監査で統制が取れているか否かを問われていて先輩から何度も言われたことであり、かつ実際にそれを痛感させられたことがある。「統制が取れているとは統制違反があった際に対処ができる状態であること」だということだ。これが「統制が取れているとは統制違反がないこと」とは大きく異なることには注意を払わないといけない。
統制違反があった際にそれに対処できる状態は次のような状態である。
まずは発見可能な状態を整える必要がある。普段は統制違反の発見はモニタリングによって実施する。致命的な統制違反が発生しうる場所について定期的な内部監査を実施し、統制違反の有無やその芽の有無を調べる。芽があれば芽のうちに摘み取り、統制違反があれば報告・記録のステップに進む。
統制違反が発見された際に報告・記録する手順を整える。発見者はどこに連絡するのか。どんな形式で連絡するのか。どんなレポートを残すのか。レポートを作成する責務は誰が持つのか。書かれたレポートは誰か確認し承認するのか……といったことを定めておく。
また、偶然発見した善意の報告者が報告しやすい窓口を周知しておくことも必要となるかもしれない。手順が記されたドキュメントは教育された関係者以外が閲覧することはまずないからである。普段から窓口の人は報告しやすいように目立たせておいたりすると吉。
とりあえずの対処を行う。報告された統制違反に対して一次対応を行う要員を素早く決め、指示を出せるようにしておく。根本対応はここでは行わず、あくまで一時的な危険性を低下させるための対応である。このために統制違反対応のシフトを組んでおくと素早い対応が可能となるかもしれない。
また、基本的には統制違反を犯した人への処分もこのプロセスで行っておく。統制違反の内容にもよるが「うっかり」「知らなかった」だが「取り返しがつく」程度ならば関係者への統制違反をやらかした報告を当人に行わせるだけで済ませるのが良いだろう。あまり重い処分を下すとやらかしたときに隠すようになり、モニタリングが機能しなくなる。また、報告を当人に行わせることで関係者は「説明責任は生じるけど重い処分は下されない」と学習する。
行われた対応については記録しておくこと。
その後、恒久対応を行う。統制違反がどんなプロセスで発生したのかを分析し、再発を防ぐ。ここは根治を狙いにいく。対応については記録しておくこと。
最後に行われた一次対応および恒久対応について責任者が記録を確認し、問題に対して適切に対応されたことを確認する。
統制違反が発生した場合について適切に対応・記録されており、問題が解決されていることを確認できれば原則として監査時に問題としては扱わることはない。むしろ、問題に積極的に対処・改善プロセスを回していることが確認できるので良いかもしれない。無論、あまりに問題が大きすぎたり多すぎたりすれば別かもしれないが……
また、あらゆる統制違反を "統制違反!!!" として大きく扱うのではなく統制違反の中でもランクを定めて報告・記録するのもよいかもしれない。芽についても統制違反の芽という統制違反としてハンドリングしていれば改善プロセスをきっちり回していることの説明をしやすい。
ただいまコメントを受けつけておりません。