全社的な内部統制の構築と評価
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
全社的な内部統制とは?どんなものがあるか?
全社的な内部統制とは、会社を対象として実施され、会社全体に広く影響を及ぼす内部統制です。
英語ではCompany Level Controlと呼ばれ、省略してCLCと表記されます。他にも、Entity Level Controlの略称であるELCという表現も用いられることがあります。
例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等が該当します。
内部統制の評価にあたっては、まず、連結ベースでの財務報告全体に重要な影響を及ぼす全社的な内部統制の評価を行った上で、その結果を踏まえて、業務プロセスに組み込まれ一体となって遂行される内部統制を評価しなければなりません。
必要な全社的な内部統制は、会社の置かれた環境や事業の特性等によって様々ですが、内部統制の基本的要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応の6つの観点から整理して、評価します。
全社的な内部統制(CLCやELC)は、財務報告を含む企業活動全般に広範な影響を及ぼす基盤です。まずは会社全体の方針や体制を整備し、その評価結果を踏まえながら各業務プロセスにおける内部統制を確認する流れが基本となります。
全社的な内部統制の文書化
全社的な内部統制の評価に先立ち、会社にどのような統制が構築されているのかを把握し、記録・保存することを「文書化」といいます。
全社的な内部統制の文書化においては、内部統制評価の実施基準に例示として記載されている評価項目にそった形でチェックリストを作成し、自社の規程等の整備状況を確認したうえで、内部統制を整理します。
この評価項目は、内部統制の基本的要素にわかれており、全部で42項目あります。
必要な内部統制を明確にするために、それぞれの項目を細かい統制目標に細分化してから文書化することもあります。
文書化の段階では、「評価基準に沿ったチェックリストの作成」と「規程・体制の実態把握」が肝心です。全体像を整理することで、後の運用・評価がスムーズになります。
統制環境で求められる内部統制と評価項目
「統制環境」は、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与える基盤です。
財務報告の信頼性に関しては、例えば、利益計上など財務報告に対する姿勢がどのようになっているか、また、取締役会及び監査役等が財務報告プロセスの合理性や内部統制システムの有効性に関して適切な監視を行っているか、さらに、財務報告プロセスや内部統制システムに関する組織的、人的構成がどのようになっているかが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「適正な財務報告を確保するための全社的な方針や手続が示されるとともに、適切に整備及び運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 適正な財務報告についての意向等の表明及びこれを実現していくための方針・原則等の設定
- 取締役会及び監査役等の機能発揮
- 適切な組織構造の構築
内部統制評価の実施基準では、以下13個の評価項目例をあげています。
- 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
- 適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
- 経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の客観的な実施過程を保持しているか。
- 取締役会及び監査役等は、財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し、実行しているか。
- 監査役等は内部監査人及び監査人と適切な連携を図っているか。
- 経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。
- 経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に対して、適切な役割分担を定めているか。
- 経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保・配置しているか。
- 信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、常に適切なものとなっているか。
- 責任の割当てと権限の委任が全ての従業員に対して明確になされているか。
- 従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
- 経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員等の能力を引き出すことを支援しているか。
- 従業員等の勤務評価は、公平で適切なものとなっているか。
