Site title
ホーム サービスライン 業種別サービス ビジネスリソース KPMGについて グローバルネットワーク 採用情報

ENGLISH 検索 サイトマップ お問合せ先

ホームビジネスリソースニューズレターリスクマネジメント関連 > 継続的監査と継続的モニタリングの時代 Page2
ビジネスリソース(概要)

ニューズレター

会計関連

税務関連

フィナンシャル(財務)関連

>リスクマネジメント関連

環境・CSR関連

アウトソーシング関連

海外情報

パブリックセクター関連

ホスピタリティ関連

セミナー情報(開催予定)

外部講演

過去のセミナー

申込フォーム

リサーチ/報告書

ビジネスキーワード

出版物のご案内

メールニュース

資料請求
ニューズレター(リスクマネジメント関連)

2008年9月
ページ| 1 | 2 | 3 | 4 |

継続的監査と継続的モニタリングの時代 Page2


II.継続的監査と継続的モニタリングとは何か?

1.継続的監査と継続的モニタリングの概要

継続的監査(Continuous Auditing:CA)は、内部監査部門がITを活用して、各種の取引と業務プロセスに係る監査の証拠と指標を継続的に集めていく手法のことをいいます。継続的モニタリング(Continuous Monitoring:CM)は、経営管理者がITを活用して、内部統制が正常に機能し、各種取引が適切に処理されたかを確認する作業を自動化することです。これらを、主要業績指標(Key Performance Indicators:KPI)や主要リスク指標(Key Risk Indicators:KRI)等に連動させることも有効でしょう。ここで、継続的監査と継続的モニタリングの概念や目的を束ねる概念として、継続的アシュアランス(保証)という概念があります。内部監査部門が、継続的モニタリングの適用状況と継続的監査の結果を踏まえ、取引や内部統制について継続的に保証を与えることをいいます。

継続的監査は、以下の2つからなります。

(1)継続的コントロール評価

個別取引の処理や管理手続を、ITを活用して分析し、処理に異常がないか、 ルール違反はないかを、リアルタイムかほぼそれに近い形で評価していく活動。 コントロールの不備や不正、無駄、乱用を識別するのに適用する。

(2)継続的リスク評価

財務や業務の数字を前期や他の拠点等の数値と比較するのにITを活用して、リスク水準を継続的に分析評価していく活動。各プロセスにおける処理の一貫性の検証、年間の監査基本計画の策定、個別監査の範囲や目的に係る監査実施計画の策定、各種のデータの検証等に適用する。


2.継続的監査と継続的モニタリングの関係

リスクを評価し、内部統制を整備、運用、保守する責任は、あくまで経営管理者が負います。継続的モニタリングはそのための有効なツールです。これに対して内部監査部門は、リスクマネジメントのシステムとコントロールの有効性を独立の立場から識別し評価する機能であり、継続的監査はそのツールです。

この際、経営管理者が継続的モニタリングをどの程度活用しているかが、内部監査人による継続的監査を導入する際のアプローチに直接影響します。そこで、経営管理者と内部監査部門が連携をとり、作業の重複を避けながら、継続的監査と継続的モニタリングの健全な組合せで最大の価値を引き出すことを目指します。たとえば、継続的モニタリングが相当程度経営管理上で活用されている場合、(1)当該プロセスのログと監査証跡、(2)コントロールの母集団との調整、(3)システムの検証パラメータの変更状況を査閲し、継続的モニタリングに依拠できるかを検証します。そのうえで、継続的モニタリングで判明した異常のうち、金額や程度の大きい取引や処理の内容を把握し、経営管理者がどう対応したかを検討していきます。

ただし、必ずしも両方を導入する必要はありません。継続的モニタリングが活用されていなくても、継続的監査を適用することにより、会社が直面するリスクをよりよく理解し、法令遵守体制を強化したり、内部監査の資源の効率的な配分に役立てたりしている企業もあります。

