内部統制対応の実務
日本版SOX法も内部統制も概要は理解した。では具体的には何をすればよいのでしょうか? それは「業務の文書化」です。業務の流れやルールを文書化し、客観的に不正が行われないことを証明するのです。これこそが内部統制の整備つまり日本版SOX法の対応です。
| 日本版SOX法における文書化とは |
 |
||
日本版SOX法では、財務報告の信頼性に係る内部統制を整備し、実際に内部統制が機能していることを検証し、さらにそれを外部監査人が監査することが要求されています。
これを実現するために、「企業では内部統制がどのようになっているか」、「その有効性をどのように検証したか」、「その結果はどうだったか」、「問題があった場合にはどのように対応するのか」といったことを「文書化」する必要があります。社内の大半の業務に関して文書化する必要があるのですから大量の文書を作成する事になります。
作成する必要がある文書は、業務プロセスを可視化する「業務フローチャート」、統制活動の有効性を評価するための「リスクコントロールマトリックス」、業務プロセスの詳細である「業務記述書」です。
作成する必要がある文書は、業務プロセスを可視化する「業務フローチャート」、統制活動の有効性を評価するための「リスクコントロールマトリックス」、業務プロセスの詳細である「業務記述書」です。
 |
★★ ポイント ★★ |
 |
| 内部統制の実務とは極端にいえばこの「文書化」に尽きます。大量の文書を作成する必要があるので、「いかに文書化を効率よく実行するか?」が内部統制対応の成功に欠かせないポイントです。また業務の変化に対応して文書も更新する必要がありますのでこの点も考慮して文書化を進める必要があります。 | ||
 |
 |
| 文書の記述内容 |
|
||
「業務記述書」「業務フローチャート」「リスクコントロールマトリックス」のサンプルを提示します。これらの文書作成は内部統制対応の要となるものです。
- 業務記述書
- 業務の流れ(プロセス)をナレーション的に記述したものです。
- 業務フローチャート
- 業務の流れ(プロセス)をフローチャート(流れ図)にします。
業務プロセス内でリスクが発生する個所にはリスク番号を記入しておきます。
- リスクコントロールマトリックス(RCM)
- 業務プロセス内で定義したリスクとそれに対するコントロールをまとめた資料です。RCMと略して呼ばれる事が多いです。
|
|
★★ ポイント ★★ |
|
| サンプルを見て雰囲気を掴んだら、あなたの身近な業務の文書を作成してみましょう。手書きでもパソコンを使っても構いません。全ての会社業務を文書化するとなると大変な作業である事が実感できると思います。その上で多くのIT会社から販売されている文書化をサポートするソフトウェアの導入を検討される事をお勧めします。 | ||
|
|
|
| 内部統制対応のステップ |
|
||
内部統制対応は以下のステップで進めます。
推進ステップ
推進ステップ
- 1.方針やスケジュールを決定
- 社長や役員をリーダーにしたプロジェクト体制を決定します。メンバーは経理・財務部、情報システム部、経営企画室などから選出します。
このステップのポイントは内部統制を適用する業務範囲を決定する事です。
業務範囲の決定は財務報告資料に掲載されている勘定科目(売上高とか期末在庫高など)から重要な勘定科目を選定しその勘定科目に関連する業務を対象範囲とします。 また勘定科目には関係なくても企業の活動上重要な業務は統制対象として含めるべきです。例えば一般消費者を対象にした企業であればヘルプデスクなどのカスタマーサポート業務がそれに該当すると思われます。 - 2.プロトタイピング
- 特定の業務に関して文書化を実施します。
このステップのポイントは各文書のテンプレートを作成する事と全体の工数を把握する事です。全体工数の見積もり結果からプロジェクト体制の強化も行います。 - 3.文書化を実施
- 対象業務の文書化を進めます。また情報システム部門ではITへの対応(IT業務処理統制とIT全般統制)も進めます
- 4.試行/監査を実施
- 作成した文書通りにリスクに対するコントロール(=統制)が有効である事を評価します。
サンプル・データ(数10件〜数100件)を抽出し、リスクコントロールマトリックスで記載された統制が実際に機能しているかどうかを検証するのです。そしてその結果を「内部統制報告書」としてまとめ、監査人に監査して貰います。
内部統制上の不備があれば、業務の改善を行い文書化からやり直します。 - 5.本番運用
- 2008年4月1日以降に開始する事業年度から文書化したプロセスで業務を推進します。適宜問題があればプロセスを修正し忘れずに文書も修正します。新たな事業を展開するなどの新たな業務が発生した場合も忘れずに文書を整備しておきます。
期末になれば、内部統制の検証を行い「内部統制報告書」を作成し監査人による監査を受けます。
|
|
★★ ポイント ★★ |
|
| ステップ1と2が非常に重要です。「コンサルタントの意見を聞く」「他社の動向をチェックする」など慎重に進めて下さい。文書化を始めてからの後戻りには大変な苦労を伴いますので要注意です。充分に検討した上で一気に文書化に突入して下さい! | ||
|
|
|
| スケジュール |
|
||
3月決算の会社の場合は2008年3月31日までに内部統制を整備しておく必要があります。実際には構築した内部統制が適切に運用されていることを確認する必要があるので、2007年10月までには内部統制構築を完了して、半年間は仮運用を実施するべきと思われます。
スケジュール
スケジュール
|
|
★★ ポイント ★★ |
|
| 半年間の仮運用は必須です。法律ですから施行後に「失敗しました、ごめんなさい」では済まされません。 | ||
|
|
|
日本版SOX法を知る
|
最近、日本版SOX法が注目を集めています。多数のセミナーが開催され盛況のようです。
米国の大企業の不正経理から端を発した米国版SOX法の日本版として、日本版SOX法の検討が金融庁で進められ2008年4月にも施行される予定で、対象企業では内部統制強化などの対応に取り組んでいます。 詳しくはこちらから → 日本版SOX法を知る |
内部統制を理解する
 |
企業の不正を防ぐ目的で内部統制の必要性が高まっています。日本版SOX法でも財務諸表の正当性を確保するために内部統制の整備が義務付けられています。 詳しくはこちらから → 内部統制を理解する |
内部統制対応の実務
|
日本版SOX法も内部統制も概要は理解した。では具体的には何をすればよいのでしょうか? それは「業務の文書化」です。業務の流れやルールを文書化し、客観的に不正が行われないことを証明するのです。これこそが内部統制の整備つまり日本版SOX法の対応です。 詳しくはこちらから → 内部統制対応の実務 |
Copyright © 2006 なるほど日本版SOX法. All rights reserved