業務プロセスに係る内部統制の整備にあたって、「業務記述書」「フローチャート」を作成して業務プロセスを可視化し、アサーションに着目したうえで、虚偽記載リスクを識別します。
次に、識別した虚偽記載リスクを軽減するための内部統制である「キーコントロール(統制上の要点)」を選定します。
この記事では、キーコントロールの選定について簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
キーコントロールとは
実施基準では、キーコントロールの識別について、以下のように記載されています。
経営者は、虚偽記載が発生するリスクを低減するための内部統制を識別する。その際、特に取引の開始、承認、記録、処理、報告に関する内部統制を対象に、実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件を確保するために、どのような内部統制が必要かという観点から識別する。
財務報告の信頼性を確保するには、以下の6つの要件(以下「アサーション」という)を充足する必要があります。
- 実在性
- 網羅性
- 権利と義務の帰属
- 評価の妥当性
- 期間配分の適切性
- 表示の妥当性
※アサーションについては以下の記事をご参照ください。
そして、業務プロセス内において、アサーションが欠落する可能性のある箇所が存在するのであれば、それを予防もしくは発見するための統制(コントロール)を構築します。
この統制(コントロール)の中でも重要なものを、キーコントロール(内部統制基準および実施基準では「統制上の要点」と表現しています。)といいます。
逆に、いくら統制(コントロール)を構築しても、それがアサーションの欠如を予防・発見するものでなければ、それはキーコントロールではありません。
リスクに対してキーコントロールが選定されていなければ、内部統制の整備に不備があると判断されてしまいます。
リスクの識別
キーコントロールを選定するには、業務プロセス内のどの箇所にリスク(=虚偽記載が発生する可能性)が存在しているかを把握する必要があります。
一般的に、会計記録につながる情報が変換される時点で、アサーションの欠如が発生しやすくなると考えられています。
以下に、情報が変換される時点と、発生するリスクの例を挙げてみました。
●事象の発生:受注、出荷、納品 等
リスク例:誤った事象を捕捉する、事象の捕捉を漏らしてしまう
●情報の記録・入力:業務システムや会計システムへの入力 等
リスク例:架空の売上情報を入力する、誤った出荷情報を入力してしまう
●情報の演算処理:引当金や償却額の算定、月次集計 等
リスク例:減価償却費の算定を誤る、月次売上高の集計を誤る
●データ出力・転送:会計システムへのデータ転送 等
リスク例:購買管理システムから会計システムへのデータ転送を誤る
●起票:仕訳作成 等
リスク例:仕訳の勘定科目を誤る、架空の売上仕訳を作成する
統制(コントロール)の識別
業務プロセスにおいて、リスク(=虚偽記載が発生する可能性)を特定したら、虚偽記載を防いだり、発生した虚偽記載を発見するための統制(コントロール)を識別します。
以下に、典型的な統制(コントロール)の例を挙げてみました。
●職務権限の分離
職務分掌によって業務を部署で分担したり、上長の承認手続を設ける等により、内部牽制を働かせます。
リスク例1:購買担当者Aは、架空の取引先を登録し、購買手続を装って、自身の口座に預金を振り込ませる
⇒統制:取引先登録申請者と承認者を分ける、購買担当者と納品・検収担当者を分ける
リスク例2:営業担当者Bは、受注を偽って商品を出荷したことにし、架空の売上を計上させる
⇒統制:営業担当者と受注承認者を分ける、出荷依頼者と出荷担当者を分ける
●他の情報(文書等)との照合
担当する業務を行う前に、その業務の原始証憑となる書類等を検証します。
たいていの場合は職務権限の分離が前提となります。
リスク例2(上記「職務権限の分離」と同じ):営業担当者Bは、受注を偽って商品を出荷したことにし、架空の売上を計上させる
⇒統制:経理担当者が、売上・売掛金を記録する前に、受注書および出荷伝票を確認する
