業務プロセス統制について

業務プロセスのポイント ②整備・運用状況の有効性評価

みなさん、こんにちは! 【内部統制ナビ】の第7弾として、「3.業務プロセスのポイント/②整備・運用状況の有効性評価」について説明させて頂きます。

前回は、「3.業務プロセスのポイント」として、まず文書化について説明しました。今回は、文書化と並びJ-SOXにおける最重要部分である、整備状況の有効性評価(ウォークスルー)と運用状況の有効性評価(サンプルテスト)を合わせて、説明したいと思います。

3.業務プロセスのポイント ②整備・運用状況の有効性評価

「業務プロセスに係る内部統制」の有効性評価

前回説明した通り、金融庁「J-SOX実施基準」によれば、業務プロセスに係る内部統制の有効性評価について、以下の通り記載されています。「経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を『統制上の要点』として識別する。

次に、『統制上の要点』となる内部統制が虚偽記載の発生する『リスク』を十分に低減しているかどうかを評価する。経営者は、各々の『統制上の要点』の『整備及び運用の状況を評価』することによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。」

また、「J-SOX実施基準」では、業務プロセスに係る内部統制の文書化・評価の手順として、以下の流れが記載されています。

  • 評価対象となる「業務プロセス」の把握・整理
  • 業務プロセスにおける虚偽記載の発生する「リスク」とこれを低減する「統制」の識別
  • 業務プロセスに係る内部統制の「整備状況」の有効性の評価
  • 業務プロセスに係る内部統制の「運用状況」の有効性の評価

上記手順のうち、①および②が前回説明した「文書化」に該当し、③および④が今回説明する「有効性評価」に該当します。

「整備状況」と「運用状況」の有効性評価とは

まず、「整備状況」と「運用状況」の有効性評価の違いについて、しっかり理解しておく必要があります。以下の比較表をご覧ください。

「整備状況」と「運用状況」の有効性評価とは

整備状況の有効性評価 

<整備状況の有効性評価のポイント>

整備状況の有効性評価は、ウォークスルー(=Walk Through)とも呼ばれ、1つの取引を対象とし、取引開始から取引処理、仕訳計上に至るまでの一連の流れを追跡評価することをいいます。また、金融庁「J-SOX実施基準」では、以下の通り記載されています。

「経営者は、識別した個々の重要な勘定科目に関係する個々の統制上の要点が適切に整備され、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保する合理的な保証を提供できているかについて、関連文書の閲覧、従業員等への質問、観察等を通じて判断する。

この際、内部統制が規程や方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるものとなっているかにより、当該内部統制の整備状況の有効性を評価する。 その際には、例えば、以下のような事項に留意する。

・内部統制は、不正又は誤謬を防止又は適時に発見できるよう適切に実施されているか。
・適切な職務の分掌が導入されているか。
・担当者は、内部統制の実施に必要な知識及び経験を有しているか。
・内部統制に関する情報が、適切に伝達され、分析・利用されているか。
・内部統制によって発見された不正又は誤謬に適時に対処する手続が設定されているか。」

 整備状況の有効性評価は、全てのコントロールを対象に、一つの同じ取引明細について、取引の開始から、会計システムへの入力・消込までの一連のフローを検証するものです。文書化通りに、コントロールの仕組み・ルールがあるかを検証することが目的となるため、一般的には以下の3点に留意して評価を行うことになります。

  1. 文書化内容と実施内容が一致しているか、担当者へのヒアリングを行う。
  2. 文書化内容と証憑および証跡の記録が一致しているか、証憑1件を検証する。
  3. 文書化内容と規程類の規定内容が一致しているか、業務分掌規程や職務権限規程との整合性を検証する。

<整備状況の有効性評価の留意点>

ただし、上記の金融庁「J-SOX実施基準」にも記載されている通り、

・「不正」又は「誤謬」を防止又は適時に発見できるよう適切に実施されているか。
・適切な職務の「分掌」が導入されているか。
・担当者は、必要な「知識」及び「経験」を有しているか。
・内部統制に関する「情報」が、適切に伝達・分析・利用されているか。
・「不正」又は「誤謬」に適時に対処する手続が設定されているか。

といった、更に一歩踏み込んだ観点での整備評価が求められていますので、決して整備状況の有効性評価を軽視してはいけません。

万一、整備状況の有効性評価で「不備」が発見された場合は、①文書化内容を業務内容に合わせて修正するか、②業務そのものを見直し業務改善を行うかの判断が求められます。このように、後述の運用状況の有効性評価よりも、整備状況の有効性評価の方が重要度は高く、不備発見時の対応は非常に大変であると理解してください。

<整備状況の有効性評価の時期>

整備状況の有効性評価は、上半期のうちに実施しておくことが望まれます。万一不備が発生した場合に、文書化の見直しや業務プロセスの見直しなどの対応が必要になることも想定して、例えば第2四半期の後半など、早めに実施することをお勧めします。

また、文書化メンテナンス(変更管理)として、毎期文書化3点セットの内容に変更はないかを確認する必要がありますが、多くの上場企業では、整備状況の有効性評価と同時に文書化メンテナンスを行っています。

