‘中小企業と内部統制’
リスクコントロールマトリックスを作成するに当たって、リスクに対応する代替的コントロールが思い付かないという問題に直面した場合には、どのように対応すればいいですか?
Q.リスクコントロールマトリックスを作成するに当たって、リスクに対応する代替的コントロールが思い付かないという問題に直面した場合には、どのように対応すればいいですか?
A.仮に、ある人が入力を行っていて、その入力の正確性チェックもその人が画面を見て行っているとします。この状況で入力の正確性が担保され、整備状況は良好であるといえるのかについては、不安が残ります。
しばしば、残高を合わせるという作業がなされます。銀行預金については、会社の帳簿残高と銀行の当座勘定照合表の残高を合わせ、違いがある場合にはその内容を明らかにして上司に報告し、承認を受けます。銀行残高調整表を作成して承認を受けるというような手続きです。売掛金については、相手先との残高確認を半期ごとに行い、違いを調整します。上司にレビューしてもらうのは、銀行預金の場合と同様です。また、在庫も同様です。実地棚卸をして現物残高と帳簿残高の違いの調整、原因を把握して上司の承認を受けた上で修正を行います。したがって、その時点においてはあるべき残高となっているのです。このようなことから、入力の際のどうかなという印象も、合わせ技として実地棚卸での調整等がきちんとなされているのなら、正しく処理されないというリスクはそこで解消したと判断していいと思われます。それゆえ、そのリスクに対しては、この二つのコントロールを併記すれば、整備状況は問題のないものになるでしょう。
上記のように、現在認識しているコントロールが弱いことから代替的コントロールを探すというケースがよくあります。それに活用できるのが、モニタリング統制です。モニタリング統制は、独立的評価と日常的モニタリングの2種類に分類されるのが一般的であるといえます。独立的評価の代表例は、不定期に入る内部監査です。代替的コントロールとして用いることができるのは日常的モニタリングの方であり、日常的モニタリングは2種類に分類されます。
一つ目は、他の統制機能の評価を目的とした活動で、統制活動が財務諸表の信頼性を保つために実際に効果的な運用がなされているか否かを監督するために設定される経営者か管理者によるモニタリングです。これは、コントロールを監督してその有効性を高めたり、一定のレベルに保ったりするための活動であるといえます。上記において代替的コントロールの具体例として挙げた銀行残高調整表や実地棚卸結果のレビュー等が、他の統制機能の評価を目的とした活動に該当します。
二つ目は、管理者によるレビュー・業績レビューです。これは、元来、財務報告の信頼性を保つことを目的としたものではありません。利益や売上げはどうなっているのがといった業績をレビューするための管理資料や実績資料等の結果を分析することで、二次的に財務報告に係る間違いが発見される場合があります。
例えば、実績資料で異常な利益率が出ていて、こんなはずはないから調べてくれという話になり、調べてみたら、仕入れの計上漏れや、出庫処理漏れ、売上げの過大計上等が結果的に発見されることがあります。また、経費を前期か予算と比べてみます。全く異なる数字が出ていて、おかしいのではないかという話になり、原因を調べてみたら、費用の計上漏れや、経費の二重計上、科目処理誤りというような財務報告に係る間違いが発見される場合があります。
大きな間違いがここでは発見されていて、これは効果的であるといえます。ここでは、一件の伝票を入れるのを忘れたというような小さな間違いは発見されませんが、大きな財務報告に係るミステイクは発見できます。したがって、財務報告の信頼性を保つためには極めて有効なコントロールであると思われます。代替的コントロールが思い付かない場合には、第一に、このモニタリングコントロールで対応できないかを検討してみるのがいいと考えます。
リスクコントロールマトリックスを作成する際、コントロールの記載内容が曖昧であるために、いざテストしようとしても、テスト方法がイメージできないという問題に直面した場合、どのように対応すればいいでしょうか?
Q.リスクコントロールマトリックスを作成する際、コントロールの記載内容が曖昧であるために、いざテストしようとしても、テスト方法がイメージできないという問題に直面した場合、どのように対応すればいいでしょうか?
