内部統制報告制度(J-SOX)の見直し_付加価値を生む内部監査
内部統制評価・監査は役に立たない?
内部統制評価や監査は役に立たないと思っているのではないですか?
誰の、どんな期待に応えていないのでしょうか?
何年も同じことを同じやり方で繰り返していませんか
上場会社にとって、「内部統制評価を実施し、監査を受けること」は、制度としての強制事項。
監査法人の監査さえクリアできればいいので、何年も内部統制評価のやり方を何も変えずに繰り返していませんか。
期待に応えたい、役に立っていると実感したい
既に身につけている内部統制評価の手法(視点や技術、手順等)は、皆の期待に応えるのに使えます。つまり、手法はすでに持っています。
リスクを把握し対応できているか、リスクを十分に低減できているか評価することは、会社の存続に貢献します。
リスク低減に合わせて、業務や情報伝達のスピードアップ、コストダウンについて提言できるチャンスもあります。
ではゴールをどこに置きますか?
最低限、監査法人の監査をクリアできればいい。これはこれで立派なゴールです。
経営者の思いつきの特命をクリアすればいい。これも立派なゴールです。
内部監査人に与えられている資源はかなり限定的です。あれもこれもと手ばかり広げていては成果を形にするこはできません。各社の事情、内部監査人の事情を斟酌し、現実的なゴールを自分で決めるしかありません。
とはいえ、内部統制制度導入から10年以上たちました。ここで一度、ゴールの置き方について、おおもとに立ち返って見直してみませんか?
付加価値を生む内部監査とは?一般の話に置き換えて少し広めに考えてみることをご提案します。
一般的には、内部監査が果たすべき機能とは何でしょうか?
私は、『内部統制を有効に機能させ、未来に対峙すること』と考えています。
内部統制は、経営者のビジョンや、ゴールや目的を実現するために作られた仕組みです。
内部統制を有効に機能させることは、経営者のビジョンや、ゴールや目的を実現することに大きく貢献します、
内部監査は、内部統制が有効かつ効率的に機能しているか、評価します。内部統制の評価を通じて、内部統制の有効性と効率性を向上させていく役割を負っています。
内部監査は会社の中で唯一結果ではなく、仕組みに働きかけるという機能を負っています。これは現在への投資ではなく、未来への投資を実現する方法だと言えます。
では、『内部統制を有効に機能させる』とは?
内部統制は有効性と効率性から評価されるので、下記の二つに大別されると思います。
事業や経営のリスクを低減すること
コストダウン(スピードアップ、簡素化、費用削減)
例えば、営業担当がうけた大口顧客からのクレーム情報。営業担当者だけが対応していたらどうでしょう。事業リスクは低減されていますか、高まっていますか?
同じように、その顧客からのクレーム情報が、営業部長に回ってくるまでに営業担当者による報告書作成、営業係長の承認や営業課長の承認待ちが完了するのを待っていたら1か月以上かかるという状況ではどうでしょうか、コストダウン(特にスピードアップ)はできていますか?
このような例からも①事業リスクの低減、②コストダウン(コストの浪費防止)の観点から、内部統制の有効性を評価すべきと言えると思います。
内部監査人が行う内部統制の評価は、現時点のできていない点の指摘で終わるのでは、上記の二つの視点(事業や経営のリスクを低減すること、コストダウン(スピードアップ、簡素化、費用削減))から、どう改善するかを促すことではないでしょうか。
合わせて、内部統制評価を有効かつ効率的に実施するとは?
内部統制評価/監査は内部監査人の実施業務です。下記の二つに大きく分かれると思います。
制度対応(内部統制監査制度対応)
内部統制評価を通じて、内部統制を有効に機能させる(限られた人員、予算で!)
