業務プロセス統制について

業務プロセスのポイント ➀文書化

みなさん、こんにちは!
【内部統制ナビ】の第6弾として、「3.業務プロセスのポイント/➀文書化」について説明させて頂きます。
<3.業務プロセスのポイント ➀文書化>
今まで、「1.内部統制の基本」と「2.内部統制の構成」では、J-SOX全体の概要について説明して参りました。今回以降の「3.業務プロセスのポイント」では、業務プロセスに係る内部統制に焦点を絞り、4回に分けて、①文書化、②整備状況の有効性評価、③運用状況の有効性評価、④業務改善について、詳細を説明したいと思います。

「業務プロセスに係る内部統制」の重要性

<2.内部統制の構成 ②業務プロセスに係る内部統制>でも説明した通り、J-SOXのポイントは、財務報告の信頼性、つまり決算数値に「誤謬(=間違い)」や「不正(=粉飾)」がないことに尽きます。そのためには、各部署で行われる仕入・販売などの業務プロセスで、各種データが基幹システムに正しく入力され、そのデータが会計システムに連係され、正しく決算数値に反映されることが重要となります。

金融庁「J-SOX実施基準)」によれば、業務プロセスに係る内部統制について、以下の通り記載されています。

「経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる『業務プロセス』を分析した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を『統制上の要点』として識別する。次に、統制上の要点となる内部統制が虚偽記載の発生する『リスク』を十分に低減しているかどうかを評価する。経営者は、各々の統制上の要点の整備及び運用の状況を『評価』することによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。」

 また、「J-SOX実施基準」では、業務プロセスに係る内部統制の文書化・評価の手順として、以下の流れが記載されています。

  • 評価対象となる「業務プロセス」の把握・整理
  • 業務プロセスにおける虚偽記載の発生する「リスク」とこれを低減する「統制」の識別
  • 業務プロセスに係る内部統制の「整備状況」の有効性の評価
  • 業務プロセスに係る内部統制の「運用状況」の有効性の評価

上記手順のうち、①が「文書化(フローチャート、業務記述書)」、②が「文書化(リスク・コントロール・マトリクス)」に該当します。この「フローチャート」、「業務記述書」と「リスク・コントロール・マトリクス」をまとめて、業務プロセスの「文書化3点セット」と一般的に言われています。
今回は、この業務プロセスの文書化について、詳細を説明したいと思います。

業務プロセスの文書化の全体像

まず、業務プロセスの文書化の全体像について、しっかり理解しておく必要があります。ただ闇雲に文書化作業を行うのではなく、「文書化3点セット」が何故必要なのか、どのような目的・意味があるのかを認識しながら、文書化を行うことが非常に重要です。

<フローチャート>

フローチャートは、「リスク」と「コントロール」を識別するために作成します。
まず最初にフローチャートを作成することになりますが、ここで業務プロセス全体の流れを俯瞰するだけでなく、どこに誤謬・不正などの「リスク」があり、それをカバーする「コントロール」がどこにあるのかを識別することが、最大の目的であることを忘れてはなりません。どの「部署」の「誰」がどのような「流れ」で「何」を行うか、については、フローチャートでなければその前後関係や全体像を把握することができません。そのため、フローチャートを作成する際には、

➀ 上から下へ時系列的に連続してフローを記述する。
② 部署の列(スイムレーン)を設け、実施部署(実施者)を明確にする。
③ リスクの発生箇所、それをカバーするコントロールを明確にする。

ことが最低限必要となります。

<業務記述書>

業務記述書は、業務プロセスの「5WIH」を明確にするために作成します。フローチャートを見れば、どの部署がどのような流れで何を行うのかは分かりますが、5WIHの詳細までは分かりません。フローチャートの各アイコンに番号を付けて、その番号にリンクする形で、誰が(Who)、いつ(When)、どこで(Where)、何を(What)、どのように(How)、何故(Why)誰に対して(Whom)行うのか、業務記述を作成することになります。業務記述書を作成する際には、

