整備状況の評価方法(J-SOX対応実務⑥)
内部統制報告制度(J-SOX)対応の実務 | 2013年1月21日今回は、弊社オリジナルの連載特集【内部統制報告制度(J-SOX)対応の実務】第9回目をお届けいたします。
J-SOX対応でお困りの方や、省力化を図りたい方は
|
「予算利益の達成にコミットしたい」上場会社、上場準備会社の皆様必見
|
今回は整備状況の評価方法のお話です。内部統制の評価には、整備状況の評価と運用状況の評価があります。識別したリスクに対応する内部統制が存在してかどうかを確かめるための評価ですので、重要なポイントとなります。
1. 内部統制の評価
内部統制の評価は
①整備状況の評価
②運用状況の評価
の2段階で行います。
まず整備状況の評価は、識別したリスク(財務報告に虚偽表示をもたらすリスク)を低減するための内部統制が、会社の中に整備されているか(存在しているか)を確かめるために実施します。
一方、運用状況の評価は、整備状況で有効だと評価した内部統制が、実際にその通りに運用されているか確かめるために実施します。その意味で、整備状況が有効でない場合、運用状況を評価しても意味がないので、評価を行わない。
ただし、内部統制の評価は全てのプロセスにおいて画一的に①、②の順で行われるわけではありません。全社的内部統制、決算財務報告統制、業務処理統制それぞれで評価手続きは異なることとなります。
例えば、全社的内部統制を評価する場合、文書化された内部統制に関する記述内容を確かめるために、担当者等へ質問書を送付し回収を受け、その回答をベースに整備状況と運用状況の評価を同時に行う場合があります(全社的内部統制には経営者の役割分担や資質など、そもそも「運用状況」を評価する内容でないものが含まれたりします)。決算財務報告統制についても全社的な観点で評価するものと、個別に評価するものでは内部統制の評価手続きの複雑度は異なるでしょう。
一方、業務処理統制の評価は、全社的内部統制の評価のように質問書を送付するのみでは十分でなく、重要な業務プロセスについては文書化により業務をある程度詳細に分析し、リスクと統制活動を対比して一つずつ評価することとなります。この評価を効率的かつ効果的に行うために、整備状況の評価を行った上で運用状況の評価を行うというプロセスを踏むことが重要となるのです。
以下では業務処理統制の評価を前提に整備状況の評価方法に関する記述をしてみたいと思います。
2. 整備状況の評価
整備状況が有効な状態とは、統制活動が遵守されていれば財務諸表の重要な虚偽記載が適宜防止・発見できるようにデザインされていること、つまり重要な虚偽記載が防止・発見されないというリスクを、合理的なレベルまで低減するのに当該統制が効果的であることを意味します。整備状況の評価には、デザイン自体の有効性評価に加え、当該統制が実際に業務に適用されているかどうかの確認も含みます。具体的に整備状況の評価は下記手順で実施します。
(1) 文書化された内部統制の整備状況が、リスクを合理的なレベルまで低減できるものか否かを文書ベースで確かめる(内部統制のデザインの評価)。
(2) (1)で確かめられた文書の内容が、実際に統制活動として行われているか、ウォークスルーにより確かめる(整備状況のテストの実施)
(3) (2)の結果として整備状況を各統制ごとに評価していく
(1)について
主に3点セット(業務記述書、フローチャート、リスクコントロールマトリクス)を用い、文書ベースで内部統制のデザインの評価を行います。この際、リスクを低減させる上でデザイン自体が十分でないと判断される場合、その先の評価を進めるべきでなく、まずデザインの再構築(3点セットの修正、加筆、業務で行う統制活動への落とし込み等)を行う必要があります。内部統制のデザインを評価し、リスクを合理的な範囲で低減できると評価できた場合に次のステップに進みます。
(2)について
整備状況のテストでは、内部統制のデザインの評価を受けて、対象となる業務処理統制が、デザイン通りに実際の業務に落とし込まれているかについて、関連文書の閲覧、従業員等への質問、観察、ウォークスルー等の手続により確認します。
ウォークスルーとは、整備状況のテスト手法のひとつであり、取引が開始されてから、会社の業務システムおよび会計システムを通じて、財務諸表へ反映されるまでの実際の取引の流れを帳票上で追跡し、また担当者への質問を実施することにより文書化内容を実証的に検証するものです。そのため、内部統制のデザインの検証を行うにあたり非常に有効な手続です。
例えば、①「請求書をベースに会計帳簿へ取引を入力する」 という業務があり、この際に②「会計帳簿への入力ミス(=実態と財務報告が乖離する)」 というリスクを識別し、その統制活動として③「会計帳簿への入力ミスがないかを確かめるために、経理部長は会計システムから出力された伝票と請求書を照合し、伝票へ押印しファイリングする」 ということが行われていた場合、③がそもそも②のリスクを低減する上で十分かということ自体を評価するのが上記(1)デザインの評価の話であり、実際に経理部長の押印が伝票にあるのかを確認するのが(2)整備状況のテストということになります。
なお、取引開始から財務諸表反映までには上記以外にもリスクが識別され、それに係る統制活動が行われているでしょう。それぞれについて内部統制のデザインの評価が必要であり(ただし、虚偽記載リスクが低いものは評価しなくてよい)、また、デザイン通りに統制活動が業務に落とし込まれているかを確認する必要があります(整備状況のテストは各統制活動につき1件行えばよい)。
(3)について
「(1)内部統制のデザインの評価」および「(2)整備状況のテストの実施」で実施した作業に基づき、文書化された統制活動により、財務報告の虚偽記載リスクが合理的なレベルまで低減される整備状況になっているかを評価し、有効か否かを判断します。
なお、当該内部統制の整備状況を評価した結果、統制活動に一部不備があり、財務報告に対する影響が重大になる可能性がある場合、まず、当該リスクを合理的なレベルに低減する他の補完統制(内部統制の不備を補う他の統制)が存在する場合は、当該統制の整備状況を別途評価します。
仮に評価対象の内部統制または補完統制の有効性を評価し、いずれも「有効でない」と判断した場合、是正策を講じる必要があります。整備状況の評価において「有効でない」と結論付けられる場合、その部分については運用状況の評価にも進まないため、内部統制に不備ないし欠陥があるという結論になる点留意が必要です。
内部統制が「有効である」と結論付けるために、整備状況の評価で一部「有効でない」と判断される場合にも是正策が講じられるよう、期末日より前に余裕を持って整備状況の評価を行うことが望ましいでしょう。
では、今回はこの辺で失礼いたします。お読みいただきありがとうございました。
第2回 そもそも“内部統制”って何?
第8回 RCM(リスクコントロールマトリクス)の作成方法(J-SOX対応実務⑤)
第9回 整備状況の評価方法(J-SOX対応実務⑥)(今回)
第10回 コンサルタントやツールの活用法(J-SOX対応実務⑦)
第11回 監査法人が行う内部統制監査への対応(J-SOX対応実務⑧)
第13回 サンプル抽出についての留意点(J-SOX対応実務⑩)
第14回 開示すべき重要な不備について(J-SOX対応実務⑪)
第16回 経営者による内部統制報告書の作成方法(J-SOX対応実務⑬)
|
「予算利益の達成にコミットしたい」上場会社、上場準備会社の皆様必見
|
【その他のオリジナルレポート】
