内部統制の専門家に聞くよくあるQ&A
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
Q 業務プロセスについて、3点セットは必ず作成する必要がありますか。
A 3点セットとは、フローチャート、業務記述書、リスク・コントロール・マトリックス(RCM)の3点。
これらは、法律等で絶対必要ときまっているものではありませんが、3つを作成するのが一般的で最も効率的な方法です。
フローチャートは、主に四角と矢印を使用して業務プロセス全体の流れを示すものです。
業務記述書は、一つ一つの業務の詳細(誰が、何を、どうしているのか)を詳しく文章で説明する資料です。
リスク・コントロール・マトリックス(RCM)とは、フローチャートと業務記述書で明らかになった会社の業務プロセスを分析し、業務プロセスに内在するリスクと実施しているコントロールをマトリックスの形式で整理した資料です。
会社によっては、フローチャートと業務記述書を合体しているケースもあります。
Q ウォークスルーとはどのような手続きですか。
A 実際の取引から1件をサンプルとして選び、業務プロセスの流れにそって、取引関連証票(注文書、出荷伝票など)を確認していく手続きです。
入手した取引関連証憑について、日付や金額の整合性、統制の実施者、実施しているときの確認観点、統制実施の痕跡等を検証します。
実施する目的は、以下2つあります。
(1)3点セットとして作成した文書が、正しく業務プロセスを記述しているかを確かめる、(2)業務プロセス内の内部統制が有効かどうかを確認する(リスクを削減できているか)
Q 業務プロセス統制の運用状況を評価する場合、サンプルの件数はどうやって決めればよいですか。全て25件実施する必要がありますか。
A 運用テストのサンプル数は、統制の実施頻度に応じて決定します。
経済産業省から公表されている「システム管理基準(追補版)付録図表5-1 サンプル件数の例」に、統計学をベースとしたサンプル数の考え方が示されています。
具体的には、統制の頻度が年次の場合は、サンプル1件、四半期は2件、月次は2件、週次は5件、日次は25件、1日につき多数は25件となります。
頻度に当てはまらない場合、年間の統制の実施概数を考慮してサンプル数を決定します。
Q IT業務処理統制は毎年評価する必要がありますか。
A ITを利用して自動化された内部統制は、一度設定されると、変更やエラーが発生しない限り一貫して機能する性質があるため、以下①~④の条件を満たす場合、複数年に1度の評価が認められています。
- 過年度に内部統制の不備が発見されずに有効に運用されている
- 評価された時点から内部統制が変更されていない
- 障害・エラー等の不具合が発生していない
- 関連するIT全般統制が有効に機能していると判断できる
しかし、企業のIT利用度やIT依存度、ITに関わる各種リスクは年々高まっているため、上記判断は慎重に実施する必要があり、毎年評価することが望ましいといえます。
評価する場合のサンプル数は、整備・運用をあわせて1件でかまいません。
Q 内部統制の不備について、監査法人から依頼された改善項目については、全て対応しなければならないでしょうか。
A 監査法人から依頼された改善項目については、かならず対応が必要ですが、言われたままその通りに実施する必要はありません。
監査法人の依頼の趣旨や不備に伴う財務報告リスクを理解したうえで、会社として実現可能な、もしくは最も有効なやり方で導入しなければなりません。
監査法人からの依頼に対して、表面的な言葉だけをとらえてそのまま対応すると、一時的には解決したようにみえて、「絵にかいた餅」の形式的な内部統制になってしまう危険性があります。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
相次ぐ企業の不祥事を受け、内部統制における不正リスク対応が重要視されています。本セミナーでは、不正の発生背景や直近の事例を分析し、未然防止や早期発見に必要な社内の仕組み・チェックポイントを実務場面に即して解説します。さらに、内部監査や不正調査を実施する際の留意点についても、講師が分かりやすく指導します。
急速に普及する生成AIは、内部監査・内部統制にリスク検知や新視点をもたらす一方、情報漏洩等の懸念も伴います。本セミナーでは、AIの基礎から実務での活用シナリオ、即戦力のプロンプト例までを詳しく解説。リスクを適切に管理しながら成果を最大化する「AIとの付き合い方」を、実務視点で実践的に学べる内容です。
内部監査の高度化に伴う課題を解決する、新任担当者や手法を見直したい方向けの実践講座です。2024年改訂のグローバル基準を踏まえ、監査計画から実施、報告までの一連の手順を体系的に解説。特に悩みの多い「監査調書」や「経営陣に伝わる監査報告書」の具体的な作成ポイントを、実務ですぐに使える形で習得できます。
