内部統制に関する保証の実証
監査の主な機能は、リスクマネジメントの有効性、および組織内の統制環境の強みにおいて保証を提供することです。監査部門では、監査プログラムの構成要素を集中化、自動化することで、内部統制管理を簡素化できるほか、組織全体における協働を推進できます。この記事では、プロジェクト アプリを使用して統制をテストする方法について説明します。
この記事では、中小規模の監査職務とチームに役立つ、贈収賄・腐敗行為防止の内部統制フレームワーク プロジェクト テンプレートを使用した統制のテスト方法を説明します。この記事で概説されているワークフローは、説明文が定義され、ウォークスルーが統制の設計を検証するために実行され、またテストが統制の運用の有効性を検証するために実施される場合の、より複雑な監査の種類に適していますこれは、1 つのアプローチにすぎませんが、他のプロジェクト テンプレートを使用して同じまたは類似した目標を達成できます。
統制のテストについて
統制のテストは次のプロセスです。
- 主要/非主要統制の決定
- どの統制がテストされるかの特定
- 設計および運用の有効性に基づく各主要統制の評価
テストが、統制が期待または設計どおりに運用されていないことを示す場合は、改善計画を管理するために、監査は例外を記録し、その業務と連携します。
統制をテストするアプリ
プロジェクト アプリを使用して統制をテストできます。
全体像
- プロジェクトを使用して、目標、リスク、および統制を文書化し、統制の設計と有効性をテストし、問題を把握します。
- 評価を使用して、統制の設計と運用の有効性についての評価を文書化します。
究極的には、プロジェクトでのテスト結果は、組織の保証のスコアにロール アップでき、これで、組織がどの程度リスクを軽減しているかのリアルタイムの概念が得られます。
手順
ツアーに向けて準備完了?
これらの機能を文脈でより詳しく見ていきましょう。
1. プロジェクトを作成する
適切に報告できるようにシステムにデータを設定する最良の方法を理解することが、最初の手順です。目標、リスク、および統制を定義するプロジェクトを作成し、統制の設計と運用の有効性を評価し、報告目的で情報を収集することができます。プロジェクトはゼロの状態から、テンプレートを使用して、または既存のプロジェクトから作成できます。
ヒント
プロジェクト アプリは、特定のワークフローに事前作成されたコンテンツを含む、複数のリスクと統制のライブラリ (プロジェクト テンプレート) を提供します。監査を活発に行い、再使用可能なテンプレートを作成するために通常使用される、さまざまなプロジェクトテンプレートがあります。カテゴリは次のとおりです。
- 内部監査(運用)テンプレート
- SOC/SSAE 16/ISAE 3402 監査テンプレート
- 内部監査(財務 & 内部統制)テンプレート
- サーベンス オクスリー法(SOX 法)の監査テンプレート(COSO 2013 フレームワーク)
プロジェクトを設定する
監査が運用可能か、またはさらに包括的かどうかにより (SOX または ICFR レビューなど)、プロジェクト ワークフローの 2 つの異なる種類から選択できます。ユーザーがプロジェクトを設定後に、プロジェクトは監査でシンプルなワークフローを実行します。これにより、関連する監査の手続きを特定し、問題を管理できます。
ヒント
フレームワークは、プロジェクトの設定に関わる手動での取り組みを減らす助けとなる上、規制環境とビジネス環境の展開において情報の一元管理に使用できます。
例
シナリオ
あなたは、贈収賄・腐敗行為防止の内部統制監査の実施に責任を負うコンプライアンスのプロフェッショナルです。
プロセス
ヘルプ トピック
プロジェクトを構築する出発点として、贈収賄・腐敗行為防止の内部統制フレームワークのプロジェクト テンプレートを使用したプロジェクトを作成します。
プロジェクト内で、テスト結果が報告目的で自動集約されるよう徹底するために "保証" の設定を有効にし、テストラウンドの回数を 1 に設定します。
結果
プロジェクトに、それぞれがリスクと統制を含む一連の目標が設定されます。
ドキュメントの目標
目標は、プロジェクトの基礎を形成するうえ、プロジェクトで完了した作業の整理コンテナでもあります。各目標は、検査する対象事項と、パフォーマンスの評価方法を提示します。監査チームのメンバーが実行できる管理しやすいタスクに作業を細分化できるように、目標を定義できます。
例
シナリオ
組織の贈収賄防止の取り組みの一部には、監査の一環としてテストされる必要がある出張費と接待費 (TNE) ポリシーが含まれます。あなたは TNE 目標をプロジェクトに追加し、検査中のエリアを定義する必要があります。
プロセス
ヘルプ トピック 目標の定義
次のように目標を定義します。
- タイトル 出張費と接待費
