業務プロセス統制の構築と評価
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
業務プロセスに係る内部統制とは?どんなものがあるか?
業務プロセスに係る内部統制(業務プロセス統制)とは、会社の業務プロセスにおいて、部署等の単位で日常的に実施されている内部統制です。
英語ではProcess Level Controlと呼ばれ、省略してPLCと表記されることがあります。
具体的には、例えば、販売プロセスであれば、見積や受注を承認することや、製品出荷時に注文内容と照合すること、請求書に全ての出荷が含まれているか確認することが挙げられます、また、購買プロセスであれば、発注前に相見積もりをとって金額を確認すること、請求書を支払う前に納品書を確認することなどが挙げられます。
全社的な内部統制の評価結果を踏まえて、評価対象となった業務プロセスに内在する財務報告リスクと実施している内部統制を把握・文書化します。
そのうえで、財務報告の信頼性に重要な影響を及ぼす統制上の要点について内部統制が機能しているかを、整備状況と運用状況の観点から評価します。
業務プロセス統制の文書化
業務プロセス統制の評価に先立ち、以下の手順で、業務プロセスにおける取引の開始、承認、記録、処理、報告を含め、取引の流れを把握し、取引の発生から集計、記帳といった会計処理の過程を理解し、記録・保存します。
- 各業務プロセスについて、取引の流れ、会計処理の過程を、必要に応じ図や表を活用して整理し、理解する。
- 各業務プロセスについて虚偽記載の発生するリスクを識別し、それらのリスクがいかなる財務報告又は勘定科目等と関連性を有するのか、また、識別されたリスクが業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか、必要に応じ図や表を活用して、検討する。
(1)の段階で、①フローチャートと②業務記述書を作成し、業務プロセスの流れや実施している作業を可視化します。
(2)の段階で、③リスクコントロールマトリックス(RCM)と呼ばれる表を作成し、リスクに対する統制が十分かどうかを判断します。
業務プロセス統制の文書化において作成する①~③を「3点セット」と呼びます。
3点セットを作成する際は、3つの文書の記載内容が整合するように作成しましょう。
業務プロセス統制の整備の状況を記録し、可視化することによって、内部統制の有効性に関する評価を実施できる状態となります。
フローチャートの作成例
フローチャートは、部門間にまたがる業務フローの大枠を把握し、リスクを判別するのに有用です。
業務記述書の作成例
業務記述書は、フローチャートで示されている業務の詳細、担当者、関連証憑などを確認して明確にします。
RCMの作成例
RCMは、業務プロセスに関する理解にもとづき、当該業務プロセスに内在するリスクとコントロールを併記し、その対応関係を明確にします。
財務報告リスク
業務プロセスのリスクを識別するにあたっては、適切な財務情報を作成するための要件を理解しておくことが重要です。
この要件をアサーションといい、主に以下のものがあります。
- 実在性:資産及び負債が実際に存在し、取引や会計事象が実際に発生していること
- 網羅性:計上すべき資産、負債、取引や会計事象を全て記録していること
- 権利と義務の帰属:計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
- 評価の妥当性:資産及び負債を適切な価額で計上していること
- 期間配分の適切性:取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
- 表示の妥当性:取引や会計事象を適切に表示していること
IT業務処理統制とIT依存統制
業務プロセス統制には、金額の承認や数量の照合など、人手で実施するマニュアル統制だけではなく、システムが行う処理も含まれます。
このシステムが行う処理をIT業務処理統制と呼びます。
英語ではIT Application Controlと呼ばれ、省略してITACと表記されることがあります。
なお、人手とコンピュータ処理が一体となって機能している内部統制は、IT依存統制といいます。
IT業務処理統制は、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれている統制であり、以下のような項目があげられます。
- 入力情報の完全性、正確性、正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
IT業務処理統制は、企業の成長にとって必要不可欠であり、近年ますますその重要性が注目されています。
しかし、IT業務処理統制は、コンピュータ・プログラムに組み込まれて自動化されており、表面的にはリスクがないようにみえるため、文書化において記載が漏れることがありますので、注意しましょう。
業務プロセス統制の整備状況評価
整備状況評価では、3点セットで整理した統制活動が、規程や方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるかという観点から、当該内部統制の整備状況の有効性を評価します。
具体的には、ウォークスルーテストと呼ばれる手法で、関係者へのヒアリングや、規程等の閲覧、サンプル取引資料の検査、観察などを行います。
ウォークスルーテスト
ウォークスルーテストは、取引がその発生から会社の情報システムを経由し、最終的に会社の財務諸表への計上までのプロセスの流れに従って、質問やサンプル取引の証憑を確認しながら追跡する手法です。
