見出し画像

【新任内部監査人「必見!」】プロセスフロー分析の基本とリスク特定のコツ

TAIZO

はじめに

2004年に米国子会社の内部監査部門に派遣された私は、言語の壁だけでなく、仕事の進め方の違いに直面し、毎日が試練の連続でした。特に内部監査の手法は、それまでの日本での経験とは全く異なるものでした。

特に印象的だったのは、クライアント(監査対象部門)に対する業務プロセスをヒアリングする際の、監査人によるメモの取り方でした。クライアントへのヒアリングが始まると、監査人たちはいとも簡単にプロセスフロー図を描き始めるのです。

そして、プロセスフロー図上に描いた「ひし形(=判断ポイント)」をクライアントに示しながら、「ここでは誰が承認しますか?何に基づいて承認しますか?」などと的確な質問を続けます。

その後、フロー図の中で特定した複数の「ひし形」のうち、重要なコントロールを対象にテストをするのです。「なるほど、こうやってクライアントから業務プロセスをヒアリング・確認を進めながら想定されるリスクや重要なアクティビティ、コントロールを特定し、テストをしていくのか」と、当時の私にとっては目から鱗の体験でした。

このような体験は、その後の私の内部監査アプローチを大きく変えました。プロセスフロー図を用いることで、
(1) 業務の流れが可視化され
(2) クライアントとのコミュニケーションがスムーズになり
(3) より効果的にリスクやコントロールを特定できるようになった
のです。

本稿では、このような体験を踏まえて、プロセスフロー分析の基本的な考え方から、リスクとコントロールを的確に特定する方法までを解説します。

新任の内部監査人の皆さんにとって、すぐに業務に役立つ内容となっていますので、ぜひ参考にしてください。


1. シンプルなプロセスフロー図の作成

プロセスフロー図を作成する目的は、業務の流れを可視化し、監査の焦点を明確にすることです。特に、シンプルなフロー図は新任内部監査人にとって、業務の理解を助け、コミュニケーションツールとしても非常に有効です。

a) プロセスフロー図の基本要素

プロセスフロー図を作成する際には、以下の基本的な要素を理解しておくことがポイントです。

  • 開始・終了点(楕円形): プロセスの始まりと終わりを示します。

  • アクティビティ(長方形): 具体的な作業や行動を示します。

  • 判断ポイント(ひし形): Yes/Noなどの判断が行われる箇所です。

  • フロー(矢印): プロセスの進行方向や流れを示します。

b) シンプルなプロセスフロー図の作成手順

  • プロセスの範囲を決定する:どの部分のプロセスを対象にするかを明確にします。

  • 主要なステップを特定する:プロセスにおいて重要な活動を特定します。

  • 論理的な順序で配置する:時間軸や優先度に基づいてステップを並べます。

  • 判断ポイントを追加する:判断が行われる箇所を特定してひし形で表現します。

c) 購買申請プロセス(例)

例えば、購買申請プロセスでは以下のようなフロー図になります。

  • 申請手続(長方形):ルールに基づく申請書の作成

  • 上司の承認(ひし形):ルールに基づく判断

  • 購買部門による発注(長方形):アクティビティ

  • 納品確認と支払い(長方形):アクティビティ

上記のようなフロー図を作成することによって、プロセス全体が一覧でき、監査対象プロセスのポイントを明確にすることができます。

2. 重要なアクティビティやコントロールポイントの特定


プロセスフロー図を描いた後は、プロセス全体の中で想定されるリスクや「重要なアクティビティ」を特定します。これによって、監査の焦点を明確にし、効果的かつ効率的なリスク評価が可能になります。

a) 重要なアクティビティの特定

プロセスの中で最もリスクが高い、または影響が大きいアクティビティを特定します。
(例)購買申請書の作成や承認者による確認:申請書の記入もれや承認時の判断ミスなどのリスクが考えられます。

b) 主要な判断ポイントの特定

判断や承認が必要な箇所をひし形で表現し、重要な承認ポイントを明確にします。
(例)申請金額が一定額を超える場合:特別な承認手順が必要になります。

c) 部門間の連携ポイントの特定

複数の部門が関与する場合、その情報の伝達や連携のポイントも重要です。(例)購買部門から経理部門への情報伝達:正確かつ適時な伝達が行われない場合、経費処理に遅れが生じるリスクがあります。

d) 外部との接点の明確化

サプライヤーや取引先など、外部とのやり取りが発生する箇所も確認します。
(例)サプライヤーへの発注や納品確認:発注内容が不正確だったり、納品が遅れたりすると、業務プロセス全体に影響を与えるリスクがあります。

3. リスクの特定と評価

プロセスの各ステップで潜在的なリスクを特定し、それぞれのリスクを評価することは、監査における基本的なスキルです。適切なリスクの特定は、監査の成否に影響します。

a) 各ステップにおけるリスクの洗い出し

各ステップに関連するリスクを以下のカテゴリ(例)で整理し、洗い出します。

  • オペレーショナルリスク:(例)申請書の記入ミスや承認の遅延。

  • 財務リスク:(例)不適切な支出や予算の超過。

  • コンプライアンスリスク:(例)規程違反や不正行為。

  • レピュテーショナルリスク:(例)信頼を失う取引や行動。

b) リスクの評価方法

リスクの発生可能性と影響度に基づいて、リスクの優先順位付けを行います。リスクマトリックスを活用し、最も重要なリスクに注目します。

c) プロセスフロー上でのリスク表示方法

例えば、購買申請プロセスの承認ステップに、承認遅延のリスクを表示する場合、次のようにフロー図に★OR(高)のラベルを付けます。
【表示例】「★OR(高)」:オペレーショナルリスク(高)承認手順における遅延リスク。

4. コントロールの種類とその評価

リスクが特定された後は、それに対応するコントロールを特定し、その有効性を評価します。

a) 既存のコントロールの特定

各リスクに対して、どのようなコントロールが存在するかを明確にします。(例)上司による承認、システムによるチェック、予算超過のアラートなど。

b) コントロールの種類(例)

  • 予防的コントロール:事前にエラーや不正を防ぐコントロール。
    (例)購買申請の金額上限の設定。

  • 発見的コントロール:事後的に問題を発見するコントロール。
    (例)月次の自己点検。

c) コントロールの有効性評価

コントロールがリスクに対して効果的に機能しているかどうかを評価し、改善の余地があれば検討します。

まとめ

プロセスフロー分析は、内部監査の基本的かつ重要なスキルです。これから実際にプロセスフロー分析を行う際には、まずはシンプルな業務フローから取り組んで、リスクとコントロールの特定に慣れていくことをお勧めします。

継続してスキルを磨くことで、より効果的で効率的な監査を実現し、組織全体の改善にも貢献するでしょう。


いいなと思ったら応援しよう!