スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

データ監査について その3

データ監査とは、明確な定義があるわけではありませんが、
日本公認会計士協会IT委員会報告第31号
「財務諸表における情報技術(IT)を利用した情報システムに関する
重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の
手続について」Q&AのQ22
「データダウンロード監査技法(DDL監査技法)と呼ばれる被監査会社の
電子記録化された監査対象データを電子記録のまま入手し、監査人の
管理化にあるPC等を用いて、監査人が、入手したデータを利用し、
必要な監査手続(合計調べ・抽出・分析等)を実施する方法」とあります。

そこで、入手したデータをPCにインストールした汎用監査ソフトウェア
(以降、ACL)に読み込ませて、データの抽出・分析(監査手続)を行うことを、
データ監査であるとイメージして話を進めます。

ACL(AuditCommandLanguage)とは、データ抽出・分析のための
ソフトウェアでして、監査人のために監査人により、カナダで開発された
データ監査ツールです。
(日本語版‘05年5月より発売開始 日本の販売元㈱エージーテック

データ抽出・分析はユーティリティソフト(EXCEL等)でも機能としてあり、
活用することもできます。

では、ACLと例えばEXCELとは何が違うのか?
(なんかソフトウェアの宣伝になってきました・・・)

1.ソースデータの整合性維持
ACL では、分析対象となるデータを読み込んで分析に使用します。
読み取り専用であるため、データを改ざんしません。
このため、ソースデータの整合性が維持されます。
また、ACL では、取り込むデータのサイズに制限がありません。
このため、すべてのデータを分析の対象とすることができ、結果の正確性
および信頼性が高まります。

2.監査に適したコマンド
ACL は監査業務を効果的かつ効率的に処理することを目的に、
作られたツールです。このため、監査で使用される分析手続がコマンド
(メニュー)として標準化されています。

3.監査証跡
ACL では、実行した作業およびその結果が自動的に記録されます。
こちらを監査証跡として使用することができますので、レポート作成の
手間が大幅に削減されます。

以上、ACLの特徴でした。(㈱エージーテックのHPのACL・FAQより。)

1.はEXCELの弱いところで、書換え可能なので、EXCELを使用した
監査手続は信頼性が低いということになってしまいます。
が、ACLは読み込み専用で書換えができないので信頼性は高くなります。

信頼性の向上って、3.の機能も含め、監査には大変重要な要素ですよね。

2.は自分のように複雑な関数やマクロを使用してコマンド作成等できる
スキルのない人(・・・(涙))には、
そうですね、怠け者にはぴったりの特徴です。

監査に必要と思われるコマンドは予め作成されているので、自分で
組み立てる必要がありません。

ユーザ部門にACCESSやEXCEL等でマクロを組んだりするのが
やたら好きな人がいて、それで業務アプリケーションを作って、
その人にしか分らないような業務プロセスをしっかりと作り上げ(?!)
てしまっていませんか。禁断の、秘密のマクロ王国。

そう、情報システム部門泣かせ、今や内部統制PJ泣かせのあなたのことですよ!

ACLを使用し、監査業務に適用すればそんな心配(?)も必要ないわけです。

続きを読む

スポンサーサイト

テーマ : ビジネスブログ
ジャンル : ビジネス

データ監査について その2

「ソイヤーの内部監査-現代内部監査の実践-Vo.2」
でも、
「1)汎用監査ソフトウェア
汎用監査ソフトウェアは、数多くのベンダーから入手可能だが、
いずれも次の機能を監査人に提供する。

・ファイルの読み取り
・監査人が指定した基準に基づくデータの検査
・計算のテストおよび独立した計算の実施
・別ファイルのデータとの比較
・監査サンプルの抽出と印刷
・データの要約または並替えと分析の実施
・他の監査手続きから入手したデータと事業体のレコードとの比較

これらすべての機能は、標準的な監査の仕事を実行する能力を(EDP)
監査人に与える。複雑なプログラミング作業が完了しているので、
監査人にとって効率がいい。監査人は、監査目標についての具体的情報を
このソフトウェアに与えれば、汎用監査ソフトウェアが情報の要約と検査、
および比較をするための標準手続を提供してくれる。
(略)コンピュータファイル内のデータと情報および標準的な業務報告を
テストするための汎用監査ソフトウェアの用途は、
監査人の創意と同じぐらい広汎である。」
とあり、汎用監査ソフトウェアの使用を推奨しています。

後段では、頭を使えば、いろんな使い道があるよと言っています。
さあ、ほんとにこんな薔薇色の人生のような展開が
待っているのでしょうか・・・

では、これから汎用監査ソフトウェアの代表選手(?!)である、
ACLについて、みていくことにします。
(決してベンダーの回し者じゃあございません。続く)

テーマ : ビジネスブログ
ジャンル : ビジネス

大量保有報告書提出問題

もっと話題になるかと思ったのですが、
テラメント社の大量保有報告書提出問題。
「25日付けでフジテレビ 、アステラス製薬 、三菱重工 、ソニー 、NTT 、
トヨタ自動車 といった日本を代表する主力企業の過半数超の株式を取得した
とする大量保有報告書が関東財務局に提出され、その情報が金融庁の情報
開示システムを通じてそのまま一般公表されていた問題に関して、金融庁は
同日夜、提出された報告書の内容は虚偽の疑いが強いことを発表した。

