「統制が機能しない可能性」は統制リスクなのか

2014年3月12日 | By 縄田 直治 | Filed in: リスク対応と統制手続.

内部統制の評価業務をしていると、色々なリスクの表現に出くわすことがある。

ひと頃よく見られたのが、

上席者が適切に承認しないリスク

というものだ。

ITでも同じように(表現のしかたはいろいろだが)、

プログラムが適切に動かないリスク

という類のリスクが記述されていることがある。

いずれも、本来その(上席者として、あるいは情報技術としての)機能が果たすべき役割を果たしていないことを言っているが、問題なのはその評価手続の位置付けである。統制目標とか統制目的と言われる共通テーマは(財務報告に係る)リスクの軽減だが、それらを達成する手段として統制手続が存在し評価するのであるから、承認が適切ではないとかプログラムが動かないとかいうことは、設計自体を見なおさねばならないことを示唆している。

上席者が適切な承認を行うという想定は、例えば取引の開始にあたって担当者が勝手にことを進めてしまわないように経験と責任がある人の承認を経なければ、組織として取引が開始できないようになっているという、牽制と(問題となる事象の)発見とを兼ね備えた統制である。

したがって財務報告にかかるリスクとは、あくまでも会計処理担当者のミス(あるいは不正)による虚偽表示の発生なのであって、それを防止発見するための統制として上席者の承認がデザインされているから、運用評価の対象としているのだが、手続自体が如何に適切に行われているかを評価しようとしていないか。

リスクを抑えるためにデザインされた統制が有効である前提で運用評価するのであれば、あくまでも担当者による処理の正しさを間接的に確認することが目的であり、上席者が正しく機能していること自体を検証の目的としているわけではない。交通信号機の動作テストと、交通信号機による自動車や歩行者の制御がうまく言っているということとは、まったく次元が異なる話である。

言い換えれば、上席者が適切に承認しないリスクを想定するのであれば、それを発見するための統制をデザインしていなければならないはずだ。先の例えを使えば、交差点への警察官の立哨だろう。それは、担当者が適切に処理しないリスクを上席者が発見するという関係と同じはずである。逆説的だが、上席者が適切に承認しないリスクを、上席者の承認をサンプルにより確認することで推定してリスク軽減できるのであれば、担当者のミスをサンプルから推定すれば良いことになる(手続自体がトートロジーに陥っている)。

ITにより自動的に処理することで人間が犯しがちなエラーから解放するというのは、本来の「統制」の考え方ではないがリスクを軽減するという効果から統制の一つとして分類されている。したがって、本来の想定機能通りに稼働することが確認されれば、あとは事情の変更がなければ安定稼働が想定される。ITが正常に機能しないリスクを想定するなら、1サンプルを取って検証したところで、偶々うまく行っているだけでそのリスクは軽減されたことにはならない。やはり別の発見的な手続を取る必要があるのではないか。

統制が機能している(渋滞や事故が起きない)ことの確認は、統制行為がなされている(信号機が故障していない)こととは、まったく意味が異なるのだ。個別統制の評価段階で「統制が機能しないリスク」を想定するなら、さらなる発見的統制をキーコントロールとするか、いっそ残存リスクとしての評価(つまり実証手続)を検討すべきである。

また、リスクはあくまでも財務報告のアサーションと関連付けて記述するという原点を再度確認したい。そうでなければ、屋上屋を重ねるように徒に統制評価項目が増え貴重な監査資源が浪費され監査対応で業務現場が疲弊し財務報告の信頼性が低下するという本末転倒な事態に陥ることになる。

Print Friendly, PDF & Email

Tags:

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

超難解計算問題 *