新規事業における内部監査の関わり方(JBRその2)

ジャパンベストレスキューシステム(JBR)の事案を検討した前回、「新規事業あるいは異業種へ参入する場合のビジネスモデルやビジネスリスクを、事前あるいは早期に、かつ正確に把握する体制を構築することが、新規事業における不正の早期発見には重要であると思料する(調査報告書P53より)」という提言を受けて、業務プロセスに係る内部統制の評価という観点では、本事案は3つのタイミングで不適切な売上計上に繋がった不正リスクを認識する機会があると述べました。

今回は、評価対象プロセスの文書化の後に実施された、2期の内部統制評価の状況をみていきます。

2013年9月期 評価対象とした期の整備状況の評価

JBRは、2013年9月期にバイノスの販売プロセスを評価対象としました。子会社化してから期末までおよそ半年しか期間がありません。前回の記事で触れましたが、文書化(RCM)の確定が9月でしたので、この9月期の評価の中心は整備状況評価にあったと思われます。

本提言を踏まえた対応

整備状況評価では、デザインした内部統制が実際に現場に適用されているかどうかを確かめるために、ウォークスルーテストと呼ばれる手法を利用します。それは、評価対象のプロセスに対して、少なくとも一つの取引をサンプルとして選定し、取引の開始から財務報告に反映されるまでの一連の業務処理過程を、業務プロセスに沿って追跡調査していく手法のことです。

ウォークスルーテストの目的は、可視化した業務フロー、リスク、コントロールの記述内容が正確かどうか、また、実際の業務への適用状況を検証することにあります。

可視化された業務フローに沿って、プロセスがきちんと『線』として繋がっていることを確認していくもので、ある業務ポイント『点』の証憑類が一致・整合していれば良いということにはなりません。

担当者へのヒアリング、業務の観察、資料の査閲を通じて、業務担当者が財務報告上のリスクを認識し、コントロールの目的を理解していることを確認しますが、業務フローをコミュニケーションツールとして活用するのがコツです。

JBR内部監査の状況

バイノスの2013年9月期の内部統制評価の結果は次のとおりでした。

内部監査室は、平成25年9月29日から10月6日まで及び同月29日、30日にバイノスの内部監査を行い、同年10月8日から同月11日に、TMがバイノスのJ-SOX監査を行った。内部監査室が、監査対象としたのは、RCMの対象となっているK市で稼働中のK市Ⅴ工区における平成25年6月度から8月度の売上高についてであり(当該売上高については不適正な売上計上はなされていない。)、内部監査室は内部統制上の不備がある旨の指摘は行っておらず、TMからも特段の指摘はなされなかった。

考察

バイノスの2013年9月期の内部監査の段階で、文書化されていたRCMによれば、『○月度出来高明細書』『入着高・出来高調査表(写し)』『請求書(写し)』をもとに売上計上することになっています。

しかし、これがすでに実態とかい離したドキュメントで、実際の運用は『検収書』のみによって売上計上がされていたことは前回のエントリーで述べたとおりです。このような状況のもと、取引の母集団を代表するものとして抽出したサンプルでは、『○月度出来高明細書』『入着高・出来高調査表(写し)』『請求書(写し)』の金額が一致していたため、内部監査上は不備として指摘されませんでした。

調査報告書では、サンプル資料の整合性確認以外、例えば、担当者へのヒアリングや業務の観察がどのように実施されたかはわかりません。

いずれにしても、本事案の(不正)リスクの存在と追加的なコントロールの必要性に気付く二つ目の機会でした。もし、売上計上の前提として、『○月度出来高明細書』『入着高・出来高調査表(写し)』『請求書(写し)』の照合がないと知り得たのであれば、後工程において、例えば、次のような対応をとることも可能です。

  • 入金予定表の作成時に、請求書金額と売上計上額とを照合する、または、
  • 入金時の債権消込後の残高明細を作成し、差異理由を確認する

このようなコントロールを経理部門が実施し、その実施結果を内部監査部がモニタリングするか、不正リスクを強く意識して、内部監査部が当該コントロールを直接再実施することも考えられます。

ここから示唆されることは、一つは、文書化した業務フローが実際の業務に適用されているか、リスクが正しく認識され、コントロールの実施目的を理解したうえで業務を遂行しているか、という整備状況の評価が非常に大事であるということです。なぜならば、モニタリングサイクルにおいて、このあとに実施する運用状況の評価は、この整備状況評価の結果をベースラインとして計画・実施されるからです。

もう一つの示唆は、新規事業が内部統制の評価対象となる場合には、文書化~整備状況評価に要する日程を過小評価しないということです。ビジネスモデルが確立するまでは、毎月のように業務運用が変わる可能性がありますから、常に可視化した文書に変更がないかアンテナを張っておくことが必要です。

2014年9月期 業務運用の変更に合わせて文書を更新した時

バイノスでは、2014年年2月にRCMを一部変更しています。従来、『○月度出来高明細』並びに『入着高・出来高調査表(写し)』『請求書(写し)』の3つの証憑の一致を確認するという取扱いでしたが、変更後のRCMでは、『○月度出来高明細』および『検収書』をもとに売上入力を行うこととされ、『入着高・出来高調査表(写し)』『請求書(写し)』が照合する対象から除外されました。

事業が急拡大したこともあり、現場では測量が間に合わず、得意先から『入着高・出来高調査表』を提出してもらえないため、『入着高・出来高調査表』と『検収書』の金額が合致しなくなったという担当者からの説明でした。

