内部統制評価

構築支援業務

はじめに

内部統制とは何でしょう。監査で要求されるから作っているわけではありません。法律で要求されるから作っているわけでもありません。

会計監査人がそれを利用しようと考えているものですが、そもそもは、経営者が、すべて自分で従業員が悪さをしていないか確認することができないほど、取引量が増えてしまったため、管理職にその作業を下請けに出したところからできたものです。

したがいまして、経営者が無視しようと思えば無視できてしまう制度なのです。監査人としては、内部統制が適切に整備・運用できているかを確認できれば、少なくとも従業員不正の発生を抑えることができる、という範囲で理解すべきで、経営者不正には使えない、との前提で監査手続を計画しなければなりません。

1.内部統制制度の整備はどうするのか。

内部統制制度は、従業員不正が起きないように作る、というのが始まり、ということは前述のとおりです。

管理職に、従業員の作業を監視させればよいでしょうか。そうすると、管理職が悪さをしない、という保証がないと成立しません。

どうするか、というと、相互に監視をさせるのです。それが相互牽制です。上下関係だけでは、上下で共謀したら牽制になりません。横でも牽制が効くように制度を設計する必要があります。

最終的には、取引の事実が、事実通りに仕訳となり、財務諸表につながっていることを相互に牽制することで達成できるか、を確認できるかが整備の要となります。

2.IT統制はどのように整備するのか。

内部統制を構成するIT統制も、最初は、手作業による取引記録の処理の効率化、から始まりました。

手作業では、転記ミスや集計ミスがないようにするのは、相当の労力を要しました。そのようなことがないようにチェックする統制活動、つまり相互牽制が作られたのです。

これに対し、ITシステムは、プログラムが意図したとおりに作られていれば、転記ミスや集計ミスは起きないのです。反対に言えば、意図したとおりに作られていないプログラムは、延々と間違ったデータを作り続けるのです。

ということは、手作業で行っていた統制活動がITシステムに置き換わった、となるわけでです。したがって、置き換わったITシステムが、意図したとおりにプログラムされているかを確認しなければならないわけです。

ここまでの手作業統制とITシステムの関係については、下の添付スライドをご参照ください。

IT統制評価のための考え方及び実務のコツ_170829_2.pdf

3.どのように評価するのか。

では、具体的に内部統制の整備・運用状況は、どのように評価したら良いのでしょうか。

先に書きましたように、「最終的には、取引の事実が、事実通りに仕訳となり、財務諸表につながっていることを相互に牽制することで達成できるか、を確認できるか」確認するのが、評価です。

したがいまして、仕訳に記載されるすべての構成要素(計上日、勘定科目、金額、摘要、起票者、承認者)が事実通りであることを担保する統制活動を、取引の発生からの業務処理の流れを追いかける中で、特定しなければなりません。

そして、特定した統制活動が、意図したとおりに、事実通りのデータができるように、機能しているかを、サンプルを追いかけることで確認します。

4.識別した統制活動が機能していなかったらどうするのか。

確認した結果、識別した統制活動が機能していなかった場合、そのことは、事実が事実通りに処理されなくなる可能性があることを意味します。短絡的には、内部統制不備、その不備の影響度によっては、意見差控、不適正意見、となってしまう可能性まで出てきます。

この可能性を否定できるのは、その不備を補填するような統制活動が別にある場合や、影響が大きくない、と言える程度まで、証拠で裏付けをとることができる場合になります。

5.では、具体的にはどのように整備するのか。

内部統制の整備をする上での留意点は、以上の通りであるが、では、具体的にどのように作業を行ったらよいのだろうか。

私たちは、内部統制の評価を数多く実施し、経験を積んでいます。理屈はわかった、つもりでも具体的にどのような相互牽制を作ったら良いのかは、理屈に経験が加味される必要があります。その経験を私たちは提供することができます。