‘内部統制’
業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?
Q.業務処理統制の文書化に当たって、何を評価すればいいのでしょうか?
A.全社レベル統制と業務処理統制を文書化していくのが日本版SOX法の具体的な実務といえますが、そのうちの業務処理統制の文書化に当たって何を評価すればいいのかについて以下に述べます。
評価には2種類のものがあります。一つ目は整備状況の評価です。整備状況というのは、いわゆるデザインであり、例えばAさんがBさんの行ったことをチェックしている場合、チェックを行うことで本当に誤りが是正されるか否かということと、チェックを行う体制がつくられているか否かということです。二つ目は運用状況の評価です。デザインについては、優れた内部統制の仕組みができたとしても、現実にそれを行っているか否かということが、運用状況の評価といえます。
整備状況の評価によって財務報告が誤るリスクが十分に軽減されているか否かを確認した後、現実に運用できているか否かを再び確認します。運用状況の評価については、具体的にはいわゆるテスティングを行うことになります。例えば、Aさんが自身の入力した結果についてプルーフを必ず出してチェックしているというコントロールがある場合、月のプルーフから10件を選んで本当にチェックが行われたか否かを確認します。
性善説に経てばここまでで済みます。我が社の社員は皆まじめで、やったといえば必ずやっていますので、心配ありませんということになります。しかし、日本版SOX法の制度では、それでは済みません。やっているのなら、その証拠を見せてもらわなければ信用できないという考え方に基づき、その後のテスティングをして評価することによって初めて内部統制を評価したということになります。極めて疑い深いということができ、アメリカ的な考え方がそのまま導入されています。
業務処理統制を文書化する目的は、財務報告に係る内部統制を文書化して評価することです。したがって、財務諸表が誤るリスクは何かということを第一に特定します。例えば、売上金額(数量×単価)が正確に計上されない可能性があるということを一つのリスクとして考えます。企業においては人が作業を行って実務が成立していることから、リスクが存在しないことはほぼないと思われます。それゆえ、誤るリスクはどこに存在するのかということになり、そのリスクを特定するのが第一段階です。正確に計上されない可能性があるというのがリスクであると考えるのです。
続いて、コントロールとしてそのリスクに対して何をしているかについては、仮に、売上情報の入力担当者は入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているとします。この場合、正確に計上されない可能性があるというリスクは、このようなコントロールをすることで軽減されているといえるでしょう。
例えば、1個100円のもの10個で売上金額1,000円ですが、この金額が正しく計上されずに入力担当者が1個110円と間違えて入力するかもしれないというリスクがあります。だれが入力しても間違いが起こる可能性があるでしょう。しかし、入力担当者が入力後にプルーフを出力し、入力に用いた証慿と入力結果を1件ずつ突合しているのであれば、このリスクは軽減されると考えます。コントロール(そのリスクを軽減するために行うチェックの仕組み)でリスクは十分に軽減されているか否かを把握するのがデザインの評価、整備状況の評価です。
整備状況の評価については、コントロールが十分リスクを軽減しているかということのほかに、コントロールを明確にするという目的から、コントロールをする頻度や実施者等が明確になっているかということ、すなわち、いかなる頻度でだれがいかなる証跡を残して行うかということ等が定まったコントロールになっているか否かが重要です。このリスクとコントロールの関係をドキュメンテーションしましょうというのが、整備状況の評価といえます。
監査法人ともさまざまな話をし、いかなるコントロールをしていれば問題がないかについて相談をしつつ、コントロールが十分であることを確認できたら、続いて運用のテストをします。内部統制のデザインはいいとしても、現実にそのコントロール手続きをしているのかを確認するのが、運用のテストです。このテストは、一定のサンプルサイズを決定した上で行います。例えば、売上金額の計上を誤るリスクを軽減するコントロールのテストとして、2014年3月に計上した売上金額につきプルーフをランダムに25件抽出し、出荷日、売り先、売上数量、単価等に関して、入力担当者が入力に用いた証憑と照合しているか否かを確認します。
そして、エラーがない場合には評価終了となります。一方、エラーがある場合には改善活動の立案と実施という流れになります。コントロールを行う担当者に正しく実施させるために、決められた通りに必ずやってくれるように担当者に伝えたり、担当者が能力の限界でできないということであればほかのコントロールを考えるか人を追加で配置してそのコントロールを実施してもらうようにしたりします。このようなことが繰り返され、最終的にほかのコントロールを実施すると決まった場合には、そのコントロールのテスティングを開始し、エラーがなければ評価終了となります。
以上で、基本的に、業務処理統制の部分の整備状況の評価と運用状況の評価が終了することになります。
内部統制は企業価値の向上に結び付いているのですか?
