内部監査部門における人材不足は多くの企業で課題となっています。加えて、不正リスクなどの質的重要性や情報の信頼性の検討など、内部監査部門に求められる業務が年々増えています。限られた人数で対応していくには、より効果的な効率化案を取り入れる必要があります。また、評価の効率化を検討するうえでは、より多くの成功事例を知ることが重要です。
近年、業務システムや国内外の拠点が新たに評価範囲の対象となるケースが増えています。今回の記事では、内部統制評価の作業負荷が大きいIT全般統制や業務プロセス統制、海外拠点における評価効率化事例をご紹介いたします。
目次
IT全般統制評価の効率化事例~評価項目の改善~
まずは、IT全般統制の評価効率化事例です。企業におけるITの活用が進む中、業務で使用されるシステムは多岐にわたります。また、業務プロセスにおけるIT統制の重要性が増しており、評価対象となるシステムが増加することで、評価作業負荷が課題となるケースが多くなっています。以下で、システムの開発や管理主体を考慮した評価効率化事例をご紹介いたします。
事例①:SOCレポートを使用した評価項目の簡略化
パッケージシステムを利用している場合、ベンダーが取得しているSOCレポートに依拠することで、アウトソースしている業務に関する評価工数を大幅に削減できます。SOCレポートとは、受託会社(ベンダー)の内部統制の有効性について、独立した監査人が評価・意見表明を行う報告書です。
(例)
・開発・変更管理(開発、テスト、本番移行の手順、変更管理など)
・システム運用(ジョブ管理、モニタリング、保守体制、障害管理など)
・アクセス管理(物理的アクセス管理、不正アクセス対策など)
企業側で従業員に付与するアクセス権限の承認・レビューなど、ベンダーの管理が及ばない統制は、SOCレポートへの依拠が難しいと考えられます。
事例②:システム管理主体の同一性を踏まえた評価調書の統合
共通のルールや手続に従ってシステムを管理・運用している場合、システム単位ではなく、管理する組織単位で、IT全般統制の評価を行うことが可能です。システムごとに評価していた評価項目(開発・変更管理、運用管理、アクセス管理など)を一体で評価することになり、評価作業の負担軽減に繋がります。
(例)
・親会社が管理しているシステムを複数の子会社が使用している場合
・下記評価項目の全般においてグループで共通の規程や方針に従って管理・運用されている場合
(システム開発・変更管理、運用管理、アクセス管理)
システム管理のルールが異なる場合(自社開発のシステムと、外部のSaaSベンダーのクラウドサービスなど)は、評価調書の統合が難しいことが考えられます。
業務プロセス統制の評価効率化事例~評価対象・評価方法の検討~
次に業務プロセス統制の評価効率化事例です。まず、評価範囲の検討に際し、プロセスに係る変化に着目することが大切です。プロセスの重要性に応じ、評価対象や評価方法を検討することで評価効率化に繋がります。
事例①環境の変化による対象外プロセスの検討
取引量が大幅に減少したなど、重要性に変化があった場合は評価範囲を見直し、プロセスの重要性を検証することが大切です。一時的な重要性の変化ではなく、財務報告リスクの重要性が継続的に低下したことが見込まれる場合、対象外にすることが可能です。
(例)
事業環境の変化:事業の縮小・撤退、市場環境の急な変化など
組織・経営構造の変化:組織再編や統合、外部委託(アウトソーシング)の利用など
システム・テクノロジーの変化:新システムへ移行、完全なペーパーレス化やRPA(ロボットによる自動化)導入など
通期を通して環境の変化が大きいプロセスについては、一時的な変動であることも考えられるため、慎重な判断が必要です。
事例②評価ローテーションの導入
継続的に内部統制の有効性に変化が無く、財務報告の信頼性に与える影響が低い場合、ローテーションを導入することで評価の負担を軽減できます。実際の導入事例をご紹介します。
(例)
業務フローに重要な変更がないプロセス: プロセスの担当者やシステム、手順に大きな変更がなく、安定して運用しているプロセス
