‘中小企業と内部統制’

日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?

 

Q.日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?

 

A.内部統制の有効性の自己評価については、第一に評価範囲を決める必要があります。財務報告に係る内部統制の全部を文書化するのは、費用面からも困難です。したがって、重要な事業拠点を定める等して、全社的な内部統制の評価を行った上で、その結果により評価対象を限定します。ただ、決算・財務報告プロセスに関しては、全ての事業拠点で評価を行う必要があります。その後、選んだ事業拠点における重要な業務プロセスに係る内部統制を評価し、それ以外のリスクを抱えた重要な財務諸表項目に至るプロセスに関しても評価します。評価を終えたら、それが全体として有効か否かについて経営者が判断をします。そして、内部統制報告書の作成を行います。

 

基本的に文書化するのは、業務プロセスに係る内部統制と、全社レベルの内部統制です。

業務プロセスに係る内部統制というのは、例えば販売担当者が受注して商品を出荷し、出荷したものを売上げに計上するためにシステムに入力をした後で、結果が正しいか否かを確認する等の、それぞれの職場で一般的に行われている財務報告に影響を及ぼす業務活動であり、これが核心部分です。

一方、全社レベルの内部統制は、上記の業務プロセスレベルの内部統制に影響を及ぼすものであり、二つに大別できます。一つ目は組織風土等に係る全社的な内部統制であり、二つ目はITに係る全般統制です。ITに係る部分は全社的な内部統制と性質が異なりますので、これらの二つを区分しています。

全社的な内部統制については、統制環境がその主要な構成要素であり、具体的には経営理念、行動憲章、社内諸規程、運用マニュアル、全社レベルの予算管理等です。全社レベルで諸規程を作成して遵守する体制や、内部通報制度等も含まれます。不正に気付いた際に、上司ではなく外部の顧問弁護士等に報告できることも、全社的な内部統制といえます。

一方、ITに係る全般統制は、ITを利用した業務プロセスを有効に機能させるために必要となる統制活動(ソフトウェア開発・変更・運用管理、情報セキュリティー)です。例えば、新規にシステムを構築する際に、その企画段階からきちんと統制がとれた体制となっていることや、部署が替わっても前の部署の売上げをそのまま入力できてしまうと財務諸表が正しく作成されない可能性もありますので、パスワードによる管理をして限られた者のみが入力できるように管理すること等が、ITに係る全般統制です。

また、前述した業務プロセスに係る内部統制については、次のようなものがこれに該当します。

・職務分掌(請求書を発行する部署と入金部署を区分しているか)

・取引承認体制(100万円以上の取引は部長だけに実行する権限が付与されていて、部長の承認がなければその取引を実行できないシステムになっているか等)

・財務会計システムへの入力確認(100円入力したものがきちんと100円の売上げとして計上されていることを確認するコントロールがあるか等)

・該当部門の予算実績差異分析(ある事業部の当月の予算に対して実績が未達であった場合に、ある理由でその差異が分析されるので正しいのだという差異分析がなされているか等)

財務報告に係る内部統制は、業務プロセスに係る内部統制、全社的な内部統制、ITに係る全般統制の三つによって構成されていることから、基本的にはこれら全てを行う必要があります。日本版SOX法の具体的な実務は、このような統制を文書化していくことです。

内部統制を文書化する手順について教えてください。

 

Q.内部統制を文書化する手順について教えてください。

 

A.内部統制を文書化していくのが日本版SOX法の具体的な実務ということになりますが、その進め方については、第一に全社的な内部統制の評価を行い、評価対象とする事業拠点を選びます。そして、選んだ事業拠点等に関して業務処理統制の評価を行います。業務処理統制を評価するには、多くの工数を要しますので、費用が多額となります。全社レベルの内部統制は一度行えばその後は適正に運用されているかをチェックし、変更がなければそれで済みますが、業務処理統制に関しては、取引のタイプが異なってコントロールが違えば、その取引ごとに評価するのが基本となります。したがって、どのように取引を区分するか、いかなるコントロールがあるかということを把握し、それを文書化するかが、極めて大変な作業といえます。業務処理統制の評価を行った後に、そこに不備があった場合にはそれを是正します。そうしないと、財務報告が誤るリスクが十分に軽減されないということになるからです。そして是正後に内部統制報告書を作成し、その報告書の過程を会計監査人が監査します。会計監査人から、これは少し弱いのではないですかという話があった場合には、次期以降に改善活動を行います。

