リスクコントロールマトリックスを作成する際、コントロールの記載内容が曖昧であるために、いざテストしようとしても、テスト方法がイメージできないという問題に直面した場合、どのように対応すればいいでしょうか?

 

Q.リスクコントロールマトリックスを作成する際、コントロールの記載内容が曖昧であるために、いざテストしようとしても、テスト方法がイメージできないという問題に直面した場合、どのように対応すればいいでしょうか?

 

A.コントロールの記載については、後のことを考えて手を抜かないことが重要です。だれが、いつ、いかなるタイミングで、いかなる資料を手に、いかなるコントロールをしているのかというようなことについて記す必要があります。

例えば、「Aさんが入力の正確性をチェックしている」と記されている場合には、その後、同じようにテストをしてみようとしても、全くイメージすることができません。一方、「Aさんが入力伝票と入力のプルーフリストを照合して、金額と数量が正しく入力されていることを確認している」と記されている場合には、イメージしやすく、同じことを第三者が実施できますので、このように記すように努めることが大切です。

上記のことは第一に留意すべき点ですが、このほかに運用のテストまでつなげるための実務的なアドバイスとして2点述べると、サンプリングソースの確認と関連帳票類のファイリング方法の改善が、効率的に作業を進める上で重要です。この2点については、もし余裕があれば実践するといいでしょう。

サンプリングソースの確認というのは、どの資料からテストのためのサンプリングを抜き出すのかという話です。例えば、出荷記録の入力の正確性を確認する場合、何件かのサンプルを出荷記録から抜き出し、元の入力の伝票と照らし合わせてみるというテストを実施します。それでは、その出荷記録はいかなる形で残されているでしょうか。もし、出荷一覧表という形で残されていて、ここに保管されていますというのなら、そこから抜き出してサンプリングできますが、近年ではプリントアウトされるケースは多くありません。データという形で保存されている場合、どこから利用できるデータを入手できるかということについて、テストする段階で慌てて確認しなければならないことが多いのが現状です。そのような事態を防ぐためにも、当初から、後工程までをイメージしつつ文書化作業を進めるといいと思われます。

また、仮に、関連帳票がいろいろな場所にバラバラに保管されていて、テストを実施するに当たり、「サンプリングしましたのでこれに関する関連帳票を出してください」と突然依頼するとします。この場合、現場の人は非常に混乱してしまい、そのうち非協力的になってしまうでしょう。監査法人に対する監査対応と同様です。このようなことを防止するために、一連の書類はセットにしてファイリングしておくという準備が、効率的に運用テストを実施するためには重要であると考えます。

Copyright© 2014 会社法と内部統制 All Rights Reserved.