日本版SOX法に対応したバランス・スコアカードとは(前編):第4世代のBSCとは(前編)(2/2 ページ)
日本版SOX法対象企業における第4世代BSCの策定方法
第4世代BSCでは、内部統制にかかわるPDCA以外にも対応するために、基本的には第3世代BSCの策定を進めておく。そして、その後に日本版SOX法におけるスコープ(評価範囲)を決定し、統制項目・文書化対象業務・RCM(リスク・コントロール・マトリックス)などをはっきりさせてから、第4世代BSCを第3世代BSCにアドオン/融合させるプランがスムーズだ。
ある米国版SOX法担当だった公認会計士は、「BSCによる日本版SOX法対策は難しいのではないか?」という感想を筆者に話してくれた。確かに、混沌(こんとん)とした日本版SOX法の環境の中で、「何をベースにBSCで対応するべきか?」という点が悩ましいのはよく分かる。しかし、筆者は日本版SOX法においても採用されている、文書化の「3点セット(業務フローチャート・業務記述書・RCM)」のうち、RCMを活用したアプローチを提唱している。
第4世代BSCでは、このRCMが重要な役割を果たす。というのも、洗い出されたリスクをKRI(キー・リスク・インジケーター)という結果指標として設定し、そのリスクに対するコントロールというアクションを、先行指標としてKCI(キー・コントロール・インジケーター)として指標間にも因果関係を持って設定するからである。
RCMは各監査人・コンサルティング会社によってさまざまなフォーマットを用いているが、ここでは筆者独自のRCMによる第4世代BSCにおける指標設定例を図3に示しておく。各監査人や各コンサルティング会社がさまざまなフォーマットを用いているとしても、RCMの基本的な部分は共通であるはずだ。
リスク |
勘定科目 |
コントロール番号 |
コントロール内容 |
| R-1:受注数量の誤入力 | 売り上げ 売掛金 |
C-1 |
受注入力後に、別の係員が受注表数量のレビューをする |
R-1に対するKRI1設定 (KRI1の結果指標) |
← |
C-1に対するKCI1設定 (KRI1の先行指標) |
|
| R-2:回収不能得意先からの受注の受理 | 売り上げ 売掛金 |
C-2 |
与信限度がシステム登録されており、超過分は出荷制限 |
R-2に対するKRI2設定 (KRI2&3の結果指標) |
← |
C-2に対するKCI2設定 (KRI2の先行指標) |
|
C-3 |
新規取引開始時に与信管理部が信用調査で与信枠決定 | ||
← |
C-3に対するKCI3設定 (KRI2の先行指標) |
||
| R-3:誤った発送先への発送 | 売り上げ 売掛金 |
C-4 |
顧客マスタに発送先の登録があり、手動入力を制限 |
R-3に対するKRI3設定 (KRI4の結果指標) |
← |
C-4に対するKCI4設定 (KRI3の先行指標) |
|
注)KRI、KCIにはそれぞれオーナー・定義・単位・データソース・更新頻度などの詳細を記述したものをまとめる |
|||
図3 RCMによるKRIおよびKCI設定例 (第4世代BSC並行型のRCM例)
図3に示しているように、それぞれのリスクとコントロールを、KRI・KCIによって月次捕捉することで、内部監査の大幅な効率化も図り得る。
つまり、第4世代BSCの場合、経営者や監査室担当者のそれぞれのPCに表示される戦略マップ上で、内部統制の戦略目標をドリルダウンしていけば、それぞれのKRI・KCIの推移や目標値の推移を、色(青・黄・赤)で一目瞭然で把握できるため、より問題の大きいリスクとコントロールについて重点的に内部監査していけるのだ。
月次集計したKRI・KCIをモニタリングしておくことで、毎月自動集計で内部監査を代替しているという「第4世代BSCの指標管理による内部監査代替機能」を果たしているといっても過言ではない。さらに、必要に応じて通常の内部監査における実査・立ち会いや、不正検査におけるデジタル・フォレンジックとしての活用などを適宜行えば内部統制が強化される。
また、第4世代BSCのレポーティング機能、および指標管理における内部監査代替機能によって、月々のリスク推移を把握することは非常に重要である。リスクは常に一定ではなく、放置しておけば増大することもあるし、適切に統制を掛ければ低減されることもある。ここでは仮に、内部監査を4カ月ごとに行っている企業があったとしよう。
年3回の内部監査で最初の2回は合格しても、最後の1回で不合格になることは十分あり得る。これはリスクが変動するからだ。単にリスクの推移の結果だけを見て判断するのではなく、KRIの推移からリスクの推移を予測して、未来志向型の内部監査を行う必要がある。
つまり、KRIでリスクが危険領域に向かっている傾向を事前につかんでいれば、内部監査や内部監査以前に必要な統制・サポートを行い、問題視されるようになる危険リスク予備群に対して先手を打って統制することが可能になる。これも、リスク管理における過去志向からの脱却として、第4世代BSCの特徴だ。
後編となる次回では、第4世代BSCにおいて著者が開発・提唱したKRIとKCIの詳細と、それらが可能にする「未来予測型リスク管理」の概念などについて解説する。
著者紹介
戸村 智憲(とむら とものり)
日本マネジメント総合研究所 理事長
早大卒。米国MBA修了(全米優秀大学院生受賞:トップ0.5%の院生が受賞)。
国連にて戦略立案エキスパート・リーダー、国連職員研修特命講師、国連環境会議事務局日本代表、内部監査業務を担当。
その後、民間企業に転出し、企業役員・内部監査室参事役を経て、BSCコンソーシアム公認BSCコンサルタントに招聘(しょうへい)される。内部統制・SOX法関連のスペシャリスト資格である公認不正検査士(CFE)を取得。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- “AIエージェント暴走時代”が始まる? 企業がいま直視すべきリスク
ITmediaはアイティメディア株式会社の登録商標です。