統制環境は、組織全体の内部統制意識を育む土台です。経営者や取締役会、監査役等が内部統制を重視する姿勢を示し、適切な組織構造や規程整備を進めることで、信頼性のある財務報告の基盤が形成されます。
リスクの評価と対応で求められる内部統制と評価項目
リスクの評価と対応は、組織目標の達成に影響を与える事象について、その達成を阻害する要因をリスクとして洗い出し、評価し、当該リスクへの適切な対応を行う一連のプロセスです。
財務報告の信頼性に関しては、例えば、新製品の開発、新規事業の立ち上げ、主力製品の製造販売等に伴って生ずるリスクは、基本的には、業務の有効性及び効率性に関連するものですが、会計上の見積り及び予測等、結果として、財務報告上の数値に直接的な影響を及ぼす場合が多いため、これらのリスクが財務報告の信頼性に及ぼす影響等を適切に識別、分析及び評価し、必要な対応を選択していくことが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされること」が重要であり、以下2つのポイントが挙げられます。
- 重要な虚偽記載が発生する可能性のあるリスクの識別、分析
- リスクを低減する全社的な内部統制及び業務プロセスに係る内部統制の設定
内部統制評価の実施基準では、以下4個の評価項目例をあげています。
- 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
- リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
- 経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。
- 経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。
リスクの評価と対応は、財務報告における不正や誤謬の発生を未然に防ぐための要です。事業変化や新規プロジェクトごとにリスクを見直し、経営レベルから適切な判断を下すことで、信頼性の高い財務報告体制を維持できます。
統制活動で求められる内部統制と評価項目
統制活動は、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続であり、権限や職責の付与、職務の分掌等の広範な方針と手続が含まれます。
財務報告の信頼性に関しては、財務報告の内容に影響を及ぼす可能性のある方針及び手続が、経営者の意向どおりに実行されていることを確保すべく、例えば、明確な職務の分掌、内部牽制、並びに継続記録の維持及び適時の実地検査等の物理的な資産管理の活動等を整備することが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告の重要な事項に虚偽記載が発生するリスクを低減するための体制が適切に整備及び運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 権限や職責の分担、職務分掌の明確化
- 全社的な職務規程等や必要に応じた個々の業務手順等の整備
- 統制活動の実行状況を踏まえた、統制活動に係る必要な改善
内部統制評価の実施基準では、以下7個の評価項目例をあげています。
- 信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続を定めているか。
- 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。
- 統制活動に係る責任と説明義務を、リスクが存在する業務単位又は業務プロセスの管理者に適切に帰属させているか。
- 全社的な職務規程や、個々の業務手順を適切に作成しているか。
- 統制活動は業務全体にわたって誠実に実施されているか。
- 統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
- 統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。
統制活動は、組織内での具体的なチェック体制と言えます。職務分掌と内部牽制を明確にし、実際に想定どおりの運用がなされているかを継続的に検証・改善していくことが重要です。
情報と伝達で求められる内部統制と評価項目
情報と伝達は、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられ・共有されることです。
財務報告の信頼性に関しては、例えば、財務報告の中核をなす会計情報について、経済活動を適切に、認識、測定し、会計処理するための一連の会計システムを構築することと、会計情報を適時かつ適切に、関係者に報告するシステムを確保することが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「真実かつ公正な情報が識別、把握及び処理され、適切な者に適時に伝達される仕組みが整備及び運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 明確な意向、適切な指示の伝達を可能とする体制の整備
- 内部統制に関する重要な情報が適時・適切に伝達される仕組みの整備
- 組織の外部から内部統制に関する重要な情報を入手するための仕組みの整備
内部統制評価の実施基準では、以下6個の評価項目例をあげています。