Q.内部統制は企業価値の向上に結び付いているのですか?
A.企業は外部環境の変化を認識しつつ、自社の内部環境の測定を行い、経営目標を提示します。経営目標については、売上げや利益がいくらというように、具体的に数値化されるのが通常です。その経営目標を達成するため、経営者は企業の組織構造を変えていきます。そして、変えた組織構造の中で、その業務をより効率的に有効に回していくため、内部統制の設計が組織的になされていると考えます。
組織構造も内部統制に含まれると広くとらえることもできます。それゆえ、内部統制は経営目標を達成するための経営管理活動そのものですので、それは「企業価値の向上」に深く結び付いているといえます。
内部統制の目的は、業務の効率性、コンプライアンス、財務報告の信頼性、資産の保全の四つです。これらのうちでコンプライアンスと財務報告の信頼性については、近年ではこれらを阻害する事件(損害保険会社の保険金の不払いや違法な営業等)が増えています。企業がこのような問題を1回でも起こした場合には、重い社会的制裁が下されています。コンプライアンスと財務報告の信頼性は、それができていなければ企業価値に負の影響が大きく、重要性が高まっているものと思われます。
企業価値を向上させるには、内部統制は大切であるといえます。
日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?
Q.日本版SOX法への対応として内部統制を見直すに当たり、業務改善も図るのであれば、巨額の費用がかかってしまうでしょうか?
A.内部統制の見直しについては、ITシステムの更新時に旧システムで行っていることをそのまま新システムでも行おうとしても、システム変更が期待したほどの業務改善につながりません。また、戦略的業務改善活動(以下「BPR」といいます。組織間の垣根をなくして全社的に最適な業務処理を構築していこうという活動のことです)は、業務効率アップ等につながる魅力的な活動であるものの、効果が測定しにくいことや費用が不明であること等から導入に踏み切れなかったりした会社が多かったことと思われます。
しかし、金融商品取引法と新会社法において、内部統制の全般的な見直しをしなければならなくなりました。法が規定することであるため、必ず行わなければならないことから、この機会に業務活動の改善もしたい、内部統制の四つの目的のうち業務の有効性、効率性も高めたいと考える場合も少なくないのではないでしょうか。ただし、この場合は費用の壁が立ちふさがる可能性があります。やるべきことはBPRと類似していますので、費用はもちろんかかってきます。財務報告の信頼性のみを文書化する場合には例えば3,000万円かかるとすると、2~3倍かかってしまうかもしれません。
そこで、対応策の一つを述べます。あくまでも、「財務報告の信頼性」の確保を目標とします。ただ、文書化作業の過程で他の目的に関係するリスクを発見できることがありますが、会社がそのようなリスクにつきコントロールがなされていないと不備を認識したなら、その情報を通常の財務報告プロジェクトとは違ったルートで吸い上げ、リスク管理部門に報告を行います。リスク管理部門においては、その報告されたリスクに対して優先順位を付け、アクションプランの検討を行います。このような二本立ての対応なら、十分に実現できるのではないかと考えます。
例えば、請求書の発行を漏らすというのは、財務報告に関係するリスクとはいえません。厳密にいえば資産保全に関係しますので、文書化の対象にはなると思われます。しかし、仮に財務報告の信頼性に関係するリスクに限って述べると、請求書を発行してもしなくても、これは会計取引には該当しませんので仕訳を切らないことから、財務報告の数字に影響が及びません。ただし、請求書を発行しなければお金が入ってきませんので、資金繰りに困ります。これは、ビジネスとしては多大な損失となるでしょう。このようなリスクを、財務報告に関係するリスクではないことを理由に放置しておくか、リスクと考えてアクションプランを検討して企業として対応していくかでは、大きな差が生じるのではないでしょうか。
