トップダウンアプローチ
こんにちは、丸山満彦です。内部統制の文書化ってどこまで詳細にすればよいのか難しいですよね。。。トップダウンアプローチを採用するのであれば、細かく業務プロセスを文書化して統制活動を識別する方法はよくないように思います。。。
米国で、トップダウンのリスクアプローチが監査基準で明確に採用されたのは、米国監査基準書(SAS)47号だったと思うのですが、そのころに監査手続が大幅に変更されたように思います。いままでフローチャートを細かく書いて、内部統制を識別し、監査手続書を作成していた方法を採用していたのが、業務プロセスの説明は大きく流れがわかるような記述に簡略化され、アサーションに関連する統制活動やモニタリングにどのような方法があるのかを経営者レベル(できるだけ上位)から順番に質問等をして識別していく方法になったように思います。
極論を言えば、こんな感じ・・・
監査人:社長、売上高5000億円の実在性はどのようにして保証されていると思っていますか。
社長:経理担当常務が承認しているのだから間違いないでしょう。。。
監査人:経理担当常務、売上高5000億円の実在性はどのようにして保証されていると思っていますか。
経理担当常務:決算プロセスでは、経理課長がそれぞれの数値が適切かどうかを確認し、疑問があった場合等は、私に相談に来ています。
監査人:経理課長、売上高5000億円の実在性はどのようにして保証されていると思っていますか。
経理課長:決算プロセスでは、それぞれの決算仕訳や開示数字の作成において作成担当者が作成したものを、係長が確認して承認して決算整理伝票を入力することになります。(略)。各事業部からあがってくる数値が適正かどうかについても担当者が昨年度の数値と比較しながらチェックをしていて、大きな変動がある場合は、各事業部の経理担当者に確認してもらうようにしています。
監査人:A事業部経理担当者、あなたの事業部の売上高2000億円の実在性はどのようにして保証されていると思っていますか。
・・・(以下、略)
もちろん、社長からはじめるわけではなくて、各事業部の経理責任者や事業部企画部門(予算と実績の差異分析等を行っているところ)などから始めていくケースが多いと思うのですが、このような作業を勘定科目に分解した場合の重要性の金額の誤謬や不正を防止又は発見できると思える程度の内部統制の識別ができるようになるまで続けます。
場合によっては、業務プロセスレベルの担当者のチェックレベルまで掘り下げないといけない場合もありますが、もう少し上のレベルまででよい場合も考えられます。
理論上はそうなのですが、このようにしてリスクを識別するのは実は会社の業務プロセスがある程度頭に入っていて、かつ、アサーション、リスク、コントロールの3つが頭の中でイメージできる人でなければならないのが問題です。
今まで、アサーション、リスク、コントロールを意識して業務プロセスを作っていなかった場合は、このようなことができる人が会社には育っていない場合もありますので、教育等を通じて育てていくことが重要となるのだろと思います。。。
【参考】
・2006.01.30 内部統制 いきなり文書化をしてはまずいと思う
【過去の今日】
・2006.01.28 JICPA 監査基準の改正に伴う委員会報告書の改正についての公開草案
・2005.01.28 個人情報保護法 頭の体操9
・ 米国 ID詐欺被害調査
Comments
コンピュータ屋です。
実はトップダウンアプローチの具体的対応に困っていました。
おっしゃるように「アサーション、リスク、コントロールの3つが頭の中でイメージできる人」でないとトップダウンアプローチは適用できないと言うことですね。となると、現状のJ-SOX法対応ではほとんどの会社では無理と言うことになりますが。
Posted by: コンピュータ屋 | 2007.01.29 20:47
コンピュータ屋さん、コメントありがとうございます。
教育が重要なのだと思っています。プロジェクトが始まる前にプロジェクトメンバーに教育をしていくことが重要です。文書化をいきなりはじめるよりも、座学=>パイロットを利用したOJTをしないとおそらく目的を達成できない文書化になってしまうと思うんですよね。
で、業務プロセスの可視化をしよう、、、なんて別の目的まで混入すると、作業量は膨大になってしまう。時間があればいいのですが、時間がボトルネックになっている場合は、余分な作業はできるだけしないようにすることが肝要となりますね。
ほぼ1年前に書いた
・2006.01.30 内部統制 いきなり文書化をしてはまずいと思うも参考にしてくださいませ。。。
=====
Posted by: 丸山満彦 | 2007.01.30 07:35