‘リスクコントロールマトリックス’

リスクコントロールマトリックスを作成する際には、具体的にはどのような問題に直面することになりますか?

 

Q.リスクコントロールマトリックスを作成する際には、具体的にはどのような問題に直面することになりますか?

 

A.リスクコントロールマトリックス(以下「RCM」といいます)には、いかなる種類のリスクが存在していて、そのリスクはいかなるポイントで生じているかという情報が、業務フローチャートと関連付けられて記されています。そして、これらのリスクは、経営者のアサーション(言明)のうちでいかなるアサーションを阻害するものであるか、認識されたリスクに対していかなる統制を会社はしているか、それはいかなる種類のコントロールであるかというようなことが分かるようになっています。また、運用テストの方法や結果までの記載をシートの横に展開させることで、RCMの中で内部統制の整備状況と運用状況の全てが、コンパクトに表現されます。したがって、RCMは内部統制の文書化において中心となる文書であるといえます。

中心文書といえるRCMの作成に当たり、次のような問題に直面すると思われます。

財務報告に係るリスクとしていかなるリスクが存在するのかが思い付かない。

・いかなるポイントでリスクが生じるのかが特定できない。

・リスクに対応する経営者のアサーションの関連付けができない。

・RCMを作成した際に、リスクに対応するコントロールがないか思い付かない。代替的コントロールもないか思い付かない。あるべきコントロールも思い付かない。

・キーコントロール(いくつかあるコントロールのうちで最も有効なコントロール)が判断できない。

・現状のコントロールが全てのアサーションを達成しているのかが判定できない。

・コントロールの記載内容が曖昧であるために、いざ運用のテストを行おうとしてもテスト方法がイメージできない(テストプランが立てられない)。

リスクコントロールマトリックスの作成に当たり、システム間のデータ連携を理解することは重要でしょうか?

 

Q.リスクコントロールマトリックスの作成に当たり、システム間のデータ連携を理解することは重要でしょうか?

 

A.現在では、会社の全ての情報は多少なりともITの活用によって作成されています。財務会計データについても、全てデータで流れています。財務報告の信頼性を確保するためには、第一に、財務報告につながるデータはいかなる流れでつながってきているのかという全体像を見渡すことが重要です。典型的なパターンは、あるサブシステムに投入したデータがインタフェースされて財務会計システムにつながっていくというものです。このような全体像を見渡す資料(ツール)として、「マッピング」が挙げられます。マッピングを活用すれば、いかなるシステムに入力されたいかなるデータがどのように会計システムにつながっていくのか、そのデータはどの勘定科目と関連するデータであるのかということを理解することができます。

また、「システム概要図」という資料も、それぞれのサブシステムと会計システムへのつながりがシンプルに描かれています。現場でインタビューを行うに当たって、あらかじめデータの連携を大まかに頭に入れておくと、現場担当者からシステムの名称を当然知っているものとして話をされても、持参したシステム概要図をちらちらと確認しながらその話を聞くと、混乱せずに済みます。

財務会計データにつながるデータ入力が最初にどこでだれによりなされたのか、それがいかなるデータであるのかということが、重要です。

財務会計データは金額データですが、サブシステムにおいて、単価×数量をシステムによって算出した結果を金額データとして財務会計システムに受け渡します。そのことを前提に、検収入力について考えてみます。発注時に品目コードと数量をシステムに入力し、そのデータが更新されて、検収データに変換しているのが一般的であると思われます。

このような場合においては、検収時に発注数量と検収数量の違いのみが調整されます。数量データの入力は発注データの入力時になされていることから、発注入力の正確性を保つコントロールがまず大切であるといえます。さらに、ものが現実に納品された際の発注数量と検収数量に違いがあった場合に、その違いが適切に修正されていることを保つコントロールも、必要となってきます。

続いて、単価の入力については、システムに単価マスターが登録されていて、自動計算によって入庫金額計算される場合、財務報告の信頼性を保つためにはマスター登録の正確性が重要です。もし検収時に金額も数量も入力しているのなら、その際の入力の信頼性が大切です。

上記の通り、その企業が活用するシステムによって、どの入力が財務報告の信頼性を保つために大切であるのか(リスクが大きいのか)が違ってきます。システム間のデータ連携を理解することが、文書化作業の第一段階といえます。

リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つはリスクパターンを覚えることであるそうですが、リスクの発生箇所について教えてください。

 

Q.リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つはリスクパターンを覚えることであるそうですが、リスクの発生箇所について教えてください。

 

A.リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つは、リスクの種類や発生箇所のパターンを覚えることです。ITを活用して財務会計データを作成している場合、財務報告に係るリスクの発生箇所は限られます。

リスクの発生箇所として、一番目に承認時点が挙げられます。承認を要する時点には承認が漏れるリスクが常に存在します。

二番目にシステムへの入力時点が挙げられます。データ入力時には誤って入力するリスクも当然存在しますし、漏らすリスクや重複して入力してしまうリスクもあります。また、入力すべき日の属する月の翌月になって入力したというなら適時に処理されないというリスクも、入力時点で認識されます。

