内部統制報告制度が適用され、J-SOXの運用を始めてから、3点セットの変更管理方法や文書化のルールが見直されていないケースが見受けられます。その場合、3点セットが実態と乖離していることがあります。3点セットの内容が不十分な場合、内部統制統制評価にも影響を及ぼし、監査法人から指摘を受けることにもなりかねません。現行の3点セットを見直し、形骸化を脱することで、J-SOX評価の効率化も期待できます。
今回の記事では、3点セットの見直しを効率的に行うための手順や、各文書の見直しポイントをご紹介いたします。
目次
3点セットの見直し手順
例年決まったJ-SOX対応のスケジュールの中、限られた期間で3点セットの見直しを迫られることが多いと思います。確実かつ効率的に進めるためには、下記の手順で進めることをお勧めします。
StepⅠ:3点セット作成方法の検討
3点セット作成でツールを利用している場合、その必要性を検討することから始めます。一部の機能しか利用していない場合、Excelフォーマットに移行する会社様も増えています。現行のプロセス数やツールの利用状況を踏まえ、3点セット作成ツールの要否を検討します。
StepⅡ:業務記述書・業務フロー図の見直し
まずは業務記述書から見直しを行います。文書ボリュームの増加やフローの複雑化を改善し、フロー図を更新します。これにより変更管理の工数が削減され、業務の効率化にも繋がります。
StepⅢ:リスクコントロールマトリクス(RCM)の見直し
フローの変更点のみに着目し、リスクの見直しが見過ごされがちです。識別するリスクを必要最低限にし、適切にキーコントロールを設定することで、RCMがシンプルなものになり、内部統制評価の効率化にも繋がります。
スムーズに見直しを進めるためには、下記2点の確認がポイントになります。
①プロセスごとに関連する部署を整理
部署間の連携や外部委託等、関連する部署が変化していることがあります。手戻りの発生を防ぐためにも、整理しながら進めることが大切です。
②対象業務のマニュアル・手順書の確認
システム導入や業務フローに大きな変更がある場合は、更新されている可能性があります。
Excelフォーマットの記載項目やリスク・コントロールの識別は、監査法人との協議が必要となるため、前年度のJ-SOX評価が完了した後、なるべく早い段階から見直しに着手することをお勧めします。
Excelフォーマットへの移行のメリットと検討事項
次に、どのような点に着目して見直しを行うか、目次1で挙げたStepごとにポイントをご紹介いたします。
まずは、3点セット作成方法の検討です。3点セットを見直すにあたり、まずは作成方法を検討します。日々のJ-SOX対応業務を効率化するため、3点セット作成ツールを使用している会社様もいらっしゃると思います。文書間の整合性や文書管理が容易になる、テンプレートを使用して効率的に作成することができる、といったメリットがあります。一方、ツールの必要性に疑問を感じ、Excelフォーマットに移行する会社様も増えています。特に下記のケースに該当する場合は、移行することをお勧めします。
・対象プロセスが少なく、管理する手間がかからない場合
・フローの変更頻度が低く、ツール利用が少ない場合
・すでにツールから出力したExcelファイルで変更管理を行っている場合
Excelフォーマットには、①ツール管理費の削減:システム会社に支払っていた費用を削減できる、②独自フォーマットの作成:自社で管理・運用しやすい独自のフォーマットを作成することができる、③容易な操作性:ツール操作の慣れや習得が不要で、すぐに変更や更新が可能であるといったメリットがあります。
■Excelフォーマット移行時の検討事項
①適切な書式の選択
縦型・横型・業務フローと業務記述書一体型・RCMと評価調書一体型等の中から、見やすさや管理方法等を考慮し、会社の実情に合った書式を選択することが重要です。
②ファイルの管理方法
変更管理を行うため、いつどのような変更・修正を行ったたかの記録を残すことやバージョン管理やファイル名に日付を付す等、ルールを決めることが重要です。
ツールから、Excelフォーマットを移行する際、Excelに入力する手間が発生します。しかし、その後のメリットを考え、効率化する第1歩として、検討することをお勧めします。
業務記述書・業務フローの見直しポイント
次に、StepⅡ:業務記述書・業務フロー図の見直しを説明します。変更を重ねた結果、文書のボリュームが不要に増加したり、フローが複雑化し過ぎてしまっていることがあります。また、担当者ごとに表現が異なることで、フローの流れやプロセス間の繋がりが第三者に分かりにくくなっていることがあります。以下で、陥りやすい問題点と見直しポイントをご紹介いたします。
ポイント①:文書化の粒度
担当者へのヒアリングの内容をすべて反映してしまい、記載粒度が細かくなることがあります。文書のボリュームが増加した結果、評価ポイントが不明確になり、作成した担当者しか理解できないといった弊害が発生することがあります。リスクとコントロールに関連した内容に絞って文書化することがポイントです。
ポイント②:多数のパターンが想定されるフローの記載方法
業務の手段や区分により複数パターンのフローが存在する場合、パターンごとに文書化することで、複雑化することがあります。複数パターンが存在する場合でも、統制活動が同一であれば、フローを集約することができます。備考等にパターンで異なる内容を記載する等の工夫により、フローをシンプルにすることができます。
ポイント③:複数の部署にまたがっている場合の記載ルール
同一の証憑や作業であっても、部署ごとで使用している名称が異なることがあります。3点セットの管理を各部署に任せることで、関連部署の担当者しか理解できない内容になることも考えられます。3点セットに記載する名称は、規程や手順書の文言に統一する等、第三者が理解できる表現にすることがポイントです。
