“発見的コントロール”で楽になろう!:SOX法コンサルタントの憂い(10)(3/3 ページ)
いよいよ日本版SOX法の本番年度が始まり、全社的内部統制の文書化や業務プロセスのリスクコントロール策定作業が終わり、テストや社内監査作業に入った企業も多いだろう。しかし、実際の“コントロールに基づくチェック作業”が予想以上に多く、「これでは現場が持たない」と感じる企業も多いのではないか。今回は、そのような企業に向けて解決策を提案する。
有効性の評価での注意点
次に「有効性の評価(テスティング)」での注意点についても触れておきます。
まず、これは「発見的コントロール」でも「予防的コントロール」でもいえることですが、業務プロセスについてのコントロールは、全社的な内部統制と関係します。
すなわち、全社的な内部統制が良好な場合は、業務プロセスでのコントロールの評価は、リスクの大きな業務プロセスに絞り込むことができますし、反対に、全社的な内部統制が適切でないような場合は、業務プロセスについてのコントロールの評価は、かなり大きな範囲について行う必要があります。
次に、「有効性の評価」で重要なことは、それぞれのコントロールについてのアサーション(実施基準では「統制上の要点」と翻訳されている)、すなわち売り上げなら「実在性」や「期間配分の適切性」など、そして購買なら「網羅性」や「権利と義務の帰属」といった財務報告上の経営者の主張を、合理的に証明することです。
例えば、売り上げでしたら「実在性」が最重要なアサーションとなりますから、すなわち、登録されたデータが実在することを証明しなければならないので、「有効性の評価」では登録されたデータから出発して、証憑である受注伝票などにさかのぼることになります。
従って、コントロールの段階においても、チェックの方法はできるだけこの順序に合わせることが、チェック漏れを防ぐことにつながります。つまり、受注の入力をチェックする営業部門や営業管理部の担当者が「予防的コントロール」を行うときにも、「発見的コントロール」を行うときも、入力されたデータを証憑に突き合わせるように心掛けることです。
これとは逆に、購買のプロセスでしたら「網羅性」が最重要なアサーションになりますから、データがすべての証憑を網羅していることを証明する必要があります。従って、購買入力のチェック担当者は、「予防的コントロール」を行うときにも、「発見的コントロール」を行うときも、受注とは逆に、納品書などの証憑から出発して入力されたデータが正しいか、網羅しているかをチェックします。
これらの順序が逆になっていた場合に、監査法人による監査において「コントロールや有効性の評価の方法自体が適正でない」と、ダメ出しを食らう恐れが大きいのです。このアサーションごとのチェックの順序は、通常、企業の中ではあまり意識されていないので、十分注意しましょう。
Profile
鈴木 英夫(すずき ひでお)
慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。
2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、フリーのSOX法・日本版SOX法コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。神戸商工会議所登録エキスパート。
著書:「図解日本版SOX法」(同友館、共著)
近著:「日本版SOX法実践コーチ」(同友館、共著)
連絡先: ai-risk330@jttk.zaq.ne.jp
Webサイト:http://spinel3.myftp.org/hideo/ai-risk.htm
- 内部統制が有効でないのはこんな理由だった
- いまさら追加された「内部統制Q&A」のポイント
- 内部統制で有用なログの活用術
- 日本版SOX法の“欠陥・不備”の直し方教えます
- 追加された「内部統制Q&A」の注意点
- “発見的コントロール”で楽になろう!
- 「内部統制報告制度に関する11の誤解」の注意点
- 3点セットの後に何をすればよいのかが分からない
- “守り”の内部統制から“攻め”の内部統制へ
- 終章・日本版SOX法プロジェクトの進め方教えます
- 続・日本版SOX法プロジェクトの進め方教えます
- 日本版SOX法プロジェクトの進め方教えます
- 立法者の意思を無視して暴走する規制当局
- 複数の共謀者による不正をどう防ぐか?
- 内部統制の抜け穴はふさげるのか?
Copyright © ITmedia, Inc. All Rights Reserved.