基本計画ステージの次は、全社展開する前に一部の事業や部門、プロセスを対象に「文書化」を実施するパイロット実施ステージに移る。今回は、文書化作業の全体像を整理してから、文書の種類や実施する作業の概要について解説する。
IBM ビジネスコンサルティング サービス
【1】作成する文書とは?
基本計画ステージが終了したら、いよいよ文書化作業に入ります(図12)。文書化作業とは自社が有しているリスクおよびプロセスを可視化する資料を作成することです。SOX法では経営者のみならず、外部監査人も財務報告に関する内部統制の整備状況を監査します。整備状況がどのような状態にあるのかを監査するには、なんらかの証拠が必要です。プロセスは活動ですから、活動を観察した結果を記録したものが証拠として必要になるのです。SOX法への対応プロジェクトというと、この証拠としての文書を作成することが大きくクローズアップされます。
 |
図12●文書化の全体像 [画像のクリックで拡大表示] |
それでは、どのような文書を証拠として用意しておけばいいのかというと、現在日本の法令では具体的には示されておりません。先行した米国の事情は次のようになっています。SOX法に対応するための文書とは、内部統制の実態を説明できる体系的な資料とその有効性を検証したことを証明できる資料です。PCAOB(公開企業会計監視委員会)では、次のように記されています。
(ア)統制環境や全社レベルのコントロールを含むすべての重要な内部統制の整備状況。
(イ)重要な取引の発生、承認、記録、処理、報告に関する情報。
(ウ)業務フローに関して、エラーや不正が生じる可能性のあるポイントを識別するための十分な情報。
(エ)職務分掌やコントロール担当者など、不正を防止するためのコントロールの整備内容。
(オ)期末の財務報告プロセスに関するコントロール。
(カ)資産保全に関するコントロール。
(キ)テストと評価の結果。
これらの七項目も、具体的な様式が示されているわけではありませんでした。そこで多くの会社が試行錯誤しながら、これらの要件を包含するものとして、慣習的に出来上がってきたのが図13で示すような文書です。
 |
図13●パイロット実施ステージのタスク [画像のクリックで拡大表示] |
(1)全社統制(統制チェックリスト)
(2)IT全般統制(統制チェックリスト、プロセス・フローチャート、業務記述書、リスク・コントロール・マトリクス)
(3)業務処理統制(プロセス・フローチャート、業務記述書、リスク・コントロール・マトリクス)
これらは事例から観察すると、業種、会社、担当する監査人によって種類や様式、詳細度が異なるようです。具体的には、担当監査法人から助言を得て会社が決定していくことになります。
この中でもっとも作業負担が大きいのが、業務処理統制の文書化です。後述する全般統制の評価から文書化する範囲をある程度限定できたとしても、多くの部署で文書を書かねばならなくなるのは間違いありません。
この作業は、日本版SOX法対応プロジェクトの初年度特有の作業です。二年目以降はプロセスの変更があったところだけ修正していくので、一度に全部作るのは最初だけです。それでもできるだけ現業部門への負担を最小化しないといけません。
ここで作成する文書は、外部監査人、内部監査人、監査役、経営者層、部門責任者などが閲覧評価する資料です。したがって、一定のグループレベルでの標準的な様式で作成されていることが望ましいです。例えば、監査人がA部門とB部門で様式も詳細度も全く異なる資料を提示されては、判断するのが難しいでしょう。担当業務部門とは独立の内部監査部門や監査役にとっても同じですし、経営者も提出される部門ごと会社ごとに異なっていては有効性を合理的に検証できないと思います。したがって、文書に関して、実際の事例などを勘案するとおおむね次のようになります。
(1)全社で一定の様式があれば別ですが、各部門に非公式的に作られた業務フローや業務マニュアルで完全に流用することは困難です。要するに内部統制のために別個に作成しているケースがほとんどです。ただし、一定様式上のドキュメントにリファレンスを振るという形で、従来の業務マニュアルなどは生かされます。すなわち、内部統制の文書は個々の業務のための詳細なマニュアルを作成するのが目的ではありません。
例えば、「ある作業中に、ミスの防止の観点から業務マニュアルを備え置いて参照すること」、あるいは「業務マニュアルを最新状態に保ち、引き継ぎ時にはそれを元に新任担当者に説明すること」が内部統制上必要なプロセスだったとします。そのときに内部統制文書で必要なことは、そのプロセスとそれに関連するリスクが記述され、そのような状態のマニュアルが実存することであって、当該マニュアルまで標準形式で作成することは要求されません。
