業務プロセス統制における運用状況評価の効率化のポイント

先日の当ブログ日本内部統制研究学会第5回年次大会への出席報告でも触れましたが、株式会社ニイタカ監査室の方からの報告で、中堅中小企業にとって内部監査業務を効率化する目的は、効率化することで作り出された時間を現場業務への教育・指導にあてるということでした。

ではその目的達成の前提となっている、内部監査部門の業務の効率化はどのように取り組むのでしょうか。

今回は毎年実施され、比較的作業負荷の高い業務プロセスに係る内部統制の運用状況評価を例に考えてみます。

取り組みのポイントは2つです。

  • 定型業務の省力化&自動化
  • 属人的管理の排除

キーコントロールに関連する情報はデータベース化し一元管理する

リスク・コントロール・マトリクス(RCM)は監査資料の中心的なものであり、内部統制の評価にあたって必ず作成される資料ですが、そのRCMにどのような情報を管理しているでしょうか。ウォークスルーなど整備状況評価の結果として確定したキーコントロールが、反復継続的に運用されているかを評価することが運用状況評価の目的ですから、単にリスクとコントロールに関する情報を整理するだけでは不十分です。

テスト対象となるキーコントロールの一覧表には例えば次のような情報を管理します。

  1. 基本情報
    (会社、関連プロセス、リスク[No、内容、関連科目、アサーション]、リスク評価[影響度、可能性]、部門、業務機能、コントロール[No、タイプ、内容、ITコントロール目標、種類、頻度、関連文書])
  2. 運用テスト手続
    (No、テスト方法、テスト手続、サンプル抽出条件、サンプル数、テスト頻度)
  3. 運用テスト指示
    (No、指示作成者、対象期間、実施期限、評価完了予定日、実施担当者、実施結果承認者、評価者、対象拠点)

一般にRCMとして管理する情報は上記1のみですが、毎期実施する運用状況評価の実施要領を含めて管理しておくことが重要です。

評価資料のフォルダ、ファイル管理のルール化

運用状況評価に関して作成した資料をはじめ、内部統制の有効性評価・報告プロセスでは非常に多くのドキュメントを作成しますが、それらが個人のローカルPC、共有ドライブに埋もれてしまっていて、必要な資料がどこにあるのかすぐにはわからない、どれが最新版かファイルを開いて比較・確認しないとわからない、などという状況になったことはないでしょうか。

作成したエクセルやワードなどのドキュメントのファイル名や保管先のフォルダ名、フォルダの分け方などあらかじめルールを決めておき、それにしたがって日々管理することで、ドキュメントの取り扱いがしやすくなります。

フォルダ・ファイル管理のイメージ

手続書、実施記録、評価結果一覧などの様式は統一する

実際にテストを実施するときに現場へ持参する手続書やテスト結果を記録する実施記録書、評価結果を一覧化した表などの様式は統一します。これにより手作業によるコピーや転記作業など定型かつ単純なプロセスを自動化する準備ができます。たいしたことはないと思われがちですが、間違えてコピー・転記してしまったり、有効性評価という本来業務以外に時間を浪費しているわけで、積み上げるとかなりの時間コストになります。

中堅・中小企業にとっては、自動化のためにエクセルのVBAマクロなどを活用することも有効です。キーコントロール情報を一元管理し、評価資料などの様式を統一することによって実現可能な環境が整います。例えば、

  1. キーコントロール一覧表から運用テスト手続書と実施記録シート(ブランク)、不備管理シート(ブランク)を自動作成
  2. 各キーコントロールの実施記録・結果記入済みの運用テスト手続書を一括して読み込み運用状況評価一覧表を自動作成

などが具体的な例です。

運用状況評価資料の自動作成