パイロット実施ステージで文書化作業を試行したら、いよいよ導入ステージと定着ステージである。導入ステージでは、対象部門全体に文書化の作業を拡大していく。定着ステージでは、内部統制フレームワークを実現する。
IBM ビジネスコンサルティング サービス
導入ステージ
導入ステージでは、いよいよ対象部門全体に文書化の作業を拡大していきます。パイロットで作成した三点セットをお手本としていくわけですが、実際に各部門に作成を開始させると、様々な問題が出てきます。「プロセスフローのレベル感が統一されておらず、ばらばら」「財務諸表の信頼性に全く関係ない部分もやけに細かくフローを記載してワークロードがかかった」「リスクの洗い出しが現場では困難であり時間がかかる」「進捗が把握しづらい」などです。
これらの問題を避けるためには標準的なプロセスでパイロットを実施することによって、初心者のよりどころとなるようなお手本を見せたり、初期のセッションを内部統制推進部門あるいは内部統制に精通しているコンサルタントを雇って実施し、各部門の担当者に実施作業を認識してもらうといった取り組みが必要でしょう。
【1】計画体制具体化
導入ステージに入る前には、パイロットステージの結果を受けてステアリング・コミッティーなどに全社展開にあたっての計画を承認してもらい、マネジメント層のプロジェクトに対するコミットメントを確認します。文書化作業を外部に委託する場合などの予算も、ここで再度確認しましょう。会社の規模によってはパイロット時の内部統制推進要員からの増員が必要となったり、各関連部署に文書化推進担当者を別途アサインしてもらったりする必要が出てくるでしょう(図20)。
 |
図20●導入ステージのタスク |
【2】全社文書化対応準備
全社展開する際には詳細な文書化の手引きを作成し、各関連部門で作成される文書の標準化を図るようにします。全社展開の際の資料としては次のような資料が考えられます。
・作成する文書の体系(ネーミングルールなど含む)
・文書化手順書
・重要科目一覧
・プロセスとシステムのマッピング表(必要に応じて)
・プロセスと関連部門のマッピング表(必要に応じて)
・プロセス一覧表
・スケジュール
・推進体制
・文書化担当者一覧と事務局連絡先
・各関連部門のスケジュールサンプル
・RCMテンプレート
【3】教育研修
全社展開用の資料を作成したら、全社に対する教育研修を実施します。全社関連部門向けの説明会を開催して文書化の方法を説明します。この時期までに作成した文書を格納するツールも決定しておくとよいでしょう。海外の子会社へ展開する場合は、本社から支援に出張する、質疑応答の窓口を地域ごとに設ける、現地のコンサルタントに支援を依頼する――など複数の方法が考えられますので各社に一番合う方法を採用しましょう。
米SOX法に対応した米国企業の日本子会社では、米国本社からほぼすべての対象業務のプロセス・フローチャートとRCMが送付されてきて、それを手本に日本子会社で文書を作成した例もありました。各国子会社のおいて、業務がある程度標準化されている場合はこのような方法も有効でしょう。
【4】文書化全社展開
教育研修が終了したら各関連部門にて文書化を実施します。文書化進捗は内部統制推進事務局によって管理しておく必要がありますので、進捗管理のための仕組みを構築しておきましょう。標準的な管理シート(図21)を作成しておき週ごとや月ごとに報告を受けるようにしておくと、事務局において全体の進捗把握ができるでしょう。遅延している部署がある場合には、早めに事務局が支援する必要があります。
 |
図21●進歩管理のイメージ [画像のクリックで拡大表示] |
【5】設計の有効性評価
三点セットが完成したら内部統制の設計の有効性を評価を実施します。有効性評価は机上で作成文書を確認し、内部統制の有効性について評価し、有効でない部分について再度洗い出す作業です。
有効性評価においては、ウオークスルーと呼ばれるセッション形式で確認を進める方法が一般的です。参加者は、関連部門の業務担当者、文書作成者、プロセスオーナー(あるいはその代理)、テスト実施チーム、外部監査人(必要に応じて)が想定されます。
作成したすべての文書について、ウオークスルーを実施します。プロセス・フローチャートと業務記述書をもとに業務担当者が業務を説明し、その後RCMを説明し、コントロールの漏れがないか、十分かについて全エンド・ツー・エンド・プロセスを見渡して「設計の有効性」を評価します。
ウオークスルーでは、サブプロセス単位で、設計評価リストと有効性の不備一覧表を作成します。有効性の不備一覧表は、不備と判断されたコントロールの内容と影響や、今後の対応に責任を持つ部署、対応状況、完了予定時期を記載できるような表がよいでしょう。
【6】運用の有効性
運用の有効性の検証(テスト)では、文書化作業などで確認した内部統制が設計通りに運用されているかを確認します。運用の有効性を検証する方法には自己評価プログラム、内部監査による監査、通常の業務で監視活動などがありますが、文書化初年度には大規模なテストを実施している場合が多くあります。
その後の運用の場面では、内部監査や通常業務の監視活動を組み合わせて内部統制の評価を実施しますが、その場合も十分な証拠を得るためにどの程度のテストが継続的に必要かを検討する必要があるでしょう。
運用の有効性(テスト)作業を計画するにあたっては以下の点を整理します。
・テストするプロセスとコントロール整理
・テストの手法(質問・観察・検査・再実施)検討
・サンプルサイズ検討
・テスト実施に必要なリソース確保(社内で実施か、外部委託かなども含め)
・テスト実施日などを具体的に計画し、関連部署へ通知
テスト計画とテスト実施結果は、文書化しておきます。テストは内部統制推進部隊の支援を得てプロセスオーナーが実施しますが、テストの結果はいずれ内部監査部門のレビューを受けることになりますし、次年度のテストの参考にもなります。テストで発見された不備の改善案やフォロー方法、担当者などもまとめておき、その後のフォローを確認します。
【7】統制不備改善対応
ウオークスルーで作成した有効性の不備一覧表をもとに具体的な対応方法や責任部署・完了予定時期を検討します。
定着ステージ
財務諸表の信頼性に対する内部統制の有効性を経営者が意見表明するためには、内部統制が有効に運用しているという総合的な評価を実施しなければなりません。
定着ステージでは、内部統制フレームワークを実現します。それぞれの部門における内部統制整備のための活動には、統制のセルフアセスメントや内部監査、改善活動などがあります。内部統制整備を支えるツールにはセルフアセスメント結果をとりまとめるスコアカードのデータベースや、改善策の取りまとめと改善活動モニタリング・テスト結果集計などの仕組みなどがあります。
それらをもとに、各部門マネジメントのレビューが実施されます。プロセスオーナーはマネジメントレビュー結果をもとに内部統制整備状況をレビューし、不備の改善活動に責任を持ちます。このような全社的な仕組みを構築し、最終的に経営者は内部統制が有効であるという結論を出すことができるのです(図22)。
 |
図22●「財務諸表に係る内部統制の有効性の評価」を経営者が報告するまでの経緯 [画像のクリックで拡大表示] |
(次回へ)
|
