内部統制報告制度の適用から約15年が経ち、多くの企業様では、安定的に内部統制の運用が行われている状況かと思います。内部統制の評価文書として利用している3点セットですが、部署や業務内容の変更に伴い、一部を更新することはあっても、新規で作成する機会は少ないのではないでしょうか。しかし、M&Aや新規事業の売上増加等により、新規で3点セットを作成しなければならない場面も出てきます。いざ3点セットを作成する際、どのように進めれば良いのかが分からないといった声を聞くことがあります。また、本来の目的から逸脱してしまった形で、3点セットを作成しているケースも見受けられます。
これから上場を目指し、内部統制の構築を行おうとしている企業様もいらっしゃるかと思います。そういった企業様では、初めて3点セットを作成することになるため、対応に苦慮していることが見受けられます。
今回の記事では、新規で3点セットを作成する際の進め方・記載ポイントについて、解説します。
目次
効率的な3点セットの作成方法
3点セットを作成する上では、アサーション(監査要点)を理解する必要があります。アサーションとは「適切な財務諸表を作成するための要件」を指します。アサーションには、以下のようなものがあります。
実在性:記録された取引は一定期間において実際に発生している
網羅性:その期間に認識されるべき取引の記録に漏れがない
権利と義務の帰属:計上されている資産に対する権利および負債に関する義務が会社に帰属している
評価の妥当性:資産・負債・取引が会計原則に準拠して適切な価格で計上されている
期間配分の適切性:取引や会計事象を適切な金額で記録し、収益および費用を適切な期間に配分している
表示の妥当性:取引や会計事象が適切に分類され、財務諸表に明瞭に表示されている
業務プロセス統制におけるリスクは、アサーションを踏まえて識別する必要があります。そして、識別したリスクに対し、コントロールを設定していきます。3点セットを作成する上で、アサーションは重要な項目になるので、まず押さえていただきたいと思います。
効率的に3点セットを作成するためには、以下の順番で作成することをお勧めします。各STEPのゴールを押さえ、3点セットの作成を進めることがポイントです。
STEP1(プロセス定義):業務プロセスの内容および担当部署、証憑やシステム等を明確にします。現行資料に基づいて、業務記述書・業務フローのドラフトを作成します。
STEP2(リスク・コントロール定義):アサーションを踏まえ、業務プロセスに内在する財務報告リスクを識別し、そのコントロールを明確にします。また、Step1のドラフトに基づいて、現場部門と協議を行い、コントロールを設定し、リスクコントロールマトリクス(以下、RCM)のドラフトを作成します。
STEP3(3点セット最終化):業務記述書および業務フローを完成させ、RCMにおける全ての内容を記述します。
3点セット(業務フロー・業務記述書・RCM)は同時並行で作成するのでなく、段階的に作成することをお勧めします。各STEPのゴールを踏まえ、徐々に3点セットの完成度を高めていきます。
3点セットの作成:STEP1(プロセス定義)
STEP1では、対象プロセスの業務内容を把握し、業務記述書・業務フローのドラフトを作成します。まずは、評価対象プロセスにおける業務手順・担当者・利用システム等、概要を明文化していきます。STEP1は、以下の手順で進めます。
①現行業務の把握
既存の現行資料(職務権限規程や作業手順書、システムマニュアル等)を現場部門より受領し、業務内容を把握します。規程類等、公式の文書だけでなく、担当者個人で保有している作業メモ等を活用することも有用です。
②業務記述書の作成
現行資料を参照し、業務記述書のドラフトを作成します。この段階では、業務記述書の全ての内容を埋める必要は無く、現場部門に確認する事項が明確になっていれば、問題ありません。作業間の関係性、証憑やシステム等、現行資料で読み解けない点等をヒアリングします。
③業務フローの作成
業務記述書のドラフトに基づいて図示化し、業務フローのドラフトを作成します。部門間でのやり取りやシステムの利用について、業務フローに記述します。
この段階ではRCMは作成せず、まずは業務記述書・業務フローを作成します。Step2にて、業務記述書・業務フローのドラフトを基に、現場部門の担当者へ業務内容の確認を行いますが、ベースとなる資料があった方が、スムーズに進めることができます。
3点セットの作成:STEP2(リスク・コントロール定義)
STEP2では、STEP1で作成した業務記述書・業務フローを基に、担当者へのヒアリングを行い、更新を進めていきます。また、対象プロセスにおけるリスクを定義するとともに、リスクに対するコントロールを設定します。ここから、RCMの作成も進めていきます。STEP2は、以下の手順で進めます。
①業務プロセスの精査
現場部門の担当者と業務記述書・業務フローのドラフトを読み合わせ、実施者・システム・証憑等、現行業務との相違が無いかを確認します。また、ドラフトを作成する中での不明点を担当者に確認し、修正点を明確にしていきます。
②リスクの設定
業務プロセス上の各作業に潜む不正や誤謬を識別し、財務報告リスクを設定します。アサーションに与える影響を吟味して、リスクの設定を行います。例えば、「入力する」という作業であれば、網羅性というアサーションに影響があり、入力漏れ・二重入力といったリスクが想定されます。
