リスクベースであること:
必要とされる統制は「リスク」次第で異なり、その「リスク」は企業活動の「環境」と「目的」次第で異なる。
必要とされる統制について、上記の連環による合理的な絞込みや優先度を重視し、必要以上の現場負担が生じることを防ぐアプローチをリスクベースと呼ぶ。
【内部統制の目的の優先度付けの必要性と優先度付けのための判別の必要性】
プロジェクトの対象を「財務報告目的」以外にの目的の内部統制にまで広げる場合には、目的間の優先度付けを可能にしておくことが、プロジェクト管理上も、実際の監査対応の上からも、重要である。
1.従業員としても経営者としても、内部統制プロジェクトを「どうせやるなら」業務改善・品質向上に結び付けたいと思うのは自然なことでもある。
2.「財務報告目的」内部統制への優先度付けを推奨する考え方は、それを否定するものではない。要は、目的ごとのリスクや統制の違いを判別できることが重要である。
【「目的」と「リスク」が重要である理由】
1.「最低限これさえ守っておけばいい」という共通の基準・ガイドラインないしは「静態的な」達成目標(値)はない。「動態的な」プロセスの継続運用が発生目標と言うことになる。
2.やっていることの意義や合理性を見失いそうになったら、「目的」と「リスク」が何であったか、に立ち戻ることが有効である。
【統制ベースではなくリスクベースに】
「統制ベース」だと、「リスクがないから、明らかに必要がない」といような統制までも、必要かのごとく思い込む懸念がある。
全般統制と業務処理統制の関係:
【全般統制と「自動化された統制活動」と業務処理統制の関係】
業務処理統制の中の「自動化された統制活動」の、「時点における有効性」を、「期間にわたる有効性」へと引き伸ばす方法の一つが、全般統制である。
【IT固有の「反復性」の活用】
内部統制が「有効である」と言えるためには、「期間にわたる有効性」の検証が必要であって、ある時点のみの有効性の検証だけでは不足する。
したがって、普通は「複数件の直接テスト」が必要になるはず。
しかし、業務処理統制に含まれる「自動化された統制活動」に限っては、サンプル1件の有効性を「期間全域へ引き伸ばす」ための別の統制=全般統制が有効に働いている場合は、サンプル1件のテストで事足りる。
「変えない限りは繰り返す」はずだというIT固有の反復性に着目するのが全般統制である。
【全般統制は目的ではなく手段==>コスパ考慮要】
「手作業の統制活動」であれば「期間にわたる有効性」を検証するには、期間全域にわたる母集団から抽出した複数のサンプルを検証するしか方法はない。しかし「自動化された統制活動」であれば、他にITならではの反復性を提供する統制(すなわち全般統制)の有効性を検証するという方法もある。
【全般統制に依存する費用対効果】
全般統制(の有効性に依存すること)の費用対効果は、その全般統制プロセスが、どのような「キーコントロールとなる自動化された統制」(を提供しているアプリケーション)をサポートしているか、で決まる。
「内部統制監査」と他の監査・認証等との関係:
【会計監査と内部統制監査とにおけるIT内部統制】
類似の実務
(1)会計監査の中の財務報告目的の内部統制の有効性評価==>対象期間全域にわたる有効性が求められる。
(2)米SOX404条適用会社において、同監査に備えた、財務報告目的の内部統制の有効性評価
(3)「日本版SOX法」における「内部統制監査」に備えた、財務報告目的の内部統制の有効性評価==>期末日基準での有効性が求められる。
【内部統制の評価実務の差分:「会計監査」と「内部統制監査」
●評価基準(厳しさ)は同じ==>目的が同じだから
●対象範囲も同じ==>目的が同じだから
●対象範囲の違い==>小規模会社などで、監査戦略次第で有り得る
会計監査人がその都度「実証手続き」を実施して内部統制の有効性に「依拠しない」選択が会計監査上は有り得る。(件数が少なくて、そのほうが安上がりな場合)
●手続種類の違い==>内部統制監査での追加:会社側の手続も評価対象
増分は
(1)企業自身によるテストの手続と結果
(2)上記テストの前提となった分析資料(RCM等)
「会計監査」と「内部統制監査」とを比較した場合に、