三番目はシステム間のインタフェース時です。サブシステムから財務会計システムにデータを移行するときにリスクが生じます。オンラインのバッチ処理で持っていっている際に、通常この場合は正確性が担保されていると思われますが、処理が漏れるリスクはないでしょうか。何件送り、何件受け取ったということは、モニターされているでしょうか。システム間のインタフェースにおいて、処理が漏れるというリスクは常に認識されるべきであるといえます。

四番目はITの処理プロセスです。ITによる計算を行っている部分は全て自動計算しています。全部システムでコントロールされているということになりますが、この処理が間違うこともあり得ないとはいえません。システムのバグが完全に除去されている保証はありません。また、手で計算している場合は、処理を間違うリスクは絶えず存在します。

五番目に、データの保存場所や資産の保存場所においては、適切な手続きを経ずに、データの書替えが行われてしまったり、資産が払い出されてしまったりするという、資産保全のリスクがあります。必要な承認が行われずに処理がなされるリスクとして認識するのが一般的であると思われます。

上記の五つのリスクをワンパターンで覚えます。そして、フローを記載していてそのような場所がある場合には必ずそこに例えば三角マークを記していけば、財務報告に係るリスクが漏れる可能性もなくなるでしょう。リスクを漏らすことが、文書化において一番の問題です。認識すべきリスクを漏らしたままで作業が進み、後に日程が押し迫ってから指摘を受けると大変です。余分な三角マークを記してしまう場合もありますが、その場合は余分な作業が増えるだけであり、あまり問題にはなりません。後になって削除すれば済みます。

リスクコントロールマトリックスを作成するに当たって、リスクに対応する代替的コントロールが思い付かないという問題に直面した場合には、どのように対応すればいいですか?

 

Q.リスクコントロールマトリックスを作成するに当たって、リスクに対応する代替的コントロールが思い付かないという問題に直面した場合には、どのように対応すればいいですか?

A.仮に、ある人が入力を行っていて、その入力の正確性チェックもその人が画面を見て行っているとします。この状況で入力の正確性が担保され、整備状況は良好であるといえるのかについては、不安が残ります。

しばしば、残高を合わせるという作業がなされます。銀行預金については、会社の帳簿残高と銀行の当座勘定照合表の残高を合わせ、違いがある場合にはその内容を明らかにして上司に報告し、承認を受けます。銀行残高調整表を作成して承認を受けるというような手続きです。売掛金については、相手先との残高確認を半期ごとに行い、違いを調整します。上司にレビューしてもらうのは、銀行預金の場合と同様です。また、在庫も同様です。実地棚卸をして現物残高と帳簿残高の違いの調整、原因を把握して上司の承認を受けた上で修正を行います。したがって、その時点においてはあるべき残高となっているのです。このようなことから、入力の際のどうかなという印象も、合わせ技として実地棚卸での調整等がきちんとなされているのなら、正しく処理されないというリスクはそこで解消したと判断していいと思われます。それゆえ、そのリスクに対しては、この二つのコントロールを併記すれば、整備状況は問題のないものになるでしょう。

 

上記のように、現在認識しているコントロールが弱いことから代替的コントロールを探すというケースがよくあります。それに活用できるのが、モニタリング統制です。モニタリング統制は、独立的評価と日常的モニタリングの2種類に分類されるのが一般的であるといえます。独立的評価の代表例は、不定期に入る内部監査です。代替的コントロールとして用いることができるのは日常的モニタリングの方であり、日常的モニタリングは2種類に分類されます。

一つ目は、他の統制機能の評価を目的とした活動で、統制活動が財務諸表の信頼性を保つために実際に効果的な運用がなされているか否かを監督するために設定される経営者か管理者によるモニタリングです。これは、コントロールを監督してその有効性を高めたり、一定のレベルに保ったりするための活動であるといえます。上記において代替的コントロールの具体例として挙げた銀行残高調整表や実地棚卸結果のレビュー等が、他の統制機能の評価を目的とした活動に該当します。

二つ目は、管理者によるレビュー・業績レビューです。これは、元来、財務報告の信頼性を保つことを目的としたものではありません。利益や売上げはどうなっているのがといった業績をレビューするための管理資料や実績資料等の結果を分析することで、二次的に財務報告に係る間違いが発見される場合があります。

例えば、実績資料で異常な利益率が出ていて、こんなはずはないから調べてくれという話になり、調べてみたら、仕入れの計上漏れや、出庫処理漏れ、売上げの過大計上等が結果的に発見されることがあります。また、経費を前期か予算と比べてみます。全く異なる数字が出ていて、おかしいのではないかという話になり、原因を調べてみたら、費用の計上漏れや、経費の二重計上、科目処理誤りというような財務報告に係る間違いが発見される場合があります。

大きな間違いがここでは発見されていて、これは効果的であるといえます。ここでは、一件の伝票を入れるのを忘れたというような小さな間違いは発見されませんが、大きな財務報告に係るミステイクは発見できます。したがって、財務報告の信頼性を保つためには極めて有効なコントロールであると思われます。代替的コントロールが思い付かない場合には、第一に、このモニタリングコントロールで対応できないかを検討してみるのがいいと考えます。

リスクコントロールマトリックスを作成する際、コントロールの記載内容が曖昧であるために、いざテストしようとしても、テスト方法がイメージできないという問題に直面した場合、どのように対応すればいいでしょうか?