この大量保有報告書は16時12分頃に テラメント(本社:川崎市麻生区)という
法人が関東財務局に提出を行ったもの。

大量保有報告書は書類による提出方法の他、金融庁の開示用電子情報処理
組織「EDINET(エディネット)」を使い、インターネット経由で提出することも可能。
EDINET経由の場合には事前に登録申請書を提出してIDとパスワードを取得する
必要があるが、IDとパスワード取得さえすれば、誰でも提出が可能で、提出された
書類は基本的には無チェックでEDINETを通じて情報開示されてしまうことが、
今回のような問題を引き起こす原因となったものと見られている。
(略)
市場関係者の間からは、闇の勢力が株価を釣り上げて違法に資金を吸い上げる
ために偽の大量取得報告書を提出することも可能ではないかと、
金融庁のシステムの不備を指摘する声なども上がっている。」(ヤフーニュースより)

自分もほんの数度ですが、実務的に金融庁EDINET(エディネット)を使って
自己株式の取得報告を提出したことがあります。

確かに提出会社側がアクセス権限を持てば、ノーチェックで提出できて
しまいますね。記憶をたどれば。

東証では、企業が提出した適時開示資料のチェックを東証の職員が
やっており、このようなことは起こる可能性は少ないように思います。

提出の時に、開示されるまで時間の間隔をあけるので、その間に職員の
チェックが入るのだと思います。決算短信の場合なんか、経理担当役員を
スタンバイさせておいて、東証職員が電話でチェック入れてきますよね。

テラメント社がいかほどの資金力を持っているかは知りませんが、
20兆円(時価総額)を短期間で用意できるとは、常識的に言っても
考えられませんよね。一体、どんな会社やねん。

金融庁にも事前チェック体制の仕組みがあれば、防げたことかもしれませんが・・・

本日のニュースによれば、偽の報告書と判明しても、金融庁側では強制削除が
できず、提出会社が取り消し(訂正)報告書を出すしかないのだそうです。
これも、今回の事例のような場合には、何とかならんかって感じですね。

で、なぜわざわざ取り上げてぐだぐだ申しあげているかというと、
J-SOXでいうところの開示統制に絡んでくる問題だと思いましたので。

今回の事例は、故意である疑いが強いので不正となりますが、
ミスでうっかり、例えばまだ下書き状態のものが、開示されてしまえば・・・
提出会社内でも、適正なチェック体制が必要なことを痛感させられます。

続きを読む

テーマ : ビジネスブログ
ジャンル : ビジネス

ALL FOR 2010 日本 × チリ (寒っ!)

日本代表の応援に行って来ました。カテゴリー3。
バックスタンド、国立競技場は寒かった。

でも、サポーターの熱気で寒さなんかぶっとば・・・
なかったです。はい。これが。

友人たちと居酒屋で酒を飲んで、気勢を上げてから、
国立へ乗り込んでいったのですが、寒いの何のって。

試合内容もちょっとね。特に前半は「おおうっ」というのが
1回ぐらいしかなく、一番盛り上がったのは、
試合前の国歌斉唱、「平原綾香」のコールの時という有様。

後半は、大久保・羽生が入り、見せ場を多く作ってくれ、
少しは「うおーっ!」と盛り上がりましたが。
結局、スコアーレス・ドロー。寒いぞ、日本代表。

まあ、代表チームとしては、今年の緒戦ですし、
監督も’岡ちゃん’に代わって、始めっからフィットするのは
無理というもの。高原も本調子には程遠い出来だったし。

所詮、今日は親善試合。ワールドカップアジア予選に向け、
調子を上げていってくれれば、よしとしましょう。

久々、1年半ぶりのスタジアム観戦の雰囲気は、
やっぱ良かったです。生は。

ボールの動きにあわせた、選手の動き出し等、
フィールド全体を俯瞰的にみられるのが、いいところなんですね。
こればっかりは、テレビ観戦ではみれません。

いくら寒くても、こればっかりは「やめられまへんな」

テーマ : サッカー日本代表
ジャンル : スポーツ

公認不正検査士(CFE)とは

この資格認定試験は、日本では2005年11月に
第1回の試験が行われたようです。

現案内では、4月と10月の年2回となっておりますので、
'06・2回+'07・2回でまだ5回の試験開催ですか・・・

そりゃ少ないですわ。資格取得者が。

が、このブログでもたびたび取り上げている、
「ビジネス法務の部屋」の山口利昭弁護士も、
この公認不正検査士の資格を取っておられます。(へえーっ)

過日の日本内部統制研究学会の公開シンポでは、
八田教授が「不正を公認する専門家」(?!)と、
知名度が無いために誤った理解をされている状況を
揶揄されていたほどです。

日経産業新聞でも紹介記事が掲載されましたが、
現時点で171名!

少しその記事を見てみましょう。
1月15日記事見出し
「粉飾決算や横領・汚職・・・公認不正検査士が防ぐ
原因調査・報告から社員教育まで 企業の損失回避に一役」
とあります。

記事本文を抜粋しますと
「CFEとはどんな資格なのか。「財務など数字には強いが犯罪心理に弱い
会計士と、犯罪捜査に長じているが数字に弱い捜査官の相互の長所を
併せ持ったような存在」(ACFE)という。米国では公認会計士の資格を
持っている人や企業で内部監査を担当する社員が取得するケースが多い」
のであります。(欧米か!)

