こんにちわ、ゲストさん

ログイン

内部統制:業務プロセスの文書化とCAAT(コンピュータ利用監査技法)の導入について

国際ビジネスレポート 内部統制
川島 肇

川島 肇

無料

2015年8月13日


1.内部統制の目的と基本的要素について

激変するビジネス環境へ一瞬の気を許すこともできない中国で仕事をしていく中で、「果たして日々のオペレーションは正しく行われているだろうか?」「月次報告の営業利益や在庫の数字は正しいのか?」と不安を抱きながら、会社の業績数字に目を通している経営者の方もいらっしゃるのではないでしょうか。目に見えない問題(リスク)がその許容量を超える前に、真の内部統制構築のアプローチとして「業務プロセスの文書化」と「CAATの導入」について検討してみては如何でしょうか。

最初に「内部統制」の言葉の定義に触れたいと思います。

会社法と金融商品取引法(J-SOX法)の相次ぐ施行に伴い、平成20年度からは上場企業に内部統制報告制度が義務付けされました。その対応に一段落した現在、法令準拠の観点から「内部統制」を強制的に整備するのではなく、組織が自らの目的を達成する為に、自主的に内部統制の構築と運用を手掛ける段階に入ってきました。各企業が置かれた環境や事業の特性により、「内部統制」をどのように整備し運用するかは異なって来きますが、J-SOX法に定められる「内部統制」の目的とその基本的要素をここで再確認したいと思います。

J-SOXでは内部統制の目的に①業務の有効性及び効率性、②財務報告の信頼性、③業務活動に関わる法令等の遵守、④資産の保全の四つを挙げています。この内②の財務報告の信頼性については、自ら評価して報告する事が求められています。

そして、内部統制は下記に示す六つの基本的要素から構成されており、目的を達成するためには、基本的要素が組み込まれた業務プロセスを整備・運用していく必要があります。

①統制環境 (企業の社風を決定し、他の基本的要素の前提となる要素)
②リスク評価と対応 (組織目標を阻害する要因、リスクの大きさ、発生可能性、頻度等を分析し目標への影響を評価)
③統制活動 (日常業務のプロセスで職務分掌や相互牽制に関わる方針や手続) ④情報と伝達 (情報の識別、把握、処理とその正しい伝達)
⑤モニタリング (内部統制が有効に機能しているかを継続的に評価するプロセス)
⑥ITへの対応(組織が活動する上で必然的に関わる内外のITの利用状況)

これらの内部監査のフレームワークの発祥の地は米国で、それを日本へ導入してきたものですが、その本家の米国では2013年に内部統制のフレームワークが大きく改正されました。②の目的の定義「財務報告の信頼性」からは「財務」が外れ、「外部報告資料」ではない「経営者が適切な意思決定する際の内部報告用資料」なども含まれるようになりました。又、基本的要素では、その定義自体は改定されませんが、基本的要素(第一階層)が、原則(第二階層)、着眼点(第三階層)へと階層化され、それぞれに具体的な記述がなされました。その中身はここでは省きますが、内部監査部門が被監査部門へ指摘事項を伝える際、その根拠条項を示す事が容易になったと考えられます。

2.内部統制の構築へ向けた文書化

次に内部統制の基本要素「統制活動」の視点から、日常の管理業務を見ていきます。仕入に関連していえば仕入先管理→発注管理→検収管理→支払管理の流れ、販売で言えば得意先管理業→受注業務→出荷業務→入金業務の順です。それぞれの職務につき担当者がいて、必要に応じて承認、検収、記録等が行われますが、これらは社内規程や作業マニュアルに基づいて行っている業務です。従来の内部監査では、管理業務が業務規程通りに行われているかを記録や文書の閲覧、実査、現場の観察、質問等の判断材料で判定するという「準拠性監査」を実施してきました。拠点をまんべんなく回る巡回監査のスタイルが主流でした。

