内部統制評価制度では、内部統制に該当しない「自動化された会計処理手続」も評価しなければならないの？

　こんにちは、丸山満彦です。議論は尽きていないかもしれませんが、、、
「日々の売上をコンピュータにより自動集計（計算）するという処理」は「自動化された会計処理手続」（１）であると。。。
「自動化された会計処理手続」は、それだけでは内部統制ではない（２）と。。。

　内部統制報告制度は、内部統制の有効性を評価する制度である（財務諸表が適正であることを評価する制度ではない）。

　したがって、内部統制に該当しない会計処理手続が適正に行われているかどうかを評価する必要はない（３）。

　（１）（２）（３）から導かれる結論は、

「日々の売上をコンピュータにより自動集計（計算）するという処理」はそれだけでは内部統制ではないのでそれが適切に行われていることを評価する必要はない。＝＞したがって、検証する必要もない。

ということになりますよね。。。

違うかなぁ・・・

Comments

＞日々の売上をコンピュータにより自動集計（計算）する

が、どういう作業なのかよくわかりません。

まさかと思いますが、人的な作業は手書きの売り上げ伝票を電卓で合計を出し、コンピュータを使った集計はバーコードにある値段をキャッシュレジスターでスキャンし、その日の合計金額を足すというのが自動集計。。。

ということはありませんよね？

前提が曖昧なので、その辺り、もう少し具体化しないことには命題についてコメントをすることができません。

Posted by: koneko04 | 2007.12.28 12:16

koneko04さん、コメントありがとうございます。
＝＝＝＝＝
日々の売上をコンピュータにより自動集計（計算）する
＝＝＝＝＝
例えば、こんな感じですかね。。。

販売システムと会計システムが別々にあります。
販売システムでは、キャッシュレジスターでバーコードを読み込んだ時に売上を計上します。
販売システムでは日次の販売金額が自動計算で合計されます。
販売システムから会計システムに日次に売上高がバッチ転送されます。

これでわかりますか・・・

Posted by: 丸山満彦 | 2007.12.28 13:34

こんにちわ、せろまるです。

自動化された会計処理そのものはただの手続きですね。
ただ、常識的に考えてpreとpostでなんらかのチェック機能があるはずです。
それらもシステムの一部ならば、システム自体は内部統制の対象になると思います。

転送されてきたバッチデータもかならずデータの正確性はチェックされるはずですから。

Posted by: せろまる | 2007.12.28 14:28

まるちゃん♪

自動集計というのが幾つかのプロセスにより成り立っているということになりますね。

例えば、

＞キャッシュレジスターでバーコードを読み込んだ時に売上を計上します

ですが、バーコードで販売価格を読み取り売り上げに計上する活動自体ははコントロールではないですよね。売り上げを正確に計上することが統制の目的であるとすれば、それに関する「プロセスの一つ一つ」がコントロールということになると思うけど。。。

「キャッシュレジスターでバーコードを読み込んだ時に売上を計上する」ことによって、どのような統制目的が達成されるのか。コントロールを洗い出しする際にはそこから始まりますよね♪

Posted by: koneko04 | 2007.12.28 14:59

koneko04さん、コメントありがとうございます。

なんか、説明がすごくくどくどとなっていますが。。。
＝＝＝＝＝
自動計算するというプロセス、要はコンピュータで足し算をするというプロセスは、内部統制であるかどうか
＝＝＝＝＝
だけのことをいっています。
もちろん、入力する段階でのエディットチェックだったり、他のシステムに転送する場合にデータのハッシュトータルをとったりすることがあると思いますが、そういうものは含んでいません♪

単純にデータの自動計算が内部統制になるかどうか。。。

でも、これは、前の話で「ならない」という意見が多かったと思います。

ここでは、それを受けて。。。コントロールではない活動（プロセス）は、内部統制報告制度においては、評価する必要はないですよねっていう話です。。。

Posted by: 丸山満彦 | 2007.12.28 15:09

ある活動や手続が「統制」に該当するかどうかは、アサーションを弱めてしまうリスクを顕在化させないように位置づけられているかどうかで決まるので、自動化された処理は統制でないという決め付けもできないのでは。
つまり自動化された処理だけでは統制であるとは言えないが、それが何らかのアサーションをもたらす根拠となっていれば統制として位置づけられます。
まさにここに経営者が関わる意味があるのではありませんか。