A.コントロールの記載については、後のことを考えて手を抜かないことが重要です。だれが、いつ、いかなるタイミングで、いかなる資料を手に、いかなるコントロールをしているのかというようなことについて記す必要があります。
例えば、「Aさんが入力の正確性をチェックしている」と記されている場合には、その後、同じようにテストをしてみようとしても、全くイメージすることができません。一方、「Aさんが入力伝票と入力のプルーフリストを照合して、金額と数量が正しく入力されていることを確認している」と記されている場合には、イメージしやすく、同じことを第三者が実施できますので、このように記すように努めることが大切です。
上記のことは第一に留意すべき点ですが、このほかに運用のテストまでつなげるための実務的なアドバイスとして2点述べると、サンプリングソースの確認と関連帳票類のファイリング方法の改善が、効率的に作業を進める上で重要です。この2点については、もし余裕があれば実践するといいでしょう。
サンプリングソースの確認というのは、どの資料からテストのためのサンプリングを抜き出すのかという話です。例えば、出荷記録の入力の正確性を確認する場合、何件かのサンプルを出荷記録から抜き出し、元の入力の伝票と照らし合わせてみるというテストを実施します。それでは、その出荷記録はいかなる形で残されているでしょうか。もし、出荷一覧表という形で残されていて、ここに保管されていますというのなら、そこから抜き出してサンプリングできますが、近年ではプリントアウトされるケースは多くありません。データという形で保存されている場合、どこから利用できるデータを入手できるかということについて、テストする段階で慌てて確認しなければならないことが多いのが現状です。そのような事態を防ぐためにも、当初から、後工程までをイメージしつつ文書化作業を進めるといいと思われます。
また、仮に、関連帳票がいろいろな場所にバラバラに保管されていて、テストを実施するに当たり、「サンプリングしましたのでこれに関する関連帳票を出してください」と突然依頼するとします。この場合、現場の人は非常に混乱してしまい、そのうち非協力的になってしまうでしょう。監査法人に対する監査対応と同様です。このようなことを防止するために、一連の書類はセットにしてファイリングしておくという準備が、効率的に運用テストを実施するためには重要であると考えます。
リスクコントロールマトリックスに、コントロールとして「AさんがXを承認している」と記されている場合には、承認があるので問題なく、整備状況は良好であると、単純に考えていいのですか?
Q.リスクコントロールマトリックスに、コントロールとして「AさんがXを承認している」と記されている場合には、承認があるので問題なく、整備状況は良好であると、単純に考えていいのですか?
A.承認権限者が承認するということは、企業がその取引を正当なものとして受け入れること、企業の取引として認めることを意味します。企業が正当な取引であると認めるためには、単にだれかが承認しているというのではなく、その承認権限者が適切な権限や責任を有している必要があります。承認権限や責任を有していない人が承認権限者とされている場合には、整備状況が良好であるとはいえないことがあります。
ちなみに、権限者が承認を行うためには、その判断をするのに必要である書類が権限者に提供されていなければならず、そのような書類が提示されていない場合には、単なる空チェックであるとみなされて運用状況に問題があるのではないかと指摘されることもあります。
また、システムに組み込まれた承認については、システムのワークフロー上で、承認という設定がなされている場合、その承認者は職務権限規程における承認者と同じ人とされているか否かが問題になります。システムにおける承認者が本来のルールにおける承認者と異なるというのは、問題といえます。また、その課の全ての人や承認者以外の人が承認できるような設定になっているのなら、それも問題です。
さらに、承認が済んでいるにもかかわらず、会計処理が行われていないものはないかも問題となります。仮に、不良資産の廃却の承認を受けたものの会計処理されていないとします。このような場合において金額が多額であるときには、それが処理されていなければ財務報告に大きな影響を及ぼす可能性もあります。承認の全てが会計処理されたということをコントロールする手段を、会社は有しているのかが問われます。
以上のような部分が、一般的に日本の会社の従来のコントロールのうち弱いところではないでしょうか。このようなコントロールが弱いか存在しない会社においては、いかなるコントロールを整備すればいいのかを考えておくといいと思われます。
Q.ITアプリケーションコントロールについて教えてください。
Q.ITアプリケーションコントロールについて教えてください。
