困ったぞ！運用テストで母集団特定

運用テストでは、対象となるキー統制の証跡をランダムに集めるのではありません。ウォークスルーで行ったように、ある取引の最初から最後までのプロセスにあるキー統制の証跡を集めなければなりません。

例えば、受注伝票1番の取引が最終的に総勘定元帳に転記されるまでのプロセス中のキー統制の証跡を集めるわけです。

同じAという製品を販売する場合でも、販社へ販売する場合と、一般顧客へ販売する場合では、そのプロセスが異なる場合があります。
システム的な処理は同じでも、人間が介在するポイントでの処理の仕方が異なる場合に問題となります。

システム内部で、違いを識別する属性が付いていれば問題がないのですが、付いていない場合は、販社への販売だけを集めて母集団としなければなりません。もっと複雑にいえば、顧客によってプロセスが異なる場合は、顧客グループというようなもので分類し、そのグループによる受注伝票一覧を作成するクエリを組まなければなりません。

受注伝票自体の母集団を特定できたとして、次に問題となるのは、この母集団ごとの売上高を合計して、総勘定元帳の売上高と一致するかどうかを確かめなければなりません。

しかし、当然ながら、受注伝票の後続処理で、返品、キャンセルなどがあるかもしれません。そういう場合は、母集団からそれらをのぞかなかれ場なりません。

これを手作業でやるとなると気絶してしまいます。

さらに、問題はこれだけではありません。

問題となるのは、必要な証跡が手元にない場合です。処理件数が多い場合は、数か月分の証跡自体をダンボールに入れ、倉庫に保管していると思います。運用テストのためだけに、倉庫からダンボールを取り寄せ、テスト対象となる証跡を拾い出さなければなりません。

これはすべて手作業です。

現在は、準備段階ですので、簡便的にできるかもしれませんが、2008年4月以降の適用年度に入れば、すべてを行わなければなりません。統制運用テストは、その年度の内部統制の運用の整備状況を評価しなければなりませんから、証跡となるものは、1年間手元に置くなどのナンセンスなことを要求されるかもしれません。

これを毎年繰り返さなければなりません。すべてのプロセスを最低年に1回テストしなければなりません。4月から12月までを対象としてテストすれば、残りの1月から3月までを再テストして、1年間の内部統制が有効であったことを証明しなければならないのです。

ただこの点は、実施基準で、どのような扱いになるか今のところ不明です。

本番年度以降の運用テスト体制を考え、手作業で証跡を集められるのであれば救われますが、ほとんどの企業はそのようなコストをかけたくないのではないでしょうか。コストをかけたくなければ、すべての証跡を電子化して保存するような投資が必要になるかもしれません。

しかも日本版SOX法に対応するためだけに...

どこかのドキュメントカンパニーと標榜しているベンダーのソリューションが飛ぶように売れるかもしれませんね。
このベンダーと私には何の利害関係もありません。（笑）

将来の運用を考え、手作業による統制をやめ、すべての統制をアプリケーション統制にしてしまうことも1つの方法ではないでしょうか。これも投資を伴いますが。

そのためには、ERP + ワークフローの組み合わせで、業務フローを標準化させることが肝心です。

日本版SOX法に対応するだけの目的で、内部統制整備を行うと本当に、コストアップにしか見えず、ため息が出てしまいます。
やはり、本来の意味のリストラ（決して首切りではない）とBPRを目的にしなければ、やってられなくなります。