前述したように、米SOX法でもJ- SOXでも、まずはプロジェクト・チームを作って対象企業や業務を決定することから始める。
例えば対象の決め方は、J-SOXなら実施基準に「連結売上高の上位3分の2を占める企業や事業拠点」「3勘定(売上高、売掛金、棚卸資産)に加えて財務報告に影響を与えるリスクがある業務プロセス」といった例示がある。これらを参考にすればよいのだが、実際に作業すると、「企業の担当者と監査人の意識に相当のギャップがある」(アドバンテストの二井室長)。
最終的な監査において、経営者が自社の内部統制の有効性を評価し、その妥当性を公認会計士など外部監査人が監査する。この評価や監査は基本的に、3点セットをベースに行う。
3点セットでは「業務フロー図」で業務の流れを示し、「業務記述書」に個々の詳細な作業内容を明記。業務上に存在するリスクと、それに対する防止・低減策を「RCM」に列挙する。当然ながら会計など財務報告にかかわるプロセスだけでなく、IT全般統制の対象となるシステム部門の業務も対象だ。ここでは、慣れないRCMの作成が大変に思われる。しかし、米SOX法対応企業が「苦労した」と指摘するのは、「業務記述書の作成」である。
業務の作業内容を、規定集やマニュアルという形で文書化している企業は少なくない。実際、米SOX法対応企業の多くもそうだった。例えばアドバンテストは、システム部門の業務を規定するものとして、「システム管理基準書」など4種類の基準書と、基準書を補足する33種類の手順書を持っていた。基準書は品質確保の国際標準であるISO9000を取得した際に作成したものだ。だが、それらを「業務記述書」にすることはできず、3つの基準書と21の手順書を全面改訂した。
例外処理の記述も必須
理由は、「予備監査の段階で、詳細な記述が足りず、網羅性が低いと指摘されたから」(二井室長)だ。ISO9000では、やっていて当然と思われる業務プロセスや、細かな例外処理は記述から省いても問題なかった。一方でSOX法対応のための業務記述書は、経営者による評価や外部監査の“確認の基”となるもの(図3)。業務記述書の通りに統制を整備し、有効に運用しているかが見られる。日常的に行っている業務が業務記述書から抜け落ちている場合は、たとえ統制が整備されているとしても、「内部統制の整備状況に不備がある」とみなされかねない。
 |
| 図3●内部統制の有効性評価・監査は業務記述書に沿って行われる システムの開発・保守の際にアドバンテストが評価に利用した資料の例 [画像のクリックで拡大表示] |
特に忘れがちなのが「例外処理」だ。緊急時に内部統制を有効に機能させながら対処するためには、例外処理まで文書で記述しなければならない。
NTTドコモは、承認プロセスにおいて「代理人の規定がない」と指摘され、規定集を書き直した。従来の規定でも、システム変更などで「部長に承認を受ける」という項目はあった。しかし、これでは部長が不在の場合、次のプロセスに進められない。部長の承認を飛ばせば統制を運用していないことになる。そこで新しく「部長が不在の場合は、副部長が代わりに承認する」と代替措置を記述した。