<整備状況の有効性評価シート>

整備状況の有効性評価結果は、以下の通り、RCMを加工した「有効性評価シート」に入力する方法が一般的です。

<整備状況の有効性評価シート>

運用状況の有効性評価

<運用状況の有効性評価のポイント>

運用状況の有効性評価は、サンプルテスト、TOC(=Test of Control)とも呼ばれ、金融庁「J-SOX実施基準」では以下の通り記載されています。「経営者は、業務プロセスに係る内部統制が適切に運用されているかを判断するため、業務プロセスに係る内部統制の運用状況の評価を実施する。

経営者は、関連文書の閲覧、当該内部統制に関係する適切な担当者への質問、業務の観察、内部統制の実施記録の検証、各現場における内部統制の運用状況に関する自己点検の状況の検討等により、業務プロセスに係る内部統制の運用状況を確認する。」

「運用状況の評価の実施に際して、経営者は、原則としてサンプリングにより十分かつ適切な証拠を入手する。全社的な内部統制の評価結果が良好である場合や、業務プロセスに係る内部統制に関して、同一の方針に基づく標準的な手続が企業内部の複数の事業拠点で広範に導入されていると判断される場合には、サンプリングの範囲を縮小することができる。」

運用状況の有効性評価では、キーコントロール(統制上の要点)を対象に、定められたサンプル数(1日複数回コントロールは年間25件、月次コントロールは年間2件など)を無作為に抽出して、文書化通りに、コントロールの仕組み・ルールが実施されているかを検証することが目的となるため、一般的には以下の3点に留意して評価を行うことになります。

  1. 各サンプル明細ごとに、キーコントロールに必要な証憑が全てあるか検証する。
  2. 各サンプル明細ごとに、証憑にチェック・承認などの証跡があるか検証する。
  3. 各サンプル明細ごとに、証憑の取引先名・日付・金額などと原帳票の内容が一致しているか検証する。

<運用状況の有効性評価におけるサンプリング>

サンプリングの基本的な考え方として、恣意性を排除して、偏りなくランダムに抽出することがポイントとなります。そのためには、まず、サンプルの母集団が評価対象の全体を漏れなく反映していることを確認し、その上で、抽出する対象月を分散させたり、抽出する金額を分散させるなど、可能な限り多くのパターンをカバーするように抽出する必要があります。

また、サンプリングの件数は、以下の通り、コントロールの「実施頻度」または取引の「年間発生件数」(発生頻度が「随時」の場合)に応じた件数が必要になります。

<不備発見時の追加サンプリング>

運用状況の有効性評価で「不備」が発見された場合、当該サンプルを勝手に差し替えて「有効」としてはいけません。上記サンプリング件数に応じて、必要な追加サンプリング件数が決まっていますので、再テストを行う必要があります。
例えば、1日に複数回のコントロールで25件サンプリングを行い1件不備が発見された場合、17件追加サンプリングのうえ再テストを行う必要があります。追加した17件の中で不備がなければ、当該コントロールは「有効」となりますが、もし1件不備があれば当該コントロールは「不備」となります。(再テストについては、必ず監査法人と協議を行うようにしてください。)

<運用状況の有効性評価の時期>

運用状況の有効性評価では、年間を通じて満遍なくサンプリングを行う必要があるため、母集団となる取引が一定程度蓄積されてからでないと評価を行うことが出来ません。

一般的には、第4四半期の前半を目途に、第1四半期から第3四半期の9ヶ月間で年間必要サンプルを抽出し、第4四半期の3ヶ月間については期末時点でロールフォワード手続を行う企業が多いです。企業によっては、運用状況の有効性評価を年2回実施するところもありますし、ロールフォワード手続も第4四半期の3ヶ月間でサンプル1件の企業もあれば、第4四半期の各月で1件の企業もあります。いずれにしても、監査法人との協議を踏まえて、運用状況の有効性評価の実施時期を決める必要があります。

<運用状況の有効性評価シート>

運用状況の有効性評価結果は、整備状況の有効性評価と同様に、RCMを加工した「有効性評価シート」を使用するとともに、各キーコントロールごとに以下のような「運用評価調書」を作成し、サンプル明細ごとの評価結果を記載する必要があります。

<運用状況の有効性評価シート>

整備・運用状況の有効性評価のまとめ

今回のコラム「3.業務プロセスのポイント/②整備・運用状況の有効性評価」は、以上となります。最後までお読み頂き、誠に有難うございます。業務プロセスの有効性評価は、ウォークスルーにしてもサンプルテストにしても、全社統制など他の内部統制とは異なる特異な評価手続を要するため、非常に工数のかかる重要な領域になります。

前回の文書化と今回の有効性評価は、期初に「J-SOX評価計画」を策定して、監査法人と評価範囲や評価スケジュールを綿密に協議・合意した上で、取り組む必要がありますので、ご留意ください。次回は、最終回として、業務プロセスにおける「業務改善」について、2024年6月を目処にリリースさせて頂きますので、宜しくお願い致します。

コメント

この記事へのコメントはありません。

TOP