業務プロセスの流れにそって、証憑を確認することで、文書の正確性の検証と整備状況の有効性を確認します。
ウォークスルーテストでは、例えば、以下のような事項に留意します。
- 内部統制は、不正又は誤謬を防止又は適時に発見できるよう適切に実施されているか。
- 適切な職務の分掌が導入されているか。
- 担当者は、内部統制の実施に必要な知識及び経験を有しているか。
- 内部統制に関する情報が、適切に伝達され、分析・利用されているか。
- 内部統制によって発見された不正又は誤謬に適時に対処する手続が設定されているか。
業務プロセス統制の運用状況評価
運用状況評価では、整備状況評価で確認した統制が、実際のそれぞれの現場で日々実施されているかどうかを、関連文書の閲覧、当該内部統制に関係する適切な担当者への質問、業務の観察、内部統制の実施記録の検証、各現場における内部統制の運用状況に関する自己点検の状況の検討等により、確認します。
整備状況で確認した統制のうち、統制の要点に該当する内部統制に絞った上で、年間の取引から複数件をサンプルしてテストを実施します。
サンプリングテスト
サンプリングテストは、業務プロセス統制の運用状況の有効性を確認するための手法です。
統制が適切に機能しているかどうかを、期中の取引からサンプルを抽出・検証することで確かめます。
テストの結果、例外事項が検出された場合には、発生原因や発生頻度を確認し、実質的な統制が行われたのかどうか、再発性があるどうかを検討し、最終的にその統制を不備にするか否かの判断を行います。
サンプリング方法
サンプリング方法には、統計的サンプリングと非統計的サンプリングがあります。
統計的サンプリングは無作為・ランダムにサンプルを抽出する方法です。
一方で非統計的サンプリングは、評価実施者の経験に基づき、金額、取引種別等の属性を考慮してサンプルを抽出する方法が該当します。
J-SOXでは、原則としてランダムサンプリングを行います。
サンプル件数
サンプル件数は、統制の頻度や重要性に基づいて決定します。
例えば、日次の統制には25件、月次や四半期の統制は2件のサンプルをテストします。
IT業務処理統制の評価
IT業務処理統制が、適切に業務プロセスに組み込まれ、運用されているかを評価するにあたっては、具体的には、例えば、次のような点を評価します。
- 入力情報の完全性、正確性、正当性等が確保されているか。
- エラーデータの修正と再処理の機能が確保されているか。
- マスタ・データの正確性が確保されているか。
- システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。
IT業務処理統制の場合、システムに組み込まれていることから、評価する場合のサンプル数は、通常1件となります。
ロールフォワードとは?
制度上、内部統制の評価時点は、期末日とされています。
しかし、全ての運用評価を期末日に実施することは不可能であり、ほとんどの上場会社は、期中に実施しています。
このため運用状況の評価を期中に実施した場合、期末日までに内部統制に関する重要な変更がないかどうか、変更がある場合には、変更された内部統制が有効かどうかを確認しなければなりません。
この確認作業を「ロールフォワード」と呼びます。
具体的には、以下を実施する必要があります。
- 重要な変更の有無およびその内容の把握・整理
- (変更がある場合のみ)変更後の内部統制の整備状況の有効性の評価
- (変更がある場合のみ)変更後の内部統制の運用状況の有効性の評価
業務プロセス統制のよくある不備
業務プロセス統制の構築は、初めてJ-SOX対応が必要となる上場準備会社においては非常に大変な作業です。
社員の誠実性を前提として、収益性や効率性を追求してきたところを、上場となると、プロセスを可視化してチェック・説明できる体制へと変えていかなければなりません。
例えば、単価マスタを変更できる担当者を限定する、取引先に対する信用調査、反社チェックを実施する、受注前には社内の承認をとる、回収期日を過ぎた売上債権に対して回収可能性を見積もって引当金を計上するなど、上場にあたって対応しなければならない課題・不備は、多岐にわたります。
現場の担当者からは、余計な手間が増えることで嫌がられる場面も少なくありません。
コンサルへ相談を
業務プロセス統制は、対象となる業務を詳細に把握する必要があるため、作業が膨大となりやすい部分です。
業務を可視化するだけだから大丈夫だろうとプロセス担当者にまかせていたら、いつの間にかJ-SOXに関連がない業務についてフローチャートを作成していた、肝心の会計システムへの入力業務を文書化していなかったなど、作業に手戻りが発生する場合があります。
また、評価においても、上場会社として財務報告リスクを削減するために、どこまで統制を追加すれば良いのかの判断には専門知識が必要となる場合があります。
上場による社員の疲弊を防ぐためにも専門知識と外部の視点を持つコンサルタントを採用し、効率的に業務プロセス統制の構築と評価を進めることが一般的です。
コンサルタントは社内の気づきにくい課題を発見し、組織全体の統制力を強化する手助けします。
まずは相談から。悩んだ際はぜひご相談ください。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
相次ぐ企業の不祥事を受け、内部統制における不正リスク対応が重要視されています。本セミナーでは、不正の発生背景や直近の事例を分析し、未然防止や早期発見に必要な社内の仕組み・チェックポイントを実務場面に即して解説します。さらに、内部監査や不正調査を実施する際の留意点についても、講師が分かりやすく指導します。
