財務報告に係る内部統制(J-SOX)には、①全社的な内部統制、②決算・財務報告プロセスに係る内部統制、③業務プロセスに係る内部統制、④ITに係る内部統制があります。
そのなかで業務プロセスに係る内部統制は、日常業務に組み込まれており、業務担当者が意識せずに行っていることの多い内部統制です。
この記事では、業務プロセスに係る内部統制の概要を簡単にまとめました。
業務プロセスに係る内部統制とは
そもそも業務プロセスってなに?
業務プロセスとは、ある業務の開始から完了までの流れのことをいいます。
たとえば、支払プロセスであれば、
請求書受領 → 根拠資料(納品等等)との突合せ → 支払申請 → 上長の支払承認 → 支払 → 帳簿記入 → 上長の帳簿記入確認
などが考えられます。
そして、業務プロセスに係る内部統制とは、上記の例でいえば、
- 根拠資料(納品等等)との突合せ
- 上長の支払承認
- 上長の帳簿記入確認
のように、財務諸表作成に影響する不正や誤謬(ミス)が起こらないようにする(予防的)、もしくはすでに起こった不正や誤謬(ミス)を発見する(発見的)ための仕組みをいいます。
業務プロセスの評価範囲
業務プロセスに係る内部統制の有効性を評価する前に、業務プロセスの可視化・文書化を行う必要があります。
文書化においては、主に3点セット(フローチャート、業務記述書、リスク・コントロール・マトリクス)を作成します。
業務プロセスの文書化は企業の透明性を高める反面、非常に作業負荷が大きいので、いかに無駄なく効率的に実施するかが重要です。
ムダなくするにはどうすればいいの?
まず先に業務プロセスの評価範囲を検討することで、どの業務プロセスを文書化するかを絞り込みます。
なお、業務プロセスの評価範囲の決定は、全社的な内部統制の評価を行い、その評価結果を踏まえた上で行われます。
また、2023年4月7日公表の改訂実施基準では、業務プロセスの評価範囲の決定に際して、長期間にわたり評価範囲外としてきた特定の事業拠点や業務プロセスについても評価範囲に含めることの必要性の有無の考慮について言及しています。
さらに、評価範囲外の事業拠点又は業務プロセスにおいて開示すべき重要な不備が識別された場合には、当該事業拠点又は業務プロセスについては、少なくとも当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切であるとしています。
Step1 重要な事業拠点の選定
業務プロセスの評価範囲の検討にあたり、まず初めに重要な事業拠点を選定します。
事業拠点とは、本社や支社など地理的な観点だけではなく、親会社や子会社などの会社単位や、事業部単位などの捉え方も可能で、企業の実態に応じて識別します。
「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下「実施基準」という)では、重要な事業拠点の選定の例を以下のようにあげています。
事業拠点を選定する指標として、基本的には、売上高が用いられるが、(略)総資産、税引前利益等の異なる指標や追加的な指標を用いることがある。
この場合、本社を含む各事業拠点におけるこれらの指標の金額の高い拠点から合算していき、連結ベースの一定の割合に達している事業拠点を評価の対象とすることが考えられる。
一定割合をどう考えるかについては、(略)例えば、連結ベースの売上高等の一定割合(おおむね3分の2程度)とする考え方や、総資産、税引前利益等の一定割合とする考え方もある。
ただし、連結ベースの売上高等の一定割合(おおむね3分の2程度)等、指標を利用した評価対象となる事業拠点の絞込みは、あくまで全社的な内部統制が有効だった場合に限られます。
もし全社的な内部統制が有効でなかった場合は、評価範囲の拡大が考えられます。
Step2 評価対象とする業務プロセスの識別
重要勘定プロセス
次に、重要な事業拠点において、企業の事業目的に大きく関わる勘定科目に至る業務プロセスを識別します。
実施基準では、「企業の事業目的に大きく関わる勘定科目」の例として、売上、売掛金、棚卸資産をあげています。
たとえば、これらの勘定科目の計上に至るような、一般的な売上に係る業務プロセスとしては、
- 新規得意先契約プロセス
- 見積りプロセス
- 受注プロセス
- 出荷プロセス
- 売上計上プロセス
- 入金プロセス
などが考えられます。
財務報告の影響を勘案して、重要性の大きい業務プロセス
重要な事業拠点およびそれ以外の事業拠点において、財務報告の影響を勘案して、重要性の大きい業務プロセスを個別に識別します。
実施基準では、「重要性の大きい業務プロセス」について以下のように例示しています。
