第２章　日本版ＳＯＸ法の概要－内部統制の制度化－

６．文書化実務の進め方

具体的な日本版ＳＯＸ法の進め方ですけれども、ちょっと先ほど申し上げたこととダブるんですが、まず全社的な内部統制を評価し、評価の対象とする事業拠点を選定します。それから、選定した事業拠点等について業務処理統制を評価します。事務上大変なのは業務処理統制の評価、ここの部分です。先ほどからコストが非常にかかるというお話がございますけれども、なぜコストがかかるかというと、ここの業務処理統制を評価するのに非常に工数がかかるからなのです。 　全社レベルの内部統制というのは一回やってしまえば、あとはちゃんと運用されているかをチェックして、変更がなければそれでおしまいということになりますが、業務処理統制については基本的にはその取引のタイプが違ってコントロールが異なれば、それごとに評価しなければいけないのです。だから、ここはどういうふうに取引を区分するか、プラスどのようなコントロールがあるかというのを把握するとともに、それを文書化するというのが非常に大変な作業ボリュームがあるのです。 　業務処理統制を評価した後、もしそこに不備があれば、これを直しましょうと。直さないと、財務報告が誤るリスクが十分に軽減されて正しいということが言えなくなるわけですから、何か不備があればここで是正します。で、もう間違いない、正しい状態になりましたということで報告書を書いて、その報告書の過程を会計監査人が監査をします。会計監査人がちょっとこれは弱いんじゃないですかという話があったら、次期以降改善活動を実施して、この過程をくり返していくということになります（図－７参照）。 　第１章で監査法人の対応というのが非常に重要だという話がありましたけれども、それは結局、最後の最後で監査人から、これはちょっと問題があるんじゃないか、内部統制上不備じゃないかと言われても、なかなかすぐその場では対応できないんですね。ですから、やるとしたら範囲のところから、この範囲でいいですねと。例えば全社レベル統制はこういうふうにやりますよ。業務処理統制はこういうやり方でこういうように文書化しますけれども、これでいいですか。ここまでコントロールをやっていれば－－コントロールというのはいわゆるチェックです－－チェックをやっていれば、内部統制上不備ということには当たりませんね。そういう確認をとりながら文書化を進めるというのが、非常に重要になってきます。