内部統制ブログ(フジタヒロキ)

現役の監査法人の中の人が、こっそりと心の声をささやくブログ

内部統制(IT全般統制)をコンパクトにする方法

・コンパクトな内部統制が向いている企業とは 

僕は内部統制報告制度が始まる前のコンサル時代を含めて10年以上、J-SOXにかかわってきていますが、基本的には内部統制をコンパクトに設計すべきだと思ってるんです。例えばインフラ企業など大企業であれば、経営において事故を起こさないことが最優先されるので、業務を内部統制でガチガチにして、万が一にも事故が起きないようにすることを経営者が望んでいるしそうすべきだと思います。でも、それ以外の事業会社はどうでしょうか。少子化や市場のグローバル化、ITテクノロジーの進化など、これだけ変化の激しいい時代に守りの経営では会社を存続できないはずです。今売上が上がって利益が出ている事業でも、3年後5年後10年後はどうでしょうか。ずっと利益をもたらしてくれる保証などありません。経営者は常に新しい事業のの可能性を探して、投資を進めているはずです。また経営者だけでなく、従業員が仕事の内容や進め方が変化するのが当たり前であるという気持ちを持っていないと、会社として新しい事業への取り組みなど進みません。例えば、便利なクラウドツールを使いたいと従業員が思っても、内部統制や情報セキュリティの規則を理由に使用を許可されなかったら、仕事のやり方を変化させて新しいことに取り組もうなんて思えなくなりますよ。内部統制がガチガチだと、新しいことに挑戦するという気持ちが、社内で生まれなくなっちゃうと思うんですよね。まあ、インフラ企業などの大企業は事故が起きないのが最優先されますので、まあそれで良いんだと思います。でも大企業でも通常の事業会社であればそうはいかないはずです。日本の電機メーカーが凋落していってしまったのは、経営者も社員も、変化を良しとせずに守りに入ってしまったからなのだと思います。

 

前置きが長くなりました。本題に入ります。内部統制を効率的な必要最小限にする方法を考えてみましょう。経営者評価の範囲を最小にする方法を含みます。私の得意分野であるIT全般統制を対象にします。

 

私が考えるに、IT全般統制をコンパクトにする方法は、

1 内部統制の対象となる業務システムとその機能を明らかにすること、

2 IT全般統制のリスクを明確にすること

です。

 

IT全般統制とは何か、新ためて内部統制の実施基準にて確認しましょう。

 

内部統制の実施基準

Ⅰ.2.(6).②.〔ITの統制〕.ロ.a.

ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための 統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。

 

このように定められています。上場会社では、販売プロセスや購買プロセスなど重要な業務プロセスについて、業務記述書、業務フロー図、RCMなどのいわゆる3点セットの文章を作っていますが、この文書中で登場しない業務システムについて、全般統制を経営者評価する必要はありません。なぜなら実施基準にある通り、全般統制は業務処理統制を保証するためにあるからです。

これが意外と見落とされてます、IT全般統制の目的が十分に理解されてないとも言えます。例えば複数の事業を行ってる会社で、業務記述書の作成の対象外になっている事業の販売管理システムが全般統制の対象になっているという場合が結構あります。システムを安定稼働するためにIT全般統制は必要ですが、経営者評価の対象に含める必要は全くありません。今すぐやめましょう。

また、業務フロー図やRCMで、自動化された業務処理統制がなにか、しっかり把握しておくことによって、コンパクトな全般統制の整備が可能になります。なぜなら、業務記述書に出てくる自動化された業務処理統制に関連するIT全般統制だけを経営者評価の対象にすればいいからです。