リスクが大きい取引を行っている事業又は業務に係る業務プロセス(例)
- 金融取引やデリバティブ取引を行っている事業又は業務
- 価格変動の激しい棚卸資産を抱えている事業又は業務
- 複雑な会計処理が必要な取引を行っている事業又は業務
- 複雑又は不安定な権限や職責及び指揮・命令の系統(例えば、海外に所在する事業拠点、企業結合直後の事業拠点、中核的事業でない事業を手掛ける独立性の高い事業拠点)の下での事業又は業務 など
見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス(例)
- 引当金
- 固定資産の減損損失
- 繰延税金資産(負債) など
非定型・不規則な取引など虚偽記載が発生するリスクが高いものとして、特に留意すべき業務プロセス(例)
- 通常の契約条件や決済方法と異なる取引
- 期末に集中しての取引
- 過年度の趨勢から見て突出した取引 など
また、リスクが発生又は変化する可能性のある状況の例として、以下のようなものがあります。
- 規制環境や経営環境の変化による競争力の変化
- 新規雇用者
- 情報システムの重要な変更
- 事業の大幅で急速な拡大
- 生産プロセス及び情報システムへの新技術の導入
- 新たなビジネスモデルや新規事業の採用又は新製品の販売開始
- リストラクチャリング
- 海外事業の拡大又は買収
- 新しい会計基準の適用や会計基準の改訂
業務プロセスの文書化のポイント
業務プロセスの文書化においては、主に3点セット(フローチャート、業務記述書、リスク・コントロール・マトリクス)を作成しますが、その際には、主に以下の点に留意します。
- リスク
- アサーション
- キーコントロール
業務プロセスにおけるリスクとは
業務プロセスの文書化に際し注目すべきリスクとは、財務報告に重要な影響を及ぼすもの(不正または誤謬(ミス)により虚偽記載が発生するリスク)に限られます。
それってどういうこと?
たとえば、自然災害や、外部からの攻撃によるシステムダウンなどは、事業上のリスクではありますが、直接的に財務報告の虚偽記載の発生につながるわけではありませんので、このようなリスクは文書化の際には認識しません。
また、虚偽記載が発生するリスクを認識するときは、それが「不正」なのか「誤謬(ミス)」なのかを区別して考えます。
アサーションとリスクの関係
勘定科目や金額の計上・表示が正しいことを主張する要件を「アサーション」といいます。
<アサーションの種類>
- 実在性:資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
- 網羅性:計上すべき資産、負債、取引や会計事象をすべて把握していること
- 権利と義務の帰属:計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
- 評価の妥当性:資産及び負債を適切な価額で計上していること
- 期間配分の適切性:取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
- 表示の妥当性:取引や会計事象を適切に表示していること
各勘定科目においてアサーションが満たされていれば、財務諸表は適正であるということになります。
つまり、アサーションを損なう状況の存在が、「財務報告の虚偽記載が発生するリスク(業務プロセスにかかわるリスク)」であるととらえることができます。
たとえば、アサーションの「実在性」を例にした場合、以下のようなリスクが考えられます。
- 不正リスク:実在しない取引の売上を計上する(架空計上)
- 誤謬リスク:売上計上の認識基準を間違える
リスクに対応するキーコントロール
コントロールとは、虚偽記載が発生するリスクを低減させる行為のことをいいます。
一般的なコントロールとして、以下のような手続があります。
- 承認:権限者による確認 など
- 照合、調整作業:他資料との突合 など
- 検証:外部証憑の確認 など
- 業績の評価や指標分析:目安となる指標の定期的分析による異常値の発見 など
なお、各部門の責任者などがコントロールを行うことによって、自部門の内部統制のしくみがきちんと機能していることを確認することを「日常的モニタリング」といいます。
また、整備されたコントロールのなかでも、それぞれの業務プロセスにかかわるリスクの低減に大きな有効性をもつコントロールのことを「キーコントロール」といいます。
キーコントロールの適切な整備が、他のコントロールの統合・整理につながりますので、バランスの良いキーコントロールの配置が重要です。
業務プロセスの文書化
さっきから出てくる「3点セット」てなに?
