« JNSA 情報セキュリティ理解度チェック | Main | どんと来い、リスクマネジメント »

2008.02.24

全社的な内部統制に不備がある場合で、業務プロセスに係る内部統制がそれを補完する場合の例

 こんにちは、丸山満彦です。実施基準のP41には、
=====
 経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。例えば、全社的な内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係る内部統制の評価について、評価範囲の拡大や評価手続を追加するなどの措置が必要となる。
=====
 とあるのですが、具体的に、
(1)どのような全社的な内部統制が有効でない場合に
(2)どのような業務プロセスに係る内部統制が有効であれば、
全体としての内部統制が有効であるといえるのか?
 ひとつでもよいので具体例を教えていただきたい。。。といわれたら、あなたは何を例としてあげますか・・・

 
 わかりやすい例示がありますか?

|

« JNSA 情報セキュリティ理解度チェック | Main | どんと来い、リスクマネジメント »

Comments

はじめまして、いつも楽しく見ています。
実務をやっているわけではありませんので、あくまで想像ですが、こんな状況はどうでしょうか?

・印章管理が徹底できていない会社

承認行為の前提に、ある承認印を押す人がその承認をする権限が与えられている人のみということがあると思います。
こういうことは、全社的な内部統制の評価項目のうち、権限の割当ての項目に関係していると思いますが、規程がなくて(あまり考えられませんが)不備、あるいは質問・観察を通じて、あまり徹底できていないということがわかり、不備と評価したとします。

で、それを受けて、すぐさま印章管理徹底について、研修なり通知なりを行うという対応をします。
ここで、全社統制の評価をやり直すのではなく、全社統制の結果をうけて、業務プロセスの評価手続きにこうした印章管理の状況についても評価するようにテスト内容を追加して、その結果がOKであれば(ご質問の全体としての内部統制かわかりませんが)、印章管理ができていなかったという不備は解消されたとして、有効とする。

こんな状況を想像しました。

全社統制の評価項目(42項目)を、各社で具体的な統制行為に細分化していると思いますが、それでもそこでたとえば印章管理ができているかまでチェックするかというとよくわかりません(印章管理に大きなリスクがある会社もどれだけあるかわかりませんが)。


丸山先生、サンプリングについて質問です。
いくつかありますが、サンプルの定義(取引単位か統制単位か)が一番の質問です。

運用状況の評価においては、このサンプルというのは、取引(プロセス)単位で選ぶのか統制(コントロール)単位で選ぶのか、あるいはどちらでもよいのでしょうか?
前者だと、25件サンプルをとるというとき、25件の取引を選び、そこでRCMに記載されている統制をテストしていくことになります。ひとつの取引の開始から終わりまでに関係する証憑すべてをあわせて1件と考えます。
RCMには月次、週次での統制行為もあるので、その場合は、選んだ25件から所定の件数を選ぶことになるのでしょうか?

後者の場合は、統制の単位で証憑を選ぶので、最初のコントロールで選んだ証憑と次にテストするコントロールでの証憑の間にはつながりがあるかもしれないし、まったくないかもしれません(異なる取引をつなぎあわせているイメージです)。

あくまでも内部「統制」の運用状況なので、必ずしも取引がつぎはぎでもかまわないような気がしますが、会計士さんからみてどうなのでしょうか?

前者の場合、再テスト時には、また取引単位で選ぶのか(取引が終了しているものしかサンプルとならないので)、なども疑問です。

整備状況の評価におけるウォークスルーにおいて、ひとつの取引(プロセス)を選んで、つぎはぎでなく評価するというのはよくわかります。

Posted by: JSOX編集部 | 2008.02.24 18:23

ITへの対応に問題があったとしても、トータルの内部統制に影響は大して無いのでは、と思ってしまいます。

たとえばですが、IT戦略が無かったところで、現在使っているITの状況が把握できていれば、営業・購買や経理の業務におけるITの活用状況が把握できるはずですから、全体としての内部統制に問題はないはずです。

こう考えると、"構成要素として存在するITへの対応って一体何なのだろう?"と改めて思ってしまいます。

ただ、"IT戦略も無いような企業であれば、自社のIT環境もろくに理解していないでしょう"と指摘されるのかもしれませんが。

Posted by: FN | 2008.02.27 00:44

JSOX編集部さん、コメントありがとうございます。

全社ルールとして内部統制が整備されている状況で、一部の業務プロセスで運用が不十分だったしても、その他の業務プロセスで運用が十分にできていれば、その部分は内部統制は有効と判断できるという場合ですね。。。


FNさん、コメントありがとうございます。

「ITへの対応」は他の基本的要素とは性格が違うものです。
私には、日本独自色を出すために、ない頭を使ってひねり出したように見えますね。。。なくても困らないでしょうね。。。


JSOX編集部さんの質問への回答です。
個々の内部統制が有効であるかどうかの評価になりますので、サンプリングは統制単位でするのが原則です。ただし、サンプリングを効率的に実施するために取引単位でサンプリングすることもありえるでしょう。。。

Posted by: 丸山満彦 | 2008.02.28 01:37

面白い質問の立て方ですね。うがった見方かもしれませんが、全社統制に不備があって業務処理統制が補完するという見方そのものに対する疑問だと捉えました。
もともと、業務処理統制は直接的に会計アサーションに繋がる統制が多いので、それをサポートするのが全社統制という考え方ですが、その全社統制に不備があって業務処理統制が補完するというのは、順番が逆のような気がします。
全社統制の不備を業務処理統制がサポートするなら、はなからその全社統制はコントロールとしてはあまり必要ではなく、評価対象としなくてもよかったのではないかという疑問を呈することを意図した質問であると理解したのですが・・・考えすぎでしょうか。

Posted by: 閑人 | 2008.02.29 21:59

閑人さん、コメントありがとうございます。

そうですね。財務報告の信頼性を確保するための6つの基本的要素がそれぞれ有効に機能していることが立証命題です。

 ところが、業務プロセスにかかる内部統制の評価においては、おもに統制活動しか評価をしていません。ということは、統制活動以外の全社的な内部統制が有効でない場合は、業務プロセスにかかる内部統制の評価をいくら拡大して行ってもあまり意味がないというようにも思えます。

財務報告の信頼性を確保するための6つの基本的要素がそれぞれ有効に機能していることを立証しようとしている場合に、全社的な内部統制を評価してから業務プロセスにかかる内部統制を評価するということを義務付け、全社的な内部統制が有効でない場合には業務プロセスにかかる内部統制の評価をより高い信頼水準で行うということがどのように立証命題の証明に影響を及ぼすのか・・・ちょっと疑問に思っているんですよね。。。

Posted by: 丸山満彦 | 2008.03.01 11:58

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 全社的な内部統制に不備がある場合で、業務プロセスに係る内部統制がそれを補完する場合の例:

« JNSA 情報セキュリティ理解度チェック | Main | どんと来い、リスクマネジメント »