上記のような対応が実際に極めて有効であると思われますが、作業者の内部統制についての知識や経験が不可欠であるということが、問題となります。リスクをリスクとして作業者がとらえることができるか、スルーしてしまうかによって、この活動の有効性に大きな差異が生じてしまうでしょう。
日本版SOX法における文書化活動の進め方について、具体的に教えてください。
Q.日本版SOX法における文書化活動の進め方について、具体的に教えてください。
A.次のような流れで文書化作業が展開されていくのが一般的であると思われます。
プロジェクト編成・企画
↓
全社的な内部統制の評価
↓
文書化の対応方針の決定
↓
パイロット文書化
↓
文書化作業の全社展開
↓
運用状況の評価
↓
不備への対応・欠陥の是正
上記のような流れについては、次の三つのポイントが存在します。
一番目に、日本版SOX法への対応は、トップマネジメントのリーダーシップを要する全社的なプロジェクトといえます。社員の協力が得られなければ成功しません。現場に赴いてテストやインタビューを行う作業が多いことから、現場が忙しいので来ないでほしいといわれたら、スケジュールが滞ってしまいます。このような意味で、トップマネジメントのリーダーシップは、プロジェクトを遂行する上で、極めて大切です。
二番目に、監査人との意見交換や調整が重要です。文書化作業を終えてから監査人にだめだといわれるという最悪の事態を避けるためには、要所ごとに監査人と確認作業を行う必要があります。
三番目に、外部コンサルタントが必要であるといえるでしょう。文書化作業に関して、ガイダンスやセミナーで詳細な説明をしても、最初からきちんとしたものを作成することは困難です。外部コンサルタントは通常パイロット文書化をします。この文書化の見本をまねて、以後の文書化作業を全社展開していきます。この見本のないまま文書を作成することは、非常に難しいと思われます。また、パイロット文書の質によって、あらゆる作業の質に影響が生じることになります。したがって、外部の専門家に依頼して、その方法を学ぶというアプローチが合理的であると考えます。費用面を考えると、全てを外部コンサルタントに依存するよりも、外部に依存する部分と自力でできる部分を見極めるといいと思われます。少なくともパイロット文書化は、外部に依頼するのが効果的で効率的ではないでしょうか。
上記のような流れで文書化作業が展開されていくことになりますが、各準備事項にどの程度の期間を要するのかについて具体例を述べます。なお、期間をクォーターごとに区切ります。
プロジェクト編成・企画:直前々事業年度の1Qに着手・完成
全社的な内部統制の評価:直前々事業年度の1Qに着手、同事業年度の2Qに完成
文書化の対応方針の決定:直前々事業年度の1Qに着手、同事業年度の2Qに完成
パイロット文書化:直前々事業年度の3Qに実施
文書化作業の全社展開(整備状況の評価):直前々事業年度の3Qに着手、同事業年度の4Qと直前事業年度の1Qに実施
運用状況の評価(セルフ アセスメント・テスティング):直前事業年度の1Qと同事業年度の2Qに実
施
不備への対応・欠陥の是正:直前事業年度の1Qから3Qまでに対応、同事業年度の4Qに完成
上記準備時事項のうちで最も時間を要すると思われるのは、「文書化作業の全社展開」です。上記のスケジュールでは、全てが終了するまでに2年間を要するということになります。2年間というのは長いように感じられるかもしれませんが、日常業務をしている中では現場に対するインタビューもスムーズな進行は困難であるのが一般的です。どうにかして都合をつけてもらうことができてインタビューをしても、後に文書にまとめようとした際に不明確なところが多く見つかるものです。インタビューをした相手に対して、メールでそのようなところについて確認したり、場合によっては再びインタビューをお願いしたりするのが実情ですので、2年間というのは実際には長いとはいえないでしょう。想定以上に時間を要してしまう可能性もありますので、文書化を始めるのは、なるべく早い時期にした方がいいと思われます。
リスクコントロールマトリックスを作成する際には、具体的にはどのような問題に直面することになりますか?