内部統制の文書化の手順については、上記に述べた全社的な内部統制の評価から改善活動の実施までの過程を繰り返していくということになります。なお、全社レベル統制の文書化にはIT全般統制の文書化が含まれ、業務処理レベル統制の文書化にはITアプリケーション統制の文書化も含まれます。

ただし、最後に監査人から、これは少し問題があるのではないか、内部統制上不備といえるのではないかという話があっても、その場ですぐに対応するのは困難です。したがって、例えば全社レベル統制はこのように行い、業務処理統制はこのような方法でこのように文書化しますが、それでいいでしょうかというような確認をとりつつ文書化を進めていくということが、極めて大切です。

業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?

 

Q.業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?

 

A.全社レベル統制と業務処理統制を文書化していくのが日本版SOX法の具体的な実務といえますが、そのうちの業務処理統制の文書化に当たって何を評価すればいいのかについて以下に述べます。

評価には2種類のものがあります。一つ目は整備状況の評価です。整備状況というのは、いわゆるデザインであり、例えばAさんがBさんの行ったことをチェックしている場合、チェックを行うことで本当に誤りが是正されるか否かということと、チェックを行う体制がつくられているか否かということです。二つ目は運用状況の評価です。デザインについては、優れた内部統制の仕組みができたとしても、現実にそれを行っているか否かということが、運用状況の評価といえます。

整備状況の評価によって財務報告が誤るリスクが十分に軽減されているか否かを確認した後、現実に運用できているか否かを再び確認します。運用状況の評価については、具体的にはいわゆるテスティングを行うことになります。例えば、Aさんが自身の入力した結果についてプルーフを必ず出してチェックしているというコントロールがある場合、月のプルーフから10件を選んで本当にチェックが行われたか否かを確認します。

性善説に経てばここまでで済みます。我が社の社員は皆まじめで、やったといえば必ずやっていますので、心配ありませんということになります。しかし、日本版SOX法の制度では、それでは済みません。やっているのなら、その証拠を見せてもらわなければ信用できないという考え方に基づき、その後のテスティングをして評価することによって初めて内部統制を評価したということになります。極めて疑い深いということができ、アメリカ的な考え方がそのまま導入されています。

 

業務処理統制を文書化する目的は、財務報告に係る内部統制を文書化して評価することです。したがって、財務諸表が誤るリスクは何かということを第一に特定します。例えば、売上金額(数量×単価)が正確に計上されない可能性があるということを一つのリスクとして考えます。企業においては人が作業を行って実務が成立していることから、リスクが存在しないことはほぼないと思われます。それゆえ、誤るリスクはどこに存在するのかということになり、そのリスクを特定するのが第一段階です。正確に計上されない可能性があるというのがリスクであると考えるのです。

続いて、コントロールとしてそのリスクに対して何をしているかについては、仮に、売上情報の入力担当者は入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているとします。この場合、正確に計上されない可能性があるというリスクは、このようなコントロールをすることで軽減されているといえるでしょう。

例えば、1個100円のもの10個で売上金額1,000円ですが、この金額が正しく計上されずに入力担当者が1個110円と間違えて入力するかもしれないというリスクがあります。だれが入力しても間違いが起こる可能性があるでしょう。しかし、入力担当者が入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているのであれば、このリスクは軽減されると考えます。コントロール(そのリスクを軽減するために行うチェックの仕組み)でリスクは十分に軽減されているか否かを把握するのがデザインの評価、整備状況の評価です。

整備状況の評価については、コントロールが十分リスクを軽減しているかということのほかに、コントロールを明確にするという目的から、コントロールをする頻度や実施者等が明確になっているかということ、すなわち、いかなる頻度でだれがいかなる証跡を残して行うかということ等が定まったコントロールになっているか否かが重要です。このリスクとコントロールの関係をドキュメンテーションしましょうというのが、整備状況の評価といえます。

