内部統制評価は、企業のリスク管理とプロセスの有効性を評価するために不可欠なプロセスです。しかし、内部統制評価担当者が直面する1つの大きな課題は、監査対象の全取引をチェックすることが現実的に不可能であるという事実です。これを解決するために、サンプリングが用いられます。サンプリングは、母集団から適切なサンプルを抽出し、その分析を通じて全体の有効性を間接的に評価する手法です。本記事では、さまざまな取引の発生頻度種類に応じた推奨されるサンプル数の目安を提供する一覧表をご紹介し、その意味と重要性を解説します。

内部統制評価におけるサンプル数の考え方

内部統制評価におけるサンプル数の考え方は、監査プロセスの中核を成す要素の1つです。内部統制評価とは、企業のリスク管理、情報システム、業務プロセスなどの有効性を評価するために実施される監査です。ここでのサンプル数の決定は、母集団の数と密接に関連しています。

内部統制の評価項目については、次の記事を参考にしてください。

全社的な内部統制に関する42の評価項目例とは？実施基準の具体的な内容を紹介

内部統制評価は「精査」ではなく「試査」に基づく

内部統制評価では、組織の全取引や活動を精査（全ての項目をチェックする方法）することは現実的ではありません。組織の全取引や活動は膨大であるからです。そのため、内部統制評価は「試査」、つまりサンプリングに基づいて実施されます。

試査とは、母集団（監査対象となる全項目）から一部の項目を選び出し、それらの項目に対してテストすることを指します。母集団から一部の項目を選び出しているので、間違ったところから項目を抜き出してしまえば、サンプリングした対象の特性がその母集団の特性を代表しない可能性が高くなるので注意が必要です。

内部統制評価は、このアプローチにより、限られた時間とリソースの中で効率的に評価していくことを前提としています。内部統制評価担当者は、試査の結果から、母集団全体に関する合理的な結論を導き出すことになります。

内部統制評価におけるサンプリングの位置づけ

内部統制評価におけるサンプリングは、手続全体のプロセスの中で重要な位置を占めています。サンプリングにより、内部統制評価担当者は母集団全体を代表するサンプルを選定し、その分析を通じて組織の内部統制の有効性に関する結論を導き出すからです。

サンプリング手法には、統計的サンプリングと非統計的サンプリングがあります。

サンプルは多ければ多いほどよいわけではない

内部統制評価におけるサンプル数は、単純に多ければよいというわけではありません。重要なのは、選択されたサンプルが母集団の特性を適切に反映しているかどうかです。過剰なサンプル数は、不必要な時間とコストを消費するだけでなく、内部統制評価の効率性を低下させる可能性があります。

また、少なすぎるサンプル数は、不十分な評価につながり、誤った結論に至るリスクを高めます。したがって、サンプル数の決定は、母集団の数に基づいて慎重に行われるべきです。

内部統制評価で用いられる具体的なサンプリング手法

内部統制評価では、内部統制評価担当者が企業の内部統制の有効性を評価するために、サンプリングを実施します。サンプリング手法は大きく分けて、統計的サンプリングと非統計的サンプリングの2種類です。これらの手法は、母集団からのサンプルの選定方法において根本的な違いを有しています。

統計的サンプリング

統計的サンプリングは、母集団の数やそこに含まれている誤りの推定数などからサンプル数を統計学的に算出して決定する手法です。

統計的サンプリングの利点は、抽出されたサンプルに基づいて母集団全体に関する結論を確率的に導ける点にあります。

非統計的サンプリング

非統計的サンプリングは、内部統制評価担当者の判断や経験に基づいてサンプリングしたり、金額の大きい順など恣意性を持ってサンプリングする手法です。

非統計的サンプリングの利点は、専門的知識が不要で準備が簡単なことが多い点にあります。この方法は、母集団データがデータで入手できないとき（紙面の場合や立会における実物しかないとき）や母集団データに金額がないときなど、統計的サンプリングができない場合でも実施できます。

