はじめまして!今回から、【内部統制ナビ】にコラムを連載させて頂くことになりました杉本と申します。
J-SOXの日本での導入当初から、内部統制コンサルティングに約15年間携わって参りましたが、今回のコラムでは、今までの実務経験やコンサルティング経験などを踏まえて、分かりやすくかつ具体的に説明させて頂きますので、何とぞ宜しくお願い致します。
本コラムの全体像と配信予定は、以下の通りです。
今回は、「1.内部統制の基本」として、「①内部統制の全体像とステップ」についてご説明致します。
そもそも内部統制とは
金融庁企業会計審議会が公表している「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準(以下J-SOX実施基準)」によれば、内部統制(広義)は以下の通り定義されています。
「業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守、資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応の6つの基本的要素から構成される。」
このように、内部統制(広義)とは、英字「Internal Control」の通り、企業内の日常業務に組み込まれ、企業の全ての役職員によって遂行されるもので、承認や照合・チェックなど相互牽制の仕組みを意味します。内部統制を構築する中で、リスクを抽出し、リスクを低減するコントロールを整備・運用し、評価することになりますが、内部統制を構築するのは経営者の責任であり、内部監査部門がその整備・運用状況を保証します。
一連の内部統制の仕組みを構築することにより、非効率や誤謬(間違い)、不正・違法などを事前に防止したり、事後に発見することに繋がります。
内部統制とJ-SOX(=財務報告に係る内部統制)
会社法では、大会社(資本金5億円以上または負債総額200億円以上の会社)を対象に、内部統制(広義)システムの構築を義務付けていますが、会社法の内部統制システムには、「財務報告の信頼性」という目的は定められていません。
一方で、金融商品取引法が、「財務報告の信頼性」を確保するための内部統制として、「財務報告に係る内部統制」つまり「J-SOX」を定めています。J-SOXは、決算の誤謬・不正の防止・発見を目的とした内部統制ですが、金融商品取引法によりJ-SOXの整備・運用・評価が上場企業の法的義務となっています。
日本でのJ-SOX導入後の経緯
日本では、カネボウや西武鉄道などの粉飾決算が契機となり、米国のSOX法にならい、2008年にJ-SOXが導入されました。その後、「緩和」の流れと「厳格化」の流れが相互に現れ、制度が揺れた時期もありましたが、2015年の東芝の粉飾決算、2018年の日産自動車や神戸製鋼所などの開示不正(検査偽装)以降は、J-SOXの運用が一段と強化されています。
J-SOXの全体像
J-SOXは、下記の通り、①全社的な内部統制、②業務プロセスに係る内部統制、③FCRP(決算・財務報告プロセス)に係る内部統制、④IT統制の4つの内部統制から構成されます。
① 全社的な内部統制とは、企業全体に広く影響を及ぼし、企業全体を対象とする内部統制であり、基本的には企業集団全体を対象とする内部統制を意味します。
② 業務プロセスに係る内部統制とは、販売プロセスや購買プロセス、棚卸資産プロセスなど、個々の業務プロセスにおける内部統制であり、承認・照合・ダブルチェックなどのコントロールを意味します。
③ FCRP(決算・財務報告プロセス)に係る内部統制とは、決算体制、単体・連結決算や開示手続など、決算プロセスにおける内部統制を意味します。
④ IT統制とは、ITを利用した内部統制を意味し、IT全般統制(システムの開発・保守、運用・管理、安全性確保、外部委託管理)とIT業務処理統制(入力管理・データ管理・出力管理・スプレッドシート管理など)に分かれます。
この4つの内部統制について、本コラムで詳細に説明していきます。
J-SOXでは、まず全社統制を評価して、適切な統制が全社的に機能しているかどうかについて心証を得てから、財務報告に関わる重要な虚偽の表示につながるリスクに着眼して、業務プロセスに係る内部統制の評価を行うことになります。このように、日本のJ-SOXでは、「トップダウン型」のリスクアプローチを採用しています。
J-SOXの進め方
J-SOXのステップは、上記の通り、①方針・評価計画の策定、②文書化、③整備・運用、④有効性評価に分かれます。
① まず、内部統制基本方針(内部統制規程のようなもの)を策定した上で、毎期、内部統制評価計画を策定します。内部統制評価計画には、4つの内部統制ごとに評価範囲を定める他、評価スケジュールや評価体制などを定めることになります。
② 次に、4つの内部統制ごとに、当社の内部統制手続を可視化し、文書化を行います。当初は「To Be」=あるべき内部統制を記述して、それに向けて業務改善を行うことになりますが、上場会社が評価を行う時点では、「As Is」=現状有姿の内部統制を記述していなければなりません。
全社統制では、J-SOX実施基準に明示された42項目に沿って文書化を行います。
業務プロセスに係る内部統制では、文書化3点セット(フローチャート・業務記述書・リスクコントロールマトリクス)を作成します。
FCRP(決算・財務報告プロセス)に係る内部統制では、全社的な観点での内部統制と、決算固有プロセスに分けて、内部統制手続を記述します。
IT統制では、IT全社統制・IT全般統制・IT業務処理統制に分けて、文書化を行います。
③ 文書化の記述内容に沿って、社内の内部統制を整備し、必要に応じて業務改善を行います。その上で、内部統制を運用し定着化を図ります。
④ 内部監査部門が、内部統制の整備状況と運用状況の有効性を毎期評価します。業務プロセスに係る内部統制では、整備状況の有効性評価を「ウォークスルー」、運用状況の有効性評価を「サンプルテスト」と呼ぶこともあります。有効性評価の結果、不備が発見された場合は、期中に改善を行い、期末までに内部監査部門が改善状況を検証=「フォローアップ」することになります。期中の評価が有効の場合、期末時点でも引き続き内部統制が有効であることを 「ロールフォワード」と呼ばれる手続で検証します。
期末時点での内部統制評価結果について、経営者名で「内部統制報告書」を作成し、有価証券報告書とともに開示します。
4つの内部統制ごとに、文書化(メンテナンス)⇒整備・運用⇒有効性評価を毎年実施することになりますので、経営者の主導のもとで、関連部署が一体となって整備・運用・評価を行う体制を構築する必要があります。J-SOX体制の構築には、経営のコミットメントとJ-SOX統括部署の設置、独立的な内部監査部門によるモニタリングが必須となります
4つの内部統制と有効性評価
J-SOXでは、4つの内部統制について体制を構築したうえで、毎期末時点で、整備状況および運用状況の有効性評価を行うことが求められます。整備状況・運用状況の有効性評価のポイントは、以下の通りです。
J-SOX対応スケジュール
例えば、3月決算企業の場合、J-SOX対応年間スケジュールは概ね以下の通りとなります。このように、年間通してJ-SOX対応が必要となりますので、経営者のコミットメントのもとで、J-SOX統括部署と内部監査部門が緊密に連携しながら、各担当部署を巻き込んで全社的に推進することが重要となります。
さいごに
初回のコラム「1.内部統制の基本/①内部統制の全体像とステップ」は、以上で終わりです。最後までお読み頂き、誠に有難うございます。如何だったでしょうか?
内部統制について一言で説明するのは非常に難しく、何層にも分野を分けて説明しないと全体像が見えてこない、とても複雑な仕組みとなっています。次回以降は、「2.内部統制の構成」として、4つの内部統制ごとに、ポイントを説明して行きます。
それでは、次回は、「全社統制」について2022年11月を目処にリリースさせて頂きますので、宜しくお願い致します。
コメント