みなさん、こんにちは!
【内部統制ナビ】の第3弾として、「2.内部統制の構成/②業務プロセスに係る内部統制」について説明させて頂きます。
2.内部統制の構成 ②業務プロセスに係る内部統制
業務プロセスに係る内部統制とは
前回「全社的な内部統制」についてご説明致しましたが、財務報告に係る内部統制(=J-SOX)において非常に重要な領域なのですが、ガバナンスやリスク管理など範囲があまりに大きすぎて、皆さまも総括的な印象を拭えなかったと思います。
J-SOXのポイントは、財務報告の信頼性、つまり決算数値に「誤謬(=間違い)」や「不正(=粉飾)」がないことに尽きます。そのためには、各部署で行われる仕入・販売などの業務プロセスで、各種データが基幹システムに正しく入力され、そのデータが会計システムに連係され、正しく決算数値に反映されることが重要となります。
今回ご説明する「業務プロセスに係る内部統制」は、各部署の担当者・責任者を巻き込んで、全社的なプロジェクト体制を組まなければ構築できないJ-SOXの中心的な領域と言えます。
金融庁企業会計審議会が公表している「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準(以下J-SOX実施基準)」によれば、業務プロセスに係る内部統制について、以下の通り記載されています。
「経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる『業務プロセス』を分析した上で、財務報告の信頼性に重要な影響を及ぼす内部統制を『統制上の要点』として識別する。
次に、統制上の要点となる内部統制が虚偽記載の発生する『リスク』を十分に低減しているかどうかを評価する。
経営者は、各々の統制上の要点の整備及び運用の状況を『評価』することによって、当該業務プロセスに係る内部統制の有効性に関する評価の基礎とする。」
また、「J-SOX実施基準」では、業務プロセスに係る内部統制の文書化・評価の手順として、以下の流れが記載されています。
① 評価対象となる「業務プロセス」の把握・整理
② 業務プロセスにおける虚偽記載の発生する「リスク」とこれを低減する「統制」の識別
③ 業務プロセスに係る内部統制の「整備状況」の有効性の評価
④ 業務プロセスに係る内部統制の「運用状況」の有効性の評価
上記の手順のうち、①が「文書化(フローチャート、業務記述書)」、②が「文書化(リスク・コントロール・マトリクス)」に該当し、③が「整備状況の有効性評価(ウォークスルー)」、④が「運用状況の有効性評価(サンプリングテスト)」に該当します。
このように、業務プロセスに係る内部統制は、他の全社統制やFCRP(決算・財務報告プロセスに係る内部統制)、IT統制とは異なり、具体的に評価対象プロセスを選定し、「文書化3点セット」と呼ばれる文書(フローチャート、業務記述書、リスク・コントロール・マトリクス)を作成する必要があり、さらに、「キーコントロール(=統制上の要点)」を選定し、「ウォークスルー」や「サンプリングテスト」と呼ばれる有効性評価を実施する必要があります。
業務プロセスに係る内部統制の構築が、J-SOX全体の中で最も工数がかかり、大変と言われる所以がここにあります。
業務プロジェクトの文書化や評価の実務の詳細については「3業務プロセスのポイント」で取り上げ、今回のコラムでは概要についてご説明致します。
フローチャートと業務記述書がなぜ必要か
業務プロセスに係る内部統制で、なぜ「フローチャート」を作らなければならないのでしょうか?
それは、「フローチャート」を作ることで、どのようにデータが基幹システムに入力されるのかを把握し、誤謬・不正のリスクとコントロールを可視化するためです。
「J-SOX実施基準」では、以下のような図表が掲載されています。
上記が「フローチャート」と「業務記述書」と呼ばれるものですが、「フローチャート」には、どのような流れで、データ(=各種帳票類)が基幹システムに入るのか、が明確に記述されています。「フローチャート」を作成する上でのポイントとして、
・上から下に「時系列」でフローを流す。 ⇒ 「時間」の概念が非常に重要
・データ・帳票類を「ドキュメント」記号で明記する。 ⇒ 「証憑」として評価の対象へ
・「システム」への入口(=入力・登録・アップロード)を明記する。 ⇒ 最大のリスク
・「リスク」と「コントロール」を明記する。 ⇒ リスクの前後にコントロール
などが挙げられます。
このように、「フローチャート」で業務プロセスの全体を俯瞰した上で、「業務記述書」を作成して、詳細な業務手順を把握することになります。「業務記述書」は、業務マニュアルや業務手順書のようなものと理解してください。
上記の「業務記述書」は、「だれが・いつ・何を・どのように・どうするか」が明確に記述されていますが、「5W1H」を明確にすることを常に意識して文書化を行うことが、最大のポイントとなります。
特に、「いつ」については、頻度の記載も含めて、後述の運用状況の有効性評価におけるサンプル件数に直結するため、必ず記述が必要となります。また「何を」についても、「証憑」として整備・運用状況の有効性評価時に必要となりますので、重要な項目となります。
リスク・コントロール・マトリクスがなぜ必要か
「リスク・コントロール・マトリクス」とは何で、なぜ作成しなければならないのでしょうか?