- 説明 適切な予防的統制と発見的統制が、出張費と接待費のプロセス (調達カードを含む) の周りに贈収賄・腐敗行為防止リスクに対して存在するよう徹底します。
- 参照 TNE
- 部門/部署 経理
- 割り当てられたユーザー あなたの名前
結果
目標が定義されます。
説明文を文書化する
説明文により、組織の内部統制がどの程度ビジネス プロセスに適合しているかを理解することができます。多くの組織は、主要な方法としてフローチャートに頼って、一定のエリア内の詳細なワークフローを視覚化および表示します。説明文のドキュメントをサポートするために音声または視覚的なコンテンツを添付できます。また、参照目的で統制を関連付けることができます。
例
シナリオ
あなたは、TNE 目標に関連付けた説明文を構築する必要があります。
その説明文では、ビジネス プロセスを定義し、プロセスに関連するリスクと主要な統制の要約を添付することを計画します。さらなる情報を集めるために、それに応じて説明文を更新することを目的とします。
プロセス
ヘルプ トピック 説明文の定義
プロジェクトで[説明文]タブに移動し、TNE プロセスの説明文というタイトルの新しい説明文を追加します。
次のように説明文の定義を開始します。
プロセス概要: 出張費と接待費ポリシーは、正式な業務で自宅から離れて移動する間に発生する出張費を要約し、交通、宿泊、食事、およびその他の雑費の支出を含めたものです。これらの支出は、業務の実施において妥当で、必要であり、直接業務に起因していなくてはなりません。
最後に、TNE プロセスに関連するリスクと主な統制の要約を含む Word ドキュメントを添付します。
結果
説明文の最初の部分が起草され、Word ドキュメントがサポートする添付ファイルとして追加されます。
リスクと統制を文書化する
リスクと統制の文書化により、リスク コントロール マトリクス (RCM) の成果がもたらされます。RCM は、特定されたリスクと対応する統制の組み合わせ (リスクがどのように軽減されるかの評価基準または行動指針) です。
メモ
組織と監査職務の規模に応じて、固有の残余リスクを評価することは、さまざまなチームの責任である場合があります。より規模の大きい組織は一般的に、運用リスクまたはコンプライアンス リスク評価を活用し、監査作業をサポートします。
ヒント
リスクと統制が文書化されると、プロセス所有者は、統制活動が一貫して実行されることを保証するために、プロジェクト アプリでスケジュールを設定できます。
例
シナリオ
組織は、成熟した再定義されたリスク評価プロセスを有しており、2 つの次元 (影響度と発生可能性) にわたり 3 ポイント スケールでリスクを評価します。
あなたは固有のリスク スコアを評価し、統制または他の軽減要因が実施されない場合に、組織が直面する未熟なリスクを特定する必要があります。また、後ほどテスト中に、失敗した統制が残余リスク スコアを提供できるように、主な統制に有効性スコアを割り合てたいと考えています。
プロセス
ヘルプ トピック
まず、リスクと統制を一括アップロードし、発生可能性と影響度に基づき、各リスクにレーティングを割り当てます。
次に、リスクと統制を関連付け、各統制に有効性スコアを割り当てて、保証を報告する時間になったら統制の重要性を反映します。
結果
固有のリスク評価は完了し、リスクと統制は文書化されます。
2. 統制の設計および有効性を評価する
多くの監査職務は、企業が統制の設計および有効性を評価する責任の一部を負うことを目指します。統制ウォークスルーの更新、統制の有効性テスト手順の文書化などのシンプルなタスクは、所有者自身が実行できます。これにより、これらの統制の評価は企業による実際の所有が可能になります。
統制の整備状況を評価する
監査は、統制の所有者と連携し、証拠の認証や添付による統制の設計の評価、欠落した統制を実施するアクション プランの定義、または統制が必要でない理由の説明ができます。
ヒント
組織の第一線のスタッフは、ミッション コントロールを使用して、アクセス可能な統制をプロジェクト アプリ外で管理することができます。ミッション コントロールは、プロジェクト内の統制情報を、簡略化して一元化したビューに表示するアプリです。
例
シナリオ
固有のリスクを評価したところで、あなたはウォークスルーを実施し、各統制の設計を評価する必要があります。
プロセス
ヘルプ トピック 手続きの実行および統制のテスト
各統制に関連付けられたウォークスルーに移動し、説明文に記述されたプロセスに対し、TNE 統制の設計を評価します。
すべての統制が適切に設計されていることを判断します。統制の設計の評価が終了したら、承認し、上司を次のレビュー担当者に設定して自分の作業を承認してもらいます。
結果
各統制のウォークスルーがキャプチャされます。
テスト計画を定義する
