継続的な評価の実践に向けて

更新日: 2008/10/17
公開日: 2008/10/07

通知

J-SOXの適用初年度に突入したが、3月決算企業の中でも対応作業が遅れている企業も少なくないようだ。特に新興市場の会社に内部統制体制の未整備が目立ち、4分の1程度に初年度に重要な欠陥が残ると懸念されている。そして本年度の制度対応に対する一定の目処がついた後、見えてくるのが継続的な取組みについての課題だ。それは例えば、「評価をいかに効率的に実施するか」、「組織変更等の環境変化にいかに柔軟に対応するか」などになる。監査法人トーマツの丸山満彦氏による講演では、継続的な制度対応、評価のポイントなどが説明された。

通知

初年度の内部統制監査において想定される事態

監査法人トーマツエンタープライズリスクサービス部パートナー　丸山満彦氏

　セッションの冒頭、トーマツの丸山光彦氏により紹介された各種調査によれば、少なくない企業で内部統制対応プロジェクトの進行が遅れ気味のようだ。たとえば日本総合研究所が出した資料には、本年4月現在で文書化作業中の3月決算企業が約30％あった。

　特に、これまで内部統制の体制がそれほど整備されていない新興市場の会社に遅れが目立つ。もちろん、上場時に整備したはずなのだが、その後会社が成長し、業態が変化する中で内部統制がおろそかになっているケースもある。日本監査役協会のアンケート調査によると、監査役は新興市場の4社に1社程度、重要な欠陥が残ると想定しているらしい。

　会計士や税理士向け専門誌「経営財務」において、企業会計審議会の臨時委員である町田祥弘氏が、重要な欠陥についての米国の事例を分析している。項目には統制環境、方針及び手続き、人材、職務分掌、経理処理、会計処理があるが、報告された件数を見ると会計処理、経理手続き、人材が突出している。やはり、決算財務報告プロセス関連の部分が重要だということだ。

　人材では、経理手続き又は会計処理に関する知識、経験のある人材の不足又は不在が欠陥とされている。日本の10倍の会計士がいる米国ですら、そうなのだ。

内部統制報告制度導入後の課題対応のポイント

　初年度を終えた後、継続的に制度対応する上での課題は、評価の効率化と、変化への対応だ。

　日本総研の最近の調査では、決算財務報告に係わる内部統制の文書化本数や、決算財務報告以外のプロセス数、IT全般統制の評価項目数が報告されている。そして全般的に、現在のプロセス数は、自ら妥当と考えている数より多いと考えられているようだ。

　それでは項目数を絞り、内部統制報告制度への対応を効率的に行うためには、どのようなアプローチが必用か。丸山氏が挙げた考え方のポイントは次の四つだ。評価する業務プロセスの数を減らす。業務プロセスあたりの評価するコントロールの数を減らす。コントロールあたりのサンプル数を減らす。そして最後に作業を効率化する。

　業務プロセスや評価コントロールの数を減らすための手法には、両者の標準化・共通化がある。標準化しておけば評価対象が増えても、評価単位は一つで済む。そのために米国では、ほとんどの企業がERPを導入しているが、日本では30％程度しか入っていない。

　そしてキーコントロールへの集中も、業務プロセスあたりの評価コントロール数を減らす手法だ。今回の制度では、すべての内部統制を網羅的に識別する必要はく、識別した内部統制についてすべて運用評価しなくてもいい。評価しなければならない部分は、識別されたそれぞれの統制活動の実在性、網羅性、正確性、期間帰属に関する部分で、重要な虚偽記載が無いと経営者が判断するような内部統制があればいいのだ。

　コントロールあたりのサンプル数を減らす手法としては、高次コントロールへの依拠がある。たとえばイベント単位の担当者レベルよりも高次の課長レベルの日次コントロール、さらに上の部長レベルの月次コントロールに依拠すれば数が減る。逆に高次のコントロールに不備があっても、下位のコントロールが有効であれば、重大な欠陥にならないとも言えるので、柔軟な対応も必用だ。作業を効率化することではITの活用がポイントだ。以前は各種記録を手作業で分析し、評価していたのをITで自動化し、必要な部分だけを抜き出して管理する。ムラがないというのがITの特徴で、ある程度パターンを押さえた上での内部統制が有効であれば、毎回きちんと同じ処理をしてくれるので安心できる。パターンで漏れがないかのチェックは重要だが、2年目以降の評価が楽になる。

　変化への対応も準備しておく必要がある。たとえば新規事業立ち上げの都度、新たに文書化するのは負担だ。そこで可能な限り標準化した業務プロセスを作成しておき、新しい事業でも使える仕組みにしておきたい。企業の合併、買収でも同様だ。

　また、事前に相手の内部統制の状況を確認しておきたい。つまり、企業価値の中に内部統制も入ると考えるべきだ。

継続的な内部統制報告制度への対応を真剣に考えよう

　100プロセスを文書化し、1プロセスあたり5つのキーコントロールがあり、キーコントロールあたり10サンプルを評価し、1サンプルあたり30分で評価する場合、運用の評価だけで2500時間かかる。実施時期は、3月決算の会社の場合では9月ごろから始まり、翌年1～2月にまとめることになる。そう考えると、適切なリソース配分の重要性が分かる。

　そこで丸山氏は「効率化は喫緊の課題」と強調する。一方、会計士は効率化には興味が無く、あれこれも行った方がいい、と言いがちだ。確かに今回の内部統制報告制度への対応は金と手間がかかり、企業に大きな負担を強いている。

　その一方で丸山氏は「企業の競争力を強化するための一つのきっかけになりうる」とし、最後に「前向きに対応することが重要」とのメッセージを発し、セッションを終了した。

この記事は参考になりましたか？

印刷用を表示

IT Compliance Reviewスペシャル連載記事一覧: コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（後編）

PCI DSS最前線～全米が注目するセキュリティガイドラインを俯瞰する（後編）

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること（前編）

もっと読む

この記事の著者: EnterpriseZine編集部（エンタープライズジンヘンシュウブ）

「EnterpriseZine」（エンタープライズジン）は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事