日本版SOX法の“欠陥・不備”の直し方教えます：SOX法コンサルタントの憂い（12）（2/2 ページ）

[鈴木 英夫（aiリスクコンサルテーション），＠IT]

発見的統制を追加することによる補完または代替

　こういう場合に、現場での作業負荷を最小限に抑え、なおかつ、リスクを合理的な範囲内に軽減できるコントロールの方法があります。それが、「発見的コントロール（発見的統制）」と呼ばれるものなのです。

　「発見的」とは“事後的に”という意味で、現場での比較的軽いチェックが終わった状態で別の担当者なり、別の部門の人が入力したデータから、例えば「大きなデータ」を抽出し、それだけをチェックする方法です。

　例えば、別の担当者が「大口の取引先10件だけ」とか「1件100万円以上のデータだけ」をチェックする、といった方法です。

　このように、抽出したデータであっても全体の金額のおおむね3分の2をカバーしていれば、実施基準のうえでも“基準に則している”と主張でき、そうでなくとも補完的コントロールとすることができます。

　このように大口だけに絞り込むと、1日1万件の取引のうち、せいぜい数十件あるかないかくらいに収まるでしょう。超大企業なら「1件200万円以上」でもいいかもしれないし、中小企業なら「1件10万円以上」という区分でもよいでしょう。

　要は、それぞれの企業の身の丈に合った合理的なコントロールができていればいいのです。1日数十件のチェックなら、相当厳密なチェックをしても、それほどの作業負荷にはならないので効率的です。

　また、「対前年同月比で比較する」「前月比で比較し、役員会で発表する」というようなコントロールも有用な発見的コントロールです。

発見的統制の整備例

　例えば、受注のプロセスにおいて、

営業管理部門の担当者が、月次で1件100万円を超える受注について、登録データから抽出・プリントアウトし、そのデータと受注伝票を照合確認する。そして、確認印を受注伝票と抽出データに押す

といったコントロールを設定するとします。フローチャートで見るとこのような感じでしょうか。

　このチャートの営業管理部門に表示されている、月次チェックの所のコントロールが「発見的コントロール」であり、それにより、営業現場での受注入力の際のコントロールを軽くすることができます。

軽い予防的コントロール＋発見的コントロールの組み合わせは効率的

　最小限のスタッフが多忙の中で処理しているとしたら、できるだけ発見的なコントロールを置くことにして、予防的なコントロールを軽くする方が効率的です。

　加えて、「少なくとも、合理的な範囲で重大な誤記載を防ぐことができる」と主張できることが重要なのです。日本版SOX法は「絶対的保証」を求めているのではありません。「合理的保証」があればいいのです。

強制も補完的コントロールもできないときは？

　さて、コントロールを強制することも、また、補完的コントロールもできないときは、会社の業務の実態に合わせ、コントロールを整備し直す必要があります。例えば、

納品伝票に対して、「連番は打ってあるか」「データに漏れはないか」「取引先マスタに登録されている相手先なのかどうか」「検収書はあるか」「上長の承認印はあるか」などを確認しなければならない。

としているコントロールを、実情に合わせて例えば、

「検収書はあるか、上長の承認印はあるか」

の2項目に絞ってしまってはどうでしょうか。これは、決算期近くに変更すると監査法人から「内部統制の後退だ」との心証を持たれる恐れがありますから、「会社で実際やっている合理的で身の丈に合ったコントロールである」ことを論理的に説明しなければなりません。

　必要なのは合理的な論理構築です。そのためには、早い時期に整備し直すことがベターですね。

監査法人・会計士とのやりとりは？

　会計士には、それが「合理的な保証を提供できる」ことを論理的に説明する必要があります。論理構築と会社の方針が必要なのです。

　会社なりの身の丈に合った論理を常に意識しておいてください。決して、会計士の所には、手ぶらで相談に行かないでください。そんなことをすれば、会計士は保守主義に走って、会社にとっては作業的に重いものを要求することになるでしょう。

　会計士との交渉は、会社で論理的に積み上げた合理的手法をもって、「これでいいですね」と確認を求めるやり方がベストです。論理構築されたものに対して、会計士はノーといいづらいですからね。

Profile

鈴木 英夫（すずき ひでお）

慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。

2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、aiリスクコンサルテーション代表、内部統制コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。神戸商工会議所登録エキスパート。危機管理システム研究学会会員、大阪J-SOX研究会幹事。

著書：「図解日本版SOX法」（同友館、共著）

近著：「日本版SOX法実践コーチ」（同友館、共著）

連絡先： ai-risk330@jttk.zaq.ne.jp

Webサイト：http://spinel3.myftp.org/hideo/ai-risk.htm

「SOX法コンサルタントの憂い」バックナンバー

• 内部統制が有効でないのはこんな理由だった
• いまさら追加された「内部統制Q&A」のポイント
• 内部統制で有用なログの活用術
• 日本版SOX法の“欠陥・不備”の直し方教えます
• 追加された「内部統制Q＆A」の注意点
• “発見的コントロール”で楽になろう！
• 「内部統制報告制度に関する11の誤解」の注意点
• 3点セットの後に何をすればよいのかが分からない
• “守り”の内部統制から“攻め”の内部統制へ
• 終章・日本版SOX法プロジェクトの進め方教えます
• 続・日本版SOX法プロジェクトの進め方教えます
• 日本版SOX法プロジェクトの進め方教えます
• 立法者の意思を無視して暴走する規制当局
• 複数の共謀者による不正をどう防ぐか？
• 内部統制の抜け穴はふさげるのか？