③コントロールの設定
②リスクの設定で定義したリスクに対するコントロールを設定します。業務記述書に明記した作業内容に基づき、財務報告リスクを最も低減させる統制活動が何かを検討し、コントロールを設定します。先ほどの入力漏れ・二重入力のリスクで考えると、「担当者が入力した結果を上長が確認する」といったコントロールが考えられます。
アサーションを踏まえ、財務報告に関わるリスクを想定し、リスクを低減させるコントロールを設定します。仮に、リスクを低減できるコントロール(作業)が無ければ、業務改善を検討する必要があります。
3点セットの作成:STEP3(3点セット最終化)
最後のSTEP3では、更新した業務記述書・業務フロー・RCMを現場部門に確認してもらい、3点セットを最終化します。評価作業を見据え、コントロールの実施者・実施方法・利用証憑を念入りに確認しておくと良いです。STEP3は、以下の手順で進めます。
①業務記述書・業務フローの定義
現場部門の担当者へのヒアリング結果を踏まえ、業務記述書・業務フローの更新を行います。
②RCMの定義
RCMのコントロール内容に対し、「統制タイプ(実施しているコントロールの区分:手動 or IT)」「統制種別(コントロール実施のタイミング:予防的 or 発見的」「統制頻度(実施頻度、随時/日次/週次/月次/四半期/半期/年次)」「統制レベル(コントロールの重要度:キーコントロール or 一般コントロール」を設定します。
③3点セットの最終化
修正した3点セットについて、現場部門を交えて最終確認を行います。必要に応じてさらに修正を行い、3点セットを最終化させます。
3点セットを最終化するにあたっては、担当部署・使用証憑等、3点セット(3つの文書)間における互いの整合性を取る必要があります。このタイミングで修正点が発生する可能性もあります。現場部門の担当者にも、3点セットを確認してもらった上で、3点セットを最終化させることが望ましいと考えます。
3点セット記載のポイント
3点セットにおける誤解として、3点セットを業務マニュアルのように捉え、業務手順の細部まで記述していることがあります。3点セットの記載内容が細かくなり、評価のポイントが不明瞭になっているという失敗を見受けることがあります。3点セットは、財務報告に係るリスクに関連した業務に限定し、記載するべきです。以下に3点セットにおける記載ポイントを挙げていきます。
■業務記述書・業務フローに記載すること
業務記述書では、『誰が(WHO)』『何をする(WHAT)』を記載します。財務報告リスクに係る業務に絞り、「証憑」「ITシステム」「作業内容」等を記載するべきです。財務報告リスクを把握できれば良いため、業務内容の詳細を記載する必要はありません。
・誰が(例:営業担当者が/経理課長が)
・何をする(例:会計システムへ発注書を基に受注内容を入力する/売上データと請求書を照合し、承認する)
■RCMに記載すべきこと
『誰が(WHO)』『何をする(WHAT)』に加え、財務報告リスクに対し、『どのように(HOW)』コントロールしているかを記載します。評価手続を明確にするため、『請求書と会計伝票の金額の一致を確認する等、具体的な確認方法も記載するべきです。
・どのように(例:注文書の数量と照合し/検収書の金額・日付を確認し)
3点セットの粒度が細かすぎると、評価ポイントが不明確になり、作成担当者しか理解できないといった弊害が発生することがあります。また、今後の組織変更やシステムリプレイスがあった際の3点セット更新作業に係る負荷も大きくなります。今後の評価対応も見据えながら、3点セットの作成を進めることをお勧めします。
まとめ
評価範囲の追加・変更が無ければ、3点セットの作成が行われることは無いかもしれませんが、環境の変化等により、今後必要になることは充分に考えられます。3点セットの記載方法により、評価作業に影響を及ぼします。3点セット作成の段階から、財務報告リスクに限定することを意識し、3点セットの作成を進めていただきたいと思います。
■効率的な3点セットの作成方法
☑3点セットを作成する上で、アサーション(監査要点)を理解する
☑3点セット(業務フロー・業務記述書・RCM)は同時並行で作成するのでなく、段階的に作成する
■3点セットの作成:STEP1(プロセス定義)
☑対象プロセスにおける作業内容・担当者・利用システム等、概要を明文化する
☑現場部門の担当者へのヒアリング用の資料として、業務を可視化する
■3点セットの作成:STEP2(リスク・コントロール定義)
☑業務記述書・業務フローのドラフトを基に、担当者へのヒアリングを行う
☑リスクを低減できるコントロール(作業)が無ければ、業務改善を検討する
■3点セットの作成:STEP3(3点セット最終化)
☑更新した業務記述書・業務フロー・RCMを現場部門に確認してもらい、3点セットを最終化する
☑担当部署・使用証憑等、3点セット(3つの文書)間における互いの整合性を取る
■3点セット記載のポイント
☑業務記述書では、『誰が(WHO)』『何をする(WHAT)』を記載する
☑RCMは、財務報告リスクに対し、『どのように(HOW)』コントロールしているまで記載する