「SOX法」に踊らされないために知っておくべき内部統制とERPの関係

内部統制活動の主要3ドキュメント

日本版SOX法への対応で重要なドキュメントには、「業務フロー」「職務分担表」「RCM（リスクコントロールマトリクス）」の3つがあります。自 社の業務の流れを「業務フロー」で表し、どの部門でどのオペレーションを行うかをはっきりあらわします。同時に部門の職務分担を表にまとめ、その原則に のっとった正しい業務フローとなっているかを再チェックします。

そして、この業務フローを基に内部統制上のリスクと課題を洗い出して「RCM」に書き出し、それらの対応方法を検討するというのが一般的なSOX法 対応アプローチとなります。これらのドキュメントは日本版SOX法施行後に内部統制報告書に含めて、年ごとに財務報告書と一緒に提出する義務があります。

多くの企業でメンテナンスされていない業務フロー

「業務フロー」と「職務分担表」はどの企業においても必要です。ERPなどの基幹業務システムを導入していれば、要求分析フェーズにおいて図1のよ うな「業務フロー」を作成しているはずであり、一般的にそこには「どの部門でどのようなオペレーションを行うか」という職務分担も記します。

図1：業務システムの要求分析で作成される業務フロー
（画像をクリックすると別ウィンドウに拡大図を表示します）

しかし、多くの会社は「業務フロー」のメンテナンスをしっかり行っておらず、実態とかけ離れているまま放置されています。そういった理由から、今回 の日本版SOX法を契機としてドキュメントを整備すると同時に、ドキュメントの記載内容を維持・メンテナンスする仕組みも作っておく必要があるのです。

そしてこれらの業務フローを内部統制という観点で見直して、そこから洗い出されるリスク・課題をまとめたものがRCMです。つまりリスクを把握し て、それらをどのように解決するかをRCMに明文化し、その規程通りに業務がなされているかどうかを内部監査するのです。