Q.リスクコントロールマトリックスを作成する際には、具体的にはどのような問題に直面することになりますか?
A.リスクコントロールマトリックス(以下「RCM」といいます)には、いかなる種類のリスクが存在していて、そのリスクはいかなるポイントで生じているかという情報が、業務フローチャートと関連付けられて記されています。そして、これらのリスクは、経営者のアサーション(言明)のうちでいかなるアサーションを阻害するものであるか、認識されたリスクに対していかなる統制を会社はしているか、それはいかなる種類のコントロールであるかというようなことが分かるようになっています。また、運用テストの方法や結果までの記載をシートの横に展開させることで、RCMの中で内部統制の整備状況と運用状況の全てが、コンパクトに表現されます。したがって、RCMは内部統制の文書化において中心となる文書であるといえます。
中心文書といえるRCMの作成に当たり、次のような問題に直面すると思われます。
・財務報告に係るリスクとしていかなるリスクが存在するのかが思い付かない。
・いかなるポイントでリスクが生じるのかが特定できない。
・リスクに対応する経営者のアサーションの関連付けができない。
・RCMを作成した際に、リスクに対応するコントロールがないか思い付かない。代替的コントロールもないか思い付かない。あるべきコントロールも思い付かない。
・キーコントロール(いくつかあるコントロールのうちで最も有効なコントロール)が判断できない。
・現状のコントロールが全てのアサーションを達成しているのかが判定できない。
・コントロールの記載内容が曖昧であるために、いざ運用のテストを行おうとしてもテスト方法がイメージできない(テストプランが立てられない)。
「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が公表されましたが、これはどのような項目で構成されているのでしょうか?
2005年12月に、企業会計審議会・内部統制部会によって「財務報告に係る内部統制の評価及び監査の基準案」(以下「内部統制基準案」といいます)が公表されました。これによって、内部統制の定義、概念的枠組み、経営者の評価や公認会計士等による監査に関する基本的な考え方が表されました。これを実務に適用する場合におけるガイドラインとして、2006年11月に「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」(以下「実施基準案」といいます)が公表されました。
実施基準案は、次の大きな項目三つによって成り立っています。なお、この構成は、内部統制基準案の構成と同じです。
Ⅰ.内部統制の基本的枠組み
「Ⅰ.内部統制の基本的枠組み」においては、内部統制の目的四つ、基本的要素六つに関する詳しい説明や留意事項が記されています。そして、経営者が現実にすべきことを明らかにするために、財務報告に係る内部統制の構築プロセスが例示されています。
「Ⅱ.財務報告に係る内部統制の評価及び報告」においては、主に次に掲げる項目に関して実務上の指針が記されています。
・評価範囲をどのように決めるのか
・具体的にいかにして評価するのか(どのように内部統制の有効性を判断するのか、内部統制の不備や重要な欠陥への対応、評価手続きを行えなかった場合の対応、評価手続きの記録や保存)
「Ⅲ.財務報告に係る内部統制の監査」においては、内部統制監査の目的や方法等に関して、具体的な取扱いが記されています。
「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」のポイントを教えてください。
アメリカでは2004年度からSOX法が適用されていますが、日本における財務報告に係る内部統制の評価及び監査制度は、このアメリカの同法の経験等を参照し、国際的な調和を考慮に入れつつ日本独自の制度を目指すものといえます。「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」(以下「実施基準案」といいます)には、次のような主たる特徴があると考えられます。
・トップダウン型のリスクアプローチの具現化
・企業の事務負担に対する配慮
・監査の効率重視
1.トップダウン型のリスクアプローチの具現化
トップダウン型のリスクアプローチというのは、経営者が会社の実情に応じて財務報告に係る重要なリスクを判断し、このリスクに着目して、このリスクに係る内部統制が有効であるか否かを評価するというアプローチのことです。
