リスク・コントロール・マトリクス(RCM)とは、重要勘定科目として特定された業務プロセスにおいて、監査基準である財務アサーションの違反を起こす可能性のあるリスクに対して、統制方法、優先度、対処手段等を一覧にした分析表です。
業務プロセスにたいする内部統制が適切に計画されていることを監査するために用いられますので、内部統制の文書化には必須です。
このマトリクスで必要となる記載項目を説明しておきましょう。
◆「対象業務」とその業務プロセスで抽出された「業務処理」で財務アサーションに反する「リスク事項」とリスク対策である「統制方法」を記述します。
ここまでが第1段階のリスク分析です。
◆第2段階ではリスク対策の実施方法を設定します。このリスクの統制方法の「優先度」と統制の「頻度」、対処の手段として「人手/IT化」、“予防的か”又は“事故発生後の対処か”を「予見的/発見的」という項目で区別して一覧表とします。
こうすることで、内部統制に対するリスク箇所と対策が一望できるリスク表になるわけです。
このアプリケーション業務プロセスに対するリスク分析は基本的分析を行いますが、その他に、
IT統制のIT業務プロセスに対するRCMも文書化が必要になります。
IT統制でのRCMは対象業務が「全社レベル統制」、「IT全般統制」、「アプリケーション統制」に係る業務ですから、業務プロセスでのRCMとは対策が異なる箇所があります。
アプリケーション統制は業務に直接関係する事柄ですので、業務RCMと対策は一致することになります。
従って、IT統制のRCMは「全社レベル統制」と「IT全般統制」の対策事項が統制内容になります。
この統制内容はCOBITからの統制方針やITILやISMSからのIT業務規定レベルの対策となります。
それでは、次回はこれらのIT統制に関する文書をITGIの 「ITガバナンス協会」のガイド資料から取り上げ、要点を説明していきましょう。
今回はここで終わりです。
次回は「IT統制に関する必要文書」をテーマに取り上げます。
業務プロセスにたいする内部統制が適切に計画されていることを監査するために用いられますので、内部統制の文書化には必須です。
このマトリクスで必要となる記載項目を説明しておきましょう。
◆「対象業務」とその業務プロセスで抽出された「業務処理」で財務アサーションに反する「リスク事項」とリスク対策である「統制方法」を記述します。
ここまでが第1段階のリスク分析です。
◆第2段階ではリスク対策の実施方法を設定します。このリスクの統制方法の「優先度」と統制の「頻度」、対処の手段として「人手/IT化」、“予防的か”又は“事故発生後の対処か”を「予見的/発見的」という項目で区別して一覧表とします。
こうすることで、内部統制に対するリスク箇所と対策が一望できるリスク表になるわけです。
このアプリケーション業務プロセスに対するリスク分析は基本的分析を行いますが、その他に、
IT統制のIT業務プロセスに対するRCMも文書化が必要になります。
IT統制でのRCMは対象業務が「全社レベル統制」、「IT全般統制」、「アプリケーション統制」に係る業務ですから、業務プロセスでのRCMとは対策が異なる箇所があります。
アプリケーション統制は業務に直接関係する事柄ですので、業務RCMと対策は一致することになります。
従って、IT統制のRCMは「全社レベル統制」と「IT全般統制」の対策事項が統制内容になります。
この統制内容はCOBITからの統制方針やITILやISMSからのIT業務規定レベルの対策となります。
それでは、次回はこれらのIT統制に関する文書をITGIの 「ITガバナンス協会」のガイド資料から取り上げ、要点を説明していきましょう。
今回はここで終わりです。
次回は「IT統制に関する必要文書」をテーマに取り上げます。
内部統制プロジェクトの実施段階の主要文書の1つに「勘定科目の重要性判定」があります。
内部統制では「財務報告の信頼性」を目的としますので、財務諸表の信頼性に焦点が当ることになります。
財務諸表の中心は貸借対照表(B/S)、損益計算書(P/L)です。
これらの報告書の勘定科目はあらゆる業務に関係しておますので、全ての業務調査が必要になるのでしょうか?
