A.リスクコントロールマトリックスの作成時に直面する問題を解決するためのコツの一つは、リスクの種類や発生箇所のパターンを覚えることです。ITを活用して財務会計データを作成している場合、財務報告に係るリスクの発生箇所は限られます。
リスクの発生箇所として、一番目に承認時点が挙げられます。承認を要する時点には承認が漏れるリスクが常に存在します。
二番目にシステムへの入力時点が挙げられます。データ入力時には誤って入力するリスクも当然存在しますし、漏らすリスクや重複して入力してしまうリスクもあります。また、入力すべき日の属する月の翌月になって入力したというなら適時に処理されないというリスクも、入力時点で認識されます。
三番目はシステム間のインタフェース時です。サブシステムから財務会計システムにデータを移行するときにリスクが生じます。オンラインのバッチ処理で持っていっている際に、通常この場合は正確性が担保されていると思われますが、処理が漏れるリスクはないでしょうか。何件送り、何件受け取ったということは、モニターされているでしょうか。システム間のインタフェースにおいて、処理が漏れるというリスクは常に認識されるべきであるといえます。
四番目はITの処理プロセスです。ITによる計算を行っている部分は全て自動計算しています。全部システムでコントロールされているということになりますが、この処理が間違うこともあり得ないとはいえません。システムのバグが完全に除去されている保証はありません。また、手で計算している場合は、処理を間違うリスクは絶えず存在します。
五番目に、データの保存場所や資産の保存場所においては、適切な手続きを経ずに、データの書替えが行われてしまったり、資産が払い出されてしまったりするという、資産保全のリスクがあります。必要な承認が行われずに処理がなされるリスクとして認識するのが一般的であると思われます。
上記の五つのリスクをワンパターンで覚えます。そして、フローを記載していてそのような場所がある場合には必ずそこに例えば三角マークを記していけば、財務報告に係るリスクが漏れる可能性もなくなるでしょう。リスクを漏らすことが、文書化において一番の問題です。認識すべきリスクを漏らしたままで作業が進み、後に日程が押し迫ってから指摘を受けると大変です。余分な三角マークを記してしまう場合もありますが、その場合は余分な作業が増えるだけであり、あまり問題にはなりません。後になって削除すれば済みます。