ほんと、こんな内部監査人が1人でもいれば、
企業は心強いと感じると思いませんか。

公認不正検査士の企業内での実務は
「監査や調査で粉飾決算や横領、着服といった不正行為を見つけ出す
のはもちろん、不正を未然防止するための社員教育も担う。
さらに、実際に不正が起きた場合は原因調査、経営陣への報告書作成
まで手掛ける。」で、未然防止の役割がこれから重視されていくのであります。

仕事忙しいですが、せっせと学習に励んで、
資格取得者(順)500名以内に入れるよう、
うーん、がんばってみるか♪少しだけー♪♪

テーマ : 自己啓発
ジャンル : ビジネス

データ監査について その1

IIAの「専門職的実施のフレームワーク」実践要綱に
「1220-2:コンピューター支援監査技法(CAATs)
専門職としての正当な注意を払うにあたって、内部監査人は
CAATs(コンピューター支援監査ツール)とその他の
データ分析技法の使用を考慮しなければならない。」
とあります。(始まり方が唐突ですね。)

自分は、CAATsは内部監査を効率的に実施していくために
存分に活用していこうと決めています。

だってさ、この時期に内部監査部門の人員減なんだぜ。おい。
(って、急にため口をきいたりして・・・(涙))

コホン。
それはさておき、どこの内部監査部門も恒常的に人数不足で、
いかに効率よく・効果的に監査を実行できるかに、
頭を痛めておられることと思います。

ITを業務効率化のツールとして認めるなら、
内部監査の実践においても、CAATsを使うべきでしょう。
という考えにたっています。

さて、CAATsといっても、
「汎用監査ソフトウェア、ユーティリティソフト、テスト・データ、
アプリケーションソフトのトレーシングやマッピング、
監査エキスパートシステムなど、多様なツールや技法が含まれる。」
と実践要綱にあります。

たくさん種類があるので、上記の例を分類しますと、
ツール・・・汎用監査ソフトウェア、ユーティリティソフト、
      監査エキスパートシステム
技法・・・テスト・データ、アプリケーションソフトのトレーシングやマッピング
とこんな感じですかね。

で、これからお話しようと思っているのは、ツールのほうです。

そのなかでも、
ユーティリティソフト→エクセル、ワード、パワーポイント等
監査エキスパートシステム→AutoAudit、AuditSystem等
ではなくて、
汎用監査ソフトウェアACL・IDEA等のお話です。

汎用監査ソフトウェアも日本語版が発売(ACLに続きIDEAも)され、
監査法人や一部金融機関のみならず、一般事業会社の内部監査部門でも
これから採用をするところが増えてくるでしょう。
(続く)

テーマ : ビジネスブログ
ジャンル : ビジネス

日本内部統制研究学会主催 第1回公開シンポジウム(暑っ!)

本日、自分も東京九段会館に行ってきました。

「内部統制と企業不正」
プログラム
一.開会の挨拶 川北博  日本内部統制研究学会会長
一.基調講演   山本内閣府特命副大臣(金融) 渡辺大臣の代役
「金融・資本市場の活性化に向けた対応」
一.記念講演   川北博  日本内部統制研究学会会長
   「内部統制と社会的公正」
一.パネル討論会 「内部統制と企業不正」
   パネリスト:三井金融庁企業開示課長
         藤沼公認会計士事務所長
         鳥飼弁護士
         甘粕日本公認不正検査士協会専務理事
  モデレーター:八田青山学院大学大学院教授

暑かったです!外は真冬の寒さでしたが・・・

ここからは、主観が全面的に入った、個人的な所感です。

皆様、異口同音におっしゃられていたのは、
本日の日経流通新聞一面記事に象徴されるような、
「やりすぎ(?!)」の内部統制は、
(一部、適用延期等を期待する青い鳥症候群の企業は例外
 →八田教授より重ねて、青い鳥はやってこないと明言)
コストとベネフィット面から、過度に内部統制構築等にコストを
かけることは、株主等の投資家に説明(責任)が果たせない!
(一部の利害関係者に踊らされてはならないとも(八田教授))

財務諸表等の財務報告に、重要な虚偽記載が発生するリスクを
合理的なレベルにまで押さえることが出来るかに焦点を絞って
取り組めばよく、段階的にレベルアップしていけばいいんだよと。

会計上の見積りプロセス(虚偽記載の高リスク領域)の点検(必ず
不備がある)をと、藤沼元公認会計士協会会長は強調されてましたね。

いま一度熱を冷まし、冷静になって、
法制度が求めていない詳細・微細な内部統制に陥っていないか、
見直す必要があるように感じました。

要は、経営者の判断が濃厚に入ったリスク・アプローチ
(これをパネリストの方は、経営者自身が、自分が虚偽記載を
するとしたならば、何処に手をつけるか、まずそこの統制を強化
していけばよいのであるということでした。)をとることを、
どう経営者が納得し、本気になってもらえるか、
また担当公認会計士に理解してもらえるか・・・

口で言うのは簡単ですが、
今更(PJで構築の仕上げ時期)というのと、
この強者ども(経営者・監査人)をどう丸め込む、いやもとい、
協議し妥協点が見出せるか、難しいですね。

もう少し、このような動きが早い時期に展開されていれば、
もうちょっと違ったJ-SOX対応になっていたのにねと
ちいっと残念な気もします。(・・・(涙))

