実施基準の「Ⅰ 内部統制の基本的枠組み」の最後に、「財務報告に係る内部統制の構築」という項目がありますが、これは内部統制基準には記載されていない項目です。
内部統制基準は、評価および監査において基本的な考え方を示したものであり、実施基準は、より具体的な指針を示しています。
内部統制の構築の手続について、実施基準では、「評価および報告に先立つ準備作業として一般的な手続を示す」と記載されています。
どのような内部統制を構築するかは経営者の判断に委ねられますが、その際の手順の参照として、構築プロセスが例示されているのです。
この記事では、実施基準を参考に、内部統制の構築について、簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
財務報告に係る内部統制構築の要点
実施基準では、内部統制の構築に関して、重要となる点を以下のように挙げています。
なお、これらの要点は、明記はされていませんが、それぞれが内部統制の6つの基本的要素に対応していると思われます。
<統制環境>
適正な財務報告を確保するための全社的な方針や手続が示されるとともに、適切に整備及び運用されていること
- 適正な財務報告についての意向等の表明及びこれを実現していくための方針・原則等の設定
- 取締役会及び監査役等の機能発揮
- 適切な組織構造の構築
<リスクの対応と評価>
財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされること
- 重要な虚偽記載が発生する可能性のあるリスクの識別、分析
- リスクを低減する全社的な内部統制及び業務プロセスに係る内部統制の設定
<統制活動>
財務報告の重要な事項に虚偽記載が発生するリスクを低減するための体制が適切に整備及び運用されていること
- 権限や職責の分担、職務分掌の明確化
- 全社的な職務規程等や必要に応じた個々の業務手順等の整備
- 統制活動の実行状況を踏まえた、統制活動に係る必要な改善
<情報と伝達>
真実かつ公正な情報が識別、把握及び処理され、適切な者に適時に伝達される仕組みが整備及び運用されていること
- 明確な意向、適切な指示の伝達を可能とする体制の整備
- 内部統制に関する重要な情報が適時・適切に伝達される仕組みの整備
- 組織の外部から内部統制に関する重要な情報を入手するための仕組みの整備
<モニタリング>
財務報告に関するモニタリングの体制が整備され、適切に運用されていること
- 財務報告に係る内部統制の有効性を定時又は随時に評価するための体制の整備
- 内部・外部の通報に適切に対応するための体制の整備
- モニタリングによって把握された内部統制上の問題(不備)が、適時・適切に報告されるための体制の整備
<ITへの対応>
財務報告に係る内部統制に関するITに対し、適切な対応がなされること
- IT環境の適切な理解とこれを踏まえたITの有効かつ効率的な利用
- ITに係る全般統制及び業務処理統制の整備
財務報告に係る内部統制構築のプロセス
実施基準では、財務報告に係る内部統制の構築手順を、以下のように示しています。
- 基本的計画および方針の決定
- 内部統制の整備状況の把握
- 把握された内部統制の不備への対応および是正
それぞれの手順ってどんなものなの?
