2017年11月2日のエントリーでは、全社統制の構築および評価のポイントについてお伝えしましたが、今回はどのように評価を行ったらよいか実際に手が動かせるよう具体的な評価手続きについてお話しします。
内部統制の実施基準に定められている42の評価項目の内容は、記述が抽象的なものが多く、何を評価するのかが分かりづらくなっています。
よって全社統制の6つの基本的要素ごとに、評価手続きを整理し、すぐに使える評価手続きを説明します。
目次
全社統制の評価手続き~統制環境
はじめに全社統制共通の評価手続きの概要を説明します。
全社統制の評価では、会社全体を覆う仕組みが存在・明文化され、その仕組み通りに運用しているかを確認します。
簡単に言うと、規程等に明文化された会社全体のルール通りに業務を行っているか証拠を収集する手続きの事をいいます。
続いて全社統制の基本的要素のうち「統制環境」の評価手続きについて解説します。
「統制環境」とは、組織の気風を決定し、組織内の全ての者の意識に影響を与える基礎です。
他の基本的要素の土台になるといえます。
統制の例としては、行動規則、取締役会による監視機能、人事評価方針等があります。
それでは実際の評価項目および評価手続き例を以下の通り挙げます。
(評価項目)
経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
(評価手続き)
倫理規程を閲覧し、倫理に違反する行為を行う従業員には罰則ルールがあることを確認する。
証憑を閲覧し、違反行為の内容を全従業員へ周知し、会社は再発防止に努めていることを確認する。
ここでは、会社の倫理的価値観を倫理規程という形で示し、従業員に遵守させないと従業員が倫理に反する行為を行う可能性が高くなります。従業員の違反行為により会社は社会的責任を取ることにもなり、財務数値に影響がでてきます。
また会社が倫理的価値観に対する教育を行っているかを評価するのも1つのポイントです。
全社統制の評価手続き~リスクの評価と対応
2つ目は「リスクの評価と対応」の評価手続きを見ていきます。
「リスクの評価と対応」とは、組織目標の達成を妨げる要因をリスクとして識別し、そのリスクへの対応を行うことです。
会社として発生可能性があるリスクを認識し、どのように対応しているかがポイントとなります。
実務的には、会社によってはリスクマネジメント委員会等を開催し、適切な階層の管理者を参加させてリスクの評価と対応を行っています。
統制の例としては、リスク管理方針等があります。
評価項目および評価手続き例は以下の通りです。
(評価項目)
経営者は、組織の変更やITの開発等、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを整備し対応しているか。
(評価手続き)
経営会議の付議書を閲覧し、内部統制に関連する重要な業務プロセスの変更について変更に係るリスクを評価し、経営会議に付議されていることを確認する。
例えばシステム変更により、受注プロセスといった重要な業務プロセスが変更になると仮定します。
現場はオペレーションを誤るリスクがあり、財務報告を誤る可能性も高まります。
いかにそういったリスクを洗い出し、オペレーションを誤らないよう会社が対策をとっているかがポイントとなります。
全社統制の評価手続き~統制活動
3つ目は「統制活動」の評価手続きです。
「統制活動」とは、経営者の命令および指示が適切に実施されるよう定められた全社的なルールを言います。
統制の例としては、職務分掌や職務権限の明確化、職務権限や職責の適切な分担等が挙げられます。
評価項目および評価手続き例は以下の通りです。
(評価項目)
経営者は、信頼性のある財務報告の作成に関し、職務分掌を明確化し、権限や職責を担当者に適切に分担させているか。
(評価手続き)
職務権限一覧を閲覧し、職務権限や承認権限が定められていることを確認する。
稟議書を閲覧し、職務権限一覧に則り稟議書が決裁承認されていることを確認する。
職務権限や承認権限は、一般的にどの会社も定めているので一見当たり前の統制のように見えますが、こういった全社的なルールがないと、経営者が誰に何を指示をしてよいかわからず、従業員も適切なオペレーションができません。
また証憑を収集してみると決裁権限のない人が承認していたというケースがよくあり、権限自体が従業員に周知されていないこともあります。
よってルールを定めただけではなく、ルールが従業員に周知され、ルール通りに決裁されているか証憑を確認することが意味のある評価となります。
全社統制の評価手続き~情報と伝達
4つ目は「情報と伝達」の評価手続きです。
