監査における職務の分離(SOD)は、詐欺やエラーを防ぐた
職務の分離は、内部統制の基本的な要素です。 職務の分離の根底にある基本的な原則は、誰もまたは従業員のグループが彼らの日々の仕事に誤りや詐欺をコミットし、隠す立場にあるべきではない
事業の規模や性質によって、実際の役職や組織構造は企業によって大きく異なる可能性があります。
SODの概念の下で、ビジネスクリティカルな職務は、四つのタイプの機能に分類することができます:
- 承認
- 親権
- 記録保持
- 和解
完璧なシステムでは、誰も複数のタイプの機能を扱うべきではありません。
SODの一般的な概念は、一人の人が資産にアクセスできないようにすることと、それらの資産の説明責任を維持する責任を負うことです。 基本的に、SODは、そのプロセスの重要な機能を複数の人、部門、または会社に分散させる重要なプロセスの共有責任を促進します。
職務の分離は、組織が法令を遵守するための重要な問題です。 SODの重要性は、一人の人にビジネスプロセスや資産を完全に制御することで、企業がリスクにさらされる可能性があるという配慮から生じています。
したがって、SODを実施することは、効果的なリスク管理戦略を達成するための重要な制御要素である。
特定のSOD要件を規定する内部統制監査基準や会計命令はありませんが、効果的な内部統制システムを維持するには、適切な職務の分離が必要です。
内部統制を有効にするためには、資産を取り扱う個人と、統制活動や会計手続きを行う個人との間に適切な責任分担がなければならない。
一般に、組織は、ある人の仕事が別の人の仕事とは独立しているか、またはチェックとして機能するように、トランザクション処理および関連タスクの仕事を設計する必要があります。
これにより、検出されないエラーのリスクが軽減され、資産を不正流用したり、会社の財務諸表に意図的な虚偽表示を隠す機会が制限されます。 SODは、ある人が他の人の協力を確保してこれらの活動を隠す必要があるため、詐欺を抑止し、個人が誤りを隠すのを止めるように行動します。
SODは財務会計システムでよく知られています。 あらゆる規模の組織は、口座への支払いの受領や償却の承認、現金の入金、銀行取引明細書の調整など、役割を組み合わせるべきではないことを理解し
SODはほとんどの情報技術(IT)部門にとってはかなり新しいものですが、多くのSarbanes-Oxley(SOX)内部監査の問題はITから来ています。 2002年に可決されたSOXは、企業による不正な財務報告から投資家を保護するのに役立ちます。
情報システムでは、職務の分離は、一人の行動による潜在的な被害を軽減するのに役立ちます。 ISACAの職務分離制御マトリックスによると、企業はいくつかの職務を1つの位置に結合すべきではありません。
しかし、このマトリックスは業界標準ではなく、どの位置を分離すべきか、それらを組み合わせるときに補償制御を必要とするかを示す一般的なガイ 補償制御は、既存または潜在的な制御の弱点のリスクを軽減することを目的とした内部制御です。
組織が職務を分離することができない場合、補償コントロールを適切に配置する必要があります。 一人の人が日々の仕事をしている誤りや不規則性を実行し、隠すことができれば、彼はSODと互換性のない職務を割り当てられています。 会社が職務の分離を強制するのを助けることができるいくつかの内部統制メカニズムがあります:
- 監査証跡を使用すると、監査人は、更新された監査ファイル上で、元から存在するまでの実際のトランザクションフローを再作成できます。 良い監査証跡は、トランザクションを開始した人、エントリの時刻と日付、エントリの種類、含まれている情報のフィールド、および更新されたファイルに
- 監督者は、例外が適切かつ適時に処理されていることを示す証拠によってサポートされている例外報告を処理する必要があります。 一般的に、報告書を作成する人の署名が必要です。
- 組織は、処理されたすべてのシステムコマンドまたはアプリケーショントランザクションを記録する手動または自動化されたシステムまた
- 企業は、例えば財務諸表の誤りや不規則性を検出するのに役立つ独立したレビューを行うために誰かを雇用する必要があります。
組織は、個人または個人のグループ間の職務の分離を要求することにより、適切なSODを適用する必要があります。 職務の分離にはいくつかの異なるレベルがあります:
- 個人によるSOD(個人レベルのSOD):これは伝統的で最も基本的な職務の分離レベルです。 この場合、SODは、異なる人々が異なる職務を行うことによって達成される。 たとえば、管理者は作業者に支払いを許可します。
- 機能または組織単位によるSOD(単位レベルSOD):このレベルでは、異なる機能、すなわち部門が分離された職務を実行します。 たとえば、営業部門がオファリングを準備し、リスク管理機能がそれにサインオフする可能性があります。
- 企業別SOD(企業レベルSOD): このレベルでは、異なる法人が操作を実行する必要があります。 たとえば、支配会社は子会社によって行われた投資を承認する必要がある場合があります。 会社レベルのSODのもう1つの例は、サードパーティの監査です。
SODは内部統制であるため、組織はリスク管理活動の枠組みの中でそれを見るべきである。 企業は、ビジネスプロセスを徹底的に分析し、潜在的な競合の検出と解決に関する選択を行う必要があります。
紛争が残っている場合、組織は関連するリスクを適切に管理するために補償管理を実施しなければならない。 最も重要なのは、SODは、組織が関与する個人、その役割、および潜在的な競合を明確に理解していることを必要とします。