  • 5W1Hに沿って、詳細を記述する。
  • フローチャートの番号にリンク付ける。
  • コントロールの箇所の記述は、特に5W1Hに留意し詳細に記述する。

ことが重要です。上記③に記載の通り、コントロールの記述内容は、リスク・コントロール・マトリクスや有効性評価シートに反映されることになりますので、特にしっかり記述することが必要です。

<リスク・コントロール・マトリクス>

リスク・コントロール・マトリクスは、有効性評価を行うために作成します。リスク・コントロール・マトリクスでは、リスクに対してどのコントロールがカバーしているかをマトリクスで表示しますが、まず最初に、識別された全てのリスクが漏れなくコントロールによりカバーされているかを把握することが、リスク・コントロール・マトリクスの目的となります。

また、次回以降のコラムで説明しますが、業務プロセスの有効性評価は、このリスク・コントロール・マトリクスを加工して作成した有効性評価シートにより行います。有効性評価では、個々のコントロールについて、リスクをカバーするように整備・運用されているかを評価することになりますので、リスク・コントロール・マトリクスが有効性評価のベースとなります。

ここで気を付けなければならないのは、監査法人によるJ-SOX監査では、このリスク・コントロール・マトリクス(有効性評価シート)を、最も厳しくチェックするということです。抽出されたリスクがコントロールによって本当にカバーされているのか、リスクとコントロールの対応関係が正確か、重要なコントロールが「キーコントロール」として識別されているか、厳格にチェックされることになります。
リスク・コントロール・マトリクスを作成する際には、

  • 抽出された全てのリスクがコントロールによってカバーされている。
  • リスクとコントロールの対応関係が正しく記述されている。
  • 重要なコントロールが「キーコントロール」として識別されている。

ことが重要です。
上記③で記載された「キーコントロール」については、運用状況の有効評価の際にサンプルテストの対象となりますので、慎重にかつ漏れなく識別することが求められます。また、フローチャート、業務記述書とリスク・コントロール・マトリクスは、記述内容が常に整合し同期化するように維持しなければなりませんので、新規文書作成時や文書化内容の修正時には注意が必要となります。

業務プロセスの文書化体系と文書化体制

文書化作業を始める前に、以下のような文書化体系(評価対象業務プロセス)と文書化体制を検討し、明確化しておく必要があります。

上記文書化体系に記載の通り、まず評価対象業務プロセスを体系化し、「サブプロセス」ごとに「文書化識別番号」を付与して、業務プロセスの文書化を行うことになります。

また、文書化体制として、担当部署、文書化責任者、文書化担当者を明確化することになりますが、文書化責任者は「プロセスオーナー」として、①文書化通りに業務を執行する責任を負うとともに、②コントロールの整備・運用についても責任を負うことになります。文書化担当者は、①文書化の実施・修正を行うとともに、②評価時には証憑の収集・提出を担当することになります。

「フローチャート」の文書化

金融庁「J-SOX実施基準」では、「フローチャート」および「業務記述書」の記載例として、以下のような図表が掲載されています。

上記が「フローチャート」と「業務記述書」と呼ばれるものですが、文書化方法は各社各様で、Excelで文書化を行っている企業もあれば、文書化ツールを活用して効率的に文書化を行っている企業もあります。フローチャートでは、各業務についてアイコン(記号)を使用して文書化を行うことになりますが、アイコンの一例は以下の通りです。

また、先ほど説明しました通り、文書化3点セットは整合・同期化する形で文書化を行う必要がありますが、両者を常に整合・同期化させるのは、なかなか大変な作業となります。例えば、以下のように、サン・プラニング・システムズ社のiGrafx「SOX+」を導入すれば、常に文書化3点セットが整合・同期化される形で文書化を行うことが可能となりますので、非常に便利です。