監査法人ともさまざまな話をし、いかなるコントロールをしていれば問題がないかについて相談をしつつ、コントロールが十分であることを確認できたら、続いて運用のテストをします。内部統制のデザインはいいとしても、現実にそのコントロール手続きをしているのかを確認するのが、運用のテストです。このテストは、一定のサンプルサイズを決定した上で行います。例えば、売上金額の計上を誤るリスクを軽減するコントロールのテストとして、2014年3月に計上した売上金額につきプルーフをランダムに25件抽出し、出荷日、売り先、売上数量、単価等に関して、入力担当者が入力に用いた証憑と照合しているか否かを確認します。

そして、エラーがない場合には評価終了となります。一方、エラーがある場合には改善活動の立案と実施という流れになります。コントロールを行う担当者に正しく実施させるために、決められた通りに必ずやってくれるように担当者に伝えたり、担当者が能力の限界でできないということであればほかのコントロールを考えるか人を追加で配置してそのコントロールを実施してもらうようにしたりします。このようなことが繰り返され、最終的にほかのコントロールを実施すると決まった場合には、そのコントロールのテスティングを開始し、エラーがなければ評価終了となります。

以上で、基本的に、業務処理統制の部分の整備状況の評価と運用状況の評価が終了することになります。

業務処理統制の文書化については、具体的にどのような書類を作成するのですか?

 

Q.業務処理統制の文書化については、具体的にどのような書類を作成するのですか?

 

A.日本版SOX法への対応のうち、業務処理統制の文書化については、3種類の表を作成するのが一般的です。アメリカにおいても現実に実施されていることですが、業務フローチャートを作成した後に、業務処理記述書、リスクコントロールマトリックスを作成します。

 

1.業務フローチャート

例えば、売上げの計上サイクルについて、次のような流れがあるとします。受発注や出荷の後、得意先から確かに商品を受領しましたという受領書が営業部門に届きます。営業部門担当者は、出荷内容を確認し、出荷実績を入力し、入力結果は財務会計システムへ流れます。その後、販売実績表が出ますので、その内容を確認します。確認後、責任者に回付します。それを責任者が承認します。

このフローチャートのみであれば何をしているのかがはっきりしません。出荷内容を確認するということについても、何を確認するのかがこの簡単なフローチャートのみでは不明瞭ですので、二番目に下記2の業務処理記述書を作成します。

なお、リスクを特定することが業務フローチャートを作成する大きな目的の一つですので、行っている業務の内容について取引の開始から帳簿に計上するまでをフローの形にし、そのうちのどこに財務報告が誤るリスクがあるのかを特定する必要があります。例えば、その特定したところが出荷実績を入力するところであれば、そこに印を付けることによってそのリスクを認識します。

 

2.業務処理記述書

上記1の「出荷内容を確認」するということについて、具体的に述べます。「営業部門の担当者は得意先から受領書が送られてくると、販売単価、出荷数量、納入日等につき、出荷指示書に記されている内容と照合している」ということを記載していきます。すなわち、だれが、いつ、どこで、何をしているのかということを業務処理記述書に記載していくのです。

また、上記1の出荷実績を入力するということについて、「営業部門の担当者は得意先から送られてきた受領書の内容を基に財務会計システムに単価、売上数量、売り先、出荷日といった情報を入力している」と業務処理記述書に記載されているとします。すると、ここで誤りがあれば財務報告が誤ってしまいます。例えば、1個100円を誤って1,000円と入力してしまった場合や、10個を100個と入力してしまった場合には、売上金額は10倍になってしまいます。したがって、上記1で述べたように、財務報告が誤るリスクはこの入力するところにあると考えるのです。

そこにリスクがあると特定し、それに対するコントロールとして、「営業部門の担当者は月次の締めを行う際に、財務会計システムから出荷実績表を出力し、受領書の内容と全て一致していることを確認している」とし、そのように業務処理記述書に記載されているとします。その場合、このコントロールが上記1のその内容を確認するということの詳細に該当します。

業務処理記述書の表のうち、このようなコントロールを記した欄の右にRCMという項目の欄があり、上記のコントロールを記した欄の右横には(A)と記載されているとします。このRCMというのは、下記3のリスクコントロールマトリックスのことです。

 

