内部統制(日本版SOX法 JSOX法)では、
RCM(リスクコントロールマトリックス)を求めています。
内部統制(日本版SOX法 JSOX法)では、全般統制と業務処理統制からなります。
各社の議論、作業は、RCM(リスクコントロールマトリックス)になっていると思います。
一方、監査の立場では、全般統制での「重大な欠陥」が発生すれば、
一生懸命おこなった、RCM(リスクコントロールマトリックス)は無意味なものになります。
全般統制のRCM(リスクコントロールマトリックス)に相当するものは示されておりません。
RCM(リスクコントロールマトリックス)、又は文書化の三点セットとして
業務フローチャート、フローチャートの補足説明、RCM(リスクコントロールマトリックス)
からなります。
RCM(リスクコントロールマトリックス)については、私は、SAPで勉強した
P-CO-R-Cが覚えやすく、わかりやすかったと感じています。
(SAPの内部統制コンサルタントに認定されたからだけではありません)
監査法人によって、求める文書化は若干異なります。
時間の無い中で、ここが混乱をされているのではと感じています。
繰り返し申し上げますが、RCM(リスクコントロールマトリックス)は
監査法人、監査人とよく打合せをして進めることをお勧めします。
各々、監査の視点、監査のナレッジがあり、フォーマットについて
ポリシーがあると思います。
実際、私も、私で各 監査法人のフォーマットに「チョット」付け足すと
現場の社員の方(非正社員も含め)わかりやすいのではと言う基準を持っています。
内部統制(日本版SOX法 JSOX法)では、文書化のみを求めていません。
大きく言うと、
(1)統制が整備されているか?
(2)統制化が運用されているか?
が、監査の視点であると判断します。
プロジェクトのスケジュールを、二つに分け
整備期間、運用期間(テスト、是正、是正後の文書化含む)にて準備されることを
お勧めします。
※バックナンバーは、「社長の 今 打つべき手」をクリックし参照下さい。
※※お気軽にお問い合わせを!!
※※※コンサルティングのお見積り・問い合わせもお気軽に!!
コンサルティングお問い合わせの方にもれなく、
内部統制(日本版SOX法 JSOX法)三点セットサンプル進呈
vol111.内部統制(日本版SOX法 JSOX法) (17)
コラム/ブログ