内部統制の対象会社
- ① 上場企業および会社法での大会社(資本金5億円以上または負債200億円以上の株式会社)が対象になります。
- ② ①以外の会社は、金融商品取引法の対象とはなりませんが、上場企業の連結対象となっている場合は、 親会社による「財務報告に係る内部統制の評価」の対象となります。
- ③ ①②以外の会社は、内部統制の義務はありませんが、経営の健全化のために取り組むことが望まれます。
実施基準の構成
この実施基準は,内部統制の基本的枠組みを説明して,内部統制を実際に行うときの方法を示したものです。(目次)
Ⅰ.内部統制の基本的枠組み
Ⅱ.財務報告に係る内部統制の評価及び報告
Ⅲ.財務報告に係る内部統制の監査
ここでは、主に「基本的枠組み」について説明します。
Ⅰ.内部統制の基本的枠組み
1.内部統制の定義(目的) |
Ⅱ.財務報告に係る内部統制の評価及び報告
1.財務報告に係る内部統制の評価の意義 Ⅲ.財務報告に係る内部統制の監査
1.内部統制監査の目的 |
内部統制の目的と基本的要素
内部統制とは、業務を遂行する上で違法行為や不正,ミスやエラーなどを防止すること、組織が健全かつ有効・効率的に運営されるように基準や業務手続きを定め,管理・監視を行うことであり、経営者が組織目的の達成について合理的な保証を得るためのマネジメントプロセスだといえます。
実施基準では、内部統制とは,次の4つの目的を達成するためのプロセスであると定義し、その目的を達成する6つの基本的要素から構成されるとしています。
実施基準では,この有効性について経営者による評価及び報告並びに公認会計士等による監査を実施する際の方法及び手続についての考え方を示したものです。
内部統制の目的
内部統制を行う目的には次の4つがあります。内部統制は単に財務報告の信頼性を向上させるだけでなく,企業の業務にも有効なことを示しています。
- 業務の有効性及び効率性
- 事業活動の目的の達成のため,業務の有効性及び効率性を高めること
- 財務報告の信頼性
- 財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
- 事業活動に関わる法令等の遵守
- 事業活動に関わる法令その他の規範の遵守を促進すること
- 資産の保全
- 資産の取得,使用及び処分が正当な手続及び承認の下に行われるよう,資産の保全を図ること
基本的要素
基本的要素とは,内部統制の目的を達成するために必要とされる内部統制の構成部分であり,内部統制の有効性の判断の規準となるものです。
- 統制環境
- 誠実性及び倫理観を尊ぶ組織文化や経営者の意向及び姿勢など,組織の気風を決定し,組織内のすべての者の統制に対する意識に影響を与えるとともに,他の基本的要素の基礎となり影響を及ぼす基盤です。
利益計上など財務報告に対する姿勢がどのようになっているか,取締役会や監査役などが適切な監視を行っているか,財務報告プロセスや内部統制システムに関する組織的,人的構成がどのようになっているかなど - リスクの評価と対応
- 組織の目標達成を阻害する要因をリスクとして識別,分析及び評価し,当該リスクへの適切な対応を行う一連のプロセスです。
財務処理での誤処理や不正が生じる危険を調べて,それによる影響を調べて対策を講じることなどがこれにあたります。 - 統制活動
- 経営者は内部統制の整備と運用の責任をもっています。経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続のことです。
明確な職務分掌や内部牽制のしくみ,継続記録の維持及び適時の実地検査等の活動等を整備し,これを組織内の各レベルで適切に分析及び監視することなどがあります。 - 情報と伝達
- 必要な情報が識別,把握及び処理され,組織内外及び関係者相互に正しく伝えられることを確保することです。内部統制の運用は,組織の全員が自らの業務との関連において一定の役割を担っているのですから、情報が的確に共有できる仕組みが求められます。。
- モニタリング
- 内部統制が有効に機能していることを継続的に評価するプロセスです。これにより,内部統制は常に監視、評価され,関係者に報告されたり改善是正されます。業務に組み込まれて行われる日常的モニタリングと業務から独立した視点から経営者や内部監査等を通じて実施される独立的評価があります。
- ITへの対応
- 業務がITに大きく依存していることから,内部統制の目的を達成するために不可欠の要素として,内部統制の有効性に係る判断の規準になります。これは他の基本的要素と独立に存在するというよりも,それらに大きな影響を与える要素だといえます。これに関しては,実施基準におけるIT統制に関しては、「IT統制」で詳述します。
これら4つの目的はそれぞれに独立しているが,相互に関連しています。それぞれの目的を達成するには,すべての基本的要素が有効に機能していることが必要であり,それぞれの基本的要素は,内部統制の目的のすべてに必要になるという関係にあります。
CSA(Control Self Assessment、統制自己評価)
本来、内部監査にあっても、監査部門は監査対象から独立しており、被監査部門とは無関係な部門であるべきだとされています。
それに対して、CSAは、内部監査の効率化のために、監査対象業務をよく知る被監査部門の管理者や担当者を集めて、監査対象の特定の問題や業務プロセスについて議論し自己評価をさせ、その結果を内部監査で活用しようという考え方です。
金商法での内部統制の運用においては、CSAの結果を監査人が独立性を持ち評価することを条件に、CSAの利用を認めているようです。
