‘日本版SOX’
業務処理統制の文書化については、具体的にどのような書類を作成するのですか?
Q.業務処理統制の文書化については、具体的にどのような書類を作成するのですか?
A.日本版SOX法への対応のうち、業務処理統制の文書化については、3種類の表を作成するのが一般的です。アメリカにおいても現実に実施されていることですが、業務フローチャートを作成した後に、業務処理記述書、リスクコントロールマトリックスを作成します。
1.業務フローチャート
例えば、売上げの計上サイクルについて、次のような流れがあるとします。受発注や出荷の後、得意先から確かに商品を受領しましたという受領書が営業部門に届きます。営業部門担当者は、出荷内容を確認し、出荷実績を入力し、入力結果は財務会計システムへ流れます。その後、販売実績表が出ますので、その内容を確認します。確認後、責任者に回付します。それを責任者が承認します。
このフローチャートのみであれば何をしているのかがはっきりしません。出荷内容を確認するということについても、何を確認するのかがこの簡単なフローチャートのみでは不明瞭ですので、二番目に下記2の業務処理記述書を作成します。
なお、リスクを特定することが業務フローチャートを作成する大きな目的の一つですので、行っている業務の内容について取引の開始から帳簿に計上するまでをフローの形にし、そのうちのどこに財務報告が誤るリスクがあるのかを特定する必要があります。例えば、その特定したところが出荷実績を入力するところであれば、そこに印を付けることによってそのリスクを認識します。
2.業務処理記述書
上記1の「出荷内容を確認」するということについて、具体的に述べます。「営業部門の担当者は得意先から受領書が送られてくると、販売単価、出荷数量、納入日等につき、出荷指示書に記されている内容と照合している」ということを記載していきます。すなわち、だれが、いつ、どこで、何をしているのかということを業務処理記述書に記載していくのです。
また、上記1の出荷実績を入力するということについて、「営業部門の担当者は得意先から送られてきた受領書の内容を基に財務会計システムに単価、売上数量、売り先、出荷日といった情報を入力している」と業務処理記述書に記載されているとします。すると、ここで誤りがあれば財務報告が誤ってしまいます。例えば、1個100円を誤って1,000円と入力してしまった場合や、10個を100個と入力してしまった場合には、売上金額は10倍になってしまいます。したがって、上記1で述べたように、財務報告が誤るリスクはこの入力するところにあると考えるのです。
そこにリスクがあると特定し、それに対するコントロールとして、「営業部門の担当者は月次の締めを行う際に、財務会計システムから出荷実績表を出力し、受領書の内容と全て一致していることを確認している」とし、そのように業務処理記述書に記載されているとします。その場合、このコントロールが上記1のその内容を確認するということの詳細に該当します。
業務処理記述書の表のうち、このようなコントロールを記した欄の右にRCMという項目の欄があり、上記のコントロールを記した欄の右横には(A)と記載されているとします。このRCMというのは、下記3のリスクコントロールマトリックスのことです。
リスクコントロールマトリックス(以下「RCM」といいます)というのは、各業務プロセスにおける統制上の要点、リスク、統制活動の整備状況を記載した表のことです。
売上金額が正確に計上されない可能性があるということがリスクであり、そのリスクに対してAというコントロールを行っているとします。これが、上記2の業務処理記述書のRCMという項目の欄に記された番号(A)に該当します。このリスクに対しては、受領書の内容と一致していることを確認するというコントロールを行っているというになります。したがって、全体としてこのリスクが軽減されているか否かにつき、RCMで整備状況の評価を行います。
いくつかのリスクが存在し、リスクに対するコントロールもいくつもあります。複数のリスクを軽減しているコントロールも存在します。ここではリスク一つだけを特定しましたが、そのほかにいくつもリスクはあり得ます。リスクに対してどのようなコントロールが行われているのか、そのコントロールによってリスクが軽減されているか否かを評価するのが、整備状況の評価に該当し、RCMを作成して行います。日本版SOX法におけるRCMの位置付けは、極めて高いといえます。RCMにおいて、リスクに対するコントロールの関係がまとめられることになります。
RCMに記載する大項目の具体例として、リスク、番号、コントロール、アサーション、コントロールのタイプ、評価結果、コメントが挙げられます。そして、これらのうちで、アサーションには実在性、完全性、評価、期間帰属、権利と義務、表示と開示という小項目が、コントロールのタイプには手作業、自動化、防止的統制、発見的統制、実施頻度、実施者、確認書類という小項目が挙げられます。
アサーションについては、仮に、貸借対照表に預金が1,000円計上されているとします。貸借対照表の預金勘定に計上されているのは普通預金1,000円に間違いないと、経営者が主張(アサート)するには、次のアサーションを満たす必要があります。
実在又は発生:普通預金勘定に計上されている預金1,000円は、期末日現在、実際に銀行に預けられている。
完全性:普通預金残高1,000円は、漏れなく貸借対照表に記録されている。
権利と義務:期末日現在において、会社は普通預金1,000円の所有権を有している。
評価:普通預金残高1,000円は、一般に公正妥当と認められる会計基準に従って適正な金額で記録されていて、外国為替相場の変動を含め評価に影響を与えるあらゆる事象が考慮されている。
表示と開示:普通預金残高1,000円は、貸借対照表上適正に分類され、表示と開示がなされている。
上記のような要件を全て満たすことで、初めて貸借対照表に記載されている1,000円は正しいといえるのではないかということです。アサーションが全て満たされるような、きちんとリスクが軽減されるようなコントロールが、RCMに記されているかが、整備状況の評価となります。
日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?
