内部統制　第5回：その他の業務プロセス

Q21. 業務プロセスの理解・整理について教えてください。

Answer

重要な事業拠点における、企業の事業目的に大きく関わる勘定科目に至る業務プロセス、財務報告への影響を勘案して重要性の大きい業務プロセスを分析し、財務報告の信頼性に重要な影響を及ぼす統制上の要点（統制上の要点）を選定し、その統制上の要点について内部統制が機能しているか評価するのが、業務プロセスに係る内部統制の評価です。

評価すべき業務プロセスを理解・整理するためには、まず取引の開始から仕訳の作成までの業務の流れを理解・整理する必要があります。そのためには、評価対象とした勘定科目に計上される仕訳パターンを確認し、評価の対象となる業務プロセスを特定する必要があります（＜図21-1＞参照）。

図21-1　業務プロセスの識別

評価すべき業務プロセスを特定したら、仕訳から上流にさかのぼり、仕訳を生成する業務の流れ（取引フロー）を理解し、担当部署や業務の行われるタイミングによってサブ・プロセスを識別します。そして、理解した業務の流れを、サブ・プロセスごとに業務記述書・フローチャートを作成して整理します（＜図21-2＞参照）。サブ・プロセスごとに財務報告リスク（財務報告に重要な虚偽記載が発生するリスク）と、それを低減するコントロールを識別したRCM（リスク・コントロール・マトリックス）を作成することになります。

図21-2　サブ・プロセスの識別

Q22. 財務報告リスクの識別について教えてください。

Answer

1. 財務報告リスクの識別

財務報告リスクを的確に識別するためには、仕訳の生成に必要な情報（会計情報）を分析し、当該情報が業務プロセスで、どのように転換されて仕訳につながっているかを確かめることが重要です。例えば、売上仕訳を生成するための会計情報として「品名・単価・数量・売上日付・勘定科目」が必要であった場合、これらの会計情報が業務プロセスで、どのように捕捉・入力・転換・転送・計算・起票されるか（情報の転換点）に着目します。リスクは一般的に、この情報の転換点で発生します。

また、情報の転換点で発生するリスクは「情報が架空であるリスク（正当性）」「正確でないリスク（正確性）」「網羅的でないリスク（網羅性）」「維持継続されていないリスク（維持継続性）」といった観点（情報処理目的の観点）で考えることが有効です。ただし、これは、あくまでも識別方法の例であり、このような観点から捉えられる、全てのリスクを識別する必要があるわけではなく、識別するのは財務報告に「重要な」虚偽記載が発生するリスクです（＜表22-1＞参照）。なお、財務報告が信頼できるためには、財務報告が適正であるための要件（アサーション）を満たす必要があることから、リスクはRCMで評価対象とした勘定科目のアサーションに関連付けることが必要です。

表22-1　情報の転換点とリスクの識別の例

2. 財務報告リスクを識別する上で誤りやすい例

財務報告リスクを識別する上で、特に誤りやすい典型的な例として、＜表22-2＞のようなものがあります。

表22-2　財務報告リスクを識別する上で誤りやすい例

Q23. コントロールの識別について教えてください。

Answer

1. コントロールの効果的な識別

リスクを識別したら、当該リスクを低減するコントロールを識別する必要があります。＜表23-1＞にあるようなリスクの類型に対応する典型的なコントロールに留意しながらコントロールを識別すると、コントロールと単なる手続きを混同してしまうことを避けることができます。

表23-1　リスクの類型と典型的なコントロールの例

また、RCMの作成においては、識別したコントロールが「手作業による照合」のみであったり、防止的なコントロールばかりだったりで、発見的なコントロールがほとんど識別されないこととならないように留意する必要があります。

漏れやすいコントロールとして、自動化されたコントロール（自動計算・自動転記・エディットチェックなど）、得意先などとの残高照合・現物実査・棚卸、分析（月次比較分析・前年同期比較分析・予算実績分析・部門別比較分析など）があるので、これらの識別を漏らしていないか確かめておくことが望まれます。

2. キーコントロールの選定

一つのリスクに対して複数のコントロールが識別された場合、その中からキーコントロールを選定する必要があります。実施基準では、「統制上の要点」という用語が使われていますが、リスクを最も効果的に低減するコントロール、すなわち財務報告の信頼性に重要な影響を及ぼす内部統制（いわゆるキーコントロール）を意味しているものと考えられます。

キーコントロールを選定するときには、次の点に留意する必要があります。

(1) 識別されたリスクに対し、少なくともキーコントロールが一つ以上、識別されていること。なお、不備があった場合に備え、一つのリスクに対し、複数のキーコントロールの識別が望まれる。

(2) 防止的コントロールと発見的コントロールがバランスよく組み合わされていること。一般的に、前者のほうがリスクに対する感応度は高く、後者のほうが多くのリスクをカバーする。

(3) 運用テストの容易さを検討すること。実務上の負担を軽減するために、なるべくテスト手法が容易で、必要なサンプル数が少ないほうが望ましい。

(4) リスクに対する感応度が高いこと。リスクに直接的に対応しているコントロール（例：異常レビューよりも照合）をキーコントロールに選定することが望まれる。

なお、キーコントロールの選定に際しては、取引フロー全体として財務報告リスクが低減しているかといった総合的な観点での検討も重要です。

そのほか、評価作業の負担を軽減するために、複数のリスクに共通したキーコントロールを選定することが効率的である点や、会社の識別したキーコントロールと監査人が考えるキーコントロールに相違がないかどうかを確認しておくことが望ましい点などがポイントとして挙げられます。

