めている。すなわち，財務報告リスクに対応する内部統制が2つ以上存在し，その各々が単独で当該財務報告リスクに十分に対応すると判断した場合，経営者は，そのうちで運用状況に関する証拠をより効率的に収集できる内部統制を評価の対象として選択する。第3に，解釈指針は， IT全般統制 (informationtechnology general controls)が十分に機能している場合には，経営者が手作業による内部統制 (manualcontrol) よりも自動化された内部統制 (automatedcontrol) を効率的に評価できると判断する場合があると，

指摘する。

また，解釈指針は，財務報告リスクに十分に対応する内部統制を識別する際の留意点として，経営者に対して，内部統制が設計とおりに運用されないリス

クを判断する上で役立つような内部統制の特性に関する情報を収集するように求めている。例えば，内部統制の運用に必要な判浙に関する情報や，内部統制

(24)

の複雑性に関する情報などがこれに含まれる。

さらに，解釈指針は，個々の財務報告要素に係る財務報告リスクに対応する内部統闘を識別することに加えて， ICFRの要素のうち，会社レベルの要素や

(23) SEC「2007a], pp. 15‑17. (24) SEC [2007 a], p. 17.

(9)

その他の広範囲に影響を及ぼす要素に相当するものを実際に運用しているかど

厄5)

うかについて評価するように，経酋者に求めている。このような要素には，統制環境に関連する内部統制，経営者による内部統制の無効化に対応する内部統制，会社レベルのリスク評価プロセス及び檻視活動，期末の財務報告プロセス

に係る内部統制等が含まれる。経営者は，内部統制システムが有効であるためには，これら要素がどのようなやり方で機能するのか，また実際に十分に機能

(26)

しているかどうかを評価する必要がある。

(4) 会社レベルの内邪統制に対する考慮

解釈指針によれば，経営者は，財務報告要素に係る財務報告リスクを識別する際にも，またそれに関連する内部統制を識別する際にも会社レベルの内部統

(21)

制を評価しなければならない。但し，その際，経営者が会社レベルの内部統制の性質や会杜レベルの内部統制と財務報告要素との関係を考慮することが璽要である。例えば，財務報告要素との関係が間接的であればあるほど，内部統制は虚偽表示を防止• 発見するのに有効でなくなる。すなわち，統制環境に属する円部統制のように，会社レベルの内部統制のなかには，虚偽表示が適時に防止又は発見される可能性に重要ではあるものの間接的な効果しか持たないものもある。このタイプの四部統制は，ある財務報告要素に係る財務報告リスクに十分に対応するために経営者が必要と判断した別の内部統制に影臀を及ぼすかもしれない。しかしながら，このタイプの内部統制を財務報告リスクに係る財務報告リスクに十分に対応するものとして，経営者が識別することは想定でき

(28)

ない。

(5) IT全般統制の果す役割

経営者が財務報告リスクに対応するものとして識別した内部統制のなかに (25) SEC [2007 a], pp. 16‑17.

(26) SEC [2007 a], p. 17. (27) SEC [2007 a], p. 18. (28) SEC [2007 a], 18.

(10)

は，自動化され，それゆえ ITの機能性 (functionality) にその有効性が依存しているものがある。この場合，経営者の評価プロセスでは，通常，自動化され ITに依存したアプリケーション・コントロールと， ITに機能性を付与すると

ともに当該アプリケーションに関連する IT全般統制のデザイン及び運用状況が考慮される。 IT全般統制は，通常，それのみでは財務報告リスクに十分に対応しないけれども，自動化された内部統制の適切かつ首尾一貫した運用は，

(29)

IT全般統制の有効性にしばしば依存する。解釈指針は， ITに係るリスクと内

(30)

部統制の識別は別々の評価であってはならないことを強調する。また，解釈指針によれば， ICFRの評価に関わる IT全般統制の側面は会杜の実態や環境に従い異なるが， ICFRの評価という目的に照らせば，経営者は財務報告リスクに十分に対応するために設計された他の内部統制の適切かつ首尾一貰した運用に必要な IT全般統制のみを評価すればよい。例えば，経営者は，プログラムの開発と変更，プログラム及びデータに対するアクセスといった IT全般統制の側面が会社の実態と環境に合わせて適用されているかどうかを評価する必要がある。但し，会社の業務の効率性と有効性に主として関連しているが，財務報告リスクヘの対応という点では関連性を持たない IT全般統制を，経営者が評

