アドバイザリー
連載 「統制活動の効率化(合理化 / 最適化 / 再設計)」

第2回 統制活動の合理化

新日本有限責任監査法人 ITリスクアドバイザリー部
長尾 大輔
2012.04.13
1つ前の記事に戻る

統制活動の効率化のうち、「合理化」について解説します。「合理化」は、統制活動およびプロセスの不要な部分、重複した部分を削除するアプローチです。

1. リスク・コントロール・マトリックスによる分析

多くの内部統制活動報告制度において、リスク・コントロール・マトリックス(Risk Control Matrix: RCM)に基づき、評価すべきキーコントロールが選定されています。

RCM(例)
RCM(例)

一般に、RCMは縦軸にリスク、横軸に統制活動を記載し、リスクと統制活動の対応関係をマッピングします。これによりなるべく多くのリスクに対応した統制活動をキーコントロールとして選択することで、評価すべきキーコントロールの数を通して、統制活動を効率化することができます。RCMを俯瞰することで、統制活動が効率よく設定されているかを分析し、評価すべきキーコントロールを削減します。

2. 複数部署にまたがるプロセス

RCM(例)は、売上プロセス全体をまとめたもので、異なる部署の統制活動が一つで表わされています。しかし、実際には、多くのRCMは部署単位で作成されています。特にJ-SOX導入初年度においては、作業負荷を会社全体で分散させるために、一つのプロセスに関するRCMを特定の責任部署が全て書くよりも、関係部署が各々に関連するフローチャートや業務記述書の作成責任を負うやり方を採用する傾向がありました。そうした結果、本来一つのRCMに記載されるべきプロセスが、複数のRCMに分割されて表現されることになります。それにより、一つのRCMを俯瞰すれば発見できたであろう不要な統制活動または重複した統制活動が、そのまま残ってしまう可能性があります。
したがって、複数のRCMを横断的に検討する試みが必要です。しかし、やみくもに複数のRCMを結合させ分析を開始しようとしても、手間がかかるだけで効果が上がりません。

3. 実際の分析事例

そこで、先ずは以下の要素に着目しながら分析します。問題点があれば、その部分についてさらに詳細に分析し、どのプロセスが非効率なのかを検討します。

  1. (1)各統制活動種別の占める割合 (手作業統制活動、自動化された統制活動等)
  2. (2)特定のリスクと、それに関連する統制活動の相関関係
  3. (3)特定統制活動と、それに関連するリスクの相関関係
  4. (4)各アプリケーションシステムに関連付けされた自動化された統制活動の数

分析にあたっては、ツールを使うことで、手続を定型化することもできます。以下、一例として、Control Review Tool (CRT)と呼ばれるEYで開発したツールを利用した分析事例を紹介します。

ここではツールの詳細に関する説明は割愛しますが、CRTのイメージ図、および分析ポイントは以下のとおりです。

CRTのイメージ図

(1)各統制活動種別の占める割合

手作業統制活動、自動化された統制活動、IT依存手作業統制活動の割合は、統制活動の設計において、重要な指標となります。手作業統制活動が多すぎる、または自動化統制活動が少なすぎる場合、統制活動の自動化を検討することになります。もちろん自動化された統制活動が十分に存在し、リスクに対応しているにも関わらず、無駄に手作業統制活動が多く設定されている可能性もあります。本ツールでは、円グラフの形で、各統制活動種別の割合を表現します。

(2)特定のリスクと関連する統制活動の相関関係
(一つのリスクに対して幾つの統制活動が対応しているか?)

通常、一つのリスクに対して、対応する統制活動が1つ以上存在するはずです。一般にその数は、なるべく少ない方が効率的に統制活動が配置されていると判断します。但し、なんらかの理由があって、一つのリスクに複数の統制活動を対応させているケースもあるため、一概に判断できません。 そこで、先ずは全体の傾向を俯瞰的に分析するため、特定のリスクに対して設定されている統制活動の数を表形式で示すと分析し易くなります。本ツールでは、以下のようなグラフで表します。

特定のリスクに対して設定されている統制活動の数

本グラフでは、対応する統制の数が1つだけ存在するリスクが最も多く、対応する統制の数が増えるにつれ、リスクは少なくなっていることが読み取れます。一般に一つのリスクに対して数多くの統制活動が対応している状況は効率的ではなく、棒グラフが右下がりになっているほど、効率的に統制活動が設計されていると言えます。

(3)特定の統制活動と関連するリスクの相関関係
(一つの統制活動で幾つのリスクがカバーされているか?)

一つの統制活動は一つ以上のリスクに対応しているはずです。通常、一つの統制活動で複数のリスクに対応するように設計していくことで、統制活動の効率化を進めます。しかし、RCM等を見ただけでは、一つの統制活動でいくつのリスクがカバーされているかといった全体像を把握することは困難です。
そこで、特定の統制活動がカバーしているリスクの数を、表形式で示すと分析し易くなります。本ツールでは、以下のようなグラフで表現します。

特定の統制活動がカバーしているリスクの数

本グラフでは、一つのリスクにだけ対応している統制活動の数が最も多く、二つ以上のリスクに対応している統制活動の数は、漸次、少なくなる傾向にあると読み取れます。
理想的には、なるべく多くのリスクに対応した統制活動が、数多く設定された方が、統制活動全体としての効率性が高まるため、棒グラフが右上がりになっている方が、望ましい状態だと言えます。

(4)各アプリケーションシステムに関連付けされた自動化された統制活動の数

自動化を推し進めることにより統制活動の効率化を図ることができます。その第一歩として、どの程度自動化された統制活動を利用しているかを理解する必要があります。
本ツールでは以下のような形式の表で、各アプリケーションとそれに関連する自動化された統制活動の数を示します。

アプリケーション名 自動化された統制活動 IT依存手作業統制活動
1. 財務会計システム 41 24
2. 受注出荷システム 5 3
3. 経費計算システム 2 4
4. 給与計算システム 1 3
5. 一般購買システム 3 1
6. 購買管理システム 1 1
7. 決裁管理システム 2 1

このような表を用いて、自動化統制活動、IT依存手作業統制活動の数が少ないシステムについては、統制活動の自動化を検討します。
一方、これらのシステムについては、IT全般統制活動の評価を通じて、管理体制に重要な問題がないかを確認しておくべきと考えます。IT全般統制活動の有効性が十分担保されているシステムについては、その管理体制も有る程度確立しているため、システムが提供する機能(=自動化された統制活動)についても、大きな問題は発生しにくいと考えられます。逆に、システムの管理体制が十分に確立していない状況では、そのシステムが継続的に問題なく機能し続けるか、疑義が生じることになります。

4. おわりに

統制活動の効率化を進める上で、今回紹介した(1)~(4)の要素を分析することは「合理化」の基本的アプローチと言えます。こうした分析に基づき問題点を発見、具体的なプロセスの見直しに入ることでスムースに進められます。今回、紹介したツールは一例にすぎず、その他にも各種分析ツールがあります。しかし、高価なツールが必ずしも意味のある分析結果をもたらすとは限りません。先ずは、現在ご利用のツール(Microsoft Excelを含む)を活用し、紹介した分析ができないかを検討されることをお勧めします。


次回は、統制活動の自由化を含め、その最適化について解説します。


連載 「統制活動の効率化(合理化 / 最適化 / 再設計)」




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?