3.リスクコントロールマトリックス

リスクコントロールマトリックス(以下「RCM」といいます)というのは、各業務プロセスにおける統制上の要点、リスク、統制活動の整備状況を記載した表のことです。

売上金額が正確に計上されない可能性があるということがリスクであり、そのリスクに対してAというコントロールを行っているとします。これが、上記2の業務処理記述書のRCMという項目の欄に記された番号(A)に該当します。このリスクに対しては、受領書の内容と一致していることを確認するというコントロールを行っているというになります。したがって、全体としてこのリスクが軽減されているか否かにつき、RCMで整備状況の評価を行います。

いくつかのリスクが存在し、リスクに対するコントロールもいくつもあります。複数のリスクを軽減しているコントロールも存在します。ここではリスク一つだけを特定しましたが、そのほかにいくつもリスクはあり得ます。リスクに対してどのようなコントロールが行われているのか、そのコントロールによってリスクが軽減されているか否かを評価するのが、整備状況の評価に該当し、RCMを作成して行います。日本版SOX法におけるRCMの位置付けは、極めて高いといえます。RCMにおいて、リスクに対するコントロールの関係がまとめられることになります。

RCMに記載する大項目の具体例として、リスク、番号、コントロール、アサーション、コントロールのタイプ、評価結果、コメントが挙げられます。そして、これらのうちで、アサーションには実在性、完全性、評価、期間帰属、権利と義務、表示と開示という小項目が、コントロールのタイプには手作業、自動化、防止的統制、発見的統制、実施頻度、実施者、確認書類という小項目が挙げられます。

アサーションについては、仮に、貸借対照表に預金が1,000円計上されているとします。貸借対照表の預金勘定に計上されているのは普通預金1,000円に間違いないと、経営者が主張(アサート)するには、次のアサーションを満たす必要があります。

実在又は発生:普通預金勘定に計上されている預金1,000円は、期末日現在、実際に銀行に預けられている。

完全性:普通預金残高1,000円は、漏れなく貸借対照表に記録されている。

権利と義務:期末日現在において、会社は普通預金1,000円の所有権を有している。

評価:普通預金残高1,000円は、一般に公正妥当と認められる会計基準に従って適正な金額で記録されていて、外国為替相場の変動を含め評価に影響を与えるあらゆる事象が考慮されている。

表示と開示:普通預金残高1,000円は、貸借対照表上適正に分類され、表示と開示がなされている。

上記のような要件を全て満たすことで、初めて貸借対照表に記載されている1,000円は正しいといえるのではないかということです。アサーションが全て満たされるような、きちんとリスクが軽減されるようなコントロールが、RCMに記されているかが、整備状況の評価となります。

内部統制は企業価値の向上に結び付いているのですか?

 

Q.内部統制は企業価値の向上に結び付いているのですか?

 

A.企業は外部環境の変化を認識しつつ、自社の内部環境の測定を行い、経営目標を提示します。経営目標については、売上げや利益がいくらというように、具体的に数値化されるのが通常です。その経営目標を達成するため、経営者は企業の組織構造を変えていきます。そして、変えた組織構造の中で、その業務をより効率的に有効に回していくため、内部統制の設計が組織的になされていると考えます。

組織構造も内部統制に含まれると広くとらえることもできます。それゆえ、内部統制は経営目標を達成するための経営管理活動そのものですので、それは「企業価値の向上」に深く結び付いているといえます。

内部統制の目的は、業務の効率性、コンプライアンス、財務報告の信頼性、資産の保全の四つです。これらのうちでコンプライアンスと財務報告の信頼性については、近年ではこれらを阻害する事件(損害保険会社の保険金の不払いや違法な営業等)が増えています。企業がこのような問題を1回でも起こした場合には、重い社会的制裁が下されています。コンプライアンスと財務報告の信頼性は、それができていなければ企業価値に負の影響が大きく、重要性が高まっているものと思われます。

企業価値を向上させるには、内部統制は大切であるといえます。

日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?

 

Q.日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?

