内部統制に関する保証の実証

監査の主な機能は、リスクマネジメントの有効性、および組織内の統制環境の強みにおいて保証を提供することです。監査部門では、監査プログラムの構成要素を集中化、自動化することで、内部統制管理を簡素化できるほか、組織全体における協働を推進できます。この記事では、プロジェクト アプリを使用して統制をテストする方法について説明します。

この記事では、中小規模の監査職務とチームに役立つ、贈収賄・腐敗行為防止の内部統制フレームワーク プロジェクト テンプレートを使用した統制のテスト方法を説明します。この記事で概説されているワークフローは、説明文が定義され、ウォークスルーが統制の設計を検証するために実行され、またテストが統制の運用の有効性を検証するために実施される場合の、より複雑な監査の種類に適していますこれは、1 つのアプローチにすぎませんが、他のプロジェクト テンプレートを使用して同じまたは類似した目標を達成できます。

統制のテストについて

統制のテストは次のプロセスです。

  • 主要/非主要統制の決定
  • どの統制がテストされるかの特定
  • 設計および運用の有効性に基づく各主要統制の評価

テストが、統制が期待または設計どおりに運用されていないことを示す場合は、改善計画を管理するために、監査は例外を記録し、その業務と連携します。

統制をテストするアプリ

プロジェクト アプリを使用して統制をテストできます。

全体像

  • プロジェクトを使用して、目標、リスク、および統制を文書化し、統制の設計と有効性をテストし、問題を把握します。
  • 評価を使用して、統制の設計と運用の有効性についての評価を文書化します。

究極的には、プロジェクトでのテスト結果は、組織の保証のスコアにロール アップでき、これで、組織がどの程度リスクを軽減しているかのリアルタイムの概念が得られます。

手順

ツアーに向けて準備完了?

これらの機能を文脈でより詳しく見ていきましょう。

1. プロジェクトを作成する

適切に報告できるようにシステムにデータを設定する最良の方法を理解することが、最初の手順です。目標、リスク、および統制を定義するプロジェクトを作成し、統制の設計と運用の有効性を評価し、報告目的で情報を収集することができます。プロジェクトはゼロの状態から、テンプレートを使用して、または既存のプロジェクトから作成できます。

ヒント

プロジェクト アプリは、特定のワークフローに事前作成されたコンテンツを含む、複数のリスクと統制のライブラリ (プロジェクト テンプレート) を提供します。監査を活発に行い、再使用可能なテンプレートを作成するために通常使用される、さまざまなプロジェクトテンプレートがあります。カテゴリは次のとおりです。

  • 内部監査(運用)テンプレート
  • SOC/SSAE 16/ISAE 3402 監査テンプレート
  • 内部監査(財務 & 内部統制)テンプレート
  • サーベンス オクスリー法(SOX 法)の監査テンプレート(COSO 2013 フレームワーク)

プロジェクトを設定する

監査が運用可能か、またはさらに包括的かどうかにより (SOX または ICFR レビューなど)、プロジェクト ワークフローの 2 つの異なる種類から選択できます。ユーザーがプロジェクトを設定後に、プロジェクトは監査でシンプルなワークフローを実行します。これにより、関連する監査の手続きを特定し、問題を管理できます。

ヒント

フレームワークは、プロジェクトの設定に関わる手動での取り組みを減らす助けとなる上、規制環境とビジネス環境の展開において情報の一元管理に使用できます。

ドキュメントの目標

目標は、プロジェクトの基礎を形成するうえ、プロジェクトで完了した作業の整理コンテナでもあります。各目標は、検査する対象事項と、パフォーマンスの評価方法を提示します。監査チームのメンバーが実行できる管理しやすいタスクに作業を細分化できるように、目標を定義できます。

説明文を文書化する

説明文により、組織の内部統制がどの程度ビジネス プロセスに適合しているかを理解することができます。多くの組織は、主要な方法としてフローチャートに頼って、一定のエリア内の詳細なワークフローを視覚化および表示します。説明文のドキュメントをサポートするために音声または視覚的なコンテンツを添付できます。また、参照目的で統制を関連付けることができます。

リスクと統制を文書化する

リスクと統制の文書化により、リスク コントロール マトリクス (RCM) の成果がもたらされます。RCM は、特定されたリスクと対応する統制の組み合わせ (リスクがどのように軽減されるかの評価基準または行動指針) です。

メモ

組織と監査職務の規模に応じて、固有の残余リスクを評価することは、さまざまなチームの責任である場合があります。より規模の大きい組織は一般的に、運用リスクまたはコンプライアンス リスク評価を活用し、監査作業をサポートします。

ヒント

リスクと統制が文書化されると、プロセス所有者は、統制活動が一貫して実行されることを保証するために、プロジェクト アプリでスケジュールを設定できます。

2. 統制の設計および有効性を評価する

多くの監査職務は、企業が統制の設計および有効性を評価する責任の一部を負うことを目指します。統制ウォークスルーの更新、統制の有効性テスト手順の文書化などのシンプルなタスクは、所有者自身が実行できます。これにより、これらの統制の評価は企業による実際の所有が可能になります。

統制の整備状況を評価する

監査は、統制の所有者と連携し、証拠の認証や添付による統制の設計の評価、欠落した統制を実施するアクション プランの定義、または統制が必要でない理由の説明ができます。

ヒント

組織の第一線のスタッフは、ミッション コントロールを使用して、アクセス可能な統制をプロジェクト アプリ外で管理することができます。ミッション コントロールは、プロジェクト内の統制情報を、簡略化して一元化したビューに表示するアプリです。

テスト計画を定義する

テスト計画は、統制をどのようにテストするかを特定します。テスト計画を定義し、テスト方法、合計サンプル サイズ(テスト ラウンド間の分割)、および統制のテストを実行するために必要なテスト手順を指定できます。

ヒント

インスピレーションは、Diligent の世界のイニシアチブから収集されたリスク シナリオとテストのカタログですが、プロセスごとの一連の分析的テストのアイデアを提供します。詳細については、ツール&テンプレートを参照してください。

統制の有効性を評価する

統制の有効性の評価では、詳細なテスト結果を文書化し、統制が合格したか失敗したかどうかを指定することが必要になります。統制の有効性の評価が終了したら、テキストの部分をマークアップし、ポリシーや手順のマニュアル、規制、SLA/SLS、および契約をはじめとする証拠とリンクさせることができます。

ヒント

統制の有効性の手動でのスコア付けを回避するには、評価ドライバーを使用し、さまざまな統制評価を自動化することができます。リザルト アプリで作成されたメトリクスをプロジェクトの統制評価にリンクさせ、評価を通知し、事前定義されたメトリクスの範囲に基づき、固有のリスク スコアを自動入力します。

3. 保証を実証する

プロジェクトは、報告目的で使用可能な単一の保証メトリクス(パーセント)への、プロジェクト全体にわたるリスク評価、テスト結果、および問題を自動的に集約する機能を提供します。ウォークスルーとテストに合格すると、保証が高くなります。

ヒント

トップダウンのアプローチをとり、ストラテジー アプリの組織の戦略リスクを維持している場合は、戦略リスクを軽減したり管理したりするために設定されるプロジェクトからテスト結果をロール アップすることで、保証を実証できます。

次の手順

SOX プログラムの進捗を監視する

ストーリーボードで SOX プログラムの進捗をレビューおよび監視できます。あらかじめ構成された SOX ストーリーボード ツールキットはわずか数分でインストールでき、ストーリーボードにはデータが入力されます。詳細については、「SOX ストーリーボード ツールキット」を参照してください。