定型的で反復性が高いプロセス: 毎月、毎週、あるいは毎日決まった手順で処理され、イレギュラーな取引が少ないプロセス
金額的重要性が低いプロセス: 財務諸表全体に与える影響が小さく、虚偽記載が発生しても重要な影響を及ぼしにくいプロセス
「フローに変更がない=リスクに変化がない」と判断せず、重要性の検討においては外部環境(例:取引先の変更、法令改正、市場縮小)や内部環境(例:担当者の異動、システムの移行)の変化、不正の兆候や懸念がないかなどの不正リスクも考慮することが必要です。
業務プロセス統制の評価効率化事例~キーコントロールの見直し~
業務プロセス統制は、キーコントロールの数に比例して運用状況評価の件数が増えるため、評価作業の負担が高い統制となります。その分、効率化ができれば、高い効果が期待できます。ここでは、キーコントロールの削減に着目した評価効率化事例をご紹介いたします。
事例①リスクアプローチによるキーコントロールの重複確認
キーコントロールの検討においては、財務報告リスクに焦点を当て、そのリスクを低減するための重要な統制を特定することになります。一つのリスクに対して、複数のコントロールが設定されている場合、特定したキーコントロールが十分に機能していれば、同じリスクをカバーする他のコントロールは、重要性を下げる、またはコントロールから外すことも可能です。
(例)
リスク:売上の架空計上 (アサーション: 実在性)
コントロール①:営業担当者による売上計上前の受注伝票と出荷指示書の照合
コントロール②:経理担当者による売上計上時の出荷データと請求データとの照合
実在性は、出荷(または役務の提供)の実績の確認が重要となるため、コントロール②がより重要性が高いコントロールになります。
また、コントロール①は同一部門内でのチェックとなるため、独立性の問題から重要性は低いと考えられます。
事例②IT統制の検討・設定によるマニュアル統制の削減
キーコントロールとなるマニュアル統制は、評価に多くの工数(サンプリング、証憑確認、文書更新など)が発生します。リスクに対してより重要なIT統制を設定することが出来れば、マニュアル統制を削減することが可能です。
(例)
マニュアル統制:営業担当者は受注時に、顧客の与信限度額と売掛金残高を手動で突合し、限度額を超過していないか確認する
IT統制:顧客マスターの与信限度額を超過する受注や出荷指示が入力された場合、システムが自動で警告メッセージを表示する
IT統制による与信限度超過の自動チェックにより、営業担当者のマニュアル統制の重要性は低くなり、コントロールの削減ができます。
システムへの入力そのものに誤りがあった場合など、IT統制では十分にカバーできないリスクが存在する可能性があります。その場合、誤謬や不正のリスクに対して、別の統制(例:定期的なモニタリングや担当者のローテーション)を検討することも必要です。
海外拠点の評価効率化事例~連結グループを意識した構築~
最後に海外拠点の事例となります。海外拠点の成長により、売上高などの「量的重要性」が増していること、海外特有の不正リスクの高さ(例:横領・利益操作)など「質的重要性」が重要視されていることから、J-SOX評価対象になるケースが増えています。評価においては、各拠点の事業環境や現地の商習慣などの深い理解が必要となります。また、現地言語の規程や証憑の確認のため、評価の難易度や評価工数の負担は一層高くなります。全社統制・業務プロセス統制において有効な評価効率化事例をご紹介いたします。
事例①親会社での管理・監督機能の強化による全社統制評価項目の削減
親会社が海外子会社の管理・監督を行い、監視機能を強化することで評価項目が減り、評価工数の削減に繋がります。
(例)
「経営者の理念・方針の浸透」「リスクの識別・評価」:グループ共通の経営方針やリスク管理方針が、海外子会社に定期的に伝達され、親会社の経営会議・リスク管理委員会などでモニタリングされている場合
