ページを選択

コロナウイルスの内部統制管理への影響

Matt Kelly

Matt Kelly

ラジカル コンプライアンス、エディター兼 CEO

コロナウイルスは、内部統制管理を含む多くの業務領域や機能に大きな変革を迫ってきました。 リスク管理、スコーピング、テストとテクノロジーを正しく組み合わせることで、監査チームはこのような変革を乗り切ることができます。

コロナウイルスは毎日の生活や業務の大部分をひっくり返し、組織が内部統制を評価およびテストする方法も劇的に変わりました。

ビジネスプロセスはコロナウイルスに対応して変化することを余儀なくされ、以前は安定していたビジネス分野が今はボラティリティにさらされているため、リスク評価をもっと広範囲で行う必要があります。 また同時に、在宅勤務義務、技術的な課題や変化、予期しない予算削減により、監査人は評価やテストの実施に苦労している場合があります。

このように、監査人が内部統制評価、文書化、テストを進めるときには、多数の問題に直面します。 では、どのようにしてこのような課題に対応することができるのでしょうか。

根本的に異なるリスク評価スコーピング

コロナウイルスの業務への影響は、以前はそれほど注意が必要でなかった多くのリスクや業務でも、今は注意が必要になっていることを意味します。 今年は、リスク評価のスコーピングが根本的に異なってきます。

たとえば、小売業者は、リースで大規模な調整を行っている可能性があります。 出版社は、オンライン直販の増加に伴い、小売店での販売が低下している可能性があります。 消費者向けの企業は、おそらく初めて、無形資産またはのれんを減損するかもしれません。

リース、収益認識、減損は、内部統制テストと改善対策において、常に最も高い優先課題でした。 しかし、コロナウイルスは、このような項目にとってより重要となる内部統制を変えます。 普段はあまり目立たないビジネスラインが突然重要かつスコープ範囲内になり、小規模で頻度の低いトランザクションがより大規模に、より緊急になることがあります。

対策:コミュニケーションの強化

パンデミックが世界中を混乱に陥れる前は、監査チームは、過去数年の組織リスクに関する歴史的な知識に基づいて、リスク評価アンケートを各ビジネス部門に送信していました。 不確実性が高い今では、これは必ずしも機能するとは限りません。

監査チームは各ビジネス部門と連携して、質問を行い、懸案事項を聞き取る必要があります。 コミュニケーションが重要です。 たとえば、オペレーションリスクの場合、監査チームは、最も喫緊のビジネス目標について取締役や経営陣と検討するべきです。 そして、ビジネス側から提供される事実的根拠に基づいて、ビジネス目標に関連付けられた新しいリスク評価を逆算(リバースエンジニアリング)することが出来ます。

財務報告の場合、監査チームは、財務報告の高優先課題に関するリストを公開している証券取引または監査規制当局から手がかりを得て、ビジネスユニットと協力してこれらの項目を再確認しながら準拠していることを確かめることができます。

「誰かが詐欺防止プログラムを「所有」する必要があります。 これには、新しい役割の作成や、既存の事業単位への責任の割り当てなどが含まれることがあります。」

新しい高まる詐欺リスク

コロナウイルスは、一部の詐欺リスクを増大し、新しい詐欺リスクをもたらしました。 たとえば、従業員に海外送金を要求するビジネス電子メール詐欺は何も新しいものではありませんが、全員が在宅勤務である今、詐欺行為者が上級管理職を装った偽の電子メールを作成する機会が増えました。

さらに状況を複雑化させることに、従業員は、送金要求を確認するために、上級管理職に連絡する手段が減りました。 このため、送金を承認するためのポリシーと統制の重要性が高まります。

あるいは、個人保護具(PPE)の製造を開始し、政府に販売することを決定したメーカーを考えてください。 現在、PPE の価値は高くなっています。このため、この会社は、PPE が配送トラックの背後から流用されないことを確認する在庫管理を行う必要があります。 また、この会社は、政府の請負業者として、虚偽請求取締法などの詐欺防止法が適用されます。このため、規制コンプライアンスリスクが高くなります。

対策:戻ってすべてを再評価する

内部監査は詐欺リスク評価を改善する必要があります。 (低リスクであっても)詐欺に対して脆弱なおそれがあるすべてのプロセスを精査する必要があります。 確認事項: 「コロナウイルスによって、このプロセスはどのように変更されたのか。 詐欺統制が弱いか、存在していないために、リスクが高くなっているのか。 新しい製品またはサービスを提供しているため、新しいリスクがあるのか。」

