“発見的コントロール”で楽になろう！：SOX法コンサルタントの憂い（10）（1/3 ページ）

いよいよ日本版SOX法の本番年度が始まり、全社的内部統制の文書化や業務プロセスのリスクコントロール策定作業が終わり、テストや社内監査作業に入った企業も多いだろう。しかし、実際の“コントロールに基づくチェック作業”が予想以上に多く、「これでは現場が持たない」と感じる企業も多いのではないか。今回は、そのような企業に向けて解決策を提案する。

　皆さんから、「文書化は終わった。リスクもコントロールも設定した。けれども、こんなにコントロールが大変じゃ、現場がもたないよ」という声を最近よく聞きます。

　そうなんです。コントロールを担当している部署で、チェックしている担当者の負荷が急増していませんか？

　毎日5000枚集まってくる伝票に対して、「連番は打ってあるか」「証憑（ひょう）はあるか」「データに漏れはないか」「取引先マスタに登録されている相手先なのかどうか（もっとも、これは通常ではITコントロールですが）」「上長の承認印はあるか」などを確認しなければならないとしたら、とても大変な作業ですよね。

作業負荷を最小限にしよう！

　こういう場合に、現場での作業負荷を最小限に抑え、なおかつ、リスクを合理的な範囲内に軽減できるコントロールの方法があるのです。それが、「発見的コントロール（発見的統制）」と呼ばれるものです。

　「発見的」とは、“事後的に”という意味で、現場での処理が終わった状態で、別の担当者なり別の部門の人が入力されたデータから「大きなデータ」を抽出し、それだけをチェックする方法です。

　例えば、「大口の取引先10軒だけ」とか、「1件100万円以上のデータだけ」といった方法です。このように、抽出したデータであっても全体の金額のおおむね3分の2をカバーしていれば、実施基準の上でも“合理的だ”と主張でき、説得力もあります。そうでないとしても、少なくとも補完的なコントロールにはなります。

　このように、大口だけに絞り込むと、1日5000件の取引のうち、せいぜい10件か20件あるかないかくらいに収まるでしょう。

　超大企業なら「1件200万円以上」でもいいでしょうし、中小企業なら「1件20万円以上」という区分でもいいでしょう。要は、企業の身の丈に合った合理的なコントロールができていればいいのです。

　1日10件のチェックなら、相当厳密なチェックをしても、それほどの作業負荷にはなりませんよね。

例えば、どんなコントロールが有効なのかを教えます

　では、実際にはどのようなコントロールをすればよいのでしょうか。「受注のコントロールのケース」で見てみましょう。

　例えば、「営業管理部門の担当者が、月次で1件100万円を超える受注について、登録データから抽出・プリントアウトし、そのデータと受注伝票とを照合確認する。そして、確認印を受注伝票と抽出データに押す」といった作業です。

　ここでの重要なアサーションは「実在性」ですから、必ず抽出データをデータベースから取り出す作業からスタートして、その裏付けである紙の受注伝票を探す方向になります。これで、財務報告に大きな影響を与える誤記載をかなりの確率で防ぐことができます（なお、アサーションについては後ほど詳述）。

　従って、このような「発見的コントロール」を備えていれば、営業部門の入力担当者の段階で行われる「受注入力についてのコントロール」を、必要最小限の内容に抑えることができるのです。

　しかし、「どこまで抑えられるか」は、それぞれの企業の内部統制への熟達度によります。

　例えば、作業マニュアルも備えていない会社の場合でしたら、コントロールの設定だけで、いままでより作業負荷が大きくなるのですから、「受注入力については、入力後、受注伝票に上長の承認印をもらう」だけでもいいでしょう。業務マニュアルがあり、マニュアル通りのチェックが行われているような会社でしたら、特段の追加の負荷なしにそれらのチェックをコントロールの内容として文書化できます。

　このような「軽い」予防的コントロールで済むのは、後に大きな誤謬（ごびゅう）を見つける「発見的コントロール」が控えているからなのです。このあたりは、内部統制担当者の腕の見せどころですね。