内部監査・内部統制における生成AIの実践的な活用法とリスク管理を学ぶセミナーです。業務効率化やリスク早期発見などAIの恩恵を解説する一方、情報漏洩や誤情報等の課題への対策も網羅。基礎知識から具体的な活用シナリオ、現場で即使えるプロンプト例まで、安全で効果的なAI活用術を実務目線で体系的に習得できます。
全社的リスクマネジメント(ERM)の実効性向上と体制高度化を目指すセミナーです。ERMに初めて取り組む方向けの基礎解説から、形骸化を防ぎPDCAを定着させたい実務者向けの運用ノウハウまで幅広く網羅。さらに危機管理マニュアルやBCP策定といった危機対応の基本も交え、真に機能するリスク管理体制づくりを支援します。
粉飾や横領などの不祥事が絶えず、内部統制における不正リスク対応の重要性が高まっています。本セミナーでは、不正発生の背景や最新事例を紐解き、未然防止と早期発見に必要な社内の仕組みを解説。具体的な業務に当てはめたチェックポイントから内部監査・不正調査の留意点まで、不正対策の実務を体系的に学べる講座です。
新任担当者やJ-SOX対応を始める方に向けた2日間の実践講座です。制度の基本から全社・業務別統制の整備・評価手順まで実務に即して解説し、すぐ使えるテンプレートも紹介します。新リース会計基準や非財務情報開示、生成AIの活用による効率化など最新の実務課題も網羅しており、豊富な事例を通じて体系的に学べます。
新任担当者やこれからJ-SOX対応を始める方に向けた2日間の実践講座です。制度の基本から整備・評価の具体的手順までを解説し、実務で使えるテンプレートも提供します。厳格化するリスク対応や新リース会計、非財務情報開示、生成AIを活用した業務効率化など最新課題も網羅。豊富な事例を通じて体系的に学べます。
内部統制制度の導入から約20年。今や当たり前の存在となり、その本質や意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンに向けて内部統制の基本に立ち返る入門講座です。「なぜ必要なのか」「目的や要素は何か」といった基礎知識から制度の全体像までをやさしく解説し、本質的な理解を深めます。
内部統制制度の導入から約20年が経過し、その本来の意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンを対象に内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素とは何か」「制度の全体像」をやさしく解説します。基礎知識を本質からしっかりと身につけたい方に向けた入門講座です。
生成AIを内部監査・内部統制業務へ安全かつ効果的に導入するための実践講座です。AIの基本や各種ツールの違い、業務効率化やリスク発見などの活用シナリオに加え、情報漏洩やハルシネーション等のリスク管理手法を網羅。さらに、監査計画やチェックリスト作成に即使える具体的なプロンプト技術まで実践的に解説します。
内部監査・内部統制業務における生成AIの活用とリスク管理を網羅した実践講座です。AIの基本から、監査計画やチェックリスト作成などの具体例、情報漏洩やハルシネーション対策まで、現場での「使いどころ」と「注意点」を徹底解説。さらに、実務でそのまま使える即効プロンプトの記述テクニックも体系的に学べます。
内部監査部門の立ち上げや新任担当者、実務を見直したい方に向けた基礎講座です。上場準備や不祥事防止など高まる期待に対し、限られた人員で効果的な監査を行うための基本知識と必須手順を、具体的な書式や事例を用いて総ざらいします。さらに、2024年に改訂されたグローバル内部監査基準のポイントも解説します。
内部統制制度の導入から約20年。日常業務で当たり前となった今だからこそ、その本質を再確認しませんか?本セミナーは全てのビジネスパーソンを対象に、内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素は何か」をやさしく紐解く入門講座です。制度の全体像から基礎知識をしっかりと学び直したい方にお勧めです。
内部監査・内部統制に特化した、生成AIの「使いどころ」と「注意点」を学ぶ実践講座です。監査計画やチェックリスト作成などの具体例を交え、業務効率化とリスク発見のノウハウを解説します。情報漏洩対策といったリスク管理の基本から、現場ですぐに使えるプロンプトの記述テクニックまで、実務直結の知識を網羅しています。
内部監査・内部統制業務における生成AIの実践的な活用法とリスク対策を網羅したセミナーです。監査計画やチェックリスト作成、議事録要約など、業務効率化とリスク発見に直結する活用シナリオを提示。情報漏洩やハルシネーションへの備えを学びつつ、現場で即実践できるプロンプトの記述テクニックまで習得できます。