実務基準案においては、評価と報告の準備作業として、内部統制を構築する責任のある経営者が、いかにすればいいかを理解できるように、財務報告に係る内部統制を構築する場合における要点とそのプロセスが記されています。
経営者が内部統制の評価を行う際には、評価の範囲を絞り込みます。絞り込むプロセスで、全社的な内部統制が重要視されています。つまり、経営者は、第一にあらゆる事業拠点につき全社的な内部統制を評価し、その評価した結果を基に、評価の対象となる事業拠点の選定や業務プロセスの決定を行います。例えば、重要な事業拠点を選ぶに当たり、全社的な内部統制が良好であるなら、売上げ等を基準に、約3分の2をカバーする事業拠点を選びます。選ばれた事業拠点では、一般的な事業会社なら、原則として売上げ・売掛金・棚卸資産に関わる業務プロセスを評価の対象とします。
2.企業の事務負担に対する配慮
アメリカにおいては、財務諸表と注記を対象として、その適正性を保証するあらゆる内部統制につき評価対象とする(カバー率を90%とする等)方法が採用されましたので、監査人側からの保守的な要請も影響を及ぼし、評価はかなりの作業量となって企業の事務負担が増大しました。
実施基準案においては、上記1の通りトップダウン型のリスクアプローチが採られ、財務報告に係る内部統制の構築プロセスで、財務報告の信頼性を保つという目的を果たすための最低限の対応をし、また、評価範囲の決定において評価範囲を絞り込むことで、企業の事務負担に対する配慮がなされています。とりわけ中小規模会社については、このことに十分な留意が必要です。
3.監査の効率重視
内部統制監査は、経営者が行った内部統制の有効性の評価結果に関する主張を前提に、監査人がこの主張に対する意見を表明するものであり、監査人が内部統制の整備・運用状況を直接検証するわけではありません。ちなみに、アメリカでは、監査人が自ら内部統制の有効性につき意見を表明する直接報告業務(ダイレクトレポーティング)を行います。上記2の通り会社が評価範囲を絞り込みますが、その過程や結果が内部統制監査に影響を与えます。
また、内部統制監査は、同一の監査人により、財務諸表監査と一体となって実施されます。監査では監査証拠を必ず入手する必要がありますが、監査の過程で入手した同一の証拠が、内部統制監査と財務諸表監査のどちらにも用いられる場合があります。
このようなことから、効率的に内部統制監査がなされることが見込まれています。
内部統制報告制度では、内部統制の四つの目的のうちで財務報告の信頼性の確保を果たすための内部統制について定められているのですか?
内部統制というのは、基本的に、業務の有効性と効率性、事業活動に関わる法令等の遵守、財務報告の信頼性の確保、資産の保全という四つの目的が果たされているとの合理的な保証を得るために、業務に組み込まれ、組織内のあらゆる人により遂行されるプロセスのことであり、統制環境、リスク評価と対応、情報と伝達、統制活動、モニタリング(監視活動)、IT(情報技術)への対応という六つの基礎的要素から構成されます。
上記の内部統制の四つの目的は、各々固有の目的ではありますが、相互に密接に関連しているのであって、それぞれが独立して存在するわけではありません。つまり、内部統制は業務に組み込まれ、組織内のあらゆる人により遂行されるプロセスです。どれか一つの目的を果たすために構築された内部統制についても、別の目的のために構築された内部統制と共通の体制となったり、互いに補完しあったりすることもあります。
金融商品取引法における内部統制報告制度は、財務報告の信頼性を確保するための内部統制を「財務報告に係る内部統制」と定義付け、これを経営者による評価と報告、監査人による監査を通じて子築しようとするものです。財務報告の信頼性以外の目的については、それを果たすための内部統制の整備や構築を直接求めてはいません。しかしながら、財務報告は組織の業務全般に係る財務情報を集約したものであって、組織の業務全体と密接不可分の関係にあります。それゆえ、経営者が財務報告に係る内部統制を有効にかつ効率的に構築しようとするならば、各目的の関連性を認識してから、内部統制を整備・運用する必要があります。
また、内部統制については、あらゆる組織に画一的なものが存在しているわけではありません。各々の組織を取り巻く環境や事業の特性等に応じて、内部統制をどのように整備して運用するのかが違ってきます。ゆえに、経営者を始めとする組織内のあらゆる人が、内部統制の機能や役割を効率的に果たすことができるよう工夫していくこととなります。
内部統制の限界として、具体的にはどのようなことが挙げられますか?
