「業績向上に役立つ内部統制にするには,評価範囲の設定や勘定科目の抽出などはある段階で見切り,現状の業務フローにおけるリスク抽出やコントロールデザイン,RCM(リスクコントロールマトリクス)の作成に時間をかけるべき。来年春には実装に着手しないと間に合わない」---。
8月24日,東京・有楽町で開催中の「内部統制ソリューション展」の講演会に登壇した大塚商会のコンサル推進グループ部長システムアナリストの向川博英氏はこう指摘した。
同氏はまず,企業がこれから内部統制に取り組む際の模範的スケジュールを示した。それによると,まず今年12月までに現状の業務フローを作成し,リスクの抽出を完了する。2007年1月には現状評価を行いながら抽出したリスクに対するコントロールをデザインし,必要なITソリューションを検討する。
そして2月からはRCMの作成に取りかかり,報告と検討を繰り返し,4月までにコントロールを配置した新しい業務フローを完成させる。ここまで来れば,内部統制の実装プランに着手できる。その後,実装に1年,運用・評価期間に1年かかるとして,2009年3月期の本番にようやく間に合うという算段である。
「内部統制では財務報告に係るリスク評価がポイントになる。業務プロセスのどこで,どのような誤りや不正が発生しうるかを細かく特定していく。リスクかどうかを識別するには,業務プロセス上で発生する財務情報(勘定科目)が財務諸表のアサーション(監査上のポイント)を満たせるかどうかがポイントになる」と,向川氏は説明する。
リスクを評価する際には,組織全社の目標に関わる全社レベルのリスクと,業務プロセス・レベルのリスクに分類し,発生する可能性と影響度の高い,すなわちプライオリティの高いリスクから対応していくことが重要だという。
大塚商会では,内部統制整備を支援する文書作成ツールを用意している。まず標準のテンプレートを使い、業務調査表やヒアリングをもとに、業務のフローチャートを作成する。次に業務ごとに抽出したリスク及び設定したコントロールを、フローチャートの中に埋め込んでいく。その結果として、新しい業務フローチャートとRCMの一覧表が作成される。実際の運用が始まると、コントロールセルフアセスメント(CSA)によってコントロールの実施状況を監視し、統制運用状況の自己評価表を作成する。
「内部統制の実施基準が固まるのを待っていては間に合わない。スケジュールを立てて内部統制の構築に着手するべきだ」と,向川氏は講演の最後にもう一度強調した。