このように従来型の内部監査では、個々の管理業務に対し現行規定が正しいという前提で規程違反を指摘する監査を行ってきましたが、企業が生き残る為には内部統制の構築が不可欠とまで言われている昨今、内部監査が求められる役割と責任は確実に広がってゆくと考えられています。いままでの準拠性監査の範囲に留まらず、業務プロセスで想定されるリスクを低減するのに必要な規定がそもそもちゃんと存在しているのか、且つ有効に運用されているかを評価する所まで求められるようになってきました。J-SOX法に対応する為に作成する業務プロセスの文書化は、その役割を理解する重要なポイントとなります。

文書化する資料は、業務フローチャートと業務記述書とリスク・コントロール・マトリクスの三点です。業務フローチャートと業務記述書はたとえ完成型が存在しないまでも、補足資料によりその存在が確認されるものですが、リスク・コントロール・マトリクス(以下、RCM)は新たに作成する必要のある資料です。下記にサンプルの雛形を添付しましたが、適切な財務諸表を作成するための要件として六つアサーションという観点が入って来ています。RCMには業務プロセスに存在するリスクはもれなく識別する必要がありますので、その為には業務フローチャートと業務記述書を利用して、業務プロセス自体をより深く理解する必要があります。このRCMの作成を通して、内部統制の構築を具体的に進めていく事が狙いとなります。

<リスク・コントロール・マトリクス(例)>

原稿


3.CAAT導入の検討

最後にCAAT導入の検討について説明します。CAATはコンピュータ利用監査技法(Computer Assisted Audit Techniques)の略称です。IT(情報技術)を利用し、データ分析により監査を行う手法ですが、その特徴はサンプリングの手法を使わずに網羅的な分析が可能になる事にあります。

内部統制の現場ではこのCAATの導入を検討する環境が整いつつあります。企業は業務の効率化を図るためにERPパッケージの導入を進め、監査に必要となる資料もデータとして保存されるようになってきました。IT技術の発達に伴い、異なったデータの受け渡しも簡単になり、データを分析するツールの性能や使い勝手も格段の進歩を遂げてきています。

又、CAAT導入する事により、その導入の検討を通じてデータベースの構造と項目の意味を理解する事で、業務プロセスの理解度が深まるようになります。さらに、実際に必要なデータを分析することでデータの活用方法のスキルを磨く事ができ、データ分析ツールの習熟により分析方法の種類も増えて、内部監査自体のレベルアップにも役立つような副次的なメリットもあります。

ここで改めてCAATのメリットについて、以下の五点を挙げます。

①発生頻度の低い異常取引、金額が少額の異常取引であっても、大容量のデータの中から条件を指定する事で検出が可能となる。企業の不正摘発に対する積極性をアピールすることになり、不正の抑止力として作用することが期待される
②網羅的なデータ分析を利用し、リスクの洗い出しとRCM上のキーコントロールの設定を行う事で内部統制の発見的コントロールを強化できる
③コンピュータの利用で、手作業の監査手続の工数削減(効率性)、操作手順を定型化することによる客観性の確保(属人化の排除)が見込める
④スクリプトの活用で分析作業を自動的に記録し、その作業を繰り返すことで、監査業務の品質と一貫性を強化することが可能となる(監査専門ソフトで作業した場合)
⑤継続的なモニタリングにより、潜在的な問題が表面化する前に問題を解決することができる環境が得られる

但し、CAATを導入しただけで全ての問題が解決する訳ではありません。CAATの限界について整理しておきます。
・紙面の情報でデータ化されていないものは分析対象として使えない
・分析シナリオが適切でなければ、不正の兆候等は正しく検出されない
・今まで発生していない想定外のリスクへの対応は難しい
・大量のデータ容量では、監査ソフトによっては短時間で処理できないケースがある

過去の不祥事のケースでは、内部統制の構築と運用だけでは限界がある事を証明しています。残存するリスクに対してCAATの継続的モニタリングを行う事は有効な手段となります。

以上

フリーモント ビジネスソリューション
川島

ユーザー登録がお済みの方

Username or E-mail:
パスワード:
パスワードを忘れた方はコチラ

ユーザー登録がお済みでない方

有料記事閲覧および中国重要規定データベースのご利用は、ユーザー登録後にお手続きいただけます。
詳細は下の「ユーザー登録のご案内」をクリックして下さい。

ユーザー登録のご案内

最近のレポート

ページトップへ