続・日本版SOX法プロジェクトの進め方教えます：SOX法コンサルタントの憂い（5）（2/3 ページ）

前回、日本版SOX法対応におけるプロジェクトの進め方や内部統制の文書化の方法などを紹介した。今回は、日本版SOX法における「有効性の評価」と「文書化の全社展開」について紹介する。

[鈴木 英夫，＠IT]

誰が評価するのが良いのか？

誰が評価するのが良いのか？

　では、社内の誰が、この評価をするのが良いのでしょうか？

　経営者自身がするのが一番良いのでしょうが、それは時間的にも難しいでしょう。そこで、独立的部門というのが必要になってきます。それは、当該業務プロセスを担当する部門から独立している部門という意味です。

　具体的には、経理部門や内部監査部門などを指します。もっとも、1つの独立部門が社内すべての内部統制の評価を担当するのは物理的に大変ですし、内部統制の担当部門・担当者の教育・訓練、そして自主的な改善活動が期待できるメリットも考慮すると、当該業務担当部門による自己評価が重要になってきます。

　ただし、実施基準による規定から、「自己評価のみでは、独立的評価の要件を満たさないので、自己評価に加えて（内部監査などの）モニタリング部門によるチェックを組み合わせる形」で行うことが理想です。すなわち、業務担当部門がテスト記述書に自己評価の結果を記載し、モニタリング部門がサンプリングなどの方法でその結果を検証します。

　テストした結果を記すテスト記述書の参考例は、次のとおりです。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　上記の例では、勘定科目の欄は、販売のプロセスですから、「売上、売掛金」と記入しています。しかし、厳密には、売上・売掛金の計上は出荷してから、会社によって異なったタイミングで行われます。

全社的内部統制の評価と整備を実施する

　パイロットプロセスで、業務プロセスにかかわる内部統制の文書化と評価を行っているのと同時に、もしくはそれに先立ち、プロジェクトチームでは、「全社的内部統制の整備」を行います。

　全社的内部統制は、内部統制の構成で重要な位置にあり、その整備状況いかんによっては、業務プロセスの内部統制の厳格度に影響を与えます。すなわち、“全社的内部統制が良好な状態”で整備されていれば、業務プロセスの内部統制評価は重要なプロセスのみに限定することが可能ですが、逆に、“全社的内部統制が有効でない”場合には、業務プロセスの内部統制評価の範囲は拡大しなければなりません。

　全社的内部統制については、実施基準で評価項目例が42項目にわたって示されています。実施基準の評価項目をあなたの会社の状況に則し、チェックリストに分解して、具体的な整備状況の評価を行います。関連する規程やSOP（業務マニュアル）なども、整合性がとれているかチェックします。この作業については、「Microsoft Excel」などで評価一覧表としてまとめるといいでしょう。

　主な項目としては、

• 項目コード番号
• 評価項目
• チェックリスト
• 現整備状況
• 内部統制の有効性（はい、いいえ、未評価）
• 証拠書類
• 問題点
• 今後の対策
• 対策の実施内容と実施日
• 評価日
• 評価者など

　です。全社的内部統制を評価して問題が残るようでしたら、早急に改善しなければなりません。詳しくは、次回の「内部統制の欠陥の是正」を参照してください。

　さて、「全社的内部統制の整備」と「パイロットプロセスでの文書化と評価」ができたら、次は「文書化の全社展開」です。