1.評価基準と対象範囲は同じ。目的が同じだから。
2.対象範囲は小規模会社などで、監査戦略故の違いは有り得る。
【ダイレクトレポーティング不採用」についての誤解
ダイレクトレポーティングは不採用だがテスティングではない。
レポーティングとは監査報告のことを言っている。米SOX404条対応では、内部統制について外部監査人は二つの報告をしている。(1)「経営者による内部統制評価」に関する監査意見(2)「自らの独自に行う内部統制評価」に基づく監査意見 であるが、ダイレクトレポーティング不採用とは、(2)をなくそうという話。
外部監査人による直接の理解と評価のための直接テストはなくせない。
しかしながら、外部監査人の「直接のテスティング」の範囲が、(1)の範囲(つまり経営者による内部統制評価の実施範囲)に限定されることが狙いである。
ということは、その対象範囲については、事前に企業と外部監査人で合意しておく必要がある。
【IT関連の認証(ISMS/ISO27000、BS7799等)との関係】
1.直接的には、監査(審査)結果やテスト結果を流用できる等のアドバンテージはない。(目的も手続きも異なるから)
2.間接的には、認証のおかげで整備された内部統制の「実体」が、「結果として」監査対応や監査結果に貢献することはあり得る。
【「システム監査」との異同および「内部監査」との異同】
「システム監査」における相違点
1.目的が自由
2.対象選択や手続き内容が自由
「システム監査」における共通点
1.手続種類==>決まり方が異なるが結果として同じ手続きが選ばれる場合(定番の手続き)
「内部監査」における相違点
1.実施者が限定されるが、目的や対象選択、手続内容はシステム監査以上に自由
「内部監査」と「IT内部統制の有効性評価」との関係
・手続内容(手続種類、時期、範囲)
・その手続を実施する内部監査人のスキル・経験
について外部監査人側の要件を満たせば、内部監査結果に「依存」できる。
1.「システム監査」と「IT内部統制の有効性評価」には、手続に同種のものも多いが、後者の目的ではテスト上の制約がある。
2.内部監査の手続や結果を外部監査に流用するには、内部監査計画段階における内部監査人と外部監査人との意思疎通が重要である。
社外への委託業務:
【社外への委託業務に関する論点】
もともとの原語「外部委託」の「外部」は「サードパーティ」であり、グループ内のシェアード・サービスは含まない。
日本企業を意識した場合、グループ内も含む「社外」委託管理としている。
【社外への委託業務に係る内部統制監査報告書とは】
日本基準では「18号(監査基準委員会報告書第18号 委託業務に係る内部統制の有効性の評価)」、米国基準では「SAS70(米国監査基準書 Statement Of Audit Standards 第70号)」と略称される監査報告書があり、内容は実質上同じもの。
受託側、委託側、監査人の効率化のために、受託業者の内部統制に関する監査手続の定型化を行い、その報告書を委託元企業に配布することで、委託元企業ごとの監査人による監査の繰り返しに代替しようとする仕組み。
【社外への委託業務だというだけで特別な対応が必要か?】
1.まずそもそも「文書化・テストの対象」であるかどうかをチェックする。
2.次に「普通に」文書化・テストができないものかを考える。
エンドユーザコンピューティング:
【EUCであることと、評価対象にする/しないは無関係】
※EUCとは、システム部の管理下にないデータ処理形態の総称とする。
1.EUCであろうとなかろうと、有効性評価の対象になるかどうかは、まず重要勘定からトップダウンで導いた取引フロー(仕訳数値の生成過程)に載ってくる統制活動であると言うことが最低条件であることに変わりはない。
2.マクロやクエリー利用により「自動化された統制活動」であると言えるとしても、時点統制テスト対象(キーコントロール)に該当しなければ、全般統制の有効性評価対象とはなり得ない。
【それは本当にキーコントロールなのか?】
キーコントロールの選定は「そこで間違ったらもう誰も気づかないのか?」という点をよく吟味する必要がある。
