内部統制の基本的要素のひとつ「モニタリング」には、業務担当部門等で行われる「日常的モニタリング」と、経営者の責任の元に内部監査部門等によって行われる「独立的評価」があります。
前者の「日常的モニタリング」とは、内部統制の有効性を確保するために、通常の業務プロセスに組み込まれて実施される監視活動のことをいいます。
この記事では、日常的モニタリングについて簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
日常的モニタリングとは
内部統制基準では、日常的モニタリングについて、以下のように記しています。
日常的モニタリングは、内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいう。
下図のように具体的に表すと、日常的モニタリングは、日常業務において行われる承認手続きのようなコントロール(統制)としての監視機能を担っています。
承認権限者等が行う承認や照合、決裁手続きのような「コントロール(統制)=日常的モニタリング」の実施によって、内部統制の有効性を維持できるように、従業員がルールどおりに業務を行っているかを確認しています。
また、財務報告に係る全社的な内部統制に関する評価項目例においても、日常的モニタリングに関して以下の項目があり、やはり内部統制の有効性にとって、日常的モニタリングは重要な役割があるといえます。
・日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
・経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
なお、上記2点の評価項目例に対応するには、職務権限規程や、稟議規程、内部統制規程等において、日常的モニタリングに関連する適切な権限の設定や、日常的モニタリングの手続き、日常的モニタリングで得た情報の取扱い等について規定しておく必要があります。
日常的モニタリングと独立的評価との関係
独立的評価とは、通常の業務から独立した視点で、定期的または随時に行われる内部統制の評価のことをいいます。
日常的モニタリングは業務担当部門が内部統制を評価しますが、それに比して、独立的評価は評価対象となる業務プロセスに携わらない立場の者(経営者、取締役会、監査役等、内部監査等)が内部統制の評価を実施します。
なお、財務報告に係る内部統制の評価では、経営者の責任の元に行われる独立的評価の実施が求められ、内部監査部門等が評価手続きを行います。
前述のように、日常的モニタリングは承認権限者の承認や照合、決裁という体裁で行われますが、これらはそのまま業務プロセスにおけるキーコントロールである場合があります。
キーコントロールは、内部監査部門等により、業務プロセスに係る内部統制の整備・運用状況評価において、適切に機能しているかが確認されます。
つまり、業務担当部門で行われている日常的モニタリングという監視活動を、内部監査部門等がさらに独立的な立場で監視・評価している、という構図になります。
日常的モニタリングで発見した不備の是正
ルールどおりに業務が行われていないことを日常的モニタリングで承認権限者等が発見した場合、差戻し等で適切な状態になるように是正が行われます。
問題の所在が、業務担当責任者の知識や経験の不足にある場合、より上位の権限者による検証を設定するか、状況によっては、知識や経験に拠らない業務管理体制を構築する必要があるかもしれません。
また、問題の原因が複数存在していたり、業務フローそのものが現状と乖離して業務が属人化してしまっている場合は、ルールそのものを見直したり、業務フローの再構築も視野に入れなければなりません。
自己点検とは
実施基準では、「自己点検」について以下のように記述されています。
業務活動を遂行する部門内で実施される内部統制の自己点検ないし自己評価も日常的モニタリングに含まれる。
自己点検とは、業務担当部門の責任者(プロセスオーナー)等の適切な者が、実際の業務の流れと、3点セット(業務記述書、フローチャート、リスク・コントロール・マトリクス(RCM))の内容において整合性がとれているのかを定期的に評価することをいいます。
評価作業の内容自体は、内部監査部門等が行う業務プロセスに係る内部統制の評価に似通っていますが、自己点検はあくまで業務担当部門自身が評価を行うため、それのみでは財務報告に係る内部統制の評価で求められている「独立的評価」を実施したことにはなりません。
しかし、もし自己点検において問題が発見されれば、内部統制の整備・運用状況の改善につながり、業務担当部門の意識の向上ととともに、内部統制の有効性の確実さが増すことになります。
自己点検と独立的評価との関係
また、同じく実施基準では、自己点検について、
自己点検による実施結果に対して独立したモニタリングを適切に実施することにより、内部統制の評価における判断の基礎として自己点検を利用することが考えられる。
とも記されています。
各業務現場において内部統制の運用状況に関する自己点検が適切に行われているかどうかによって、内部統制の有効性評価の検討材料にすることができます。
そのため、自己点検の結果は経営者に報告され、さらに内部監査部門等による独立的評価を受けることになります。
また、自己点検の評価結果を参考にして、焦点を当てるべきリスクと統制(コントロール)を選別し、そこに集中して内部統制の有効性の評価手続を進めることが可能になるというメリットもあります。
CSA(Control Self Assessment)とは
CSA(Control Self Assessment)は内部監査分野において「統制自己評価」などとも呼ばれ、自己点検手法のひとつです。
従業員が参加するワークショップや、アンケート等を用いて、業務担当部門自身が業務に関するリスクや内部統制の整備・運用状況について明らかにする評価方法です。
業務や統制(コントロール)に直接携わる管理職や担当者等がCSAを実施することにより、業務現場での内部統制やリスクマネジメント、コンプライアンスに対する意識を高めることができます。
また、ワークショップが各々の業務範囲を越えて集まった参加者によって実施された場合、担当部門を横断した業務プロセスに対する理解度を向上させることにも役立ちます。
CSAの形式
CSAでとられるアプローチには、主に以下の形式があり、複数を組み合わせて実施する場合もあります。
- チームワークショップ
- アンケート
- 経営者による分析
チームワークショップ
訓練されたファシリテーターによって運営されるワークショップで、以下のような点に注目して、リスクや内部統制の整備・運用状況を業務担当部門自身が評価します。
<目標ベース>
組織目標を達成する最善の方法に焦点を当てます。
統制(コントロール)が適切に働いた後に残ったリスク(以下「残余リスク」という)が、今日可能な範囲であるかどうかを確認します。
<リスクベース>
組織目標を達成するためのリスクをリストアップし、そのリスクに対応した統制(コントロール)が十分なものであるかに焦点を当てます。
また、残余リスクを確認します。
<コントロールベース>
統制(コントロール)が適切に運用されているかに焦点を当てます。
実際の統制(コントロール)の運用状況と、本来期待される運用状況の差を分析します。
<プロセスベース>
業務プロセスを構成する活動そのものに焦点を当てます。
業務プロセス全体や活動を評価し、改善します。
アンケート
「はい」「いいえ」と答える単純な質問書を使用するアプローチ方法です。
ワークショップのようなオープンな場での率直な討議が合わない社風の場合や、多くの回答者から答えを得たい場合、情報収集にかける時間やコストを最小限にした場合等にアンケートが利用されます。
経営者による分析
経営者の指示により、担当者レベルのチームが、業務プロセスやリスクマネジメント、内部統制等の状況を経営者目線で分析し、その結果を資料等にまとめます。
