A.日本版SOX法への対応のうち、業務処理統制の文書化については、3種類の表を作成するのが一般的です。アメリカにおいても現実に実施されていることですが、業務フローチャートを作成した後に、業務処理記述書、リスクコントロールマトリックスを作成します。
1.業務フローチャート
例えば、売上げの計上サイクルについて、次のような流れがあるとします。受発注や出荷の後、得意先から確かに商品を受領しましたという受領書が営業部門に届きます。営業部門担当者は、出荷内容を確認し、出荷実績を入力し、入力結果は財務会計システムへ流れます。その後、販売実績表が出ますので、その内容を確認します。確認後、責任者に回付します。それを責任者が承認します。
このフローチャートのみであれば何をしているのかがはっきりしません。出荷内容を確認するということについても、何を確認するのかがこの簡単なフローチャートのみでは不明瞭ですので、二番目に下記2の業務処理記述書を作成します。
なお、リスクを特定することが業務フローチャートを作成する大きな目的の一つですので、行っている業務の内容について取引の開始から帳簿に計上するまでをフローの形にし、そのうちのどこに財務報告が誤るリスクがあるのかを特定する必要があります。例えば、その特定したところが出荷実績を入力するところであれば、そこに印を付けることによってそのリスクを認識します。
2.業務処理記述書
上記1の「出荷内容を確認」するということについて、具体的に述べます。「営業部門の担当者は得意先から受領書が送られてくると、販売単価、出荷数量、納入日等につき、出荷指示書に記されている内容と照合している」ということを記載していきます。すなわち、だれが、いつ、どこで、何をしているのかということを業務処理記述書に記載していくのです。
また、上記1の出荷実績を入力するということについて、「営業部門の担当者は得意先から送られてきた受領書の内容を基に財務会計システムに単価、売上数量、売り先、出荷日といった情報を入力している」と業務処理記述書に記載されているとします。すると、ここで誤りがあれば財務報告が誤ってしまいます。例えば、1個100円を誤って1,000円と入力してしまった場合や、10個を100個と入力してしまった場合には、売上金額は10倍になってしまいます。したがって、上記1で述べたように、財務報告が誤るリスクはこの入力するところにあると考えるのです。
そこにリスクがあると特定し、それに対するコントロールとして、「営業部門の担当者は月次の締めを行う際に、財務会計システムから出荷実績表を出力し、受領書の内容と全て一致していることを確認している」とし、そのように業務処理記述書に記載されているとします。その場合、このコントロールが上記1のその内容を確認するということの詳細に該当します。
業務処理記述書の表のうち、このようなコントロールを記した欄の右にRCMという項目の欄があり、上記のコントロールを記した欄の右横には(A)と記載されているとします。このRCMというのは、下記3のリスクコントロールマトリックスのことです。
3.リスクコントロールマトリックス
リスクコントロールマトリックス(以下「RCM」といいます)というのは、各業務プロセスにおける統制上の要点、リスク、統制活動の整備状況を記載した表のことです。
売上金額が正確に計上されない可能性があるということがリスクであり、そのリスクに対してAというコントロールを行っているとします。これが、上記2の業務処理記述書のRCMという項目の欄に記された番号(A)に該当します。このリスクに対しては、受領書の内容と一致していることを確認するというコントロールを行っているというになります。したがって、全体としてこのリスクが軽減されているか否かにつき、RCMで整備状況の評価を行います。
いくつかのリスクが存在し、リスクに対するコントロールもいくつもあります。複数のリスクを軽減しているコントロールも存在します。ここではリスク一つだけを特定しましたが、そのほかにいくつもリスクはあり得ます。リスクに対してどのようなコントロールが行われているのか、そのコントロールによってリスクが軽減されているか否かを評価するのが、整備状況の評価に該当し、RCMを作成して行います。日本版SOX法におけるRCMの位置付けは、極めて高いといえます。RCMにおいて、リスクに対するコントロールの関係がまとめられることになります。
RCMに記載する大項目の具体例として、リスク、番号、コントロール、アサーション、コントロールのタイプ、評価結果、コメントが挙げられます。そして、これらのうちで、アサーションには実在性、完全性、評価、期間帰属、権利と義務、表示と開示という小項目が、コントロールのタイプには手作業、自動化、防止的統制、発見的統制、実施頻度、実施者、確認書類という小項目が挙げられます。
アサーションについては、仮に、貸借対照表に預金が1,000円計上されているとします。貸借対照表の預金勘定に計上されているのは普通預金1,000円に間違いないと、経営者が主張(アサート)するには、次のアサーションを満たす必要があります。
実在又は発生:普通預金勘定に計上されている預金1,000円は、期末日現在、実際に銀行に預けられている。
完全性:普通預金残高1,000円は、漏れなく貸借対照表に記録されている。
権利と義務:期末日現在において、会社は普通預金1,000円の所有権を有している。
評価:普通預金残高1,000円は、一般に公正妥当と認められる会計基準に従って適正な金額で記録されていて、外国為替相場の変動を含め評価に影響を与えるあらゆる事象が考慮されている。
表示と開示:普通預金残高1,000円は、貸借対照表上適正に分類され、表示と開示がなされている。
上記のような要件を全て満たすことで、初めて貸借対照表に記載されている1,000円は正しいといえるのではないかということです。アサーションが全て満たされるような、きちんとリスクが軽減されるようなコントロールが、RCMに記されているかが、整備状況の評価となります。