基本的計画および方針の決定
実施基準では、基本的計画および方針の決定について、以下のように記載されています。
経営者は、取締役会の決定を踏まえて、財務報告に係る内部統制を組織内の全社的なレベル及び業務プロセスのレベルにおいて実施するための基本的計画及び方針を定める必要がある。
規定すべき基本的計画および方針としては、以下の項目が挙げられています。
①適正な財務報告を実現するために構築すべき内部統制の方針・原則、範囲及び水準
内部統制報告制度(J-SOX)では、経営者は、内部統制の整備・運用・評価・報告において責任を有しており、それらの方針について、「財務報告に係る内部統制基本方針書」を定めます。
※会社法における内部統制基本方針とは異なります
また、方針に関しては、取締役会等の承認を受ける必要があります。
範囲および水準については、内部統制基準を参考にして決定している旨を明文化します。
②内部統制の構築に当たる経営者以下の責任者及び全社的な管理体制
内部統制の構築にあたって、経営者以下の責任者を定め、強力な社内管理体制を敷くことが重要です。
内部統制の構築プロジェクトチームは、一般的には、管理部門担当役員をトップとして、内部監査、経理、総務、法務、経営企画、情報システム、営業などの責任者や担当者によって構成されます。
また、複数部署にまたがる業務プロセスの場合、関係部署間の調整が必要ですので、プロセスオーナーを明確にしておくと、プロジェクトが円滑に進みやすくなります。
③内部統制の構築に必要な手順及び日程
内部統制の構築における具体的な行動計画を策定します。
構築作業の際に把握された内部統制の不備の是正等に係る時間の余裕をもって計画します。
④内部統制の構築に係る個々の手続に関与する人員及びその編成並びに事前の教育・訓練の方法等
プロジェクトチームのメンバーは、業務記述書などの文書化作業を担うため、内部統制に関する知識の習得が必要です。
また、内部統制は本来全役職員が関わるものでもあるため、全役職員の内部統制への意識を高める目的で、研修・教育等を行う旨を明文化します。
内部統制の整備状況の把握
実施基準では、内部統制の整備状況の把握について、以下のように記載されています。
内部統制の基本的計画及び方針が決定された後、組織内では、内部統制の整備状況を把握し、その結果を記録・保存する。こうした作業は、経営者及び内部統制の構築に責任を有する者の指示の下、組織内における全社的なプロジェクトとして実施されることが有効である。
全社的な内部統制の整備状況の把握にあたっては、企業の状況に応じて、「財務報告に係る全社的な内部統制に関する評価項目の例」(実施基準:参考1)を参照しながら、チェックリスト等を作成することが考えられます。
全社的な観点から評価する決算・財務報告プロセスに係る内部統制についても、全社的な内部統制と同様にチェックリスト等の作成がよくみられます。
しかし、全社的な内部統制のように項目例が実施基準で示されていませんので、実際の決算手順や経理規程等をもとに作成することになります。
業務プロセスに係る内部統制の整備状況の把握にあたっては、いわゆる3点セット(業務記述書、フローチャート、リスクコントロールマトリクス(以下「RCM」)を作成し、財務報告に係る虚偽記載リスクの識別と、それに対応する統制、およびその統制のリスク低減の状況を可視化します。
把握された内部統制の不備への対応および是正
実施基準では、内部統制の整備状況の把握について、以下のように記載されています。
内部統制の整備状況の把握の過程で把握された内部統制の不備には適切な対応が図られなければならない。経営者及び内部統制の構築に責任を有する者は、内部統制の基本的計画及び方針に基づいて、不備の是正措置をとる。
全社的な内部統制の整備状況については、先述の「財務報告に係る全社的な内部統制に関する評価項目の例」(実施基準:参考1)を参考に、不備が発見されれば、適宜是正措置に取り組みます。
業務プロセスに係る内部統制の整備状況の不備については、財務報告の虚偽記載リスクを低減する統制がない、もしくは十分に低減できるものでなければ、是正措置を講じ、それに応じて3点セットを更新します。
内部統制構築の重要ポイント
内部統制の構築プロセス全体において、気を付けるべきポイントを以下に挙げました。
経営者の理解とリーダーシップ
経営者の理解とリーダーシップが必要?
