2006年8月アーカイブ

6月から日本版SOX法対応に関した記事を書き始め、3ヶ月が経ちましたが、まだまだ到着点が見えません。昨年のプロジェクトマネジメントのように、長期連載になるような予感がしています。

この内容は、私の経験を披露するよりは、今現在現場で考えていること、感じていることを書いています。現在支援している企業の内部統制整備プロジェクトの状況は公表できませんが、暗中模索の状況で、現場からの報告のような感じです。

このプロジェクトの経験を次のビジネスにつなげることができるかどうかは分かりませんが、とにかく、現在は、内部統制が熱い！面白い！と感じています。

洗い出したリスクポイントに対して、どのようなコントロール（統制）が行われているかを明確にしなければなりません。

コントロールというのは、業務処理に第三者がどのようなチェックを行っているかということです。
処理を行ったスタッフが自ら判断して、次の処理へまわしている場合は、コントロールされている状態ではありません。

そのためには、まず、業務フローからどこにコントロールポイントがあるかを明確にします。

そのポイントで、上長が承認をしている場合、上長は、どのようなタイミングで、承認するに際し、何を証拠書類として使用して、何をチェックしているかということを明確にしなければなりません。またその承認が、企業が規定する権限に合致しているかどうかも明確にしなければなりません。

これは、いわば、上長のノウハウを文書化しているのと同じです。ここまで明確に業務マニュアルを作成している企業はほとんどないのではないでしょうか。

ほとんどの場合は、「○○スタッフが、××書を起草し、上長の承認を得る」というような書き方になっているのではないでしょうか。

昨日、あるソフトウェアの企画を思いつき、海外の提携先とチャットをしました。まだ詳細はお知らせできないのですが、このソフトは、まだ日本で公開されていません。英語圏で、分かっているだけで3つしか存在していません。しかもその1つは、最近販売開始されたものです。

これは、あるものに大きな付加価値をつけるソフトウェアです。開発プロジェクトが実行され、内容を公開できるようになったら、皆さんへお知らせします。今は、プロジェクトの立ち上げ段階。

今回は、日本版SOX法対応プロジェクトに関して、読者の方から寄せられて質問に対して、答えていくという形式を取ります。

まず、財務諸表から、重要勘定科目の選択方法についてです。

個別企業では、単独ベースで、P/L科目であれば、売上高、或いは、税引き前利益の何%を締める科目を重要勘定科目と認定します。また、B/S科目であれば、総資産の何%かを目安にします。パーセントは、その企業で設定します。

さらに、デリバティブなど簿外科目を含めます。また、財務諸表では重要な科目でなくても、リスクが発生したら大きな影響度を持つ科目も含めます。

これを連結対象会社に広げ、連結ベースでどの程度のカバー率になるかを考え、妥当なカバー率まで広げていきます。

RSSコンテンツ配信ASPシステムのローカライゼーションがほぼ終了しました。このままでも公開できる状態になりましたが、管理目的のためのレポートを1つ追加したいと考えています。

残りの作業は、登録申込、決済、本登録へのプロセスを自動化すること。これは、あるクレジット決済代行サービスを使用することを考えています。また、サーバーを調達しなければなりません。このシステムは、MS Windows Server 2003、MS SQL 2000が必要なので、専用サーバーを探しているのですが、Linuxと違い、非常に月額使用料が高い...初期コスト、運用コストをできるだけ抑えたいと思っています。

もうすぐ、予告編ウェブサイトを立ち上げようと考えています。

今回は、リスクマネジメントのステップ1のリスクの調査、分析について扱います。しかし、内部統制に絡むリスクをどの程度の範囲で扱うのか、という疑問をずっと抱いています。

業務に絡むリスクだけでよいのか、それとも、企業価値を損ねるようなリスクまでも取り扱うのか、果たして、クライシスマネジメントまで含めるのか？

疑問はつきません。

通常、リスクマネジメントといえば、これら両方が含まれます。しかし、ここまでリスクの範囲を大きくしたのでは、日本版SOX法の範囲を超えているのではないかと考えます。

どこまで含めるのかという問題は、企業に委ねられていると解釈します。

久しぶりに田舎へ帰っていました。実父の法事でしたが、周りの人間がどんどん高齢化。私も年を取っているからなんとも言えませんが。

実母も、もう75歳。伯父も82才。伯母が親父と同じ病気にかかって入院していることを知り、驚きました。この病気は、容態が悪化するとそれでアウト。こんな中でいると、私はまだまだ子ども扱い...親にとっては、子供はいつでも子供。それを実感しました。

みんな長生きして欲しいと願いながら、帰って来ました。この歳になると、やはり健康が一番。

先週までで、業務フローが出来上がりました。内部統制プロジェクトでは、何度も言っていますが、業務フローを書くことが目的ではありません。これは、あくまでも、次のステップの基礎資料にしかありません。

次の作業は、その業務フローを元に、リスクを洗い出すことです。

日本版SOX法では、リスクマネジメントと内部統制を一体的運用することを求めています。しかしながら、どの範囲のリスクを取り扱うのかが明確ではありません。

私だけかもしれませんが、どのような資料を読んでも、ぼやけています。未だ公表されていない実施基準で明確にされるのでしょうか？

読者の方の中で、明快な範囲を持っている方がいれば、教えてください。

リスクマネジメントを実施する手順は、以下のとおりです。
1. リスクの調査、分析（PMBOKでは、11.2 リスク識別、11.3 定性的リスク分析、11.4 定量的リスク分析）
2. リスク処理手法の検討（PMBOKでは、11.5 リスク対応計画）
3. 最適手法の決定（PMBOKでは、11.5 リスク対応計画）
4. 指導と実行（PMBOKでは、11.6 リスクの監視コントロール）
5. 統制（PMBOKでは、11.6 リスクの監視コントロール）

これから、数回にわたり、このステップを説明していきます。

最近SOX法の記事を書いているのが縁で、ある企業の内部統制プロジェクトのプロジェクト支援を行うことになりました。
このプロジェクトは、経理部長がプロジェクトマネジャーなのですが、通常業務との兼任で、何かと忙しいということで、PMOとして、プロジェクトマネジメントの支援を行います。

マネジメント支援といっても、それだけに留まるはずはないと思います...まずは、役割分担をと考えていますが。