今回は、日本版SOX法対応プロジェクトに関して、読者の方から寄せられて質問に対して、答えていくという形式を取ります。
まず、財務諸表から、重要勘定科目の選択方法についてです。
個別企業では、単独ベースで、P/L科目であれば、売上高、或いは、税引き前利益の何%を締める科目を重要勘定科目と認定します。また、B/S科目であれば、総資産の何%かを目安にします。パーセントは、その企業で設定します。
さらに、デリバティブなど簿外科目を含めます。また、財務諸表では重要な科目でなくても、リスクが発生したら大きな影響度を持つ科目も含めます。
これを連結対象会社に広げ、連結ベースでどの程度のカバー率になるかを考え、妥当なカバー率まで広げていきます。
次に、業務フローの書き方は、どのようなものが多いのかについてです。
業務のどこにリスクが潜むかを洗い出すために、業務フローを書くわけですが、その書き方もいろいろとあります。
以前に紹介したフローの書き方は、5WH1をフローに表し、フローを見ただけでリスクポイントが分かる詳細な書き方です。ここまで詳細にフローを書いているところは少ないと思います。業務処理の関連と、承認などのチェックポイントだけを書き、そこにリスクポイントを表示するやり方もあります。ほとんどがなぜか、この書き方です。
日本版SOX法対応をビジネスにしているITベンダーが見せている例がこういうやり方なので、それに合わせているのでしょうか。それとも、監査法人から指示が出ているのでしょうか。本当のところは分かりません。
ただし、その書き方では、その業務に精通しているスタッフしかリスクポイントが見えてこないのではないでしょうか。これを補うために、業務記述書を詳細に書いています。
最後に、どこまでのリスクマネジメントを考えるかということです。
日本版SOX法の実施基準が公開されていないので、どのようなリスクを扱えばよいのかは、明確に示されていません。従って、今現在、日本版SOX法対応を行っている企業は、その扱い方を先に、その企業の方針として決定しています。それが3段階あるということです。
最低限日本版SOX法に対応するのみとする企業は、財務諸表で開示するないように虚偽事項が含まれるリスクを扱います。
日本版SOX法対応を契機に、業務改革まで行う企業は、上記プラス、業務に不正が入り込むリスクを排除する業務プロセスを作り上げます。
さらに、全社的なリスクマネジメントを行う企業は、クライシスマネジメントまでも含めて対応します。
これをその企業の方針として決定して、トップダウン型のリスクマネジメントを行います。しかし、後者になればなるほど、そのコストは、膨大になっていきます。実際は、前二者のどちらかになっているのが現状ではないでしょうか。
いずれにしても、これらは、内部統制プロジェクトを実行する前に、その方針、アプローチ方法として決定しておかなければなりません。また、これは、実施企業だけで決定できるものではなく、監査法人と協議の元に決定します。
コメントする