例えばですが、ソーシャルゲームの事業を行っている会社を例に考えると、通常、業務フロー図やRCMに登場する自動化された業務処理統制は、石の購入処理、ガチャによる石の消費処理、セット販売による石の単価の違いがあればその平均単価計算、石の販売・消費のレポート機能、などです。これら自動化された業務処理統制が継続して機能することを担保するための全般統制が必要です。他方で、具体的にはパズドラのようなパズルゲームを想定します。ゲームの核はパズルですが、それは業務フロー図やRCMに登場しないでしょう。パズルに誤りがあったり、パズルが停止してしまったとしても、機会損失がありますが、財務報告の計算誤りなどは発生しません。なのでパズルに関連した全般統制を経営者評価の対象に含める必要はありません。例えばIT全般統制の開発変更管理の運用テストの実施で、課金のプログラム変更だけをテスト対象にして、ゲームのプログラム変更をテスト対象外することができます。運用テストの母集団をいたずらに広く捉えて沢山のサンプルを抽出するのは、今すぐやめましょう。

(注:私はパズドラを作っているガンホーさんの監査に全く関わったことがないので、想像で書いてます。あくまで例えです。)

 

2 IT全般統制のリスクを明確にすること

IT全般統制とは、具体的にどういった統制活動でしょうか。

IT委員会研究報告第46号「重要な虚偽表示リスクと全般統制の評価」を基に考えてみましょう

46号では例として全般統制を4つに分類しています

・ システムの運用に係る全般統制

・ 開発・変更に係る全般統制

・ 情報セキュリティに係る全般統制

・ 外部委託業務に係る全般統制

 

この分類で考えてみましょう

(1)システムの運用に係る全般統制

 

①~⑤の事例が示されていました。

 

>① ジョブスケジュールの登録・変更は、適切な者に承認される。

 

よくあるやつですね。

この内部統制を行っている会社のシステム構成や想定されるリスクは何でしょうか?

この内部統制はメインフレームの利用を想定してます。メインフレームのバックオフィスの業務システムでは、担当SEが毎月経理の月次決算のカレンダーに合わせて、夜間JOBスケジュールを設定しています。例えば、毎月3営業日が売上伝票の入力締め日なので、その夜に売上の集計処理を走らせ、5営業日が経費関係の伝票の入力の締め日なので、その夜に原価計算のJOBを走らせるなど、ジョブスケジュールの設定を行うのです。この場合、決算の締め日やジョブの前後関係などを誤ってしまうと夜間処理で作成される会計データが想定外の誤った数値になってしまいます。リスクが顕在化してしまいました。だからJOBの変更に関連する内部統制は重要なんです。でも今メインフレームを使っている会社は多くないですよね。これを読んでいる皆さんの会社でもLinuxWindowsなどオープン系のサーバーを使っていませんか。なのにわざわざ、新しく開発した機能のプログラムとCronについて、開発変更管理のリリース承認とは別に、わざわざジョブスケジュールの登録変更の申請書を書いて、上長に承認を貰って、なんてやっていませんか。無意味なIT全般統制です、今すぐやめましょう。リスクがありません。



 

システムの 運用に係る全般統制の②~⑤と、他のコントロールは次回の記事で考察します。

2項分布についての解説

 

コイン投げの試行を行ったとき、試行結果はオモテ面かウラ面のどちらかになる。このように試行結果が 2 種類しか取り得ない試行をベルヌーイ試行と呼びます。
このベルヌーイ試行をn回繰り返したとき、事象A(例えばコインの表が出る)の起こる回数Xの確率分布を二項分布といいます。

計算式とグラフは次の通りです。 

$P(X=k)={}_n\mathrm{C}_kp^k(1-p)^{n-k}$

 

縦軸P(X)

f:id:it-audit:20170626010807p:plain横軸X

グラフをwikipediayより引用 作者名 Tayste  File:Binomial distribution pmf.svg

 

内部統制の実施基準に書かれている、「許容誤謬率が9%」を当てはめてみましょう
例えば、ゆがんだコイン(表の出る確率がp=0.09、裏の出る確率がp-1=0.91とする)をn=25回投げた場合に、表がX回出る確率を計算してみます。

 

