スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

不正リスクに対する実践的アプローチ

今月(10月)号の月刊「監査研究」海外論文コーナーより。
CIAフォーラム関西研究会No.7の成果物(翻訳)です。
ありがとうございます。

「内部監査人は、総合的なリスク評価により、組織の中で最も脆弱な領域に
不正防止の取組みを集中することができる。」

項目(タイトル)
「◇不正リスクの識別
◇リスクの優先順位の決定
◇動機/プレッシャー
◇機会
◇正当化
◇主要なステークホルダーに対するインタビュー
◇継続的プロセス」

この論文の著者は、内部監査人が主体となって
上記の流れで、不正防止の取組みを実施していくことが想定されています。

ERMとの関係にも触れられていて
「 トレッドウェイ委員会支援組織(COSO)の『全社的リスクマネジメント(ERM)-
統合的枠組み』とその他のフレームワークは、統制環境、統制活動、情報、伝達及び
日常的モニタリングの観点から不正を考察するための基準として利用できるだろう。
 ERMの実行は、その組織が不正リスクの評価を完遂していることを必ずしも意味しない。
不正対策は、しばしばERMの1つの構成要素と考えられる。しかし、組織は財務諸表に
係る不正に注目しがちである。ERMのプロセス自体は、不正リスクの識別や、その潜在
的影響度の測定あるいは不正リスクを軽減するために実施すべきコントロールの識別を
行うように特別に設計されたものではない。組織もすべての不正リスクに対するプログラム
を構築することはできないので、その企業の主要なリスクを識別する方法と、それらを管理
する明確なプランが必要である。」

ERMを想定しますと、内部監査人が構築の主体になると独立性・客観性の問題が
出て来ますが、他にやるところ(リスク管理の専門部署等)が無い場合は、
少々割り切って、内部監査部門が前面に出て、前に進めることのほうが重要かと、
かように思うわけです。

不正リスクについては、このようなセミナーが開催されます。

ERMについては、起ち上がったばかりのサイトがあります。
スポンサーサイト

リスク管理体制を拡充し、全社的リスクマネジメント(ERM)に向かう日本企業

大和総研が取りまとめている、
-第3回企業のリスクマネジメント・アンケート調査結果-が公表されています。

当アンケートは上場(東証1・2部、ジャスダック)企業のうち、回答152社の結果です。

その総括より(抜粋)、
「・リスクマネジメントの洗い出しを実施している企業は約8割であり、リスクマネジメントに
 関する企業の関心が高くなってきていることを伺わせる
・リスク専任部署の人数は、5~10名と回答している企業が最も多く(28%)、徐々に陣容の
 拡大が図られてきているものと推察される
・リスクマネジメントが有効に機能するための重要な項目として、「トップのコミットメント」や
 「リスクの洗い出し」のほか、「専門部署によるモニタリング」、「社員教育研修」を挙げる
 企業が増えている
☆日本版SOX法対応との連携については、ERM体制へとつなげる、もしくは一部で連携
 していくと回答した企業が約7割に達した  」

リスクの洗い出しは、ほとんどの企業で一応(財務報告に係るリスクに偏向するきらいは
あっても…)は、実施されているようです。

さらに☆印を詳しく見てみますと
「評価結果を相互に反映させ、ERM体制へとつなげる31%
評価シートを共有化するなど、一部で連携していく  37%
特に連携していない                    25%」
という調査結果だそうです。

どうやらうち(の会社)は、4分の1に入ってしまったようです…

現状は、財務報告の信頼性をないがせにするリスクにしか、目がいかない、
いやそれすらも不十分ではないかとすら思える状況です。

次につなげていくのは容易ではありませんが、何とか機会を見つけていきたい。
諦めるのは簡単ですから。

IT全社統制の評価の判断はむずかしい?

あくまで友人に聞いた話ですよ。
(こう言って実際には、自分の身に降りかかった事を話すことが多いらしい…)

だから、友達の会社での話ですったら!

過年度の財務諸表監査の一環としてのシステム監査で指摘事項があった。

例えば、情報システム投資等の適切性を判断する等の全社的な機関としての
「情報システム運営委員会」なるものが、その果たすべき役割からして、整備・運用面
(社内ルール化による定期的な委員会開催等)において、不十分であるとのことで
要改善事項となっていた。

その後、経営者の情報システムに対する理解が遅々として進まずに、相変わらず
その会社では情報システム運営委員会の位置づけ・運用がおざなりのままであった。

J-SOX対応において、IT全社統制の評価項目(チェックリスト)の作成において、
その状況を察知したIT統制推進者が、全社統制であるにもかかわらず、
情報システム運営員会の存在を記述せずに済ませ、何とかIT部門の自己点検実施
にまでこぎつけて、その自己点検結果(+独立的評価)に監査法人より、それなりの
お墨付き(自己点検項目と評価手続きは妥当である)をもらった。

