アビームコンサルティング
プロセス&テクノロジー事業部 シニアコンサルタント
After J-SOX研究会会員
高木 佑也
前回,内部統制評価を効率化する際の骨格ともいえる方針,体制,スケジュール策定について説明した。今回は,実際の評価作業の大半を占めるサンプリング・テストをどのように効率化するかを中心に説明する。
すでに上場している日本企業の7割以上が,J-SOX(内部統制報告制度)初年度における内部統制評価を終了し,2年目の評価作業に入っている。その多くは,初年度よりも効率よく評価手続を実施したいと考えているはずだ。
中でも,業務プロセスにかかわる内部統制の運用状況を評価する作業は,実施する側もされる側も負担が大きい。以下,業務プロセスにかかわる内部統制の評価手続に的を絞って,リスクとコントロールの見直しと,評価手続の効率化について解説する。
トップダウン・アプローチでリスク識別を見直す
J-SOX初年度には,業務プロセスにおけるリスクを識別する際に,各社が作成したリスク・ガイドラインなどを利用して,ある程度機械的・形式的に文書化を進めた企業が多かったのではないだろうか。このやり方では,コントロール数が過度に増加するケースが少なくない。業務プロセスをさらに細分化したサブプロセス内の詳細な業務単位(作業ステップ)ごとのリスクや,発生の可能性が低いリスクまで識別しているからである(図1)。
そのような企業は2年目以降にまず,トップダウン型のリスク・アプローチの採用を考えるべきだ。それによって,リスク識別を見直すと同時に,業務フロー図や業務記述書,RCM(リスク・コントロール・マトリックス)といった内部統制文書類のスリム化を図るのである(図2)。
トップダウン型のリスク・アプローチでは,リスクをサブプロセス内の業務単位ごとに細かく識別するのでなく,財務諸表における重要な勘定科目からブレークダウンして識別する。重要な勘定科目とは,売上,売掛金,棚卸資産などである。
手順としては,まず勘定科目のアサーションを識別する。アサーションとは,財務諸表の正しさを構成する要素のことで,「実在性」「網羅性」「評価の妥当性」などがある。内部統制を構築する際,リスクに対する統制(コントロール)活動がどのような目的で正しさを確保しているのかを示すものだ。
次に,その勘定科目に関係するサブプロセスのアサーションを決定する。そして当該アサーションが阻害される重要なリスクを識別するという流れを採る。こうすることで勘定科目レベルという大きな視点からリスクをとらえることができ,同時に内部統制文書類をスリム化できる。
