以前は、不正会計といえば「売上の不正計上(架空計上や前倒し計上)」が代名詞のようになっていました。現在も、会計監査の世界においては、売上や売掛金は「特別な検討を必要とするリスクがある項目」として考えられています。
しかし、最近の傾向を分析すると、棚卸資産に関する不正会計が増えてきていることが分かります。具体的には、棚卸資産の集計データや原価計算の基礎データを不正に操作・改ざんして、棚卸資産を過大に計上するというものです。中には、棚卸資産の過大計上を通じて、数億円ものお金が着服されたケースも存在します。
内部統制の評価においては、ITの利用に関する内部統制についても評価することが求められています。これにより、プログラムの処理ロジック等を不正に操作するような事案は今のところ確認されていませんが、システムへのデータ入力の統制に重要な不備があった事案は確認されています。
<不適切なデータ入力やデータ改ざんに関する事例>
・単純に誤ったデータ(数値等)を入力してしまった事例
・入力権限者が本来入力すべきデータ(数値等)とは異なるデータを入力した事例
・意図的に取引自体を入力しなかった事例
・正しく入力されているデータを修正権限により事後的に改ざんした事例
このような問題が起きないように、通常ITシステムの運用にあたっては、アクセスコントロール(アクセス権限の適切な付与)が行われるケースが多いと思われます。ただし、このアクセルコントロールの運用にあたっては、以下の点に留意する必要があると考えられます。
・規模の小さい事業拠点や関係会社では、少ない人員数に合わせてシステム上の権限を割り当てることになるため、特定の個人に過大な権限が集中する可能性がある
・アクセスコントロールの整備・運用しただけでは、入力権限者が行う不正には対応できない(=承認者が不正を発見できなければならない)
この「承認者が不正を発見できるか?」という観点については、多くの企業でシステムによる処理結果を管理者が閲覧し正確性を検討して承認する発見的統制が構築されていると思われます。
しかし、このような発見的統制は、十分に時間をかけて処理結果を検討すれば異常値も検出することが可能かもしれませんが、意図的に通常の取引データに仮装した不正なデータを発見することは難しいと考えられています。
承認者による確認作業が、データの正確性に貢献する発見的統制となっているのか?という観点で、内部統制評価を見直されてはいかがでしょうか。
【参考資料】
「内部統制報告制度の運用の実効性の確保について」
(監査・保証委員会研究報告第32号 2018年4月6日 日本公認会計士協会)