必要とされる統制は「リスク」次第で異なり、その「リスク」は企業活動の「環境」と「目的」次第で異なる。
必要とされる統制について、上記の連環による合理的な絞込みや優先度を重視し、必要以上の現場負担が生じることを防ぐアプローチをリスクベースと呼ぶ。
【内部統制の目的の優先度付けの必要性と優先度付けのための判別の必要性】
プロジェクトの対象を「財務報告目的」以外にの目的の内部統制にまで広げる場合には、目的間の優先度付けを可能にしておくことが、プロジェクト管理上も、実際の監査対応の上からも、重要である。
1.従業員としても経営者としても、内部統制プロジェクトを「どうせやるなら」業務改善・品質向上に結び付けたいと思うのは自然なことでもある。
2.「財務報告目的」内部統制への優先度付けを推奨する考え方は、それを否定するものではない。要は、目的ごとのリスクや統制の違いを判別できることが重要である。
【「目的」と「リスク」が重要である理由】
1.「最低限これさえ守っておけばいい」という共通の基準・ガイドラインないしは「静態的な」達成目標(値)はない。「動態的な」プロセスの継続運用が発生目標と言うことになる。
2.やっていることの意義や合理性を見失いそうになったら、「目的」と「リスク」が何であったか、に立ち戻ることが有効である。
【統制ベースではなくリスクベースに】
「統制ベース」だと、「リスクがないから、明らかに必要がない」といような統制までも、必要かのごとく思い込む懸念がある。
全般統制と業務処理統制の関係:
【全般統制と「自動化された統制活動」と業務処理統制の関係】
業務処理統制の中の「自動化された統制活動」の、「時点における有効性」を、「期間にわたる有効性」へと引き伸ばす方法の一つが、全般統制である。
【IT固有の「反復性」の活用】
内部統制が「有効である」と言えるためには、「期間にわたる有効性」の検証が必要であって、ある時点のみの有効性の検証だけでは不足する。
したがって、普通は「複数件の直接テスト」が必要になるはず。
しかし、業務処理統制に含まれる「自動化された統制活動」に限っては、サンプル1件の有効性を「期間全域へ引き伸ばす」ための別の統制=全般統制が有効に働いている場合は、サンプル1件のテストで事足りる。
「変えない限りは繰り返す」はずだというIT固有の反復性に着目するのが全般統制である。
【全般統制は目的ではなく手段==>コスパ考慮要】
「手作業の統制活動」であれば「期間にわたる有効性」を検証するには、期間全域にわたる母集団から抽出した複数のサンプルを検証するしか方法はない。しかし「自動化された統制活動」であれば、他にITならではの反復性を提供する統制(すなわち全般統制)の有効性を検証するという方法もある。
【全般統制に依存する費用対効果】
全般統制(の有効性に依存すること)の費用対効果は、その全般統制プロセスが、どのような「キーコントロールとなる自動化された統制」(を提供しているアプリケーション)をサポートしているか、で決まる。
「内部統制監査」と他の監査・認証等との関係:
【会計監査と内部統制監査とにおけるIT内部統制】
類似の実務
(1)会計監査の中の財務報告目的の内部統制の有効性評価==>対象期間全域にわたる有効性が求められる。
(2)米SOX404条適用会社において、同監査に備えた、財務報告目的の内部統制の有効性評価
(3)「日本版SOX法」における「内部統制監査」に備えた、財務報告目的の内部統制の有効性評価==>期末日基準での有効性が求められる。
【内部統制の評価実務の差分:「会計監査」と「内部統制監査」
●評価基準(厳しさ)は同じ==>目的が同じだから
●対象範囲も同じ==>目的が同じだから
●対象範囲の違い==>小規模会社などで、監査戦略次第で有り得る
会計監査人がその都度「実証手続き」を実施して内部統制の有効性に「依拠しない」選択が会計監査上は有り得る。(件数が少なくて、そのほうが安上がりな場合)
●手続種類の違い==>内部統制監査での追加:会社側の手続も評価対象
増分は
(1)企業自身によるテストの手続と結果
(2)上記テストの前提となった分析資料(RCM等)
「会計監査」と「内部統制監査」とを比較した場合に、
