日本版SOX法

Q.業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?

A.全社レベル統制と業務処理統制を文書化していくのが日本版SOX法の具体的な実務といえますが、そのうちの業務処理統制の文書化に当たって何を評価すればいいのかについて以下に述べます。
 評価には2種類のものがあります。一つ目は整備状況の評価です。整備状況というのは、いわゆるデザインであり、例えばAさんがBさんの行ったことをチェックしている場合、チェックを行うことで本当に誤りが是正されるか否かということと、チェックを行う体制がつくられているか否かということです。二つ目は運用状況の評価です。デザインについては、優れた内部統制の仕組みができたとしても、現実にそれを行っているか否かということが、運用状況の評価といえます。
整備状況の評価によって財務報告が誤るリスクが十分に軽減されているか否かを確認した後、現実に運用できているか否かを再び確認します。運用状況の評価については、具体的にはいわゆるテスティングを行うことになります。例えば、Aさんが自身の入力した結果についてプルーフを必ず出してチェックしているというコントロールがある場合、月のプルーフから10件を選んで本当にチェックが行われたか否かを確認します。
 性善説に経てばここまでで済みます。我が社の社員は皆まじめで、やったといえば必ずやっていますので、心配ありませんということになります。しかし、日本版SOX法の制度では、それでは済みません。やっているのなら、その証拠を見せてもらわなければ信用できないという考え方に基づき、その後のテスティングをして評価することによって初めて内部統制を評価したということになります。極めて疑い深いということができ、アメリカ的な考え方がそのまま導入されています。

業務処理統制を文書化する目的は、財務報告に係る内部統制を文書化して評価することです。したがって、財務諸表が誤るリスクは何かということを第一に特定します。例えば、売上金額(数量×単価)が正確に計上されない可能性があるということを一つのリスクとして考えます。企業においては人が作業を行って実務が成立していることから、リスクが存在しないことはほぼないと思われます。それゆえ、誤るリスクはどこに存在するのかということになり、そのリスクを特定するのが第一段階です。正確に計上されない可能性があるというのがリスクであると考えるのです。
続いて、コントロールとしてそのリスクに対して何をしているかについては、仮に、売上情報の入力担当者は入力後にプルーフを出力し、入力に用いた証?と入力結果を1件ずつ突合しているとします。この場合、正確に計上されない可能性があるというリスクは、このようなコントロールをすることで軽減されているといえるでしょう。
例えば、1個100円のもの10個で売上金額1,000円ですが、この金額が正しく計上されずに入力担当者が1個110円と間違えて入力するかもしれないというリスクがあります。だれが入力しても間違いが起こる可能性があるでしょう。しかし、入力担当者が入力後にプルーフを出力し、入力に用いた証?と入力結果を1件ずつ突合しているのであれば、このリスクは軽減されると考えます。コントロール(そのリスクを軽減するために行うチェックの仕組み)でリスクは十分に軽減されているか否かを把握するのがデザインの評価、整備状況の評価です。
整備状況の評価については、コントロールが十分リスクを軽減しているかということのほかに、コントロールを明確にするという目的から、コントロールをする頻度や実施者等が明確になっているかということ、すなわち、いかなる頻度でだれがいかなる証跡を残して行うかということ等が定まったコントロールになっているか否かが重要です。このリスクとコントロールの関係をドキュメンテーションしましょうというのが、整備状況の評価といえます。
監査法人ともさまざまな話をし、いかなるコントロールをしていれば問題がないかについて相談をしつつ、コントロールが十分であることを確認できたら、続いて運用のテストをします。内部統制のデザインはいいとしても、現実にそのコントロール手続きをしているのかを確認するのが、運用のテストです。このテストは、一定のサンプルサイズを決定した上で行います。例えば、売上金額の計上を誤るリスクを軽減するコントロールのテストとして、2014年3月に計上した売上金額につきプルーフをランダムに25件抽出し、出荷日、売り先、売上数量、単価等に関して、入力担当者が入力に用いた証憑と照合しているか否かを確認します。
そして、エラーがない場合には評価終了となります。一方、エラーがある場合には改善活動の立案と実施という流れになります。コントロールを行う担当者に正しく実施させるために、決められた通りに必ずやってくれるように担当者に伝えたり、担当者が能力の限界でできないということであればほかのコントロールを考えるか人を追加で配置してそのコントロールを実施してもらうようにしたりします。このようなことが繰り返され、最終的にほかのコントロールを実施すると決まった場合には、そのコントロールのテスティングを開始し、エラーがなければ評価終了となります。
以上で、基本的に、業務処理統制の部分の整備状況の評価と運用状況の評価が終了することになります。

関連記事

  1. Q.会社が実施しなければならない内部統制評価・報告の全体の流れを…
  2. Q.会社が実施する内部統制の評価について、評価の範囲をいかにして…
  3. Q.日本版SOX法における内部統制制度の概要を教えてください。
  4. Q.会社が実施する内部統制の評価は、どのように行えばいいのでしょ…
  5. Q.内部統制の限界として、具体的にはどのようなことが挙げられます…
  6. Q.「財務報告に係る内部統制の評価及び監査に関する実施基準(公開…
  7. Q.日本版SOX法における文書化の重要性について教えてください。…
  8. Q.リスクコントロールマトリックスを作成するに当たって、リスクに…

ピックアップ記事

PAGE TOP