内部統制報告制度(J-SOX)の見直し_全社的な内部統制の評価
内部統制評価(J-SOX)を前向きに見直す時期が来ています。
内部統制の評価制度が導入されて十数年過ぎました。当該制度を利用し内部監査を社内に浸透させていき成果を上げている会社もあれば、その一方、制度導入時に作成された計画書や3点セットを表面上だけ更新し続け、内部監査を形骸化させていってしまっている会社もあります。
制度導入より十数年過ぎて、内部統制評価を担当した内部監査人も世代交代の時期に来ています。
次の世代の内部監査人は、これから先の内部監査に内部統制評価制度をどのように利用していくのか考える時期に来ています。
積極的に内部監査に利用していく
少なくとも省力化は図る
粛々と前例を踏襲していく
どの態度をとるも正解ですが、
制度導入後の改定で、いささか内部統制制度が骨抜きになってしまったのは事実ですが、制度は制度として残っており、社外からの外圧としての明文にもなれば、内部監査実施の道具としても使えます。この制度の利用価値は少しも損なわれていませんよ。
使い方次第で成果は大きく変わります。
全社的な内部統制の評価を省力化するポイント
評価範囲の選定、評価方法の絞込、評価のローテーション、評価作業の定型化
評価範囲の選定:重要性が僅少な事業拠点は全社的な内部統制の評価対象から除外
「財務報告に対する影響の重要性が僅少である事業拠点」の判断基準を明確に文書化しておく(例えば、売上高で全体の95%に入らないような連結子会社は僅少なものとして、評価の対象からはずすといった取扱いが考えられる)
評価方法の絞込:重要性が僅少でない事業拠点、重要性が高い事業拠点は実施基準の評価項目(42項目)によって評価し、重要性が高くない事業拠点については実施基準の評価項目(42項目)のうち自社に取って重要な項目に絞る
評価作業のローテーション:運用状況の評価はローテーションが可能(前年度の評価結果が有効であり、かつ、前年度の整備状況と重要な変更がない項目について)事業拠点単位ごとに運用状況のローテーションの判断ができる
評価作業の定型化:全社的な内部統制の評価で閲覧する資料は毎回ほぼ変わらない、依頼する時期、依頼する資料名および依頼先(部署、個人名)を依頼書として作成しておく
全社的な内部統制の評価
全社的な内部統制を評価するときは、評価対象となる内部統制全体を適切に理解及び分析した上で、必要に応じて関係者への質問や記録の検証などの手続を実施する。
全社的な内部統制の評価の実施時期
経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。
業務プロセスに係る内部統制の評価より前に、全社的な内部統制の評価を実施する
運用状況の評価はローテーションが可能(前年度の評価結果が有効であり、かつ、前年度の整備状況と重要な変更がない項目について)
運用状況の評価をローテーションで実施するには、少なくとも整備評価は早い時期に実施する
全社的な内部統制の評価項目例
実務上、実施基準に記載されている42項目(下記に記載)を基準に多少のアレンジを加えて評価項目が決定されています。
42項目をさらにそれぞれ3項目ずつくらい細分化して評価項目が作成されていることが多いです。
下記を数えると42項目あります。
(参考1)
財務報告に係る全社的な内部統制に関する評価項目の例(42項目)
統制環境
経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の客観的な実施過程を保持しているか。
取締役会及び監査役又は監査委員会は、財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し、実行しているか。
監査役又は監査委員会は内部監査人及び監査人と適切な連携を図っているか。
経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。
経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に対して、適切な役割分担を定めているか。
経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保・配置しているか。
信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、常に適切なものとなっているか。
責任の割当てと権限の委任がすべての従業員に対して明確になされているか。
従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員等の能力を引き出すことを支援しているか。
従業員等の勤務評価は、公平で適切なものとなっているか。
リスクの評価と対応
信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。
経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。
統制活動
信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続を定めているか。
経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。
統制活動に係る責任と説明義務を、リスクが存在する業務単位又は業務プロセスの管理者に適切に帰属させているか。
全社的な職務規程や、個々の業務手順を適切に作成しているか。
統制活動は業務全体にわたって誠実に実施されているか。
統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。
情報と伝達
信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
会計及び財務に関する情報が、関連する業務プロセスから適切に情報システムに伝達され、適切に利用可能となるような体制が整備されているか。
内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。
内部通報の仕組みなど、通常の報告経路から独立した伝達経路が利用できるように設定されているか。
内部統制に関する企業外部からの情報を適切に利用し、経営者、取締役会、監査役又は監査委員会に適切に伝達する仕組みとなっているか。
モニタリング
日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
内部統制に係る開示すべき重要な不備等に関する情報は、経営者、取締役会、監査役又は監査委員会に適切に伝達されているか。
ITへの対応
経営者は、ITに関する適切な戦略、計画等を定めているか。
経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
当方は、京都を中心に個人で活動している公認会計士です。
個人で活動している会計士は珍しいと思います。
興味を持たれましたらメインページもご参照ください。
他にも情報提供しているブログのリンクまとめも載せてます。
メインページ:IPO準備の準備