コントロールマトリクス評価(20180307) [3-内部監査参考情報]
内部監査の主要な役割として、「ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価」することにあります。おそらく、皆さんの組織でも「内部統制基本規程」などで、内部監査の位置づけ・役割に関する記述(モニタリング)にも記されていると思います。短い言葉ですが、なかなか奥深いものです。
組織統治・危機管理・内部統制が、妥当であり、有効に機能しているかを評価する事は、それ程、容易いものではありません。あるべき姿が明確になっていること、そして、日常の運用においてしっかり機能している事をどういう尺度で判定すべきか、随分悩みました。
日常の運用における有効性は、例えば、業務監査を通じて、重大な問題や誤謬が発見されなかったという結果をもって、対象とした監査領域におけるアシュアランス(保証)は出来ると思いますが、そのためにはかなり幅広い監査を行う必要があります。もちろん、先に示した「リスクベース監査」によって、監査リスクは抑えられることで、補うことはできると考えます。そうした点では、より丁寧に監査を行うことで、有効性の評価はある程度可能でしょう。
では、妥当性の評価はどうでしょうか?
ガバナンス・リスクマネジメント・コントロールのあるべき姿(妥当な姿)を何を持って判断できるのでしょうか?
そこで考え付いたのが「コントロール・マトリクス・アセスメント(内部統制評価)」の手法でした。おそらく、同じような考え方で、すでに取り組んでおられるところもあると思いますが、少し解説させていただきます。
大雑把に言うと、「組織を俯瞰し、いくつかのプロセスに分類し、内部統制の構成要素を指標として評価する」方法です。
内部統制システムの整備の指針では、「6つの体制整備」が示されていました。
コンプライアンス体制・情報管理体制・リスク管理体制・業務の効率性確保の体制・経営管理体制(グループ管理体制)・監事監査体制の6つが示されていて、内部統制委員会や事務局はこの6つの体制の整備と進捗評価を行い、強化策を検討します。
当然、内部監査も同様の視点で評価すれば、事足りるのかもしれませんが、実際に行ってみると何かしっくり来ないのです。
実際の内部監査では、例えば、人事や労務管理、供給高や経費等の予算管理、安全運転や労働安全衛生、経理管理、食品衛生管理等々、日常業務を支える一つ一つのプロセスが間違いなく運用できているかを監査しています。その結果、ミスや誤謬が発見されれば指摘事項として是正や改善を促します。その監査プロセスと、前述の内部統制の6つの体制評価がリンクしなかった事がしっくりしない理由でした。
そこで、現状の組織全体にある主要なシステムを設定してみました。
順法管理・人事管理・労務管理・安全衛生・安全運転・情報管理・個人情報保護・予算管理・会計管理・資産管理・商品管理・供給管理・食品衛生管理・組合員動態管理・危機管理・環境管理(EMS)・業務管理(QMS)等にざっくりと分けてみることにしたのです。
この区分には、「内部規程」を拠り所にしました。
そして、これらを束ねて、内部統制システム(プロセス)という考え方にしました。(これは、のちに総合マネジメントシステムへと繋がりました)
その上で、一つ一つのプロセスを、内部統制の構成要素(COSOキューブ)である、統制環境・リスク評価・統制活動・情報と伝達・モニタリング・IT活用の6つで評価する事にしました。
横軸に、プロセスを置き、縦軸に構成要素を置き、マトリクスにしてますを埋めていくことにしたのです。
実際には、縦軸となる構成要素は、6つではなくさらに細分化しました。
統制環境では、法令・基本方針・行動規範・政策・ビジョン・中長期計画・年次方針を置きました。
リスク評価では、内部統制委員会が実施するリスクマネジメントの結果を入れました。
統制活動では、主管会議・主管部署・内部規程・基準や手順・教育訓練・インフラ資材と運用を置きました。
情報と伝達では、報告・連絡手段を入れました。
モニタリングでは、日常監視・定期モニタリング・是正改善方法・組織的レビュー・内部監査(会計監査・監事監査)を入れました。
IT活用では、関連するイントラネットの運用状況やファイルサーバーの設定を入れました。
こうして、表としてみた時、それぞれのプロセスの一つ一つのセルがしっかりと埋まっているところもあれば、空白になっているところもありました。空白部分は、プロセス上の不備と認識でき、理由を探ることになります。
実際に適用してみると、内部規程が整備されていても、リスク評価が年次で行われておらず、規程の改定がされず有効性を欠いている事があることが判りました。また、その要因として、主管会議がなかったり、主管部署が明確になっていなかったり、経営層の関与(管理者)が明確になっていなかったり、様々な問題が発見できました。
そして、これが、「内部統制上の不備事項」の候補と考えられ、実査(往査)で証憑・事象の集積を行うことで、不備の立証へと進めることができました。この結果を監査報告書にまとめ、「ガバナンス・リスクマネジメント・コントロールの妥当性と有効性の評価」として、示すことにつなげました。
同時に、マトリクスは、内部統制事務局や経営管理部とも共有することで、システム全体を管理する部署との目線合わせにもつながり、課題の共有と内部監査のアドバイザリー機能発揮にもつながりました。
最初はかなり面倒な作業になりますが、一度作成してしまえば、年次レビューによって効率的な作業に変わりますし、より有効な監査計画策定にもつながります。
組織統治・危機管理・内部統制が、妥当であり、有効に機能しているかを評価する事は、それ程、容易いものではありません。あるべき姿が明確になっていること、そして、日常の運用においてしっかり機能している事をどういう尺度で判定すべきか、随分悩みました。
日常の運用における有効性は、例えば、業務監査を通じて、重大な問題や誤謬が発見されなかったという結果をもって、対象とした監査領域におけるアシュアランス(保証)は出来ると思いますが、そのためにはかなり幅広い監査を行う必要があります。もちろん、先に示した「リスクベース監査」によって、監査リスクは抑えられることで、補うことはできると考えます。そうした点では、より丁寧に監査を行うことで、有効性の評価はある程度可能でしょう。
では、妥当性の評価はどうでしょうか?