(2)システム開発や、ほかのプロジェクトで作成された文書があっても代替可能ではありません。なぜなら、それぞれのプロジェクトはプロジェクト目的適合性の観点から任意・自由形式で作成されているのが普通だからです。また、問題のある個所にフォーカスして作成したりします。システム開発では、新しい業務フローは、全体的に作成しますが、現行の業務フローは課題点だけに特化することもあるからです。もちろん、プロセスを分析する資料としては使えます。
(3)内部統制における文書は、AS-IS(現状)を記録します。得てしてAS-IS(現状)は悪でTO-BE(将来像)が善という意識を持たれがちですが、内部統制の文書は証拠でありモニタリング対象です。現実と異なる理想像を記録しても、現実にそうなっていなければ意味がありません。有効性を経営者が評価する段階では、現状と異なるTO-BE(将来像)に変更することが明らかで、かつ実現可能であれば、予定としての記録でも構いません。ただし、それはあくまで評価時点になったときにAS-IS(現状)となっていないといけないのです。
また、現状ではばらばらなのが明らかであり、評価時点までに標準化するのが目標として存在するのであれば、一度記録したAS-IS(現状)が更新されることになり、できれば無駄を避けたいところです。その場合には、プロセスの標準化を待って文書化すればいいことになります。しかし、繰り返しになりますが、それでも目標期限に標準化が達成できていなければ、ばらばらな状態のフロー図を一斉に短期間で記録しないといけないことになります。
文書化とは行為を記録することですから、文書化しただけでは内部統制プロジェクトを実施したことにはなりません。行為そのもの(内部統制プロセス)が要請される状態で出来上がっていることが必要です。
ただし、どこの会社でもすでに財務報告に関する内部統制プロセスは、非公式かつ文書化されていない状態かもしれませんが存在しており、かつ、ある程度のレベルは出来上がっているはずです。財務諸表監査は監査人が内部統制を評価し、そのレベルに応じて監査を実施するというアプローチをとっています。もし、内部統制ができていないと、監査人は監査手続きをかなり広げないと財務諸表の適正性を評価できなくなってしまいます。内部統制に依拠しないで監査を実施するのは、コスト的に大変なことですから、すでに適正・適法意見が出ている会社であれば、現状でもある程度の水準に達した内部統制ができていると考えていいのではないでしょうか。
また、監査においては監査人から所見などが出され、会社に改善ポイントなどを指導しますので、それらを真摯に受けとめて実施していれば、大きな問題はないでしょう。したがって、現状の内部統制を体系化し可視化(文書化)し、弱点があれば改善し、さらにその有効性を検証する新しいプロセスを導入すれば、記録対象となる内部統制プロセスという行為そのものを大改善しないとだめという可能性は薄いというのが、現実的な理解となるでしょう。
【2】パイロットの必要性
基本計画策定後に、ただちに全社展開を実施するよりも、一部の事業や部門、プロセスについてパイロットを実施したほうが効率良い文書化展開が実施できます。パイロット実施の目的は次の二つです。
(1)作成しなければならない文書の総量がどの程度あるのかを明らかにします(全体量の概算見積もり)。
(2)文書の作成を模擬実験して、所要時間の想定と自社にとって最適な作成手続きを確立します(方法論の確立)。
このパイロット目的達成のために実施することは主に以下の二つです。
(1)プロセスにどのくらいの多様性があるのかを把握するためにバラエティ・チェックリストを作成します。プロセスにはローカル・ルールが存在したり、処理方法も複数パターンが存在したりします。全社でどのくらいのパターンが存在するかを把握し、文書化すべきプロセスの大まかな概算数を把握します。
(2)三点セットといわれる文書を実際に作成し、所要時間や作成手続きを検証します。三点セットとはプロセス・フローチャート、業務記述書、リスク・コントロール・マトリクス(RCM)の三つを指します(実際にはプロセス・フローチャートと業務記述書が同一の文書になり、RCMと合わせて二点の場合もあるが、ここでは三つの点を記述するという意味で三点セットと呼ぶ)。
これらの元になる資料が存在しなかったり、複数部門にまたがった処理が実施されたりしている場合などは、思ったよりも作成に時間がかかるものです。パイロットで模擬的にどの程度の時間がかかるかを測定することで、全社展開の際のワークロードを推測できます。また文書を実際に作成することで自社に合うツールも最終決定することができます。
パイロット実施の効果は全社展開時のリソースが把握できること、実際の文書を作成することにより、自社に適した方法を確立し手戻りを防げることにあるのです(図14)。
 |
図14●パイロットテストの意義 [画像のクリックで拡大表示] |
(次回へ)
|