「情報と伝達」とは、必要な情報が組織内外の関係者に正しく伝えられることを言います。
いかに有効な内部統制があっても、必要な情報が伝達されなければ内部統制は機能しません。
統制の例としては、内部通報制度の構築、財務報告の作成に関する経営者の方針つまり経理規程等を周知させるための体制等があります。
評価項目および評価手続き例は以下の通りです。
(評価項目)
内部通報の仕組み等、通常の報告経路から独立した伝達経路が利用できるように設定されているか。
(評価手続き)
内部通報規程を閲覧し、内部通報は内部監査室長、外部では弁護士事務所に通報できる仕組みがあること、規程が社内のイントラに公開されていることを確認する。
従業員が不正等に関する情報を得た場合、企業に適切に伝達されるためには通常とは違った報告経路が設定されているかがポイントです。
またいつでも通報できるよう、通報先が従業員に周知されているかどうかを確認することも必要です。
全社統制の評価手続き~モニタリング
5つ目は「モニタリング」の評価手続きです。
「モニタリング」とは、内部統制が有効に機能していることを継続的に評価することです。
簡単に言うと、第三者による客観的評価となります。
具体例としては、内部監査部による独立的評価、現場による日常的評価の仕組み等になります。
評価項目および評価手続き例は以下の通りです。
(評価項目)
日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
(評価手続き)
日報を閲覧し、従業員による業務課題が記載されていること、上長がコメントを残し、日常的モニタリングの仕組みが整備されていることを確認する。
日常的評価つまり日常的モニタリングとは具体的に何を行うのかお客様から聞かれることがよくあります。前述のように日報等を使用し、日々の業務に潜在的リスクがないか第三者である上長が確認するやり方は実務的かつ実効的な一例となります。
全社統制の評価手続き~ITへの対応
最後は「ITへの対応」の評価手続きです。
「ITへの対応」とは、企業グループ全体のITに対する管理方針をいいます。
経営者のITに関する方針として情報セキュリティポリシー等の策定、内部統制の統制種別であるIT全般統制およびIT業務処理統制についての文書等が具体的な統制例となります。
評価項目および評価手続き例は以下の通りです。
(評価項目)
経営者は、ITに関する適切な戦略、計画等を定めているか。
(評価手続き)
IT投資計画を閲覧し、当年度のシステム導入計画が定められていることを確認する。
または年次予算を閲覧し、ITに関する保守費用が予算化されていることを確認する。
ITの戦略があるかという点で、システム導入予定がない限りこれを作成するのは一般的ではありません。こういった場合、年次予算の中にITに関する保守予算が含まれていることをもって会社がITを重視していると評価できます。
以上が全社統制の実践的な評価手続きとなります。
今回お伝えしたのは、ほんの一例です。後は皆様の会社の実態にあわせて従業員が主体的に内部統制に取り組めるような仕組みを構築し、実効的な評価を行うことが重要です。
まとめ
全社統制の評価手続き~統制環境について
統制環境とは、組織の気風を決定し、組織内の全ての者の意識に影響を与える基礎
(評価手続き)
・倫理規程にて、倫理に反する行為があった場合は罰則ルールがあることを確認
全社統制の評価手続き~リスクの評価と対応について
リスクの評価と対応とは、組織目標の達成を妨げる要因をリスクとして識別し、そのリスクへの対応を行うこと
(評価手続き)
・経営会議付議書にて重要な業務プロセスの変更が付議されていることを確認
全社統制の評価手続き~統制活動について
統制活動とは、経営者の命令および指示が適切に実施されるよう定められた全社的なルール
(評価手続き)
・職務権限一覧にて職務・承認権限が定められ、稟議書が稟議決裁されていることを確認
全社統制の評価手続き~情報と伝達について
情報と伝達とは、必要な情報が組織内外の関係者に正しく伝えられること
(評価手続き)
・内部通報規程にて内部および外部では弁護士事務所に通報できる仕組みがあることを確認
全社統制の評価手続き~モニタリングについて
「モニタリング」とは、内部統制が有効に機能しているのを継続的に評価すること
(評価手続き)
・日報にて従業員が記載した課題を上長が閲覧し日常的モニタリングの仕組みがあることを確認
全社統制の評価手続き~ITへの対応について
「ITへの対応」とは、企業グループ全体のITに対する管理方針
(評価手続き)
・IT投資計画にて当年度のシステム導入計画が定められていることを確認
・年次予算にてITに関する保守費用が予算化されていることを確認