A.まず、データの移動に関し、基幹系システムに伝送でデータが入ってくる場合と、手で入力してシステムに投入している場合について述べます。
オンラインで取引先からデータが入ってくる場合については、データのインタフェース箇所であることから、漏れがないかというリスクが認識されるのが一般的です。一方、手で入力する場合については、漏れがないかというリスク以外に、正しく入力されないというリスクが認識されます。
データがシステムに漏れなく送られているかというコントロールとしては、システムに送った件数やエラーになった件数がプリントアウトされるように機能があったり、ログの記録でエラーになった件数が記録として残ったりするなら、問題ないといえます。ただし、システムには存在しない場合でも、マニュアルのコントロールとして、送った件数と受けた件数のやりとりがチェックされているなら、コントロールとして有効であると思われます。あらゆる統制機能がシステムに組み込まれている必要があるというわけではありません。コストと効率性の兼ね合いを熟考しなければなりません。
また、基幹系システムの処理、プロセスの部分については、これが正しくなされているかがリスクとして認識されますが、システムの導入時や更新時に適切にテストしてバグを解消した上で活用しているものと考えられます。システムの場合にはそれ以後は常時同一の結果となる、すなわち正しく処理されますので、この部分についてはITの全般統制の評価に大きく依存していくこととなります。ファイルを適切に更新するというのも同様です。全般統制において当初システムを構築した際にいかなる評価をしていくのかに大きく依存します。
データが基幹系システムから財務会計システムに伝送される場合については、上記の外部からの伝送の場合と同様のことがいえます。
財務会計システムに直接手で入力しているものについては、そのコントロールが財務報告の信頼性を保つために最も重要です。具体的には、とりわけ決算整理伝票は、基本的に現場で作成されたデータを基に作られるのですが、経理部門で財務会計システムに直接登録されます。上流の方で正確性を担保するためいろいろなコントロールを活用して財務会計のデータを作り上げてきても、この部分で間違った伝票を一枚入れてしまうことによって、信頼性が失われてしまうこともあります。いかなる伝票が入っているか、だれが承認して入れているかが大切です。
「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が公表されましたが、これはどのような項目で構成されているのでしょうか?
2005年12月に、企業会計審議会・内部統制部会によって「財務報告に係る内部統制の評価及び監査の基準案」(以下「内部統制基準案」といいます)が公表されました。これによって、内部統制の定義、概念的枠組み、経営者の評価や公認会計士等による監査に関する基本的な考え方が表されました。これを実務に適用する場合におけるガイドラインとして、2006年11月に「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」(以下「実施基準案」といいます)が公表されました。
実施基準案は、次の大きな項目三つによって成り立っています。なお、この構成は、内部統制基準案の構成と同じです。
Ⅰ.内部統制の基本的枠組み
「Ⅰ.内部統制の基本的枠組み」においては、内部統制の目的四つ、基本的要素六つに関する詳しい説明や留意事項が記されています。そして、経営者が現実にすべきことを明らかにするために、財務報告に係る内部統制の構築プロセスが例示されています。
「Ⅱ.財務報告に係る内部統制の評価及び報告」においては、主に次に掲げる項目に関して実務上の指針が記されています。
・評価範囲をどのように決めるのか
・具体的にいかにして評価するのか(どのように内部統制の有効性を判断するのか、内部統制の不備や重要な欠陥への対応、評価手続きを行えなかった場合の対応、評価手続きの記録や保存)
「Ⅲ.財務報告に係る内部統制の監査」においては、内部統制監査の目的や方法等に関して、具体的な取扱いが記されています。
「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」のポイントを教えてください。
アメリカでは2004年度からSOX法が適用されていますが、日本における財務報告に係る内部統制の評価及び監査制度は、このアメリカの同法の経験等を参照し、国際的な調和を考慮に入れつつ日本独自の制度を目指すものといえます。「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」(以下「実施基準案」といいます)には、次のような主たる特徴があると考えられます。
・トップダウン型のリスクアプローチの具現化
・企業の事務負担に対する配慮
・監査の効率重視
1.トップダウン型のリスクアプローチの具現化