「リスク・コントロール・マトリクス」とは、フローチャートと業務記述書で明確になった誤謬・不正「リスク」と、それをカバーする「コントロール」を紐づける表(=マトリクス)のことを言います。
「J-SOX実施基準」では、以下のような図表が掲載されています。
このように、リスクとコントロールを紐づけることで、適切な財務情報の作成に求められる要件(=アサーション)を充足する形でコントロールを識別し、そのコントロールの有効性を評価することが可能となります。
アサーションについては、「3業務プロセスのポイント」で説明致しますが、「J-SOX実施基準」では、以下の通り記載されています。
<アサーション>=適切な財務情報を作成するための要件
① 実在性 = 資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
② 網羅性 = 計上すべき資産、負債、取引や会計事象を全て記録していること
③ 権利と義務の帰属 = 計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
④ 評価の妥当性 = 資産及び負債を適切な価額で計上していること
⑤ 期間配分の適切性 = 取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
⑥ 表示の妥当性 = 取引や会計事象を適切に表示していること
リスクの抽出において、上記の6つの「アサーション(=適切な財務情報を作成するための要件)」のうち、どの要件に影響を及ぼすかについて理解しておくことが重要となります。
特に、上記の①「実在性」の裏返しが「架空・二重計上リスク」となり、②「網羅性」からは「計上漏れリスク」、③「権利と義務の帰属」からは「計上間違いリスク」、⑤「期間配分の適切性」からは「計上時期間違い(期ずれ)リスク」が導かれます。
リスクの抽出には、「金額・単価」、「数量・件数」のほか、「時期」の観点も欠かせませんので、フローチャートは時系列に沿って上から下に流れるように記述する必要があるのです。
整備状況と運用状況の有効性評価
J-SOXでは、業務プロセスに限らず、全社統制、FCRP、IT統制も含めて「文書化」を行い、企業の内部統制手続を可視化したうえで、内部統制(=コントロール)に対して、整備状況と運用状況の有効性を評価することになります。
特に、業務プロセスに係る内部統制においては、整備状況に係る有効性評価を「ウォークスルー」や「TOD(=Test of Design)」と呼んだり、運用状況の有効性評価を「サンプリングテスト」や「TOC(=Test of Control)」と呼んだりします。
両者の違いをまとめれば、
① 整備状況の有効性評価=「仕組み・ルールがあるか」「周知徹底されているか」を検証すること。
② 運用状況の有効性評価=「仕組み・ルールが遵守・実施されているか」「見直されているか」を検証すること。
となります。
よくあるケースとして、例えば全社統制で、「内部通報窓口が社内に周知徹底されているので運用状況は有効」としている企業が散見されますが、それは間違いです。周知徹底されていることは、あくまでも整備されているに過ぎないため、「整備状況が有効」が正しいです。
業務プロセスに係る内部統制においては、以下の通り、整備状況の有効性評価として「ウォークスルー」、運用状況の有効性評価として「サンプリングテスト」を行うことになります。
業務プロセスの整備状況・運用状況の有効性評価の詳細については、「3業務プロセスのポイント」で説明致します。
「業務プロセスに係る内部統制」のまとめ
今回のコラム「2.内部統制の構成/②業務プロセスに係る内部統制」は、以上で終わりです。最後までお読み頂き、誠に有難うございます。
業務プロセスに係る内部統制は、文書化の観点では「文書化3点セット」の作成が求められるほか、有効性評価の観点では「ウォークスルー」と「サンプリングテスト」の実施が求められます。全社統制やFCRP、IT統制では、文書化はチェックリスト形式のものが主流であり、有効性評価も運用状況で多数のサンプリングテストを行うことはまずありません。業務プロセスに係る内部統制は、J-SOXの中で最も工数のかかる領域になりますので、全社的なプロジェクトを組んで各部署から担当者・責任者を選任して体制を構築することが求められます。
次回は、「IT統制」について2023年3月を目処にリリースさせて頂きますので、宜しくお願い致します。
コメント