リスク例3:購買担当者Dは、購買を行わず、取引先からの請求書を偽造し、自身の口座に預金を振り込ませる
⇒統制:支払担当者が、支払データを作成する前に、請求書・受領書・注文書(バウチャーパッケージ)を確認する
リスク例4:経理担当者Eは、仕入・買掛金の金額を誤って記録する
⇒統制:経理責任者が、会計記録を承認する前に、請求書・受領書・注文書(バウチャーパッケージ)を確認する
●システムへの入力内容を規制する
システムへの入力において、許容範囲外のデータを入力できないようにします。
リスク例5:購買担当者Fは、購買システムに発注伝票を入力する際に、単価の入力を誤る
⇒統制:購買システムのマスタ管理担当者が、事前に承認を受けて商品マスタを登録し、購買担当者が、商品マスタに登録された単価を用いて、発注伝票を入力する
リスク例6:営業担当者が、与信部門の承認を得ていない得意先からの掛売の受注について、販売システムに受注伝票を入力する
⇒統制:販売システムのマスタ管理担当者が、掛売の得意先について、与信部門の承認を受けて得意先マスタを登録し、営業担当者が、当該マスタを用いて受注伝票を入力する
●現物実査や棚卸し
資産等の現物を確認して、会計記録や勘定残高の実在性を検証します。
リスク例7:出荷担当者Gは、商品を得意先に出荷したが、在庫の出庫を記録し忘れる
⇒統制:出荷担当者Fが定期的に実施している棚卸の結果を、経理担当者が棚卸資産の帳簿残高と突き合わせる
リスク例8:財務担当者Hは、小口現金残高を記録した後で、小口現金を着服する
⇒統制:財務責任者が、毎日小口現金残高集計表と現金在り高を突き合わせる
キーコントロールの選定
ひとつのリスクに対して複数の統制(コントロール)が整備されている場合、その中で最も効果的にリスクを低減するコントロール(=キーコントロール)を選定します。
キーコントロールの数が少なければ、運用状況評価においてサンプル数が減るため、評価手続の負荷が軽減されます。
しかし、統制(コントロール)に不備があった場合に備えて、ひとつのリスクに複数の統制(コントロール)があることが望ましい場合もあります。これを「補完統制」といいます。
キーコントロールは、以下のような様々な点に注意して、総合的な観点で、バランス良く、また無駄のないように選定する必要があります。
また、監査法人の考え方と相違がないかを確認しておくことが推奨されます。
<予防的統制と発見的統制>
統制(コントロール)には、予防的統制と発見的統制がありますが、双方をうまく組み合わせることが重要です。
- 予防的統制:虚偽記載の発生を事前に予防する。個々のリスクに対する感応度が高い。
- 発見的統制:発生した虚偽記載を事後に発見する。多くのリスクに対応する。
重要な虚偽記載リスクの場合は予防的統制が適しています。
しかしそうでなければ、複数の取引のまとまりについて確認できる発見的統制を選定し、キーコントロールを減らすことができる可能性があります。
<統制の粒度>
複数のリスクに対応するキーコントロールを選定すれば、評価すべきキーコントロールの数が少なくなり、評価作業の負担を軽減することができます。
統制(コントロール)には、個別の取引を対象とするものと、複数の取引をまとめた集計結果を対象とするものがあります。
キーコントロールとしては前者を選定すべきですが、運用状況評価のサンプル数を絞ることができるのは、後者の方です。
<承認権限者の職位と組織的統制>
「承認」という統制(コントロール)がありますが、この場合、より上位の権限者の承認の方が「強い」統制(コントロール)となります。
実際のところ、アサーションを網羅的に確保する仕組み的なコントロールをキーコントロールとして選定するやり方より、担当部門の責任者の承認や、管理部門など第2ラインの責任者の承認をキーコントロールとしている場合が多く見られます。
その場合、業務負担を減らすため、部署で検証する項目が重複しないようにすることが必要です。
業務プロセスを部署や拠点等で共通化し、複数のコントロールを1つに集約するなども検討することが重要です。