 

A.内部統制の見直しについては、ITシステムの更新時に旧システムで行っていることをそのまま新システムでも行おうとしても、システム変更が期待したほどの業務改善につながりません。また、戦略的業務改善活動(以下「BPR」といいます。組織間の垣根をなくして全社的に最適な業務処理を構築していこうという活動のことです)は、業務効率アップ等につながる魅力的な活動であるものの、効果が測定しにくいことや費用が不明であること等から導入に踏み切れなかったりした会社が多かったことと思われます。

しかし、金融商品取引法と新会社法において、内部統制の全般的な見直しをしなければならなくなりました。法が規定することであるため、必ず行わなければならないことから、この機会に業務活動の改善もしたい、内部統制の四つの目的のうち業務の有効性、効率性も高めたいと考える場合も少なくないのではないでしょうか。ただし、この場合は費用の壁が立ちふさがる可能性があります。やるべきことはBPRと類似していますので、費用はもちろんかかってきます。財務報告の信頼性のみを文書化する場合には例えば3,000万円かかるとすると、2~3倍かかってしまうかもしれません。

そこで、対応策の一つを述べます。あくまでも、「財務報告の信頼性」の確保を目標とします。ただ、文書化作業の過程で他の目的に関係するリスクを発見できることがありますが、会社がそのようなリスクにつきコントロールがなされていないと不備を認識したなら、その情報を通常の財務報告プロジェクトとは違ったルートで吸い上げ、リスク管理部門に報告を行います。リスク管理部門においては、その報告されたリスクに対して優先順位を付け、アクションプランの検討を行います。このような二本立ての対応なら、十分に実現できるのではないかと考えます。

例えば、請求書の発行を漏らすというのは、財務報告に関係するリスクとはいえません。厳密にいえば資産保全に関係しますので、文書化の対象にはなると思われます。しかし、仮に財務報告の信頼性に関係するリスクに限って述べると、請求書を発行してもしなくても、これは会計取引には該当しませんので仕訳を切らないことから、財務報告の数字に影響が及びません。ただし、請求書を発行しなければお金が入ってきませんので、資金繰りに困ります。これは、ビジネスとしては多大な損失となるでしょう。このようなリスクを、財務報告に関係するリスクではないことを理由に放置しておくか、リスクと考えてアクションプランを検討して企業として対応していくかでは、大きな差が生じるのではないでしょうか。

上記のような対応が実際に極めて有効であると思われますが、作業者の内部統制についての知識や経験が不可欠であるということが、問題となります。リスクをリスクとして作業者がとらえることができるか、スルーしてしまうかによって、この活動の有効性に大きな差異が生じてしまうでしょう。

日本版SOX法における文書化活動の進め方について、具体的に教えてください。

 

Q.日本版SOX法における文書化活動の進め方について、具体的に教えてください。

 

A.次のような流れで文書化作業が展開されていくのが一般的であると思われます。

プロジェクト編成・企画

全社的な内部統制の評価

文書化の対応方針の決定

パイロット文書化

文書化作業の全社展開

運用状況の評価

不備への対応・欠陥の是正

上記のような流れについては、次の三つのポイントが存在します。

一番目に、日本版SOX法への対応は、トップマネジメントのリーダーシップを要する全社的なプロジェクトといえます。社員の協力が得られなければ成功しません。現場に赴いてテストやインタビューを行う作業が多いことから、現場が忙しいので来ないでほしいといわれたら、スケジュールが滞ってしまいます。このような意味で、トップマネジメントのリーダーシップは、プロジェクトを遂行する上で、極めて大切です。

二番目に、監査人との意見交換や調整が重要です。文書化作業を終えてから監査人にだめだといわれるという最悪の事態を避けるためには、要所ごとに監査人と確認作業を行う必要があります。

三番目に、外部コンサルタントが必要であるといえるでしょう。文書化作業に関して、ガイダンスやセミナーで詳細な説明をしても、最初からきちんとしたものを作成することは困難です。外部コンサルタントは通常パイロット文書化をします。この文書化の見本をまねて、以後の文書化作業を全社展開していきます。この見本のないまま文書を作成することは、非常に難しいと思われます。また、パイロット文書の質によって、あらゆる作業の質に影響が生じることになります。したがって、外部の専門家に依頼して、その方法を学ぶというアプローチが合理的であると考えます。費用面を考えると、全てを外部コンサルタントに依存するよりも、外部に依存する部分と自力でできる部分を見極めるといいと思われます。少なくともパイロット文書化は、外部に依頼するのが効果的で効率的ではないでしょうか。

