3点セットのメンテナンス体制
制度、業務、リスク、統制、証跡のつながりを実務担当者向けに整理します。
17.1 年1回更新では遅い場合がある
多くの会社では、J-SOX年度評価に合わせて年1回3点セットを更新する。しかし、重要な業務変更があった場合は、その時点で更新すべきである。例えば、次のような事象があれば、更新要否を検討する。
- 新システム導入、ERP移行、電子承認システム変更
- 組織変更、承認権限変更、担当者変更
- 新規事業開始、新商品、新収益モデル
- M&A、子会社取得、事業譲渡
- 重要な委託先変更、シェアードサービス化
- 会計方針変更、収益認識の変更
- 監査人指摘、不備発生、不正疑義
- 法令・規制・社内規程の改正
17.2 変更管理プロセスを作る
3点セットの更新漏れを防ぐには、業務変更時に内部統制担当へ通知する仕組みが必要である。法務部門が契約審査や規程改定を行う際、財務報告に影響する変更であれば、内部統制担当・経理・ITへ連携する。IT部門がシステム変更を行う際、業務プロセス統制や証跡に影響する場合は、RCM更新を検討する。
次の時系列は、重要な変更が起きたときに3点セットへ反映する順番を示しています。更新を年度末まで待つと、評価範囲、証跡、監査人協議が後追いになりやすいため重要です。上から順に、変更の発生、影響判定、文書更新、評価・是正へ進む流れを読み取ってください。
契約・組織・システム変更を通知する
法務、経理、IT、内部統制担当が、財務報告に影響する変更かを確認します。
対象範囲と統制証跡への影響を見る
評価対象会社、プロセス、勘定科目、システム、委託先、証跡保存場所への影響を整理します。
3点セットとRCMを更新し再確認する
業務記述書、業務の流れ図、RCMを更新し、整備評価・運用評価・是正状況へつなげます。
17.3 文書オーナーを明確にする
3点セットは、作成担当者が退職・異動すると更新されなくなりやすい。各プロセスに文書オーナーを設定し、内部統制部門が全体管理し、経理・法務・IT・内部監査がレビューする体制が望ましい。