次に、現状の内部統制の整備状況の把握を行います。いわゆる「文書化フェーズ」です。

全社的な内部統制については、図12にあるような評価項目の例にしたがって確認し、文書にまとめるとよいでしょう。

図12 全社的な内部統制の評価項目の例(実施基準より)

業務プロセスにおける内部統制については、いわゆる"文書化3点セット(業務記述書、業務フロー図、リスクコントロールマトリクス)"を作成します。実施基準ではそれぞれ「業務記述書」「業務の流れ図」「リスクと統制の対応」という呼び名で参考図が示されています。

まず業務を可視化するために業務フロー図や業務記述書を作成します。次に業務の流れの中でアサーションを脅かすリスクを抽出します。

実施基準ではアサーションのことを「適切な財務情報を作成するための要件」と呼んでおり、具体的には「実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適正性、表示の妥当性」の6つを挙げています。たとえば実在性とは、資産が確かに存在していた、または取引が実際に存在したことであり、網羅性とは取引をすべて記録しているということです。受注プロセスを例に取ると、架空の受注入力というリスクは財務情報の実在性を脅かすリスクです。また、売上計上に漏れや重複がありうるというリスクは財務情報の網羅性に関するリスクです。

リスクを抽出する際には、何でもよいというわけではありません。財務報告の信頼性確保を目的とした内部統制のためには、アサーションを脅かすリスクのみを抽出しなければなりません。そして抽出したリスクに対して対応を取っていく、ということを次に行うわけです。

業務フロー図や業務記述書の作成の際にはアサーションに対するリスクを抽出できる程度の粗さで作成すればよいことになります。あまり細かく書きすぎると文書化の工数が必要以上に大きくなってしまうので注意が必要です。

アサーションの概念は会計監査では常識ですが、それ以外の人には理解しにくいものです。文書化を行う担当者はしっかりと理解しておきましょう。

リスクコントロールマトリクスでは、行単位でリスク、対応するアサーション、そしてリスクへの対応である統制の内容を書きます。

統制の内容としては、統制の種類、頻度、手段などがあります。統制の手段は、上司の監督や書面による承認など規則を定めて人手で行うマニュアル統制や、業務システムで行うIT業務処理統制があります。

把握された不備への対応および是正

3点セットを作成する段階で、内部統制が不十分であることが判明したときは、不備の是正措置をとらなければなりません。アサーションを脅かすリスクを適切に統制できていない場合は、正しく統制を行うように業務プロセスを変更する必要がありますし、それに合わせて3点セットを適切に修正しなければなりません。

提供:オービックビジネスコンサルタント

『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。