もちろん、1の制度対応のための評価を進めることでも、内部統制を有効に機能させることにに貢献しています。ただ、制度対応だと、評価対象になるのは財務報告に係る内部統制のみであり、会社の内部統制のほんの一部にすぎません。評価対象とする範囲が狭すぎるのです(もちろん経営者の期待が内部統制監査を最低限クリアするだけであれば、十分ですが)。
一般には、財務報告に係る内部統制以外にも評価範囲を含めて欲しいとの期待があると考えてもいいのではないでしょうか
2の内部統制を有効に機能させる については、経営者等からスポットのリクエストに応えるもの、内部監査人自らが評価範囲を選択していくもの(財務報告に係る部分以外の部分)があると思います。
ここで、ポイントとなるのはリスク評価と対応です。経営者からの指示よるにしても、内部監査人の判断によるにしても、内部統制は事業リスクや経営リスクを軽減することを目的としています。内部監査人も事業リスクや経営リスクを理解把握し、より大きなリスクに対する内部統制から順に評価していくことが、内部統制評価の有効性と効率性を高めます。
付加価値を生む内部監査人になるには
付加価値を生む内部監査人になる方法として、以下の三つが考えられます。
①制度対応の効率性を高める
監査法人のOKをもらえているなら内部統制の有効性、内部統制評価の有効性に問題ないでしょう。
監査法人は内部統制の有効性については意見を言いますが、内部統制の効率性、内部統制の評価の効率性については何も言いません。内部統制の効率性、内部統制の評価の効率性については内部監査人自らが改善に取り組んでいくことができます。
キーコントロールの選定の見直し(より強いキーコントロールへの変更、キーコントロールの削減)
評価方法の簡素化
評価範囲の見直し
②リスクの認識を深める
ここで、内部統制評価の手法が役に立ちます。一言にリスクといっても幅広いものですが、内部統制評価制度では内部統制を全社的な内部統制(経営レベルのリスクの低減)、業務プロセスに係る内部統制(業務レベルのリスクの低減)に分類しています。この分類を利用して、事業リスクを分析することで、リスクの認識がしやすくなるのではないでしょうか。
③内部統制の機能性アップに貢献する
内部統制に対する理解を深める
リスクへの認識を深める(事業リスク、経営リスク、業務リスク)
より有効な内部統制の導入を誘導する
より効率的な内部統制の導入を誘導する
内部統制を変えることは現場の協力も必要であり、そうおいそれとはできません。
しかし、前からやっているという理由だけでやっている作業や、有効性を失っている統制、逆に効率性を阻害している統制を放置しているようであれば、内部監査は価値を生んでいないことになります。
例えば、仕入時の検収入力モレが多くあるとして、その対応として、すでにある検収入力時のダブルチェックという統制を増やすという方法があります。でも、もっと考えてみてください。もしかしたら、月末に発注残を見て未検収残を消込にかかった方がいいかもしれません。発注書や検収書の記載が複雑すぎるだけかもしれません。
少なくとも問題点があった時に内部統制を変えるという検討が無ければ付加価値生まれません。
逆に、もし、こんな時に内部統制について知恵と経験をもった内部監査人が、リスク低減、コストダウンという観点をもって改善検討に加わると価値を生んでいると思いませんか。
付加価値を生む内部監査人になる具体的な方法は、結局。
社内外から学び続けるしかないですよね(当たり前の結論で申し訳ありません)。
社内の現場から学ぶ、同僚から学ぶ、先輩から学ぶ、経営者から学ぶ
社外の書籍から学ぶ、他社の内部監査人から学ぶ、勉強会や研修会から学ぶ
例えば、内部統制の評価基準/実施基準や、開示すべき不備の開示事例などは金融庁から公表物がありますし、公認会計士協会からも、内部統制監査を行う会計士向けに、内部統制監査の基準や、不正、内部統制の不備のまとめが公表されています。また、上場会社の内部監査人同士が勉強会を定期的に開いたりされています(守秘義務に注意しながら)
内部統制評価に関わられている内部監査人との日々のお話を踏まえて上記記載しました。
内部監査という業務は、その成果が理解されにくい黒子の業務だと思います。そんな業務で日々頑張られている皆さまのご参考になればと書きました。
当方は、京都を中心に個人で活動している公認会計士です。
個人で活動している会計士は珍しいと思います。
興味を持たれましたらメインページもご参照ください。
他にも情報提供しているブログのリンクまとめも載せてます。
メインページ:IPO準備の準備