内部統制評価の全体像

スポンサーリンク
内部統制入門編

 財務報告に係る内部統制において、構築した内部統制の整備状況および運用状況を確認したうえで、経営者は内部統制の有効性を評価し、外部に報告することが求められています。

 この記事では、内部統制評価の全体像について、内部統制基準・実施基準に沿って簡単にまとめました。

※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」

スポンサーリンク

財務報告に係る内部統制の評価の意義

 内部統制基準では、 財務報告に係る内部統制の評価の意義について、以下のように述べられています。

経営者は、(中略)財務報告に係る内部統制については、一般に公正妥当と認められる内部統制の評価の基準に準拠して、その有効性を自ら評価しその結果を外部に向けて報告することが求められる。

 上記の内部統制の「有効性」とは、内部統制が「適切な内部統制の枠組み」(=内部統制基準、実施基準)に準拠して整備・運用されており、開示すべき重要な不備がないことをいいます。

 また、「開示すべき重要な不備」とは、財務報告に重要な影響を及ぼす可能性が高い内部統制の不備をいいます。

財務報告に係る内部統制の評価・報告の流れ

 内部統制の評価が必要な範囲は、子会社や関連会社などを含めた連結ベースで検討され、外部に委託した業務についても評価範囲に含むかどうかも検討します。

 また、経営者は財務報告に対する金額的・質的重要性を考慮して評価範囲を決定し、その決定方法や根拠等を適切に記録しなければなりません。

トップダウン型リスクアプローチ

 実施基準では、財務報告に係る内部統制の評価・報告の流れを図で表しています。

 下図はそれを抜粋したものです。

財務報告に係る内部統制の評価・報告の流れ_略図1
実施基準「財務報告に係る内部統制の評価・報告の流れ」抜粋

 財務報告に係る内部統制の評価では、トップダウン型のリスクアプローチが採用されています。

トップダウン型のリスクアプローチってなに?

 トップダウン型のリスクアプローチとは、全社的な内部統制の有効性をまず評価し、その評価結果を踏まえて、財務報告に係る虚偽記載リスクに重点を置き、業務プロセスの範囲を絞り込んで評価する手法です。

 なお、全社的な内部統制の評価を受けての業務プロセスの評価範囲の検討には、外部監査人との協議が望まれます。

全社的な内部統制の評価の概要

 全社的な内部統制の有効性については、原則として、全ての事業拠点について、全社的な観点で評価します。

 ただし、財務報告に対する影響の重要性がわずかな事業拠点は、評価対象にしないことができます。
 その目安の例としては、企業グループ全体の連結売上高や連結税引前利益などのおよそ5%以内とされています。

 具体的な評価の実施内容については、6つの基本的要素に対応した42の評価項目(実施基準により例示)を参考にして、チェックリストなどを用いて行われます。

 また、IT全社統制は、基本的要素「ITへの対応」を構成するものとして、同様に評価されます。

業務プロセスに係る内部統制の評価の概要

 業務プロセス(全社的な観点での評価が適切なプロセス以外の決算・財務報告プロセスを含む)に係る内部統制は、3点セットを利用し、ウォークスルーサンプリングテストによって有効性を評価します。

 また、業務プロセスに係る内部統制にITが利用されている場合は、IT全般統制の有効性を評価します。

 IT全般統制が有効であると評価されれば、IT業務処理統制を評価する運用テストをある程度省くことも考えられます。

業務プロセスの評価範囲

 業務プロセスの評価範囲の決定については、以下の手順で行います。

重要な事業の選定

 全社的な内部統制が有効であれば、連結ベースで売上高等の重要性により選んでいきます。

 なお、前年度の評価結果を利用できる場合があります。

評価対象とする業務プロセスの識別

 業務プロセスの識別については、以下の視点で行います。

a.事業目的に大きく関わる勘定科目に至る業務プロセス

 選定された事業拠点における重要な勘定科目に至る業務プロセスを識別します。

 「重要な勘定科目」とは、一般的な事業会社の場合は、売上、売掛金、棚卸資産とされていますが、実際には事業特性などを鑑みて重要な勘定科目を検討します。

b.個別に評価対象に追加すべき重要性の大きい業務プロセス

 ①の重要な事業拠点の選定にかかわらず、財務報告への影響が大きい業務プロセスについては、個別に評価対象とします。

 決算・財務報告プロセスのうち、個別に評価すべきプロセスも含まれます。

 実施基準では、以下のようなプロセスが例としてあげられています。

  • リスクが大きい取引を行っている事業又は業務に係る業務プロセス
  • 見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス
  • 非定型・不規則な取引など虚偽記載が発生するリスクが高いものとして、特に留意すべき業務プロセス

 なお、長期間にわたり評価範囲外としてきた事業拠点や業務プロセスについても、評価範囲に含めるかどうかを検討しなければなりません。

委託業務に係る内部統制の評価の概要

 企業によっては、人的リソースの制限などにより、経理業務の一部や給与計算業務などを外部に委託している場合があります。

 また、昨今では情報システムの開発・運用・保守などITに関する業務を外部の専門会社に委託するケースが増えています。

 そのような委託業務においても、財務報告の信頼性に影響を与える業務プロセスの一部を構成しているのであれば、内部統制の有効性を評価しなければなりません。

どうやって評価するの?