明日は著名ブログにて、
角度のある素晴らしい解説等が読めるとお思いますので、
自分の拙い感想はこの程度にて。

テーマ : ビジネスブログ
ジャンル : ビジネス

不正とサンプリング

さらに、粘っこくサンプリングネタです。

不正や誤謬を摘発する目的の内部監査では、
「母集団の中から不正や誤謬が発生しやすい項目を特定するか、
対象となる母集団のすべてを対象とすることが必要となります。
このような場合には、特定項目抽出による試査か精査、
または発見サンプリング※を行うことが有効です。
特定項目の抽出においては、さまざまな情報に基づき不正や誤謬の
発生する可能性が高い項目を抽出して、監査手続を実施します。
特定項目抽出における試査では、抽出した項目だけを評価し、
母集団全体の特性の推定は行いません。」

「Q&A監査のための統計的サンプリング入門」から抜粋しました。
あまり本文を紹介し過ぎると、営業妨害になってしまいますね。

当ブログを閲覧の内部監査人の皆様ーっ、この本を是非買ってください!
本当に役に立ちますので。
(決して、出版社の関係でも、著者の関係筋でもございません)

※発見サンプリング
対象となる属性が極めて重要なものである場合、比較的低い許容逸脱率
(5%未満)と比較的高い信頼度(95%以上)を前提とし、
極めて低い予想逸脱率を仮定して実施される属性サンプリングのこと。
サンプリングによって少なくとも疑わしい項目を一個特定する。
母集団内に、そのような項目が一定数存在することを想定し、
少なくとも一個の項目が特定された時点で、サンプリングを終了する。

さらに、不正発見に有効なサンプリング手法
こんなやり方もありってことで、

その1 母集団の分割 TOP10(特定項目抽出・・・金額上位10項目等)
     +ランダム5(統計的サンプリング)

その2 母集団を階層化してランダムサンプリング
 分割、階層化の例
  ・金額基準 (20万円以上等の会社内部で使用している基準でみてみる)
  ・比率基準
  ・人、部門別
  ・取引先、事業別 等

これら単独でまたは複合技で、不正の摘発に挑むことになります。

もっと強く不正が疑われる局面では、精査となるのでしょうね。
(あまりこのような監査技術を使わなくて済めばよいのですがね・・・)

テーマ : ビジネスブログ
ジャンル : ビジネス

財務報告に係る内部統制の評価におけるサンプリング(追補版2?)

統計的サンプリングと非統計的サンプリングについてのお話をもう少し。

「ソイヤーの内部監査―現代的内部監査の実践―Vo.2」には
サンプリング計画を実行するという点において、統計的サンプリングと
非統計的サンプリングの間に違いはなく
、このアプローチは、
入手した証拠の適切性や、発見したエラーへの監査人の対応にも影響しない。
統計的サンプリングか非統計的サンプリングかの選択は、それぞれの利点と
弱点についての慎重な評価の後でなされるべきである。」とあります。

これは、通常(?!)の内部監査(業務監査)の実施局面を前提としたものですが、
J-SOX運用状況の評価においても参考となる考えですね。

では、その利点と弱点を見てみますと
「統計的サンプリング
利点
 ・監査テストの目標を満たすために必要な最小のサンプル数を
  抽出する機会を提供する。
 ・サンプル結果の定量的表現ができる。
 ・サンプリング・リスクの定量的物指しを提供できる。
 ・収集された証拠の十分性の物指しを提供できる。
 ・信頼性(確かさ)と望ましい精度(重要度)を、監査人が明示的に述べられる。
 ・ソフトウェアの適用が易しい。 等
 弱点
 ・費用と時間がかかる無作為サンプル抽出が必要である。
 ・抽出した乱数とその母集団内のユニットの相互関係が適切に
  整理されなければ、両者の関係の証明に問題が生じる。 等

非統計的サンプリング
利点
 ・最大価値や最大リスクを有する項目を監査するために、サンプル数と
  抽出プロセス決定において、監査人が、主観的判断を入れることができる。
 ・コストをかけないで統計的サンプリングに匹敵する有効性と効率性が
  あるように計画できる。
弱点
 ・サンプル結果から客観的に有効かつ統計的な推論を引き出せない。
 ・サンプリング・リスクを定量的に測定して表現することができない。
 ・必要以上の監査作業または不十分な監査が実施されるリスクが生じる。
 ・このアプローチの有効性は、サンプリング・プロセスの経験に依存するので、
  経験の浅い監査要員には不適切である。

多くの監査状況においては、非統計的サンプリングの方が適切かもしれない。
しかし、監査用ソフトウェアが手に入り、その利用が増えることによって、
統計的サンプリングを第一候補とし、統計的サンプリングが費用対効果の面で
劣る場合に限って、非統計的サンプリングを使う傾向
がある。」

ですので、運用状況の評価の際は、統制上の要点における証跡が、
電子データで保存できるものであれば、監査用ソフトウェア等を利用して、
できるだけ効率的に統計的サンプリングを適用する。

証跡が帳票等の紙ベースでしか残らないものは非統計的サンプリング・
統計的サンプリングの利点・弱点等考慮して適用を決める。
って感じですかね。

必死でJ-SOX対応に尽力していたら、あっという間に本番年度を迎える
年に突入してしまいました。皆さんもうひとふん張り、がんばりましょう!
(えっ、何?この制度は、来年以降もずっと続くんだろうがって?・・・)

さてと、サンプリングについて、まだまだ理解を深めたいと言う方は、
サンプリング・リスク、属性サンプリングに関連して仮説検定
などを押さえられれば、よいのではないでしょうか。
(なんか、ここ最近いっぱしの専門家気取りで、えらそうやなぁ)

テーマ : ビジネスブログ
ジャンル : ビジネス

財務報告に係る内部統制の評価におけるサンプリング(追補版1?)

