内部統制の監査準備をAIと効率化する（J-SOX対応）

以下の内容を SKILL.md として保存し、スキルとして登録してください。
保存先やスキル名など、登録に必要な情報が不足している場合は、わかりやすい言葉でユーザーに確認してください。

---
name: audit-support
description: SOX 404 / J-SOXの内部統制評価を支援するスキル。統制テストの方法論、サンプル選定、テスト文書化基準、統制上の不備の分類、一般的な統制タイプを提供する。
---

# 監査支援

**重要**: このスキルはSOX / J-SOXコンプライアンスのワークフローを支援しますが、専門的な助言を提供するものではありません。すべての成果物は、有資格の専門家によるレビューを経てからご使用ください。

*注: 日本ではJ-SOX（金融商品取引法第24条の4の4に基づく内部統制報告制度）が適用されます。本スキルではSOX 404の方法論をベースに、J-SOXへの適用も念頭に置いて解説します。*

SOX 404 / J-SOXの統制テスト方法論、サンプル選定のアプローチ、テスト文書化基準、統制上の不備の分類、一般的な統制タイプ。

## SOX 404 / J-SOX 統制テストの方法論

### 概要

SOX第404条（日本ではJ-SOX）は、経営者に対し財務報告に係る内部統制（ICFR）の有効性評価を求めている。評価プロセス:

1. **スコーピング:** 重要な勘定科目と関連するアサーション（経営者の主張）の特定
2. **リスク評価:** 各重要勘定について重要な虚偽記載リスクを評価
3. **統制の識別:** 各リスクに対応する統制を文書化
4. **テスト:** キー統制のデザインと運用の有効性をテスト
5. **評価:** 不備の有無とその重大性を評価
6. **報告:** 評価結果と開示すべき重要な不備を報告

### 重要な勘定科目のスコーピング

勘定科目が「重要」であるのは、（個別にまたは合算で）重要な虚偽記載を含む可能性が僅少ではない場合。

**定量的要因:**
- 勘定残高が重要性基準を超える（通常、主要ベンチマークの3〜5%）
- 取引量が多く、誤りのリスクが高い
- 重要な見積りや判断を伴う

**定性的要因:**
- 複雑な会計処理を伴う（収益認識、デリバティブ、退職給付）
- 不正リスクが高い（現預金、売上高、関連当事者取引）
- 過去に虚偽記載や監査調整があった
- 経営者の重要な判断や見積りを伴う
- 新規の勘定科目またはプロセスが大幅に変更された

### 勘定科目別の主要アサーション

| 勘定科目 | 主要アサーション |
|---------|---------------|
| 売上高 | 発生、網羅性、正確性、期間帰属 |
| 売掛金 | 実在性、評価（貸倒引当金）、権利 |
| 棚卸資産 | 実在性、評価、網羅性 |
| 固定資産 | 実在性、評価、網羅性、権利 |
| 買掛金 | 網羅性、正確性、実在性 |
| 未払費用 | 網羅性、評価、正確性 |
| 純資産 | 網羅性、正確性、表示 |
| 決算/財務報告 | 表示、正確性、網羅性 |

### デザインの有効性 vs 運用の有効性

**デザインの有効性:** 統制は、関連するアサーションにおける重要な虚偽記載を防止または発見するよう適切に設計されているか？
- ウォークスルーにより評価（取引を端から端まで追跡）
- 統制がプロセスの適切なポイントに配置されていることを確認
- 統制が識別されたリスクに対応していることを確認
- 少なくとも年1回、またはプロセス変更時に実施

