内部統制の専門家に聞くよくあるQ&A
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
Q 業務プロセスについて、3点セットは必ず作成する必要がありますか。
A 3点セットとは、フローチャート、業務記述書、リスク・コントロール・マトリックス(RCM)の3点。
これらは、法律等で絶対必要ときまっているものではありませんが、3つを作成するのが一般的で最も効率的な方法です。
フローチャートは、主に四角と矢印を使用して業務プロセス全体の流れを示すものです。
業務記述書は、一つ一つの業務の詳細(誰が、何を、どうしているのか)を詳しく文章で説明する資料です。
リスク・コントロール・マトリックス(RCM)とは、フローチャートと業務記述書で明らかになった会社の業務プロセスを分析し、業務プロセスに内在するリスクと実施しているコントロールをマトリックスの形式で整理した資料です。
会社によっては、フローチャートと業務記述書を合体しているケースもあります。
Q ウォークスルーとはどのような手続きですか。
A 実際の取引から1件をサンプルとして選び、業務プロセスの流れにそって、取引関連証票(注文書、出荷伝票など)を確認していく手続きです。
入手した取引関連証憑について、日付や金額の整合性、統制の実施者、実施しているときの確認観点、統制実施の痕跡等を検証します。
実施する目的は、以下2つあります。
(1)3点セットとして作成した文書が、正しく業務プロセスを記述しているかを確かめる、(2)業務プロセス内の内部統制が有効かどうかを確認する(リスクを削減できているか)
Q 業務プロセス統制の運用状況を評価する場合、サンプルの件数はどうやって決めればよいですか。全て25件実施する必要がありますか。
A 運用テストのサンプル数は、統制の実施頻度に応じて決定します。
経済産業省から公表されている「システム管理基準(追補版)付録図表5-1 サンプル件数の例」に、統計学をベースとしたサンプル数の考え方が示されています。
具体的には、統制の頻度が年次の場合は、サンプル1件、四半期は2件、月次は2件、週次は5件、日次は25件、1日につき多数は25件となります。
頻度に当てはまらない場合、年間の統制の実施概数を考慮してサンプル数を決定します。
Q IT業務処理統制は毎年評価する必要がありますか。
A ITを利用して自動化された内部統制は、一度設定されると、変更やエラーが発生しない限り一貫して機能する性質があるため、以下①~④の条件を満たす場合、複数年に1度の評価が認められています。
- 過年度に内部統制の不備が発見されずに有効に運用されている
- 評価された時点から内部統制が変更されていない
- 障害・エラー等の不具合が発生していない
- 関連するIT全般統制が有効に機能していると判断できる
しかし、企業のIT利用度やIT依存度、ITに関わる各種リスクは年々高まっているため、上記判断は慎重に実施する必要があり、毎年評価することが望ましいといえます。
評価する場合のサンプル数は、整備・運用をあわせて1件でかまいません。
Q 内部統制の不備について、監査法人から依頼された改善項目については、全て対応しなければならないでしょうか。
A 監査法人から依頼された改善項目については、かならず対応が必要ですが、言われたままその通りに実施する必要はありません。
監査法人の依頼の趣旨や不備に伴う財務報告リスクを理解したうえで、会社として実現可能な、もしくは最も有効なやり方で導入しなければなりません。
監査法人からの依頼に対して、表面的な言葉だけをとらえてそのまま対応すると、一時的には解決したようにみえて、「絵にかいた餅」の形式的な内部統制になってしまう危険性があります。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
内部統制報告書の提出時期が近づく中、ロールフォワードや再テストを含む最終評価作業が重要です。本セミナーでは、有効性判断や報告書の作成方法、改訂実施基準に伴う評価範囲の見直しポイントを、各社・監査法人の最新動向や事例を交えて、実務目線でわかりやすく解説します。
企業不祥事が後を絶たない中、不正リスク対応の重要性が高まっています。本セミナーでは、不正の背景や最近の事例をもとに原因を分析し、早期発見・予防につながる社内の仕組みやチェックポイントを解説。内部監査・不正調査の実施時に押さえるべき実務の留意点も紹介します。
生成AIの急速な普及により、内部監査・内部統制でも活用が現実味を帯びています。本セミナーでは、生成AIの基本知識から活用シナリオ、プロンプト例、導入時の注意点までを実務目線で解説。最新事例を踏まえ、リスクを考慮した安全な活用方法を学べます。
リスクの多様化・複雑化が進む中、部門任せの対応には限界があり、グループ全体でのERM体制構築が求められています。本セミナーでは、ERMの基本から体制の実効性向上や高度化までを実務目線で解説。BCPや危機管理マニュアルの整備に役立つ具体策も紹介します。
生成AIの活用が広がる中、内部監査・統制業務でも新たな活用が現実味を帯びています。本セミナーでは、生成AIの基礎知識から、具体的な活用シナリオやプロンプト例、導入時の注意点までを実務目線で解説。国内外の事例も交え、安全な活用方法を学べます。
生成AIの導入が進む中、内部監査・統制業務でもその活用が現実味を帯びています。本セミナーでは、生成AIの基礎知識から実務での活用シナリオ、導入時の注意点、すぐに使えるプロンプト例までを具体的に解説。最新事例も交え、安全な利活用を実践的に学べます。
リスクの多様化に伴い、グループ全体で対応する全社的リスクマネジメント(ERM)の構築が急務です。本セミナーではERMの基礎から、形骸化を防ぐ運用の高度化まで詳説。BCP策定や危機管理の具体策も紹介し、初心者から実務者まで、実効性ある体制構築のノウハウを分かりやすく解説します。
年度末の内部統制報告書の提出に向け、改訂基準への対応や評価の取りまとめが重要な時期です。本講座では、期末前後の評価実務や有効性の判断、報告書作成のポイントを分かりやすく解説。事例や最新動向を交え、重要な不備を残さないための実効的な進め方を、実務に精通した講師が丁寧に指導します。
年度末の内部統制報告書の提出に向け、評価の集約や改訂基準への対応が急務です。本講座では、重要不備を残さないための評価実務や有効性判断、報告書の作成法を詳説。最新の監査動向や事例を交え、実務に精通した講師が、期末までに評価を完遂するためのポイントを実務本位の視点で分かりやすく指導します。
リスクの多様化に伴い、グループ横断的な「ERM」の構築が急務です。本セミナーでは、形式的な体制から脱却し実効性を高める運用法を、基礎から高度な視点まで網羅。BCP策定や危機管理の基本も交え、初心者から実務者まで役立つ具体策を解説します。PDCAの定着や体制強化を目指す企業の課題解決を支援します。