内部統制の構築には、膨大な文書化作業が発生します。
作業自体は構築プロジェクトのメンバーが担うことになりますが、文書化には部門間の調整が発生する場合があり、業務プロセスに関わる部署の担当者の協力は欠かせません。
文書化をやり遂げるためには、経営者の強力な後押し等による従業員の動機付けが必要です。
また、経営者が、内部統制の不備を隠さず改善する姿勢をみせることも重要です。
経営者が内部統制に関心を示し続けることが、構築プロジェクトの進捗や品質に影響するといえます。
早期のプロジェクト開始
上場準備に際しては、内部統制に関するスケジュールにおいて、計画策定や文書化作業だけでなく、その後の評価作業~不備の改善~再評価~内部統制報告書の作成までを視野に入れる必要があります。
そのため、内部統制構築プロジェクトは、文書化や現状調査に十分に時間がかけられるよう、上場申請時期を見越し、早期のプロジェクト立上げを検討します。
導入翌年度以降を考慮する
当然のことながら、会社が上場している以上、内部統制の導入後も、半永久的に内部統制報告制度に対応し続けなければなりません。
そのため、導入翌年度を見据えて、以下のようなことも考慮してプロジェクトを進めていくことが望ましいといえます。
- 構築プロセスにおける子細な記録の保存
- 事業等の変化による文書の修正作業の発生を視野に入れる
- 担当者の人事異動等により知見が失われたり、手続が滞らないよう、ルールや基準を詳細かつ具体的に定める
過剰な内部統制の構築
前述のとおり、内部統制の構築において、文書化に大きな労力を割くことになりますので、可能な限り無駄を省いた文書化作業とすることが重要です。
内部統制報告制度ではトップダウン型リスク・アプローチが利用されていますので、「評価範囲」=「適切な文書化の範囲」の見極めが必要です。
また、文書化作業においては、複数の担当者が関わる場合もあるため、品質のばらつきや、詳細すぎる文書(=評価作業の負荷が増大になりかねない)にならないように留意します。
外部監査人との主体的な関わり
内部統制の評価範囲や、業務プロセスにおけるキーコントロールの設定等において、内部統制監査を実施する監査法人との協議がある程度は必要になってきます。
監査法人は内部統制において、企業の構築プロジェクトチームより知識や経験が豊富である場合が多いため、監査法人からの意見は重要です。
しかし、監査法人は保守的な傾向にあるので、言われるがままに内部統制の構築をすると、過剰なものになってしまう可能性があります。
内部統制はあくまでも経営者がどのようなリスクを認識して対応するかを検討して構築すべきものですので、経営者の主体的な取組みが必要です。
外部専門家の活用
構築プロジェクトメンバーに適切な人材として、マネジメント能力があり、業務に詳しいこと、会計や監査、内部統制、IT統制の知識・経験があること等が挙げられます。
しかし、個人でこのような要件に当てはまる人はなかなかいませんので、専門知識を持った複数のメンバーが構築プロジェクトを担っていくことになります。
ただ、小規模の企業については社内で知識・経験を持った人材を揃えること自体が難しい場合があります。
また、単に文書化作業の負荷を大きく、専任の人員がさけないこともあります。
そのようなときに、会計事務所やコンサルティング会社等に内部統制構築プロジェクトの一部を外部委託することも考えられます。
ただし、そのような場合でも、できるだけ社内の人員が関わって、内部統制に関わる知識を習得する機会を設けることが重要です。
内部統制構築プロジェクトの子会社への展開
財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行いますので、子会社等においても評価範囲に含まれる場合があります。
親会社の子会社への関与がどの程度かにもよりますが、子会社単独で整備・評価が必要な内部統制については、子会社の事業の状況に応じて文書化作業をすることになります。
それってどういうこと?
たとえば、全社的な観点で評価される内部統制(全社的な内部統制、決算・財務報告プロセスに係る内部統制)は、グループ共通の方針や手続が確立されているのであれば、子会社単位での構築作業はあまり発生しないかもしれません。
一方、業務プロセスに係る内部統制については、子会社が親会社と異なる事業を行っていることはよくあるため、子会社単独での文書化作業が必要となってきます。
また、決算・財務報告プロセスに係る内部統制において、職務分掌や、業務マニュアル、会計システムへのアクセスコントロール等、子会社別に評価する必要がある整備事項についても、子会社単独での構築を行います。
子会社が文書化作業をするの?
文書化については業務負荷が大きいため、規模の小さい子会社が行うのが難しい場合は、親会社が行うこともあり得ます。
もし子会社が文書化作業を行う場合、スケジュール管理や品質管理等に留意しなければなりません。
また、海外子会社における文書化作業については、たとえ現地で外部委託した場合であっても、日本における内部統制評価への理解が必要になる等、海外拠点特有の困難が伴います。