RCM(リスク・コントロール・マトリックス)は、監査法人(監査人)により出版(執筆)されている
フォーマットを見ただけでも大きな違いがあります。
各々、特徴があります。
日本版COSOフレームワークを見た場合、
目的は、財務諸表の信頼性ですから、RCMにも該当プロセスの記載が
最低限必要と判断します。
プロセスと言っても、各社の捉え方が違います。
監査法人により「ビジネスサイクル」と「プロセス」と表現されるところと
「プロセス」と「サブプロセス」と表現されるところがあります。
各々のプロセス、サブプロセスに対して「コントロール」「統制活動」の記載が必要です。
サンプル、例題をみると、コントロール(統制活動)の表現を、
文章にて流れを表記しているところと
サブプロセスを詳細に記載し、サブプロセスごとに箇条書き程度で
表記しているところがあります。
次に、プロセス(統制活動)ごとに、リスク評価をし、
アサーションとの関係を「○」「×」「●」で表記しています。
各監査法人からのサンプルを比較検討すると、あるいは、
内部統制(日本版SOX法 JSOX法)の事務局が検討に入ると
「混乱する」のではないかと推察します。
良い、悪いは別にして、監査を受ける監査法人・監査人の方と良く打合せをする
必要があります。
ここで、RCM(リスクコントロールマトリックス)のフォーマットが定まらないと、
あるいは、良いとこ取りしようとすると、事務作業が莫大になります。
各種内部統制(日本版SOX法 JSOX法)用のソフトウェアーが、
どの監査法人からのアドバイス、監修、参考を受けて作成されたのか
十分に調べ、導入下さい。
私も含め、コンサルタント自身がよく理解していないと、
混乱を招くことになると判断します。
同時に、IT活用との関連で、ITベンダーからの支援もあろうかと思いますが、
担当者やベンダーがどの監査法人のフォーマットで勉強したかで左右されると思います。
ある監査法人の代表社員のかたとお話しましたところ、ソフトやベンダー、
コンサルタントを入れることは良いが、社内の人間がよく理解せず、
言われるままに導入すると、監査で困るでしょうとのことでした。
確かにその通りです。運用重視、監査重視でご判断願います。
コントロール(統制活動)に対して、
統制目標を評価するサンプルとアサーションと表現するサンプルがあります。
アサーションを5区分で表現するサンプルと6区分で表現するサンプルがあります。
また、表現方法も似通っていますが異なります。
言葉の定義が重要なところですので、事務局、プロジェクトメンバーは、
違いがあることを認識した上で議論してください。
勉強熱心なプロジェクトメンバーが、他の監査法人執筆、監修の書籍を読み、
議論に入ると、読んでいない方との解釈の違いで混乱が予想されます。
統制タイプや統制種類についても、表現、記載方法が異なります。
ある監査法人サンプルでは「ITシステム依拠」「ITシステム評価」を加えています。
日本版COSOフレームワークから判断すると、必要な項目と思います。
(次号へつづく)
※バックナンバーは「社長の 今 打つべき手」を参照願います。
※※お問い合わせは、お気軽に!
※※※コンサルティングのお見積り・問い合わせもお気軽に!!
コンサルティングお問い合わせの方にもれなく、
内部統制(日本版SOX法 JSOX法)三点セットサンプル進呈
vol109.内部統制(日本版SOX法 JSOX法) (15)
コラム/ブログ