|
|
| ビジネス情報コンサルティングのホームページでは、「経営に役立つ情報化のヒント」を、毎回、テーマを変えてお届けします。皆様のお仕事の参考にしていただければと思います。 |
内部統制構築のポイント 第5回 3点セットを作成する際のポイント。
J-SOX対応の内部統制構築においては、3つの文書を作成する必要があります。3点セットなどと呼ばれる文書で、業務フロー、業務記述書、リスクコントロールマトリクス(RCM)の3つです。この3点セットは、前回解説したとおり、J-SOXにおけるリスク分析の結果を文書としてまとめたものになります。それぞれの文書の意義については、前回の解説をご参照ください。法的に必ず作成しなければならないといったものではありませんが、J-SOX対応の内部統制構築、評価、監査の実効性を上げるためには、作成することがほぼ必須といえるものです。
今回は、この3点セットを作成する際のポイントについて、ご説明します。
●業務フロー
@後のメンテナンスのことを考えて、スペース的に余裕をもって描く。
Aまず、大きな流れをフロー化し、必要な部分(内部統制対象業務)を徐々に詳細化していく。
B各プロセスに番号を付ける。階層構造が分かる番号体系がよい。
C何人かで分担して作成する場合には、フローの描き方やプロセスの詳細度などを決めておく。
Dすでに作成された業務フローがあれば、大いに参考にする。
●業務記述書
@業務フローの1つのプロセスを、1つの業務処理として記述する。
A入力情報と出力情報を記述する。入力情報が業務処理によって出力情報に変わることが分かる記述にする。
B業務記述書には、リスクは記述しない。何を目的とした業務処理なのか、Aの入力情報・出力情報を基に記述する。
C財務報告に係る処理の内容に焦点を当てて記述する。
D経営者や監査人も見る文書であることを考慮して、業務に特化した用語は使わない。どうしても使う場合には説明を付ける。
●RCM
@リスクとコントロールの表現をあらかじめ統一しておく。リスクは損失・被害・デメリットを表す表現、コントロールはマニュアル統制では具体的な行為、IT統制では具体的なシステム機能で表現する。
Aリスクには、財務報告の信頼性への影響を基に、重要度を設定する。たとえば、A・B・Cの3段階評価として、3段階の設定基準をあらかじめ決めておく。
B1つのリスクに対するコントロールの数は、2つまで、あるいは3つまでということで、あらかじめ決めておき、有効なコントロールに絞り込む。
Cコントロールにはアサーション(統制目標)との対応を明示する。対応するアサーションの数も2つ、あるいは3つということで、あらかじめ決めておき、何のための統制かを明確にする。
Dコントロールの設定にあたっては、経済性(投資対効果)、実現可能性(当該組織の成熟度)を考慮する。