内部統制報告書の作成と承認
- 経営者と監査人(内部統制監査人)の任務
会計監査では、被監査会社と利害関係をもたない監査法人、公認会計士などの会計監査人による監査が必要なように、内部統制でも同様の内部統制監査人(以下「監査人」という)が必要です。監査人はモニタリングの一環として、内部統制の整備及び運用状況を検討、評価し、必要に応じて、その改善を促す職務です。
金融商品取引法では、財務報告書とともに,
・経営者が財務に関する内部統制を行った内部統制報告書
・その報告書を監査人が監査した監査証明書
の提出が義務づけられています。
内部統制は、企業のコンプライアンスやコーポレートガバナンスのために重要な手段ですから、経営者が基本方針に基づいて内部統制を整備及び運用する役割と最終責任を有するのは当然です。それで報告書は経営者が作成します。
会計監査では監査人が直接に監査しますが、内部統制では企業活動の詳細まで入るので、監査人の業務量が極度に多大になります。それで、経営者が作成した報告書を監査するだけでよいとしています。 - 会計監査人と内部統制監査人の関係
監査法人も加担して粉飾決算を行う事例もあります。それを防ぐには、内部統制監査人は被監査企業だけでなく会計監査人とも独立していることが適切です。
しかし、内部統制監査は会計監査と重複しており、監査証拠は双方で利用できるので、同一監査人のほうが効率的・効果的な監査ができる利点があります。
このような事情により、同一監査人でもよいとしています。 - 軽微事項の除外
財務計算は企業活動のほとんどが関係しています。そのすべてについて厳格な内部統制を実施をするのは、多大な作業・費用が発生し,経営に支障を与えるケースも発生するでしょう。それを避けるために、費用対効果の観点から、金額的にも質的にも軽微なものは対象にしなくてもよいとしています。その「軽微」のレベルは示していませんが、監査人が承認し常識的にも容認できるレベルが求められます。
内部統制報告書に必要な文書
実施基準には明確な基準は示されていないので,どのような文書をどのような形式で作成するかは企業に任されています。ところが実施基準の付録として,「業務の流れ図」「業務記述書」「RCM(リスク・コントロール・マトリックス)」が掲げられており,この3つの文書が標準的な文書だと一般にいわれています。
これらの文書は、「あるべき姿(To Be)」ではなく,「現状(As Is)」を記述するのだということに注意する必要があります。ここでの現状とは,内部統制報告書提出時点のことです。
「現状」は、すっきりと整理されていないのが実情ですから複雑な図表になります。実査の内部統制ではリスクの大きさ(「軽微」かどうかの判断)を把握するためにも詳細にする必要があります。しかし、報告書では可視化が求められるので、「軽微な事項」を省略することもあります。
 |
 |
 |
| (拡大図) | (拡大図) | (拡大図) |
| 業務の流れ図(例) | 業務記述書(例) | RCM(例) |
|---|
金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」2006年11月
http://www.fsa.go.jp/news/18/singi/20061121-2.pdf より
- 業務の流れ図
- 財務への影響が大きい業務について,そのプロセスと責任部門を軸にして,業務での処理の流れを図表にします。これにより,業務の大まかな理解ができます。特に,手作業と情報システムとの関係を明確にすることが大切です。
- 業務記述書
- 流れ図だけでは十分な説明ができないので,業務記述書で明確にします。実際の業務分掌書や職務記述書などの規定類と合致していることが求められます。
業務記述書は、次の事項を保証する必要があります。
- 職務分掌とは、組織において各部署や各役職、担当者の行うべき仕事を配分して、仕事の責任の所在と範囲を明確化することを指します。権限がない者が他者の業務を行えないようにする仕組みでもあります。
- 職務分掌に従って実施されるためには、職務記述書のような実施ルールの設定が必要です。
- 職務分掌での担当者の処理に誤りがないか、不正行為はないかなどの正当性を別人がチェックする体制を確立する必要があります。
- そのチェックをする人は担当者とは職務的に分離されていなければなりません。
- RCM(リスクコントロール・マトリックス)
- リスクと実施している統制項目を記述してリスクの低減度を評価する表です。
各業務について,
・誤りや不正が生じるリスクを列挙し,
・それをどのような方法で防いでいるのか,
・それは実施要件のどれに該当するか,
・実施した結果の評価はどうだったか
を,一覧表の形式にします。
この3つの文書のうち,最も重要で作業が大変なのはRCMです。
- リスクの列挙が不十分だと,適切な内部統制ができません。逆に小さいリスクまでも列挙すると,実際にそれの対処をするのが困難になります。
- 対処の方法も現実に可能な方法にしないと,絵に描いた餅になってしまいます。
- 「要件」は該当要件が不適切だと,リスクと統制内容,評価基準に矛盾が生じます。一般には「実存性」「網羅性」「権利と義務の帰属」「評価の妥当性」「期間配分の適切性」「表示の妥当性」の6項目になります。
- 評価と評価内容の記述のためには,期間中での記録が必要になります。特に◎の評価をするためには,リスクが発生しなかったこと,適切に防げたことを証明することが求められます。逆にいえば,そのモニタリングをできるようにすることが内部統制のポイントだといえます。