 

上記のような流れで文書化作業が展開されていくことになりますが、各準備事項にどの程度の期間を要するのかについて具体例を述べます。なお、期間をクォーターごとに区切ります。

プロジェクト編成・企画:直前々事業年度の1Qに着手・完成

全社的な内部統制の評価:直前々事業年度の1Qに着手、同事業年度の2Qに完成

文書化の対応方針の決定:直前々事業年度の1Qに着手、同事業年度の2Qに完成

パイロット文書化:直前々事業年度の3Qに実施

文書化作業の全社展開(整備状況の評価):直前々事業年度の3Qに着手、同事業年度の4Qと直前事業年度の1Qに実施

運用状況の評価(セルフ アセスメント・テスティング):直前事業年度の1Qと同事業年度の2Qに実

不備への対応・欠陥の是正:直前事業年度の1Qから3Qまでに対応、同事業年度の4Qに完成

上記準備時事項のうちで最も時間を要すると思われるのは、「文書化作業の全社展開」です。上記のスケジュールでは、全てが終了するまでに2年間を要するということになります。2年間というのは長いように感じられるかもしれませんが、日常業務をしている中では現場に対するインタビューもスムーズな進行は困難であるのが一般的です。どうにかして都合をつけてもらうことができてインタビューをしても、後に文書にまとめようとした際に不明確なところが多く見つかるものです。インタビューをした相手に対して、メールでそのようなところについて確認したり、場合によっては再びインタビューをお願いしたりするのが実情ですので、2年間というのは実際には長いとはいえないでしょう。想定以上に時間を要してしまう可能性もありますので、文書化を始めるのは、なるべく早い時期にした方がいいと思われます。

リスクコントロールマトリックスを作成する際には、具体的にはどのような問題に直面することになりますか?

 

Q.リスクコントロールマトリックスを作成する際には、具体的にはどのような問題に直面することになりますか?

 

A.リスクコントロールマトリックス(以下「RCM」といいます)には、いかなる種類のリスクが存在していて、そのリスクはいかなるポイントで生じているかという情報が、業務フローチャートと関連付けられて記されています。そして、これらのリスクは、経営者のアサーション(言明)のうちでいかなるアサーションを阻害するものであるか、認識されたリスクに対していかなる統制を会社はしているか、それはいかなる種類のコントロールであるかというようなことが分かるようになっています。また、運用テストの方法や結果までの記載をシートの横に展開させることで、RCMの中で内部統制の整備状況と運用状況の全てが、コンパクトに表現されます。したがって、RCMは内部統制の文書化において中心となる文書であるといえます。

中心文書といえるRCMの作成に当たり、次のような問題に直面すると思われます。

財務報告に係るリスクとしていかなるリスクが存在するのかが思い付かない。

・いかなるポイントでリスクが生じるのかが特定できない。

・リスクに対応する経営者のアサーションの関連付けができない。

・RCMを作成した際に、リスクに対応するコントロールがないか思い付かない。代替的コントロールもないか思い付かない。あるべきコントロールも思い付かない。

・キーコントロール(いくつかあるコントロールのうちで最も有効なコントロール)が判断できない。

・現状のコントロールが全てのアサーションを達成しているのかが判定できない。

・コントロールの記載内容が曖昧であるために、いざ運用のテストを行おうとしてもテスト方法がイメージできない(テストプランが立てられない)。

リスクコントロールマトリックスの作成に当たり、システム間のデータ連携を理解することは重要でしょうか?

 

Q.リスクコントロールマトリックスの作成に当たり、システム間のデータ連携を理解することは重要でしょうか?