「自動化された処理は統制でない」とは、「それだけでは統制であるとは言えない」と言うべきです（つまり統制である可能性も残しているわけです）から、「自動化された処理は統制でないから評価対象ではない」と言い切ってしまうのは危険でしょうね。

Posted by: 閑人 | 2007.12.28 16:10

閑人さん、コメントありがとうございます。。。

用語の使い方がばらばらとしてきていますので、ちょっと整理しましょうか。。。

「自動化された処理」は「自動化された会計処理手続」と同じ意味で使われていますか？？？
もし、そうであれば、
＝＝＝＝＝
「自動化された会計処理手続は統制でない」とは、「それだけでは統制であるとは言えない」と言うべきです（つまり統制である可能性も残しているわけです）から、「自動化された会計処理手続は統制でないから評価対象ではない」と言い切ってしまうのは危険でしょうね。
＝＝＝＝＝

ということになりますね。。。
ということは。。。

「自動化された会計処理手続」
＝「統制になる自動化された会計処理手続」＋「統制にならない自動化された会計処理手続」

という感じになるんでしょうかね。。。
閑人さんの意見では、

「統制になる自動化された会計処理手続が存在する。。。」

　ということになりますね。。。

　自動化により経営者が正確性が高まっていると期待するのであれば、それは統制であると。。。

というとまた、話が振り出しにもどりますが。。。

＝＝＝＝＝
（考え方１）
　「日々の売上をコンピュータにより自動集計（計算）するという処理」は、コンピュータ全般統制が有効に機能していれば、人間が集計を行うよりも売上高の正確性を高めるので、正確性というアサーション（経営者の主張）に紐付けることができる内部統制である。
＝＝＝＝＝＝
ということになりますね。。。

では、次に疑問がわいてきます。

＝＝＝＝＝
「自動化された会計処理手続」が統制といえるための要件とは何か。。。
＝＝＝＝＝

Posted by: 丸山満彦 | 2007.12.28 17:02

>>「自動化された会計処理手続」が統制といえるための要件とは何か。。。

経営者が認識したリスクを軽減する意図を持って導入している手続のうち効果的（それ単独でまたは他の手続などと相互補完しながら）にデザインされているもの。

こういう定義ではどうでしょうか。

Posted by: 閑人 | 2007.12.29 11:50

閑人さん、コメントありがとうございます。。。

＝＝＝＝＝
>>「自動化された会計処理手続」が統制といえるための要件とは何か。。。

経営者が認識したリスクを軽減する意図を持って導入している手続のうち効果的（それ単独でまたは他の手続などと相互補完しながら）にデザインされているもの。
＝＝＝＝＝
なかなかいい感じですかね。。。

ただ、「他の手続などと相互補完しながら」という言葉が引っかかりますね。。。

Aというプロセス（手続）だけで内部統制となる場合と
Bというプロセス（手続）とCというプロセス（手続）がそろうとB+Cというプロセス（手続）全体として内部統制となる

ということを言いたいのだろうと思うんですけど、そんな感じでしょうか。。。

もし、そうだとすると
B=日々の売上をコンピュータにより自動集計（計算）する
C=プログラムは適正に開発され、実行されている等（IT全般統制）
というような関係になるのでしょうか。。。

Posted by: 丸山満彦 | 2007.12.29 17:47

言いたいことは、貴殿の整理どおりです。しかし>>---------
もし、そうだとすると
B=日々の売上をコンピュータにより自動集計（計算）する
C=プログラムは適正に開発され、実行されている等（IT全般統制）
というような関係になるのでしょうか。。。
---------<<

上記の例示はちょっと違いますね（私の「相互補完」という言葉がよくないのかもしれませんので、適切な言葉を見つけたいところです。）。

CはBが成り立つための前提条件に過ぎないため相互補完ではありません。

私が言いたかったのは、上記Bの例示に対するCに相当するのは例えば、「C=日々の現金実査をして、売上合計と突合する（レジ売上の場合）」となります。

つまり、手続としてBだけなら、売上計算の正確性しか担保しないし、Cだけなら現金の実在性しか担保しません。
「（借方）現金（貸方）売上」という取引記録から見れば部分的要素しか担保しないので、取引として妥当性を担保するには、BとCとが両方一体として行なわれている必要があり、これによって現金の網羅性（全ての現金売上が計上される）担保され、売上の実在性が担保されることになりませんか。