一方で、例えば以下のようにExcelを利用して、フローチャートと業務記述書を統合した形で文書化を行っている企業もあります。

フローチャートを作成する際のポイントは先ほど概要を説明しましたが、特に重要な、リスクとコントロールの識別のポイントは、以下の通りです。

  • リスクは、以下のステップで必ず発生します。
    ➀ システムへの入力時 ⇒ 架空・二重入力、入力漏れ、入力間違い、日付入力間違い
    ② 証憑の作成時 ⇒ 架空・二重作成、作成漏れ、作成間違い、日付間違い
  • コントロールは、リスクの前後に識別されることが多いです。
    ➀ 予防的コントロール ⇒ 承認 (入力前に伝票を承認)
    ② 発見的コントロール ⇒ 照合 (入力後に明細を出力し照合)

このように、大原則として、システム入力時に必ずリスクがあること、リスクの前後にコントロールがあることをしっかり理解して、フローチャートを作成するように心掛けてください。

「業務記述書」の文書化

業務記述書は、「5W1H」を明確にすることを常に意識して文書化を行うことが最大のポイントです。特に、コントロールの箇所については、詳細な記述が必要となりますが、そのポイントは以下の通りです。

照合・承認等のコントロールの記述では、特に以下を明確にします。

  • 証憑 ⇒ 何と何を突合するか?その結果どのような証跡を残すのか?
  • 規程 ⇒ 何を根拠としているか?
  • 実施者 ⇒ 誰が実施するか?職務上の権限を有しているか?
  • 頻度・実施日 ⇒ 日次・都度か、週次か、月次か?

上記④頻度・実施日については、運用評価時のサンプリング件数にも影響しますので、正確な記述が求められます。

「リスク・コントロール・マトリクス」の文書化

金融庁「J-SOX実施基準」では、「リスク・コントロール・マトリクス」の記載例として、以下のような図表が掲載されています。

また、Excelを利用して、以下のような「リスク・コントロール・マトリクス」を作成している企業もあります。

このように、リスクとコントロールを紐づけることで、適切な財務情報の作成に求められる要件(=アサーション)を充足する形でコントロールを識別し、そのコントロールの有効性を評価することが可能となります。従って、多くの企業で「リスク・コントロール・マトリクス」をベースに「有効性評価シート」を作成し、有効性評価を実施しています。

また、「J-SOX実施基準」では、アサーションについて以下の通り記載されています。

<アサーション> = 適切な財務情報を作成するための要件

  • 実在性 = 資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
  • 網羅性 = 計上すべき資産、負債、取引や会計事象を全て記録していること
  • 権利と義務の帰属 = 計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
  • 評価の妥当性 = 資産及び負債を適切な価額で計上していること
  • 期間配分の適切性 = 取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
  • 表示の妥当性 = 取引や会計事象を適切に表示していること

リスクの抽出において、上記の6つの「アサーション(=適切な財務情報を作成するための要件)」のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となります。アサーションの裏返しがリスクになりますので、文書化の際は、特に以下4つのアサーション(実在性・網羅性・権利義務の帰属・期間帰属)を常に意識して、リスクの抽出を行ってください。

また、キーコントロールを選定する場合には、サブプロセスの中で、全てのアサーションを充足する形で選定する必要がありますので、注意しましょう。

文書化のまとめ

今回のコラム「3.業務プロセスのポイント/➀文書化」は、以上となります。最後までお読み頂き、誠に有難うございます。業務プロセスの文書化は、J-SOXの中で最も工数のかかる重要な領域になります。文書化に着手する前に、文書化体系と文書化体制をしっかり検討・明確化して、全社的なプロジェクトとして各部署からプロセスオーナーと文書化担当者を選任した上で、文書化を推進してください。

次回は、業務プロセスに係る内部統制の「整備状況の有効性評価」について、2024年1月を目処にリリースさせて頂きますので、宜しくお願い致します。

J-SOXに関する詳しい資料はこちらから

J-SOX制度の動向と体制構築について

 

コメント

この記事へのコメントはありません。

TOP