PR
アビームコンサルティング EBS事業部の永井孝一郎プリンシパル
アビームコンサルティング EBS事業部の永井孝一郎プリンシパル
[画像のクリックで拡大表示]

 「日本版SOX法(J-SOX)対応を始める際に、業務フロー図やRCM(リスク・コントロール・マトリックス)などを作成する文書化から手を付ける企業が多い。だが、一番最初に実施すべきなのは、全社的な内部統制の評価。最初に文書化を実施すると、ムダな作業が発生したり、文書化以降の作業の工数増加を招いたりしやすい」。

 こう訴えるのは、アビームコンサルティング EBS事業部の永井孝一郎プリンシパルだ(写真)。同氏は、5月28日に都内で開催された「実践!内部統制プロジェクト2007」(主催:日経BP社)で、「内部統制対応の勘所―転ばぬ先の杖―」と題して講演した。

 永井氏が全社的な内部統制の評価を重視するのには明確な理由がある。金融庁が公開しているJ-SOX対応の「基準」や「実施基準」によれば、全社的な内部統制の評価が有効な場合は、特定の業務プロセスに絞って業務処理統制を整備すれば済む。ところが「全社的な内部統制の評価が有効でない場合は、有効な場合よりも広い範囲の業務プロセスに対して、業務処理統制を整備しなければならなくなる」(永井氏)からだ。

 にもかかわらず、企業が全社的な内部統制の評価に先駆けて文書化を実施すると「全社的な内部統制と整合性がとれない場合が出てくる」(同)恐れがある。反対に、全社的な内部統制が有効であるにもかかわらず、必要以上に広い範囲の業務プロセスを対象に文書化を実施してしまう、といったムダが発生する可能性もある。

 そして「対象の業務プロセスが多ければ多いほど、J-SOX対応の工数が増えていく」と永井氏は説明する。文書化するだけでなく、それぞれの業務プロセスについて内部統制の整備状況や運用状況などを調査してまとめる作業が発生するからだ。J-SOX対応の作業工数を適正な範囲に収めるためにも、「全社的な内部統制の評価からスタートすることが重要」と永井氏は強調した。

 そのうえで、全社的な内部統制を評価する際には「押さえておくべきポイントがある」と永井氏は話す。金融庁の「基準」に示されている「統制環境」「リスクの評価と対応」「ITへの対応」といった内部統制の基本的要素については、Yes/Noで回答できる質問形式で実施することが一般的。その際に「質問事項に加えて、『Yesと判断できる基準の例』と『Yesといえる証拠書類の例』を用意することが重要だ」(同)。