アビームコンサルティングの永井 孝一郎氏が最初に指摘した点は，2008年4月以降の評価段階における誤解についてだ。「評価の対象期間と事業年度期間は，必ずしも一致させる必要はありません。現状の解釈では，評価期間は1カ月でもよいとか，3〜6カ月を必要とする，など意見は様々ですが，要は業務サイクルを勘案してその定着状況が確認できること，そして，期末時点（と同様）の状態を評価するという点が重要です」。

また，不備が見つかった際の改善については，「当期末までの年度内に是正して構わないが，是正後の業務改善を確認できるだけの十分な期間と不備・是正の記録が必要」と永井氏は指摘した。

続いて，文書化対象の業務プロセスの選定では，全社的な内部統制の評価の有効性が大前提にあるとした。全社的な内部統制の評価とは，企業全体に広く影響を及ぼし，企業全体を対象とする統制に対する評価をいう。

実施基準では，評価対象の範囲を売上高などのおおむね3分の2程度を目安に，業務を選定するとある。この点について，永井氏は「これは全社的な内部統制が有効であることを前提にしたものであり，有効でない場合には，評価対象業務プロセスは実施基準の例示範囲よりも広がります」と説明。具体的には，評価対象業務プロセスおよび評価対象組織の範囲，サンプリング・テスト数などが増加することになる。

また，評価期間に入って全社的な内部統制に問題が見つかり，慌てて文書化範囲を拡張していたのでは，決算終了までに内部統制の実施と評価，外部監査を終わらせることが難しくなる。そこで，永井氏は「文書化範囲業務プロセスは，評価範囲業務プロセスよりも広くとっておくことが肝要です」と説明した。

業務プロセスに係る内部統制の構築では，「業務フロー」「業務記述書」「リスク・コントロール・マトリクス」の3点セットのポイントが説明された。「全社的な内部統制を無視して，3点セットから入っている会社が多いように思います」としたうえで，無計画に手近な業務プロセスから手をつけない，業務プロセスを細分化しすぎない，評価作業の工数を意識してサンプリング・テストを楽にする方法を考えるなどの提案が行われた。

また，評価については，サンプリング・テスト工数の事前予測が重要であり，それなしに3点セットを作成すると，後から方針を大きく変更せざるをえなくなる場合があると説明した。

「経験的には，単一事業のシンプルな企業であれば評価対象サブプロセス数は50以内が妥当です。多すぎる場合は後々の評価作業工数が増大しますので，見直しをお薦めします」と，永井氏。

IT内部統制の構築については，「時間が掛かるため，これから着手する場合は，初年度は若干の不備があっても重要な欠陥さえなければよしとする割り切りが必要」と指摘した。また，評価については，全社的な統制は，主に質問書で確認・評価する。ITに係る全般統制では，質問書で確認・評価したうえで，規程・マニュアル類の閲覧・質問，証憑類のサンプリング・テストなどを行うことが多い。ITに係る業務処理統制では，主に業務プロセスのサンプリング・テストの中でテスト・評価するなどが説明された。

永井氏はまとめとして，内部統制プロジェクトの体制について触れ，プロジェクトの責任者は経営者であること，プロジェクト・リーダーには現場を知り尽くしたエース級の人材を登用することの重要性を強調し，講演を締めくくった。

[ 画像クリックで拡大 ]

文書化対象業務プロセス選定の勘所

文書化範囲業務プロセスは評価範囲業務プロセスよりも広くとることを推奨している。