文●山田 知賢
内部統制の分類を考慮して、もう少し作業ステップを詳細化してみると、図3のようになる(各企業によって異なるが一般的な例として図示する)。以下、各ステップについてみていこう。
 |
|---|
| 図3:詳細ステップ |
まず、“全社統制”、“(全社的な観点で評価される)決算・財務報告に係る業務処理統制”では、「文書化」に該当するフェーズで質問書(チェックリスト)作成や、質問書に対する回答手順、評価方法の検討(ガイドライン作成)などを行なう。実施の準備が完了した後、実際に質問書を配布して、作成した手順に従って「評価」を実施する。
このとき、準備年度に運用年度と同様の「評価」を実施する必要があるかどうか、意見が分かれるところだ。しかし(対象となる事業拠点数等により負荷が大きく異なるために一概に論ずることはできないとはいえ)、準備年度での目的を不備の発見とその「改善」に置くのであれば、実施しておく方が安全だ。
また、全社統制は、業務処理統制の前提として位置付けられており、全社統制の評価結果が有効であれば、業務処理統制の評価について簡便な手続きを取ることが認められている。このことからも、全社統制の評価を準備年度にて一通り実施しておくことの価値は大きい。
業務処理統制のうち、“(全社的な観点で評価される決算・財務以外の)その他プロセス”に関しては、「文書化」ステップにて、「業務フロー」「業務説明書」「RCM(リスク・コントロール・マトリクス)」の3点セットを作成する。「文書化」、「評価」の作業に先立って、作業を実施する上で、作業者により成果物の記述レベルや評価基準に差が出ないよう、「ガイドライン」を作成して品質を確保することも重要である。
ここでも、「評価」作業は運用年度でも対応が必要となってくるステップとなるが、準備年度に運用年度と同じレベルで実施するかどうか意見が分かれる。業務処理統制も、企業規模により大きく工数は異なると考えられるが、不備の発見、および「改善」を目的とするのであれば、一通り実施することは必要だろう。特に、システムの改修を含むような不備が発見された場合、数カ月で改善できるとは限らないからだ。
ただし、準備年度はあくまでも任意対応であることから、ミニマム対応を図る上では、不備の発見を目的に簡便的な評価を行なうことで、工数削減を図る方法も残されている。
“IT全般統制”でも、システム改修を伴う可能性があるため、可能な限り前倒しで作業を進めたい。
運用年度では、準備年度にて確立した方法により、評価を進めていくことになる。
ここでは、当該年度の内部統制の有効性を評価することになるが、年度を通した評価をするためには、期末に評価を行なう必要がある。しかし、現実問題として期末に評価を集中することは、時間的にも不可能である。このため、期中から作業を実施し、期末近くに業務が変更されていないか確認する手続きを行なうのが一般的だ(「フォローアップ」ステップ)。改善後の再評価も、同じく「フォローアップ」にて実施することになる。
以上、簡単に日本版SOX法対応の作業ステップを概観した。社内の人員体制や外部からの支援体制など、よほどの潤沢なリソースがない限り、各企業とも余裕のあるスケジュールとはいえないことがご理解いただけただろう。まだ対応に取り掛かっていない企業は、早急に対応ステップと方針を明確にし、着実に作業を進めたい。
次回以降は、残り少ない時間を有効に使うための具体的なポイントとして、予算や体制整備、監査法人との関わりについて考えていく。
 |  |
|---|
【アスキービジネス 新刊ムック】
【ASCII.jp SaaS・ASP】