業務プロセスの文書化において作成する3点セット(フローチャート、業務記述書、リスク・コントロール・マトリクス)について、以下に簡単にまとめました。
フローチャート
業務フローや情報の流れを図で示したもので、不正や誤謬のリスクがある箇所、およびそのリスクに対するコントロールを明示します。
業務フローに関わる帳票やシステムの名称、手作業でのコントロールかITを利用したコントロールか、なども記載します。
-741x1024.png){kind=spacer}
業務記述書
業務フローや情報の流れを文章で示したもので、フローチャートと対応しています。
フローチャートでは記載できなかった詳細な情報を記述することができますので、コントロールの詳しい実施内容や、業務分掌、職務権限なども明確に説明します。
-726x1024.png)
リスク・コントロール・マトリクス(RCM)
リスク・コントロール・マトリクス(RCM)は、アサーションの観点から、虚偽記載が発生するリスクとそれに対応するコントロールを明らかにするもので、フローチャートや業務記述書と関連付けて作成されます。
関連規程や統制頻度(日次、月次、年次など)、コントロールが予防的か発見的か、キーコントロールにあたるか否かなども記載します。
-853x1024.png)
業務プロセスに係る内部統制の評価
業務プロセスに係る内部統制の評価については、整備状況の評価と運用状況の評価が行われます。
なお、①全社的な内部統制が有効、②前年度の評価結果か有効、③前年度から整備状況に重要な変更がない、という要件を満たす場合は、前年度の評価結果を利用することができる(ローテーション評価)とされています。
整備状況の評価
業務プロセスの整備状況の評価は、主にウォークスルーという手法で行われます。
ウォークスルーでは、ある取引をピックアップし、その取引の開始から会計処理まで実際に行われた業務プロセスにおいて、3点セットや規程・マニュアル類、帳票類と整合性が取れているかをチェックします。
また、設定されたキーコントロールが、リスクに対して適切にデザインされているかどうかを確認します。
運用状況の評価
業務プロセスの運用状況の評価では、キーコントロールに関連する帳票類において、サンプリングテストが行われます。
サンプリングテストでは、帳票をランダムにピックアップし、キーコントロールが適切に運用されているかを確認します。
収集するサンプル数は、キーコントロールの実施頻度によります。
なお、妥当なサンプル数については実施基準では、以下のような記述があります。
例えば、日常反復継続する取引について、統計上の二項分布を前提とすると、90%の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25件のサンプルが必要になる。
業務プロセスに係る内部統制の不備の検討
業務プロセスの評価で、内部統制の不備を認識した場合、その不備が「開示すべき重要な不備」にあたるかを検討します。
「開示すべき重要な不備」ってなに?
「開示すべき重要な不備」とは、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいいます。
業務プロセスに係る内部統制の不備は、以下の手順で検討します。
Step1 不備の影響が及ぶ範囲の検討
把握した不備が、どの勘定科目に、どの範囲で影響を及ぼす可能性があるかを検討します。
たとえば、A支社が販売しているY商品の売上プロセスに係る内部統制に不備を発見した場合、そのY商品の売上プロセスをB支社も用いていれば、その不備の影響範囲はB支社の売上にも及びます。
Step2 影響の発生可能性を検討
Step1で検討した影響が実際に発生する可能性を検討します。
発生確率は統計的に導き出すか、それが難しいのであれば、リスクの程度を定性的(発生可能性の高、中、低)に把握し、それに応じた比率をあらかじめ定めておきます。
Step3 内部統制の不備の質的・金額的重要性を判断
Step1とStep2を勘案して、不備の質的重要性および金額的重要性を判断します。
金額的重要性としては、実施基準では、「連結税引前利益の概ね5%程度」などを例としてあげています。
金額については、Step1で検討した影響額と、Step2で検討した比率を掛け合わせて算出します。
また、質的重要性については、実施基準では、上場廃止基準や財務制限条項、関連当事者との取引、大株主の状況などが例示されています。
以上の手順で、業務プロセスに係る内部統制の不備について、質的または金額的重要性があると認識すれば、「開示すべき重要な不備」と判断されます。
