トップ 差分 一覧 ソース 検索 ヘルプ PDF RSS ログイン

キーコン不備の評価

キーコン不備の評価

キーコントロールで不備が検出された場合の評価

TOP

 なぜ「キー」コントロールを選んだのか

TOP

ここでもう一度、キーコントロールの定義に立ち返って、なぜキーコントロールを選定したのかを考えたい。

キーコントロールとは、財務報告に重大な影響を及ぼす(つまり許容可能なギリギリの範囲の)虚偽記載を防止・発見するために最低限必要な(つまり最もコストをかけずに行なう)手続のことである。ということは、キーコントロールの不備とは、車で言えばブレーキの欠陥、建築物なら構造設計の計算ミス、食品なら有毒物の混入に相当するくらいの、極めて重大な事象であるという評価が、先ずは自動的に推定されてしまうことになる。

そのようなコントロールを選定することは、結果的に内部統制上の不備事項のうち重大なものだけを発見するように経営資源を絞って集中投下し、早期に発見、対処できることを意図したものである。

 不備の評価との関係は

TOP

したがって、経営者評価においてキーコントロールに不備が検出された場合には、それが重大な欠陥に該当するかどうかを考えるよりも前に、先ずは不備事項の是正措置を可及的速やかに処するべきである。

理屈によって不備から逃げようとすることは、そもそもキーコントロール選定の趣旨から外れることになり、「事実に眼をつぶる、あるいは眼を逸らせる」経営者という評価をされることになるかもしれない。それは、言うまでもなく監査人の立場からは「経営者評価の方法及び結論は不適正である」という意見を表明の検討に繋がるだろう。

 例外事項との関係

TOP

とはいえ、キーコンの不備がそのまま重要な欠陥に該当するかどうかは、不備と判定されたキーコンの位置づけと不備と判定した根拠との関係で、必ずしも、そうとは言い切れない。例えば、その不備が特定の事業所の特定の業務だけに限定されているといえる場合でその財務報告への影響が限定的であると判断できる場合には、不備(=統制目標の未達)ではあるが重要な欠陥(=財務報告の重要な虚偽記載をもたらし得る)には該当しない。ここが「不備の評価」を必要とする所以である。

IT全般統制の不備はどう評価するか

TOP

 GAITのITGC不備に関する評価ガイダンス

TOP

IT全般統制の不備については、GAITの「IT全般統制不備評価」のガイド[1]が参考になろう。

評価原則

TOP
  1. ITGCの不備を評価するには、瑕疵のあったITGCのキーコントロールと財務報告との間における依存関係をきちんと理解する必要がある。
  2. 「重大な欠陥」に相当するには、以下の二つのテストを満たさねばならない:(a)可能性(b)影響(※すなわち、財務報告における虚偽記載の潜在的な可能性である)。
  3. ITGCの不備は財務報告に直接影響を及ぼすものではないため、評価も一直線にできるものではない。評価は、段階的に手順を踏んで、可能性と影響度とをテストしながら、いくつからの手順を組み合わせて行なわれる。
  4. 同一のITGCの統制目的に係る全てのITGCの不備は、一つのグループとして評価されるべきである。
  5. 全ての遂行されていないITGCの統制目的で、同一の要(キー)となる自動化された統制、キーレポート、その他重要な機能に係るものは、一つのグループとして評価すべきである。
  6. 「総括原則」(the principles of aggregation)は、全ての種類のコントロール(手作業、自動化を問わず、同一の重要な科目や開示項目に係るコントロールが含まれる)の不備は、一グループとして捉えるべきであるとしている。

評価プロセスにおける10のステップ

TOP
  1. テストで検出された除外事項がコントロールの瑕疵によるものであって、単なる例外でないことを確認する。
  2. テストされたコントロールが意図するITGCのコントロール目的を識別する。
  3. ITGCのコントロール目的が遂行されたかどうかを決定する。
  4. このコントロール目的の遂行に依拠している財務報告上重要なアプリケーションがいずれかを識別する。
  5. 通常のオペレーション(活動)により、ITGCのコントロール目的の瑕疵が発見される合理的な可能性が最低限あるかどうか。
  6. ITGCコントロール目的の瑕疵により、どの重要なIT機能がリスクに晒されているかを識別する。
  7. リスクに晒されている重要なIT機能それぞれについて、ITGCコントロール目的の瑕疵により、IT機能の瑕疵が発見されない原因となる可能性があるかどうか。
  8. 重要なIT機能と他の業務上のコントロールとを考慮すると、その瑕疵が重大な虚偽表示をもたらす合理的な可能性があるか。
  9. 「重大な脆弱性」に満たないリスクが「重大な不備」として、Audit Committeeに対し依然として開示の妥当性を保証するに足るものか。
  10. 財務報告に対する全てのコントロールリスクが集約考慮されているかどうかを含め、適切な人のレヴュを受ける。
※ちょっと一言
※ちょっと一言

【本文脚注】

  • [1]GAIT for IT General Control Deficiency Assessment - An approach for evaluating ITGC deficiencies in Sarbanes-Oxley Section 404 assessments of internal controls over financial reporting, The Instutide of Internal Auditors (March 2008)
※このページに一言ツッコミを入れる!
お名前: コメント:

【Key Controls】

【コンテンツ】

【内部統制あれこれ】

学習文献

読むべき文献から、役立つかも知れない文献まで。

サイト内検索

キーワード

【最近の記述】

2014/1/12

2010/7/17

2009/12/29

【最近の閲覧】

2024/4/26

2024/4/25

2024/4/24

【閲覧上位10】

管理

Copyright (C) 2002 縄田直治
Powered by FreeStyleWiki3.6.5 with Perl5.030003