Deprecated: Function session_register() is deprecated in /home/internal-control/public_html/kako_toku.php on line 4

Deprecated: Function session_register() is deprecated in /home/internal-control/public_html/kako_toku.php on line 5

Deprecated: Function session_register() is deprecated in /home/internal-control/public_html/kako_toku.php on line 6
過去の特集 - [LANDMARK for J-SOX]
過去の特集
  2009年3月
やりすぎJ-SOXの終焉。そして2年目に向けて。

  2008年9月

職務分掌に関する代替統制

  2008年8月

「慣れ」と「思い込み」がこわいAfter 1ST J-SOX

  2008年6月

決算・財務報告プロセスがやはり最大の難関?

  2008年1月

「情報と伝達」の再確認

  2007年12月

今一度、虚偽記載リスクに関する根本的な考え方を整理してみましょう。

  2007年11月

評価対象とならなかった業務プロセスに関する落とし穴

  2007年10月

作業量を減らす(2)

  2007年9月

作業量を減らす(1)

  2007年8月

決算・財務報告プロセスは大丈夫ですか?

  2007年7月

アクセス管理(IT)について考える。

  2007年6月

原価計算プロセスをどう考えるか?

  2007年5月

基本的な隠ぺい事例を通じて、資産流用と職務分掌との関係を再確認しておきましょう。

  2007年4月

内部統制監査開始まで残り12ヶ月。 さぁラストスパート !!
9月の特集
9月の特集 過去の特集は コチラ
  作業量を減らす(1)
9月の特集 評価対象範囲が決定した後の工程において、J-SOX対応コストを減らすためには作業量を意識的に減らす必要があります。今回は2点ピックアップしてみました。この他にもモニタリングを効率的に活用したり、キーコントロール数を減らすことなども非常に重要なポイントですが、これらは10月の特集(作業量を減らす(2))で解説したいと思います。

(1) 二重否定を活用する。

 実施基準における「業務プロセスに係る内部統制の整備状況の有効性の評価」の項で、 「担当者は、内部統制の実施に必要な知識及び経験を有しているか。」という留意点が挙げられています。チェックリストを使って知識・経験を評価するという方法もあるでしょうが、すべての統制活動ごとに作成するというのは膨大な作業量となり現実的ではありません。また経験の有無についてのレベル感も人によってまちまちではないでしょうか。 そこで当社では、ウォークスルーにおける担当者への質問や観察などを通じて「気になる点」がないかどうかを確認し、気になる点がなければ「内部統制の実施に必要な知識または経験が不足していると思われる担当者はいなかった」とコメントしています。 よく監査人が使うネガティブアシュアランス(二重否定=消極的保証)の活用です。 「すべての担当者は、内部統制の実施に必要な知識及び経験を有している。」という積極的保証型のコメントは使っていません。
もしウォークスルーの結果、例えば規程やマニュアルにて定められた内部統制が実施されていなかった場合には、その原因を分析し、(1)担当者のうっかりミスなのか、(2)担当者の理解不足もしくは経験不足に起因するものなのかを判断します。(2)であれば、研修などの実施により解消されるものなのか、そもそも能力的に限界があり新たな人材を登用する必要があるのかなどを検討しなければなりません。

 以上のように、実施基準で要求されているチェック項目の中で、積極的に肯定することが難しい場合には二重否定の活用を検討してみて下さい。モニタリングでよく利用する異常性分析もこの部類に入ります(異常と思われる××は見当たらなかった)。

(2) 「文書低減活動」を行う。

 業務記述書だけで十分RCMを作れるのであればフローチャートの作成は必ずしも必要ありませんし、逆にフローチャート上に記入した補足説明で十分RCMを作れるのであれば、業務記述書もいりません。

 全社的な内部統制のチェックリストの質問項目数が200以上に及ぶものもあるようです。そのようなチェックリストの質問に対し、YESか該当なし(N/A)であれば問題ないのですが、NOの場合そのフォローアップはどうしていますか。それが不備なのかそうでないのか、重要な欠陥なのかそうでないのかを判断した文書を作成しなければなりません。重装備の内部統制対応にならないよう、せっかく実施基準でチェック項目を絞り込んでくれたのですから作業量を抑えたいのであればなるべく拡大解釈を行わないことが得策です。
これはIT全般統制のチェックリストに関しても同じことが言えます。

 実施基準における「業務プロセスに係る内部統制の整備状況の有効性の評価」の項で、「内部統制が規程や方針に従って運用された場合に、財務報告の重要な事項に虚偽記載が発生するリスクを十分に低減できるものとなっているかにより、当該内部統制の整備状況の有効性を評価する。」と記述されており、規程や方針の存在が要求されています。
つまり、会社としてオーソライズされた規程や方針の存在(=正当性)なくして内部統制の評価は出来ないという立場をとっているのです。
伝統にしたがった統制活動を行っており、特に規程や方針はないという会社はこれに反することになります。例えば、実施基準のRCMの例における「受注入力は、得意先の登録条件に適合した注文のみ入力できる」といった統制も、それを記載した規程や方針、マニュアルが必要となります。
しかし、このような場合でも何も一から作る必要はありません。業務記述書をベースに加除修正を行い、「規程」「方針」「マニュアル」としてやればよいでしょう。
逆にすでにマニュアルがあるのであれば、そこに内部統制に関する記述を必要に応じて追加してやれば業務記述書になります。

一度作成した文書は継続的なメンテナンスが必要となります。そのことを念頭に置きつつ、原価低減活動と同様工夫しながら「文書低減活動」に取り組んでみて下さい。

.