日本版 SOX 法に対応するためには、内部統制を評価する仕組みづくりが欠かせない。内部統制評価の仕組みは、次の 3 つの要素で成り立っている。
- 文書化:内部統制が有効に機能していることを客観的に裏付けるもの
- システム (ツール) :内部統制に関わる業務を支えるもの
- 人的基盤:内部統制を有効に機能させる主体
この 3 要素を上手に組み合わせて、各段階をクリアしていかなければならない。プロジェクト自体の大まかな流れは次の通りである。
【計画・方針づくり】
まず何ごとも全体の計画や方針策定が必要だ。現状調査、全体的な計画策定、ツール類の評価・選定、内部統制の整備方針策定、文書化テンプレート (雛形) 作成、文書化マニュアル作成、ツール導入などがある。いわば「準備の準備」の段階である。
【業務プロセスの選定】
業務プロセスの内部統制のうち、優先的に対応すべき範囲を決める業務プロセス選定である。
財務諸表の信頼性を担保するには、すべての勘定科目、すべての発生単位 (企業、事業などの組織)、すべての発生過程 (業務プロセス) を監視・監査するのが理想だが、効果や効率を考え、金額的な重要性と質的な重要性を基準に監視・監査対象を選定する。選定に当たっては、外部監査人との意見調整が必要だ。
また、経営者が代わった時や買収で組織が大きく変更された時、範囲決定の拠り所となった財務情報 (予算など) が大幅に変更された時、新たなリスクなどが露呈した時などは、対象となる範囲を見直す必要がある。
【業務フローの記述】
次に、選定された業務プロセスの概要を把握するため、プロセスレベルの文書化作業を実施する。まず業務フローを記述する。
主要な取引形態のプロセスを把握し、それに伴って発生しうるリスクを詳細に書き出す必要がある。
実際に従業員が記述する場合には、しっかりとしたテンプレートやガイドラインを策定しておかないと、良い文書にならないので注意が必要だ。また、この段階では、業務を理解してリスクを定義することが重要なため、部門間にまたがった業務の流れを把握している人材を置くか、関係者にヒアリングして全体の流れを描ける人材が必要である。
文書化を組織のレベルごとに分類すると、次のようになる。
- 組織や制度の内部統制に関する文書化 (組織レベルの内部統制整備基本計画、実施マニュアル、全般統制質問書など)
- 業務プロセスの内部統制に関する文書化 (業務プロセスレベルの内部統制整備基本計画、個別業務規定類、業務マニュアルなど)
- 情報システム (IT) の内部統制に関する文書化 (IT 内部統制整備基本計画、システム関連規定、システム関連マニュアルなど)
- レベル共通の文書化 (内部統制監査実施手順)
企業の中には「当社はシステム設計の経験者が対応するので大丈夫」といった思い込みがあるかもしれない。確かにシステム設計業務でも業務フローを書くので、ある程度のノウハウが生かせる。
しかし日本版 SOX 法の場合、翌年以降も継続して維持しなければならない。そのため業務フローの書き方も、次回から先の維持管理を前提としたものが求められる。そうしないと、翌年以降に困ったことになる。この辺りで工夫が必要だ。
ページのトップへ