経営者は、非常に多くの時間と労力を費やして、自身で内部統制を構築・評価し、監査を受けることとなり.ます。しかし、どれほどの時間や労力を費やして内部統制を構築しても、内部統制にはそれ自体が限界を有しています。経営者によって構築される内部統制は、絶対的な水準のものというわけではなく、その目的を合理的な範囲で果たすための水準であるといえます。
内部統制の限界として、どのようなことが挙げられるでしょうか。
第一に、判断を間違えたり、不注意だったりすることで、内部統制が有効に機能しなくなる可能性があります。例えば、担当者の入力や上司の承認の際に判断の誤りや不注意があったら、その結果を基づいたデータが、だれにも発見されないままで流れていくかもしれません。また、内部統制の基本的な考え方は相互牽制ですので、複数の担当者が共謀すれば、有効に機能しなくなってしまいます。
第二に、初めに想定されていなかった組織内外の環境の変化や非定型的な取引等には、内部統制が対応しない可能性があります。内部統制は、日常的な業務のプロセスにつき構築していくものといえます。想定されるあらゆる事象につき構築するとしたら切りがないだけでなく、想定外の事象が起こる場合もあります。初めに想定していなかった事象が起こったら、すでに構築されている内部統制に頼るだけでなく、新規に対応しなければなりません。
第三に、内部統制の整備や運用に当たっては、便益と費用を比較衡量する必要があります。したがって、費用面から内部統制が低水準のものになってしまう可能性もあるでしょう。
第四に、不当な目的のために、経営者が内部統制を無視したり無効にしたりする場合があります。内部統制は、経営者が自身で構築するものであるために、最終段階で経営者の一声によってどうにでもなってしまうのです。経営者による内部統制の破壊ともいえるものです。ちなみに、正当な権限のある人が経営上の判断で別段の手続きをすることは、内部統制を無視したり無効にしたりすることとは明確に区別されます。
上記のような内部統制の限界を認識しつつ、有効かつ効率的な内部統制を構築することが重要です。
内部統制に関わる人々とその役割について教えてください。
組織内のあらゆる人々を何らかの形で関わらせ、各人が役割や責任を果たしていくことが、内部統制を構築していく上で重要になります。内部統制に関わりを持つことになるのは、経営者、取締役会、監査役か監査役会、内部監査人、組織内におけるその他の人々ですが、以下に、各々の役割や責任につき、簡単に述べます。
1.経営者
経営者には、組織のあらゆる活動につき最終的な責任がありますので、取締役会が決めた基本方針を基に内部統制を整備・運用する役割や責任を負っています。すなわち、日本版SOX法への対応については、第一に経営者が高い意識を有し、先頭に立って行う必要があります。
2.取締役会
取締役会は、内部統制の整備・運用に係る基本方針を決めます。また、経営者の職務執行に関する監査機関ですので、経営者の内部統制の整備・運用についても監督責任を負っています。適切に取締役会が機能しているか否かは、全社的な内部統制に重要な影響を及ぼすほか、業務プロセスに係る内部統制における統制環境の評価に関係してきます。
3.監査役又は監査委員会
監査役か監査委員会は、取締役や執行役の職務の執行に対する監査を行いますので、内部統制の整備・運用状況を独立した立場から監視・検証する役割や責任を負っています。その一方で、内部統制の監査では、監査役や監査委員会の活動を含む経営レベルにおける内部統制の整備・運用状況を、モニタリングや統制環境等の一部として考慮します。
4.内部監査人
内部監査人には、より効果的に内部統制の目的を果たすため、内部統制の基本的要素の一つとされるモニタリングの一環として、内部統制の整備・運用状況を検討・評価し、必要であればその改善を促す職務があります。内部統制の独立的評価において重要な役割を持つことになるため、経営者の直属とされる場合が多いといえます。
5.組織内におけるその他の人々
組織内のその他の人々は、日常業務の中で、組織内における情報と伝達、日常的モニタリング、統制活動等に関わる活動を遂行していて、自身の権限や責任の範囲内で、有効な内部統制の整備・運用につき一定の役割や責任を負っています。
« Older Entries Newer Entries »