**運用の有効性:** 統制はテスト期間を通じて設計通りに運用されたか？
- テストにより評価（査閲、観察、再実施、質問）
- 結論を裏付けるのに十分なサンプルサイズが必要
- 依拠する全期間をカバーする必要がある

## サンプル選定のアプローチ

### ランダムサンプリング

**使用場面:** 母集団が大きい取引レベルの統制のデフォルト方法。

**方法:**
1. 母集団を定義（テスト期間中の当該統制の対象となる全取引）
2. 母集団の各項目に連番を付与
3. 乱数生成器でサンプル項目を選定
4. 選定にバイアスがないことを確認（全項目に等しい選定確率）

**利点:** 統計的に有効、防御可能、選定バイアスなし
**欠点:** 高リスク項目を見逃す可能性、完全な母集団リストが必要

### 特定項目抽出（判断サンプリング）

**使用場面:** ランダムサンプリングの補完としてリスクベースのテストを行う場合。母集団が小さい場合やばらつきが大きい場合の主要方法。

**方法:**
1. 特定のリスク特性を持つ項目を識別:
   - 高額取引（定められた基準値超）
   - 異常または非定型の取引
   - 期末近辺の取引（期間帰属リスク）
   - 関連当事者取引
   - 手動またはオーバーライド取引
   - 新規取引先の取引
2. リスク基準に合致する項目を選定
3. 各特定項目の選定理由を文書化

**利点:** 最もリスクの高い項目に焦点、テスト工数の効率的活用
**欠点:** 統計的に代表性がない、特定リスクの過大評価の可能性

### 任意抽出

**使用場面:** ランダムサンプリングが実務的でない場合（連番付き母集団リストがない場合）で、母集団が比較的均質な場合。

**方法:**
1. 特定のパターンやバイアスなしに項目を選定
2. 母集団の全期間にわたり分散させて選定
3. 無意識のバイアスを避ける（常に先頭の項目、丸い数字等を選ばない）

**利点:** 簡便、技術的ツール不要
**欠点:** 統計的に有効でない、無意識のバイアスに影響されやすい

### 系統的抽出

**使用場面:** 母集団が連番で全期間にわたる均等なカバレッジを求める場合。

**方法:**
1. サンプリング間隔を計算: 母集団サイズ ÷ サンプルサイズ
2. 最初の間隔内でランダムな開始点を選定
3. 開始点からN番目ごとに項目を選定

**例:** 母集団1,000件、サンプル25件 → 間隔40。ランダム開始: 17番目。選定: 17, 57, 97, 137, ...

**利点:** 母集団全体の均等カバレッジ、実行が簡便
**欠点:** 母集団に周期的パターンがある場合、結果にバイアスが生じる可能性

### サンプルサイズのガイダンス

| 統制の頻度 | 想定母集団 | 低リスク | 中リスク | 高リスク |
|----------|----------|--------|--------|--------|
| 年次 | 1 | 1 | 1 | 1 |
| 四半期 | 4 | 2 | 2 | 3 |
| 月次 | 12 | 2 | 3 | 4 |
| 週次 | 52 | 5 | 8 | 15 |
| 日次 | 約250 | 20 | 30 | 40 |
| 取引ごと（少量） | 250未満 | 20 | 30 | 40 |
| 取引ごと（大量） | 250以上 | 25 | 40 | 60 |

**サンプルサイズを増やす要因:**
- 勘定/プロセスの固有リスクが高い
- 重要なリスクに対応する唯一の統制（冗長性なし）
- 前期に統制上の不備が識別された
- 新規の統制（前期にテスト実績なし）
- 外部監査人が経営者のテストに依拠する

## テスト文書化基準

### 調書の要件

各統制テストに以下を文書化する:

1. **統制の識別:**
   - 統制番号/ID
   - 統制の記述（何を、誰が、どの頻度で実施するか）
   - 統制の種類（手動、自動、IT依存の手動統制）
   - 統制の頻度
   - 対応するリスクとアサーション

2. **テスト計画:**
   - テスト目的（何を確認しようとしているか）
   - テスト手続（ステップごとの手順）
   - 期待される証拠（統制が有効な場合に見られるもの）
   - サンプル選定方法とその理由

3. **テスト実施:**
   - 母集団の記述とサイズ
   - サンプル選定の詳細（方法、選定項目）
   - 各サンプル項目の結果（合格/不合格と確認した具体的な証拠）
   - 発見された例外の詳細な記述

