コントロールが評価可能となったら、次はその評価方法である。一般に、公正妥当といわれる有効性の評価方法は以下の3つである:
通常、経営者が会社中のコントロールをすべて見るのは実務的に不可能であり、経営者自身が直接評価する方法はあまり取られない。
一番多く行われている方法は、2. 当該部門での自己点検、プラス、独立的部署である内部監査室などのモニタリングの組み合わせで行われる。米国SOX法の404条には、「内部統制の経営者評価」(Management Assessment of Internal Control)がうたわれているが、米国でも通常行われているのは、経営者自身ではなく上記2の方法である。
なぜ、自己評価が有用かといえば、担当部門が行っているコントロールの内容については、その部門が一番よく知っているからだ。また、それらコントロールの有効性に問題があれば、担当部門が「自分たちで改善する努力に結び付けやすい」ことが挙げられる。
2の方法でも、幾つかのパターンがある。担当部門で評価をすべてやり、独立的部署でのチェックは、サンプリングでのモニタリングのみの場合が1つ目だ。逆に、担当部門ではウォークスルーのみをやって、独立的部署がすべての評価をやるという方法もある。では、次に「有効性の評価は何をやればいいのか?」に触れたい。
まず理解しなければならないのが、有効性の評価とは「設定され実施されているコントロールが、その設計面と運用面から有効であるかどうか、会社として評価すること」であることだ。設計面が有効でも、運用面で不可なら有効とはいえない。両方とも合格しなければならないのである。
最終的には「有効性の評価の基準は、経営者(そして監査人)が望む程度の合理的保証を得る」点にある。経営者が望む基準で「内部統制報告書」を書くことになるし、監査人が望む基準で「内部統制監査報告書」が書かれることになるのである。
まず、設計面での評価であるが、簡単にいうと「ルールがあること」を確認することである。すなわち、当該コントロールについて「どういうルールがあるか」と、実際「だれが、どのタイミングで、何を、どのようにしてチェックするか」などを記述するのだ。
購買の例でいえば、「購買担当者は、20万円以上の購買申請の場合、申請書が出た後、発注先を決める前に、3社以上の業者に対し、見積もりを要求することが、購買規定で定められている」などである。
これに対し、運用上の評価は端的にいえば、「ルールがあっても、守っていないとダメ」ということである。重要な点は、コントロールが実在すること、そしてサンプルに不備がないことである。
サンプリングについて付言すれば、コントロール自体の方法が、ITシステムにより行われるか、マニュアルにより行われるか、により異なる評価アプローチをとる:
実施基準には、サンプルは25件としか書いていないが、アメリカの公認会計士協会のマニュアルや、アメリカ監査論などの文献にサンプリングについて詳しい記述がある。
なお、日本公認会計士協会の「実務上の取り扱い」(*)によれば、
内部統制の運用状況の評価の検討のための手続のサンプル数の決定は、監査人が内部統制に依拠しようとする程度、監査人が受け入れることのできる所定の内部統制からの逸脱率(許容誤謬(ごびゅう)率)、監査人が母集団の中に存在すると予想する所定の内部統制からの逸脱率(予想誤謬率)、監査人が必要とするサンプリングの信頼度及び母集団を構成する項目数から決定される。
とあるが、これだけでは、読者には何のことかチンプンカンプンだと思う。それだけで長文の解説となるので、ここでは省略するが、詳しく知りたい方は、本文末尾にある著者のメールアドレスあてに問い合わせていただきたい。
(*)日本公認会計士協会『財務報告に係る内部統制の監査に関する実務上の取扱い』2007年10月24日
Copyright © ITmedia, Inc. All Rights Reserved.