最後のポイントは、文書に記述する業務内容やリスクの表現方法。例えば、「誤って計上するリスク」を示す場合、提供企業や対象業務によって、その表現方法は千差万別になる。
プロティビティジャパンのテンプレートでは、「売り上げの計上基準が明確に周知されていないため、売り上げ計上の是非、時期の判断を誤って売り上げ計上される」など、誤る理由を付記することがある。また、NTTデータシステムズのテンプレートでは、「債権として計上できないものが入力されるリスク」など、どう間違うのかを特定しない。一方、インフォベックのように「粗利金額、粗利益率が低い見積もり登録がされる」などと、間違い方を明記する場合もある。
例示するリスクをどのような観点で選んだかも、各社で違う。「最低限、これは見ておいたほうがいい内容をそろえた」と説明するのは日立製作所産業・流通システム事業部の角田賢紀主任技師だ。また、テクノスジャパンの窪田茂執行役員は「あえてリスクの粒度は統一しなかった」という。
こうした記述の違いは実際に見て確認するしかない。ほぼすべてのテンプレート提供会社は、購入希望者に対して内容を開示する。「お渡しするわけにはいかないが、内容はすべて開示する。長い時間をかけて細かく、じっくり見る人もいる」(プロティビティジャパンの東義弘ディレクター)。
実際に、どれくらいの細かさで業務内容やリスクを記述すればよいかという基準はない。自社の監査人に説明できるかどうかが判断の目安だ。ただし、あまりリスクを細かくとると、有効性評価のテスト時にチェック項目が多くなり、工数が増える。とはいえ、抽象的な記述ばかりで、必要なリスクが洗い出せていないと問題である。
テンプレートを使っても、最終的には自分たちが文書を作り上げ、その文書で監査人に業務を説明しなければならない。その意味では、実物を見て「分かりやすい」と感じるテンプレートが最もよいといえる。
最後に,今回取り上げた主な日本版SOX法対応の文書化テンプレートの詳細な内容をまとめた(表1)。是非ご参考にしていただきたい。
 |
| 表1●主な日本版SOX法対応の文書化テンプレート [画像のクリックで拡大表示] |
