何らかの事情で、JSOXの経営者評価文書の、いわゆる業務プロセス文書を見直すことになった場合、経営者と監査人は、どのように協議すると良いのでしょうか?
会社と監査人との協議に同席することが有るのですが、イケていない監査法人の中には、監査クライアントへ、
「最初に、全ての業務プロセスについて、フローチャートを先に作成してください」
と、指導する人たちがおります。
最低の指導です。
確かに、JSOXの導入前後で、何もない状況からスタートした時には、「まずは、想定している業務や統制を、フローチャートに記載し、その後に、実際のウォークスルーの証跡と照らし合わせて、RCMの記述を修正するか、統制の実態の方を修正する」というダンドリを採用したものです。
しかし、今は、RCMが目の前にあります。
少なくとも、制度導入の5年以上は、監査法人からもダメ出しは出されていない。
であれば、「ダイレクトにウォークスルーの証跡を、かき集めて、それを根拠に、ダイレクトに RCMを書き換える」のが、効率的かつ実態にフィットしています。
以上が許容されるのは、「キーコントロールの選定が、制度導入時に比して、一層、絞られている」、より正確に言うと、「絞りに絞っても、経営者評価上、許容されている」、という事情があります。
なお、制度導入時に作成されていた、フローチャートと業務記述書は、どうしましょうか?
結論から言いますと、特殊な業務ででもない限り、改めて書き直す、作成し直すことは無用です。
そもそも、実施基準でも、作成はマストではありません。
そして、キーコントロール数を減少させている現況では、そこまで精緻なものである必要が無く、ダイレクトにRCMを加筆修正できる、ということです。
「加筆修正」も、赤ペンで手書きで、要修正箇所を添削してしまえば足ります。MS-VISIOでキレイに作成し直す必要もありません。
■
