アフターJ-SOX

コラムカテゴリー：内部統制

　日本版SOX法（いわゆるJ-SOX）が施行され、上場企業は2008年4月以降の事業年度から内部統制報告書の提出が義務付けられました。

企業は業務上のプロセスで不正や誤謬が発生するリスクに対してコントロールが正しく機能しているかをテストし、それを証明しなければなりません。多くの企業ではこのテストの大変さに苦労していることと思われます。

私のまわりの企業を見る限り、日本企業の多くは現状の業務のやり方をそのまま文書化し、リスクに対して不足しているコントロール機能を付け足して対応してきたようです。

　このため、事業や部門ごとに異なる業務処理はそのままで膨大な数のコントロールが必要になり、それに比例して内部統制報告書作成のためのテストも相当工数をかけて実施せざるを得ない状況にあります。内部統制のテスト担当者はこの作業が毎年続くのかと思えば気が遠くなるに違いありません。

この内部統制テストを楽にするためにはどうすればいいのでしょうか。

答えは簡単です。
コントロールの数を減らせばいいのです。

しかし、何もしないでコントロールの数を減らすことは出来ません。

そのためには全社で業務を標準化して、まず全社でのプロセスの数を減らすのです。

J-SOXの対応当初からこれに気付いた企業は、まず業務の標準化を行なってからリスクとコントロールの洗い出しを実施しました。本来的にはそうすべきところ、ただJ-SOXに対応するために業務フローと業務記述書およびリスクコントロールマトリクス（いわゆる3点セット）のドキュメントを作成すればいいと考えた企業は前述したように、とりあえずドキュメント作りに走ってしまい後で大変な目に会うことになります。業務の標準化には相当なエネルギーと時間がかかるため、標準化の必要性はわかていてもJ-SOX対応までに間に合
わなかった企業も多くあったと考えられます。

もうひとつコントロールの数を減らす手段としては、手作業をできるだけシステム化してITによる業務処理統制をかけるようにすることです。

例えば、受注時に単価表を見て単価を受注伝票に記入しているようなところでは、単価ミスの未然防止のためのコントロール（予防的統制）と単価ミスを事後に発見するためのコントロール（発見的統制）の最低二つのコントロールが必要になります。

システムに単価マスターを持たせて受注入力時に自動的に単価がセットされるようにすることにより、単価ミス防止のためのコントロールを削減でき、マニュアルのコントロールは単価マスターの登録時のチェックのみになるといった具合です。

皆さんの会社ではアフターJ-SOXの対応状況はいかがでしょうか？

関連サービス