内部統制制度は何故施行されたのか。SOX法が誕生したその背景はなにか。浸透し始めたと思われている内部統制制度は機能しているのか、再評価すべき段階にきていると感じている企業も多く見受けられます。初心に戻って内部統制を維持していくための見直しを支援致します。

 【話題の図書】 

   
  
監査もコンピュータを利用する事が多いですが、やはり旧態依然とした勘定科目単位の精査が中心になっています。当然重要科目の内訳は外部取引先への照合など行うわけですが、結果としてその数字の整合性に関しては、総合的に且つ科学的に数字を見ないと判断は難しい所です。紹介した図書では、コンピュータを利用して旧態依然とした監査手法を抜本的に見直す統合視点で利用する手法CAATが解説されています。下段にCAATの概要を書いていますので合わせてご覧下さい。これは内部監査でこそ利用すべきだと考えております。何故なら自社の業務を熟知しているのは内輪にいる人だけだからです。外部監査人に期待するのは本来本末転倒だと思います。自分は自分で守る姿勢が必要だと思います。

ドキュメント化の次はCAAT     
(Computer Assisted Audit Techniques)

 
CAATは「コンピュータ利用監査技法」と言う意味になります。今後の内部監査は人力ではない科学的な方法で実証していく形式に代りつつあります。
 

■ 内部監査部門の次なるMission

  • ① 経営者が経営戦略遂行状況をに役立つ財務資料以外の監査報告に対する期待があります
  • ② コストセンターからプロフィットセンター(①への貢献で)への期待があります
  • ③ 少人数で効率的かつ効果的な成果が期待されています

 
これまで内部監査部門の活動は、過去に発生した財務会計情報を元に、情報の正確性やビジネス活動の適法性を後発的に検証する事等の管理業務という位置付けでした。これがコストセンターと言われる所以でもあります。しかし、これからの内部監査部門の活動は、現時点で発生している財務情報・管理情報を利用して、ビジネスが戦略通りに実行されているか分析し不正の無い健全な状況で経営戦略が推進されているを、報告して貢献するスタイルに変って行きます。
 
多くの内部監査部門はその人員が必ずしも十分ではなく、海外を含めた多数の事業拠点に対して、少人数で対応しているのが実状です。企業が扱うデータの増加やシステムの高度化等により、リソースの面からは限界に達している企業も多く見受けられます。CAATは、このような多くの内部監査部門が抱えている課題を解決するための有効なツールであると言えます。
 
報告レベルは詳細なデータから取得する必要があります。また報告タイミングは週次、月次、四半期、半期等が望まれますので、Host Computerからのデータ、連結会計・開示情報データ(サーバーなど)、そのた予算実積管理のデータなど多くの情報をCAATのデータベースにタイムリーに取込む仕組みを作る事が必須となります。
CATTではこれまでのEXCELによる分析ではないデータベース分析を行ないます。そのためデータの粒度(細かさ)によっては数字の分布分析なども行う事ができます。いくつかのCAATシステムが抱えている機能の中にベンフォード法則(分析)と言う手法があります。噛み砕いて見ると以下の内容になります。


■ベンフォードの法則とはどのような内容か?

ランダムな数字の集合体から、各数字の最初の一桁を取りその数字が発生した回数を並べると、一定のルールが存在するという法則です。
数字の最初の一桁を発生回数で並べた場合、1の出る確率は2が出る確率より高く、また2の出る確率は3より高い、といったように、数字の高いものほど発生確率は低いというルールを確立しました。(具体的には30%以上の数字は1から始まり、17.6%は2から始まるとのこと。)この法則は最初の一桁だけではなく、最初の二桁、三桁においても同じ法則が成り立つことも実証しました。
 
■仕訳に使われる金額もベンフォードの法則が当てはまるのか?
仕訳に使われる金額も、基本的にはランダムな数字の集合体と言えることから、ベンフォードの法則に当てはまることが可能と。実際の仕訳の数字を使って検証した結果各数字の発生した回数は、概ねベンフォードの期待値と似た動きをしているが、中には期待値を大幅に超える数字がある。言いかえると、それらの数字が通常、期待されている回数より多く発生している。      
          ↓
ベンフォードの法則から発生する「期待値を超える数字の発生の原因」には不正の可能性、または内部統制の不備の可能性が考えられる。特定の数字が期待値を大きく超えて発生した場合、その内容精査の必要あり。
(KPMGニュースレターからの要約)

と言った事がCAATを使うと自動で分析できます。この事は何かと言えば、「不正を科学的に抽出(予測)することが可能になる」と言う事です。これまでサンプリングなどのマニュアル監査を実施してきましたが、これからはCAATを利用した効率的かつ効果的な監査が可能になります。実際、現場の外部監査人も殆どがHost ComputerからのデータをEXCELなどに取込んで監査しています。CAATを利用している監査法人も多くあります。
 

■ 内部監査部門への期待は!

 内部監査人の監査精度が高くなれば、外部監査人からの依拠率も高くなり監査コストの低減にも繋がります。内部監査部門では次のステップとして不正リスクだけでなく大きな間違いも含めて監査できる体制が少人数で実施可能になります。またCAATは情報システムのデータの整合性も精査することが可能になりますので、企業全体として経営戦略だけでなく多くの数字の品質を上げる事に貢献できます。
 
監査人のためのコンピュータ利用監査技法(CAAT)の実践 ACL編
内部監査のためのデータ監査技法
 


内部統制の次はERM(Enterprise Risk Management)

 
COSO-ERMはすでにUS-SOX実施時期にはすでに議論されひな形もできあがっています。リスクマネジメントはSOXだけでなくBCP、BCMなどでも具体的な対処方法として文書化されてコントロールされています。しかし現実にはSOXをやっていればリスクが回避されていると誤解をしている管理者が多くいるのも現実です。SOXはあくまでも財務諸表に影響を与えるリスクに限定されています。
 
情報システムや配線の断線、天変地異への対応、政情不安に対するリスク対応などは含まれていません。すべてのリスクに対する備えをしても万全とは言えませんが、優先度を決めて重要性に応じた対策を打たなければなりません。このような措置ができている企業は社会からも信用を得られる訳です。


内部統制は本当に機能していますか?

 
SOX法監査が実施され不備もあまり日本では指摘されないまま過ぎている感があります。多くの企業では3点セットを中心に毎年内部監査室が外部監査に通ったとされるコントロールの実施状況を確認するだけのルーティン作業に終わっているのが現状ではないでしょうか?
 
またSOX対応後のビジネスインパクト・テストが実施されているところが少なく現場に負荷のかかったままの状況が続いている企業もあります。


内部統制の本来のあり方は!

 
内部統制は内部牽制制度と相まって効果を発揮するものです。またコントロールの監査視点は毎年変えて実施すべきであり社内での馴れ合いの中では機能しないものと認識すべきです。この事は法制度への準拠と言った範疇で捉えるべきではなく広く企業の健全性確保維持を視野に入れた経営者の理解が必要なのは言うまでもありません。
 
しかし現実では経営者の本音と労力は売上の確保と企業の拡大に注力しがちで企業のファンデーションに肝を入れる余裕が無いと言えるのではないでしょうか。
 
当社はルーティン化しない内部監査室の方策や本質的な内部統制のあり方を皆様と一緒に検討するプロジェクトを設けています。内部統制が旨く行かない企業はIFRSの対応も旨くできないと考えています。今一度内部統制のあり方を再考してみませんか。
 


ページの先頭へ