どのような作業から構成されるのか
JSOXの作業量は会社によってかなり幅があります。年間を通じた作業となることは会社の規模に関わらず共通しますが、大規模企業ではボリュームのある作業が継続されるため、専属担当者が複数名在籍しています。昨今のガバナンスの不十分さに起因した不祥事等を背景として、経済的損失、ブランド毀損リスクにも深く関連するため有効な内部統制の整備を各社創意工夫の中で検討しています。
「内部統制報告書」を作成し、監査法人から「内部統制監査報告書」を受領するためにJSOXは以下の作業により構成されます。
① 評価範囲の決定
② 業務フロー、統制の文書化
③ 内部統制の整備状況評価
④ 内部統制の運用状況評価
⑤ ロールフォワードの実施
⑥ 開示すべき重要な不備の判断
⑦「内部統制報告書」の作成と「内部統制監査報告書」の受領
JSOX導入後の主たる作業は③と④となりますが、JSOXを初めて導入する際に重要となる作業は①と②になります。
評価範囲の決定
①はJSOXの評価対象とする拠点、評価する業務プロセス等を決める作業となります。JSOX導入によるフレームワークに決定する論点となるため、監査法人との議論も重要となります。
JSOXは導入後も毎期継続して、重要と認識した統制の整備状況、運用状況を評価する必要があるため、会社として必要と考える範囲を明確化し、監査法人にも共有することが必要となります。
導入時(内部統制監査報告書を初めて受領するとき)に確定した評価範囲は、導入後に変更することは難しいため、導入時の確定作業は重要となります。ここで「適切な範囲」を超えて評価範囲を決定してしまうとJSOX対応コストが長期に渡り過大となってしまうため、「適切な範囲はどこまでか」を十分に検討することが必要です。
業務フロー、統制の文書化
評価対象の拠点、業務プロセスの範囲が決まると、次に認識した業務プロセス等の文書化を行います。いわゆる3点セットの作成です(業務記述書、リスクコントロールマトリックス、フローチャート)。
3点セット作成においても導入時(内部統制監査報告書を初めて受領するとき)に確定した内容を導入後に大きく変更することは難しいため、導入時の確定作業が重要となります。
3点セットにおいて記載されたテスト対象の統制は、原則として毎期整備状況、運用状況をテストするため、評価範囲と同様に「適切な範囲」を超えて過大に認識してしまった場合は長期にわたりJSOX対応コストが増加してしまいます。