おそらく、上記だけでは、売上の網羅性は担保されない（たとえば万引きとか横流しとか）ので、例えば、「毎日（あるいは毎時）、生鮮食品の棚をチェックし一定時間が経過した食品は廃棄し、廃棄品はバーコードを読んで記録する」という手続があれば出荷金額が推定できるので、これとレジ記録とを論理的に照合（分析など）することで、売上の網羅性が合理的に担保されますね・・・・というようなことが言いたかったわけで、説明不足でした。

基本的な主張点は、会計記録の妥当性の合理的保証は、一体として成立している統制手続群を要素還元的に分解して特定の手続だけを検証する方法では限界があるのではないかということです（不備の指摘はできますが、「有効」と言えるのかどうか）。逆に言えば、一体として成立させるのはまさに経営者の視点であって、そこを抜きにしては統制の有効性は語れないはずです。

上記の例を経営者視点で言えば、「全ての商品がレジを通して正確に売上記録され売上現金が保全される」ところにあるはずなので、それぞれのアサーションは同時に成立しなければならないかと考えるのですが、いかがでしょうか。

Posted by: 閑人 | 2007.12.30 12:56

閑人さん、年末押し迫ったときにコメントありがとうございます。。。

閑人さんのコメントは、「財務報告に係る内部統制は有効である」という経営者評価の意見形成の観点から非常に興味深い話です。。。
この話は、また別の機会に深掘りましょう。。。

で、やっぱり戻って。。。

＝＝＝＝＝
経営者が認識したリスクを軽減する意図を持って導入している手続のうち効果的（それ単独でまたは他の手続などと相互補完しながら）にデザインされているもの。
＝＝＝＝＝
　ちょっと新幹線に揺られながらつらつらと考えていたのですが、閑人さんの定義はどちらかというとキーコントロールの定義に近いのではないかと思うんですね。。。

●統制というのは、経営者が意図するかしないかにかかわらず統制は統制として存在するのではないか・・・

　たとえば、
・購入した会計システムは、他のシステムからデータを受け入れる場合に受け入れ可能なデータ形式であることを確認するというコントロール（統制）がある。
・会社の人は、このようなコントロール（統制）があることはまったく知らない。
という場合であっても、やはり統制は統制として存在するように思います。。。

　経営者の意図というのは、キーコントロールに該当するかどうかを決定する際には重要となるのでしょうけど、

AというプロセスがBという目標達成を支援するというコントロールになるかならないかということは、経営者の意図とは関係のないところに存在するように思いました。。。

どうでしょうかね。。。

Posted by: 丸山満彦 | 2007.12.31 01:48

>>閑人さん、年末押し迫ったときにコメントありがとうございます。。。

文字通り閑ですから（仕事では願望ですが）。
おかげさまで、議論も煮詰まってきましたね。

>>AというプロセスがBという目標達成を支援するというコントロールになるかならないかということは、経営者の意図とは関係のないところに存在する
<<

事実としてそういうことは多々あるので、考え方の整理の違いか、コントロールの定義の違いだと思われます。
コントロールはあくまでも経営者の認識したリスクを経営者が軽減させるという意図で導入した手続と考えるのが小生の考え方、つまり「統制するのは経営者、統制されるのは財務報告上のリスク」で、統制を主語と目的語との関係で捉えたものです。その範囲外になるものは「ただの手続」です。

この考え方ですと、経営者の意図しないコントロールがあるとする考え方には、次のような疑問が出ます。

１．経営者の意図しないコントロールの主体は？
２．経営者の意図しないコントロールで不備があった場合にその責任所在は？
３．監査人は経営者の意図しないコントロールの不備を「不備として指摘」できるか？換言すれば、経営者の意図しないコントロールは、デザインの有効性評価の段階でコントロールとして採り上げられる事はあり得ないので、経営者と監査人とで全く違うコントロールデザインを評価対象とすることがあり得るのか？