その確率の計算は本来であれば上記の計算式を使いますが、エクセルの関数で用意されているのでそれを使います。
確率 = BINOM.DIST(成功数,試行回数,成功率,関数形式)

表が出る回数X=0~25の確率をすべて計算してグラフにすると、次の通りです。

f:id:it-audit:20170626011611p:plain横軸X

f:id:it-audit:20170626011615p:plain

 

グラフを見てわかる通り、表が2回でる確率が一番高いです。これは期待値np=25回×0.09=2.25回からもわかります。

実施基準にはサンプリングリスク10%(90%の信頼度)とすると書かれています。これは、発生する確率が10%未満の事象が生じたら異常ということです。その場合、前提としている、表の出る確率p=0.09が誤っているとみなせます。
例えば実際にコインを25回投げてみて一回も表が出なかった場合、P(X=0)=9.5%の確率の事象が起きてしまったことになりますので、表が出る確率p=9%は誤りとみなせるということになります。(統計の世界では帰無仮説を棄却するといいます)
また、表の出る回数が少ない方向の結果が出ているため、表が出る確率pは9%未満ということになります。

なお、X=24回で計算すると、次の通りです。

 

f:id:it-audit:20170626013056p:plain

f:id:it-audit:20170626013102p:plain


表が一回も出ない場合の確率P(X=0)が、0.104となります。これでは10%を超えているため、表が一回も出なかったとしても、表が出る確率p=9%を棄却できません。
表が出る確率p=9%であることが確かめられてしまいますので、n=24回では試行回数が足りないのです。

またn=42回で計算してみましょう。
表が一回も出ない場合の確率P(X=0)が、0.019、1回表が出る確率P(X=1)が0.079、合計して0.098となります。
この場合、0回でなく1回表が出たとしても、サンプリングリスクの10%未満ですので、表が出る確率p=9%を棄却できます。なので、1回表が出ても良いんですね。

f:id:it-audit:20170626013853p:plain

f:id:it-audit:20170626013856p:plain

 

このように、付録2の統計的サンプル数の例示が作成されています。

おわり

f:id:it-audit:20170625111451p:plain

IR資料から会計不正を学ぼう③(情報・通信、バーター取引)

今回は事例は株式会社オークファンです。
ネットオークションの価格情報の比較・検索・分析等が可能なサイトaucfan.comを運営している会社ですね。それ以外にもWeb上でメーカーと小売店をマッチングさせるサイトNETSEAを運営しているそうです。

会社は、平成28年9月期、平成27年9月期の内部統制報告書で、「重要な不備」を報告しています。
詳細は、オークファンのWebサイトのIRニュースの「2016年11月11日 調査報告書受領に関するお知らせ」にあります。

IRニュース | 株式会社オークファン 28ページのボリュームです。

 

監査法人から疑わしい取引を1件指摘されたため、調査委員会を立ち上げて調査したところ、さらに4件の会計誤りが見つかったそうですね。不正という言葉は使われていないですが、私は、意図的に会計数値を変更しているように認識しました。
5件の取引はそれぞれ誤りの内容が異なっていました。「バーター取引による売上高・仕入高の水増し」「純額で計上すべき売上を総額で計上する」「売上の計上に対して原価の計上を遅くして架空の利益を計上する」といった内容でした。それぞれ興味深いですが、今回は調査報告書で「D社」との取引とされていたバーター取引を含む取引についてみていきます。

概要を1枚の図に纏めました。(省いている箇所がありますので、より詳しく知りたい方は上記の「調査報告書」を読むことをお勧めします!)

f:id:it-audit:20170602110550p:plain 

 

不正誤謬①(売上の前倒し計上)について
オークファン社は、D社よりシステム構築の案件を受注してますが、開発に遅れが生じて納期の9月30日に間に合わなかったんですね。そうすると、期末日である9月30日までに売上を計上できません。もちろん、売上の予算として組み込まれていたでしょうから、売上・利益共に業績予想から下振れしてしまうので、困りますね。かといって納品していないものを売上計上してしまうと、監査法人に説明できないし困ります。そこで資本関係のあるD社から9月30日付の「受領証兼研修合格書」を貰って、架空の売上の計上根拠にしていました。しかし調査委員会の調査の結果、実際に納品されたのは12月18日とされています。