しつこくJ-SOXのサンプリングネタで行きます。

運用状況の評価手法としてのサンプリングは、前回もお伝え
したように、統計的サンプリングと非統計的サンプリングどちらを
使ってもよいのですが、統計的サンプリングについては書籍やHP・
ブログ等で解説を見ることができます。
(いちおう当ブログでもエントリーしましたけど・・・)

が、非統計的サンプリングについては、統計的サンプリングは
手間がかかりそうなので非統計的サンプリングにしようと思っても、
なかなか体系的に理解できるものが見当たらず、
サンプリング計画を立てにくく、会計士の先生と協議しづらいですね。
(動機が不純?)

そもそも、非統計的サンプリングは、
 (1) サンプルの抽出を無作為抽出法を用いて行い、
 (2) サンプルの結果評価に基づく母集団に関する結論
(統制が有効か、不備か)を出すに当たって確率論の考え方を用いる。
上記の統計的サンプリングの要件を部分的に採用((1)のみ)する場合に、
非統計的サンプリングとなりますので、自由度が増して、
それこそ千差万別の方法があるのでしょうね。
(体系的に解説は難しいか?!)

監査基準委員会報告書第9号(中間報告)「試査」には、
「サンプル抽出方法
40.統計的サンプリングにおいては、母集団を構成する各項目の抽出される
可能性が等しくなるように監査人は無作為にサンプルを抽出しなければ
ならない。非統計的サンプリングにおいては、サンプルは監査人の判断も
加味して抽出される。
サンプリングによる試査の目的は、サンプルが抽出
された母集団全体について結論を形成することにあるため、監査人は、
当該母集団の特徴を表す代表的なサンプルを抽出
しなければならない。」
を、非統計的サンプリングでも注意しなければならないのでしょう。

J-SOXにおいては、
この自己の判断を加味したサンプリング抽出法のロジックを、
公認会計士に合理的に説明(恣意性の排除を証明)できなければ、
先生の心証は悪くなるんでしょうね。

また、非統計的サンプリングで運用状況の評価する場合に、
発見された不備が与える影響額をどう見積もるかっていう問題もあります。
統計的サンプリングのように確率論を使って機械的に計算する
ってわけにはいかなそうです。

「財務報告に係る内部統制の監査に関する実務上の取扱い」には、
「内部統制の不備が重要な欠陥に該当するか否かを評価する際には、
業務プロセスに係る内部統制については、サンプリングの結果を用いて
発生可能性を統計的に導き出すことが考えられるが、それが困難な場合には、
検出された例外事項の大きさ・頻度、検出された例外事項の原因、
ある内部統制と他の内部統制との代替可能性等の事項に留意して、
リスクの程度を定性的(例えば、発生可能性の高・中・低とする。)に把握し、
それに応じてあらかじめ定めた比率を発生確率として適用することも
考えられる。」とあります。

ので、事前に合理的な発生比率を定めておき、それを不備が与える影響額の
算定に使用することも検討できますね。
ただし、これもどこまで公認会計士の先生に理解が得られるかは?

これら統計的・非統計的の利点・欠点を勘案して、
ある統制上の要点には統計的サンプリングを適用し、
ある統制上の要点には非統計的サンプリングを適用するといった
サンプリング計画もありかと思っています。(続く)

テーマ : ビジネスブログ
ジャンル : ビジネス

不正と内部監査(新?!)

'08年の目標に関連して、もう1題。
高らかに、不正の知識の習得(公認不正検査士資格
試験の学習兼ねる)を掲げました。

先週エントリーのIT監査と不正検査、当面この2つを、
内部監査人としての自身の得意(専門)分野にしていきたい
と考えています。

内部監査人はこれからは立派(?!)な専門職になっていく、
と思っていますが、なにせ取り扱い領域が広い、いや広すぎる
ので、CIA資格試験での学習分野の中でも、ひとまず専門領域を
作らなくては通用しないのでは、というのが事の真相です。

では、なぜITと不正か。ITは既にエントリーしました。
不正については、コンプライアンスやリスクマネジメント領域から、
財務報告に係る内部統制領域からも焦点が当たっていくの
ではないか。

(あまりよい傾向ではないとは思うんですよ。そもそも消費者・
投資家・市場関係者等の信頼を裏切る行為が無くなっていけば・・・)

特に不正防止の体制作りが重要になっていくのではないか。
と考えていて、内部監査部門・内部監査人として、
その体制作りに一役買えればいいなぁ、なんて。
(今のうち(の会社)はとてもそんな雰囲気はありませんが・・・(涙))

続きを読む

テーマ : ビジネスブログ
ジャンル : ビジネス

財務報告に係る内部統制の評価におけるサンプリング(後)

よりサンプル件数、少なくとも25件を理解する為に、
ある公認会計士の先生の意見を紹介しましょう。

「一説によると、逆にサンプル数が実務的に25件と決まっていて、
それを統計的に裏付けると10%未満の誤謬率は、
内部統制の不備としないということになったいう話を
聞いたことがあります(真偽のほどは不明ですが・・・)。
これを根拠付ける法令や実施基準等は存在しません。
米国の監査実務慣行とでもいいますか、そんなものだと思います。」