1.評価基準と対象範囲は同じ。目的が同じだから。
2.対象範囲は小規模会社などで、監査戦略故の違いは有り得る。
【ダイレクトレポーティング不採用」についての誤解
ダイレクトレポーティングは不採用だがテスティングではない。
レポーティングとは監査報告のことを言っている。米SOX404条対応では、内部統制について外部監査人は二つの報告をしている。(1)「経営者による内部統制評価」に関する監査意見(2)「自らの独自に行う内部統制評価」に基づく監査意見 であるが、ダイレクトレポーティング不採用とは、(2)をなくそうという話。
外部監査人による直接の理解と評価のための直接テストはなくせない。
しかしながら、外部監査人の「直接のテスティング」の範囲が、(1)の範囲(つまり経営者による内部統制評価の実施範囲)に限定されることが狙いである。
ということは、その対象範囲については、事前に企業と外部監査人で合意しておく必要がある。
【IT関連の認証(ISMS/ISO27000、BS7799等)との関係】
1.直接的には、監査(審査)結果やテスト結果を流用できる等のアドバンテージはない。(目的も手続きも異なるから)
2.間接的には、認証のおかげで整備された内部統制の「実体」が、「結果として」監査対応や監査結果に貢献することはあり得る。
【「システム監査」との異同および「内部監査」との異同】
「システム監査」における相違点
1.目的が自由
2.対象選択や手続き内容が自由
「システム監査」における共通点
1.手続種類==>決まり方が異なるが結果として同じ手続きが選ばれる場合(定番の手続き)
「内部監査」における相違点
1.実施者が限定されるが、目的や対象選択、手続内容はシステム監査以上に自由
「内部監査」と「IT内部統制の有効性評価」との関係
・手続内容(手続種類、時期、範囲)
・その手続を実施する内部監査人のスキル・経験
について外部監査人側の要件を満たせば、内部監査結果に「依存」できる。
1.「システム監査」と「IT内部統制の有効性評価」には、手続に同種のものも多いが、後者の目的ではテスト上の制約がある。
2.内部監査の手続や結果を外部監査に流用するには、内部監査計画段階における内部監査人と外部監査人との意思疎通が重要である。
社外への委託業務:
【社外への委託業務に関する論点】
もともとの原語「外部委託」の「外部」は「サードパーティ」であり、グループ内のシェアード・サービスは含まない。
日本企業を意識した場合、グループ内も含む「社外」委託管理としている。
【社外への委託業務に係る内部統制監査報告書とは】
日本基準では「18号(監査基準委員会報告書第18号 委託業務に係る内部統制の有効性の評価)」、米国基準では「SAS70(米国監査基準書 Statement Of Audit Standards 第70号)」と略称される監査報告書があり、内容は実質上同じもの。
受託側、委託側、監査人の効率化のために、受託業者の内部統制に関する監査手続の定型化を行い、その報告書を委託元企業に配布することで、委託元企業ごとの監査人による監査の繰り返しに代替しようとする仕組み。
【社外への委託業務だというだけで特別な対応が必要か?】
1.まずそもそも「文書化・テストの対象」であるかどうかをチェックする。
2.次に「普通に」文書化・テストができないものかを考える。
エンドユーザコンピューティング:
【EUCであることと、評価対象にする/しないは無関係】
※EUCとは、システム部の管理下にないデータ処理形態の総称とする。
1.EUCであろうとなかろうと、有効性評価の対象になるかどうかは、まず重要勘定からトップダウンで導いた取引フロー(仕訳数値の生成過程)に載ってくる統制活動であると言うことが最低条件であることに変わりはない。
2.マクロやクエリー利用により「自動化された統制活動」であると言えるとしても、時点統制テスト対象(キーコントロール)に該当しなければ、全般統制の有効性評価対象とはなり得ない。
【それは本当にキーコントロールなのか?】
キーコントロールの選定は「そこで間違ったらもう誰も気づかないのか?」という点をよく吟味する必要がある。
※コメント投稿者のブログIDはブログ作成者のみに通知されます