(31)

価する必要はない。

(6) 評価結呆を裏付ける証拠資料

ICFR評価の一部として，経営者はその評価結果に関する合理的な裏づけ資料を保持しなければならない。 ICFRが有効であるために必要な ICFRの会杜レベルの要素及びその他の広範囲に影響を及ぼす要素を含めて，財務報告リスクに十分に対応するために経営者が運用してきた内部統制のデザインに関する

(32)

文書は，合理的な裏づけ資料の肝要な一部をなす。文書の形式と範囲は，会社の規模，性質及び複雑性により異なる。文書は多くの形式を取り得るし（例え (29) SEC [2007 a], p. 19.

(30) SEC [2007 a], p. 19. (31) SEC [2007 a], p. 18‑19. (32) SEC [2007 al ^p^.²⁰^.

(11)

ば，紙媒体，電子媒体等），また多くの方法で開示することができる（例えば，

(33)

方針マニュアル，プロセスモデル，職務記述書等）。

ICFRの評価が求められている経営者に対して，その評価結果を裏付ける合理的な資料として内部統制のデザインに関する文書の保持が求められるのは当然であろう。しかしながら，内部統制のデザインに関する文書の保持について，解釈指針は以下の点を特に強調している。すなわち，財務報告に影響を及ほすプロセス内に存在するすべての内部統制を保持すべき文書のなかに含める必要はなく，むしろ，経営者が財務報告リスクに十分に対応するものと結論付

(34)

けた内部統制をその文書化の焦点とすべきであるとしている。

2 ICFRの運用面での有効性に関する証拠の評価 (1) 総 _論

財務報告リスクとそれに関連する内部統制を識別するプロセスが終了した段階で，経営者は， ICFRの日的（財務報告の｛言頼性に関して合理的な保証を与えること）を達成するために必要であるとともに， ICFRの運用状況に関する証拠を最も効率的に収集できる内部統制を，評価対象として識別したことになる。そうすると，経営者は次に，評価対象とした内部統制の運用而での有効性

（運用状況からみた有効性）に関する証拠を評価しなければならない。内部統制の運用面での有効性の評価では，附部統制が設計されたとおりに運用されているか，内部統制を実施する者がそれを有効なやり方で実施するために必要な

(35)

権限と能力を有しているかが考慮される。

解釈指針は，内部統制の運用状況に関する証拠を収集するために経営者が利用する評価手続の性質・時期・範囲の決定を，解釈指針における最重要概念の

(36)

ひとつ考えられる ICFRリスクの評価に基づいて行うことを求めている。先述したように ICFRリスクとは，各財務報告要素とそれに関連する内部統制の両 (33) SEC [2007 a], pp. 20‑21.

(34) SEC [2007 a], p. 21. (35) SEC [2007 a], p. 21. (36) SEC [

(12)

者が有するリスク特性 (riskcharacteristics) を一体として捉えた概念である。

経営者は，内部統制の運用状況に関する評価の焦点を， ICFRリスクの最も高い領域に合わせなければならない。また， ICFRリスクの評価に際しては，統訓環境の相対的な強みや弱み等の会杜レベルの内部統制がもたらす影響を経営

(37)

者は考慮することになる³

また，内部統制の運用状況に関する証拠の入手方法として，解釈指針は，内部統制の直接的な検証 (directtesting of controls) と継続的監視活動 (on‑going

(38)

monitoring activities) の2つを挙げている。経営者が，内部統制の運用状況に関する十分な証拠を収集するために必要な（内部統訓の）評価手続として，いずれの評価手続を選択するか，あるいはどのようにそれらを糾み合わせるかの判断，またその実施時期と範囲の決定は，経営者が評価した ICFRリスクに依

(39)

存する。

(2) 評価を裏付けるために必要な証拠に関する意思決定

経営者は，財務報告要素に係る財務報告リスクに十分に対応するものとして識別した内部統制に関して，その ICFRリスクを評価して， ICFR評価を裏付けるために必要な証拠の量と質を決定しなければならない。この ICFRリスクの評価に際して，経営者は，評価対象である内部統制が関係する財務報告要素の性質（財務報告要素に係る虚偽表示リスク）と，当該内部統制それ自体の性質（内部統制が有効に運用されないリスク）の両方を考慮しなければならない。