 

A.現在では、会社の全ての情報は多少なりともITの活用によって作成されています。財務会計データについても、全てデータで流れています。財務報告の信頼性を確保するためには、第一に、財務報告につながるデータはいかなる流れでつながってきているのかという全体像を見渡すことが重要です。典型的なパターンは、あるサブシステムに投入したデータがインタフェースされて財務会計システムにつながっていくというものです。このような全体像を見渡す資料(ツール)として、「マッピング」が挙げられます。マッピングを活用すれば、いかなるシステムに入力されたいかなるデータがどのように会計システムにつながっていくのか、そのデータはどの勘定科目と関連するデータであるのかということを理解することができます。

また、「システム概要図」という資料も、それぞれのサブシステムと会計システムへのつながりがシンプルに描かれています。現場でインタビューを行うに当たって、あらかじめデータの連携を大まかに頭に入れておくと、現場担当者からシステムの名称を当然知っているものとして話をされても、持参したシステム概要図をちらちらと確認しながらその話を聞くと、混乱せずに済みます。

財務会計データにつながるデータ入力が最初にどこでだれによりなされたのか、それがいかなるデータであるのかということが、重要です。

財務会計データは金額データですが、サブシステムにおいて、単価×数量をシステムによって算出した結果を金額データとして財務会計システムに受け渡します。そのことを前提に、検収入力について考えてみます。発注時に品目コードと数量をシステムに入力し、そのデータが更新されて、検収データに変換しているのが一般的であると思われます。

このような場合においては、検収時に発注数量と検収数量の違いのみが調整されます。数量データの入力は発注データの入力時になされていることから、発注入力の正確性を保つコントロールがまず大切であるといえます。さらに、ものが現実に納品された際の発注数量と検収数量に違いがあった場合に、その違いが適切に修正されていることを保つコントロールも、必要となってきます。

続いて、単価の入力については、システムに単価マスターが登録されていて、自動計算によって入庫金額計算される場合、財務報告の信頼性を保つためにはマスター登録の正確性が重要です。もし検収時に金額も数量も入力しているのなら、その際の入力の信頼性が大切です。

上記の通り、その企業が活用するシステムによって、どの入力が財務報告の信頼性を保つために大切であるのか(リスクが大きいのか)が違ってきます。システム間のデータ連携を理解することが、文書化作業の第一段階といえます。

リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つはリスクパターンを覚えることであるそうですが、リスクの発生箇所について教えてください。

 

Q.リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つはリスクパターンを覚えることであるそうですが、リスクの発生箇所について教えてください。

 

A.リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つは、リスクの種類や発生箇所のパターンを覚えることです。ITを活用して財務会計データを作成している場合、財務報告に係るリスクの発生箇所は限られます。

リスクの発生箇所として、一番目に承認時点が挙げられます。承認を要する時点には承認が漏れるリスクが常に存在します。

二番目にシステムへの入力時点が挙げられます。データ入力時には誤って入力するリスクも当然存在しますし、漏らすリスクや重複して入力してしまうリスクもあります。また、入力すべき日の属する月の翌月になって入力したというなら適時に処理されないというリスクも、入力時点で認識されます。

三番目はシステム間のインタフェース時です。サブシステムから財務会計システムにデータを移行するときにリスクが生じます。オンラインのバッチ処理で持っていっている際に、通常この場合は正確性が担保されていると思われますが、処理が漏れるリスクはないでしょうか。何件送り、何件受け取ったということは、モニターされているでしょうか。システム間のインタフェースにおいて、処理が漏れるというリスクは常に認識されるべきであるといえます。

四番目はITの処理プロセスです。ITによる計算を行っている部分は全て自動計算しています。全部システムでコントロールされているということになりますが、この処理が間違うこともあり得ないとはいえません。システムのバグが完全に除去されている保証はありません。また、手で計算している場合は、処理を間違うリスクは絶えず存在します。

五番目に、データの保存場所や資産の保存場所においては、適切な手続きを経ずに、データの書替えが行われてしまったり、資産が払い出されてしまったりするという、資産保全のリスクがあります。必要な承認が行われずに処理がなされるリスクとして認識するのが一般的であると思われます。

上記の五つのリスクをワンパターンで覚えます。そして、フローを記載していてそのような場所がある場合には必ずそこに例えば三角マークを記していけば、財務報告に係るリスクが漏れる可能性もなくなるでしょう。リスクを漏らすことが、文書化において一番の問題です。認識すべきリスクを漏らしたままで作業が進み、後に日程が押し迫ってから指摘を受けると大変です。余分な三角マークを記してしまう場合もありますが、その場合は余分な作業が増えるだけであり、あまり問題にはなりません。後になって削除すれば済みます。

« Older Entries Newer Entries »
Copyright© 2014 会社法と内部統制 All Rights Reserved.