 

Q.リスクコントロールマトリックスを作成する際、コントロールの記載内容が曖昧であるために、いざテストしようとしても、テスト方法がイメージできないという問題に直面した場合、どのように対応すればいいでしょうか?

 

A.コントロールの記載については、後のことを考えて手を抜かないことが重要です。だれが、いつ、いかなるタイミングで、いかなる資料を手に、いかなるコントロールをしているのかというようなことについて記す必要があります。

例えば、「Aさんが入力の正確性をチェックしている」と記されている場合には、その後、同じようにテストをしてみようとしても、全くイメージすることができません。一方、「Aさんが入力伝票と入力のプルーフリストを照合して、金額と数量が正しく入力されていることを確認している」と記されている場合には、イメージしやすく、同じことを第三者が実施できますので、このように記すように努めることが大切です。

上記のことは第一に留意すべき点ですが、このほかに運用のテストまでつなげるための実務的なアドバイスとして2点述べると、サンプリングソースの確認と関連帳票類のファイリング方法の改善が、効率的に作業を進める上で重要です。この2点については、もし余裕があれば実践するといいでしょう。

サンプリングソースの確認というのは、どの資料からテストのためのサンプリングを抜き出すのかという話です。例えば、出荷記録の入力の正確性を確認する場合、何件かのサンプルを出荷記録から抜き出し、元の入力の伝票と照らし合わせてみるというテストを実施します。それでは、その出荷記録はいかなる形で残されているでしょうか。もし、出荷一覧表という形で残されていて、ここに保管されていますというのなら、そこから抜き出してサンプリングできますが、近年ではプリントアウトされるケースは多くありません。データという形で保存されている場合、どこから利用できるデータを入手できるかということについて、テストする段階で慌てて確認しなければならないことが多いのが現状です。そのような事態を防ぐためにも、当初から、後工程までをイメージしつつ文書化作業を進めるといいと思われます。

また、仮に、関連帳票がいろいろな場所にバラバラに保管されていて、テストを実施するに当たり、「サンプリングしましたのでこれに関する関連帳票を出してください」と突然依頼するとします。この場合、現場の人は非常に混乱してしまい、そのうち非協力的になってしまうでしょう。監査法人に対する監査対応と同様です。このようなことを防止するために、一連の書類はセットにしてファイリングしておくという準備が、効率的に運用テストを実施するためには重要であると考えます。

リスクコントロールマトリックスに、コントロールとして「AさんがXを承認している」と記されている場合には、承認があるので問題なく、整備状況は良好であると、単純に考えていいのですか?

 

Q.リスクコントロールマトリックスに、コントロールとして「AさんがXを承認している」と記されている場合には、承認があるので問題なく、整備状況は良好であると、単純に考えていいのですか?

 

A.承認権限者が承認するということは、企業がその取引を正当なものとして受け入れること、企業の取引として認めることを意味します。企業が正当な取引であると認めるためには、単にだれかが承認しているというのではなく、その承認権限者が適切な権限や責任を有している必要があります。承認権限や責任を有していない人が承認権限者とされている場合には、整備状況が良好であるとはいえないことがあります。

ちなみに、権限者が承認を行うためには、その判断をするのに必要である書類が権限者に提供されていなければならず、そのような書類が提示されていない場合には、単なる空チェックであるとみなされて運用状況に問題があるのではないかと指摘されることもあります。

 

また、システムに組み込まれた承認については、システムのワークフロー上で、承認という設定がなされている場合、その承認者は職務権限規程における承認者と同じ人とされているか否かが問題になります。システムにおける承認者が本来のルールにおける承認者と異なるというのは、問題といえます。また、その課の全ての人や承認者以外の人が承認できるような設定になっているのなら、それも問題です。

 

さらに、承認が済んでいるにもかかわらず、会計処理が行われていないものはないかも問題となります。仮に、不良資産の廃却の承認を受けたものの会計処理されていないとします。このような場合において金額が多額であるときには、それが処理されていなければ財務報告に大きな影響を及ぼす可能性もあります。承認の全てが会計処理されたということをコントロールする手段を、会社は有しているのかが問われます。

 

以上のような部分が、一般的に日本の会社の従来のコントロールのうち弱いところではないでしょうか。このようなコントロールが弱いか存在しない会社においては、いかなるコントロールを整備すればいいのかを考えておくといいと思われます。

Copyright© 2014 会社法と内部統制 All Rights Reserved.