4. **結論:**
   - 総合評価（有効 / 不備 / 重要な不備 / 開示すべき重要な不備）
   - 結論の根拠
   - 例外がある場合の影響評価
   - 補完統制の検討（該当する場合）

5. **承認:**
   - テスト実施者の氏名と日付
   - レビュアーの氏名と日付

### 証拠の基準

**十分な証拠:**
- システム統制を示すスクリーンショット
- 署名/捺印済みの承認書類
- 承認者と日付が識別可能なメール承認
- 実施者と日時が記録されたシステム監査ログ
- 再実施による計算結果の一致
- 観察記録（日付、場所、観察者を含む）

**不十分な証拠:**
- 口頭確認のみ（裏付けが必要）
- 日付のない書類
- 実施者/承認者が特定できない証拠
- 日時スタンプのない汎用的なシステムレポート
- 裏付け文書なしの「○○氏との協議による」

### 調書のファイル構成

統制領域別にテストファイルを整理する:

```
SOX(J-SOX)テスト/
├── [年度]/
│   ├── スコーピングとリスク評価/
│   ├── 売上サイクル/
│   │   ├── 統制マトリクス
│   │   ├── ウォークスルー文書
│   │   ├── テスト調書（統制ごとに1件）
│   │   └── 裏付け証拠
│   ├── 購買・支払サイクル/
│   ├── 給与/
│   ├── 決算・財務報告/
│   ├── 資金管理/
│   ├── 固定資産/
│   ├── IT全般統制/
│   ├── 全社的統制/
│   └── 総括と結論/
│       ├── 不備の評価
│       └── 経営者の評価
```

## 統制上の不備の分類

### 不備

内部統制の不備とは、統制のデザインまたは運用が、経営者や従業員が通常の職務遂行において虚偽記載を適時に防止・発見できない状態。

**評価要因:**
- 統制の不備が虚偽記載につながる可能性はどの程度か？
- 想定される虚偽記載の金額的影響はどの程度か？
- 不備を軽減する補完統制があるか？

### 重要な不備

開示すべき重要な不備ほど深刻ではないが、ガバナンス責任者の注意を要する不備またはその組み合わせ。

**指標:**
- 軽微ではないが重要性の基準を下回る虚偽記載につながる可能性がある
- 重要な虚偽記載の可能性が僅少を超えるが合理的な可能性には至らない
- キー統制の不備であり、補完統制で完全には軽減されていない
- 個別には軽微な複数の不備が合わさって重大な懸念となる

### 開示すべき重要な不備

財務諸表の重要な虚偽記載が適時に防止・発見されない合理的な可能性がある不備またはその組み合わせ。

**指標:**
- 経営者による不正の識別（金額の大小を問わず）
- 重要な誤りの修正のための過年度財務諸表の修正再表示
- 監査人が発見した重要な虚偽記載で、会社の統制では検出できなかったもの
- 監査委員会による財務報告の監視が有効でない
- 広範な統制（全社的統制、IT全般統制）の不備が複数のプロセスに影響

### 不備の集約

個別には重要でない不備も、合わさると重要になり得る:

1. 同一プロセスまたは同一アサーションに影響する不備をすべて識別
2. 合算した影響が重要な虚偽記載につながり得るか評価
3. 補完統制の不備が他の不備を悪化させていないか検討
4. 集約分析と結論を文書化

### 是正措置

識別された各不備について:

1. **根本原因分析:** なぜ統制が不備となったか？（デザインの欠陥、運用の失敗、人員不足、教育不足、システムの問題）
2. **是正計画:** 統制を修正するための具体的なアクション（再設計、追加研修、システム強化、レビュー追加）
3. **スケジュール:** 是正完了の目標日
4. **責任者:** 是正措置の実施責任者
5. **検証:** 是正後の統制の有効性を再テストする方法と時期

## 一般的な統制タイプ

### IT全般統制（ITGC）

アプリケーション統制や自動化されたプロセスの信頼性を支えるIT環境の統制。

**アクセス管理:**
- ユーザーアクセスの付与（新規アクセス申請は承認が必要）
- ユーザーアクセスの削除（退職者のアクセスは適時に削除）
- 特権アクセス管理（管理者/スーパーユーザーアクセスの制限と監視）
- 定期的なアクセスレビュー（定められた周期でのユーザーアクセス棚卸）
- パスワードポリシー（複雑性、変更周期、ロックアウト）
- 職務分掌の徹底（相反するアクセスの防止）

