経営者視点の内部統制 第5回 J-SOX対応プロジェクトの勘所(2) プロジェクト管理
- 事業会社
- 時事ニュース
第5回:J-SOX対応プロジェクトの勘所(2):プロジェクト管理
はじめに
J-SOX法適用
2008年4月。いよいよJ-SOXの適用年度がスタートしました。
ところで、2007年12月に監査法人トーマツが実施したJ-SOX対応の進捗に関する調査によると、東証または大証の1部・2部への上場企業の47%が、「(運用状況の)評価」段階であるのに対し、新興市場企業では、「文書化」段階が50%であり、「文書化」前の段階もまだ26%も存在するという好対照になっています。
こうした結果を見て、危機感をもった読者の方も多いのではないでしょうか。なにしろ内部統制の整備と運用の責任は経営者の責任です。とはいえ、J-SOX対応プロジェクトチームにプレッシャーをかけ、闇雲にプロジェクトを進めさせると、結局は時間と費用だけがかかる形になりかねません。
前回は、プロジェクトの初期フェーズである方針策定にフォーカスしましたが、今回はプロジェクト全般に渡り、管理上のポイントを述べていきたいと思います。
【J-SOX 対応プロジェクトの流れ】
1.全社レベルの評価と業務プロセスレベルの評価
全社レベルの内部統制の評価では、第1回で述べたCOSOフレームワークにおける内部統制の構成5要素(統制環境、リスクの評価、統制活動、情報と伝達、監視活動(モニタリング))とJ-SOXで追加された1要素(ITの活用)が対象となります。これら6要素の具体例として、実施基準では、42項目が列挙されています。
他方、業務プロセスレベルでの評価では、販売、購買、決算・財務報告など主要業務プロセスの内部統制を文書化し、評価していくことになります。
全社レベルでの内部統制の評価結果は、その後に実施される業務プロセスレベルでの内部統制の評価の範囲や、テスト手法の選択、サンプル数の決定に大きな影響を与えます。
例えば、全社レベルの内部統制が良好であると評価された場合、評価すべき重要拠点の選定は、売上げの大きい拠点順に累計していき、連結売上げベースの2/3程度が目安とされています。これに対し、全社レベルの内部統制に不備がある場合は、評価範囲の拡大などが必要になります。
冒頭で述べましたが、新興企業の多くはJ-SOX対応が非常に遅れています。それゆえ、全社レベルでの評価と業務レベルでの評価を同時並行で進めてしまう企業も多いようです。物理的には可能ですが、この過程で全社レベルでの内部統制に関する不備が見つかった場合は、それまでに実施した業務プロセスレベルの評価をやり直すことになりますので、注意が必要です。
2.文書化は誰が行うか
文書化とは、主要な業務プロセスをフローチャートなどの形で記述し、その中で財務報告に係るリスクを取り上げ、それらのリスクに対してどのようなコントロールがあるかをRCM(リスク・コントロール・マトリクス)に纏める作業です。
文書化の実施者については、2通りの考え方があるかと思います。一つは、プロジェクトチームのメンバーが文書化を実施する、そして、今一つは、現場部門のスタッフが文書化を実施し、プロジェクトチームのメンバーがサポートするという形態です。
プロジェクトチームのメンバーが文書化を実施する場合、ただでさえ工数の多いチームメンバーの負担が過大になってしまうという問題点がある一方で、チームメンバー間では、J-SOXプロジェクトの目的や方針に関する共通基盤ができているため、進捗が早くなるという利点があります。
これに対し、現場部門のスタッフが文書化を実施する場合は、前者に比べ進捗は遅いし、品質面という面でも不安定になりがちです。実際、フローチャートの書き方は人によってマチマチになるので、プロジェクトチームのサポートは少なからず必要になります。
しかしながら、J-SOX対応が継続的なものであることを考えると、初年度に苦労してでも現場部門に文書化に携わってもらいノウハウを蓄積させることが、次年度以降の効率化に寄与することになるでしょう。
3.整備状況の評価と運用状況の評価
【J-SOX対応プロジェクトの流れ】を見ると、業務プロセスレベルの評価には、内部統制の整備状況に関するものと、運用状況に関するものの2種類が存在します。
整備状況の評価では、内部統制が実際に存在しているかを確認します。フローチャートに沿って業務プロセスの始点から終点までを辿っていくため、ウォークスルーとも呼ばれますが、ここでは社員にヒアリングするだけでなく、RCM上のコントロールが実在していることを示す帳票類を入手する作業が重要になります。
これに対し、運用状況の評価は、存在している内部統制が実際に機能しているかを検証します。
例として、販売プロセスの中の、販売価格の値引き承認というコントロールを挙げてみましょう。
ここで、値引き申請書が存在し上長の承認印を貰うべきルールができているものの、実際は全く使われず、値引き承認はもっぱら口頭ベースで行われていたというケースは、整備状況は○だが、運用状況は×ということになります。
4.運用状況の評価は誰が行うか
運用状況の評価実施者は、文書化同様、プロジェクトチームのメンバー、あるいは現場部門のスタッフのいずれかとなります。評価には、独立性が求められるため、現場部門が行う場合は、別部門の人間、あるいは少なくとも当該プロセスの内部統制を担当している人以外が行う必要があります。
独立性という言葉がでましたが、評価者の重要な資質は独立性であり専門性です。独立性を確保するためには、プロジェクトチームか内部監査部門が行うことが望まれます。また、専門性という点では、評価実施者が公認内部監査人(CIA)などの資格を持っていると、外部監査人からの信頼度が高まります。
5.海外拠点の内部統制は要注意
J-SOX対応をしっかりと行っている企業でも、関連会社、中でも海外拠点の内部統制については頭を悩ましている所が多いようです。
一つは日本人の誰もが直面する語学の壁を主とする異文化コミュニケーションの問題。
そしてもう一つは、各国で固有の内部統制の法律が存在していることです。例えば、米国には本家のSOX法があり、韓国にはK-SOXと呼ばれる法律があります。また、フランスでは既に1974年から非上場企業も含めた内部統制の規制が存在しています。
こうした状況下で、現地人スタッフや監査人に内部統制の構築を任せておくと、その国の規制の枠組みで文書化や評価が行われてしまう可能性があります。
こうした事態を避けるためには、まずプロジェクト方針の翻訳、通訳をキチンと行う必要があります。そして、本社の方針を理解していて、バイリンガルの人材を登用することが何にもまして重要になります。
・・・といっても現実はなかなか難しく、結局は海外駐在員の負担が増える一方になってしまっているようです。あまりの過重負担に社員が疲弊して辞めてしまう事態もあるようなので、ここは本社のプロジェクトチームからの支援を厚くしてあげる等の対応を取る必要があるかもしれません。
以上、プロジェクト管理上の注意点を挙げてみました。
最終回も、引き続きJ-SOX対応プロジェクトの勘所を、述べさせていただきます。