« 公認会計士協会 監査基準の改正に伴う委員会報告書の改正についての公開草案 | Main | 「資産の保全」とその他の内部統制目的との関係(2) »

2006.01.30

内部統制 いきなり文書化をしてはまずいと思う

 こんにちは、丸山満彦です。毎年1月に恒例のように熱がでるのですが、それが、昨日と今日のようです。ようやく37度台にまで熱が下がってきたので、頭が動き始めました。
 さて、財務報告に係る内部統制ですが、いきなり業務プロセスの文書化をはじめる・・・ってことを考えている企業があるようですが、それはまずいです。

 
 
1)トップダウンアプローチ(全社的な内部統制の識別と評価をはじめにする)の導入
2)リスクに応じたコントロールの導入

を意識する必要があります。
業務プロセスに係る内部統制においては、「勘定科目」ごと、「アサーション」ごとのキーコントロールを識別することが重要です。

実際に行われているコントロールより、評価するコントロールは少なくなります。一方、たくさんのコントロールが導入されていても、アサーションを満たすコントロールが導入されていないとだめです。

コントロールのコントロール(メタコントロール)を上手に使えば、評価すべきコントロールを少なくできるように思います。もちろん、メタコントロールになれば、発見できる誤謬のレベルは大きな金額の誤謬となるので、重要性の金額とコントロールが発見できる誤謬のレベルを意識する必要があります。




このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 公認会計士協会 監査基準の改正に伴う委員会報告書の改正についての公開草案 | Main | 「資産の保全」とその他の内部統制目的との関係(2) »

Comments

体調を崩されていらしたのですね。
そういう時にはオレンジジュースをたくさん飲むと、治るのが早いような気がします。

内部統制の文書化をする際の注意事項として、1)のトップダウンアプローチと2)のリスクに応じたコントロールの導入の間に、コントロールの目的は何かを決める作業もあるのではないかと思いました。

>、「勘定科目」ごと、「統制上の要点」ごとのキーコントロールを識別することが重要です。


と丸山さんが書かれているように、キーコントロールが何か、どうしたリスクに対してのコントロールなのかということを考える際に、どういった目的を達成する為に構築されたコントロールなのかが明確でないと内部統制の整備状況を評価するのは難しいと思います。

コントロールの目的が何なのかを明らかにするのは、結構頭と時間を使う作業になります。ですが、これをしっかりとやらないと、Low Riskのコントロールばかり拾い出した内部統制の文書が出来上がります。

そうした量だけはあるけど中身はない内部統制の文書を基にして作成されたRCM(Risk Control Matrix)など、個人的にはゴミみたいなものだと思うので、全然参考になりません。

本家SOX法、それから日本版SOX法に対応すべく、内部統制の文書化をコンサルティング会社に依頼している企業のCFOレベルは、こうしたLow Control満載で肝心のコントロールが欠けているというような量で勝負の内部統制の文書化に引っかからないように精進してもらいたいものです。

Posted by: koneko04 | 2006.01.30 18:03

koneko04さん、コメントありがとうございます。コントロール目標の設定はもちろん重要ですね。これがないと、何を確認するのやら・・・ってことになります。
ひとつのコントロール目標に複数のコントロールが関係するし、ひとつのコントロールが複数のコントロール目標の達成に貢献するので、このあたりの整理をうまくする必要がありますね。

Posted by: 丸山満彦 | 2006.01.30 20:05

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 内部統制 いきなり文書化をしてはまずいと思う:

« 公認会計士協会 監査基準の改正に伴う委員会報告書の改正についての公開草案 | Main | 「資産の保全」とその他の内部統制目的との関係(2) »