“発見的コントロール”で楽になろう！：SOX法コンサルタントの憂い（10）（2/3 ページ）

[鈴木 英夫，＠IT]

フローチャートで見るとこうだ！

　上記の受注段階における、発見的コントロールの位置をフローチャートで見てみましょう。下記の図で、営業管理部の「月次チェック」とされているのが、発見的コントロールに該当します。

　会社によっては、受注入力だけでなく、受注受付や上司の決裁のところにコントロールを置く場合もあるでしょう。組織が大きく、それだけの負荷を担うことのできるスタッフがそろっている会社は、その方が良いと思います。

　しかし、最小限のスタッフが多忙の中で処理しているとしたら、できるだけ発見的なコントロールを置くことにして、予防的なコントロールを軽くする方が効率的です。

　効率的なことが、有効的かどうかは別なことです。小さなミスを防止することについては十分有効ではないかもしれませんが、「少なくとも、合理的な範囲で重大な誤記載を防ぐことができる程度に有効である」と主張できることが重要なのです。

コントロールの有効性の評価とは？

　「有効性の評価」の観点から、「予防的コントロール」と「発見的コントロール」の違いを見てみましょう。

　「予防的コントロール」とは、例えば、「営業部門の受注入力担当者が、入力の都度、受注伝票と入力画面を照合する。照合確認印を受注伝票に押す」というものです。ここで、どの項目を照合するのかを書けばコントロール上はベターですが、作業負荷と評価はそれだけ厳しくなります。

　この「予防的コントロール」の有効性の評価は、膨大な数の入力データを対象に行わなければなりません。42サンプルを採用したとしても、その中から2つのエラーが出たら「不備」となってしまいます。照合する項目が多ければ多いほど、エラーが出る確率も大きくなります。従って、「発見的コントロール」なしにやろうとすれば、いきおい「予防的コントロール」での「照合する項目」を増やさざるを得ないのです。そうすれば、エラーが出る確率はますます大きくなりますね。まさに「いたちごっこ」です。

　「発見的コントロール」で、「大きな誤記載が起こるリスクの防止」を担保すれば、「予防的コントロール」の「照合する項目」は最低限でも、残存するリスクはそれほど大きくはありません。そこが重要なのです。

　さらに、「発見的コントロール」では、件数で見れば絶対数が少ないので、コントロールの段階でそれほどの負荷なく相当厳格なチェックを行うことができるので、その「有効性の評価」では、「不備」が出る確率も少なくなるはずです。

　というわけで、コントロールを効率的に行おうとする場合に有用なのは、「発見的コントロール」を活用することで、「予防的コントロール」の内容を軽くできることですね。