Q24. 整備状況の評価方法について教えてください。

Answer

1. ウォークスルーの実施

ウォークスルーとは、取引の開始から取引記録が財務諸表に計上されるまでの流れを追跡する手続きです。実施基準では、経営者によるウォークスルーの実施は必ずしも求められていませんが、次のような目的を達成するにはウォークスルーを行うことが有効です。

(1) 取引フローの理解・整理の検証
(2) 職務分掌の状況の検証
(3) コントロールの整備状況の評価

2. ウォークスルーを行う上でのポイント

ウォークスルーは、業務記述書などで理解・整理されている業務プロセスに沿って、担当者への質問や関連文書の閲覧により、前記（1）～（3）の点を確かめていけばよいのですが、難しいのは記述に不足がないか、特に必要なコントロールの識別が不足していないかということです。

そのためにも、ウォークスルーを実施するときは、次の点に留意することがポイントです。

• 5W1Hの観点から取引フローが記述されているか。
• 必要な関連資料は具体的に記述されているか。
• 仕訳の生成に必要な情報が検討され、その転換点の記述が抜けていないか。また、情報が途中で途切れていないか。
• 情報処理目的の観点で考えられるリスクを低減するコントロールの記述は不足していないか。
• 例外があった場合はどのように対処するか（照合の結果が不一致の場合、受注先がマスターにない得意先の場合、承認者が不在の場合）。ただし、例外を全て記述することが必要というわけではなく、あくまでも重要な業務が漏れていないかを確かめる。

業務記述書などの記述の内容が曖昧・不足している状態で、ウォークスルーを実施すると、特に、評価する担当者が何を質問すればよいのか、何の資料を閲覧したらよいのか分からないといった事態が生じます。プロセスの変更等により関連文書の記述を変更した場合には、それを認識するためにも早い段階で一度、ウォークスルーを実施してみることが重要です。

Q25. 運用状況の評価方法について教えてください。

Answer

1. 運用状況の評価

運用状況の評価とは、経営者が構築した内部統制が、デザインどおりに継続的に実施されているかどうかを確かめる手続きであり、一般的にはコントロールの実施者への質問、観察、関連文書の閲覧、再実施といった手続きを組み合わせて実施します。通常、質問のみでは内部統制の運用の有効性を裏付けるには十分な証拠を入手できないため、関連文書の閲覧や再実施などと組み合わせて実施することが必要です。なお、閲覧と再実施のどちらを選択するかは、コントロールのデザインに応じて、十分な心証が得られるかどうかという観点から検討すべきと思われます。例えば、「全てのサンプルを閲覧し、上長の承認印があることを確かめた上で、そのうち数件は元資料と数値が一致していることを確かめてみる」など、状況に応じて工夫することが有効です。

なお、評価手続を決定する際に検討すべき事項として、実施基準や実務指針では次の項目を挙げているので、運用評価手続を実施する上では十分、留意が必要です。

• 内部統制の重要性・複雑さ、内部統制の運用に際してなされる判断の重要性
• 内部統制の実施者の能力
• 内部統制の実施頻度
• 前年度の検討結果や、その後の変更の状況など

2. サンプリングについて

運用状況の評価は、母集団から一定数のサンプルを抽出してテストすることになりますが、抽出に当たり、恣意（しい）性が介入しないことが重要です。なお、恣意性が排除される限りは、統計的サンプリングだけでなく、非統計的サンプリング（例えば系統的抽出法、任意抽出法など）の手法も認められると考えられます。

また、サンプル数は実施基準IIIに、「例えば、日常反復継続する取引について、統計上の正規分布を前提とすると、90％の信頼性を得るには、評価対象となる統制上の要点ごとに少なくとも25件のサンプルが必要になる」との記述があり、参考になりますが、日常反復的な取引以外については記述がないため、週次、月次、四半期、年次などの頻度に従い、経営者が適切なサンプル数を決定する必要があります。ただし通常、監査人が具体的なサンプリング基準を持っていると考えられることから、監査人とサンプリング方法について協議しておくことが実務的です。

3. 運用評価を実施する時期

内部統制の評価時点は期末日であるため、期末日時点で内部統制が有効に運用されていることを確かめられるように、事業拠点別・業務プロセス別に評価実施時期を決定し、評価スケジュールを作成する必要があります。

4. 運用評価のローテーション

重要な事業拠点における事業目的に大きく関わる勘定科目に至る業務プロセスは、原則として全てが評価対象とされますが、今回の実施基準の改訂で、一定割合については、次の要件を充足した場合には、当該事業拠点を評価対象としないことができるとされました（改訂実施基準II.2. （2）①）。

• 前年度の当該拠点に係る内部統制の評価結果が有効であること
• 当該拠点の内部統制の整備状況に重要な変更がないこと
• 重要な事業拠点の中でもグループ内の中核会社となるような特に重要な事業拠点には該当しないこと

なお、ローテーションをする拠点については、少なくとも2年に1回は運用評価の対象とすることが必要であるとされています（実務指針　96項）。

また、統制上の要点として識別された内部統制は、原則として毎期評価の対象となりますが、全社的な内部統制の評価結果が有効であれば、特に重要な項目を除き、前年度の評価結果が有効であり、かつ、前年度の整備状況と重要な変更がないものについて、整備評価・運用評価について、前年度の評価結果を継続して利用することができる、と今回の改訂で明確化されました（改訂実施基準II.3.（3）③及び④ロ）。よって、特定の業務プロセスの評価について一定の複数会計期間ごとに評価対象とすることも考えられます。