その状況下で過年度のシステム監査のフォローアップ監査が同一監査法人の
システム監査人により実施され、上記例の指摘事項の改善状況が思わしくないことの
指摘を再度受けるに至った…。

さて、これで当該会社は、全社的な内部統制の1要素であるIT全社統制の自己評価を
自主的に(不備を是正するにしても)、一旦は変更するべきか。

それとも、システム監査結果との整合性を踏まえ、IT全社統制の関係する評価項目が
不備という風に監査人側よりひっくり返され、全社的な内部統制の評価及びIT全般統制
への影響を考慮しなければならなくなってしまうのか。どうなのか。

(うーん。そんな事を聞かれてもなぁ・・・)

それでも不祥事は起こる

自社の内部統制、コンプライアンスの取組を点検するのに、有用な1冊です。
事例が豊富でとても読みやすく、参考になります。

通勤電車読書で1日半で読み終えました。

著者はリクルート社出身の攻め(経営戦略)と守り(企業理念・行動規範の作成、
コンプライアンス教育)の両方のコンサルタントを経験された方で、
攻めと守りどちらか一方に偏らずバランスを取ることの重要性を言われます。

副題に「価値浸透が変えるコンプライアンスと内部統制」とありますが、
昨今ではJ-SOX対応等もあり、守りの内部統制、特にガチガチのハードの構築
(=「管理部長の内部統制」)にバランスが行き過ぎていることを懸念され、
ソフト(=「社長の内部統制」)重視の内部統制に目を向けて行かなければ、
企業の強みをも削ぎかねないと言われます。

「社長の内部統制」とは、経営理念(=会社の価値判断基軸)と社会規範を
統合させていくための仕組みであるということでしょうか。

そして、社長の内部統制(・コンプライアンス)を企業内に構築していく手法等を
コンサルの経験を踏まえて、具体的に言及されていきます。

「まず、皆さんに質問があります。(3択問題)
・サンプル品と実物で品質がほんの少しだけ違う。ただ、本当のプロでなければ
わからない。消費者からは問い合わせ(クレームではない)が数件だけきている。
サンプルを全品交換すると数千万円かかって、IR上の予想利益を下回ってしまう
可能性が高い。どうしますか。
①サンプルの全品交換する
②成り行きを見て、騒ぎになりそうなら交換する
③利益確保を優先させ、何もしない
(略)
ご自分の判断と、会社は何番を選ぶのか、2つの軸で考えてみてください。この
質問では、皆さんの答えと会社の答えは必ずしも一致しないのではないでしょうか。」

皆様の会社では、どうでしょうか。
自分としては、おそらく会社の判断と違うことになってしまうと思います…

「 この質問をコンプライアンス担当の複数の友人に尋ねてみたところ、
このケースではコンプライアンスの問題ではなく、会社の経営判断の問題になり、
自分は呼ばれない可能性が高いということでした。
 つまり、このケースではコンプライアンス担当者が意見を求められることなく、
担当者のあずかり知らぬところで意思決定が行われているということです。
現在、多くの会社で整備されているリスク管理規程や危機管理規程が発動される
こともなく、おそらく品質管理部長と営業本部長、そして経営陣の何人かが集まって
勝手に決めてしまう。そうした可能性が極めて高いでしょう。
 しかし、それで本当によいのでしょうか?」

こういったケースでも、社長の内部統制を効かせて、ぶれない判断をしていくことの
重要性を説いていかれます。

今後、内部監査の局面でこのようなケースにぶち当たっていくんだろうな・・・
(つらっ!)



隔靴掻痒J-SOXいやもといサッカー日本代表

久々にサッカー日本代表ネタを。

W杯アジア最終予選第2戦目の今日のウズベキスタン戦in埼玉スタジアム。
ホーム初戦ですが、1-1のドロー。

いやぁもどかしい。
何とか前半終了間際の玉田のゴールで追いついたものの、
後半ひっくり返す力はなかったか…
悔しいですね。ホームでは、サポートーの声援を力に変えて、勝たないと。

それにしても、今日は久々に早く家路につき、
ビール片手に絶叫してました。近所の方、すいません。
平日のこんな早い時間に自宅でスポーツ観戦なんて、久方ぶり。

この時ばかりは、いかにしてコントロールを有効と評価しようか、
なんてことは、頭の片隅にもよぎりませんでした。
一切。

気分すっきり!とまでは、この結果では、いきませんが、
いやぁ、やっぱスポーツは観るのもやるのもいいですね!