特に３の問題は、IT全般統制があまり有効でないことが始めからわかっている会社において、それを与件とした経営者評価や監査人監査の方法を認めうるか、それとも、より理想的状況に改善させることを監査人はあくまでも要求しなければならないのかという議論に通じてきますね。

---
この１年、貴殿にもお付き合いいただき大変感謝です。とても勉強させていただきました。
来年もよろしくお願いします。どうぞよいお年を。

Posted by: 閑人 | 2007.12.31 14:53

閑人さん、あけましておめでとうございます。ことしもよろしくお願いします。。。

最初に指摘したかった論点とはずれていますが、おもしろいのでこのまま続けてみます。。。

閑人さんの言いたいことは十分にわかっているんですよ。。。
統制の範囲についての定義の違いですよね。。。

＝＝＝＝＝
・購入した会計システムは、他のシステムからデータを受け入れる場合に受け入れ可能なデータ形式であることを確認するという「手続A」がある。
・会社の人は、このような「手続A」があることはまったく知らない。
＝＝＝＝＝
の場合に、この「手続A」を統制（コントロール）と言うか言わないかということですね。。。

データはコントロールされている。
でも、経営者がコントロールしているのではない。プログラムを開発した人の意図によりコントロールされている。
そんな感じですかね。。。

ただし、閑人さんがいうように、「経営者の意図しないコントロールは、デザインの有効性評価の段階でコントロールとして採り上げられる事はあり得ない」のでキーコントロールになることはないので、２つの定義の違いは実質的に制度対応には影響しませんね。。。

「手続A」が統制だとして、たとえその統制に不備があったとしても、何の問題もないですよね。。。経営者は最初からその統制を知らずに別の統制で補完しているはずなので、。。監査人に指摘されても関係ないですよね。。。

　

Posted by: 丸山満彦 | 2008.01.01 20:28

あけましておめでとうございます。
引き続きよろしくお願いします。

私はもしかすると、「人と一体となって機能する統制」のことを言っているのでしょうか。

エディットバリデーションチェックとか、滞留リストが出るとか、「自動化された処理」はそれ自体は統制とは言わず、それを部品として導入して機能させ運用させることが統制になるわけですね。
自動化された会計処理手続も同様にそれ自体を評価対象とするというよりも、それをどのように用いてどう（リスク軽減に）役立っているかということの理解に基づき、必要性があれば統制の一部として評価することもあるのでしょうね----それ自体を評価対象とするよりも。（漸く冒頭の問いかけに戻れました。）。

Posted by: 閑人 | 2008.01.03 21:21

閑人さん、あけましておめでとうございます。本年もよろしくお願いします。

IT業務処理統制ってどこまで入るのかって定義をちゃんと見直して整理しないとだめなように思いますよね。。。

COSOをちゃんと読めば、COSOの世界では整理されているようにも思います。。。

Posted by: 丸山満彦 | 2008.01.04 16:10

＞＞IT業務処理統制ってどこまで入るのかって定義をちゃんと見直して整理しないとだめなように思いますよね。。。＜＜

仰るとおりです。
本日あらためてIT研究報告を読み直してみました。
「３全般統制のリスク評価」のところで、開発・変更などの管理が十分に整備運用されないことをリスクと定義していますが、これはリスクではなく単なる統制の整備不良ということではないでしょうか。
また、リスクの定義が曖昧なので、「４統制目標」も「管理を適切に行う」となっていますが、これは統制目標になるのでしょうか。

リスクとは、プログラムやデータが改竄されるとか、権限のない人が関係のないメニュにアクセスできるとか、財務報告の適正性が成立しなくなる事象が発生する可能性を言うのだと思えるのですが、また、統制目標とはこれらのリスクを軽減することだと考えますが、いかがでしょう。

項を変えて議論してみませんか。

Posted by: 閑人 | 2008.01.05 13:12

閑人さん、コメントありがとうございます。
・2007.11.08 公認会計士協会 パブコメ ＩＴ委員会研究報告「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」（公開草案）
ですよね。。。
この点については、近いうちにブログにのせます。。。

Posted by: 丸山満彦 | 2008.01.05 18:12