ガバナンス・リスクマネジメント・コントロールのあるべき姿(妥当な姿)を何を持って判断できるのでしょうか?
そこで考え付いたのが「コントロール・マトリクス・アセスメント(内部統制評価)」の手法でした。おそらく、同じような考え方で、すでに取り組んでおられるところもあると思いますが、少し解説させていただきます。
大雑把に言うと、「組織を俯瞰し、いくつかのプロセスに分類し、内部統制の構成要素を指標として評価する」方法です。
内部統制システムの整備の指針では、「6つの体制整備」が示されていました。
コンプライアンス体制・情報管理体制・リスク管理体制・業務の効率性確保の体制・経営管理体制(グループ管理体制)・監事監査体制の6つが示されていて、内部統制委員会や事務局はこの6つの体制の整備と進捗評価を行い、強化策を検討します。
当然、内部監査も同様の視点で評価すれば、事足りるのかもしれませんが、実際に行ってみると何かしっくり来ないのです。
実際の内部監査では、例えば、人事や労務管理、供給高や経費等の予算管理、安全運転や労働安全衛生、経理管理、食品衛生管理等々、日常業務を支える一つ一つのプロセスが間違いなく運用できているかを監査しています。その結果、ミスや誤謬が発見されれば指摘事項として是正や改善を促します。その監査プロセスと、前述の内部統制の6つの体制評価がリンクしなかった事がしっくりしない理由でした。
そこで、現状の組織全体にある主要なシステムを設定してみました。
順法管理・人事管理・労務管理・安全衛生・安全運転・情報管理・個人情報保護・予算管理・会計管理・資産管理・商品管理・供給管理・食品衛生管理・組合員動態管理・危機管理・環境管理(EMS)・業務管理(QMS)等にざっくりと分けてみることにしたのです。
この区分には、「内部規程」を拠り所にしました。
そして、これらを束ねて、内部統制システム(プロセス)という考え方にしました。(これは、のちに総合マネジメントシステムへと繋がりました)
その上で、一つ一つのプロセスを、内部統制の構成要素(COSOキューブ)である、統制環境・リスク評価・統制活動・情報と伝達・モニタリング・IT活用の6つで評価する事にしました。
横軸に、プロセスを置き、縦軸に構成要素を置き、マトリクスにしてますを埋めていくことにしたのです。
実際には、縦軸となる構成要素は、6つではなくさらに細分化しました。
統制環境では、法令・基本方針・行動規範・政策・ビジョン・中長期計画・年次方針を置きました。
リスク評価では、内部統制委員会が実施するリスクマネジメントの結果を入れました。
統制活動では、主管会議・主管部署・内部規程・基準や手順・教育訓練・インフラ資材と運用を置きました。
情報と伝達では、報告・連絡手段を入れました。
モニタリングでは、日常監視・定期モニタリング・是正改善方法・組織的レビュー・内部監査(会計監査・監事監査)を入れました。
IT活用では、関連するイントラネットの運用状況やファイルサーバーの設定を入れました。
こうして、表としてみた時、それぞれのプロセスの一つ一つのセルがしっかりと埋まっているところもあれば、空白になっているところもありました。空白部分は、プロセス上の不備と認識でき、理由を探ることになります。
実際に適用してみると、内部規程が整備されていても、リスク評価が年次で行われておらず、規程の改定がされず有効性を欠いている事があることが判りました。また、その要因として、主管会議がなかったり、主管部署が明確になっていなかったり、経営層の関与(管理者)が明確になっていなかったり、様々な問題が発見できました。
そして、これが、「内部統制上の不備事項」の候補と考えられ、実査(往査)で証憑・事象の集積を行うことで、不備の立証へと進めることができました。この結果を監査報告書にまとめ、「ガバナンス・リスクマネジメント・コントロールの妥当性と有効性の評価」として、示すことにつなげました。
同時に、マトリクスは、内部統制事務局や経営管理部とも共有することで、システム全体を管理する部署との目線合わせにもつながり、課題の共有と内部監査のアドバイザリー機能発揮にもつながりました。
最初はかなり面倒な作業になりますが、一度作成してしまえば、年次レビューによって効率的な作業に変わりますし、より有効な監査計画策定にもつながります。
2018-03-07 09:00
nice!(0)
コメント(0)
Facebook コメント
白井貞信 さん
生活協同組合で35年勤務し、最後の7年間は内部監査業務に携わっておりました。
この間の蓄積した経験と知識を活かして、内部監査の皆さんのサポートをさせていただきたいと考えております。
内部統制の構築支援や内部監査業務の実施支援、内部監査品質評価等のお手伝い、監査員養成研修サポート、経営分析等、生活協同組合の組織運営や経営・統制環境整備など、貴生協の状況に応じて、幅広くサポートさせていただきます。福祉事業の業務監査・マネジメント向上のための支援も致します。お気軽にお問い合わせください。
sadanobusirai@gmail.com
コメント 0