この連載では、IPOを目指すJ-SOX導入プロジェクトを担当される方々が、具体的にどのようなアクションをとればよいかを説明します。
IPOを目指す際に、最も苦労する作業といわれるJ-SOX導入。「J-SOX導入プロジェクト」を担当される実務家の方が「何をすれば良いのか」、「どのように進めれば良いのか」といった具体的なイメージを描けるよう、実際のゴールとなる「成果物」、「具体的なアクション」に焦点を当てて話を進めたいと思います。
はじめに
JSOX(内部統制報告制度)は、社内に存在する内部統制が適切に整備、運用されているかについて年間を通じて検証する作業です。会社の内部統制には検証作業を通じて不備が検出される場合もあります。この後、複数回にわたり、JSOX(内部統制報告制度)において、内部統制に含まれる「不備」が「どのように検出されるか」を記載したいと思います。
今回は「内部統制」が「財務報告に係る内部統制の評価及び監査の基準」においてどのように定義されているかを確認したいと思います。
「内部統制の不備とは何か」は「内部統制」の定義を確認することで、より明確に理解できるようになると思います。
内部統制の定義
「財務報告に係る内部統制の評価及び監査の基準」において、内部統制は以下のように定義されています。
「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。」
各用語の詳細な意義は後述しますので、まずは上述の記載から、内部統制には「4つの目的」があり、「6つの基本的要素」から構成されているという点を抑えてください。
内部統制の4つの目的
「財務報告に係る内部統制の評価及び監査の基準」において定義される、内部統制の4つの目的は以下となります。
1.業務の有効性及び効率性とは、事業活動の目的の達成のため、業務の有効性及び
効率性を高めることをいう。
2.財務報告の信頼性とは、財務諸表及び財務諸表に重要な影響を及ぼす可能性のあ
る情報の信頼性を確保することをいう。
3.事業活動に関わる法令等の遵守とは、事業活動に関わる法令その他の規範の遵守
を促進することをいう。
4.資産の保全とは、資産の取得、使用及び処分が正当な手続及び承認の下に行われ
るよう、資産の保全を図ることをいう。
特に「2.」の「財務報告の信頼性」は頻出する重要キーワードとなりますので、まずはこちらから抑えていただくことが良いかと思います。
内部統制の6つの基本的な要素
「財務報告に係る内部統制の評価及び監査の基準」では「内部統制の基本的要素とは、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つ。」とし、「内部統制の目的を達成するために必要とされる内部統制の構成部分をいい、内部統制の有効性の判断の規準となるもの。」と定義しています。
内部統制の検証は、上述6つの各構成要素が社内において適切に整備、運用されているかを検証することと同義となります。
上述の定義詳細は以下となります。
(1) 統制環境とは
統制環境とは、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤をいいます。
統制環境の例示として「財務報告に係る内部統制の評価及び監査の基準」には以下の例示が挙げられています。
① 誠実性及び倫理観
② 経営者の意向及び姿勢
③ 経営方針及び経営戦略
④ 取締役会及び監査役、監査役会、監査等委員会又は監査委員会(以下「監査
役等」という。)の有する機能
⑤ 組織構造及び慣行
⑥ 権限及び職責
⑦ 人的資源に対する方針と管理
(2) リスクの評価と対応とは
リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいいます。
①リスクの評価とは
リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいいます。リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価します。
②リスクへの対応とは
リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいいます。リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択することを意味します。
(3) 統制活動とは
統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいいます。統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内の全ての者において遂行されることにより機能するものと定義されています。
(4) 情報と伝達とは
情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいいます。組織内の全ての者が各々の職務の遂行に必要とする情報は、適時かつ適切に、識別、把握、処理及び伝達されなければなりません。また、必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内の全ての者に共有されることが重要です。一般に、情報の識別、把握、処理及び伝達は、人的及び機械化された情報システムを通して行われます。
①情報とは
組織内の全ての者は、組織目標を達成するため及び内部統制の目的を達成するため、適時かつ適切に各々の職務の遂行に必要な情報を識別し、情報の内容及び信頼性を十分に把握し、利用可能な形式に整えて処理することが求められます。
②伝達とは
イ. 内部伝達
組織目標を達成するため及び内部統制の目的を達成するため、必要な情報が適時に組織内の適切な者に伝達される必要があります。経営者は、組織内における情報システムを通して、経営方針等を組織内の全ての者に伝達するとともに、重要な情報が、特に、組織の上層部に適時かつ適切に伝達される手段を確保する必要があります。
ロ. 外部伝達
法令による財務情報の開示等を含め、情報は組織の内部だけでなく、組織の外部に対しても適時かつ適切に伝達される必要があります。また、顧客など、組織の外部から重要な情報が提供されることがあるため、組織は外部からの情報を適時かつ適切に識別、把握及び処理するプロセスを整備する必要があります。
(5) モニタリングとは
モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいいます。モニタリングにより、内部統制は常に監視、評価及び是正されることになります。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価があるとされています。両者は個別に又は組み合わせて行われる場合があると定義されています。
①日常的モニタリング
日常的モニタリングは、内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいいます。
②独立的評価
独立的評価は、日常的モニタリングとは別個に、通常の業務から独立した視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取締役会、監査役等、内部監査等を通じて実施されるものと定義されています。
③評価プロセス
内部統制を評価することは、それ自体一つのプロセスです。内部統制を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要素を予め十分に理解する必要があるとされています。
④内部統制上の問題についての報告
日常的モニタリング及び独立的評価により明らかになった内部統制上の問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に情報を報告する仕組みを整備することが必要とされています。この仕組みには、経営者、取締役会、監査役等に対する報告の手続が含まれます。
(6)ITへの対応とは
ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいいます。
ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となるとされています。ITへの対応は、IT環境への対応とITの利用及び統制からなります。
①IT環境への対応とは
IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいいます。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要があります。
IT環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価されます。
②ITの利用及び統制とは
ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいいます。ITの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価されます。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになります。
まとめ
今回は、次回以降の内部統制の「不備」の考え方を理解するために、「財務報告に係る内部統制の評価及び監査の基準」における基本的な用語の定義を確認しました。「財務報告に係る内部統制の評価及び監査の基準」を適切に理解するためには、記載に用いられる用語の定義を正確に理解することが大切です。
「財務報告に係る内部統制の評価及び監査の基準」の記載を確認する際は、用語の定義も確認するとより理解が深まるものと思います。
個別転職相談(無料)のご予約はこちらから
最新記事はKaikeiZine公式SNSで随時お知らせします。
◆KaikeiZineメルマガのご購読(無料)はこちらから!
おすすめ記事やセミナー情報などお届けします
【メルマガを購読する】
(関連記事)
IPO担当者必見!内部統制構築の奥義
【第2回】3点セットの完成までに越えなければならない「二つの壁」
【第3回】非公式「 J-SOXチーム」を作るためのたった一つの方法
【第4回】J-SOX担当者にとって最もプレッシャーのかかる「監査法人対応」