上記のポイントを踏まえ、現行の業務記述書・業務フロー図に同様の記載がされていないか確認してみてはいかがでしょうか。必要最低限の内容にすることで、変更確認やフローの理解に係る工数を削減できます。
リスクコントロールマトリクス(RCM)の見直しポイント
最後に、StepⅢ:リスクコントロールマトリクス(RCM)の見直しポイントです。業務フローは年々変化していますが、リスクの見直しが行われていないことが見受けられます。業務変更に合わせてコントロールを増やしていった結果、キーコントロールを設定し過ぎてしまっているケースもあります。そこで、リスクとコントロールの見直しポイントをご紹介いたします。
ポイント①:リスクの見直し
事業活動におけるリスクは常に変化しているため、定期的にリスクを再評価することが重要です。特に下記のケースに該当する場合は、リスクの見直しが必要です。
・新規のシステム導入:手作業からITへの移行によるリスクの変更
・業務の外部委託:外部委託先への業務依頼による社内でのリスクの変更
・事業規模の変化:事業規模が拡大または縮小することによりリスクの重要性への影響
内部統制実施基準の改訂において、不正に関するリスクの重要性が明記されました。様々な不正および違法行為の結果、発生し得る不適切な報告、資産の流用および汚職についてリスクの検討を行い、動機とプレッシャー、機会、姿勢と正当化について考慮し、リスクを評価することが重要になります。
ポイント②:適切なコントロールの設定(キーコントロールの見直し)
コントロールの設置場所のみに注目し、内容が十分に検討されていないことがあります。整備状況評価の際に、リスクに対する統制が機能しているかを検討することが必要です。また、変更・追加された業務やコントロールのみを3点セットに反映した結果、必要以上にキーコントロールが設定されていることがあります。リスクに対する統制の関係を十分に考慮し、キーコントロールを設定することが重要です。
リスクの見直しには現場担当者の意見も踏まえ、リスクの重要性を十分に検討するべきです。キーコントロールについては、監査法人独自の考え方が採用されることもあるため、監査法人と協議・確認を行うことも必要です。
3点セット見直しにあたっての留意事項
3点セットは、業務プロセスを可視化し、リスクとコントロールを把握する重要な役割を担っています。変更管理を疎かにした結果、業務の実態から乖離し、リスク管理や統制評価が不十分となり、結果として、業務プロセス統制が形骸化してしまいます。そこで、3点セット運用管理のポイントをご紹介いたします。
①定期的なヒアリングの実施
整備状況評価にあたり各部署に対する3点セットの変更確認の方法は会社様により様々です。実態からの乖離を防ぐには、定期的にヒアリングを実施することが有効です。しかし、プロセス数または関連する部署数が多い場合は、すべて対面でヒアリングすることは、リソースの問題で難しいことも考えられます。例年業務に変更がないプロセスについては、変更確認をメールで実施する等、プロセス単位でヒアリングの要否を検討することがポイントです。
②担当者のJ-SOXへの理解の促進
人事異動等で各部署の担当者が変わることも考えられます。初めてJ-SOX対応を行う場合は、3点セットの変更確認が十分にできなかったり、証憑等の準備が難しくなる場合もあります。その点を解消するために、整備状況評価のヒアリングの際、J-SOXの研修を実施することが有効です。J-SOXへの理解が深まり、役割を認識したうえで、円滑に変更確認や証憑収集、質問事項への対応ができるようになります。
各Stepのポイントを参考に3点セットを見直すことで、形骸化している部分が解消され、適切にリスクとコントロールを設定することが可能になります。また、各文書を必要最低限の内容にすることで、J-SOX評価の効率化にも繋がります。再び形骸化しないためには、上記のポイントを踏まえた運用管理等の仕組みづくりが重要です。
まとめ
■3点セット見直し手順
・StepⅠからStepⅢの順で見直しすることで効率的に進めることができる。
・見直しの際のポイントは、①各プロセスごとに関連する部署の整理と、②対象業務のマニュアル・手順書の確認。
・評価作業の手戻りを防ぐためにも、なるべく早い段階から着手する。
StepⅠ:3点セット作成方法の検討
・プロセス数やツールの利用状況を踏まえ、3点セット作成ツールの要否を検討する。
・Excelフォーマットには、①ツール管理費の削減、②独自フォーマットの作成、③容易な操作性のメリットがある。
・移行時は、①適切な書式の選択、②ファイルの管理方法を検討する。
StepⅡ:業務記述書・業務フロー図の見直し
・不要に記載粒度が細かくなることを防ぐため、リスクとコントロールに関連した内容に絞り文書化する。
・複数のパターンが想定されるフローの場合、統制活動が同一であれば、統制にいたるフローは集約する。
・複数の部署に関連する場合、規程や手順書の文言に統一する等の記載ルールを設ける。
StepⅢ:リスクコントロールマトリクス(RCM)の見直し
ポイント①:リスクの見直し
・新規のシステム導入や業務の外部委託、事業規模に変化がある場合はリスクを見直す。
・リスク評価においては不正に関するリスクも検討する。
ポイント②:適切なコントロールの設定
・リスクに対する統制として機能しているかという点も検討する。
・リスクに対して他の統制との関係を十分に考慮し、キーコントロールを設定する。
■3点セット見直しにあたっての留意事項
①実態からの乖離を防ぐには、定期的にヒアリングを実施することが有効。
②担当者のJ-SOXへの理解を促進する研修を実施する。
