コントロール・プロセスに係る内部監査部門の定義・役割

基準

内部監査におけるコントロール(統制)の定義

経営者志向、かつ目的志向であるべき内部監査人は、経営者の機能と、組織体のあらゆる活動において経営者の機能を遂行する手段のコントロールを結びつけるような、コントロールの独自の定義を持ち得る。

コントロール(統制)の定義

リスクを管理し、設定された目標やゴールが達成される見通しを高める為に、最高経営者、取締役会及び他の当事者によってとられる措置のすべて。最高経営者は、設定された目標やゴールが達成されることについての合理的なアシュアランスが得られるようにする十分な措置の遂行を計画し整備し、指揮する。

また、組織体のリスクが効果的に管理され、組織体のゴールや目標が能率的かつ経済的に達成されることの合理的なアシュアランスを提供するような仕方で、経営管理者が計画し、組織(設計)しているときに妥当なコントロールが存在する。

統制をどう定義するかは、統制の目的に比べるとさほど重要ではない。内部監査人は、統制は目標が達成されるように設計されて初めて妥当且つ有用である、という点を理解しなければならない。内部監査人は統制の手段を適切に評価する以前に、統制の目的を知らなければならない。

コントロールの(統制)の分類/統制の「機能」による分類

統制は様々な機能を遂行するために設計される。統制の分類方法は様々であるが、代表的な分類は以下の通りである。

予防的統制

望ましくない事象が発生するのを抑止する統制。発見的統制に比して、費用対効果が高い。新しいシステムを構築する際、予防的統制により誤謬を予め防ぎ、修正コストを回避することが出来る。例えば、不正を防止する職務の分掌、不適切な取引を回避する適切な手続き又は規程、監視体制の強化等が該当する。

発見的統制

発生した望ましくない事象を発見する統制。通常、予防的統制よりも費用が掛かるが、予防的統制同様に重要である。発見的統制は、予防的統制の有効性を評価し、なぜその統制が有効に機能しなかったのかを検証する。例えば、レビューや比較、銀行勘定照合表、確認書等の入手、実地棚卸等が該当する。

是正的統制

発見的統制によって発見された不適切な事象を修正する統制。発見された不適切な事象がそのまま放置されるならば、すべての発見的統制には価値が無い。経営者はその事象が完全に修正され、再発を防ぐようなシステムを考えなければならない。例えば、損害に対する保険契約、侵入者を捕まえるガードマンの配置、ウィルスに感染したファイルへのワクチンプログラム等が該当する。

指揮的統制

望ましい事象を発生させ促進させる統制。例えば、有効なインセンティブ制度、行動規範が該当する。

その他統制について

能動的統制/受動的統制

能動的統制:承認された手続きからの逸脱を予防及び発見する統制。問題への意識的な介入を必要とする。

受動的統制:人による介入を持たない統制。例えばコンピュータシステムに設定された統制などであり、そこに存在することで機能する。

ハードな統制/ソフトな統制

ハードな統制:方針や手続、組織構造、決められた公式の手順、及び集権的な意思決定等、より科学的な統制。

ソフトな統制:信頼、共有された価値観、強固なリーダーシップ、高い期待、開放制(風通しが良いこと)、高い倫理的規準等、より人間的な統制。

フィードフォワード・コントロール/フィードバックコントロール

フィードフォワード・コントロール:将来を予想して事象の発生を予防する統制

フィードバック・コントロール:すでに終了した活動に関する情報を得ることで、過去の過ちを参考にして将来の業績を改善するための統制。

マニュアル統制/IT統制

マニュアル統制:人間の手で行う統制。

IT統制:アプリケーション、情報、インフラストラクチャー、人といった情報技術の基盤に係る全般的及び技術的コントロール手段を提供し、業務管理やガバナンスを支援するコントロール手段。

コントロール・プロセスに関わる内部監査部門の役割

「規準」2130は、内部監査部門のコントロールの関わりとして、”有効性と効率性の評価”、”継続的な改善”、”効果的なコントロール手段の維持の支援”という3つの大きな役割を示している。

コントロール・プロセスの有効性については、内部監査業務、外部監査人の業務、及び経営者の自己評価当等から得られる。内部監査部門長は、コントロール・プロセスの有効性の評価を可能にする監査計画案を作成し、コントロール・プロセスの状況に関する報告書を経営幹部、及び監査委員会に提出するべきである。

