米SOX法の実態：第2回「多くの労力を要した404条対応の難しさ」 - (page 2)

　企業は一般に認識されているコントロール・フレームワークを使うことが要求されているが、フレームワークの中で最も頻繁に使われているのが、証券取引委員会（SEC）や公開企業会計監視委員会（PCAOB：Public Company Accounting Oversight Board）などが推奨しているトレッドウェイ委員会組織委員会（COSO：Committee of Sponsoring Organizaiton of the Treadway Commission）のフレームワークである。

フェーズ3：文書化

　SOX法対応プロジェクトで作られた文書が、内部統制が導入されていることの証明となる。多くの企業で既存文書がSOX法の要件を満たしておらず、本フェーズに多くの時間を費やすことなる。全米に3000店舗を抱える大手「1ドルショップ」の内部監査部長は、「（業務プロセスの）文書化には1年以上の時間を費やした。SOX法対応作業のほとんどが内部統制の文書化であった。誰も自分たちがやっている仕事を理解しているが、それを文書にすることが困難であった」とその経験を語る。内部統制の文書化は次のようなステップで行うことができる。また、内部統制の文書化には、リスクコントロールマトリックス表がしばしば使われる。

1. 文書化対象範囲の限定
2. 業務プロセスの文書化
3. コントロール（統制）方法の文書化
4. コントロール（統制）方法の評価

　文書化作業のために、企業はしばしば外部コンサルタントを雇う。金融機関向けの大手機器メーカーは、IT部門がそれまで統制フレームワークを持っていなかったため、外部コンサルタントを雇い、どのような統制が必要かを見極めた。しかし、外部支援を得てもIT部門には内部統制の文化が欠如していたため、この仕組みを導入、文書化、そして評価するのは困難であった。

　外部支援を仰がず、内部の非監査スタッフが内部統制を検討するには限界がある。年間収入が25億ドルにのぼる大手鉄鋼メーカーは業務プロセスの責任者がすべての文書化を行った。時間内にすべての統制に関する文書化を行うのは困難であったため、統制が必須と見られる業務プロセスに限って文書化を試みたが、プロセスの責任者は主要統制を見極めることが難しく、結局、文書化の前に内部監査スタッフから多くのガイダンスを必要とした。

フェーズ4：テスト

　財務報告に関して効果的な内部統制が導入されているかをテストするが、テスト結果が内部統制が導入されていることの証明となる。通常、テストサイクルは以下の4つに分かれる。

1. テスト対象コントロール（統制）の決定
2. テスト実施者の決定
3. テスト計画の開発と実行
4. テスト結果の評価

　このフェーズでは内部統制が必要となる勘定科目や業務プロセス、拠点に効果的な内部統制が導入されているかを実証する。テスト計画には通常以下のような項目が含まれる

• テストの対象となるコントロール（統制）
• テストの方法（質問、観察、試験、再現）
• テストの時期
• テストの説明
• 事務管理手続き（テスト実行者、レビューされるべき証拠）
• 必要な文書化
• 例外の扱い

　このテスト結果が、SOX法が要求する経営者による内部統制の有効性に関する宣誓の裏付けとなる。

　米国南部にある大手天然ガス会社は、実際の内部統制をテストする前に業務プロセスのワークスルー（リハーサル）を行った。ワークスルーにあたっては、業務プロセス並びに統制の責任者が内部統制マネージャーや内部監査スタッフのメンバーに、プロセスをひとつずつ説明した。特定のプロセスにITが使われているときは、ITマネージャーも参加した。

　ワークスルーでは、業務プロセスや統制の責任者が導入されている内部統制とそれが対象としているリスクを説明する。ワークスルーにより、同社は必要な内部統制が整っていることを確認できた。また、チームは全業務プロセスのワークスルーを行っただけでなく、業務プロセス間の相互稼動も全て確認した。ワークスルーをきちんと行った結果、実際のテストではほとんど問題が見つからなかった。

フェーズ5：評価

　テストの結果、見つかった内部統制の問題点（欠陥）を以下のようなプロセスで評価する。

1. 問題点の発見
2. 問題点の深刻度を評価
3. 誤述の可能性とインパクト分析
4. 問題点への対応策の検討
5. 問題点のサマライズ