第２章　日本版ＳＯＸ法の概要－内部統制の制度化－

７．業務処理統制の文書化

何を文書化するか、どうやって文書化するかというと、全社レベル統制と業務処理統制を文書化する。具体的に業務処理統制を文書化するのに何をつくればいいのかという話をこれからしたいと思います。 　その前に、先ほどから評価するという話がありましたけれども、評価には二種類あります。一つは整備状況の評価。整備状況は何かというと、いわゆるデザインです。要するに、ＡさんがＢさんのやったことをチェックしている。本当にチェックすることによって、間違いが是正されるかどうか。それと、チェックする体制をつくっているかどうか。いわゆるこれがデザインです。もう一つは運用状況の評価。デザインはすばらしい内部統制の仕組みができましたけれども、実際にそれをやっているかどうか。それを運用状況の評価というふうに申します。 　整備状況の評価で、財務報告が誤るリスクが十分軽減されているかどうかということを確認した後に実際に運用できているかどうかということを再度確認する。運用状況の評価は具体的にどうするかというと、いわゆるテスティングになります。例えばＡさんは、自分が入力した結果を必ずプルーフを出してチェックしているというコントロールがあったとすると、月のプルーフから一〇件ピックアップして、本当にチェックしたかどうかというのを確認する。 　先ほどからお話が出ていますけれども、性善説であればここまでで終わっているんですね。うちの社員は皆さんまじめだから、やったと言ったら絶対にやってるから心配ありませんよと。でも、この日本版ＳＯＸ法の制度自体はそれではだめなんです。やっているんだったら、やっている証拠を見せてもらわないと信用できませんということで、その後のテスティングをやって評価することで初めて内部統制を評価したことになる。非常に疑い深いというか、アメリカ的な考え方がそのまま取り入れられていると認識してください。 　そこで、業務処理統制の中身を具体的にご説明しますと、文書化する目的は最初に申しましたように、財務報告に係る内部統制を文書化して評価することなので、財務諸表が誤るリスクは何かということをまず特定する。図－８を参照してください。まずここではリスクは簡単なものを想定していますけれども、売上金額（数量×単価）が正確に計上されないかもしれないというのを一つのリスクとしてとらえるわけです。もちろん企業というのは人間が作業をして実務が成り立っていますので、リスクがないということはまずないと思うのです。では誤るリスクはどこにあるのかということで、そのリスクを特定するのが最初の段階です。正確に計上されないかもしれないというのがリスクだと。 　じゃあそのリスクに対して何をやっているか。これがコントロールです。チェックという簡単な言い方をしてもいいかと思うんですが、コントロールとしてリスクに対して何をやっているか。ここでは売上情報の入力担当者は、入力後プルーフを出力して、入力に使用した証憑と入力結果を一件ずつ突合している。 　これは非常に端的な、こういうことをやっているはずないじゃないかという方もいらっしゃるかと思うんですが、あえてこういうコントロールがあるとします。そうすると、正確に計上されないかもしれないというリスクは、このようなコントロールを行うことによって、軽減されていませんかということです。例えば一個一〇〇円のもの一〇個で一〇〇〇円ですね。一〇〇〇円という売上金額が正しく計上されればいいですけれども、入力担当者が一個一〇〇円のものを一一〇円と入力するかもしれない。だから、それは間違えるリスクがありますねと。当然それはだれがやっても発生するかもしれないリスクです。 　これに対して入力担当者は、入力後わざわざプルーフを出力して、入力に使用した証憑とその結果を一件ずつ突合している。ここまでやったら、このリスクというのは軽減されると考える。いわゆるこれがデザインの評価、整備状況の評価です。この関係をドキュメンテーションしていくのが業務処理統制の整備状況の文書化ということになります。リスクはどこにありますか。こういうリスクがあります。じゃあ、このリスクに対して何をやっていますか。そのリスクを軽減するために行うチェックの仕組みがコントロールです。では、そのコントロールで十分にリスクは軽減されているかどうか。それを把握するのが整備状況の評価です。 　図－８にポイントを書いておりますけれども、整備状況の評価というのは、コントロールが十分リスクを軽減しているか。あとコントロールを明確にするという目的から、コントロールを行う実施者や頻度等が明確になっていなくてはなりません。だれがやるかも決まってない、実施頻度も決まってないコントロールではなく、だれがどういう頻度でどのような証跡を残して行うかなどが決まったコントロールとなっているかどうか。このリスクとコントロールの関係をドキュメンテーションしましょうというのが整備状況の評価です。 　この段階で先ほど申しましたように、ここまでやったらいいですよねと。監査法人ともいろいろ話をして、このコントロールをやっていれば問題ないですよねというところで相談をしながら、コントロールの十分性について確認できたとします。確認できたら、次に運用テストを行います。内部統制のデザインはいいけれども、実際に本当にそのコントロール手続をやっているんですかということを確認するのが運用のテストです。これはある一定のサンプルサイズを決めてテストを実施します。例えば売上金額の計上を誤るリスクを軽減するコントロールのテストとして売上金額についてプルーフを二五件抽出し、出荷日、売り先、数量、単価等について、実際に入力担当者がチェックしたコントロールの証跡が残っているかどうかというのを確認する作業を行います。それでエラーがなければ、評価終了です。 　もしエラーがあった場合には、コントロールを実施する担当者に正しく実施させるためにはどうしたらいいか。必ずやってくださいねと担当者に言うとか、担当者が能力限度でもう無理だと、こんなことはできないということだったら、じゃあ別のコントロールを考えるか、それとも人をさらに追加で配属し、そのコントロールをやってもらうのかと。そのようなことがくり返されていくわけです。最終的にもし別のコントロールをやると決定したら、つまり、今までのコントロール、ちょっとこれは無理だから、こっちのコントロールを行うと決めれば、またここで追加してコントロールのテスティングに入って、エラーがなければ評価終了。ここまでやって基本的には、業務処理統制の部分の整備状況の評価及び運用状況の評価が終了するという形になります。