実施基準(2130):コントロール

内部監査部門は、コントロール手段の有効性と効率性を評価し、継続的な改善を進めることにより、組織体が有効なコントロール手段を維持することに役立たなければならない。

  1. 組織体は有効なリスク・マネジメント・プロセス及びコントロール・プロセスを確立する維持する。コントロール・プロセスの目的は、リスクの管理及び組織体が確立し伝達した目標の達成において、組織体を支援することにある。コントロール・プロセスはとりわけ次に掲げる事項を確実とすることを期待されている。
    • 財務及び業務上の情報が信頼でき完全な状態であること。
    • 業務は効率的に実施され、設定された目標を達成していること。
    • 資産が保護されていること
    • 組織体の活動や決定は、法令及び契約を順守していること
  2. コントロール・プロセスに係る役割については以下の通りである。
経営幹部リスク・マネジメント・プロセス及びコントロール・プロセスの体系の、確立、運営及び評価について監督することである。
ライン・マネージャーそれぞれの領域におけるコントロールプロセスの評価を責任の一つとする。
内部監査人選定した組織体の活動や機能における、リスク・マネジメント・プロセスおよびコントロール・プロセスの有効性に関し、様々な程度のアシュアランスを提供する。
内部監査部門長・コントロール・プロセスの適切性と有効性に関する全体的な意見を形成する。
・上記の意見表明は、監査の完了を通じて得られる十分な監査証拠に基づく。また、必要な場合、その他のアシュアランス提供者の業務にも依拠する。
・内部監査部門長は経営幹部及び取締役会に意見を伝達する。

コントロールの自己評価(Control Self-Assessment;CSA)の概要

1980年代後半から1990年代前半、米国では企業を取り巻く環境が激しく変化した。数か月で担当者が代わり、1年後にはシステムそのものが入れ替わる状況で、長時間にわたるぁンさを実施することへの疑問が生じてきた。

その疑問を解決したのが、内部監査チームによるコントロールの自己評価(CSA)の手法である。CSAは従業員とマネージャーをチーム化して、内部監査部門の幹部によって運営される研修会に出席し、その研修会の中で期待通り運営されているもの、運用上の問題点、修正、改善すべきこと、等の特定を行った。

コントロールの自己評価の性質

CSAを活用する組織体は、公式で、文書化されたプロセスを持ち、経営陣と事業体に属する作業チームに、体系的な方法で次の目的を持って参加することを可能にする。

  • リスクと残余リスクの識別
  • これらのリスクを軽減または管理するコントロール・プロセスの評価
  • 許容可能なレベルまでリスクを軽減するための行動計画の策定
  • ビジネス目標を達成する可能性の判断
  1. 自己評価による調査とワークショップ開催を組み合わせた、CSAと呼ばれる手法は、マネージャーと内部監査人がコントロール手続を共同で評価するのに有用且つ能率的なアプローチである。最も単純な形式で、CSAは事業目的とリスクをコントロールに結び付ける。CSAの参加者の多くの異なる技術や様式を使うが、多くの導入されているプログラムは、主な特徴や目的を共有している。
  2. CSAプログラムの3つの基本形式は①ワークショップ、②調査、③経営者による分析である。これらを組み合わせて実施するケースもある。

<CSAプログラムの3つの基本形式>

ワークショップ

ワークショップは、事業部門又は機能のさまざまなレベルから選ばれた作業チームから情報を収集する。ワークショップの方法は、目標、リスク、コントロール、又はプロセスに基づく。

目標ベース
  • ビジネス目標を達成する最善の方法に焦点を当てる。
  • コントロール手続が有効に作用し、残余リスクが許容可能なレベル内にあるかを確かめることを狙いとする。
リスクベース
  • 目標を達成する為のリスクをリストアップし、コントロール手続が主要なリスクを管理するのに十分であるかを調査することに焦点を当てる。
  • 重要な残余リスクを確認することを狙いとする。
コントロールベース
  • 存在するコントロールがどの程度効果的に運用されているかに焦点を当てる。
  • 実際に作用しているコントロールと経営者がコントロールに期待している作用の間にあるギャップを分析することを狙いとする。
プロセスベース
  • 連続したプロセスの構成要素である選択された活動に焦点をあてる。
  • プロセス全体及び構成要素となる活動を評価、更新、確認、改善、かつ合理化することを狙いとする。

調査

  • CSAに関する調査書式は、対象となる回答者が理解できるよう注意して記述された「Yes/No」と答える非常に単純な質問表が利用される。
  • 非常に多くの回答者からの答えを求めるほか、またはワークショップの参加者が広範囲意にわたりすぎる場合に調査が利用される。

経営者による分析

  • 経営者によって注意されたビジネス・プロセス、リスク・マネジメント、及びコントロールに関する情報が作成されることにより、その他のアプローチの大部分をカバーする。
  • 分析は、しばしば特定の性質のコントロールに関する詳細で適時的な判断に達するよう意図され、一般的にスタッフ又は支援的役割にあるチームによって作成される。

コメント