本日、日経BizPlusに連載している「これならわかる日本版SOX法と内部統制」の第14回分が掲載されました。

http://bizplus.nikkei.co.jp/genre/zaimu/rensai/iwatani.cfm

今回は、前回の「文書化の手順 全社的内部統制編」に続き「文書化の手順 業務プロセス内部統制編」と題し、内部統制整備業務の中心となる業務プロセス内部統制の文書化作業について解説しています。

なお、日経BizPlusにおける、当連載は、今回の第14回分をもって最終回です。したがって、残り1回の連載で、業務プロセス内部統制の文書化を解説しなければならず、かなり無理のある文章になっております。概略すぎて申し訳ありません。(連載内容を事前に、もっと計画しておけと思われる方もいらっしゃると思いますが、既に当初の連載予定回数をかなり超過していた次第です)。

業務プロセス内部統制の文書化で、もっとも、厄介なのはリスク・コントロール・マトリックス(RCM)の作成です。業務記述書やフローチャートは、他の業務(システム開発や上場準備等)で作成したことがあったとしても、RCMは、内部統制業務以外で作成することがないからです。 文中の記述とも重複しますが、RCM作成のポイントは、プロセス中のリスクとコントロールが、統制目標にどのような影響を与えるかです。

実施基準案の「Ⅱ.3.(7)評価手続等の記録及び保存 ①内部統制の記録 ニ」に記載されている。

各業務プロセスにおいて重要な虚偽表示が発生するリスクとそれを低減する内部統制の内容(実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性との関係を含む。また、ITを利用した内部統制の内容を含む。)

この箇所を具現化するためには、RCMの様式が必然的に求められるし、これがなければ、「内部統制の記録」として求められる要件を満たすことができないということを、再度、ご確認ください。

なお、連載の中で触れられなかった論点や、今後の実施基準の動向等につきましては、当ブログにおいて「これならわかる日本版SOX法と内部統制 番外編」として、随時解説していきたいと思いますので、今後とも、よろしくお願いいたします。