内部統制プロジェクトでの統制改善項目への疑問

運用テストが終わり、改善項目を抽出しました。その改善をどのような形で実施していくかを考えなければなりません。
紙に確認、承認したと言う証拠を残すだけで済むような軽微なものから、大幅にITを改修しなければならないものまで含まれます。
実際にその項目を改善するかどうかか、企業の意思決定にゆだねられます。
業務効率を落としてまでも、人海戦術を使用して改善するか、コストをかけ、IT活用に変更するかと言うような意思決定です。
将来への継続を考えれば、IT活用になると思います。
しかし…改善項目として抽出したものをすべて実行しなければならないのか?
コストを無視し、すべてを行わなければならないのか?


コストを無視してまでもすべてを改善しなければならないとすれば、それは、もはやビジネスではありません。改善しなくても良いものもあるはずだ、というのが私の見解です。
この点について、公認会計士の友人と酒を飲みながら議論したことがあります。
私「改善項目は、すべて実行しなければならないと思いますか?リスクの頻度も、影響度も小さいものは、改善しなくても良いという選択もありうるのではないでしょうか?」
公「監査法人の立場としては、すべてを改善しろと言うでしょうね。改善しない項目で、財務諸表の不備が見つかった場合のことを考えて。」
私「と言うことは、金額的に無視できる程度のものまでも含めてですね。財務リスクと言うのは、企業にとって無視できるリスクであっても、監査法人が不備を指摘されるリスクのことですかね?(少々意地悪)」
公「そもそも、重要勘定と認定した科目を対象にした業務プロセスですから、そのキー統制に不備があるとすれば、すべて改善するのが筋でしょうね。しかし、本当に、無視できると言えればよいかもしれません。」
私「定性的に?」
公「いや、例えば、その取引の頻度が多くなく、その1取引当たりの金額も少なく、従ってそのリスクの影響度も少ないことを定量的に証明しなければならないと思いますよ。」
私「リスクマネジメントの手法を無視して、一足飛びに定量分析をしなければならないの?リスク分析にも多額のコストをかけなければならないな。」
この議論は、どこまで行っても平行線でした。できるだけコストを抑えたい企業と、監査法人との攻防が各所でこれから展開されるのではないかと思います。
結局のところ、リスク分析するよりも、さっさと改善に着手する方が簡単かもしれません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*