日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?
Q.日本版SOX法では、経営者自身が内部統制の有効性を自己評価することになっていますが、何を評価し、文書化すればいいのでしょうか?
A.内部統制の有効性の自己評価については、第一に評価範囲を決める必要があります。財務報告に係る内部統制の全部を文書化するのは、費用面からも困難です。したがって、重要な事業拠点を定める等して、全社的な内部統制の評価を行った上で、その結果により評価対象を限定します。ただ、決算・財務報告プロセスに関しては、全ての事業拠点で評価を行う必要があります。その後、選んだ事業拠点における重要な業務プロセスに係る内部統制を評価し、それ以外のリスクを抱えた重要な財務諸表項目に至るプロセスに関しても評価します。評価を終えたら、それが全体として有効か否かについて経営者が判断をします。そして、内部統制報告書の作成を行います。
基本的に文書化するのは、業務プロセスに係る内部統制と、全社レベルの内部統制です。
業務プロセスに係る内部統制というのは、例えば販売担当者が受注して商品を出荷し、出荷したものを売上げに計上するためにシステムに入力をした後で、結果が正しいか否かを確認する等の、それぞれの職場で一般的に行われている財務報告に影響を及ぼす業務活動であり、これが核心部分です。
一方、全社レベルの内部統制は、上記の業務プロセスレベルの内部統制に影響を及ぼすものであり、二つに大別できます。一つ目は組織風土等に係る全社的な内部統制であり、二つ目はITに係る全般統制です。ITに係る部分は全社的な内部統制と性質が異なりますので、これらの二つを区分しています。
全社的な内部統制については、統制環境がその主要な構成要素であり、具体的には経営理念、行動憲章、社内諸規程、運用マニュアル、全社レベルの予算管理等です。全社レベルで諸規程を作成して遵守する体制や、内部通報制度等も含まれます。不正に気付いた際に、上司ではなく外部の顧問弁護士等に報告できることも、全社的な内部統制といえます。
一方、ITに係る全般統制は、ITを利用した業務プロセスを有効に機能させるために必要となる統制活動(ソフトウェア開発・変更・運用管理、情報セキュリティー)です。例えば、新規にシステムを構築する際に、その企画段階からきちんと統制がとれた体制となっていることや、部署が替わっても前の部署の売上げをそのまま入力できてしまうと財務諸表が正しく作成されない可能性もありますので、パスワードによる管理をして限られた者のみが入力できるように管理すること等が、ITに係る全般統制です。
また、前述した業務プロセスに係る内部統制については、次のようなものがこれに該当します。
・職務分掌(請求書を発行する部署と入金部署を区分しているか)
・取引承認体制(100万円以上の取引は部長だけに実行する権限が付与されていて、部長の承認がなければその取引を実行できないシステムになっているか等)
・財務会計システムへの入力確認(100円入力したものがきちんと100円の売上げとして計上されていることを確認するコントロールがあるか等)
・該当部門の予算実績差異分析(ある事業部の当月の予算に対して実績が未達であった場合に、ある理由でその差異が分析されるので正しいのだという差異分析がなされているか等)
財務報告に係る内部統制は、業務プロセスに係る内部統制、全社的な内部統制、ITに係る全般統制の三つによって構成されていることから、基本的にはこれら全てを行う必要があります。日本版SOX法の具体的な実務は、このような統制を文書化していくことです。