日本版SOX法プロジェクトの進め方教えます：SOX法コンサルタントの憂い（4）（2/3 ページ）

[鈴木 英夫，＠IT]

日本版SOX法のみに対応する場合

　おそらく最初の年から、膨大な目的を抱えた内部統制の整備を行うのは大変難しいと思います。従って、3年計画くらいでその目的と内容を充実・拡大していけばいいでしょう。というわけで、初年度は「財務報告の信頼性」についての内部統制を整備し、日本版SOX法に則した対応を進めることをお勧めします。

　その場合、プロジェクトで行う業務の項目は、＜図表2＞のようになります。

＜図表2：プロジェクトの内容＞

　　PjT＝プロジェクトチーム（プロジェクト全体）

　　PPjT＝前段階のプレプロジェクトチーム（経理、経営企画、内部監査などの特定専門部署）

　　PcT＝業務プロセスごとのプロセスチーム（営業部門ならその部門の担当者と代表者）

　　PPcT＝パイロットプロセスチーム（パイロットに選ばれた部門のチーム）

対象拠点とプロセスの決定

　＜図表2＞の最初にある「重要プロセスとリスクの洗い出し」は、プロジェクトのメンバーを選ぶ前に行わなければなりませんので、いわゆる「プレプロジェクト」です。重要プロセスは会社により異なりますので、それを事前に特定しておかないと、対象プロセス（プロジェクトメンバー）が決まらないことになります。

　その場合、経理部門や経営企画部門、コンプライアンス部門などによる「プレプロジェクトチーム」でまず金融商品取引法と「実施基準」を参考にし、「内部統制の整備と評価」をする範囲を特定することになります。それには、少なくとも、

　　・全社的な内部統制

　　・決算・財務報告にかかわるプロセスの内部統制

　　・そのほかの重要なプロセスの内部統制

　　・IT統制（上記各プロセスに含まれるIT業務処理統制とIT全般統制）

　

　が含まれていなければなりません。

　プレプロジェクトで検討するのは、対象とする「会社の拠点・子会社の範囲」と「そのほかの重要なプロセス」の特定です。前者は、売上高などの指標で見て大きい順に並べ、その累計が全体のおおむね3分の2をカバーする拠点・子会社までを含めることになります。

　そして後者については、売り上げ、売掛金と棚卸資産にかかわるプロセスについては、そのすべてを加え、さらに1. デリバディブなどリスクが大きい取引を行っている事業・業務、2. 見積もりや経営者による予測を伴う重要な勘定科目に係るプロセス、3. 非定型・不規則な取引が含まれる業務プロセスなども、対象に加えなければなりません。

　もちろん、会社のためのプロジェクトですから、必要と判断したら、1. コンプライアンスに関するプロセス、2. 情報の管理についての内部統制、そして、3. 損失の危険に対する管理プロセスなどを対象に加えてもいいのです。

プロジェクトのキックオフ

　対象の拠点とプロセスが決まったら、その対象プロセスからのメンバーを選んで、プロジェクトをキックオフさせます。

　プロジェクトチームの構成は、当初は本社内の該当プロセスのメンバーで構成します。あまりメンバーの数が多いと効率よく動きません。当初は本社内で文書化作業を行い、それらの文書化ひな形を持って拠点・子会社に展開するのが効率的です。プロジェクトオーナーは、CFO（おそらくあなたの会社では経理担当常務でしょう）になってもらい、プロジェクトリーダーはあなた自身です。

　コアメンバーとしては、経理部門、経営企画部門、営業管理部門、購買部門、製造部門、物流など棚卸資産担当部門、IT部門が中心となります。場合によっては、人事（給与担当）部門、法務・コンプライアンス部門、内部監査部門などにも入ってもらいます。チームの組織は、図表3のとおりです。

＜図表3：プロジェクト組織図＞

　キックオフに先立って、あなたは内部統制の文書化に必要なツールを準備しておかなければなりません。フロー図とRCM（リスクコントロールマトリクス）、そしてテスト記述書は必須文書ですから、フロー図については「Microsoft Visio」などのツールを、そしてRCMとテスト記述書の様式は「Microsoft Excel」（エクセル）などで用意しておくことが必要です。

　なお、Visioを使用する場合、マイクロソフトのWebサイトから「内部統制テンプレート」というソフトをダウンロードできますので、それを用いてRCMを作成するという方法もあります。この記事の見本図版ではそのソフトを使って作っています。

　そして、キックオフの後、チームメンバーに内部統制プロジェクトの意義と、これらのツールの使い方について研修を行います。