企业风险管理服务

2007年 7月

企业风险管理服务

J-SOX 时事通讯.

内部控制文档化实务及常见问题

从今年2月起，为了遵循日本金融厅企业会计审议会颁布的《关于财务报告相关内部控制制度的管理层评估及审计实施标准（终稿）》（即：日本SOX 法案）的要求，多数的日本企业已经开始采取了具体的应对措施。

就如3月的时事通讯所述，针对海外子公司而言，如果其为母公司重要的单位和业务单元，或拥有对财务报告有重大影响的业务，则该子公司的业务流程需要纳入评估的范围。业务流程评估活动的前半部分就是我们所说的“文档化”。根据实施标准的规定，文档化是指“针对作为评估对象的业务流程，管理层需要了解其业务开始、确认、记录、处理、报告等流程，理解从业务发生，到数据归集、记账等会计处理过程”，并且“根据需要，通过图、表等加以记录和整理”。

归纳须评估的业务流程

在实际的文档化实施过程中，即使母公司已明确指示了需要评估的业务流程，各个子公司还必须研究具体在什么单位进行业务流程的文档化。由于不同的业务流程之间实施的内部控制差异很大，因此需要分别进行文档化和评估。相反的，只存在细小的差异（业务类型等）的业务，应该归纳在统一的文档中，差异部分仅作为流程中的不同点进行处理。

来自母公司的指示

海外子公司的文档化过程，必须根据母公司的指示来实施。但是指示的详细程度则因各公司的不同而不同。

对于规模较大的或在当地上市的子公司而言，母公司可能只会要求其提供与合并报表中企业经营目标息息相关的重要科目的评估信息（实施基准中列示的一般公司的重要科目包括销售收入、应收账款和存货），具体的实施行动由当地子公司自行决定。

但是通常情况下，母公司会指定必须进行评估的业务流程（实施基准中同样列示了诸如销售流程、存货管理流程、期末盘点流程、采购流程、成本计算流程等）,而且多数母公司会提供评估专用的模版。

◆常见问题：母公司的指示滞后且（或）含糊。

◇应对策略：告知母公司海外子公司实施文档化的难度（受到人员和语言的限制），要求母公司尽早发布明确的行动指示。

◆常见问题：针对不同的业务类型制作相应的文档化资料，会使得工作量变得庞大无比。

◇应对措施：即使场所、对象等存在差异，只要“管理方法”相同，就应尽量归纳成统一的文档并进行评估。将重心放在重要的业务流程上，对于没有特殊风险、金额影响小的业务，可以不纳入评估范围之内。例如，小规模的分支机构、工厂等场所，以及销售收入比例很小的产品等。不过，对于不纳入评价范围的场所和业务，需要向母公司报告并（或）讨论。

文档化提交物

文档化的提交物包括以下3个主要方面。

①风险控制矩阵

②流程图（实施基准中的“流程图”）③业务描述书

理想的文档化步骤是首先记录现实的业务活动，准备业务描述，再整理出对应的业务流程图，并找出其中存在的风险以及相应的控制措施，最终形成风险控制矩阵。

不过，有时会先准备好风险控制矩阵，因为它是文档化最重要的组成部分。再根据识别出的控制活动制作流程图。最后再完成基于内部控制理解基础上的业务描述书，主要包括组织、职务分工、主要的信息系统、销售渠道等内容。此外，流程图、业务描述书通常被用来作为规章制度和业务规定的替代品。但是在业务描述书缺失的情况下，风险控制矩阵的质量就显得更为重要了。

◆常见问题：流程图和业务描述书的制作难度大。◇应对策略：用于“控制”评估的风险控制矩阵是必需的，而流程图和业务描述书可以根据情况进行简化或省

略。但是，需要提供什么提交物、需要花多少精力，都应该由母公司和外部审计师商讨确定。

文档化的实施者

文档化应该由谁来实施，目前主要有以下几种情况。

①由母公司的项目小组成员实施。

②由海外子公司的项目小组成员实施。

③海外子公司的现场部门实施，由项目小组成员复

核、并提供支持。

由母公司项目小组成员通过内部审计的形式来实施文档化的情况下，海外子公司的现场部门至少应该参加相关的访谈活动，回答项目小组成员的提问。

J-SOX是要求每年对内部控制进行评价的持续性活动，海外子公司也需要理解这一制度的目的和要求，任命相应的具有内控意识的项目小组成员。

此外，为了正确地反映实际的业务流程，形成书面文档，向现场部门人员询问相关信息的过程也是不可缺少的一环（自我评估方式）。

由母公司或海外子公司的项目小组实施文档化的情况下，现场部门必须确认控制活动已经被确实的记录，没有遗漏重要的例外事项。由现场部门实施文档化的情况下，必须确认其文档是否能被第三方准确的理解，内部控制上的缺陷是否已被正确的认识。

◆常见问题：对业务十分了解的关键人员的时间非常有限。尤其是会计、财务部门，这些部门是重要的被评估部门，且工作量巨大，同时也常常被任命为当地项目小组成员。

◇应对策略：①海外子公司的管理层需要发挥管理能力，调整各项工作的优先顺序，保证控制文档化的时间和资源。②活用外部资源。③向母公司申请必要的人员、资金的帮助。

实施穿行测试

所谓的穿行测试是指，通过抽样查看实际使用的账簿、票据，以及规章、手册、信息系统等文档资料，确认是否已经切实执行了文档化的内部控制设计。

穿行测试可以被视为与文档化不同的另一个步骤。在母公司或子公司的项目小组成员实施文档化的过程中，可以同时确认规章、手册、实际使用的账簿、票据、以及信息系统等。如果文档化是由海外子公司现场部门完成的情况下，项目小组需要通过询问、穿行测试的方式来进行确认。◆常见问题：为了完成文档化的提交物，会把风险控制矩阵放在优先地位，而削弱了穿行测试的实施。因此，在测试（评价控制运用情况）阶段，会可能发现实际情况与内部控制设计的不同。如文档中常常会出现“应该是这样”之类的话语。

◇应对策略：将穿行测试的实施作为完成文档化程中必不可少的一环来考虑。

项目管理和语言问题

根据海外子公司的规模，J-SOX的实施通常都会成为一个项目，因此“项目管理”成了不可缺少的部分。项目管理主要包括问题管理、任务管理、工作时间表管理等。针对可能出现的资源不足、计划落后的情况，需要预先制定应对计划，提高必须完成的工作的优先顺序，舍弃或者延后不重要的工作。

此外，还需要注重视母公司的指示，完成必须执行的工作。其它的非重要事项，可以根据当地的实际情况灵活的处理。对于海外子公司而言，另一个特殊问题是语言。J-SOX要求管理层评估，因此就最低限度而言，关于内部控制不完善的报告应该使用经营者（实务中也可以是经营者任命的评估负责人）能够看懂的文字进行撰写。另一方面，公司的规章制度、账簿票据等实际控制中使用的工具，基本上都是用当地语言准备的，因此在什么地方使用母公司语言、在什么地方使用当地语言需要达成一致。若母公司和当地子公司中使用英语工作的人员充足，则不会出现这一语言问题。相反不具备这一条件的情况下，则需要根据主导业务是由当地公司执行还是由母公司执行，来决定使用的工作语言。

J-SOX要求母公司和海外子公司之间进行持续的沟通，因此包括语言问题在内的妥善处理，也成为了集团经营的基础工作之一。