以下では，解釈指針に従い，まず経営者がこれら 2つのリスクを評価する上で

(10)

の留意点について述べる。

① 財務報告要素に係る虚偽表示リスクの評価

財務報告要素に係る虚偽表示リスクを評価する際，経営者は，財務報告要素の重要性 (materiality) と，当該財務報告要素の基礎をなす勘定残高，取引も

(37) SEC [2007 a], pp. 21‑22. (38) SEC [2007 a], p. 22. (39) SEC [2007 a], p. 22. (40) SEC [2007 a], pp. 25‑27.

(13)

しくは他の裏づけとなる情報に財務諸表全体にとって重要である虚偽表示が存在する可能性との，両方を考慮しなければならない。後者に関して，経営者は，重要な虚偽表示の生じやすい取引，勘定残高もしくは他の裏づけとなる情報が財務報告要素に含まれている可能性を考慮しなければならない。例えば，

財務報告要素が， (i)記録された金額を決定する院に経営者の判断が関係する， (ii)不正の影響を受けやすい， (iii)複雑な会計処理上の規定が関係している， (iv)基礎をなす取引の性格やその取引量が変化を経験している，あるいは (V)技術，経済の進展のような環境要因の変化に敏感である程度は，経営者による虚偽表示リスクの評価に影響を及ぼす。

その他，虚偽表示リスクが高いと評価される財務報告要素の例として，関連会社間取引，重要な会計方針及びそれに関連する重要な会計上の見積りが関係する財務報告妻素が挙げられている。

② 内部統制が有効に運用されない可能性の評価

内部統制が有効に運用されない可能性を評価するに当たって経営者が考慮する必要のある事項には，以下のようなものがある。

0 内部統制のタイプ（すなわち，手作業によるか自動化されたものか）

及び内部統制が運用される頻度

0 内部統制の複雑性

0 経営者による無効化のリスク

0 内部統制を運用するために必要な判断

0 内部統制を実施するもしくはその結果を監視する従業員の能力

0 内部統制を実施するもしくはその結果を監視する上で鍵となる従業員の交代がこれまであったかどうか

0 内部統制が防止又は発見することを意図している虚偽表示の性格と重要性

0 内部統制が他の内部統制（例えば， IT全般統制）の有効性に依存している程度

(14)

〇附部統制の過年度の運用状況に関する証拠

なお，先に，虚偽表示リスクが高いと評価される財務報告要素の例として挙げた，関連会社間取引，重要な会計方針及びそれに関連する重要な会計上の見積りが関係する財務報告要素を対象とする内部統制が，経営者による無効化のリスクの影欝を受け，重要な判断を含み，あるいは複雑である場合には，それらの財務報告要素及び内部統制に関しては，通常 ICFRリスクが高いと評価される。

また，財務報告要素に係る虚偽表示リスクに十分に対応するために複数の内部統制の組合せが必要な場合，経営者は個々の内部統制のリスク特性を分析しなければならない。それは，財務報告要素に関連する（複数の）内部統制がリスク特性を必ずしも共有するわけではないからである。例えば，重要な見積りが関係する財務報告要素は，源泉データの蓄積に関連する自動化された内部統制と，仮定に関する高度な判断を要する意思決定が関係する手作菜による内部統制の組合せを必要としている。この場合，自動化された内部統制は安定した

（すなわち，重要な変更をこれまで経験していない）システムの影響下にあり，

有効な IT全般統制によって支援されているがゆえに，低リスクと評価される。他方で，（担当者の判断に頼る）手作業による内部統訓は高リスクと評価される。

さらに， ICFRリスクの評価は，会社レベルの内部統制（例えば，統制環境）

の有効性により影響を受ける。例えば，ある内部統制が有効に運用されない可能性に関する経営者の判断は統制環境の有効性により影響を受け，それは結果として，当該内部統制の評価を裏付けるために必要な証拠に係る経営者の判断に影響を及ぽすことになる。しかしながら，強力な統制環境が当該内部統制の運用状況を評価する必要性を完全に排除するわけではない。

