Definition
ウォークスルーは1件しか追わない手続。ところが現場の調書を見ると「3件追跡した」と平然と書いてあるチームが多い。これはウォークスルーではなく、半端なサンプリングだ。監基報315.32が要求しているのは、実取引1件を発生から記帳まで通しで観察することで、設計された統制が紙の上ではなく実際に存在しているかを確かめる作業。複数件をなぞる手続にすり替えた瞬間、評価手続としての意味は失われる。
主要なポイント
> - 業務記述書と現実が一致しているかを、1件の実取引で確認する。 > - 評価段階の手続。実証手続でも統制検証テストでもない。 > - 監基報315.32の要件を満たす最も直接的な方法。ただし深追いするとスコープ・クリープを起こす。
仕組み
監基報315.32は、監査人が「組織の内部統制の設計の有効性を評価する」ために「ビジネス・プロセスにおいて設計された統制の運用を観察」することを求めている。ウォークスルー・テストはその要件を実装する標準的な手段。
手順そのものはシンプル。被監査会社から実取引を1件選ぶ。営業担当が注文を受けたところから、在庫システムでの引当、請求書の発行、仕訳計上まで、その1件がシステムを通って流れていく様子を順に追う。各段階で証拠を確認する。設計者やプロセス担当者へのヒアリングだけで済ませない。実際の記録物に必ず突き当てる。
この手続の目的は、統制が「存在するか」を確かめること。「有効に運用されているか」までは確認しない。そこは実証手続と統制検証テストの守備範囲。ウォークスルーで出る結論は2通り。設計どおりに統制は存在しており、サンプル検証に進める。あるいは記述と現実が乖離しており、リスク評価を修正する必要がある。
監基報315.A95が示す不整合の例。記述には「すべての請求書は二重チェックを受ける」と書かれているが、追跡してみると自動承認されていてマニュアル統制は存在しなかった。あるいは権限のないユーザーIDで承認が通っていた。この段階で、実証手続のサンプルサイズを増やすか、別の統制検証を追加するか、リスク評価そのものを書き直すかを判断する。
ここで強調しておきたい。ウォークスルーは「数件」ではなく「1件」。複数取引を浅く確認する手続は、定義上ウォークスルーから外れている。複数件を「確認した」と書いた瞬間、その手続は別物になっている。
実務例:タナカ工業株式会社
会社:日本の中堅機械部品製造業、売上7億円、IFRS報告
対象プロセス:販売・回収サイクル
ステップ1:取引の選定: 3月15日付で田中工業が部品セットを青森県の自動車部品サプライヤーに販売した取引(金額280万円)を選定。販売データベースから請求書番号と伝票番号を控える。日付と金額が契約書と帳簿に整合していることを最初に押さえる。
調書ノート:取引特定の根拠を残す。請求書番号、伝票番号、契約金額の3点で識別。
ステップ2:営業段階の確認: 営業担当者にヒアリング。発注経路(電話、メール、EDIのどれか)と社内の注文確認プロセスを聴取。設計上の統制は「すべての注文は営業課長の確認署名が必須」。対象取引の注文確認書を実際に見て、署名者が営業課長本人であること、権限マトリクスと一致していることを確かめる。
調書ノート:注文確認書のコピーを保管。署名者を権限マトリクスと突合。
ステップ3:在庫システムでの処理: ITシステム管理者と一緒に画面を開き、対象取引が在庫システムでどう処理されたかをトレース。設計上、この金額帯の取引は自動的に「要確認」フラグが立つ仕様。フラグが立っているか、確認したユーザーIDは誰か、そのIDに承認権限があるかを順に押さえる。
調書ノート:システムログのスクリーンショットを保存。承認フローとユーザーID、権限マトリクスとの照合結果を記録。
ステップ4:請求書作成と記帳: 在庫引当から請求書への転記、販売日報、会計システムへの仕訳までを通しで確認。請求書番号、日付、金額、顧客コード、売上認識基準(引渡時点か検収時点か)。会計連携が自動かマニュアルかも記録。
調書ノート:請求書、販売日報、仕訳の3点突合。勘定科目、仕訳日付、金額の整合性を残す。
ステップ5:回収の確認: 入金状況を確認。回収日、金額、銀行通知書。売上認識日と回収日のタイミングがIFRS 15の要件を満たしているかを判定する。
調書ノート:銀行通知書のコピー。売上認識日と回収日の差分、遅延理由を記録。
結論:プロセス記述と実取引の流れは一致した。ただし在庫システムの「要確認」フラグは自動で立つだけで、その後の人的確認が形骸化するリスクがある。金融庁の2024年度モニタリングでも、自動統制に依存する場面での例外処理の見落としは繰り返し指摘されている論点。実証手続のサンプルサイズを当初の30件から50件に拡大することを決定。
監査人が誤解しやすい点
- 複数取引との混同: ウォークスルーは1件の取引の通しトレース。複数件を並走させた瞬間、それはシステム・テストか統制検証テストに変質している。監基報315.A95も「1件の取引」を前提に記述されている。正直、繁忙期に1件の追跡を真剣にやる時間が取れずに、サンプリングっぽく数を稼いでしまう気持ちは経験上わかる。ただ、それを「ウォークスルー」と呼ぶ調書は審査で必ず引っかかる。 - 実証的手続との混同: ウォークスルーの結論を「この統制は有効である」と書き切ってしまうケース。監基報315.32の文脈では、ウォークスルーは「統制が設計どおりに存在し、機能する可能性がある」までしか言えない。有効性の判定は実証手続と統制検証テストの仕事。記述と異なる運用が出てきたときに初めて、リスク評価の修正フェーズに入る。
関連する用語
- リスク評価手続: 監基報315.5で定義。ウォークスルーは「観察」「質問」「検査」の組み合わせ。 - 統制検証テスト: ウォークスルーよりも対象が広く、複数取引で統制の運用有効性を検証する手続。 - システム・テスト: ITシステムの機能を検証する手続。ウォークスルーで設計と実態の乖離が見つかった場合、設定確認のためにシステム・テストへ進むことがある。 - 内部統制の評価: 監基報315全体の目的。ウォークスルーはその目的に資する1手段に過ぎない。 - 取引の追跡: ウォークスルーの別名。日本語では「取引の追跡確認」とも呼ばれる。