内部統制を文書化する手順について教えてください。

 

Q.内部統制を文書化する手順について教えてください。

 

A.内部統制を文書化していくのが日本版SOX法の具体的な実務ということになりますが、その進め方については、第一に全社的な内部統制の評価を行い、評価対象とする事業拠点を選びます。そして、選んだ事業拠点等に関して業務処理統制の評価を行います。業務処理統制を評価するには、多くの工数を要しますので、費用が多額となります。全社レベルの内部統制は一度行えばその後は適正に運用されているかをチェックし、変更がなければそれで済みますが、業務処理統制に関しては、取引のタイプが異なってコントロールが違えば、その取引ごとに評価するのが基本となります。したがって、どのように取引を区分するか、いかなるコントロールがあるかということを把握し、それを文書化するかが、極めて大変な作業といえます。業務処理統制の評価を行った後に、そこに不備があった場合にはそれを是正します。そうしないと、財務報告が誤るリスクが十分に軽減されないということになるからです。そして是正後に内部統制報告書を作成し、その報告書の過程を会計監査人が監査します。会計監査人から、これは少し弱いのではないですかという話があった場合には、次期以降に改善活動を行います。

内部統制の文書化の手順については、上記に述べた全社的な内部統制の評価から改善活動の実施までの過程を繰り返していくということになります。なお、全社レベル統制の文書化にはIT全般統制の文書化が含まれ、業務処理レベル統制の文書化にはITアプリケーション統制の文書化も含まれます。

ただし、最後に監査人から、これは少し問題があるのではないか、内部統制上不備といえるのではないかという話があっても、その場ですぐに対応するのは困難です。したがって、例えば全社レベル統制はこのように行い、業務処理統制はこのような方法でこのように文書化しますが、それでいいでしょうかというような確認をとりつつ文書化を進めていくということが、極めて大切です。

Copyright© 2014 会社法と内部統制 All Rights Reserved.