「属性サンプリングと言われるものです。これはある命題に対して
イエスかノーかを判断するものです。実施基準の例で言えば、
25件のサンプリング中エラーが1件も発見されなければ、
90%の信頼度で全体に含まれるエラーは9%以下であると推定できると
いうことです。そして、ここから先は判断の領域ですが、このような結果に
対しては、さしあたってコントロールが有効であると判定しようとの決め事です。
本当はこのような判断は会社ごと、あるいは、監査人ごとに行うべきところで
あるが、当局が考える物差しを示しているものと解釈すべきでしょう。

換言すれば、エラー率9%以下と推定されるような結果をもって
コントロールが有効である、という判断を下したとしても当局としては
不十分である(判断が甘い)とは言わないよということ」
(全て「ビジネス法務の部屋」のコメントからです。)

統計的サンプリングは、見てきましたよう(前回のサンプリング手順)に、
サンプル数等の決定(④)に確率論を用いているので、信頼性が向上し、
信頼度を具体的な数値(例 信頼度90%を95%に高め、それに応じて
サンプル数を増やす等)を使ってコントロールできるのがメリットです。

また、評価(⑦)にあたっても、サンプルのテスト結果を
確率論的手法によって評価するため、恣意性を排除することが出来、
客観性が高まります。(ので、監査人が喜ばれます・・・)

ので、日常反復継続する取引(の統制上の要点)の統制運用状況を
評価するに当たって、内部監査人としてのプライドから、
厳密に統計的サンプリングを適用し、サンプル数を計算して
(25件とはしない。おそらく増える)やっていくぞと言う方は、
「Q&A 監査のための統計的サンプリング入門」を教科書にして、
マスターしましょう。(計算式等理解でき、計算できるようになれます!)

自分は、日常反復継続する取引(ある程度母集団の件数が大きい)の
場合は、少なくとも25件で行きます!!効率よく!
折角それでいいと金融庁が言ってくれてるんですからね。
(あくまで個人的見解で、うち(の会社)のPJの見解でもなく、
うち(の会社)の監査法人からお墨付きをもらったものではありません。
念の為・・・)

続きを読む

テーマ : ビジネスブログ
ジャンル : ビジネス

財務報告に係る内部統制の評価におけるサンプリング(中)

内部統制の運用状況の評価をするためには、評価対象として
選択した内部統制(統制上の要点)が一定期間中、整備した通りに
適切に運用されているかどうかを確認する必要があります。

運用評価手続を実施する際、評価対象の統制上の要点の
全件について、適切に運用されたかどうかをテストすることは
えらく手間がかかりますので無理です。(やってられません・・・)

ですので、運用評価手続においては、サンプリング(統計サンプリングか
非統計サンプリング)の手法を用いて、一部の項目を抽出してテストを
実施することが多いのです。

サンプリングは、一部の項目のテスト結果により母集団の特性
(統制が有効か、はたまた不備か)を推定する手法なのです。

実施基準では、統計サンプリングの適用が要請されているわけでは
ありませんので、統制上の要点ごとにどちらの手法(統計・非統計)を
用いるかを選択できると考えられています。

では、サンプリング(主に統計サンプリング)の専門用語・キーワードを
以前ご紹介した「Q&A 監査のための統計的サンプリング入門」
等を使って、解説することにしましょう。(分かり易くは、到底
できませんからね。念のため。期待されてないでしょうが・・・)

統計上の正規分布
 数学的構造がきちんと定められた理論分布のことである。
 理論的なモデルではあるが、実際にある程度の標本数(サンプル)
 をとると、調査・実験データが正規分布に近いことが多い。
 また、非常に使いやすい、便利な性質を持っているため、
 しばしば使用されている。(・・・!?)

母集団
 監査人が特定の監査手続の実施についての結論を得るために
 サンプルを抽出しようとする項目の全体をいう。
 (例 統制上の要点の証跡としての1年間の出荷依頼書)

逸脱
 内部統制から外れること、または外れたもの。
 (例 管理者が出荷依頼書に承認印を押すことを求められている場合
  その承認印が無い→逸脱)
  
逸脱率
 項目の集まり全体に含まれている逸脱の割合

属性サンプリング
 母集団を構成している項目の属性(ある性質をもっているかもっていないか
 の二者択一の状況が問題(例 出荷依頼書に管理者の承認印が有るか
 無いか)となる場合)に着目したサンプリング手法。 

予想逸脱率
 監査人が監査計画の立案時に予想する母集団全体についての
 逸脱率をいう。通常、監査対象に対する予備調査を実施した結果
 または過去における監査の経験等から把握される。

許容逸脱率
 監査人が受け入れることのできる内部統制手続からの逸脱率
 (逸脱の発生割合)をいう。

信頼度(信頼水準)
 母逸脱率(母集団の真の逸脱率)が仮に許容逸脱率に等しいとき、
 統計サンプリングの手順を進めた結果、「母逸脱率は許容逸脱率
 より小さいとはいえない。」という正しい評価が得られる確率のこと。