評価の結果によっては、監査チームは、変化したリスクに対処するために、新しい統制を導入する必要があります。 たとえば、送金の制限を厳しくしたり、プロセスの記録で物理在庫を確認したりします。 監査チームは詐欺防止フレームワークと統制ライブラリを検討し、組織のリスクに何が強く関連しているのかを確認する必要もあります。

最終的に、誰かが詐欺防止プログラムを「所有」する必要があります。 これには、新しい役割の作成や、既存の事業単位への責任の割り当てなどが含まれることがあります。

ビジネスとのコラボレーションの強化や、テクノロジーイノベーションの拡大に向かう進化は、待ち望まれてきたことです。

柔軟なテスト手続き

すべての内部統制テストや改善対策は、最終的には実際に担当している個人がおり、その個人が作業を実行するか、テクノロジーが作業を実行したことを確認する必要があります。 しかし、従業員が休暇中であったり、解雇されたり、傷病中であったりする場合、重大な局面でテストや改善対策の進行が妨げられる可能性があります。 このため、従業員の変化を監視し、必要に応じて改善計画を転換する能力が決定的に重要です。

対策:テクノロジーの有効活用

この場合における最善の答えは、監査チームがテクノロジーを活用して、統制のテストや管理の責任を特定の従業員グループに割り当てることです。

つまり、この考えは、内部統制システムが人事機能にも連携しているときに、最も効果的に機能します。 このように、統制の所有者が存在しない場合、監査チームは、その事実がすみやかに通知されるため、テストや修正手続きを変更することができます。

このレベルの統合がないと、監査チームは、テストまたは修正がスケジュール通りに実施されていないことを把握し、理由を確認できるようにアラート機能が必要です。 また、上記のとおり、新しい手続きを策定し、新しい統制所有者に公開するために、計画には柔軟性が必要です。

改善のための変更

コロナウイルスが原因となって生じた内部統制プログラムのあらゆる混乱の中で前進する方法は、皮肉なことですが、監査チームがもう既に感じてきているであろう 2 つのトレンドを加速化させることだと考えられます。

1. 他のビジネス部門とのコラボレーションの強化

監査チームは、組織内の他の部門とのコラボレーションを強化します。 監査チームは、その場で新しいビジネスプロセスを作成したり、ビジネスに影響するより広い経済的傾向を観察したりします。 財務報告、サプライチェーンの安定、さらにはソーシャルディスタンス方針に合わせたオフィスの再設計方法などの問題に対して、第 1 または第 2 の防御戦におけるチームとの明確、迅速、効果的なコミュニケーションの緊急性が高まりました。

2. テクノロジーの利用の拡大

監査チームは、内部統制を評価、テスト、改善する方法において、イノベーションとテクノロジーを取り入れます。 コロナウイルスのため、他のすべての人と同じように、監査チームは新しい方法を余儀なくされています。 他の従業員とのコミュニケーション、テストエビデンスの収集、改善の文書化といったすべてのことにおいて、新しい考え方と強力なテクノロジー活用が必要です。 (私のお気に入りの 考え: ドローンで物理在庫を検査する。 より実践的な方法: ロボティックプロセスオートメーションの使用を拡大して、テストと監視を自動化する。これは、休暇または解雇中に大きな価値を発揮する可能性がある。)

特に、監査リーダーは、自分自身を伝える機会をつかむ必要があります。 ビジネスとのコラボレーションの強化や、テクノロジーイノベーションの拡大に向かう進化は、待ち望まれてきたことです。 現在、コロナウイルスによって、組織は一度に次のほとんどの質問について検討することを余儀なくされています。

  • どのようにすれば監査の効果が得られるのか
  • 誰がプロセスを再設計するのか
  • どのようにしてリスク評価を実施するのか

道は平坦ではなく、誰にとっても将来は不確実です。 しかし、向こう側では、内部監査が最終的に、かつてないほど組織にとって価値をもたらすことを証明する可能性があります。

eBook:

内部統制のユートピアへ

内部統制を計画、実施、レビュー、テストする方法を学習します。

  • お客様の内部統制の成熟レベルを評価する
  • 綿密な内部統制システムを構築する
  • 内部統制の失敗を最小限度に抑える

eBook をダウンロード

関連記事

lang="en-US"