リフレッシュです。

公認情報システム監査人(CISA)レビューマニュアル

CISA試験の全体の概要を押さえるために、
「2008年公認情報システム監査人(CISA)レビューマニュアル」を活用しております。

ほんと、通勤に持ち歩きたいのですが、「電話帳」は重すぎる…

このレビューマニュアルは、CISA試験の主催団体である
ISACA(情報システムコントロール協会)がボランティアベースで発行している
ものであり、さらに日本語版はISACA東京支部が手弁当で翻訳しているものです。

ですので、批判するつもりはさらさらありませんが、誤字・脱字の類が多いです。
ほんとにこれは仕方ないと思いますし、好意的に解読して、だいたいは理解できる
のですが、下記の例は、これまでの誤字・脱字の中では難解で、ちょっと分かりません。

(正誤表、入ってましたっけ?)

第3章システムとインフラストラクチャーのライフサイクル管理 
3.1.3知識項目 P140注記の部分
「(略)例えば、もし先行した高次元のレビューで構成要素あるいは構成要素の
改装スが全体のシステム性能を弱めると結論づけられた場合、
個別の監査が必要であろう。(略)」 下線部?

何か、どこかの国の預言者による、ご託宣になってしまっております…(黙)

どなたか正解を教えてもらえれば、ありがたいです。

で、今日のエントリーで何が言いたいのかといいますと
決して間違い探しをして喜んでいるものではなく、自分もISACAの会員として、
例えばこのレビューマニュアルのボランティアの一員として、校正を担当し、
より正確なCISA試験のガイドブックとなるように貢献するとか。

挙句の果ては、もっともっと英語力(全然進捗がありませんが…(涙))を高めて、
翻訳ベースで協力をするとか。

今は力をつけて、少しでも日本の内部監査、システム監査の発展に寄与したい、
資格試験を取り巻く状況が、内部統制ブームでどうこう言われても、まだまだ寂しいもの
があるだけに、だからこそ、当事者として、自分のような者でも活躍できる余地はある。

その思いを強くする、今日この頃なのであります。
(CISA試験を合格してから、えらそーな事を言えって?…)

IIA監査情報解説コース

日本内部監査協会の第2回IIA監査情報解説コースin船堀
「内部統制にかかる内部監査の総括評価を導くための規範的枠組み」
本日開催されました。

今回は米国で出版された書籍の翻訳本の紹介セミナーです。
「内部統制にかかる内部監査の総括評価を導くための規範的枠組み」

内容はと言いますと、
副題「COSO及びIIA基準の重要性と内部監査品質向上のための
7つのステップ・11のツール」とありますように
内部監査人及び経営者が、組織体の内部統制プロセスに関する意見を
形成及び文書化する際に、7つのステップと11のツールを効果的に使用して
内部監査を総括していく概念的な指針の紹介でありました。

自分は、どちらかというと内部監査の品質管理に使うとよい
フレームワークだなという印象を持ちました。

J-SOX対応の全社統制でも内部監査の品質管理は課題になっていることだし、
一丁この書籍を購入して、課題の検討をするとしますかね。

新「内部監査の専門職的実施の国際基準」仮訳の掲載

日本内部監査協会より、案内されています。

案内にある通り、IIAでは、2006年より「専門職的実施のフレームワーク
(The Professional Practices Framework)」の改訂準備を進めてきており、
2009年1月1日より新たに「専門職的実施の国際フレームワーク
(The International Professional  Practices  Framework)」が採用されます。

そして2009年中に専門職的実施のフレームワーク(赤本)の日本語版が改訂出版され、
CIA資格試験もこの新たなフレームワークで臨むという方向になりそうです。

さて、従来の専門職的実施のフレームワークとは、
 内部監査の定義
 倫理綱要
 国際基準
 実践要綱
 その他のガイダンス
で構成されています。

それが、今回の改訂で
 内部監査の定義(変更なし)
 倫理綱要(変更なし)
 国際基準(若干の変更あり)
 実践要綱(大幅な変更あり)
 その他のガイダンス(廃止)
 →代わってポジションペーパー、プラクティス・ガイド(新設)
と変更されるようです。

続きを読む

プロフィール

だいぶ監査人

Author:だいぶ監査人
某製造業の内部監査部門に勤務する中堅どころの内部監査人です。内部監査部門に配属となり丸3年が経ちました。これからも内部監査の仕事に夢と希望を持って携わっていきたいです。

カレンダー
プルダウン 降順 昇順 年別

09月 | 2008年10月 | 11月
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 -


Page Selector
TOTAL Pages 1
最近の記事
カテゴリー
最近のコメント
ユーザータグ

公認不正検査士 内部監査人 J-SOX評価体制 CIA試験 汎用監査ソフトウェア 不正のトライアングル CISA試験 連続(継続)的監査 分析的手続 専門職的実施のフレームワーク COSO-ERM CSA 重要な欠陥 不正検査士マニュアル 

RSSフィード
ブロとも申請フォーム

この人とブロともになる

メールフォーム

名前:
メール:
件名:
本文:

最近のトラックバック
小さな天気予報

-天気予報コム- -FC2-
リンク
ブログ内検索
アマゾン検索
お気に入り
スポンサー
グーグル検索
FC2カウンター
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。