急速に普及する生成AIは、内部監査・内部統制にリスク検知や新視点をもたらす一方、情報漏洩等の懸念も伴います。本セミナーでは、AIの基礎から実務での活用シナリオ、即戦力のプロンプト例までを詳しく解説。リスクを適切に管理しながら成果を最大化する「AIとの付き合い方」を、実務視点で実践的に学べる内容です。
内部監査の高度化に伴う課題を解決する、新任担当者や手法を見直したい方向けの実践講座です。2024年改訂のグローバル基準を踏まえ、監査計画から実施、報告までの一連の手順を体系的に解説。特に悩みの多い「監査調書」や「経営陣に伝わる監査報告書」の具体的な作成ポイントを、実務ですぐに使える形で習得できます。
内部監査・内部統制における生成AIの実践的な活用法とリスク管理を学ぶセミナーです。業務効率化やリスク早期発見などAIの恩恵を解説する一方、情報漏洩や誤情報等の課題への対策も網羅。基礎知識から具体的な活用シナリオ、現場で即使えるプロンプト例まで、安全で効果的なAI活用術を実務目線で体系的に習得できます。
全社的リスクマネジメント(ERM)の実効性向上と体制高度化を目指すセミナーです。ERMに初めて取り組む方向けの基礎解説から、形骸化を防ぎPDCAを定着させたい実務者向けの運用ノウハウまで幅広く網羅。さらに危機管理マニュアルやBCP策定といった危機対応の基本も交え、真に機能するリスク管理体制づくりを支援します。
粉飾や横領などの不祥事が絶えず、内部統制における不正リスク対応の重要性が高まっています。本セミナーでは、不正発生の背景や最新事例を紐解き、未然防止と早期発見に必要な社内の仕組みを解説。具体的な業務に当てはめたチェックポイントから内部監査・不正調査の留意点まで、不正対策の実務を体系的に学べる講座です。
新任担当者やJ-SOX対応を始める方に向けた2日間の実践講座です。制度の基本から全社・業務別統制の整備・評価手順まで実務に即して解説し、すぐ使えるテンプレートも紹介します。新リース会計基準や非財務情報開示、生成AIの活用による効率化など最新の実務課題も網羅しており、豊富な事例を通じて体系的に学べます。
新任担当者やこれからJ-SOX対応を始める方に向けた2日間の実践講座です。制度の基本から整備・評価の具体的手順までを解説し、実務で使えるテンプレートも提供します。厳格化するリスク対応や新リース会計、非財務情報開示、生成AIを活用した業務効率化など最新課題も網羅。豊富な事例を通じて体系的に学べます。
内部統制制度の導入から約20年。今や当たり前の存在となり、その本質や意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンに向けて内部統制の基本に立ち返る入門講座です。「なぜ必要なのか」「目的や要素は何か」といった基礎知識から制度の全体像までをやさしく解説し、本質的な理解を深めます。
内部統制制度の導入から約20年が経過し、その本来の意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンを対象に内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素とは何か」「制度の全体像」をやさしく解説します。基礎知識を本質からしっかりと身につけたい方に向けた入門講座です。
生成AIを内部監査・内部統制業務へ安全かつ効果的に導入するための実践講座です。AIの基本や各種ツールの違い、業務効率化やリスク発見などの活用シナリオに加え、情報漏洩やハルシネーション等のリスク管理手法を網羅。さらに、監査計画やチェックリスト作成に即使える具体的なプロンプト技術まで実践的に解説します。
内部監査・内部統制業務における生成AIの活用とリスク管理を網羅した実践講座です。AIの基本から、監査計画やチェックリスト作成などの具体例、情報漏洩やハルシネーション対策まで、現場での「使いどころ」と「注意点」を徹底解説。さらに、実務でそのまま使える即効プロンプトの記述テクニックも体系的に学べます。
内部監査部門の立ち上げや新任担当者、実務を見直したい方に向けた基礎講座です。上場準備や不祥事防止など高まる期待に対し、限られた人員で効果的な監査を行うための基本知識と必須手順を、具体的な書式や事例を用いて総ざらいします。さらに、2024年に改訂されたグローバル内部監査基準のポイントも解説します。
内部統制制度の導入から約20年。日常業務で当たり前となった今だからこそ、その本質を再確認しませんか?本セミナーは全てのビジネスパーソンを対象に、内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素は何か」をやさしく紐解く入門講座です。制度の全体像から基礎知識をしっかりと学び直したい方にお勧めです。
内部監査・内部統制に特化した、生成AIの「使いどころ」と「注意点」を学ぶ実践講座です。監査計画やチェックリスト作成などの具体例を交え、業務効率化とリスク発見のノウハウを解説します。情報漏洩対策といったリスク管理の基本から、現場ですぐに使えるプロンプトの記述テクニックまで、実務直結の知識を網羅しています。
内部監査・内部統制業務における生成AIの実践的な活用法とリスク対策を網羅したセミナーです。監査計画やチェックリスト作成、議事録要約など、業務効率化とリスク発見に直結する活用シナリオを提示。情報漏洩やハルシネーションへの備えを学びつつ、現場で即実践できるプロンプトの記述テクニックまで習得できます。