現時点での基本的な対策として、永井氏は、実施基準やQ&A(内部統制報告制度に関するQ&A)などを読み直し、評価対象と整備対象とをはっきりと見分けることを勧める。
「適用初年度ということもあり、最初にアドバイスを受けた監査人やコンサルタントの意見によって、整備対象と評価対象のギャップが大きくなってしまった。それが統制のやりすぎを招く一因になっている。実施基準などを納得するまで読み込み、内容をしっかり理解したうえで、評価対象をしぼりこんでいくことが大切だ」
|
|
|
「監査人のスタンスを経営者がどう受け取るかが重要。経営者は、監査人の意見のすべてを受け入れる必要はない、と意識しておきたい」(永井氏) |
そのうえで、同氏は、細かなテクニックとして、業務に共通する部分を見つけ、共通化/標準化し、評価項目を減らしていくといった対策をとればよいとする。評価作業にかかる時間については、キーコントロール(統制上の要点)の件数と1件あたりにかかるテスト(サンプリングテスト)時間を掛け合わせて試算する。
「全社のキーコントロール数は、評価対象となる拠点数×拠点当たり平均業務プロセス数×業務プロセス当たり平均キーコントロール数で決まり、ひとつのキーコントロール当たりのサンプリング数は通常25件となる。サンプリングテストにかかる時間は、当社の実績では、1件あたり最速で10分、最長で2時間。10分であればひとつのキーコントロールあたり250分、2時間であれば50時間かかることになる。こうした作業を自社で実際に行ってみて、評価にかかる時間や適切なコントロール数を割り出しておくことが望ましい」
アビームが行った先の調査では、キーコントロール数が1人当たり100に上るなど、評価者の負荷が高くなる懸念が示されていた。この場合、「評価の品質を低下することを防ぐためには、評価人員を増やすといった判断が必要になる」というわけだ。
