前回の続き
チェックポイント9
● 作成した文書類の活用
・2年度目以降の評価のためにメインテナンスを行う。
・文書を利用するための文書を作成する。
→業務プロセスの不備・無理・無駄の排除に使われているか
チェックポイント10
● RCM(リスク・コントロール・マトリクス)はあくまでも「ツール」
RCMは、リスクを網羅的にリストアップし、それと内部統制手続きとの紐付けを行うには便利な道具であるが、RCMの致命的な欠点は、リスクとリスクの「玉突き関係」、「因果関係」が表現できないことである。
従って、RCMを内部統制手続きの評価ツールとして使おうとすると、いわば目先のリスクと統制を個別的に見てしまい、機械的な「チェックボックス・アプローチ」に陥りがちとなる。
チェックポイント11
● ウオークスルーは目的を明確に
ウオークスルーは、「単に」取引処理のプロセスや手順をフローチャートを頼りに跡づけることではない。
次のように状況に応じた目的がある。
@業務フローに従って、統制ポイントを大雑把に確認する、あるいはポイントなる箇所を確認する。(整備状況の評価)
Aそれが実際に運用されているかどうかをテストデータ等を使って部分的あるいは網羅的にテストする。(運用状況の評価)
B処理方法・手順に変更がないかどうかを確かめる。(整備状況又は運用状況の評価)
その目的を明確にして行わないと、手間ばかりがかかって、意味のない評価に終わってしまう。
実務的には、整備状況の評価で使われることが多いが、運用状況との「二重目的評価」にウオークスルーを使うこともできる。
・よくあるご質問: