内部統制の運用テスト

ウォークスルーを行い、その結果を評価して、職務記述書、業務フロー、リスクコントロールマトリックスの修正が終われば、次は、運用テストに入ります。
ウォークスルーは、サンプルを1つ取り上げ、そのフローを最初から最後まで追うことによって、作成した文書が正確であることを証明するために行いました。
運用テストは、設計された統制が有効であるかどうかを評価するために行います。運用テスト自体を計画するには、次のステップで行います。

  1. テスト方針の決定
  2. キーコントロールの抽出
  3. テスト手続きの決定
  4. サンプルサイズの決定
  5. テストリソースの識別
  6. テストタイミングの決定
  7. テスト計画の作成
  8. テストの実施
  9. テスト結果の文書化

ステップ7までが計画フェーズです。ここでも、しっかりした計画を立てなければなりません。PMBOKを活用しましょう。
これらのステップの中のキーコントロールとは、概念的に分かりづらいものです。キーコントロールとは、次のようなものです。

  • 起こりうる誤り、リスクを統制する上で、一番効果的である統制
  • 複数のアサーションとリスクに関係している統制
  • 複数の統制が組み合わさって1つのアサーションを達成しているすべての統制

この説明を書いていて、また、分からない単語が出てきました。アサーションです。内部統制の書籍を見ていると、これらの専門用語を解説せず、平気で使用しているものがあります。監査用語をそのまま押し付けているようなものは、読むのを止めましょう。
ちょっとそれますが、アサーションとは、実在性・発生性、完全性、評価または配分、権利と義務を言います…ますます分からなくなってきました。
内部統制プロジェクトを行っていると、こんなように、言葉を理解するために堂々巡りをしてしまいます。ちょうどITベンダーが3文字英語でお客様を煙に巻いているのと同じです。
実在性・発生性とは、資産、負債などが一定時点において実在していること、そして、記録された取引は、一定期間中に実際に発生したものであることを指します。例えば、製品の納品に基づく請求書を発行するというようなことです。
完全性とは、一定期間中に発生し、その期間に認識されるべきすべての取引が、洩れなく記録されていることを指します。例えば、当月中の売上に対する請求書を漏れなく発行するというようなことです。
評価または配分とは、資産、負債、収益および費用の各項目が、関連する適切な会計原則に準拠して、適切な金額で記録されており、その取引は正確に計算されて帳簿や文書に記録されていることを指します。例えば、売掛金の評価(貸倒引当金の設定)を適切に行うというようなことです。
ちなみに、銀行の不良債権額は、官庁主導の不正金額でした。
権利と義務とは、資産と負債は、それぞれ一定時点において、その事業体の権利と義務であることを指します。例えば、サービス提供を実際に享受したものについてのみ請求書を受取るというようなことです。
このようなことを行っている統制を抽出して、それに対してテストを行います。
キーコントロールがマニュアルによる統制か、システムによる統制(アプリケーション統制)かによって、テスト手法が異なってきます。インタビューや視察でよい場合もあるし、シミュレーション的に再実施を行わなければならない場合もあります。
今回は、大半が用語の解説になってしまいました。日頃から、なぜ分かりにくい言葉を使うのかといったフラストレーションの現れです。(笑)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*