内部統制は大きく分けて全社統制、決算統制、IT全般統制、業務プロセス統制と4種類の統制に区分されます。
今回はその中から、業務プロセス統制について考えてみたいと思います。
業務プロセス統制とは
まず内部統制報告制度における業務プロセスについて説明します。
業務プロセスとは、調達、生産、販売、財務などの業務において、財務報告に関する情報を作成するまでの活動を言います。
業務プロセス統制とは、不正や誤謬など、業務プロセス上での財務報告に係るリスクに対する統制活動(以下コントロールと言う)のことを言います。
業務プロセス統制は、大きく分けて2つあります。
①手作業による統制
人の判断等によって行われるコントロールを言い、承認、照合、職務分離、金額等の数値の検証、クロスチェックなどがあります。
②ITを利用した統制
自動で行われるコントロールを言い、自動計算、自動仕訳、自動転送、アクセスコントロール、エラーチェックなどがあります。
一般的に①手作業による統制を「業務プロセス統制」、②ITを利用した統制を「IT業務処理統制」と呼んでいます。
内部統制の実施基準では、①を「業務プロセスに係る内部統制」、②を「ITに係る業務処理統制」と表現しています。
今回は、手作業による統制の「業務プロセス統制」について、説明します。
業務プロセス統制の構築ポイント
次に業務プロセス統制を構築する際のポイントについて説明します。
業務プロセス統制の構築ポイントは、大きく分けて2つあります。
①リスクの洗い出し
リスクは、まず不正や誤謬などの財務報告に係るものについて、アサーションに与える影響を想定し、見当をつけます。アサーションとは、財務諸表を適切に作成するための要件のことで、実在性、網羅性などがあります。
業務プロセスにおける業務の流れを図示化した業務フロー図と、業務の流れを詳細に記述した業務記述書を基に、対象プロセスにそのリスクが存在するか検討します。
販売プロセスを例にした場合、財務報告に係るリスクは、以下のようなものがあります。
例1:担当者がマスタの登録がされていない顧客に対し、架空の売上を計上してしまう。
例2:担当者が会計システムへの売上仕訳の入力を誤ったため、売上が正しく計上されない。
②リスクに対するコントロールの洗い出し
財務報告に係るリスクを低減するコントロールが存在するか、業務フロー図と業務記述書を基に洗い出します。
コントロールは手作業による統制、ITを利用した統制があるかの視点で洗い出します。もし、リスクに対応するコントロールが存在しなければ、現場部門との協議の上、追加の統制を検討します。
業務プロセス統制構築の悩みどころ
業務プロセス統制における構築の悩みどころは、3点セットの作成に関することが多いと思います。
3点セットとは、業務フロー図、業務記述書に、リスクコントロールマトリクス(略称RCM)を加えたものの総称です。
リスクコントロールマトリクスとは、財務報告に係るリスクとそのリスクに対し決定したコントロールの対応表のことを言います。
3点セット作成に関し、以下のような悩みを抱えている会社様が多いようです。
課題1:3点セットの分量が大きくなってしまう。
現場への業務ヒアリングによって確認した業務内容について、3点セットに記載すべきことと記載しなくても良いことが明確になっていないため、確認した内容の詳細を全て3点セットに記載してしまい、3点セットの分量が多くなっていることがあります。
課題2:コントロールの数が多いため、文書の更新に時間がかかってしまう。
担当者、課長、部長が同一の証憑を確認・承認している場合、全てをコントロールにしているため、3点セットや評価調書の更新に時間がかかっているケースがあります。
業務プロセス統制構築の悩みを解決する方法
それでは、業務プロセス統制構築における悩みを解決する方法を説明します。
課題1:3点セットの分量が大きくなってしまう。
課題1の解決策:3点セットを作成する目的を考え、3点セットに記載すべき内容を判断します。
3点セットを作成する目的は、財務報告に係るリスクとコントロールを把握するためです。よって財務報告にあまり関わらない業務内容は3点セットに記載する必要はありません。
ここで業務手順書と3点セットは違うものであることを認識する必要があり、以下の表に整理しました。
■業務手順書と3点セットの違い
3点セットは、財務報告リスクに関連した内容に絞り、コントロールを重点的に記載することで、分量が大きくなるのを防げます。
課題2:コントロールの数が多いため、文書の更新に時間がかかってしまう。
課題2の解決策:リスクとコントロールの内容を確認し、実質的な承認者のみにコントロールを絞れば、コントロールの数を削減する事ができます。
まず、担当者自身をコントロールにしている会社様が多いですが、これはセルフチェックとなるため、コントロールには該当しません。コントロールの確認・承認内容から判断し、実質的な承認者のみにコントロールを絞ることが可能です。
(例:係長と課長が承認しているコントロールを課長の承認のみに絞る)
なお、コントロ―ルを課長のみに絞った場合、内部統制の3点セットへの記載を絞ることができますが、現場での部長のコントロール(承認行為)は継続して行う必要があります。
業務プロセス統制を構築する前に
業務プロセス統制は個々の業務詳細を確認するため、4種類の内部統制の中で、一般的に最も作業負荷が高い統制であると言われています。
目的を理解した上で3点セットを作成し、業務プロセス統制を構築していけば、3点セットの分量を削減し、評価工数の軽減にも繋がります。余分な記載がなくなった3点セットは、よりコントロールの内容が明確になり、現場部門側で確認しやすくなります。
現場へ業務ヒアリングを行う前に、3点セットの作成目的を共有することも、最適な業務プロセス統制を構築する上での大事なポイントです。
まとめ
業務プロセス統制とは
不正や誤謬等、業務プロセス上での財務報告に係るリスクに対する統制活動(コントロール)のこと
おさえておくべき業務プロセス統制の構築ポイント
①リスクの洗い出し
リスクは、まず不正や誤謬等の財務報告に係るものについて、アサーションに与える影響を想定し、見当をつけた上で業務フロー図と業務記述書を基に洗い出す。
②リスクに対するコントロールの洗い出し
コントロールは、リスクを低減しているか、手作業とITの視点で洗い出す。
もしリスクに対応するコントロールが存在しなければ、現場部門と協議し、追加の統制を検討する。
業務プロセス統制構築の実践ポイント
①3点セットを作成する目的を関係者に共有し、財務報告に係るリスクとコントロールに関係ない業務内容は3点セットに記載しない。
業務手順書と3点セットは違うものであることを認識する。
②リスクとコントロールの内容を確認し、コントロールの内容を重点的に明確にした上で、実質的な承認者のみにコントロールを絞り、コントロール数を削減する。