内部統制の整備状況の評価

M社は、株式上場している電子機器メーカである。M社では、金融商品取引法の内部統制報告制度に対応するために、内部統制の整備を行ってきた。この度、整備が一段落したので、監査部でその整備状況を評価することにした。監査部のN君は、受注から代金回収までのプロセスの整備状況の評価を担当することになった。

内部統制の整備状況の評価手順

N君が計画した内部統制の整備状況の評価手順は、次のとおりである。

1. フローチャート、職務記述書、リスクコントロールマトリックスなどの文書をレビューして、コントロールを理解し、予備的評価を実施する。その際、リスクを識別するに当たっては、不正や誤謬が発生した場合に、a、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性といった適切な財務情報を作成するための要件のうち、どの要件に影響を及ぼすかについて理解する。
2. また、入力情報の完全性・正確性・正当性等を確保する統制、bなどのIT業務処理統制の観点からも確認する。
3. 今回評価の対象にする取引を選定し、必要な証跡を入手する。
4. 現場の現象や関係者に対するヒアリングなどを実施する。取引の発生時点から手作業や情報システムによる処理を経由して最終的に財務報告に反映されるまでのプロセスを追跡することで文書化の内容を検証して、コントロールの不備を把握する。
5. コントロールの改善や文書の修正を行う。必要に応じて情報システムも改善する。
6. 内部統制の整備状況の評価結果を文書化する。

文書のレビュー

まず、N君は、フローチャート、職務記述書、リスクコントロールマトリックスなどの文書をレビューした。そのうちの受注プロセスのリスクコントロールマトリックスの抜粋は、表のとおりである。

次にN君は、関連部署にヒアリングを行った。

業務課へのヒアリング

1. 新規の顧客と取引を開始するときは、業務課が必要事項を調査し、その結果を経理課長に提出する。与信限度額の決定や顧客マスタの入力は経理課で行われている。
2. 受注入力は、業務課の専従の受注担当者が行っている。顧客からの注文は、ファックスで受け付ける。受注担当者は、一重登録を避けるために、受け付けたファックスに連番を振る。受注担当者がファックスの内容を情報システムに入力した後、業務課長は、入力内容がファックスの内容と合っているかを確認して承認する。商品マスタ及び顧客マスタに存在しないデータは、情報システムに入力できない仕組みになっている。
3. ユーザIDの登録・削除は、上長の承認を得て、管理課に提出する。
4. 受注担当者が不在や外出の時には、あらかじめ用意していた共有のユーザIDを使って受注入力する。
5. 与信限度額を超えて受注入力できない場合は、業務課長の承認をもらって、該当顧客の限度額の変更依頼書を経理課に提出する。変更依頼書が承認されると、それ以降は変更後の与信限度額まで入力できる。

経理課へのヒアリング

1. ユーザIDの登録・削除は、上長の承認を得て、管理課に提出する。
2. 新規の顧客と取引を開始するとときは、業務課からの依頼に基づき、経理課長が与信限度額を決定する。
3. 経理課担当者は、与信限度額を含めた顧客情報を顧客マスタに登録する。経理課長は、入力された顧客情報を確認して承認する。
4. 業務課から与信限度額の変更依頼書を受領したら、経理課担当者は、不備がないかどうかを確認する。経理課長は、財務情報などと併せて内容を最終確認した上で、承認する。
5. 経理課担当者は、年に一度与信限度額の見直しを行う。変更した与信限度額も含め、更に変更が必要な場合には、経理課長の承認を得て、与信限度額を変更する。

管理課へのヒアリング

1. 管理課担当者は、四半期に一度、ユーザIDとアクセス権の制御しを実施する。管理課だけがユーザIDとアクセス権の変更権限をもっていて、問違いがあれば、担当者がユーザIDの削除やアクセス権の変更を行う。その結果を管理課長が承認する。管理課長が承認した時点で、削除や変更の内容が初めて有効になる。承認時に内容の不備を発見したときには、管理課長が修正入力と承認をしている。

N君は、ヒアリングの結果を受けて、リスクコントロールマトリックスの不備やコントロールそのものの欠如などの問題点を幾つか発見した。