- 信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内の全ての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
- 会計及び財務に関する情報が、関連する業務プロセスから適切に情報システムに伝達され、適切に利用可能となるような体制が整備されているか。
- 内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
- 経営者、取締役会、監査役等及びその他の関係者の間で、情報が適切に伝達・共有されているか。
- 内部通報の仕組みなど、通常の報告経路から独立した伝達経路が利用できるように設定されているか。
- 内部統制に関する企業外部からの情報を適切に利用し、経営者、取締役会、監査役等に適切に伝達する仕組みとなっているか。
情報と伝達は、適切なコミュニケーション網を整備し、組織内外の重要情報を正しく共有する仕組みです。誤った情報や伝達漏れをなくすことが、正確な財務報告の実現につながります。
モニタリングで求められる内部統制と評価項目
モニタリングは、内部統制が有効に機能していることを継続的に評価するプロセスです。
財務報告の信頼性に関しては、例えば、日常的モニタリングとして、各業務部門において帳簿記録と実際の製造・在庫又は販売数量等との照合を行うことや、棚卸において在庫の残高の正確性及び網羅性を監視することなどが挙げられます。
また、独立的評価としては、内部監査部門や監査役等が、財務報告の信頼性を検証するために行う会計監査などが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告に関するモニタリングの体制が整備され、適切に運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 財務報告に係る内部統制の有効性を定時又は随時に評価するための体制の整備
- 内部・外部の通報に適切に対応するための体制の整備
- モニタリングによって把握された内部統制上の問題(不備)が、適時・適切に報告されるための体制の整備
内部統制評価の実施基準では、以下7個の評価項目例をあげています。
- 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
- 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
- モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
- 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
- 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
- モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
- 内部統制に係る開示すべき重要な不備等に関する情報は、経営者、取締役会、監査役等に適切に伝達されているか。
モニタリングの目的は、内部統制の実効性を継続的に維持・向上することにあります。日常的な部門レベルのチェックと、独立部門による定期的な監査の両軸をバランスよく運用していくことが重要です。
ITへの対応で求められる内部統制と評価項目
ITへの対応は、組織目標を達成するために予め適切な方針及び手続を定め、業務の実施において組織の内外のITに対し適時かつ適切に対応することです。
財務報告の信頼性に関しては、財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、必要な内部統制を整備することが必要です。
例えば、情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告に係る内部統制に関するITに対し、適切な対応がなされること」が重要であり、以下2つのポイントが挙げられます。
- IT環境の適切な理解とこれを踏まえたITの有効かつ効率的な利用
- ITに係る全般統制及び業務処理統制の整備
内部統制評価の実施基準では、以下5個の評価項目例をあげています。
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
ITへの対応では、システムと業務フローを総合的に把握し、ITリスクを適切に管理する必要があります。特に財務報告に直結するシステムについては、全般統制と業務処理統制をバランス良く整備することが肝心です。
全社的な内部統制の評価
会社は、全社的な内部統制の整備及び運用状況を毎年評価しなければなりません。その状況が業務プロセスに係る内部統制に及ぼす影響の程度も確認します。
具体的には、チェックリストに整理・記載した自社の内部統制について、関係者への質問や規程等の閲覧、サンプル取引資料の検査を実施することで、整備と運用の状況を確認して、記録します。
整備状況の評価では、主に関係者への質問もしくは規程内容の確認を通じて、方針や制度などが適切に整備されていることを確認し、運用状況の評価で実際に規定通りの運用が行われていることを確認するために、期中の取引資料などを確認します。