平成18年11月21日に金融庁から発表されました「財務報告に係る内部統制の評価及び監査に関する実施規準」によりますと、金額的な重要性の判断として連結総資産、連結売上高、連結税引前利益などに対する構成比率をその基準として掲げ低増す。
例えば、連結税引前利益の概ね5%といった基準を設定しています。
つまり、そのような影響を与える勘定科目に対して「信頼性を持った内部統制」を要求しているわけです。
この勘定科目の重要度判定には「量的リスク」と「質的リスク」の両面をみてリスク判定をします。
(1)「量的リスク」とは、その勘定科目の処理頻度の多さと金額の大きさをとらえたリスクです。
(2)「質的リスク」とは、市場の変動や人為的な判断の影響を受け大きな変動を伴う勘定科目です。
そのリスク要因には、
★有価証券のように“市場性”があり時価が変動する
★減価償却のように“陳腐化の要因”があり、経済的陳腐化が発生する
★顧客への仕切値等が関連し、“計算の複雑性”が生じる
★商品評価損等の主観的な判断等の“恣意性がある”もの
★社員申請等“不正”の入り込みやすい勘定科目
★減価償却費、前払費用などの取引等、収益および費用を適切な期間に配分の
“期間帰属エラー”
★異例、特例、特殊取引のある勘定科目 等があります。
重大なミス、不正や処理の不透明さを作り出す「量的リスク」や「質的リスク」を判断基準にして、対象勘定科目を選択し、その業務プロセスを識別する必要があります。
重要勘定科目の選定が出来ると、この勘定科目に関係する業務プロセスを特定することが必要になります。
対象の業務プロセスが特定できますと、その特定業務プロセスの業務フローチャートを記述します。
業務フローチャートは内部および外部会計監査において必須の文書です。
一般には、システム化業務が分かるように処理の流れに沿って、処理部門の関連をつけ記述する方式がとられます。
この業務フローの中で対象勘定科目の財務アサーションに違反する可能性があると思われる業務をピックアップし、そのリスク事項を記述します。
こうすることで、リスクのある業務が明確になり、内部統制のための対策事項を作成することが可能になります。
この業務プロセスリスク事項と対策事項をまとめたものがRCM(Risk Control Matrix)です。
今回はここで終わりです。
次回は内部統制の要となる「リスク・コントロール・マトリクス(RCM)」をテーマに取り上げます。
内部統制では「財務報告の信頼性」を目的としますので、財務諸表の信頼性に焦点が当ることになります。
財務諸表の中心は貸借対照表(B/S)、損益計算書(P/L)です。
これらの報告書の勘定科目はあらゆる業務に関係しておますので、全ての業務調査が必要になるのでしょうか?
平成18年11月21日に金融庁から発表されました「財務報告に係る内部統制の評価及び監査に関する実施規準」によりますと、金額的な重要性の判断として連結総資産、連結売上高、連結税引前利益などに対する構成比率をその基準として掲げ低増す。
例えば、連結税引前利益の概ね5%といった基準を設定しています。
つまり、そのような影響を与える勘定科目に対して「信頼性を持った内部統制」を要求しているわけです。
この勘定科目の重要度判定には「量的リスク」と「質的リスク」の両面をみてリスク判定をします。
(1)「量的リスク」とは、その勘定科目の処理頻度の多さと金額の大きさをとらえたリスクです。
(2)「質的リスク」とは、市場の変動や人為的な判断の影響を受け大きな変動を伴う勘定科目です。
そのリスク要因には、
★有価証券のように“市場性”があり時価が変動する
★減価償却のように“陳腐化の要因”があり、経済的陳腐化が発生する
★顧客への仕切値等が関連し、“計算の複雑性”が生じる
★商品評価損等の主観的な判断等の“恣意性がある”もの
★社員申請等“不正”の入り込みやすい勘定科目
★減価償却費、前払費用などの取引等、収益および費用を適切な期間に配分の
“期間帰属エラー”
★異例、特例、特殊取引のある勘定科目 等があります。
重大なミス、不正や処理の不透明さを作り出す「量的リスク」や「質的リスク」を判断基準にして、対象勘定科目を選択し、その業務プロセスを識別する必要があります。
重要勘定科目の選定が出来ると、この勘定科目に関係する業務プロセスを特定することが必要になります。
対象の業務プロセスが特定できますと、その特定業務プロセスの業務フローチャートを記述します。
業務フローチャートは内部および外部会計監査において必須の文書です。
一般には、システム化業務が分かるように処理の流れに沿って、処理部門の関連をつけ記述する方式がとられます。
この業務フローの中で対象勘定科目の財務アサーションに違反する可能性があると思われる業務をピックアップし、そのリスク事項を記述します。
こうすることで、リスクのある業務が明確になり、内部統制のための対策事項を作成することが可能になります。
