今回は、「3点セット」の整備について説明します。
「3点セット」の整備
内部統制の構築において、3点セットとは
・業務フロー
・業務記述書
・RCM(リスク・コントロール・マトリックス)
の3つになります。
これまでのコラムで説明しました、
・決算財務報告プロセス
・IT全般統制
・その他業務プロセス
などの業務内容を明確にし、その業務フロー内のどこにどのようなリスクがあり、そのリスクに対してどのようなコントロール(制御)が働いているかを現したものになります。
この3点セットの整備は、内部統制の構築の中で最も工数を必要とする作業になります。
3点セットは、これらプロセスのサブプロセス単位で整備します。
例えば、その他業務処理統制の販売プロセスに「受注サブプロセス」というサブプロセスがあれば、この「受注サブプロセス」という業務について、上で書いた3つの成果物を作成することになります。
では、3つの成果物を具体的に説明していきましょう。
業務フロー
サブプロセスの業務の流れを図で示したものになります。
例えば「受注サブプロセス」であれば、それに関係する部署とやり取りするデータ・記録などと、その業務フローのどこにリスクがあるか記載します。さらに、そのサブプロセスで行われているコントロールも記載します。このコントロールは、上長によるチェック/承認行為や、システムで自動で行われているチェック機能などが該当します。
次の業務フローサンプルをご覧ください。
【業務フローの例】
登場する組織として、得意先、営業部、事務部があります。その他にシステムがあります。どのようなサブプロセスであれシステムを利用していると思いますので、システムへの入出力が関係する箇所には必ず記載します。
補足説明欄には、ステップごとの簡単な説明を記載します。具体的な記載は次の業務記述書で記載するので、ここでは簡単に何をやっているステップかということを、業務フローを見ただけで判断できるレベルで構いません。
そして一番重要なことが、△印で表されているリスクと〇印で表されているコントロールになります。
リスクとコントロールの詳細についてはこの後説明しますが、業務フロー上では、どのステップにリスクがあるのか、どのステップもコントロールがあるのか明示することが重要です。
業務記述書
業務記述書は、業務フローの各ステップで何を行っているか、5W1Hで記載します。例えば、業務フローの①に書かれている注文書の入手及び②の受注票の作成というステップでは、「営業担当者は受注が確定したら、得意先の担当者から注文書を紙で入手します。営業担当者は注文書をもとに受注票を作成します」のように記載します。
この注文書の入手及び受注票を作成するステップでは3つのリスクがあることが示されています。
リスクの細かい内容については後で説明しますが、受注票作成のステップで何かしらの財務リスクがあることがわかります。
このように、各ステップで行っている業務内容を細かく記載します。
【業務記述書の例】
RCM
最後がRCMになります。RCMは3点セットの中でも肝になります。
文字通り、リスクとコントロールのマトリックスなので、業務フローで記載したリスクごとに、どういう内容のリスクがあるかということ、そのリスクに対してどのようなコントロールが働いているかということをマトリクスとして記載します
発生頻度とは、そのコントロールがどのくらいの頻度で行われているかを示します。
一日に何度も行われている上長によるチェック/承認行為のようなコントロールであれば発生頻度は「日に複数回」になり、一日の業務の終了時に1回だけ行われていれば「日次」になるというように判断して記載します。
【RCMの例】
IT業務処理統制
最後に、IT業務処理統制について説明します。
IT業務処理統制は、業務の中に組み込まれている、システムを利用したコントロールになります。例えば、画面からの入力時に、本当は数字しか受け付けない項目にアルファベットを入力すると入力エラーが表示されたり、発注処理を行うと発注データが作成され自動的に在庫数量が減らされる処理などいろいろあります。例えば在庫数量を減らす処理を担当者が手動で行う場合だと、当然ですが入力ミスのリスクがあります。しかし、システムが自動で行う処理においてミスは発生しません。このような人が行うことによるリスクを低減させるようなシステムの仕組みをIT業務処理統制と言います。
内部統制においては、人によるミス発生リスクをIT業務処理統制のチェックで低減しているという観点でコントロールとして利用しています。