③ ICFRの運用状況に関する証拠を収集するための評価手続の実施

経営者は，内部統制の運用面での有効性の評価の合理的な基礎を提供する証拠を評価しなければならない。そして，経営者は，内部統制の運用状況に関す

(15)

る十分な証拠を収集するのに必要な内部統制の評価方法及び手続を ICFRリスクの評価に従い決定する。経営者が評価する証拠は，内祁統制の直接的なテス

ト，継続的監視活動，あるいは両者の組合せにより入手される。

直接的な統制テストは，通常，評価対象である内部統制に対する客観性（独立性）が高い者によって定期的に実施される。また，直接的な統制テストは，

内部統制の運用面での有効性に関する一定時点の証拠を提供するとともに，継

(41)

続的監視活動の信頼性に関する情報を提供する。

他方，継続的監視活動には，内部統制の連用状況に関する情報を提供する経営者による通常の反復的な活動が含まれる。例えば，継続的監視活動には，自己評価 (self‑assessment)手続や附部統制の運用状況を追跡するために設計された成果尺度を分析するための手続が含まれる。ここにおける自己評価という言葉は，様々なレベルの客観性を有する者により実施される様々なタイプの手続を指すことができる広義の専門用語である。自己評価には，内部統制の運用に責任を負わない経営管理者のメンバーだけでなく，当該内部統制を運用する

(42)

従業員によりなされる評価をも含まれる。もっとも，自己評価手続がもたらす証拠の質は，当該手続に関与する従業員の客観性と当該手続が実施される方法に依存している。例えば，内部統制を運用する役割を担う従業員により実施された自己評価からの証拠は，通常，評価者の客観性の程度が低いために十分な

(43)

証拠をもたらすとはいえない。

先述したように，経営者は，内部統制の運用状況に関する十分な証拠を収集するのに必要な内部統制の評価方法及び手続を， ICFRリスクの評価に従い決定する。例えば， ICFRリスクを高いと評価した場合，経営者は，通常，直接的な統制テストか，もしくはより客観性の高い者が実施する継続的監視活動により証拠を入手することになる。仮に，会社の継続的監視活動が十分に客観的でない従業員により実施されている場合には，当該継続的監視活動がもたらす

(41) SEC [2007 aJ, p. 28. (42) SEC [2007 a], p. 28.

(16)

証拠は，通常，内部統制の運用からは独立した者による直接的な検証により補完されることになる。反対に， ICFRリスクを低いと評価した場合，経営者は，

継続的監視活動が提供する証拠で十分であり，直接的な検証は何ら必要ないと結論づけることも可能である。さらに，この場合の ICFR評価では，経営者は通常，闊末日を含めて会計年度中の合理的な期間からの証拠を考慮することに

⑪

なる。

ところで，解釈指針は， ICFRの運用状況に関する証拠を収集するための評

(45)

価手続に関して，小規模会社を配慮して以下のような留意点に言及している。

すなわち，小規模会社では，経営者は内部統制に日常的に関与することで，内部統制の運用状況について十分な知識を得ることになり， ICFRの運用状況を評価することができる。ただし，経営者は，内部統制に対する日常的な関与が ICFRの運用面での有効性を評価するための十分な証拠を提供するかどうかを判断する際に，会社特有の実態や会社を取り巻く状況を考慮しなければならない。例えば，内部統制の運用が集権化され (centralized)かつ内部統制に関与する従業員の数が限られている場合には，内部統制に対する日常的な開与が ICFRの運用面での有効性を評価するための十分な証拠を提供すると言える。

反対に，会社が複数の経営管理報告の階層もしくは経営錦門を持つ場合には，

日常的関与は通常十分な証拠を提供しない。なぜなら，この場合， ICFRの有効性の評価に責任を負う者は，通常，内部統制の運用状況について十分に通暁

していないからである。

(3) 評価結果を裏付げる証拠資料

先述したように， ICFR評価の一部として，経営者はその評価結果に関する合理的な裏づけ資料を保持しなければならない。 ICFRの評価が求められている経営者には，その評価結果を裏付ける合理的な資料として内部統制のデザインに関する文書だけでなく，内部統訓の運用状況に関する文書の保持が求めら

(44) SEC [2007 al p. 29. (45) SEC [2007 a], p. 30.