Galvanize
内部統制の設計では、必ず最も重要なリスクに最初に対処することが基本です。 リスク対応の効果的な統制を設計するための 7 つの検討ポイントを次に示します。
統制は安価ではなく人、プロセス、技術のリソースが必要です。 内部統制を効果的に設計するには、まずリスク評価を行う必要があります。 定性的および定量的方法論の組み合わせを使用して、最も重大なリスクを軽減する統制を優先して実装します。 これには、監査人が作業にアプローチする際のように、リスクに焦点を当てる必要があります。
これは合理的です。リスクがなければ、統制も必要ないからです。 リスクと統制は密結合しているため、強固な統制システムを実装するには適切なリスク評価が不可欠なのです。
1. リスクを発生可能性、影響度、影響先ごとに優先順位付けおよびスコアリング
重要度順に資産を分類、カテゴリ分けします。 『Risk in Focus 2019 』によれば、トップ リスク(事業に大きな影響を与える可能性が高い)には以下があります。
| 最大級のリスク | リスクからの影響度 | 影響を受ける事業資産 |
| サイバーセキュリティ | データへの不正アクセス | 不完全な R&D/秘密情報 |
| データのセキュリティと保護 | 顧客不満足 | 収益の逸失 |
| 人事部門と社員のリスク | リソースの欠落による事業の失敗 | 人材の流出と知的財産の逸失 |
| 規制の変更 | 作業負荷の増加、他の作業の効率低下 | 労働希釈 |
| イノベーション | 新しい機械または設備が必要に | 時代遅れになった機械または設備 |
| 社風 | 雇用不能 | 人材の流出 |
| 外注とサード パーティ | ハッキング | IT のハードウェアとネットワーク |
| サプライ チェーン | 児童労働法や危険物質に関する法令違反 | 収益の逸失 |
| 環境/気候変動 | 洪水、天災、火災 | 建物、コンテンツ、データ、および記録 |
(リスク評価についてさらに学習するには、COSO の「 全社的リスクマネジメント – 統合フレームワーク」を確認し、ニーズに合わせて調整してください)。
2. 内部統制を防止的、発見的、反応的に分類、カテゴリ分け
効率の観点では、最も高い統制カテゴリは 1、最も低い統制カテゴリは 7 となります。 カテゴリが高いほど、より早くその統制は脅威を無効にして影響を減じます。
3. コスト要因
もし防止的統制の使用コストが問題の修正コスト(と、統制の設計対象に対して考えられる影響のペナルティ)より低い場合は、それを使用してください。 防止的統制の使用コストには、開発、インストール、構成、操作、および保守にかかる費用が含まれています。 また、従業員をトレーニングするコストと、防止的統制の使用を監査するコストも計算に入れる必要があります。 発見的統制の使用コストや、反応的統制の使用コストを計算する場合にも、同様のコスト分析が必要になります。 これらのコストをすべて計算に入れて初めて、統制を展開する意思決定を行うことができます。
「内部統制を自動化する最善の方法は、リスク管理ソフトウェアを使用することです。 重大度と発生可能性に基づいてリスクに優先順位が付けられるので、統制にも優先順位が付けられます。」
4. 冗長な統制の除去
冗長な統制には、コストも時間もかかります。 そのため、他の統制によって広く対処される個々のリスクやイベントの統制を特定、回避、または排除することが最善です。 または、特定のリスクやイベントに実際に対応していない統制を。 統制が本当に冗長な場合、その削除は費用対効果の改善につながるはずです。
5. 職務分掌に焦点
特定の従業員に割り当てられた権限が多すぎると、不正が発生する可能性が高くなります。 このため、職務やタスクは複数の従業員に実行させる必要があります。 1 人の従業員が、新しいベンダーを登録する権限と、そのベンダーに支払いを行う取引を入力する権限を持ってはなりません。 両方のタスクを実行する権限があると、偽のベンダーを登録して支払いを行いかねません。
手動システムの場合は、従業員に互いの作業をレビューさせる必要があります。 これに対し、自動システムの場合は、職務が役割によって分離されます。 つまり、従業員が設定されたタスクしか実行できないので、手動で監視する必要性が減少するということです。
6. すべての作業を自動化
内部統制を自動化する最善の方法は、リスク管理ソフトウェアを使用することです。 重大度と発生可能性に基づいてリスクに優先順位が付けられるので、統制にも優先順位が付けられます。 リスクと統制がまとめられるので、重複するデータも、それに費やす労力も解消されます。
自動化された防止的統制には、以下が含まれます:
- 予定されたパスワード更新を強制する
- セキュリティ ポリシーの定期的なレビューと認証
- 承認額を割り当て、それを超える金額をユーザーが入力できないようにする
自動化した発見的統制の例:
- 侵入検知またはウイルス対策ソフトウェアを使用してリスクのある活動を検出し、自動レポートを作成する (これらのソフトウェアは、侵入者やウイルスを駆除または隔離する際に、訂正的統制としても機能します)。
- 自動化された監査システムを使用することで、ポリシーと規制からの逸脱がないかどうかデータをスキャンし、逸脱したデータをダッシュボードで強調表示します。 たとえば、本ソリューションにより、ERP データをスキャンして、勤務時間外に作成されたエントリが強調表示されるようにすることができます。 これにより、リスク イベントが発生すると自動的にアクションが行われるようになります。 アクションに対して、自動的にアラートが送信されるようにすることもできます。
7. 自己管理手順を設定
監査は内部統制の有効性を評価するうえで有用な仕組みです が、自己管理手順は有効な内部統制システムの作成と維持に大いに役立ちます。 自己管理手順は統制障害を迅速に検出することで、反応的統制に引き継がせることができます。
たとえば、財務システムに入力する権限がある金額を制限する防止的統制を設定してあるとします。 ところが、妙なことに、許可されていない金額を入力できるようになりました。 反応的統制により、問題の入力値を通知する電子メールがあなたの上司に送信されるので、上司が直ちにフォローアップできるようになります。 さらに、特定の金額を超えるすべての入力値に対して支払いが行われるには、その前にそれらの入力値が承認される必要があります。
統制が自己管理手順で保護されていない場合、統制障害は検出されない可能性があります (自己管理プロパティと安全装置プロパティは、高次カテゴリの統制システムの要件であることに注意してください。
内部統制を選択する際には、特定の統制を選択した理由と経緯を文書化する必要があります。 ISACAが作成した 内部統制選択ワークシートがこれに使用できます。
ControlsBond を使って、内部統制の管理を簡略化し、保証を増大させてコンプライアンスを自動化する方法を学習します。
eBook:
内部統制のユートピアへ
内部統制を計画、実施、レビュー、テストする方法を学習します。
- お客様の内部統制の成熟レベルを評価する
- 綿密な内部統制システムを構築する
- 内部統制の失敗を最小限度に抑える
