内部統制に向き合う Part.04 - 業務プロセス② -
2023年04月内部統制報告制度(J-SOX2023改訂版)が15年ぶりに改訂されて内部統制が様変わりし、皆さんの会社では豊富な知識と蓄積された経験をもとに日々内部統制を進化させていることと思います。その豊富な知識と蓄積された経験をいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを考えてみたいと思います。
今回は、業務プロセスにかかる内部統制(以下「PLC」といいます)の続きです。
【参考となる書籍】
・今から始める・見直す 内部統制の仕組みと実務がわかる本(浅野雅文著・中央経済社)
・情報システム監査実践マニュアル(NPO法人日本システム監査人協会著・森北出版)
PLCのカギは評価範囲の選定②
会社の全体像を把握してほぼすべての業務について業務記述・フローチャートの2つを作成することで、PLCとして次に行うのは評価範囲の選定です。前回の記事でご紹介のとおり、評価範囲の選定を行ったうえでなければ内部統制計画書は作成できません。評価範囲の選定については内部統制に関する書籍に説明されておりますので、それらの書籍をご参照ください。評価範囲の選定では、全社統制(CLC)、決算・財務報告プロセス(FCRP)、業務プロセス(PLC)、IT統制(ITGC / ITAC)それぞれの評価範囲を選定しますが、ここで重要なのがPLCとITGCの評価範囲の選定です。
【PLCとITGCの評価範囲が重要な理由】
会社の全業務において、どのようなシステム・アプリケーション(以下総じて「システム等」)を利活用しているのかを把握することが大切なため。
1のうち、PLCで評価する業務においてどのシステム等を利活用しているのかを選別することができるため。
PLCのRCM(リスクコントロールマトリックス)に挙げる統制項目の選定、リスク識別の際の手掛かりとなるため。
1については、以前の記事「内部統制に向き合う Part.01 - IT統制 - 」でご紹介したとおり、内部統制の評価の流れとしてまずITGC / ITACを最初に行うことに話しがつながります。評価範囲の選定を行ううえでもまずITGC / ITACから着手することをお勧めします。2023年04月のJ-SOX改定以前でしたら、皆さんも「IT統制は、財務報告の作成に関係するシステム等が評価範囲となる」とお聞きになっていたと思います。そうするとほとんどの会社ではIT統制の評価範囲を会計・販売管理システム等に限定していたでしょう。しかし2023年J-SOX改定後はだいぶ変わります。「財務報告の作成に関係するシステム等」は会計・販売管理システム等に限定できるわけではなくなりました。財務報告に係る内部統制の評価及び監査に関する監査基準・実施基準74ページに示されているとおり、
売上、売掛金及び棚卸資産の3勘定が考えられる。これはあくまで例示であり、個別の業種、企業の置かれた環境や事業の特性等に応じて適切に判断される必要がある。
つまり、3勘定に関係するシステム等だけを評価範囲とするとは示していないのです。それでは、いったいどこまでの範囲を評価すれば良いのか?次の順で評価範囲の選定を行うことをお勧めします。
【IT統制の評価範囲の順】
会社の全業務において、どのようなシステム等を利活用しているのかを把握する。
それらシステム等がどの業務プロセスで利活用しているかを把握する。
「企業の事業目的に大きく関わる勘定科目」に着目し、この勘定科目に関わる業務プロセスで利活用しているシステム等を選別する。
この順で見ていきますと、3勘定のほかに労務費(原価/販管費)をこの「企業の事業目的に大きく関わる勘定科目」を挙げていれば労務管理で利活用しているシステム等(例:プロジェクト管理、勤怠管理など)が評価範囲に入ると考えられます。
さきほど「評価範囲の選定を行ううえでもまずITGC / ITACから着手すること」をお勧めしました。これをPLCの評価範囲の選定から行うことも考えられますが、PLCから始めると「このシステム等が評価範囲に入るのか!」と後になって気付きシステム等に関する情報を把握し直すことになり、「つぎはぎ」のように付け足すような面倒な作業が発生します。一見すると必要最低限なものをPick upしているように見えますが、後になって「つぎはぎ」作業が増えるのであれば二度手間です。まず会社の全業務を把握してからIT統制の評価範囲の選定に着手すれば抜け漏れが発生しません。特にIPO準備期の会社の皆さんには内部統制体制構築を「最低限に」を考えるのではなく「抜け漏れの無いものにする」を考えることをお勧めします。
PLCのカギは評価範囲の選定③
前段でIT統制の評価範囲のお話ししましたが、話しが逸れたわけではありません。ここにPLCの評価範囲の選定のカギがあります。そのカギとは、上の【IT統制の評価範囲の順】の3です。ここにPLCの評価範囲のカギとして
「企業の事業目的に大きく関わる勘定科目」の選び方:評価の抜け漏れを防ぐため
PLCで評価すべき統制項目とITACで評価すべき統制項目の選別:評価の重複・抜け漏れを防ぐため
この2つのカギに共通しているのは「抜け漏れを防ぐ」ことです。内部統制にとって抜け漏れが大敵です。ここで抜け漏れがあるからこそ、内部統制の評価や内部監査で不祥事(不正行為、うっかりミス等)が見抜けないのです。そうは言っても、抜け漏れを防ぐために統制項目やKC(キーコントロール)を多くすることがBestな方法ではありません。実施基準にも「個別の業種、企業の置かれた環境や事業の特性等に応じて適切に判断される必要がある」と示しているとおり、会社によって統制項目やKCが多い場合や少ない場合があります。同業種の競合他社であってももちろんです。このように見てみますとお気付きの皆さんもいらっしゃるかもしれませんが、この評価範囲の選定をしているとPLCのRCMも作ることができます。もしRCMの見直しをお考えでしたら、PLCの評価範囲を横目に見ながらRCM見直し作業を行えばスムーズです。
いわゆる3点セット(業務記述、フローチャート、RCM)は、これ単独で作成できるものではありません。元になる評価範囲の選定作業の中で会社のリスクとコントロール想像しながら評価範囲を作成することでRCMを作ることができますし、整備/運用評価を実施することができます。そのため、内部統制体構築に「最低限」はありませんし、「最短距離」(構築のスケジュールを最短にする)はありません。「上手の手から水が漏れる」ということわざがありますが、会社の内部統制がこのことわざのようなことにならないようにじっくり検討して、作業には十分な時間を用意することをお勧めします。
次回も、業務プロセスについて皆さんと一緒に考えてみたいと思います。