トップダウン型のリスクアプローチというのは、経営者が会社の実情に応じて財務報告に係る重要なリスクを判断し、このリスクに着目して、このリスクに係る内部統制が有効であるか否かを評価するというアプローチのことです。
実務基準案においては、評価と報告の準備作業として、内部統制を構築する責任のある経営者が、いかにすればいいかを理解できるように、財務報告に係る内部統制を構築する場合における要点とそのプロセスが記されています。
経営者が内部統制の評価を行う際には、評価の範囲を絞り込みます。絞り込むプロセスで、全社的な内部統制が重要視されています。つまり、経営者は、第一にあらゆる事業拠点につき全社的な内部統制を評価し、その評価した結果を基に、評価の対象となる事業拠点の選定や業務プロセスの決定を行います。例えば、重要な事業拠点を選ぶに当たり、全社的な内部統制が良好であるなら、売上げ等を基準に、約3分の2をカバーする事業拠点を選びます。選ばれた事業拠点では、一般的な事業会社なら、原則として売上げ・売掛金・棚卸資産に関わる業務プロセスを評価の対象とします。
2.企業の事務負担に対する配慮
アメリカにおいては、財務諸表と注記を対象として、その適正性を保証するあらゆる内部統制につき評価対象とする(カバー率を90%とする等)方法が採用されましたので、監査人側からの保守的な要請も影響を及ぼし、評価はかなりの作業量となって企業の事務負担が増大しました。
実施基準案においては、上記1の通りトップダウン型のリスクアプローチが採られ、財務報告に係る内部統制の構築プロセスで、財務報告の信頼性を保つという目的を果たすための最低限の対応をし、また、評価範囲の決定において評価範囲を絞り込むことで、企業の事務負担に対する配慮がなされています。とりわけ中小規模会社については、このことに十分な留意が必要です。
3.監査の効率重視
内部統制監査は、経営者が行った内部統制の有効性の評価結果に関する主張を前提に、監査人がこの主張に対する意見を表明するものであり、監査人が内部統制の整備・運用状況を直接検証するわけではありません。ちなみに、アメリカでは、監査人が自ら内部統制の有効性につき意見を表明する直接報告業務(ダイレクトレポーティング)を行います。上記2の通り会社が評価範囲を絞り込みますが、その過程や結果が内部統制監査に影響を与えます。
また、内部統制監査は、同一の監査人により、財務諸表監査と一体となって実施されます。監査では監査証拠を必ず入手する必要がありますが、監査の過程で入手した同一の証拠が、内部統制監査と財務諸表監査のどちらにも用いられる場合があります。
このようなことから、効率的に内部統制監査がなされることが見込まれています。
内部統制報告制度では、内部統制の四つの目的のうちで財務報告の信頼性の確保を果たすための内部統制について定められているのですか?
内部統制というのは、基本的に、業務の有効性と効率性、事業活動に関わる法令等の遵守、財務報告の信頼性の確保、資産の保全という四つの目的が果たされているとの合理的な保証を得るために、業務に組み込まれ、組織内のあらゆる人により遂行されるプロセスのことであり、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング(監視活動)、IT(情報技術)への対応という六つの基礎的要素から構成されます。
上記の内部統制の四つの目的は、各々固有の目的ではありますが、相互に密接に関連しているのであって、それぞれが独立して存在するわけではありません。つまり、内部統制は業務に組み込まれ、組織内のあらゆる人により遂行されるプロセスです。どれか一つの目的を果たすために構築された内部統制についても、別の目的のために構築された内部統制と共通の体制となったり、互いに補完しあったりすることもあります。
金融商品取引法における内部統制報告制度は、財務報告の信頼性を確保するための内部統制を「財務報告に係る内部統制」と定義付け、これを経営者による評価と報告、監査人による監査を通じて子築しようとするものです。財務報告の信頼性以外の目的については、それを果たすための内部統制の整備や構築を直接求めてはいません。しかしながら、財務報告は組織の業務全般に係る財務情報を集約したものであって、組織の業務全体と密接不可分の関係にあります。それゆえ、経営者が財務報告に係る内部統制を有効にかつ効率的に構築しようとするならば、各目的の関連性を認識してから、内部統制を整備・運用する必要があります。
また、内部統制については、あらゆる組織に画一的なものが存在しているわけではありません。各々の組織を取り巻く環境や事業の特性等に応じて、内部統制をどのように整備して運用するのかが違ってきます。ゆえに、経営者を始めとする組織内のあらゆる人が、内部統制の機能や役割を効率的に果たすことができるよう工夫していくこととなります。
内部統制の限界として、具体的にはどのようなことが挙げられますか?
