第3回 業務プロセスレベル統制

2008年4月にも施行される予定の日本版SOX法をテーマに解説する連載企画。今回は業務プロセス統制ついて、富士通グループのコンサルタントがご紹介いたします。

業務プロセス統制とは

業務プロセス統制では、会社レベル統制およびIT全般統制によって保証された全社共通の統制を前提として、個々の業務プロセスにおける内部統制の評価を実施します。具体的には以下の作業をおこないます。

1.スコーピング(文書化・評価対象範囲の決定)

(1) 文書化対象科目・業務の決定

連結財務諸表上の重要な開示項目(勘定科目や注記項目)を洗い出し、業務プロセスと文書化責任者を関連づけます。開示項目の選定では、外部監査人との調整をおこないながら決定します。

(2) 文書体系の決定

具体的にどのような内部統制文書を作成するかを決定します。企業や外部監査人によって異なりますが、3点セット(フローチャート、業務記述書、リスクコントロールマトリクス(注1))が一般的です。

2.文書化

(1) 文書作成

1.の決定事項に従って文書を作成します。フローチャート作成、リスクおよびコントロールの抽出、業務記述書作成という作成手順が一般的です。文書作成においては、業務部門が意識していないITによるコントロールも文書化の対象となりますので、業務部門とIT部門との連携が重要です。(業務プロセス統制におけるITコントロール(注2)は、業務部門が記述する場合もあれば、IT部門が記述する場合もあります。)

(2) 外部監査人による確認 (注：日本版SOX法においては実施が必要か未定)

作成した文書を、外部監査人のコメントを受けて修正します。外部監査人の指摘に従ってただ修正するのではなく、企業としての対応方針を検討し、整合の取れた対応をする必要があります。外部監査人のコメントを理解し適切な対応をするためには、同様の対応をおこなった経験が最も有効であるため、経験者のノウハウを最も要する作業であると言えます。

3.設計の有効性評価

2.の成果物が、実務を正確に反映しているか、コントロールは十分にリスクをカバーできているかをウォークスルーなどにより評価します。ウォークスルーでは、業務担当者が実際に使用している帳票のうつしを用いながら、業務の流れに沿っておこないます。

4.運用の有効性評価

3.の設計評価上、有効であると判定されたコントロールが、一年間に渡って有効に機能しているかを評価します。

各作業にかかる期間は(会社の規模により異なりますが)、経験的には1.と2.に4ヶ月程度、3.に2ヶ月程度、4.に4ヶ月程度が見込まれます。このすべての作業を、日本版SOX法が適用される事業年度の前年度末まで(3月決算企業であれば、2008年3月が見込まれる)までに終了させていることが望まれます。

次回は、IT全般統制について、概要をご紹介する予定です。

(注1)リスクコントロールマトリクス：

業務プロセスから抽出したリスクと対応するコントロールの一覧表

(注2)業務プロセス統制にて文書化するITコントロール：

IT全般統制を前提とした、個別システムによるITコントロール

SOX法: Sarbanes-Oxley（企業会計・財務諸表の信頼性を向上させる目的で成立したアメリカ合衆国の連邦法。法案を提出したポール・サーベンス（Paul Sarbanes）上院議員、マイケル・G・オクスリー（Michael G.Oxley）下院議員の名前から、サーベンス・オクスリー法＝略称SOX法と広く一般で言われている）

2006年5月 公開
〔富士通株式会社 コンサルティング事業本部 コンサルタント 菊池貴文〕

ジャーナル最新のテーマ

---

---