この業務プロセスリスク事項と対策事項をまとめたものがRCM(Risk Control Matrix)です。
今回はここで終わりです。
次回は内部統制の要となる「リスク・コントロール・マトリクス(RCM)」をテーマに取り上げます。
ITGI(ITガバナンス協会)のガイドによれば、IT内部統制の文書化に関しては特定の形式が定められているわけではなく、記載の要求事項があるだけです。
従って、企業はこの要求事項を満たした文書を作成する必要があります。
内部統制に関しては、全社レベルと業務レベルに分けた統制記述ガ要求されています。
◆全社レベルの統制記述では、基本構成要素に対する連結子会社を含めた統制の方針や進め方に関する文書、統制に関する調査や質問の実績記録が必要ですし、そしてその記録を継続的で定性的に報告を保証できるツールや手法の活用が必要です。
◆業務レベルの統制記述では、業務フローチャートの記載、プロセス又はサブプロセスに関連したリスク記載、リスク対応とCOSOフレームワークへの整合性の記載、業務プロセスに対して実施された統制活動の記載、そのための手法、そして統制の有効性についての結論を記載します。
以上の文書化対応が必要になるわけです。
記載事項をもう少し具体的にみていきましょう。
全社レベルの統制はIT統制の全社レベル統制での「統制環境」がそれに該当します。
それはCOBITの4つのドメイン(企画・計画と組織、調達と開発、運用と支援、モニタリング)に対するIT業務プロセスに対する方針記述が必要となります。
この文書は業務プロセスのリスク分析を基に作成されることになります。
リスクとは財務アサーションに対する違反リスクです。IT組織構造にはIT化のプロジェクト組織と運用組織記述が必要であり、モニタリングはIT統制としての実施方針に沿った記録、報告が必要となります。
すなわち、
◆ITガバナンスプロセスに関しては、ITシステムの戦略的計画、ITリスク管理プロセス、コンプライアンスおよび規制管理。
IT化方針、手続、及び基準、そしてITの組織構造などが必要です。
◆モニタリングおよび報告に関しては、
ITが事業要件に沿ったものであることを確実にすることと記述されています。
米国SOX法の場合、CSOにある内部統制の目的が全て対象になりますが、日本版SOX法ではその目的の中で「財務報告の信頼性」に焦点が当りますので、「財務アサーションに沿ったものであることを確実にすること」と解釈してよいでしょう。
今回はここで終わりです。
次回はこのテーマの続きでIT内部統制として求められるIT全般統制の文書化を取り上げましょう。「IT内部統制の全般統制記載要求事項」としてテーマに取り上げます。
従って、企業はこの要求事項を満たした文書を作成する必要があります。
内部統制に関しては、全社レベルと業務レベルに分けた統制記述ガ要求されています。
◆全社レベルの統制記述では、基本構成要素に対する連結子会社を含めた統制の方針や進め方に関する文書、統制に関する調査や質問の実績記録が必要ですし、そしてその記録を継続的で定性的に報告を保証できるツールや手法の活用が必要です。
◆業務レベルの統制記述では、業務フローチャートの記載、プロセス又はサブプロセスに関連したリスク記載、リスク対応とCOSOフレームワークへの整合性の記載、業務プロセスに対して実施された統制活動の記載、そのための手法、そして統制の有効性についての結論を記載します。
以上の文書化対応が必要になるわけです。
記載事項をもう少し具体的にみていきましょう。
全社レベルの統制はIT統制の全社レベル統制での「統制環境」がそれに該当します。
それはCOBITの4つのドメイン(企画・計画と組織、調達と開発、運用と支援、モニタリング)に対するIT業務プロセスに対する方針記述が必要となります。
この文書は業務プロセスのリスク分析を基に作成されることになります。
リスクとは財務アサーションに対する違反リスクです。IT組織構造にはIT化のプロジェクト組織と運用組織記述が必要であり、モニタリングはIT統制としての実施方針に沿った記録、報告が必要となります。
すなわち、
◆ITガバナンスプロセスに関しては、ITシステムの戦略的計画、ITリスク管理プロセス、コンプライアンスおよび規制管理。
IT化方針、手続、及び基準、そしてITの組織構造などが必要です。
◆モニタリングおよび報告に関しては、
ITが事業要件に沿ったものであることを確実にすることと記述されています。
米国SOX法の場合、CSOにある内部統制の目的が全て対象になりますが、日本版SOX法ではその目的の中で「財務報告の信頼性」に焦点が当りますので、「財務アサーションに沿ったものであることを確実にすること」と解釈してよいでしょう。
今回はここで終わりです。
次回はこのテーマの続きでIT内部統制として求められるIT全般統制の文書化を取り上げましょう。「IT内部統制の全般統制記載要求事項」としてテーマに取り上げます。