経営者は、非常に多くの時間と労力を費やして、自身で内部統制を構築・評価し、監査を受けることとなり.ます。しかし、どれほどの時間や労力を費やして内部統制を構築しても、内部統制にはそれ自体が限界を有しています。経営者によって構築される内部統制は、絶対的な水準のものというわけではなく、その目的を合理的な範囲で果たすための水準であるといえます。
内部統制の限界として、どのようなことが挙げられるでしょうか。
第一に、判断を間違えたり、不注意だったりすることで、内部統制が有効に機能しなくなる可能性があります。例えば、担当者の入力や上司の承認の際に判断の誤りや不注意があったら、その結果を基づいたデータが、だれにも発見されないままで流れていくかもしれません。また、内部統制の基本的な考え方は相互牽制ですので、複数の担当者が共謀すれば、有効に機能しなくなってしまいます。
第二に、初めに想定されていなかった組織内外の環境の変化や非定型的な取引等には、内部統制が対応しない可能性があります。内部統制は、日常的な業務のプロセスにつき構築していくものといえます。想定されるあらゆる事象につき構築するとしたら切りがないだけでなく、想定外の事象が起こる場合もあります。初めに想定していなかった事象が起こったら、すでに構築されている内部統制に頼るだけでなく、新規に対応しなければなりません。
第三に、内部統制の整備や運用に当たっては、便益と費用を比較衡量する必要があります。したがって、費用面から内部統制が低水準のものになってしまう可能性もあるでしょう。
第四に、不当な目的のために、経営者が内部統制を無視したり無効にしたりする場合があります。内部統制は、経営者が自身で構築するものであるために、最終段階で経営者の一声によってどうにでもなってしまうのです。経営者による内部統制の破壊ともいえるものです。ちなみに、正当な権限のある人が経営上の判断で別段の手続きをすることは、内部統制を無視したり無効にしたりすることとは明確に区別されます。
上記のような内部統制の限界を認識しつつ、有効かつ効率的な内部統制を構築することが重要です。
内部統制に関わる人々とその役割について教えてください。
組織内のあらゆる人々を何らかの形で関わらせ、各人が役割や責任を果たしていくことが、内部統制を構築していく上で重要になります。内部統制に関わりを持つことになるのは、経営者、取締役会、監査役か監査役会、内部監査人、組織内におけるその他の人々ですが、以下に、各々の役割や責任につき、簡単に述べます。
1.経営者
経営者には、組織のあらゆる活動につき最終的な責任がありますので、取締役会が決めた基本方針を基に内部統制を整備・運用する役割や責任を負っています。すなわち、日本版SOX法への対応については、第一に経営者が高い意識を有し、先頭に立って行う必要があります。
2.取締役会
取締役会は、内部統制の整備・運用に係る基本方針を決めます。また、経営者の職務執行に関する監査機関ですので、経営者の内部統制の整備・運用についても監督責任を負っています。適切に取締役会が機能しているか否かは、全社的な内部統制に重要な影響を及ぼすほか、業務プロセスに係る内部統制における統制環境の評価に関係してきます。
3.監査役又は監査委員会
監査役か監査委員会は、取締役や執行役の職務の執行に対する監査を行いますので、内部統制の整備・運用状況を独立した立場から監視・検証する役割や責任を負っています。その一方で、内部統制の監査では、監査役や監査委員会の活動を含む経営レベルにおける内部統制の整備・運用状況を、モニタリングや統制環境等の一部として考慮します。
4.内部監査人
内部監査人には、より効果的に内部統制の目的を果たすため、内部統制の基本的要素の一つとされるモニタリングの一環として、内部統制の整備・運用状況を検討・評価し、必要であればその改善を促す職務があります。内部統制の独立的評価において重要な役割を持つことになるため、経営者の直属とされる場合が多いといえます。
5.組織内におけるその他の人々
組織内のその他の人々は、日常業務の中で、組織内における情報と伝達、日常的モニタリング、統制活動等に関わる活動を遂行していて、自身の権限や責任の範囲内で、有効な内部統制の整備・運用につき一定の役割や責任を負っています。