サンプリングリスクが導く可能性のある誤った結論

内部統制評価におけるサンプリングリスクは、抽出したサンプルが母集団全体を正確に反映しないことから生じるリスクです。このリスクは、内部統制の評価において重要で、誤った結論を導く可能性があります。

サンプリングリスクにより、内部統制評価担当者は2つの誤った結論に至る可能性があります。1つは、内部統制が実際の状態よりも有効でないとする結論であり、もう1つは、内部統制が実際の状態よりも有効であるとする結論です。

内部統制とリスクについては、次の記事を参考にしてください。

内部統制におけるリスクとは？｜リスクの評価と対応の重要性と手順

内部統制が実際の状態よりも有効でないとする結論を導く

サンプリングリスクの影響で、内部統制評価担当者が内部統制が実際よりも有効でないと誤って判断することがあります。これは、抽出されたサンプルに偶発的にエラーや不備が含まれている場合です。

例えば、無作為に抽出されたサンプル内に、実際は稀なエラーが偶然にも集中していた場合、内部統制評価担当者が、その内部統制の運用状況に重大な不備があると誤って結論付けるといった状況です。

内部統制が実際の状態よりも有効であるとする結論を導く

逆に、サンプリングリスクにより内部統制評価担当者が、内部統制が実際よりも有効であると誤って判断することもあります。この場合、抽出されたサンプルに偶然エラーが含まれていないため、内部統制評価担当者は内部統制が十分に機能していると誤認する可能性があります。

例えば、サンプリング過程で偶然にも良好に機能している部分のみが選ばれた場合、内部統制評価担当者は存在するかもしれない問題点を見逃すといったケースです。この結論は、実際には内部統制を誤って有効と結論付けてしまうリスクを伴います。

このため、サンプル選定に際しては偏りのない方法を採用し、適切な結論を下すためには多面的な分析が必要となります。

内部統制評価におけるサンプル数の目安一覧表

内部統制評価では、サンプリングによる試査が不可欠です。サンプル数は、取引の頻度によって異なります。ここでは、取引の発生頻度ごとに、サンプル数の目安としての一覧表を記載しています。この一覧表は、内部統制評価担当者が内部統制の運用テストを行う際の参考になることでしょう。

日に複数回発生する取引の場合25件以上のサンプリングが必要

日常反復継続的な取引に関しては、一般に25件以上のサンプリングが必要とされています。これは、日々頻繁に発生する取引、例えば売上の記録や現金の出納などが含まれます。この種の取引には高い頻度と一定の規則性があるため、25件以上のサンプルを抽出することで、全体の取引に対する内部統制の有効性を妥当に推定することが可能です。

以下の表は、内部統制評価におけるサンプル数の目安を示しています。特に、取引の発生頻度に基づいて、必要なサンプル数を定めています。

まとめ

内部統制評価においてサンプリングのプロセスは、内部統制評価の有効性と効率性のバランスを取るために重要です。上述の一覧表は、内部統制評価担当者が各種取引においてどの程度のサンプルを取るべきかの基本的な指針を示しています。

選択されたサンプルが母集団を適切に代表しているか否かが、内部統制の有効性を正確に評価するための鍵となることを忘れないようにしてください。

内部統制業務DX SaaS「smoove J-SOX」について

「smoove J-SOX」は、内部統制業務の効率化と品質向上を実現するクラウドサービスです。優れた操作性でJ-SOX3点セットの作業時間を50%以上削減（※）でき、内部統制担当者は本来注力すべきJ-SOXの本質的な業務に注力することが可能です。

さらに、全社的な内部統制、整備・運用、ロールフォワード評価まで年間を通じた内部統制業務を一元管理でき、継続的な効率化を実現します。

※当社公認会計士による3点セット作成時間をExcelとsmoove J-SOXで比較計測した結果