全社的な内部統制の場合、業務プロセスと異なり、整備状況と運用状況を明確には分離せずに、同時に評価できることがあります。
例えば、内部通報制度の評価において、関連する会社規程の確認とあわせて、期中の通報件数や通報内容、対応状況も同時に確認するケースが該当します。
全社的な内部統制の評価は、チェックリストを活用し、整備と運用を包括的に確認するプロセスです。特に「運用」が規程どおりに機能しているかどうかがポイントとなります。
全社的な内部統制のよくある不備
全社的な内部統制の構築は、初めてJ-SOX対応が必要となる上場準備会社にとって非常に大変な作業です。
例えば、内部監査部を新たに設置する、リスク管理に係る規程や体制を整備する、コンプライアンス管理のための規程や体制を整備する、内部通報制度を導入するなど、上場にあたって対応しなければならない課題・不備は、ショートレビューや証券会社の審査を通じても洗い出されるので、順次優先順位に留意して順次構築を進めましょう。
全社的な内部統制の不備がある場合、業務プロセスに係る内部統制にも直接又は間接に広範な影響を及ぼし、最終的な財務報告の内容に広範な影響を及ぼすことになります。
全社的な内部統制の不備は、企業全体に深刻なリスクをもたらし、財務報告にも大きく影響する点に注意が必要です。上場準備段階から計画的に整備し、早期に不備を把握・是正することで信頼性の高い経営基盤を構築しましょう。
全社的な内部統制は会社の基盤となる非常に重要なものですから、慎重に取り組む必要があります。
しかし、構築にあたっては、内部統制評価の実施基準に例示された42の各評価項目にこたえるために、具体的にどんな制度を導入すればいいのか、また、現在の状況で上場会社としての合格点に達しているのかどうかなど、判断に迷うことがでてきます。
そういった勘所を抑えるためには、外部コンサルタントの活用を選択肢として検討するのが良いでしょう。
コンサルタントを活用する場合も、言われたとおりに導入するのではなく、自社の組織風土を考慮し、意味のある制度となるように意見交換を行いながら進めましょう。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
内部統制報告書の提出時期が近づく中、ロールフォワードや再テストを含む最終評価作業が重要です。本セミナーでは、有効性判断や報告書の作成方法、改訂実施基準に伴う評価範囲の見直しポイントを、各社・監査法人の最新動向や事例を交えて、実務目線でわかりやすく解説します。
企業不祥事が後を絶たない中、不正リスク対応の重要性が高まっています。本セミナーでは、不正の背景や最近の事例をもとに原因を分析し、早期発見・予防につながる社内の仕組みやチェックポイントを解説。内部監査・不正調査の実施時に押さえるべき実務の留意点も紹介します。
生成AIの急速な普及により、内部監査・内部統制でも活用が現実味を帯びています。本セミナーでは、生成AIの基本知識から活用シナリオ、プロンプト例、導入時の注意点までを実務目線で解説。最新事例を踏まえ、リスクを考慮した安全な活用方法を学べます。
リスクの多様化・複雑化が進む中、部門任せの対応には限界があり、グループ全体でのERM体制構築が求められています。本セミナーでは、ERMの基本から体制の実効性向上や高度化までを実務目線で解説。BCPや危機管理マニュアルの整備に役立つ具体策も紹介します。
生成AIの活用が広がる中、内部監査・統制業務でも新たな活用が現実味を帯びています。本セミナーでは、生成AIの基礎知識から、具体的な活用シナリオやプロンプト例、導入時の注意点までを実務目線で解説。国内外の事例も交え、安全な活用方法を学べます。
生成AIの導入が進む中、内部監査・統制業務でもその活用が現実味を帯びています。本セミナーでは、生成AIの基礎知識から実務での活用シナリオ、導入時の注意点、すぐに使えるプロンプト例までを具体的に解説。最新事例も交え、安全な利活用を実践的に学べます。
リスクの多様化に伴い、グループ全体で対応する全社的リスクマネジメント(ERM)の構築が急務です。本セミナーではERMの基礎から、形骸化を防ぐ運用の高度化まで詳説。BCP策定や危機管理の具体策も紹介し、初心者から実務者まで、実効性ある体制構築のノウハウを分かりやすく解説します。
年度末の内部統制報告書の提出に向け、改訂基準への対応や評価の取りまとめが重要な時期です。本講座では、期末前後の評価実務や有効性の判断、報告書作成のポイントを分かりやすく解説。事例や最新動向を交え、重要な不備を残さないための実効的な進め方を、実務に精通した講師が丁寧に指導します。
年度末の内部統制報告書の提出に向け、評価の集約や改訂基準への対応が急務です。本講座では、重要不備を残さないための評価実務や有効性判断、報告書の作成法を詳説。最新の監査動向や事例を交え、実務に精通した講師が、期末までに評価を完遂するためのポイントを実務本位の視点で分かりやすく指導します。
リスクの多様化に伴い、グループ横断的な「ERM」の構築が急務です。本セミナーでは、形式的な体制から脱却し実効性を高める運用法を、基礎から高度な視点まで網羅。BCP策定や危機管理の基本も交え、初心者から実務者まで役立つ具体策を解説します。PDCAの定着や体制強化を目指す企業の課題解決を支援します。