要求信頼度
 監査人が統計サンプリングに要求する信頼度。監査手続全体として
 合理的な保証が得られるように、設定されなければならない。

無作為にサンプルを抽出
 無作為抽出とは、母集団から項目を抽出(サンプリング)する際に、
 特別の作為や意図をもたずに、母集団を構成する各項目が選ばれる
 確率が等しくなるように抽出すること。

(それにしても、サンプリングの用語って解説書ごとに微妙に違うので、
同じ意味で使われているのか、ほんと分かりづらい・・・ふうっ)

では、運用評価手続としての統計サンプリング(属性サンプリング)の
手順
について、「Q&A 監査のための統計的サンプリング入門」を参考に

①統制上の要点(キーコントロール)の逸脱(エラー)を定義する
(例 出荷依頼書に管理者の承認印が無い)
          ↓
②統制上の要点(キーコントロール)の証跡の完全性を確かめる
(例 1年間の出荷依頼書ファイルの連番を確かめる、合計チェック等)
          ↓
③サンプル数等算定のために必要な項目を決定する
(例 母集団件数=1000枚・許容逸脱率=10%・予想逸脱率=0%・
   要求信頼度=90% 等)
          ↓
④サンプル数を決められた計算式等(注1)を使って算定する
(例 サンプル数25件)
          ↓
⑤サンプル抽出法(無作為抽出:系統的抽出法・乱数法)を決定する
          ↓
⑥算定したサンプル数を抽出
(例 乱数表等を利用して25件のサンプル抽出)
          ↓
⑦抽出したサンプルの評価(注2)
(例 25件のサンプル出荷依頼書には全て管理者の承認印があったので、
   当該統制は有効である)

続きを読む

テーマ : ビジネスブログ
ジャンル : ビジネス

財務報告に係る内部統制の評価におけるサンプリング(前)

今回はJ-SOXにおけるサンプリングについてのお話です。
特に運用状況の評価作業のサンプリングについてです。

J-SOXのプロジェクトでは、
そろそろ評価作業の計画や実際にテストを実施しようとして、
このサンプリングとは何ぞやと悩まれているところもあるでしょう。
が、うち(の会社)はまだそこまで至っておりません!
(きっぱり・・・)

まだまだ業務プロセスの文書化作業真っ只中ですよぉ。
(棚卸資産の業務プロセスの文書化がほとんど手付かず
ですが、間に合うでしょうか・・・明日があるさ明日がある!)

元に戻りまして、J-SOXにおける、業務プロセスに係る内部統制の
運用状況の評価作業のサンプリングについては、
「財務報告に係る内部統制の評価及び監査に関する実施基準」
(実施基準)には、このようにあります。

ロ.運用状況の評価の実施方法
「経営者は、原則としてサンプリングにより十分かつ適切な証拠を入手する。」

ニ.評価の実施方法の決定に関する留意事項
「経営者は、内部統制の重要性、複雑さ、担当者が行う判断の性質、
内部統制の実施者の能力、前年度の評価結果やその後の変更の状況等を
考慮して運用状況の評価の実施方法(サンプル件数、サンプルの対象期間等)
を決定する必要がある。」

ここまでが、会社側(経営者≒内部監査人)の評価作業に関する記載です。

ロ. 業務プロセスに係る内部統制の運用状況の検討
a. 運用状況の検討の内容及び実施方法
「基本的に、監査人自ら選択したサンプルを用いた試査により適切な証拠を
入手する方法で行われる(例えば、日常反復継続する取引について、
統計上の正規分布を前提とすると90%の信頼度を得るには、評価対象となる
統制上の要点ごと少なくとも25 件のサンプルが必要になる。)。
その際、例えば、反復継続的に発生する定型的な取引について、経営者が
無作為にサンプルを抽出しているような場合には、監査人自らが同じ方法で
別のサンプルを選択することは効率的でないため、経営者が抽出した
サンプルの妥当性の検討及び経営者による作業結果の一部についての検証を
行った上で、経営者が評価において選択したサンプルを自ら選択した
サンプルの一部として利用することができる。」

以上、監査人側の監査手続に関する記載です。
サンプリングの専門用語・キーワードを色文字にしておきました。

で、評価作業におけるサンプリングに関する記述は、
ほんのちょっぴりしかありませんが、内部監査人は監査手続の記述に
倣って運用状況の評価作業(サンプリング等)をすることになる
と言われてますよね。

そして、話題の25件のサンプルについては、更に公認会計士協会の
「財務報告に係る内部統制の監査に関する実務上の取扱い」に
「このサンプル数は統計的サンプリングに基づいて、母集団に予想される
逸脱(内部統制が遵守されないケース)がないと仮定
したサンプル数で
あるため、通常、全社的な内部統制の評価が有効であることが前提に
なっていると考えられる。したがって、全社的な内部統制に不備があり
業務プロセスに係る内部統制の逸脱がある程度予想される場合は、
監査人は、予想逸脱率を修正して運用評価手続のサンプル数の拡大が
必要ないかどうか、経営者がどのように対応しているかを含め
検討しなければならない。」とあります。

これも監査人側の監査手続についてのものですが、
内部監査人の評価作業には当然に参考にするものでしょう。

25件というサンプル数を固定されたものと捉えられる方も
たまにお見受けしますが、そんな単純なものではないのですね。
(そんなやつ、おらんやろ。えっ、お前のことじゃないかって?・・・)