調査報告書でも述べられていますが、売上計上ルールを実態に合わせるよう、『○月度出来高明細』と『検収書』に基づいて売上計上するルールに変更したとのことですが、実際には、社内資料に基づく不適切な売上計上がすでに発生していました。外部資料が間に合わないので社内資料で計上しますが検収印はもらっているし、関連資料は一致しているので問題がないです、のような説明で内部監査を切り抜けています。

本提言を踏まえた対応

このように業務フローが変更されたときには、既存の内部統制のデザインへの影響を評価する必要があります。

つまり最初に、業務フローの変更に伴って、従来識別していたリスクに追加・変更・移動がないかを確認します。本事案では、新たなリスクが発生したことに気付きます。具体的には、「得意先が認識している出来高明細と異なる内容で検収書を作成してしまい、売上・売掛金を過大または過少に計上するリスク」があげられます。現場事務所所長による検収段階では、所長自身の組織が作成する入着高・出来高調査表の作成が間に合いませんので、バイノスが提出した『○月度出来高明細』および『検収書』のみが確認資料となります。

次に、リスクの追加に伴い、それに対応するコントロールが既存の業務フロー内に存在するかを確認します。(調査報告書のRCMの内容から判断しますが)本事案で追加が必要になるのは、後日、得意先が認識していた出来高明細(入着高・出来高調査表)さらには先方に提出した請求書控と売上計上額とが一致していることを確認するコントロールです(具体的な例としては、上記で記載した二つのコントロールがあげられます)。

これらのリスクとコントロールの精査は、既存の業務フローを更新し、その業務フローを分析するのが作業上のコツです

JBR内部監査の状況

バイノスの2014年9月期の内部統制評価の結果は次のとおりでした。

内部監査室は、平成26年3月5日から同月7日にかけて内部監査を行い、意図的に変更されたRCMに基づき内部統制の評価を実施している。その際、監査対象としたのは、平成25年11月度の「K市Ⅶ工区」の売上高についてであり、内部監査室が実際にK市の現場に行き、個別に「作業報告書」のサンプル抽出による提供を求め、11月度の「検収書」及び「11月度出来高明細書」並びに「全体案件管理表」の整合性につき検証を行った。その結果、「作業報告書」、「検収書」、「11月度出来高明細書」及び「全体案件管理表」の記載の数字等がいずれも一致していたことから、内部統制上の不備は指摘しなかった。なお、「検収書」と「請求書」の一致は、RCMが変更されていることから、検証されていない。
また、この点について、TMも、内部監査室から変更後のRCM等の提出を受け、同年3月5日から同月7日にバイノスの期中の取引及び売上を検証したが、RCMの整備状況や運用状況については特段指摘を行っていない。

考察

バイノスの2014年9月期の内部監査では、売上計上の基礎資料の変更に伴う業務フローの分析やリスク再評価は行われなかったようです。

「業務運用の実態に合わせた」とは、既存の内部統制文書が実態に合っていないのを正しく更新したということですが、それまでは実態と合っていなかった文書に基づいてリスク評価をしていたのですから、業務フローの変更やリスクの再評価が必要だったと思われます。

これが、調査報告書の本提言「新規事業あるいは異業種へ参入する場合のビジネスモデルやビジネスリスクを、事前あるいは早期に、かつ正確に把握する体制を構築する」を具体的化したアクションの一つです。

リスクの追加認識をしなければ、評価はしませんので、対応することもありません。しかし、本事案の(不正)リスクの存在と追加的なコントロールの必要性に気付く三つ目の機会でした。

前回同様、私自身は、調査報告書に記載されている売上計上プロセスに関する変更後のRCM(調査報告書P10-11)をもとに、業務フローを更新してみました。そうすることによって、自社で把握することができる数値で売上計上していることを認識するとともに、得意先が認識している出来高明細・請求書と照合する機会がない(リスクがある)ことに気付くことができました。

その結果、テスト手続としては、売上計上後、得意先が認識していた出来高明細(入着高・出来高調査表)さらには先方に提出した請求書控と売上計上額とが一致していることを確認するコントロールが存在することを(数字等が一致していることに加えて)確認する必要があると判断しました。

新規事業対応に加えて、不正が重なると

今回取り上げましたJBRの調査報告書の新規事業の内部統制構築と評価に関する提言は、非常に大事なことと思い事案から得られる示唆を検討しようと考えたのが記事を書いた動機です。

ところで、JBRの本事案は、子会社の内部統制だけでなく、新規事業であること、さらには共謀による不正が存在しました。前回と今回は、業務運用やリスクを迅速かつ正確に把握することを主眼にしたかったので、リスクについては、不正に限らず広く財務報告リスクを意識して書いています。

同じ財務報告リスクとして不正リスク(不正会計や資産の横領など)は括られますが、リスクの洗い出し方は少し違います。業務フローを活用する点は同じですが、頭のスイッチを切替えないといけません。

ということで、次回は、本事案における共謀による不正リスクと内部統制の限界について考えてみます。

本記事は、本事案と同様のことが一般的にも起こりうることを鑑み、新規事業の(不正)リスク認識および内部統制変更時のリスク再評価の重要性を伝えることを目的に書いています。従いまして、特定の会社の経営管理のしくみや第三者委員会の調査報告書の内容を批判・批評することを目的としていないことをご理解ください。
JBRでは、2014年6月2日付けの第三者委員会の調査報告書受領後、再度7月25日付でも別の第三者委員会から調査報告書を受領しています。本記事の記載にあたって、参考にしたのは6月2日付の調査報告書です。また、業務プロセス・内部統制に関する記載事項は、調査報告書から筆者が理解し、不明な部分は一部推測により補っています。