研修が済んだら、経理部門などのプロセスを選択してパイロットチームとして、その内部統制の文書化と有効性の自己評価をしてもらいます。経理部門などは特に監査などにもなじみがあり、パイロットとしてはやりやすい部門と思います。
内部統制は、すべてゼロから整備するのではありません。これまで、なんらかの形でプロセスの要点ごとに行っていたチェック活動を、「文書化する」ということが中心の課題となります。ここでの内部統制とは、「不正や誤謬(ごびゅう)を防止するために、プロセスに組み込まれたチェック活動」のことをいいます。
例えば、システムに入力した際に、入力した内容と元データを照合することも内部統制ですし、納品された原料を検品することも内部統制活動の1つです。ではなぜ、「文書化」が必要なのでしょうか。
それは、書かれていない規範は分かりづらいし、順守しにくいだけではなく、その評価も監査もできないからです。内部統制も記述して初めて、透明性のある手順となるのです。
もちろん、プロセスごとに行うリスク評価の過程で見つかった「統制のない大きなリスク」については、新たに内部統制を整備しなければなりません。
パイロットチームでは、まず、その対象プロセスについて業務の流れを示す「フロー図」を描いてもらいます。このフロー図は、システムの要件定義に使うような詳細なものは必要ありません。
業務の流れの中でその骨子を押さえ、財務報告の信頼性に対してリスクのありそうな部分を明示できればそれで足ります。フロー図のイメージは、図表4のとおりです。ちなみにこれは、先述のVisioの内部統制ツールを使いました。
ちなみに、このフロー図の黄色と赤のマークがリスクの表示で、緑色のマークがそのリスクに対する内部統制を示しています。図表5ではRCM(リスクと統制を書いた一覧表)を例示しています。
このRCMは、Visioの内部統制テンプレートを使用して、図表4のフロー図からエキスポートして作成したものです。内容は、あくまでも参考例です。特に、統制の部分は、後から有効性の評価をしやすいように、4W1Hなどを盛り込むようさらに工夫が必要です。
また、リスクはすべて均等に扱うのではなく、高いリスクを優先的に、十分な統制活動を設定してリスクの軽減を図ります。これを「リスクベースのアプローチ」といいます。
この続きは、次回に紹介します。
【参考文献】
▼日本版SOX法研究会、「日本版SOX法実践コーチ」、同友館
鈴木 英夫(すずき ひでお)
慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。
2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、SOX法・日本版SOX法コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。
著書:「図解日本版SOX法」(同友館、共著)
近著:「日本版SOX法実践コーチ」(同友館、共著)
連絡先: ai-risk330@jttk.zaq.ne.jp
Webサイト:http://spinel3.myftp.org/hideo/ai-risk.htm
Copyright © ITmedia, Inc. All Rights Reserved.