続きを読む

テーマ : ビジネスブログ
ジャンル : ビジネス

IT監査の外部委託

昨日のエントリーに関連して、誤解無きように、
IT監査については、何も自前(内部監査部門に属する人)で
実施しなければならないと主張している訳ではありません。

・IT部門の助けを借り(監査を一緒に行っ)て、徐々にIT監査の
 スキルを身に付け、内部監査部門だけで実施できるようにしていく
・外部委託(経済産業省の認定制度あり)して、 〃
等、さまざまな方法が考えられます。

いずれの方法についても、監査の独立性・コスト等で一長一短が
ありますので、それらを考慮するのは言うまでもありませんね。

上記の例示した方法では、最終的には内部監査部門がIT専門家の
ノウハウを吸収して、自前でIT監査を行っていくものにしています。
が、会社によっては内部監査部門の人数を必要最小限にとどめ、
IT監査も外部委託でIT専門家(監査人)にさせていく方針を
取っているところもあるやに聞きます。

それはそれとして、要は自社の環境に合ったアプローチを考え、
経営者の(ある程度の)理解の下、IT監査を
実行していかなければならないと考えています。

(えっ、お前んとこはどうすんだって?それは内緒です・・・)

自分はあくまで自前主義です。自分のことは自分ですんだもんね。
(なんかムキになってるぞ。おいっ・・・)

少々時間はかかるでしょうが、IT監査実施まで
何とか自力で(部門内で理解者を得て)たどり着きたいです。

テーマ : ビジネスブログ
ジャンル : ビジネス

IT監査

'08年の目標の一つのIT(システム)監査について。

内部監査部門にいて、現在のビジネス環境でIT監査が
出来ない(やらない)というのは、内部統制面で不備がありますよね。

業種間での差はあるにせよ、製造業にとってもIT抜きでは、
効率的に業務(大きくは経営)ができなくなっています。

そこにはITならではのリスクがあり、それをコントロールできているかの
視点は、内部監査人にとって無視できないリスクをはらんでいる
重要なものに、IT化が進展すればするほどなってきています。

これを否定できる人はいませんよね。
置かれているビジネス環境を見渡せば直ぐ理解できることです。
(いちいち言われなくても分かっているって?)

内部監査人としては、監査に’聖域’を設けてしまってはいけない訳で、
ITは専門領域だからとか出来ない・やらないという言い訳を
IT化が浸透するにつれ、できなくなっていくものと思っています。

ですので、自分としても経営者に言われる前に、何とか、
IT監査の形を示していかないといけないと焦っているのです。

で、ばれてしまったようにうち(の会社)もIT監査は出来てません・・・
(えっ、余計にお前に言われたくないって?そうでしょうとも。
がんばりましょう、共々に!ねっご同輩。)

続きを読む

テーマ : ビジネスブログ
ジャンル : ビジネス

1年の計は

謹賀新年

明けましておめでとうございます。
1000万読者の皆様(早速初夢ですか!?)、
本年も何卒宜しくお願いいたします。

さあ、2008年がやってまいりました。
今年の日本経済は本日の株価に象徴されるように
波乱(逆風)の1年になると予想される識者が多いようですが、
今年も良い年にしたいですね。

ということで今年もビジネス面の目標を決めました。
<内部監査実務>
・システム監査(来年度には)を1本、企画・実施
・CSA(統制自己評価)への取り組みの軌道化
・J-SOX本番年度の評価体制整備・推進   等

<自己研鑽>
・システム監査(今後はIT監査といいますね)理論の学習
・不正の知識の習得(公認不正検査士資格試験の学習兼ねる)
・J-SOX後への対応検討(ガバナンス強化への貢献等)  等

すごく抽象的な書き方しかできていませんが、
こんなところを1年間取り組んで行きたいと思っています。
(あまり具体的に書くと・・・という辛さがあります。すいません。)

毎年目標を決めていますが、その年によって、
より具体的であったり、漠然としていたり、バラつきがあります。
具体的になった年は、やはり取り組みも明確ですし、
目標の達成率も高いよう(な気がするの)です。

で、内部監査部門に配属されてからは、
目標が中長期的にもはっきりしていて、明確・具体的になってますね。
それだけ自分の中でもやりがいを感じているからだと思います。

さあ、新年のこのフレッシュな気持ちを1年の最後まで
持ち続けて、この1年間頑張るぞーっ!

続きを読む

テーマ : 日記
ジャンル : ビジネス

プロフィール

だいぶ監査人

Author:だいぶ監査人
某製造業の内部監査部門に勤務する中堅どころの内部監査人です。内部監査部門に配属となり丸3年が経ちました。これからも内部監査の仕事に夢と希望を持って携わっていきたいです。

カレンダー
プルダウン 降順 昇順 年別

12月 | 2008年01月 | 02月
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -


Page Selector
TOTAL Pages 1
最近の記事
カテゴリー
最近のコメント
ユーザータグ

公認不正検査士 内部監査人 J-SOX評価体制 CIA試験 汎用監査ソフトウェア 不正のトライアングル CISA試験 連続(継続)的監査 分析的手続 専門職的実施のフレームワーク COSO-ERM CSA 重要な欠陥 不正検査士マニュアル 

RSSフィード
ブロとも申請フォーム

この人とブロともになる

メールフォーム

名前:
メール:
件名:
本文:

最近のトラックバック
小さな天気予報

-天気予報コム- -FC2-
リンク
ブログ内検索
アマゾン検索
お気に入り
スポンサー
グーグル検索
FC2カウンター
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。