3点セットの後に何をすればよいのかが分からない：SOX法コンサルタントの憂い（8）（1/3 ページ）

日本版SOX法対策で必要といわれている「3点セット：業務フロー図、RCM（リスク・コントロール・マトリックス）、業務記述書」の整備は完了したものの、その後何をすればよいのかが分からない、という企業は多い。今回は、その後に控える「有効性の評価」の具体的な方法について説明する。

いま起こっている問題を考える

　現在多くの会社で、「3点セットは完了した。しかし、この先どう進めたらいいのか分からない」という声を聞く。

　内部統制は整備したが、その「有効性の評価」の方法が分からないというのである。

　具体的には、統制（コントロール）の設定の仕方が複雑で、そのままの形では評価できないケースが多い。そういう場合は、コントロールに戻って、その設定の仕方を「評価可能な」形に修正することが必要である。

　例えば、稟議書（りんぎしょ）の法務面での審査を法務部長がすることになっているケースで見ると、コントロールの記述が「法務部長は、当該稟議書を法律面や社内の規則に照らし慎重に精査し、その妥当性を審査する」となっている場合である。なんの基準で妥当といえるか、評価担当者には極めて分かりづらく、「評価が難しい」ということになるのだ。

　一般的に内部統制の評価は、評価者によって判断が「○」となったり「×」となったりするような基準では不適当だ。誰が評価しても評価結果が一定でなければ、客観性のある評価といえず、「当該コントロールは評価可能」といえない。芸術の世界ではないのである。

評価を意識したコントロールとは

　従って、RCM（リスク・コントロール・マトリクス）を作る段階で、すでにその「後工程」である「有効性の評価」を意識して作業をすることが重要だ。

　さもないと、評価の段階で手戻りが生じ、作業の効率が悪くなるばかりでなく、評価不能であるコントロールを前にして、内部監査室などの評価担当者が立ちすくんでしまうことになりかねない。

　先の法務部長の例でいえば、当該コントロールを評価可能な形にするには、例えば「法務部長は、当該稟議書を決裁者に回付する前に、法令や社内の規則を逸脱していないか精査し、逸脱がないと判断した案件には、審査済み欄に日付を記入し押印する」と変更すればよい。日付と印があれば「逸脱がない」と判断したことが推定できるので、評価者は、審査印の有無を見るだけで、このコントロールのサンプルの適否を判断できる。

　もっとも、法務部長は、法令などの逸脱だけを見ているわけではなく、もっと広く「会社の利益にならない条項とか表現」などを指摘し、相談に応じ修正文を提案、あるいは指示したりするのであるが、これら実務的やりとりを、すべてコントロールに盛り込んだら、それも評価不能になる可能性がある。

　こういったものも、もしコントロールの対象とするのなら、外的に判断できる形、例えば、「契約を締結しようとする場合は、締結前に契約書文案を法務部長に回付し、その意見を書いたサイン入りのメモランダムを受領する」とすれば、サインを付したメモがあれば○となる。

　このように、RCMを完成させる前に「それらコントロールは評価可能か」をチェックしておくことが必要なのだ。

コントロールの有効性の評価と補完的コントロール

　さて、コントロールの表現が評価可能になったら、次の工程は「有効性の評価」である。

　実施基準によれば、「重要な欠陥が発見された場合でも、それが報告書における評価時点（期末日）までに是正されていれば、内部統制は有効」とされているから、是正を考慮し、評価はできるだけ早く進めることが必要である。通常、1回の評価で有効となることは少なく、多くの場合は是正を必要とする。

　是正は簡単なことではない。ISOの評価のように「規定を差し替えれば済む」というようなことではなく、エラーの多い内部統制を実務担当者に徹底させるか、それとも、内部統制の内容を変更したり追加設定したりする必要がある。

　すなわち、是正とは「業務プロセスの一部を変更する」ことにもなるのである。それには、相当な準備と物理的な時間を要する。難しいケースだと、「作業を2人で分担し、相互けん制させる」必要があるような場合は、人員を増員しなければならないのである。

　例えば、受注の細かいチェックの例（「受注伝票は、営業所長が確認印を押す」とかのケース）で、エラーが出たとする。

　この場合、所長はしょっちゅう出張していて留守が多く、「エラーを完全に直すのは無理」である場合が多い。こういうケースのときに使う手は、補完的なコントロールだ。例えば、エラーが出たコントロールはそのままにしておき、「1件が1000万円以上の受注の場合には、営業部長の承認印を得る」といったコントロールを、エラーの出たコントロールの上にかぶせるのである。これにより、「リスクの多い大きな案件はカバーできている」ことを主張することが可能になる。