 

不正誤謬②(バーター取引)について
オークファン社の受注に金額変更で追加された6百万円と、D社の受注した5.95百万円が、調査委員会の判断でバーター取引とされています。それぞれ実在していれば会計上問題なかったんですが、6百万円の根拠資料が全く見つからなかったのと、D社からオークファン社に納品された5.95百万円のシステムが、オークファン社で全く使われてなかったことから、実態を伴わない取引で、売上計上すべきではないということになりましした。6百万円の現金が、オークファン社とD社の間で往復しただけで、売上では無いということです。

オークファン社はこのシステムを資産計上して償却開始しているそうなので、売上の6百万円から償却費を除いた金額が利益になっていますね。売上のほとんどが利益として計上されたということになります。一般的なバーター取引の場合、同額の売上高・仕入高が計上され利益ゼロの場合が多いですが、今回は利益まで出してしまうという、会計数値に大きく影響のあるやり方になってます。

 

オークファン社はD社の発行済株式の4.7%を持っているだけですが、D社が不正に協力してくたんですね。資本関係のある会社は、子会社や関連会社の出資規模でなくとも、要注意です。

IR資料から会計不正を学ぼう②(建設、売上の架空計上)

 今回売上の架空計上を行ったのは、ピクセルカンパニーズ株式会社(PXC社)さんの子会社であったルクソニア株式会社(LNX社)です。

概要を1枚の図に纏めました。(省いている箇所がありますので、より詳しく知りたい方は「社内調査委員会の調査報告書」を読むことをお勧めします!)

http://pixel-cz.co.jp/ir/info/ 「社内調査委員会の調査報告書」は、PXC社のIRニュースにて 2017.01.31 にリリースされています。 30ページあります。

 

LNX社は、太陽光発電システムの設計・調達・建設を行っています。

図の通り、B社から発電所の建設工事の受注したのですが、大雨で泥水が発生したことから市役所より工事の中止要請があり、工事を完成できませんでした。それにもにもかかわらず、建設工事が完成したものとして、売上の計上や、売掛債権の現金化(ファクタリング)を行ってしまいました。これらはすべて社長のP氏が承知していました。

f:id:it-audit:20170524033717p:plain

 

この売上の計上処理には、工事の進行割合によって売上を分割計上をするような見積もりの要素がありません。完成していないのですから売上を計上できません。計上時期をうっかり間違えようがありません。また、ファクタリングも、工事が完成していないので、存在していない売掛金を現金化してしまっています。ファクタリングを受けたA社から詐欺行為と指摘されています。

建設工事の完成の有無が重要ですが、それは現地に行ってみれば一目でわかります。発見が難しい不正では無いと、私は思います。
社内調査委員会の調査報告書では、親会社による子会社の管理体制の強化を再発防止策の一つとして挙げています。

IR資料から会計不正を学ぼう①(卸売業、循環取引)

効果的な内部統制を構築するためには、どのような不正や誤りが発生し得るか、具体的にイメージして内部統制を構築することが必要です。自社のビジネスを一番よく知っているのは、外部の人間ではありません。内部の社員であるあなたです!会計士やコンサルタントに任せきりにしてしまってはダメです!!あなた以上に適切な内部統制を設計できる人はいません。

一方で会計士やコンサルタントが何を知っているかというと、不正や誤りの実例です。多数の実例を知ることにより、業種に応じて発生しがちな不正や誤りをよく知っているのです。
現代は情報開示が進んでいますので、不正が起これば内部統制報告書にて「開示すべき重要な不備」が明らかになりますし、第三者委員会により調査され、そのレポートも公開されます。具体的な不正事例について知る情報が揃っています!

