内部統制(日本版SOX法 JSOX法)では
SOX法に習い、COSOフレームワークで
全体フレームワークを示している。
(1)IT利用 (2)統制環境 と続き
(3)リスク評価 がきます。
リスク評価 RCM(リスク・コントロール・マトリックス)のフォームは
各監査法人により異なります。
RCM(リスク・コントロール・マトリックス)は
該当する監査法人、監査人へ確認して
進められることをお勧めします。
RCM(リスク・コントロール・マトリックス)作成の前提条件は、
業務フローチャート作成です。
業務フローチャートの目的は、該当業務全体の中でリスクを
把握するためのものです。
ですから、大きく捉え、作成されることをお勧めします。
例外事項、一部 部門のローカルなやり方に一喜一憂しないことです。
全社共通のフローチャート、全社共通のRCMを作成し
例外、ローカルルールに対応=コントロール願います。
全社共通のフローチャート、RCM(リスク・コントロール・マトリックス)を作成し、
次の段階で、統制を割り付けます。
ここまでを全社共通のフローチャート、
RCM(リスク・コントロール・マトリックス)、
統制を準備します。
統制を考えるときには、
1.規定(ルールブック)整備、教育、周知徹底
2.相互牽制機能
3.権限分離を確認した承認手続き
4.アクセス権限管理
5.実績のモニタリング
6.異常値、例外の把握とその後の処理策
と考えます。
まずは、
ガイドブックが示されておりませんので、規定の項目、内容、レベルは
今後ですが、少なくとも粉飾、誤魔化し、不正、ケアレスミス続発等を
さける対策が必要です。
粉飾は、ある程度の権限を持った人間が関与しないと出来ないことです。
ですから、業務フローと共に、権限規定の見直しが必要だと思います。
ここで、RCM(リスク・コントロール・マトリックス)へ話を戻しますが、
業務フローからRCM(リスク・コントロール・マトリックス)へ展開する際
(1)権限管理上のリスク
(2)アクセス制限上のリスク
(3)相互牽制上のリスク と考え業務フローからリスクを洗い出すと
意外な発見=リスク があると思います。
(1)権限管理上のリスク
(2)アクセス制限上のリスク
(3)相互牽制上のリスク のリスクは回避出来ていたとしても
本当に回避できているか否か確認する仕組み、システム、制度設計は?
粉飾や不正は悪意を持って行ないます。
①人間が監視すべきものと
②ITの良さを活かして監視すべきもの があります。
2重 3重の把握の仕組み、システム、制度設計が必要です。
規定整備には、この「2重 3重の把握の仕組み、システム、制度設」を中心に
検討すべきではと考えています。
運用期間がありますので、完成度の高さを求め、教育や周知徹底を遅らせる
よりも、早めにスタート=運用開始し、是正処置を取ることが必要ではないかと
考えています。
リスクは、守るべき資産と、脅威、脆弱性の接点から発生します。
全ての脅威を取り去るとこは出来ません。
また、コストとの関係があります。
草案でもコストを度外視しても実行せよとは記載されておりません。
リスクを受入、回避する方策で考えていきましょう。
この点をトップ、役員がシッカリ認識することが必要です。
場合によっては、トップ、役員のリスク教育=統制環境の分野に
なるのかもしれません。
(次号に続く)
※バックナンバーは、「社長の今打つべき手」をクリック願います。
※※お問い合わせはお気軽に
※※※コンサルティングのお見積り・問い合わせもお気軽に!!
コンサルティングお問い合わせの方にもれなく、
内部統制(日本版SOX法 JSOX法)三点セットサンプル進呈
vol 108.内部統制(日本版SOX法 JSOX法) (14)
コラム/ブログ