IT統制の「IT全般統制」と「アプリケーション統制」に関して整理してみましょう。
IT全般統制のIT統制項目には「プログラム開発」と「プログラム変更」、「プログラムとデータベースへのアクセス」、「コンピュータオペレーション」がありました。
この統制に係るCOBITのドメインは「調達と開発」と「運用と支援」ドメインでこのドメインに属するIT業務プロセスが関与します。
(1)IT統制項目は「プログラム開発」、「プログラム変更」、「プログラムとデータへのアクセス」、「コンピュータオペレーション」です。
この統制項目との標準の関係を捉えてみましょう。
◆「プログラム開発」と「プログラム変更」に対するCOBITのドメインは「調達と開発」です。
このドメインでの対象IT業務プロセスには、アプリケーションシステムソフトウエアの調達又は開発/技術とインフラの調達/方針と手続の策定と保守/アプリケーションソフトウエアと技術インフラの導入とテスト/変更管理の5業務プロセスがありますし、
◆「プログラムとデータへのアクセス」、「コンピュータオペレーション」に対するCOBITのドメインは「運用と支援」です。
このドメインでの対象IT業務プロセスには、システムセキュリティの保証/データ管理/サービスレベルの定義と管理/サードパーティサービス管理/構成の管理/問題と事故管理/オペレーション管理の7業務があります。
IT全般統制のIT業務プロセスに対する方針はこのCOBITのIT業務プロセスの成熟度を目標に策定することになり、業務規定やルール作りにはITIL(IT Infrastructure Library)、ISMS(Information Security Management System)を活用することになります。
(2)IT統制項目はデータの「作成」、「入力」、「処理」、「出力」における「網羅性」、「正確性」、「正当性」、「ファイルの維持継続性」でした。
目標は財務アサーションです。
この目標を達成するために業務に係るソフトウエアプログラムごとの統制規定を作成することになります。
財務アサーションに関する業務をITGI (ITガバナンス協会)では5つの業務、「販売業務」、「購買業務」、「棚卸業務」、「資産管理業務」、「人事業務」を提示しています。
B/S、P/Lに関する重要業務分野としては適切でしょう。
今回はここで終わりです。
次回はIT内部統制として求められる文書化のテーマに移ります。「IT内部統制の記載要求事項」としてテーマに取り上げます。
IT全般統制のIT統制項目には「プログラム開発」と「プログラム変更」、「プログラムとデータベースへのアクセス」、「コンピュータオペレーション」がありました。
この統制に係るCOBITのドメインは「調達と開発」と「運用と支援」ドメインでこのドメインに属するIT業務プロセスが関与します。
(1)IT統制項目は「プログラム開発」、「プログラム変更」、「プログラムとデータへのアクセス」、「コンピュータオペレーション」です。
この統制項目との標準の関係を捉えてみましょう。
◆「プログラム開発」と「プログラム変更」に対するCOBITのドメインは「調達と開発」です。
このドメインでの対象IT業務プロセスには、アプリケーションシステムソフトウエアの調達又は開発/技術とインフラの調達/方針と手続の策定と保守/アプリケーションソフトウエアと技術インフラの導入とテスト/変更管理の5業務プロセスがありますし、
◆「プログラムとデータへのアクセス」、「コンピュータオペレーション」に対するCOBITのドメインは「運用と支援」です。
このドメインでの対象IT業務プロセスには、システムセキュリティの保証/データ管理/サービスレベルの定義と管理/サードパーティサービス管理/構成の管理/問題と事故管理/オペレーション管理の7業務があります。
IT全般統制のIT業務プロセスに対する方針はこのCOBITのIT業務プロセスの成熟度を目標に策定することになり、業務規定やルール作りにはITIL(IT Infrastructure Library)、ISMS(Information Security Management System)を活用することになります。
(2)IT統制項目はデータの「作成」、「入力」、「処理」、「出力」における「網羅性」、「正確性」、「正当性」、「ファイルの維持継続性」でした。
目標は財務アサーションです。
この目標を達成するために業務に係るソフトウエアプログラムごとの統制規定を作成することになります。
財務アサーションに関する業務をITGI (ITガバナンス協会)では5つの業務、「販売業務」、「購買業務」、「棚卸業務」、「資産管理業務」、「人事業務」を提示しています。
B/S、P/Lに関する重要業務分野としては適切でしょう。
今回はここで終わりです。
次回はIT内部統制として求められる文書化のテーマに移ります。「IT内部統制の記載要求事項」としてテーマに取り上げます。
