内部統制の文書化のアプローチと意義

内部統制の構築と評価では少なからず文書化という作業が発生します。それは、内部統制の整備状況を可視化することで、内部統制の有効性に関する評価が実施できる状態となるからです。

先週、内部統制の研修会の講師をする機会があり、初任者の方が内部統制の文書化ツールの操作を習得するのに先立って、私は内部統制の基本的枠組みから文書化、評価の基礎レベルの解説を担当しました。

その中で特に時間を割いたのが、内部統制の文書化のアプローチや意義についてです。

232:365

内部統制の文書化のアプローチ

財務報告に係る内部統制の評価及び監査に関する実施基準において、業務プロセスに係る内部統制の構築プロセスでは、次のように内部統制の整備状況を把握し、記録・保存する(すなわち文書化する)としています。

a.組織の重要な各業務プロセスについて、取引の流れ、会計処理の過程を、必要に応じ図や表を活用して整理し、理解する。
(財務報告に係る内部統制の評価及び監査に関する実施基準I5(2)②より引用)

一般に、ここにおける図表が「業務フロー」や「業務記述書」を指します。
実施基準では、これに続いて次のように記載されています。

b.これらの各業務プロセスについて虚偽記載の発生するリスクを識別し、それらのリスクがいかなる財務報告又は勘定科目等と関連性を有するのか、また、識別されたリスクが業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか、必要に応じ図や表を活用して、検討する。
(財務報告に係る内部統制の評価及び監査に関する実施基準I5(2)②より引用)

ここの図表がいわゆる「リスク・コントロール・マトリクス(RCM)」に該当します。

この実施基準における内部統制の文書化に関する記載順序(業務プロセスの可視化→リスク・コントロールの可視化)には大事な意味が隠れていると、私は思っています。
それはリスクは業務が遂行されることによって発生するものであり、また、コントロール(内部統制)は業務を通じてしか実行されないということです。

つまり、内部統制の文書化はまず業務プロセスの可視化ありきなのです。

世の中にリリースされている内部統制の文書化のツール(文書管理のツールではありません)の設計思想もこのアプローチに沿ったものとなっています。つまり、ツールではリスク・コントロール・マトリクス(RCM)は文書化の結果として出力されるレポートにすぎません。

内部統制の文書化の順序が変わると

しかし、業務フローの作成という行為は、その効用よりは作成負荷の方が疎まれることが多く、また、内部統制の文書化でも結局、監査では何のドキュメントが重視されるのか?という制度対応に偏った見方をされることがありました。

このような見方をした場合の、内部統制の文書化のアプローチは、上記の実施基準になぞらえると次のようになります。

評価対象とした各業務プロセスについて虚偽記載の発生するリスクを識別し、それらのリスクがいかなる財務報告又は勘定科目等と関連性を有するのか、また、識別されたリスクが業務の中に組み込まれた内部統制によって、十分に低減できるものになっているか、必要に応じ図や表(例えば、RCM)を活用して、検討する。
その上で、これらの各リスクと内部統制について、業務上どこで発生するリスクなのか、また、内部統制はどのように業務に組み込まれているのかについて、必要に応じ取引の流れ、会計処理の過程を図や表(例えば、業務記述書や業務フロー)を活用して整理し、理解する。

両者の違いは、後者では、業務フローなどはリスク・コントロール・マトリクス(RCM)を理解するための補完文書にすぎないということです。

このアプローチをとった場合の典型的な内部統制の文書化の方法は、監査で重視するリスク・コントロール・マトリクス(RCM)を表計算ソフトで作成し、関連する業務フロー(および業務記述書)を好みのツール(ドローイング/表計算/ワープロソフト)で作成するといった方法をとります。

後者のアプローチのように、業務プロセスの可視化をせずにリスク・コントロール・マトリクス(RCM)を作成するには、会社の業務の流れを頭の中で思い浮かべることができないといけません。会社の業務に精通した人でないと難しいアプローチです。

内部統制の文書化ツールを使う意味

どちらのアプローチも内部統制の文書化として、最終的には業務フロー、業務記述書、RCMの3点セット(ないしは業務フロー、RCMの2点セット)を作成します。ツールもドローイング/表計算/ワープロソフトなどバラバラに好みのツールを利用しても問題ありません。

しかし、後者のアプローチの場合、業務フローは監査対応以外に利用されることはまずありません。なぜならば、業務フローがリスク・コントロール・マトリクスの補完資料にすぎないため、業務改善などで現状分析に使用するには粒度が粗いからです。

また、3点セットで作成する場合、業務を理解するためには、業務フローと業務記述書の二つのドキュメントを照らしあわせながら見ないといけないため、同じく業務改善などで現状分析に使用するには使い勝手が悪いのです。

さらに、補完資料であるがゆえに、業務運用の変更があっても、リスクとコントロールに影響がなければ業務フローの変更は行わない/行う必要がないと判断される可能性が高く、結局のところ、業務改善などの現状分析で使用する文書としては粒度が粗いということに繋がります。

私が内部統制の文書化ツールの使用をおススメしているのは、ごく自然に、業務フローを中心として、内部統制構築および評価作業を進めることができるからです。

また、業務フローを作成し、そこにリスクとコントロールを埋め込むことで、リスク・コントロール・マトリクスが自動出力されることや、3点ないし2点セットといった文書間の整合性も自動的に確保してくれますので、単なる文書化作業の時間を減らし、より付加価値の高い業務に従事する時間を作り出すことができるからです。

内部統制の文書化の意義

内部統制の構築・評価のプロセスにおいて、最低限の文書化作業はしなければいけないのであれば、文書の作成および維持管理は効率的に行いたいと思うものです。研修会では内部統制の文書化の意義について、あらためて確認をすることによって、その組織的な取り組みの重要性を認識してもらいました。

以下に、列挙してご紹介します。

  • 役割と責任が明確になり、それによって、経営管理における実務、方針および手続の統一的な遵守を図ることができる。
  • 新規雇用や異動した従業員の研修に役立つことに加え、既存の従業員にも内部統制を再確認し、参考にする機会を提供することができる。
  • 内部統制が実施された証拠を提供し、適切なモニタリングを可能とする。
  • 監督官庁や監査人といった外部関係者によって評価される場合に、内部統制の有効性に関する報告を裏付けることができる。
  • 組織的に情報が保存されることによって、一部の従業員のみで情報が把握されるリスクを低減することができる。
  • 業務の有効性と効率性を高めるための現状分析資料として使用することができる。

これらを通じて言えるのが、内部統制の構築・評価で作成したドキュメントは会社の資産として活用することができるということです。冒頭に二つの文書化アプローチを解説しましたが、文書化の意義を考えれば考えるほど、業務プロセスの可視化を内部統制構築・評価の中心におくアプローチの有用性が見えてきます。

The following two tabs change content below.

Akiyoshi KANEKO

業務プロセスを可視化(モデル化)し、その可視化されたドキュメントを中心においてプロジェクトを推進するアプローチを提唱している。経理・財務分野を主な専門領域として、業務プロセスの改善やシステム構築、組織体制の整備に関するコンサルティングに従事。プロジェクト現場では、「お互いの仕事を理解する」「現状の課題を共有する」「考えていることを相手に伝える」「新しいしくみを共有し実行まで落とし込む」よう関係者間の橋渡し役として活動する。著書『内部統制評価にみる「重要な欠陥」の判断実務』『阻害要因探しから始める決算早期化のテクニック』
スポンサーリンク
Ads by Google
Ads by Google

シェアする

  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存

フォローする

スポンサーリンク
Ads by Google