【 ここから本文 】
- TOP
- > Topics : コンプライアンス
- >
コンプライアンス
ソーシャルブックマークに登録 :
印刷用ページの表示
日本版SOX法の最新事情/対応のポイントを知る
金融商品取引法の要点と内部統制評価の進め方を指南
(2006年11月24日)
内部統制プロジェクト推進時のポイント
(1)評価プロセスを記録・保存する
財務報告に係る内部統制を評価するためには、業務プロセスやさまざまな規則・手続きを策定して、文書化を行っていくことになる。この作業は、今回の制度への対応で求められる作業の中でも特に時間、コスト、労力を要するものである。
注意すべきは、内部統制の評価プロセスも監査の対象となるため、適切な承認に基づき、記録・保存しなければならないことである。評価プロセスの記録・保存に関する規則も設ける必要がある。
(2)ITに関する統制には早めに取り組む
上述したように、今回の制度が求める内部統制の評価では、ITへの対応が必須となる。ITに関する内部統制には、財務報告を行うための業務プロセスに組み込まれた情報システムによる内部統制(以下、IT業務処理統制)、IT業務処理統制が有効に機能する環境であることを証明するための内部統制(以下、IT全般統制)がある。
例えば、会計システムに組み込まれた貸借のバランスをチェックする機能はIT業務処理統制である。また、会計システムや販売システムなどが稼働している環境とそれらの開発環境を分離して、承認がないシステム変更を防止すること、会計データやシステムへのアクセスを管理することはIT全般統制となる。
こうしたITに関する内部統制に不備がある場合、是正には時間がかかることが多い。例えば、会計データへのアクセス管理に問題があった場合、状況によってはプログラムの変更が必要となり、それには相当の時間とコストがかかる。なお、情報システム全般のアイデンティティ/アクセス管理の見直し、あるいは変更管理の仕組みの整備など、IT全般統制に含まれる作業は、財務統制に係る内部統制への対応の範囲外となるケースもあるが、その場合も、リスク・マネジメントの観点からは有益である。したがって、ITに関する統制には、コストと人的リソースのバランスを取りながら早めに取り組む必要がある。
(3)不備を速やかに改善する
内部統制の不備は、プロジェクトを推進する前に財務諸表監査で監査人に指摘を受けたり、また、プロジェクトの推進中に気づいたりといった形で発見される。そのような内部統制の不備は速やかに改善しなければならない。改善に多くの経営資源(人、金、時間など)がかかる場合は、サブプロジェクトを立ち上げる。特に、情報システムのプログラム/運用変更、人員の増強が必要となる内部統制の不備(例えば、職務の分離が十分でないため、新たに人員を増強しなければならないなど)については、早めの対応が望まれる。
(4)監査人と緊密なコミュニケーションを図る
財務報告に係る内部統制の評価およびそのプロセスが適切かどうかの最終的な判断は、財務諸表監査を行っている監査人が行う。したがって、プロジェクト推進プロセスの最後に、監査人から評価とそのプロセスが適切でないという意見をもらわないよう、プロジェクトの推進状況および懸念事項などについて、常に監査人とコミュニケーションを図っておく必要がある。監査人は特定の事象を取り上げて、それが適切かどうか回答することはない(限られた情報を基に監査人が判断を示すことはない)と思うが、明らかに問題がある場合には何らかのシグナルを発することもあろう。
なお、本制度対応における監査人の独立性については、日本公認会計士協会倫理委員会が公表している「倫理委員会報告第1号 職業倫理に関する解釈指針 2.財務報告に係る内部統制に関する助言・指導業務」に詳細が記載されているので、参考にされたい。
(5)評価範囲となる委託先に早期に対応してもらう
情報システムの開発・運用、給与計算、年金資産の運用といった業務プロセスの一部または全体を、外部委託先に任せている場合は、委託先の業務プロセスも内部統制の評価対象となる。しかし、委託先は内部統制に対応するために何をすればよいのかということを十分に理解していない場合が多い。そのため、内部統制の対象となる委託先には、早めにその事実を伝えて、対応について協議を行う必要がある。
委託先が行っている業務プロセスの評価は、委託元が委託先の業務プロセスを文書化して評価する方法と、監査人が有効性を認めた委託先の内部統制の評価報告書を入手する方法の2パターンがある。ちなみに、後者で用いられる報告書は、日本公認会計士協会監査基準委員会報告書第18号に基づき作成される。
後者についてはいくつか留意点がある。1つは、報告書発行の費用負担の配分から、対応に時間がかかることが予想されることである。もう1つは、入手した監査法人の評価報告書をそのまま利用するのではなく、記載されている評価範囲が自社の業務プロセスの評価において十分か、評価結果が妥当であるかを検討しなければならないことである。
(6)継続的な評価・監査体制を構築する
内部統制の推進と言うと、文書化やリスクの可視化といった体制の整備ばかりに力点が置かれがちだが、実際には、評価・監査の結果を受けて、不備を改善するという継続的なサイクルを回していくことが重要である。
それには、最終的な内部統制報告書の内容に責任を持つ主体(例:経営委員会)、内部監査の体制、評価結果を集約する部署(例:経理部門、場合によっては内部監査部門)を決定して、評価体制を整備する必要がある。
内部統制プロジェクト運用時のポイント
内部統制プロジェクト・チームが中心となって行う以上のプロセスにより、今回の制度が求める内部統制が確立されることになる。しかしながら、このプロジェクトはもちろんこれで終わりではなく、これ以降は確立された内部統制の維持という「運用」段階に入ることになる。
内部統制の評価は、多くの企業がこれまで実施していなかったことを行わなければならないというところに特徴がある。したがって、今回の制度が適用される初年度においては、その対応が優先され、業務の効率性がある程度犠牲になるのはやむをえない。
しかし本来は、内部統制の評価を効率よく行うことでコストと時間を抑えて、企業の本来の目的である付加価値の創造、つまり利益を上げるべきである。そこで、内部統制を維持する際のポイントを、米国企業の取り組みを参考に2点紹介しよう。
(1)内部統制に関する教育を継続的に実施する
内部統制は業務プロセスに組み込まれるものであって、業務プロセスに付加されるものではない。しかし、適用初年度はこなれていないため、どうしても後者のような運用になってしまう。そうした状況を改善するには、従業員に対して、内部統制に対する意識、知識、実行力を習得できる機会を与えていくことが大切である。
(2)内部統制の標準化、モジュール化、自動化に取り組む
財務報告に係る内部統制の評価は、プログラムによって自動化されている内部統制(IT業務処理統制)が多いほど効率的に行える。内部統制の自動化は、各プロセスの標準化とモジュール化によって実現できる。これより、多くの局面で内部統制を共通利用することが可能になり、整備・運用のみならず、評価の効率化も図られる。
以上、財務報告に係る内部統制の確立および評価に取り組むうえでのポイントについて解説してきた。金融商品取引法によって内部統制の適用時期が決定されたが、基準案、実施基準が不明ななかで、プロジェクトを推進しなければならないことに、苦慮している企業も多いだろう。だがここでは、内部統制の推進は、単なるコンプライアンスではなく、企業をよりよくしていくための手段であると位置づけ、前向きに取り組んでいかれることを重ねてお勧めしておきたい。