Q.日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?
A.内部統制の見直しについては、ITシステムの更新時に旧システムで行っていることをそのまま新システムでも行おうとしても、システム変更が期待したほどの業務改善につながりません。また、戦略的業務改善活動(以下「BPR」といいます。組織間の垣根をなくして全社的に最適な業務処理を構築していこうという活動のことです)は、業務効率アップ等につながる魅力的な活動であるものの、効果が測定しにくいことや費用が不明であること等から導入に踏み切れなかったりした会社が多かったことと思われます。
しかし、金融商品取引法と新会社法において、内部統制の全般的な見直しをしなければならなくなりました。法が規定することであるため、必ず行わなければならないことから、この機会に業務活動の改善もしたい、内部統制の四つの目的のうち業務の有効性、効率性も高めたいと考える場合も少なくないのではないでしょうか。ただし、この場合は費用の壁が立ちふさがる可能性があります。やるべきことはBPRと類似していますので、費用はもちろんかかってきます。財務報告の信頼性のみを文書化する場合には例えば3,000万円かかるとすると、2~3倍かかってしまうかもしれません。
そこで、対応策の一つを述べます。あくまでも、「財務報告の信頼性」の確保を目標とします。ただ、文書化作業の過程で他の目的に関係するリスクを発見できることがありますが、会社がそのようなリスクにつきコントロールがなされていないと不備を認識したなら、その情報を通常の財務報告プロジェクトとは違ったルートで吸い上げ、リスク管理部門に報告を行います。リスク管理部門においては、その報告されたリスクに対して優先順位を付け、アクションプランの検討を行います。このような二本立ての対応なら、十分に実現できるのではないかと考えます。
例えば、請求書の発行を漏らすというのは、財務報告に関係するリスクとはいえません。厳密にいえば資産保全に関係しますので、文書化の対象にはなると思われます。しかし、仮に財務報告の信頼性に関係するリスクに限って述べると、請求書を発行してもしなくても、これは会計取引には該当しませんので仕訳を切らないことから、財務報告の数字に影響が及びません。ただし、請求書を発行しなければお金が入ってきませんので、資金繰りに困ります。これは、ビジネスとしては多大な損失となるでしょう。このようなリスクを、財務報告に関係するリスクではないことを理由に放置しておくか、リスクと考えてアクションプランを検討して企業として対応していくかでは、大きな差が生じるのではないでしょうか。
上記のような対応が実際に極めて有効であると思われますが、作業者の内部統制についての知識や経験が不可欠であるということが、問題となります。リスクをリスクとして作業者がとらえることができるか、スルーしてしまうかによって、この活動の有効性に大きな差異が生じてしまうでしょう。
日本版SOX法における文書化活動の進め方について、具体的に教えてください。
Q.日本版SOX法における文書化活動の進め方について、具体的に教えてください。
A.次のような流れで文書化作業が展開されていくのが一般的であると思われます。
プロジェクト編成・企画
↓
全社的な内部統制の評価
↓
文書化の対応方針の決定
↓
パイロット文書化
↓
文書化作業の全社展開
↓
運用状況の評価
↓
不備への対応・欠陥の是正
上記のような流れについては、次の三つのポイントが存在します。
一番目に、日本版SOX法への対応は、トップマネジメントのリーダーシップを要する全社的なプロジェクトといえます。社員の協力が得られなければ成功しません。現場に赴いてテストやインタビューを行う作業が多いことから、現場が忙しいので来ないでほしいといわれたら、スケジュールが滞ってしまいます。このような意味で、トップマネジメントのリーダーシップは、プロジェクトを遂行する上で、極めて大切です。
二番目に、監査人との意見交換や調整が重要です。文書化作業を終えてから監査人にだめだといわれるという最悪の事態を避けるためには、要所ごとに監査人と確認作業を行う必要があります。