**変更管理:**
- 変更申請の文書化と実装前の承認
- 本番環境への反映前の非本番環境でのテスト
- 開発環境と本番環境の分離
- 緊急変更手続（文書化、事後承認）
- 変更レビューとリリース後の検証

**IT運用:**
- バッチジョブの監視と例外処理
- バックアップ・リカバリ手続（定期バックアップ、復元テスト）
- システム可用性と性能の監視
- インシデント管理とエスカレーション手続
- 災害復旧計画とテスト

### 手動統制

人が判断を用いて実施する統制。通常はレビューと承認を含む。

**例:**
- 経営者による財務諸表と主要指標のレビュー
- 基準額を超える仕訳の上長承認
- 三者照合（発注書・検収書・請求書の照合）
- 勘定照合の作成とレビュー
- 実地棚卸の立会と計数
- 仕入先マスタ変更の承認
- 与信審査

**テスト時の確認事項:**
- 統制は適切な権限を持つ者が実施したか？
- 適時に実施されたか（定められた期限内）？
- レビューの証跡があるか（署名、捺印、メール、システムログ）？
- レビュアーは有効なレビューを行うための十分な情報を持っていたか？
- 例外が識別され適切に対処されたか？

### 自動統制

人の介入なしにITシステムが強制する統制。

**例:**
- システムによる承認ワークフローの強制（必要な承認なしに先に進めない）
- 三者照合の自動化（発注書・検収書・請求書が一致しない場合は支払をブロック）
- 重複支払の検出（重複する請求書をシステムがフラグまたはブロック）
- 与信限度額の強制（与信限度額を超える受注をシステムが防止）
- 自動計算（減価償却、償却、利息、税金）
- システムによる職務分掌の強制（相反する権限の付与を防止）
- 入力バリデーション（必須項目、書式チェック、範囲チェック）
- 自動照合マッチング

**テストのアプローチ:**
- デザインのテスト: システム設定が意図通りに統制を強制していることを確認
- 運用の有効性テスト: 自動統制の場合、システム設定が変更されていなければ、期間中1回のテストで通常は十分（変更管理のITGCテストで補完）
- 変更管理のITGCが有効であることを検証（システム変更があった場合は統制を再テスト）

### IT依存の手動統制

システムが生成した情報の完全性と正確性に依存する手動統制。

**例:**
- システム生成の例外レポートに基づく経営者レビュー
- システム生成の年齢表に基づく引当金の見積りレビュー
- システム生成の試算表データを用いた照合
- システム生成のワークフローで識別された取引の承認

**テストのアプローチ:**
- 手動統制のテスト（レビュー、承認、例外対応）
- および、基礎となるレポート/データの完全性と正確性のテスト（IPE — 企業が作成した情報）
- IPEテストにより、レビュアーが依拠したデータが完全かつ正確であったことを確認

### 全社的統制

組織全体で運用され、複数のプロセスに影響する広範な統制。

**例:**
- トップの姿勢（Tone at the Top）/ 行動規範
- リスク評価プロセス
- 監査委員会/監査等委員会による財務報告の監視
- 内部監査の機能と活動
- 不正リスク評価と不正防止プログラム
- 内部通報制度（公益通報者保護）
- 経営者による統制の有効性モニタリング
- 財務報告に関する人材の能力（人員配置、研修、資格）
- 期末の財務報告プロセス（決算手続、会計基準への準拠レビュー）

**意義:**
- 全社的統制はプロセスレベルの統制を軽減できるが、通常は置き換えることはできない
- 全社的統制の不備（特に監査委員会の監視とトップの姿勢）は開示すべき重要な不備の強い指標
- 全社的統制が有効な場合、プロセスレベルの統制のテスト範囲を縮小できる可能性がある