「コンプライアンス遵守の体制」「不正リスク対応」:グループ共通の行動規範を定め、海外子会社を含む全社員に定期的な研修を実施している場合、また内部通報制度がグループ全体で機能している場合
事業環境が異なることにより基準や手続を一律に適用することが難しい場合は、グループのガバナンスが効きにくくなる可能性があります。現地の業務実態を把握した上で、慎重に管理・監督機能の強化を進める必要があります。
事例②グループ全体の統制基準を意識した複数拠点の文書統合
複数の海外拠点で共通した業務プロセスの統制活動を行っている場合、文書の統合が可能となります。各拠点で文書を作成・維持する手間が省けます。また、評価においても、複数の文書を確認する工数が削減されます。
(例)
・複数の拠点で同様の事業を営んでおり、会計処理まで似たフローで運用している場合
・複数の拠点でシステムや承認フローを共通して使用している場合
文書を統合する際には、財務報告に影響のある法規制や商習慣に起因する例外事項の考慮が必要となります。文書に補足として明記するか、別の文書として作成することが必要な場合があります。
内部統制評価効率化における留意事項
内部統制評価の効率化を進めるにあたり、評価の目的を再確認することが不可欠です。単なる作業の簡素化ではなく、限られたリソースをリスクの高い領域に集中させ、内部統制の有効性を高めることが求められます。
留意事項①評価効率化の経緯に関する文書化
プロセスの変更や簡素化を行った際は、その背景と理由を文書化することが重要です。なぜその変更を行ったのか、その判断が妥当であったかを後から検証できるようになります。また、担当者の異動や監査人からの質問があった場合にも、迅速かつ適切に説明をすることが可能です。
(例)
・目的と背景: なぜこのプロセスを効率化しようと判断したのか、その理由
・対象範囲: 効率化を行った具体的なプロセス名や業務内容
・判断基準: 効率化が可能と判断した具体的な根拠
・効率化による効果: 効率化によって得られるメリット
・関係者: 効率化の決定に際して関わった担当者、承認者
留意事項②継続的なモニタリング
評価効率化後も、その有効性を担保するためには継続的なモニタリングが不可欠です。例えば、評価対象外にしたプロセスや削減した統制において、異常な取引の発生や不正の兆候がないかなど、新たなリスクの発生を検証することが重要となります。
経緯の文書化と継続的なモニタリングを通じて、効率化されたJ-SOX評価の妥当性と有効性を常に検証することが重要です。これにより、環境変化などにも、即座に対応することができ、評価品質を向上することにも繋がります。
まとめ
内部監査部門における人材不足が課題となっている中、質的重要性や情報の信頼性の検討など、J-SOX評価の質を高める対応も求められています。そのためには、より多くの事例を知り、より効果的な効率化案を探し出すことが必要です。
■IT全般統制評価の効率化事例~評価項目の改善~
・SOCレポートに依拠することでアウトソースしている業務の評価工数を削減する。
・共通のルールや手続の同一性から個別システムの評価調書を統合する。
■業務プロセス統制の評価効率化事例~評価対象・評価方法の検討~
・環境変化により重要性の継続的な低下が見込まれるプロセスを対象外とする。
・重要な変更がなく、反復性や金額的重要性が低いプロセスに評価ローテーションを導入する。
■業務プロセス統制の評価効率化事例~キーコントロールの見直し~
・リスクアプローチにより他のコントロールと重要性を比較し、コントロールを削減する。
・IT統制を検討・設定することにより、マニュアル統制を削減する。
■海外拠点の評価効率化事例~連結グループを意識した構築~
・親会社の監視機能を強化することで、全社統制における評価項目を削減する。
・複数の海外拠点で共通した業務プロセスの統制活動を行っている場合は、文書を統合する。
■内部統制評価効率化における留意事項
・効率化後の検証や説明のため、評価効率化の経緯を文書化する。
・異常な取引発生や不正の兆候など、新たなリスクの発生の確認のため継続的にモニタリングする。