以上の概念を整理すると図表1のようになります。

図表1:継続的監査、継続的モニタリング、継続的アシュアランスの関係

図表1:継続的監査、継続的モニタリング、継続的アシュアランスの関係

GTACガイドの10頁の概念図を基に作成

III.継続的監査の適用事例

継続的監査の適用事例を以下に紹介します。継続的モニタリングも、同様のアプローチで適用することができます。「IT」や「ソフトウェア」の言葉が頻出しますが、これらはツールにすぎません。重要なことは、リスクとコントロールをよりよく管理するために、どのようにITを活用するかを検討するための監査や経営管理の技能です。


1.継続的コントロール評価

ITを活用し、コントロールが機能しているか、不正・無駄・乱用が発生していないかを点検する手法の例として、GTAGガイドは以下を紹介しています。

(1) 従業員が業務目的で使用するクレジットカード(コーポレートカード)の利用状況をチェックする財務のコントロール

経費の精算で、個人目的の購入はないか、権限のない者がカードを利用していないか、カードの二重請求がないか、金額制限を回避するための分割支払いはないかなどを認識するソフトウェアにより、不正を含む不適切なカードの利用を広範囲に発見することができます。

異常や問題が発見されれば、利用者の上司に通知し、内容を調査し、レシートと購入品目を照合するよう指示します。

(2)職務分掌の異常を解析するシステムコントロール

内部統制報告制度でも重要な、システム上の職務分掌が適切に整備されているかを解析する便利なソフトウェアがあります。職務分掌上問題となる状況を定義し、かかるソフトウェアを適用すれば、すべての取引について、問題となる状況を発見することができます。たとえば、ERPパッケージの導入や変更に際しては、職務分掌の原則に反するアクセス権限が与えられてしまうリスクがあります。そこで、各担当者が一定期間に処理した取引数を取引種類ごとにソフトウェアで解析し、たとえば、注文書を作成した担当者が品物の受取りの処理をするといった職務分掌の矛盾した事例を割り出すといった具合です。

(3)システムアクセスの適否をチェックするセキュリティーコントロール

ITを活用すれば、従業員以外の者がシステムに侵入した形跡も容易に発見することができます。たとえば、週次でシステムアクセスのログを内部監査部門が入手し、解析し、正規の従業員でない者がシステムにアクセスしたことが判明した場合、自動的にシステムセキュリティーオフィサーにEメールを発信し、ユーザーIDの削除を要請します。同様に、アクセスを試みて失敗した形跡を調べ、たとえば夜中に何者かがシステムに何回もアクセスしようとした事例が判明すれば、数回のアクセスの試みでシステム上アクセスを排除する仕組みを導入するよう勧告します。

上記のほか、GTAGガイドはITの機能を活用する例として、以下をあげています。

(i)

コーポレートカードに与えられた金額の制限を越えた購入取引をすべて抽出(取引データ検索機能)

(ii)

月次で一定金額を超えるカード使用が購入を担当する部署以外の担当者によってなされた取引の合計金額を算出(複合的な要件にもとづくデータの査閲機能)

(iii)

残業手当の同一職種の他の従業員の支給額と比較して手当ての水増し請求金額を発見・算定(比較分析機能)

(iv)

総勘定元帳上の勘定残高を前期と比較し、一定割合以上に変化した異常値を発見

米国の大手企業では、従業員の経費の精算や残業の報告に継続的監査や継続的モニタリングを適用する事例が増えつつあります。経費の削減に加えて、インテグリティの欠如した従業員が組織にいづらくなる効果を狙っているようです。

取引の異常の探知やコントロールの評価に、異常のITの機能を活用できる分野は多くあります。たとえば、財務報告の分野では、期間配分の適切性を確保するためのコントロールが適切に運用されているか、仮勘定の記帳内容に異常はないか、をITで自動的にチェックすることも可能になるかもしれません。

ITであれば毎日24時間働いてもらうことも可能です。異常値の原因の発見やフォローアップもより迅速かつ容易に実施することができます。ちなみに、ITを活用する頻度は、関係するビジネスリスク、内部統制の整備状況、経営管理者によるモニタリング機能の良否などに応じて調節すればよいのです。

