続・日本版SOX法プロジェクトの進め方教えます：SOX法コンサルタントの憂い（5）（2/3 ページ）

[鈴木 英夫，＠IT]

誰が評価するのが良いのか？

誰が評価するのが良いのか？

　では、社内の誰が、この評価をするのが良いのでしょうか？

　経営者自身がするのが一番良いのでしょうが、それは時間的にも難しいでしょう。そこで、独立的部門というのが必要になってきます。それは、当該業務プロセスを担当する部門から独立している部門という意味です。

　具体的には、経理部門や内部監査部門などを指します。もっとも、1つの独立部門が社内すべての内部統制の評価を担当するのは物理的に大変ですし、内部統制の担当部門・担当者の教育・訓練、そして自主的な改善活動が期待できるメリットも考慮すると、当該業務担当部門による自己評価が重要になってきます。

　ただし、実施基準による規定から、「自己評価のみでは、独立的評価の要件を満たさないので、自己評価に加えて（内部監査などの）モニタリング部門によるチェックを組み合わせる形」で行うことが理想です。すなわち、業務担当部門がテスト記述書に自己評価の結果を記載し、モニタリング部門がサンプリングなどの方法でその結果を検証します。

　テストした結果を記すテスト記述書の参考例は、次のとおりです。

＜図表2：テスト記述書＞
統制（コントロール）	SJC003 受注入力担当者は、受注入力画面の内容と受注確認書の内容を照合し、受注確認書の入力確認欄に押印する。

手続き（統制の有効性評価のため）		コメント（テストの結果、詳細文書の参照先など）
設計面での有効性評価の手順		設計面での有効性評価の結果
	（ステップ1）受注入力は、特定の担当者のみが行えるのか？	受注入力は、指定された担当者がパスワードにより画面にアクセスできる。
	（ステップ2）内容確認などの統制が定められているか？	担当者は、入力の都度、画面と受注確認書の内容を照合することが、マニュアルで定められている。
運用面での有効性評価の手順		運用面での有効性評価の結果
	（ステップ3）出力データからアットランダムに25のサンプルを取り出し、それに該当する受注確認書が存在するか、そしてその内容を正確に反映しているかをテストする。	テストの結果、25件の出力データの内容は、受注確認書を正しく反映していることを確認した。

表題	解答
勘定科目	売上、売掛金
アサーション	実在性、権利と義務の帰属
有効性（あり、なし、対象外）	あり
統制の頻度（逐次/日次/月次/四半期/年次）	逐次
有効性のテスト	当該部門	内部監査室
設計面（テスト担当者と実施日）	大阪太郎（07/09/15）	川本三郎（07/10/02）
運用面（テスト担当者と実施日）	山田次郎（07/09/20）	川本三郎（07/10/02）

　上記の例では、勘定科目の欄は、販売のプロセスですから、「売上、売掛金」と記入しています。しかし、厳密には、売上・売掛金の計上は出荷してから、会社によって異なったタイミングで行われます。

全社的内部統制の評価と整備を実施する

　パイロットプロセスで、業務プロセスにかかわる内部統制の文書化と評価を行っているのと同時に、もしくはそれに先立ち、プロジェクトチームでは、「全社的内部統制の整備」を行います。

　全社的内部統制は、内部統制の構成で重要な位置にあり、その整備状況いかんによっては、業務プロセスの内部統制の厳格度に影響を与えます。すなわち、“全社的内部統制が良好な状態”で整備されていれば、業務プロセスの内部統制評価は重要なプロセスのみに限定することが可能ですが、逆に、“全社的内部統制が有効でない”場合には、業務プロセスの内部統制評価の範囲は拡大しなければなりません。

　全社的内部統制については、実施基準で評価項目例が42項目にわたって示されています。実施基準の評価項目をあなたの会社の状況に則し、チェックリストに分解して、具体的な整備状況の評価を行います。関連する規程やSOP（業務マニュアル）なども、整合性がとれているかチェックします。この作業については、「Microsoft Excel」などで評価一覧表としてまとめるといいでしょう。

　主な項目としては、

• 項目コード番号
• 評価項目
• チェックリスト
• 現整備状況
• 内部統制の有効性（はい、いいえ、未評価）
• 証拠書類
• 問題点
• 今後の対策
• 対策の実施内容と実施日
• 評価日
• 評価者など

　です。全社的内部統制を評価して問題が残るようでしたら、早急に改善しなければなりません。詳しくは、次回の「内部統制の欠陥の是正」を参照してください。

　さて、「全社的内部統制の整備」と「パイロットプロセスでの文書化と評価」ができたら、次は「文書化の全社展開」です。