財務報告に係る内部統制構築のプロセスについて、内部統制の報告までの具体的な流れを教えてください。
財務報告に係る内部統制構築のプロセスについては、一般的な手続きとしながらも実施基準案において明示されています。とりわけ、財務報告に係る具体的な内部統制の構築について、重要になることとして、次に掲げる項目が挙げられています。
・適正な財務報告を確保するための全社的な方針や手続が示されるとともに、適切に整備及び運用されていること
・財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされること
・財務報告の重要な事項に虚偽記載が発生するリスクを低減するための体制が適切に整備及び運用されていること
・真実かつ公正な情報が識別、把握及び処理され、適切な者に適時に伝達される仕組みが整備及び運用されていること
・財務報告に関するモニタリングの体制が整備され、適切に運用されていること
・財務報告に係る内部統制に関するITに対し、適切な対応がなされること
経営者は、上記のようなことを念頭に置き、具体的には次のプロセスによって、財務報告に係る内部統制を構築していきます。
・基本的計画及び方針の決定
・内部統制の整備状況の把握
・把握された不備への対応及び是正
1.基本的計画及び方針の決定
内部統制は、経営者の一貫した方針に沿って構築される必要があります。したがって、経営者は、内部統制の基本方針に係る取締役会の決定を基に、それを全社的なレベルや業務プロセスのレベルにおいて行うための基本的計画と方針を決めることとなります。このことで、事前に内部統制報告書により評価されるべき範囲を明らかにすることが可能であり、経営者はその範囲内で財務報告に係る内部統制を構築していくこととなります。決めておく内容は、具体的には次のような内容です。
・適正な財務報告を実現するために構築すべき内部統制の方針・原則・範囲・水準
・内部統制の構築を担当する責任者以下の責任者と全社的な管理体制
・内部統制の構築に要する日程と手順
・内部統制の構築に係る各々の手続に関わる人員とその編成、事後の教育・訓練の方法等
2.内部統制の整備状況の把握
内部統制の基本的計画と方針が決められた後、組織においては内部統制の整備状況を把握して、その結果を記録・保存します。経営者と内部統制の構築に責任を持つ人の指示を受けながら、全社的なプロジェクトとして、この作業を行うこととなります。
既存の内部統制についての規程、慣行及びその遵守状況等を基に、全社的な内部統制の整備状況を把握して、記録・保存を行います。とりわけ、暗黙のうちに行われている社内の決まりごと等が存在する場合は、それを明文化することが大切です。
組織における重要な各業務プロセスにつき、取引の流れや会計処理の過程を、必要であれば図表を用いて整理し、把握します。各業務プロセスにつき、虚偽記載の生じるリスクを判別し、そのリスクがどのような財務報告か勘定科目と関連があるのか、また、判別されたリスクが業務に組み込まれた内部統制により十分に減らせるものとなっているのかを、必要であれば図表を用いて検討します。
このための参考として、実施基準案ではいわゆる3点セット(「業務の流れ図(フローチャート)」、「業務供述書」、「リスクと統制の対応」)が例示されています。内部統制の文書化作業は、これらのツールを活用しつつ実施していきます。
3.把握された不備への対応及び是正
内部統制の整備状況を把握する過程で把握された内部統制の不備については、適切な対応を図る必
要があります。経営者と内部統制の構築に責任を負う人は、内部統制の基本的計画と方針を基に、不
備の是正措置を講じることとなります。
金融商品取引法における内部統制報告制度は、財務報告の信頼性を確保することを目的としていて、
財務報告に係る内部統制の不備は、内部統制報告より前に、適切な対応・是正がなされていなければ
なりません。経営者は、内部統制報告を行うまでに、自社における内部統制が有効なものになるよう
改善していくということになります。
« Older Entries Newer Entries »