テスト計画は、統制をどのようにテストするかを特定します。テスト計画を定義し、テスト方法、合計サンプル サイズ(テスト ラウンド間の分割)、および統制のテストを実行するために必要なテスト手順を指定できます。
ヒント
インスピレーションは、Diligent の世界のイニシアチブから収集されたリスク シナリオとテストのカタログですが、プロセスごとの一連の分析的テストのアイデアを提供します。詳細については、ツール&テンプレートを参照してください。
例
シナリオ
ここでウォークスルーを実行したため、リスクの軽減のために各統制がどのように設計されているかをよく理解できるようになります。統制の有効性のテストを始める前に、各統制を どのようにテストするのかを特定するテスト計画を準備する必要があります。
プロセス
ヘルプ トピック 手続きの実行および統制のテスト
次の統制のテスト計画を定義して始めます。
TNE-04 - 調達カードのしきい値: 調達カードには月々の個別の限度額があります。これらの制限を超えた購入は却下されるはずです。経営陣は適時に例外をレビューし、改善する必要があります。
- テスト方法 観察
- 合計サンプル サイズ 1
- テスト手順/テスト属性
- テストを実行するために必要なデータを取得します。
- 各カードの月々の取引限度額を含む調達カードの保有者データ
- レビュー中の期間における調達カードの取引データ
- 調達カードの取引データの取引額を、調達カード保有者データで一覧化された取引限度額と比較します。
- 月とカードごとの取引額を小計し、調達カード保有者データで一覧化された月々の限度額と比較します。
- テストを実行するために必要なデータを取得します。
結果
TNE-04 のテスト計画が把握されます。
統制の有効性を評価する
統制の有効性の評価では、詳細なテスト結果を文書化し、統制が合格したか失敗したかどうかを指定することが必要になります。統制の有効性の評価が終了したら、テキストの部分をマークアップし、ポリシーや手順のマニュアル、規制、SLA/SLS、および契約をはじめとする証拠とリンクさせることができます。
ヒント
統制の有効性の手動でのスコア付けを回避するには、評価ドライバーを使用し、さまざまな統制評価を自動化することができます。リザルト アプリで作成されたメトリクスをプロジェクトの統制評価にリンクさせ、評価を通知し、事前定義されたメトリクスの範囲に基づき、固有のリスク スコアを自動入力します。
例
シナリオ
統制の設計を評価し、TNE-04 をどのようにテストするかを定義するテスト計画の準備ができた今、あなたは、残余リスクを決定するために統制の有効性と、統制が設定された後にどのくらいリスクが残っているかを評価する必要があります。
プロセス
ヘルプ トピック 手続きの実行および統制のテスト
各統制に関連付けられたテスト ラウンドに移動し、各統制の有効性をテストします。
TNE-04 統制を除き、すべての統制が運用状況は有効していることを判断します。取引限度額が尊重され、販売時に却下される一方で、月々の限度額は尊重されず、多くのカードが月々の限度額を大幅に超過します。
結果
各統制のテストの評価が把握されます。この時点で、問題を作成することもできるため、問題改善計画を管理し、調達カード会社との関係における責任者にアクションを割り当てることができます。
3. 保証を実証する
プロジェクトは、報告目的で使用可能な単一の保証メトリクス(パーセント)への、プロジェクト全体にわたるリスク評価、テスト結果、および問題を自動的に集約する機能を提供します。ウォークスルーとテストに合格すると、保証が高くなります。
ヒント
トップダウンのアプローチをとり、ストラテジー アプリの組織の戦略リスクを維持している場合は、戦略リスクを軽減したり管理したりするために設定されるプロジェクトからテスト結果をロール アップすることで、保証を実証できます。
例
シナリオ
TNE 目標の完了テストによって、あなたは、リソースを適切に割り当てることができるように、組織がどの程度よくリスクの軽減を行っているかをベンチマークしたいと考えています。
プロセス
ヘルプ トピック リスク保証の使用開始方法
進捗エリアに移動し、固有の残余リスク スコア、および出張費と接待費目標における保証スコアを表示します。
そこで結果エリアに移動し、監査の全体的な保証スコアを表示します。
結果
出張費と接待費の目標に関連付けられた保証スコア、および監査全体として関連付けられた全体的な保証スコアについて報告できます。
次の手順
SOX プログラムの進捗を監視する
ストーリーボードで SOX プログラムの進捗をレビューおよび監視できます。あらかじめ構成された SOX ストーリーボード ツールキットはわずか数分でインストールでき、ストーリーボードにはデータが入力されます。詳細については、「SOX ストーリーボード ツールキット」を参照してください。