今日は、先日の続きで、日経BizPlusに連載している「これならわかる日本版SOX法と内部統制」の第10回の統制目標について、さらに補足しておきます。
http://bizplus.nikkei.co.jp/genre/zaimu/rensai/iwatani.cfm

先日、監査要点(アサーション)と個々のコントロールの関係をつかむことがポイントになりますと書きましたが、この部分をもう少し詳しくご説明しましょう。

実務上、この論点はRCM(リスク・コントロール・マトリックス)の作成時に、プロセスごとのリスクとコントロールをアサーションに関連付けるところで問題になります。また、SOX法のセミナー受講者の方々からいただく質問で一番多いのも、この部分です。

その際の回答としては、リスクとコントロールをアサーションに関連付けると考えるのではなく、各局面でアサーションを害するようなリスクは何があるのかを拾い出せばよいのだと説明しています。RCMの作成手順とは反対になるのですが、実際に我々が監査を行う際には、リスクをアサーションに関連付けるというよりも、アサーションを害するリスクを拾い出して、それらリスクに対するコントロールの有効性を確認しているからです。
あくまでも統制目標(ここではアサーション)を実現することが目的と考えれば、このような考え方をご理解していただけるのではないでしょうか。

(未承諾広告)
12月13日に、日経ビジネススクールで、「SE・IT部門のための実務に役立つ企業会計制度の理解と重要ポイント」のセミナーを開催します。皆様の御参加をお待ちしております。(27日の日経の夕刊に、当セミナーの広告を載せていただいたのですが、演題に、「企業会計原則」「会計帳簿」と腰が引けるような地味な単語が並んでしまい反省しております。実際の演題については、こちらをご参照ください。どの項目もIT部門の実務に直結する部分に限定していますので、安心して御受講ください。)