James Brady Vorhies: “Key Controls: The Solution for Sarbanes-Oxley Internal Controls Compliance”を入手したので、参考になりそうな部分の要旨をここに紹介したい。なお、私の解釈に基づく日本語なので、原文の翻訳ではない点に注意。
Key Controlsに関する著者の考え方の特徴(特長)は、Key Controlというコントロールが単独で存在するのではなく、Key Controls Processという考え方に基づいて、業務目的の達成と、それに必要な品質の維持確保と、業務品質の保証(監査)と、リスクの認識と織り込みとを、一連のリスク管理手段として織り込もうとするところにある。その結果、評価しなければならないコントロールは必要最小限のもの(ひっくり返せば、それが不備であればかなり問題)になるため、効率的効果的に上記目的が同時達成できるというもの。
1.Key Controlsの定義
業務プロセスにおいて、正しく作動したなら、組織が主たる業務(プロセス)目的を達成することを確保し、経営者にその保証を与える、重要な統制のこと。
以下の三階層(三段論法)で考察(※assurance structureと称している)。
- 第一階層(最下層):キーコントロール(種々の統制活動のサブセット)
- 第二階層(中間層):業務プロセス目的
- 第三階層(最上層):経営者の事業目的
2.Key Controls Processの定義
(1)内部統制の品質を管理し保証するプロセス
品質とは、「最優先かつ常時、正しいことを正しく行うこと」 “Doing the right things, the right way, the first time, every time”
重要な要素として
- 統制目的を確保するために達成すべき最低限受容可能な品質のレベルの設定
- 品質管理上の要点(=Key Controls)が設定
(2)継続的な自己監査プロセス
キーコントロールをレヴュする責任者が、最低限守るべき基準に従ってキーコントロールが確保されていることを、予め決められたスケジュールに従って、コントロールの適切な証拠に基づいて確認する責任がある。
例外事項について、決められたキーコントロールに対する最低限守るべき基準まで、適切に軽減されていることを報告する責任がある。そのためには、以下のことを適時に決定し提出しなければならない。
- 例外事項の説明
- 解決方法の提案
- 解決に至る時間線表
- 例外が及ぼす財務的影響
潜在的に重要な影響がある場合、その組織がなぜ財務情報がGAAPに準拠している結論付けられるのかを説明しなければならない。
(3)基礎にある考え方
経営者の責任は、内部統制の不備事項を報告することではなく、あくまでも適切にリスクが軽減されたものとして内部統制の脆弱性を報告するとこにある。
(4)継続的なリスク評定及び報告のプロセスである
- リスクを継続的に評定し、その潜在的影響を責任範囲に織り込むこと
- 報告ラインに従ってリスクを報告し、全てのレベルでその情報が周知されること
- リスクを適切に軽減すること
3.Key Controls Processの目的
設計上の目的:最小限の数(*1)のキーコントロールをレヴュして、経営者に対し、
- 統制目的が達成されることを確保し、保証を与え
- 総体として(overall)業務上の目的が達成されることを確保する
*1 コストベネフィットを最大化する
——以上、主として、第三章の記載。
Tags: キーコントロール