 実施基準では、委託業務の評価において、以下のような手続を例としてあげています。

  • サンプリングによる検証:委託業務結果の報告書と基礎資料との整合性を検証
  • 受託会社の評価結果の利用:受託会社が自ら行った内部統制評価の結果で自社評価を代替

内部統制評価のスケジュール

 内部統制評価では、毎事業年度の末日時点において内部統制が有効であるかどうかを評価します。

 評価業務は組織的に行いますので、年間計画を立て、第1四半期末頃までには取締役会などで承認を得ておくことが望まれます。

 年間計画策定の際には、文書や業務の流れの変更の有無や、経営環境、事業状況の動向などを考慮します。

 前述のトップダウン型リスクアプローチにより、1次評価は全社的な内部統制から行われ、その結果を踏まえて業務プロセスに係る内部統制の評価を行います。

 なお、1次の業務プロセスに係る内部統制の運用状況評価は、一定のサンプル数が収集できる第2四半期末頃に行うのが一般的です。

 1次評価で内部統制の有効性が評価され、かつ、1次評価の評価時期から事業年度末までの期間が3ヶ月以上であれば、ロールフォワードを行います。

ロールフォワードってなに?

 ロールフォワードとは、1次評価で「有効」と評価された内部統制が、期末日においても「有効」であることを証明する手続のことです。

 もし1次評価で内部統制に不備があると評価されれば、ロールフォワードは行わず、サンプル数が揃うのを待ってから、再度評価(フォローアップ)を実施します。

内部統制の評価体制

 内部統制基準では、財務報告に係る内部統制の有効性の評価について、

経営者は、財務報告の信頼性に及ぼす影響の重要性の観点から必要な範囲について、財務報告に係る内部統制の有効性の評価を行わなければならない。

としています。

 上記引用のとおり、「経営者」が内部統制を評価することを規定していますが、小規模企業でない限り、実際に経営者自らが評価実務を行うのは困難です。

じゃあどうすればいいの?

 経営者の指揮下で評価を行う部署などの設置や、内部統制評価のしくみ作りを行う必要があります。

 実施基準では、評価体制として、以下の2段構えを有効な評価体制としています。

  • 評価対象となる業務から独立した部署などによる評価(=独立的評価
  • 業務執行部署自身による内部統制の自己点検

独立的評価

 独立的評価とは、経営者の指揮下で、業務に直接かかわりのない立場にいる人(例:内部監査人)が、内部統制の有効性の評価することをいいます。

 独立的評価の体制として、上場会社では一般的に内部監査部門などを設けることが多く見受けられます。

 評価結果は経営者に報告され、経営者はそれをもとに外部への報告書を作成します。

 内部監査部門の要員は、内部統制の整備および評価業務に精通し、評価方法および手続への理解適切な判断力を持つ者であることを求めています。

 なお、2023年4月7月に公表された改正実施基準では、内部監査人について以下のように記されており、内部監査の組織目標達成への貢献が期待される風潮が増してきたといえます。

内部監査人は、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすることが求められる。

さらに、内部監査の有効性を高めるため、経営者は、内部監査人から適時かつ適切に報告を受けることができる体制を確保することが重要である。同時に、内部監査人は、取締役会及び監査役等への報告経路を確保するとともに、必要に応じて、取締役会及び監査役等から指示を受けることが適切である。

内部統制の自己点検

 販売プロセスや購買プロセスなどの業務プロセスを実際に行う各部門の責任者のことをプロセスオーナーといいます。

 内部統制の自己点検とは、プロセスオーナーが、実際の業務フローが3点セットの内容と整合性がとれているかを自己評価し、統制活動の改善を主体的に行うことをいいます。

 自己点検単独では内部統制評価とは認められませんが、内部統制の整備・運用状況の改善には有効とされています。

 また、独立的評価で自己点検の状況を確認することによって、独立的評価が有効に機能することを支援します。

子会社・関連会社の内部統制の評価の概要

 財務報告に係る内部統制の評価は、連結ベースで行います。

 子会社・関連会社が、内部統制基準・実施基準に基づいて、独自で内部統制評価を実施し、内部統制報告書を作成し、その監査も受けている場合、親会社はその評価結果を利用することができます。

 また、在外子会社・関連会社の所在地国に適切な内部統制報告制度がある場合、その制度を活用することも可能です。

 子会社・関連会社が内部統制報告制度を導入していない場合、親会社の主導で内部統制評価を行います。

 ただし、親会社がどの程度主導するかは、企業グループのマネジメント方針によります。

タイトルとURLをコピーしました