内部統制の基本
◇何のために内部統制をやるのか
◇どんな内部統制システムを構築するのか
◇何を作らなければならないのか
◇文書の雛形、文書作成時の留意点
この4つをしっかりと理解することが大事です。
◇何のために内部統制をやるのか?
金融商品取引法第24条の4の4で、
「経営者が財務報告に係わる内部統制が有効に機能していることを評価し、内部統制報告書を作成して提出すること」と明確に定められています。
「財務報告の信頼性」を確立することが内部統制の基本的目的となります。
「財務報告の信頼性の確保」を念頭において内部統制システムを構築することが大事です。
「業務の有効性・効率性」、「法令等の遵守」、「資産の保全」も重要ですが、それ以上に「財務報告の信頼性」が重要となります。
◇どんな内部統制システムを構築するのか?
どの企業にも適用できる画一的な内部統制システムというものは存在しません。
企業にとって必要なもの、不必要なものはすべて違います。
持ちうる経営資源も違います。
当然、内部統制に対する対応の仕方も企業によって変わります。
→完全なる内部システムの構築
→最低限の内部ムの統制システ構築
どちらの内部統制システムを目指すかは、各社の経営方針によります。
◇何を作らねばならないのか?
日本版SOX法対応で作らねばならない文書を以下に整理します。
全社レベルの統制 | 全般統制 | 全社レベルのIT全般統制 |
全版統制評価記述書 | IT全般統制評価記述書 | |
プロセスレベルの統制 | 業務処理統制 | IT業務処理統制 |
業務フロー | IT業務処理統制評価記述書 | |
業務記述書 | ||
リスクコントロールマトリクス(RCM) |
-
- 全般統制→全般統制評価記述書
- 全社レベルのIT全般統制→IT全般統制評価記述書
- 業務処理統制→3文書:業務フローチャート、業務記述書、リスクコントロールマトリクス(RCM)
- IT業務処理統制→IT業務統制評価記述書
を作成する必要があります。
◇文書の雛形、文書作成時の留意点は?
全般統制評価記述書
実地基準に記載されている「財務報告に係わる全般的な内部統制に関する評価項目の例」を参考に、それぞれの質問に回答することにより「全般統制評価記述書」が作成できる。
チェック項目 | 回答 | 根拠資料 | |
1 | 経営者は、信頼性のある財務報告と重視し、財務報告に関する内部統制の役割を含め、財務報告の基本方針を明確に示しているか。 | 財務報告の信頼性を確保するために社内に内部統制システムを構築し、社内モニタリングによりその有効性を評価し、内部統制報告書として公表する義務を負っていることを強く認識している。 そのため、経営者自身が内部統制プロジェクトの責任者に就任し、キックオフミーティングの席で、財務報告に係わる内部統制の役割・財務報告の基本方針を詳細に発表した。 |
内部統制キックオフミーティング配布資料及び議事録 |
2 |
金融庁発行の実施基準には、以下の評価項目が掲載されている。
全般統制のチェックポイントとして活用できる。
業務フローチャート
参考2)*
事業A に係る卸売販売プロセス
得意先販売部門出荷部門経理部門システム
業務の流れ図
リスクコントロールマトリクス(RCM)
参考2)*
事業A に係る卸売販売プロセス
得意先販売部門出荷部門経理部門システム
業務の流れ図
* 参考2)は、金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」をご参照ください。
監査法人の監査をクリアするには
→監査要件(アサーション)を網羅
→監査要件(アサーション)に対するコントロールを整備
することが必要です。
※監査要件(アサーション)とは
- 実在性
- 資産および負債が実際に存在し、取引や会計事象が実際に発生していること
- 網羅性
- 計上すべき資産・負債・取引や会計事象をすべて記録していること
- 権利と義務の帰属
- 計上されている資産に対する権利及び負債に対する義務が企業に帰属していること
- 評価の妥当性
- 資産および負債を適切な価額で計上していること
- 期間配分の適切性
- 取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること
- 表示の妥当性
- 取引や会計事象を適切に表示している事
財務報告に係る全社的な内部統制に関する評価項目の例
<参考>「全般統制評価記述書」チェック項目
以下、金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」より抜粋
統制環境
-
- 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
- 適切な経営理念や倫理規定に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
- 経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の客観的な実施過程を保持しているか。
- 取締役会及び監査役または監査委員会は、財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し、実行しているか。
- 監査役または監査委員会は内部監査人および監査人と適切な連携を図っているか。
- 経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。
- 経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に対して、適切な役割分担を定めているか。
- 経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保・配置しているか。
- 信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、常に適切なものとなっているか。
- 責任の割当てと権限の委任がすべての従業員に対して明確になされているか。
- 従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
- 経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員等の能力を引き出すことを支援しているか。
- 従業員等の勤務評価は、公平で適切なものとなっているか。
リスクの評価と対応
-
- 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組が存在しているか。
- リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
- 経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。
- 経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。
統制活動
-
- 信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続きを定めているか。
- 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。
- 統制活動に係る責任と説明義務を、リスクが存在する業務単位又は業務プロセスの管理者に適切に帰属させているか。
- 全社的な職務規程や、個々の業務手順を適切に作成しているか。
- 統制活動は業務全体に渡って、誠実に実施されているか。
- 統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
- 統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。
情報と伝達
-
- 信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
- 会計及び財務に関する情報が、関連する業務プロセスから適切に情報システムに伝達され、適切に利用可能となるような体制が整備されているか。
- 内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
- 経営者、取締役会、監査役または監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。
- 内部通報の仕組など、通常の報告経路から独立した伝達経路が利用できるように設定されているか。
- 内部統制に関する企業外部からの情報を適切に利用し、経営者、取締役会、監査役または監査委員会に適切に伝達する仕組みとなっているか。
モニタリング
-
- 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
- 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
- モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
- 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
- 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
- モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
- 内部統制に係る開示すべき重要な不備等に関する情報は、経営者、取締役会、監査役または監査委員会に適切に伝達されているか。
ITへの対応
-
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は、信頼性のある財務報告の作成という目標の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続きを適切に定めているか。
以上、金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」より抜粋。
弊社の内部統制ツールQPRJ-SOXを利用することにより、業務プロセス、リスク、コントロールの統制及びモニタリングすることができる内部統制システムを構築することができます。
さらには、リスク、コントロールの整備状況評価及びサンプリングを用いた運用評価支援ツールとして、TAMIC(タミック)を用意しています。