この連載では、IPOを目指すJ-SOX導入プロジェクトを担当される方々が、具体的にどのようなアクションをとればよいかを説明します。
IPOを目指す際に、最も苦労する作業といわれるJ-SOX導入。「J-SOX導入プロジェクト」を担当される実務家の方が「何をすれば良いのか」、「どのように進めれば良いのか」といった具体的なイメージを描けるよう、実際のゴールとなる「成果物」、「具体的なアクション」に焦点を当てて話を進めたいと思います。
はじめに
JSOX(内部統制報告制度)は、社内に存在する内部統制が適切に整備、運用されているかについて年間を通じて検証する作業です。会社の内部統制には検証作業を通じて不備が検出される場合もあります。複数回にわたり、JSOX(内部統制報告制度)において、内部統制に含まれる「不備」が「どのように検出されるか」を記載します。
前回はITに関連する内部統制の「不備」について記載しました。ITに対する統制活動は、「全般統制」と「業務処理統制」の二つから構成され、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となります。JSOX導入時に実務を担当される方は「IT全般統制」と「IT業務処理統制」に不備が検出された場合、それぞれ以下の性質を有することを抑えておいてください。
①「ITに係る全般統制」に不備が生じた場合、直ちに開示すべき重要な不備と評価されるものではないこと。
②「ITに係る業務処理統制」に不備が生じた場合、同じ種類の誤りが繰り返されている可能性があることから影響が及ぶ範囲に特に留意が必要であること。
今回は、これまでに記載した内容を踏まえ、JSOX(内部統制報告制度)において内部統制の「不備」が最終的にどのように整理されるかを記載したいと思います。
内部統制評価の評価時点は「期末日」
経営者は、有効な内部統制の整備及び運用の責任を負う者として、財務報告に係る内部統制を評価します。経営者は、内部統制の評価に当たって、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制(「全社的な内部統制」という。)の評価を行った上で、その結果を踏まえて、業務プロセスに組み込まれ一体となって遂行される内部統制(「業務プロセスに係る内部統制」という。)を評価することとされています。
この経営者による内部統制評価は、「期末日」を評価時点として行います。
企業において具体的にどのような内部統制を整備及び運用するかは、個々の企業の置かれた環境や事業の特性等によって様々です。経営者は、内部統制の枠組み及び評価の基準を踏まえて、それぞれの企業の状況等に応じて自ら適切に内部統制を整備及び運用するものとされています。
経営者は、全社的な内部統制の整備及び運用状況、並びに、その状況が業務プロセスに係る内部統制に及ぼす影響の程度を評価します。その際、経営者は、組織の内外で発生するリスク等を十分に評価するとともに、財務報告全体に重要な影響を及ぼす事項を十分に検討しなければなりません。例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等がこれに該当します。
経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる内部統制の範囲内にある業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす統制上の要点を選定し、当該統制上の要点について内部統制の基本的要素が機能しているかを評価します。
経営者は、財務報告に係る内部統制の有効性の評価を行った結果、統制上の要点等に係る不備が「財務報告に重要な影響を及ぼす可能性が高い場合」は、当該内部統制に開示すべき重要な不備があると判断しなければなりません。
経営者による評価の過程で発見された財務報告に係る内部統制の不備(開示すべき重要な不備を含む。)は、適時に認識し、適切に対応される必要があります。 開示すべき重要な不備が発見された場合であっても、それが報告書における評価時点(期末日)までに是正されていれば、財務報告に係る内部統制は有効であると評価するができます。上述でも記載しましたが内部統制評価は、「期末日」を評価時点として実施されるためです。
なお、期末日後に実施した是正措置については、報告書に付記事項として記載します。