【寄稿】旬刊経理情報 2008年1月1日号 

p57「ビジネス実務相談室Q&A(経営)」
シニアコンサルタント 齊藤淳一

『業務処理統制における内部統制の運用状況の有効性評価』

Q.弊社は上場企業であり、内部統制報告書作成義務のある企業です。現在、内部統制の対象業務について文書化を実施し、整備状況の有効性評価(ウォークスルー)が完了しました。今後は、運用状況の有効性評価を実施することになりますが、運用状況の有効性評価とはどのような作業を行うのでしょうか。また、当該作業の準備段階ではどのような点に留意すべきでしょうか。実際の作業と、想定される問題点をご教示下さい。

はじめに

内部統制の運用状況の有効性評価とは、整備された内部統制(コントロール)が、一定期間中、整備された通りに適切に運用されていることを評価する手続です。
この手続を「運用テスト」と呼んでいますが、以下では、業務処理統制における運用テスト(以下、「テスト」)について、(1)テスト計画の策定(2)テストの実施(3)テスト結果の評価の3つのステップに分けて、各ステップでの実際の作業と想定される主な問題点について述べたいと思います。

テスト計画の策定

実際の作業

テストの対象となるキーコントロール(財務報告リスク(以下、リスク)を低減するための最も重要かつ必要十分なコントロール)の選定、テスト工数の見積り、対象業務に精通している担当者の配置、テスト手続の作成、キーコントロールごとに請求書等の確証や会計伝票・仕訳(以下、確証等)の母集団からサンプルの抽出を行います。つまり、いつ・どこで・誰が・何に対して・どのようにテストを実施するのかというテスト計画を策定します。
テスト計画は、主にキーコントロールの数・内容に大きく影響を受けるため、テスト計画策定時では、いかに適切にキーコントロールを選定するかが非常に重要であるといえます。

想定される主な問題点

  • キーコントロールは、リスクを網羅的、かつ最も効果的に低減するコントロールを選定しなければならないが、選定基準が曖昧である場合、保守的に多めに選定され、テスト工数が増大してしまう。
  • テスト手続は、リスクコントロールマトリクス(RCM)に基づいて作成されるが、そもそもRCMの、特にコントロールに関する記載が不十分である場合、または、対象業務に精通している担当者が関与しない場合には詳細なテスト手続が作成されず、効果的なテスト実施が困難となる。
  • ウォークスルー実施時に、業務で使用する確証等やその保管部署が網羅的かつ正確に確認できていない場合、テスト実施時になって必要な確証等や保管部署が判明することがあり、再依頼をする等により手戻りが生じてしまう。

テストの実施

実際の作業

策定されたテスト計画に基づき、キーコントロールごとに抽出されたサンプルに対してテスト手続を適用し、キーコントロールが適切に運用されているか否か、というキーコントロールの運用状況の有効性に関する結論を形成します。
テスト実施の際には、担当者ごとに評価が異なることがないよう、評価業務を標準化しておく必要があります。また、テストは年度を通じて通常複数ラウンドにわたり実施されることを考慮すると、テスト結果等の情報量が膨大になるため(拠点×キーコントロール×ラウンド数)、予め情報を一元管理できるよう、ツールを整備しておくことが重要であるといえます。

想定される主な問題点

  • テスト対象業務のウォークスルー担当者、若しくは対象業務に精通している担当者がテスト実施に関与しないと、有効性判断をする上で対象業務の担当者に過剰に説明を求めることになり、対象業務の担当者側の負荷が増大する。
  • 有効性の評価基準が標準化されていないと、類似内容のテストでも、担当者により異なる結論を形成してしまう危険性がある。また、不備を不備と判断できないなど、テスト結果を適切に評価できない危険性がある。
  • テスト結果等の情報が一元管理できていないと、情報が散在することになり、必要な情報が必要な時に出せず、最終的な有効性評価が困難となる。

テスト結果の評価

実際の作業

テスト実施の結果、不備と判断されたキーコントロールがある場合、当該不備の内容、不備による(注)量的・質的重要性を評価し、不備の改善計画、改善後の再テスト実施計画の策定、代替的キーコントロールの有無の検討、不備の一覧管理、キーコントロールごとに年間での必要サンプル数の取得計画の見直しを実施します。
ここで、不備の内容、及びその影響の重要性によっては対応方法も変わるため、認識すべき不備の内容・重要性の判断基準を事前に定義しておくことが重要であるといえます。

想定される主な問題点

  • 不備の内容、及び重要性の判断基準が明確に定義されていないと、不備について誤った結論を形成する危険性がある。
  • 発見された不備の内容、発見時期、その後のサンプル取得計画等について適切に一覧管理されていないと、年間での必要サンプル数の未達や重要な不備を見落とす危険性がある。

(注)
・量的重要性の例:税金等調整前当期純利益の5%等
・質的重要性の例:金額は小さいが不正が発生しやすい取引、経営者の見積りや判断が介入する取引等

おわりに

内部統制の評価業務には期限があり、また評価結果は企業に対する市場の評価にも重要な影響を与えるため、効率的・効果的にテスト計画を遂行するためには、各ステップで想定される問題点・原因を適切に把握し、早期に対策を講じることが必要です。
また、キーコントロールの選定、取得サンプル数、発見された不備の評価基準等、テストに係る種々の決定事項については、その都度監査人と協議の上で進めていく必要があります。
さらに、監査人への対応や、評価結果について適切な判断を行使できるよう、対象業務に精通している担当者を配置、若しくは適切に教育・訓練しておく必要があります。しかし、社内リソースに限界がある場合、CSA(コントロールセルフアセスメント:コントロール実施部署による自己診断)や、外部の専門家を積極的に活用し、効果的にテストを実施することを検討すべきです。