ところで、米国企業改革法の施行後、大手会計事務所は一定期間に記帳されたすべての修正仕訳を解析するソフトウェアを開発し、必要に応じて以下のような記帳を会計監査の過程で通査しています。

担当者以外による仕訳の記帳

たとえば休日の深夜等異常な時間の記帳

金額・内容・頻度が異常な(取消)仕訳の記帳

異常な複合仕訳の記帳

これも継続的コントロール評価の一種といえます。同様のソフトウェアを内部監査部門で活用する企業も出てきました。


2.継続的リスク評価

(1)監査計画の策定や個別の監査への適用

各種のリスクを察知し、適時適切に抑制することは経営管理者の責任ですが、内部監査部門も「重大な潜在的リスクの識別と評価により、またリスクマネジメントおよびコントロールシステムの改善に貢献することで、組織体を支援」することが期待されます(IIA内部監査の専門的実施の国際基準(以下、基準)2110)。「内部監査部門長は、組織体の目標と調和するように内部監査実施の優先順位を決定するために、リスクベースの計画を策定」することが求められています(IIA基準2010)。リスクの認識・評価と監査計画の策定は相互に関係しており、ここに継続的リスク評価を活用する意義があります。

すなわち、ITを活用すれば、経営管理者によるリスクマネジメント行動をより有効に分析評価し、監査計画策定における目標を効率的に設定することができます。また激しいビジネス環境下で変化していくリスクに対応するため、継続的なリスク評価にもとづいて年度監査計画を適宜変更していくことが必要といえるでしょう。個別監査業務計画においても、細かいデータの解析や分析的手続の応用により、リスク評価をより確実なものにします。

継続的リスク評価で抽出分析するデータの例として、GTAGガイドは以下を挙げています。

(i)

財務データ指標

 

経費、売上、総資産等の金額の前期との比較のみならず、数字に責任を有する拠点数、経費の裁量度合等を分析する。

(ii)

人事データ指標

 

従業員数合計、正社員と契約社員の比率、フルタイムとパートタイムの比率、従業員や熟練技術者の離職率、前期との比較、拠点ごとの従業員数等を分析する。

(iii)

業務データ指標

 

製品数、製品ミックス、製造日数、顧客のニーズへの対応度合等を分析する。

上記の指標を入手したうえで、リスクの集計方法を検討することになります。

たとえば、数多くの事業拠点が地域的にも分散している場合、これまではすべての拠点を一定期間ごとに往査するアプローチが主にとられてきました。しかしITを活用し、たとえば在庫の評価損や経験豊富な従業員の退職率等を分析すれば、よりリスクが高まっている拠点を的確に選び出すことができます。より迅速に有効かつ効率的なリスクベースの監査アプローチを策定することが可能となるはずです。

上記のケースでさらに購買活動のプロセスが標準化されていない場合には、取引あたりのコストや担当者あたりの取引件数等のデータを拠点ごとに分析しつつ異常を見つけることもできます。かかるデータを時系列に分析することにより監査の焦点を絞ることも可能です。

(2)監査のフォローアップへの適用

継続的リスク評価の指標を監査の改善提案に結びつけ、フォローアップに利用することも可能です。改善提案が実行に移されたか否か、効果が想定されたとおりに上がったか否かを分析していくこともできます。たとえば、一定金額以上の購買に注文書との照合を義務づけているのにもかかわらず、この手続が必ずしも徹底されていない問題に対して、システム上で未照合案件は支払い手続が完了しないような仕組みの導入を監査で提案し、かかる仕組みが導入されたとしましょう。この場合に、請求書の合計と注文書の合計を照合したところ、同じ注文書が異なる購買で繰返し照合されていたことが判明し、この改善提案が必ずしも意図したとおりに導入されていないことが判明するといった具合です。

適切な指標を見つけ出し、分析に値するかを継続的に評価し、リスク環境の変化に組織が対応できているかを継続的に確認できれば理想的です。また、継続的リスク評価の効果についてのフィードバックを被監査部署から継続的に入手し、ERMにどう役立てていくかを検討していくことも重要です。

<<前のページへ

>>次のページへ