日本の内部統制報告制度といえば、COSOフレームワークをもとに開発した4つの目的と6つの基本的要素が表現されたキューブを思い起こす人も多いと思います。内部統制報告制度を初めて学習したときに、内部統制の定義から読んだと思いますが、その目的と基本的要素はなかなか頭に入ってこなかった経験がある方も多いのではないでしょうか。内部統制報告制度を初めて学習する人にとっては、基準および実施基準ともに内部統制の定義として、その目的と基本的要素から始まっているため、これを必死に覚えようとするあまり、同じ実施基準のⅠ1.内部統制の定義の中にあるもっと重要な記述を見落としてしまっているかもしれません。これは内部監査部門が内部統制の評価を通じて事業に貢献するためには欠かせない考えです。
ある内部監査部門のリーダーの悩み
先日、内部監査部門のリーダーの方と話をする機会がありましたが、その方が「今いるメンバーも仕事がルーチンになってきている」と話していました。来期の活動計画を策定している中で、どうも手詰まり感があるとのこと。もう少し具体的に聞ければなと思っていたところ、そのリーダーの口からは「もう一度、業務プロセスからやろうかな」という言葉が発せられ、私の頭の中には次の実施基準の記述が思い浮かびました。
内部統制は、組織内のすべての者が業務の中で遂行する一連の動的なプロセスであり、単に何らかの事象又は状況、あるいは規定又は機構を意味するものではない。
(実施基準Ⅰ1より引用(太字は筆者))
基準では内部統制は静的なものではなく、動的なものであるとしています。この動的という感覚は4つの目的と6つの基本的要素から成るキューブを眺めていても繋がりにくいかもしれません。
実施基準はこれに続いて、一連の動的なプロセスの説明があります。
したがって、内部統制は一旦構築されればそれで完成するというものではなく、変化する組織それ自体及び組織を取り巻く環境に対応して運用されていく中で、常に変動し、見直される。
(実施基準Ⅰ1より引用(太字は筆者))
リーダーの方によれば、内部統制報告制度を導入したときに作成した業務フローは、その後、情報システムや業務運用が変わっても、識別していたリスクとコントロールに変更がないため更新をしてこなかったそうです。つまり、リスク・コントロールマトリクスに変更がないので、何の文書更新もしないということでした。
たしかに、そうであれば、統制上の要点(キーコントロール)に対する運用状況評価がメインの作業になります。運用状況評価では、例えば、被監査部門にサンプリングした資料を用意してもらい、書類を閲覧してコントロールが適切に実施されたかどうかを確認します。先のリーダーの悩みは、運用状況評価のような定型的な作業の繰り返しでメンバーが内部監査を実施した気になっているというものでした。
RCMは業務プロセスを整備した結果のアウトプット
この話を聞いて、私が問題かなと思ったのは、どうやってリスクとコントロールに変更がないと判断をしたのか、でした。具体的な確認方法は、実施部門にヒアリングをして従来の統制上の要点(キーコントロール)の運用に変更がなければ、それをベースに評価をしていくということでしたが、これですと一度選定した統制上の要点として特定したコントロールが固定化されないでしょうか。
先日のエントリー内部統制報告制度を効率的に運用するために企業担当者が主体的にできることでは、トップダウン型のリスク・アプローチの適用局面の一つとして統制上の要点は、リスク影響度と発生可能性およびコントロールの補完関係等二つ観点で絞り込むと説明しました。このリスク・アプローチを徹底すると、毎期、選定した統制上の要点が適切か見直しをするということにつながります。イメージとしては、一度選定した統制上の要点という「点」を見つめるのではなく、関連する業務プロセス上のリスクとコントロールを鳥瞰して「線」として見つめ直します。
この作業は、内部統制の評価の前提となるリスク評価やコントロールに変更がないかどうかを定期的に確認をして、既存の内部統制に脆弱なところがあればデザインそのものを見直すことを指します。いわゆる整備状況評価と言われるものです。ここで業務プロセスとリスクおよびコントロールの関係を確認しておくと次のようになります。
- 業務プロセスを実施するからリスクが発生する
- コントロールは業務プロセスを通じてしか実施されない
つまり、リスクもコントロールも業務プロセスがあって初めて存在するものです。業務プロセスを描いて、その上でリスクとコントロールを識別します。リスク・コントロールマトリクス(RCM)はその業務プロセス上のリスクとコントロールを一覧表にしたものに過ぎません。内部統制評価は重要な監査資料であるRCMに焦点が行ってしまいますが、監査対応や形式的な制度対応に偏ると、RCMは業務プロセスを整備した結果のアウトプットに過ぎないということを忘れがちです。
内部監査部門と整備状況評価
よほど安定した経営環境にない限り、企業は毎期戦略を見直し、それを迅速に実現するために組織を変更し、情報システムの新規開発・リプレイスを含む業務の再整備をします。もしも、内部統制評価にあたって、ここ数年業務プロセスを見直してこなかったという内部監査部門の方は、今一度業務プロセスから見直してみてはいかがでしょうか。
内部統制の整備状況評価では、少なくとも一つの取引をサンプルとして選定し、取引の開始から財務報告に反映されるまでの一連の業務処理過程を、業務プロセスに沿って追跡調査する、いわゆるウォークスルーテストという手法を使って実施します。私はこの整備状況評価を通じて、内部監査部門が事業に貢献することができると考えています。
普段の内部監査部の部屋から現場へ出て、担当者へ質問をしたり、業務を観察したり、資料を見て実施証跡を確認したりと歩き回ってみると、色々なものが見えてくると思います。内部統制の不備も単に指摘するだけでなく、是正のための提案をしたり、不備ではない業務上の課題を現場の人と一緒に議論したり、リレーションシップをとることによって、現場の人も馴染みにくいリスクやコントロールを理解しやすくなります。
内部監査部門の仕事も、定例的な監査業務と捉えるのではなく、会社を良くするために部門横断的に広く社内関係者の話を聞くことができる仕事と捉えると面白いと思います。前述のリーダーの方の来期の活動状況がどうなるのか、個人的に楽しみにしています。部門で新しい活動をするときに事前に内部監査部に相談に来る、そんな関係が築けるといいのですが。