三番目に、外部コンサルタントが必要であるといえるでしょう。文書化作業に関して、ガイダンスやセミナーで詳細な説明をしても、最初からきちんとしたものを作成することは困難です。外部コンサルタントは通常パイロット文書化をします。この文書化の見本をまねて、以後の文書化作業を全社展開していきます。この見本のないまま文書を作成することは、非常に難しいと思われます。また、パイロット文書の質によって、あらゆる作業の質に影響が生じることになります。したがって、外部の専門家に依頼して、その方法を学ぶというアプローチが合理的であると考えます。費用面を考えると、全てを外部コンサルタントに依存するよりも、外部に依存する部分と自力でできる部分を見極めるといいと思われます。少なくともパイロット文書化は、外部に依頼するのが効果的で効率的ではないでしょうか。
上記のような流れで文書化作業が展開されていくことになりますが、各準備事項にどの程度の期間を要するのかについて具体例を述べます。なお、期間をクォーターごとに区切ります。
プロジェクト編成・企画:直前々事業年度の1Qに着手・完成
全社的な内部統制の評価:直前々事業年度の1Qに着手、同事業年度の2Qに完成
文書化の対応方針の決定:直前々事業年度の1Qに着手、同事業年度の2Qに完成
パイロット文書化:直前々事業年度の3Qに実施
文書化作業の全社展開(整備状況の評価):直前々事業年度の3Qに着手、同事業年度の4Qと直前事業年度の1Qに実施
運用状況の評価(セルフ アセスメント・テスティング):直前事業年度の1Qと同事業年度の2Qに実
施
不備への対応・欠陥の是正:直前事業年度の1Qから3Qまでに対応、同事業年度の4Qに完成
上記準備時事項のうちで最も時間を要すると思われるのは、「文書化作業の全社展開」です。上記のスケジュールでは、全てが終了するまでに2年間を要するということになります。2年間というのは長いように感じられるかもしれませんが、日常業務をしている中では現場に対するインタビューもスムーズな進行は困難であるのが一般的です。どうにかして都合をつけてもらうことができてインタビューをしても、後に文書にまとめようとした際に不明確なところが多く見つかるものです。インタビューをした相手に対して、メールでそのようなところについて確認したり、場合によっては再びインタビューをお願いしたりするのが実情ですので、2年間というのは実際には長いとはいえないでしょう。想定以上に時間を要してしまう可能性もありますので、文書化を始めるのは、なるべく早い時期にした方がいいと思われます。
内部統制に関わる人々とその役割について教えてください。
組織内のあらゆる人々を何らかの形で関わらせ、各人が役割や責任を果たしていくことが、内部統制を構築していく上で重要になります。内部統制に関わりを持つことになるのは、経営者、取締役会、監査役か監査役会、内部監査人、組織内におけるその他の人々ですが、以下に、各々の役割や責任につき、簡単に述べます。
1.経営者
経営者には、組織のあらゆる活動につき最終的な責任がありますので、取締役会が決めた基本方針を基に内部統制を整備・運用する役割や責任を負っています。すなわち、日本版SOX法への対応については、第一に経営者が高い意識を有し、先頭に立って行う必要があります。
2.取締役会
取締役会は、内部統制の整備・運用に係る基本方針を決めます。また、経営者の職務執行に関する監査機関ですので、経営者の内部統制の整備・運用についても監督責任を負っています。適切に取締役会が機能しているか否かは、全社的な内部統制に重要な影響を及ぼすほか、業務プロセスに係る内部統制における統制環境の評価に関係してきます。
3.監査役又は監査委員会
監査役か監査委員会は、取締役や執行役の職務の執行に対する監査を行いますので、内部統制の整備・運用状況を独立した立場から監視・検証する役割や責任を負っています。その一方で、内部統制の監査では、監査役や監査委員会の活動を含む経営レベルにおける内部統制の整備・運用状況を、モニタリングや統制環境等の一部として考慮します。
4.内部監査人
内部監査人には、より効果的に内部統制の目的を果たすため、内部統制の基本的要素の一つとされるモニタリングの一環として、内部統制の整備・運用状況を検討・評価し、必要であればその改善を促す職務があります。内部統制の独立的評価において重要な役割を持つことになるため、経営者の直属とされる場合が多いといえます。
5.組織内におけるその他の人々
組織内のその他の人々は、日常業務の中で、組織内における情報と伝達、日常的モニタリング、統制活動等に関わる活動を遂行していて、自身の権限や責任の範囲内で、有効な内部統制の整備・運用につき一定の役割や責任を負っています。
Newer Entries »
