- お客さまの話を聞いていると、内部統制の文書化についていったい何をどこまで書けばいいのかわからないために、不安になっている方が多いようです。自社で文書化を始めた方からよく聞くのは、リスクを挙げ始めたらきりがなくなってしまい、膨大な数になってしまったという話です。リスクの内容を切り分けないとこういうことになってしまいます。
J-SOX法対策では、すべての業務や取引を内部統制の対象にする必要はありません。法的に必要となる範囲を策定し、それらについて業務内容、業務フロー、内部統制リスクとそれに対するコントロールを整理・文書化していきます。いわゆる、ビジネスプロセスの可視化です。
J-SOX法が求めているのは、あくまでも財務諸表の正確性に影響を与えるリスクの抽出ですから、決算報告書の数字に影響を与えないリスクについては文書化する必要はありません。 
- ビジネスプロセスの文書化では、「書き方」が非常に大切です。最初に作ったビジネスプロセスの記述をもとに、大量の業務フロー図を作成することになるので、後になって「業務プロセスの記述がまずい、こういう書式ではだめ、内容が不足している」ということでは、膨大な再作業と無駄な時間が発生してしまいます。
このような事態に陥らないためには、文書作成を標準化することが必要です。まず最初に、想定されるリスクやコントロールの記述法を含む、文書のテンプレートを作ります。必要であれば外部コンサルタントなどの支援を受けるのも良いでしょう。こうしてできたテンプレートに基づいて業務担当者に文書を作成してもらい、内部統制構築の主管部門がチェックをしながら進めることで、不要なフローやリスク、コントロールまで書いてしまう無駄をなくしていくのです。米国の例からすると、それでも監査に通るまで、最低でも3~4回の書き直しが発生します。
文書化はこのように大変な作業ですが、内部統制はそれで終了するわけではありません。内部統制監査報告書は毎年提出しなければならないため、運用のチェックも毎年おこなわなければなりません。しかし内部統制を経営効果につなげるためにもこれらの作業は必要なことです。継続的な業務の見直しをおこない、業務フローの効率化とリスク・コントロールの削減を進めて、内部統制の推進自体を効率化することが重要です。
Page up
