最後の今回は、「内部統制の評価」について説明します。
内部統制の評価
内部統制の評価について、大きく2種類あります。
一つは、先のコラムでご紹介しました「全社的内部統制」のような「チェックリスト」の評価です。
これは、「金融商品取引法対応の内部統制構築と評価ポイント:全社的内部統制の構築・評価の完全ガイド」で説明していますのでご覧ください。
今回ご紹介するのは、3点セットを構築したプロセスの評価方法です。
・決算財務報告プロセス
・IT全般統制
・その他業務プロセス
の3つについて、作成した3点セットをどのように評価するか説明します。
なお、「実施基準」では、この評価(全社的内部統制及びこれら3点セット全体の評価の意味)は経営者が行い、内閣総理大臣に「内部統制報告書」として提出が義務付けられています。また、財務監査を行う監査法人は、組織が行った内部統制の評価に依拠するか「監査報告書」の中で意見を述べることになります。
内部統制評価を実施する部門
内部統制評価を行う部門は多くの場合、内部監査部門になるので、おのずと評価者は内部監査部門担当者になります。「金融商品取引法」の内部統制を構築する会社は一般的に上場企業なので、内部監査部門が無いということは無いと思いますが、上場企業ではなくても、内部統制を整備し、誤謬や不正等の財務リスクを低減する観点で内部統制を整備される会社においては内部監査部門が無いことも考えられます。その場合は、内部統制の構築において独立した立場にある方で、内部統制評価に関する力量をお持ちの方であれば問題無いと思います。当然ですが、このような場合は「内部統制報告書」の提出も不要です。
評価方式
前段が長くなりましたが、ここから本題の3点セットの評価方法について説明します。
評価には「整備状況評価」と「運用状況評価」があります。
整備状況評価
「整備状況評価」とは、内部統制において3点セットの構築が「有効」でかつ「適切」にできているかどうかを確認することです。
「有効」とは目標を達しているかどうかということで、構築という目標の達成度合いになりますが、単に構築しただけだと意味がありません。3点セットが「内部統制方針書」等の作成方針に従って構築されていて、内容として抜け漏れが無いようにできているかということです。また、RCMに記載されているコントロールが本当にリスクを低減する内容であるか判断が必要です。ここまで確認して初めて「有効」と言えます。
「適切」とは、構築した内部統制が組織のニーズや状況に適合しているかという観点で判断してください。
例えば、コントロールの内容だけ見ると確かに効果が非常に高いが、担当者が対応できる内容かどうかという観点で判断してください。コントロールはあくまで、会社として実施できる内容でないといけません。実力以上に高望みしてはいけません。
もし、内部統制の整備状況に不備があれば、内部統制の推進部署(3点セットの整備を行った部署)に連絡して修正を行う必要があります。
運用状況評価
「運用状況評価」とは主にRCMのコントロールが適切に実施されているか確認する作業になります。
運用状況を評価する際、評価者は当該コントロールが「有効」に実施されていることを客観的に判断するためサンプリングを行います。
例えば、「担当者が受注入力で数量を間違って入力するリスク」というリスクがあり、そのコントロールが「上長は、担当者が入力後に「チェックリスト」を出力し、数量が間違っていないか確認する」だとした場合、評価者は定められた件数の上長がチェックした「チェックリスト」をサンプリングし、上長が確実にチェックしているかどうか(「チェックリスト」にチェック印の記載や押印)を確認します。
評価時のサンプリング件数はコントロールの実施頻度により変わります。コントロールの実施頻度が多いほどサンプリング件数が多く、例えば日に複数回のチェックが行われているものであれば25件のサンプリングや、月に一度のチェックであれば2件のサンプリングのように変わります。
評価者は必要な件数のサンプリングを行い、全てのサンプリングで適切なチェックが行われていれば、当該コントロールは「有効」と判断します。
このような形でRCMに記載されている全コントロールについてサンプリングして確認します。
※ただし、全コントロールのサンプリングをするかどうかは「内部統制方針書」の記載に従ってください。「キーコントロール」という、サブプロセス単位で定めた重要なコントロールが「有効」に機能していれば、そのサブプロセス自体が「有効」と判断できるコントロールがある場合は、当該コントロールだけの評価で構わないと判断することもできます
IT業務処理統制の評価
また、一般的にIT業務処理統制のテストは非常に困難な場合が多いです。テスト環境が無く、IT業務処理統制に記載されている処理の正確性を確認するテストが困難な場合は、今現在、本番環境において処理が正しく行われている実績と、IT全般統制が「有効」に機能していることを合わせて「有効」と判断することで構いません。
一方、1件でもチェックが漏れているチェックリストが発見されたら、そのコントロールは「有効で無い」という判断になります。 その場合は、「内部統制方針書」で定めた期間適切に運用を行い、当該運用期間終了後に再度評価者が所定の件数だけサンプリングを行い全て「有効」であれば最終的に当該コントロールは有効と判断します。しかし、再度1件以上「有効でない」なチェックリストが発見された場合は、当該サブプロセスにおける金額的影響度を判断します。金額的影響度が一定以上を超えると内部統制自体が「有効」に機能していないと判断され、「内部統制報告書」もそのような内容で報告することになります。