JSOXの制度導入の当初、JSOXの経営者評価には、いろいろな不安、期待、思惑(?)があったように思います。
当時は、監査人側が実務のレベル感を様子見のような風潮もあり、
真面目な会社様であるほど、とにかく立派なものを作れば認めてもらえるはずという思考になってしまい、
その結果、、、すごく、細かい、経営者評価文書を作ってしまった、、、という会社様が多かったようです。
JSOXが制度化してから6年が経過しました。最近のトレンドは、「省力化」です。
JSOXの本家のUSSOXがあるアメリカでは、当初導入を見合わせていた小規模企業に対する導入はしないことが確定しました。
日本でも、(役所が導入した制度ですので)廃止はされないのでしょうが、
管轄の金融庁のスタンスも、省力化を勧奨しています。
▼
私が見聞きする範囲で、省力化で一番、行われているのは、いわゆる運用テストの省力化です。
- キーコントロールを減らすこと、
- サンプルを1セットで済ますこと、
- 拠点をローテーションで評価すること、
- ランダムサンプリングを行わないこと、
- いわゆる業務が変更されていても、最小限の手当で済ます
が、主な省力化の視点です。
このような省力化は、監査法人が交代して、後任の監査法人のJSOX担当の会計士が、きちんとハンドリングできると実現することが多いですが、そうではなく、毎年、省力化のテーマを課題として取り上げ、一つずつ取り組んでいくことが、肝要です。
以下、個々に補足します。
1.→ いわゆるアサーション(実在性、網羅性、、、、、)を消し込むだけのキーコントロールが必要であるという理論的根拠は従来から不変ですが、それが可視化されるようにしたうえで、大胆に絞り込むことは、私が経験したJICPA品質管理レビューや金融庁の検査での協議の中で、認められたところです。
2.→ いわゆる「経営者評価結果の利用」の論点です。
一部の中小規模の監査法人では、この点の調書化が薄いですが、ここのバイアス的な文書をキッチリ作成しておけば、サンプルが1セットで済むだけではなく、評価結果まで流用できるので、省力化が進みます。
→ ご参考
63 JSOXの業務プロセスの運用状況テストで、サンプルの流用だけではなく、経営者評価結果まで流用することがあると聞いたのですが。
3.→ JSOX導入前後の時には、これも限定的に解釈されていて、これが認められるのは飲食店のチェーン店のような各店舗が同じ業務マニュアルで運営されている、つまり同一の業務プロセスではどの拠点も同一RCMで表記されるような企業に限られるような風潮でした。
しかし、今は、そこまでのタイトさは要求されていません。
あるサンプルが、想定されている証跡と異なっていたとしても、統制テストの評価文書上、個別にその理由を説明する記述があり、それが合理的な理由であればOKです。
4.→ 上記2.の「経営者評価結果の利用」の論点と関連のあるトピックです。
「経営者評価結果を、監査法人側で利用するためには、監査法人と同程度のクオリティーが必要」という趣旨を拡大解釈して、乱数等に基づく、いわゆるランダムサンプリングを実行しないといけないという誤解が一部で流布しているようです。また、ランダムサンプリングを実施すると、たまたま乱数のために、一部の期間にサンプルが隔たることが、理論上あり得るのですが、その偏りを監査法人に指摘されようものなら、乱数が原因であることを会社側で立証できないといけないことになります。
大手監査法人が使用する乱数発生ソフトは、再現機能があるため、実行ごとに発行されるキーナンバーを再入力すると同じ乱数の結果が再表示されますので、上記立証は容易ですが、もし、エクセル関数の乱数を利用していると、再現は困難ですので、却って、難しい状況に置かれてしまうリスクがあります。趣旨は、「恣意性の排除」です。
乱数でなくても、恣意性がないことを、数行で記述するだけでも十分です。恣意性が無いことは、監査法人からのヒアリング結果を、経営者評価結果の文書に追記しておけば十分です。
なお、貴社の監査法人が、この点を自らの監査マニュアルで「経営者評価文書上、ランダムサンプリングをしているものでなければならない」とまで、規定しているのであれば、、、(私見では、思考停止的な短絡的な思考と思いますが、、、、)そのような監査法人を自らの意思でご契約されているのですから、会社側としては、せっせとランダムサンプリングをできる体制を検討しないといけないことには、なります。。。。
5.→ JSOX導入後、6年も経過しておりますので、各社の業務フローも変わっています。
JSOX導入時、なんとか全体として整合させた文書ですが、一部を変更することにより、どこに波及し、どう修正するのかを、網羅的に、正確に反映させるのは、容易ではありません。
そこで、おススメするのが、変更初年度は、従来ベースの紙に、手で赤か青のような色で加筆することです。
そして、一年経って、波及する箇所が概ね押さえられたところで、当該加筆した箇所を、ファイルに入力等してリバイスすることです。
フローチャートソフトウェアを買い直してキレイなフローチャートを作り直す必要はなく、手で直接加筆するような程度で十分です。そもそも経営者文書自体が、役所に提出される類のものでもなく、公開されるものでもないからです。
■