内部統制報告書や第三者委員会の報告書を基に、不正・誤りの手段を学びましょう。

 
今回は、東証一部上場の昭光通商株式会社さんが、2017/4/25に開示した「内部統制報告書」と「特別調査委員会の報告書」を基に、循環取引の事例を学びましょう。資料は昭光通商株式会社さんのIRサイト(下記リンク)から入手しました。

IRニュース:昭光通商株式会社 2017/04/17 特別調査委員会の報告書受領に関するお知らせ


今回循環取引を行ったのは、昭光通商(株)さんの子会社の(株)ビー・インターナショナルです。

概要を1枚の図に纏めました。(省いている箇所がありますので、より詳しく知りたい方は「特別調査委員会の報告書」を読むことをお勧めします!)

ビー社さんは、レアメタルなどの素材を取り扱っている卸業者です。
図の通り、B社から珪素を仕入れてA社に販売する取引が、架空取引で実際の商品が存在しておらず、お金だけが循環する取引でした。

 

f:id:it-audit:20170521170408p:plain

 


循環取引が起きてしまった原因が3つあります。
・ビー社を通さず仕入先B社から得意先A社に商品を直送していたため、架空取引に気付くのが遅れた。
 直送取引は卸売業で通常あり得ますので、直送だからと言って必ずしも不正ではありません。しかし、不正が発生する確率が高まるため、注意が必要な取引でしょう。
・仕入先と得意先の経営者が同一であった。
 循環取引を行うためには、仕入先B社と得意先A社の協力が必須です。通常であれば、2つの異なる会社に不正の協力を持ち掛けても、協力が得られる確率は低いと思われます。今回の場合は、一人の経営者の支配下にある2社を使っていますので、不正の協力が得やすく、また関与者が少ないので不正が露見しにくいともいえるでしょう。

・社長の取引を役員がチェックしていなかった。
 上記と同じく、関与者が社長のみで、社内に関与者がいなかったため、不正が露見しにくい状況にありました。

 

 

 

内部統制の不備の実例を知ろう(2017年1月~)

上場企業は内部統制報告書を開示しています。

開示された書類はその会社のホームページのIRやEDINETから、誰でも簡単に調べることができます。
内部統制報告書で不備を開示している企業を一覧にしました。
気になる不備があれば、対象会社のIRサイトから、内部統制報告書や第三者委員会の報告書などを入手し、不正の方法を調べて自社で内部統制を構築する際の参考にしましょう。

 

 内部統制報告書で「開示すべき重要な不備」を報告している企業の一覧

(2017年1月以降)

f:id:it-audit:20170602164303p:plain

f:id:it-audit:20170520195445p:plain

f:id:it-audit:20170520231922p:plain

 

f:id:it-audit:20170520231927p:plain

 

2016年12月以前はこちら

www.hiroki-fujita.com

内部統制の不備の実例を知ろう(2016年7月~12月)

上場企業は内部統制報告書を開示しています。

開示された書類はその会社のホームページのIRやEDINETから、誰でも簡単に調べることができます。
内部統制報告書で不備を開示している企業を一覧にしました。
気になる不備があれば、対象会社のIRサイトから、内部統制報告書や第三者委員会の報告書などを入手し、不正の方法を調べて自社で内部統制を構築する際の参考にしましょう。

 

 内部統制報告書で「開示すべき重要な不備」を報告している企業の一覧

(2016年7月~2016年12月まで)

f:id:it-audit:20170520235013p:plain

f:id:it-audit:20170520235010p:plain

f:id:it-audit:20170520235005p:plain

f:id:it-audit:20170520235001p:plain

f:id:it-audit:20170520234955p:plain

f:id:it-audit:20170520234952p:plain

f:id:it-audit:20170520234947p:plain

2016年7月以前はこちらを参照してください

 

2017年1月以降はこちらを参照して下さい

www.hiroki-fujita.com


www.hiroki-fujita.com

www.hiroki-fujita.com