全社的な内部統制の構築と評価
経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
全社的な内部統制とは?どんなものがあるか?
全社的な内部統制とは、会社を対象として実施され、会社全体に広く影響を及ぼす内部統制です。
英語ではCompany Level Controlと呼ばれ、省略してCLCと表記されます。他にも、Entity Level Controlの略称であるELCという表現も用いられることがあります。
例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等が該当します。
内部統制の評価にあたっては、まず、連結ベースでの財務報告全体に重要な影響を及ぼす全社的な内部統制の評価を行った上で、その結果を踏まえて、業務プロセスに組み込まれ一体となって遂行される内部統制を評価しなければなりません。
必要な全社的な内部統制は、会社の置かれた環境や事業の特性等によって様々ですが、内部統制の基本的要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応の6つの観点から整理して、評価します。
全社的な内部統制(CLCやELC)は、財務報告を含む企業活動全般に広範な影響を及ぼす基盤です。まずは会社全体の方針や体制を整備し、その評価結果を踏まえながら各業務プロセスにおける内部統制を確認する流れが基本となります。
全社的な内部統制の文書化
全社的な内部統制の評価に先立ち、会社にどのような統制が構築されているのかを把握し、記録・保存することを「文書化」といいます。
全社的な内部統制の文書化においては、内部統制評価の実施基準に例示として記載されている評価項目にそった形でチェックリストを作成し、自社の規程等の整備状況を確認したうえで、内部統制を整理します。
この評価項目は、内部統制の基本的要素にわかれており、全部で42項目あります。
必要な内部統制を明確にするために、それぞれの項目を細かい統制目標に細分化してから文書化することもあります。
文書化の段階では、「評価基準に沿ったチェックリストの作成」と「規程・体制の実態把握」が肝心です。全体像を整理することで、後の運用・評価がスムーズになります。
統制環境で求められる内部統制と評価項目
「統制環境」は、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与える基盤です。
財務報告の信頼性に関しては、例えば、利益計上など財務報告に対する姿勢がどのようになっているか、また、取締役会及び監査役等が財務報告プロセスの合理性や内部統制システムの有効性に関して適切な監視を行っているか、さらに、財務報告プロセスや内部統制システムに関する組織的、人的構成がどのようになっているかが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「適正な財務報告を確保するための全社的な方針や手続が示されるとともに、適切に整備及び運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 適正な財務報告についての意向等の表明及びこれを実現していくための方針・原則等の設定
- 取締役会及び監査役等の機能発揮
- 適切な組織構造の構築
内部統制評価の実施基準では、以下13個の評価項目例をあげています。
- 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
- 適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
- 経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の客観的な実施過程を保持しているか。
- 取締役会及び監査役等は、財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し、実行しているか。
- 監査役等は内部監査人及び監査人と適切な連携を図っているか。
- 経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。
- 経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に対して、適切な役割分担を定めているか。
- 経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保・配置しているか。
- 信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、常に適切なものとなっているか。
- 責任の割当てと権限の委任が全ての従業員に対して明確になされているか。
- 従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
- 経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員等の能力を引き出すことを支援しているか。
- 従業員等の勤務評価は、公平で適切なものとなっているか。
統制環境は、組織全体の内部統制意識を育む土台です。経営者や取締役会、監査役等が内部統制を重視する姿勢を示し、適切な組織構造や規程整備を進めることで、信頼性のある財務報告の基盤が形成されます。
リスクの評価と対応で求められる内部統制と評価項目
リスクの評価と対応は、組織目標の達成に影響を与える事象について、その達成を阻害する要因をリスクとして洗い出し、評価し、当該リスクへの適切な対応を行う一連のプロセスです。
財務報告の信頼性に関しては、例えば、新製品の開発、新規事業の立ち上げ、主力製品の製造販売等に伴って生ずるリスクは、基本的には、業務の有効性及び効率性に関連するものですが、会計上の見積り及び予測等、結果として、財務報告上の数値に直接的な影響を及ぼす場合が多いため、これらのリスクが財務報告の信頼性に及ぼす影響等を適切に識別、分析及び評価し、必要な対応を選択していくことが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告の重要な事項に虚偽記載が発生するリスクへの適切な評価及び対応がなされること」が重要であり、以下2つのポイントが挙げられます。
- 重要な虚偽記載が発生する可能性のあるリスクの識別、分析
- リスクを低減する全社的な内部統制及び業務プロセスに係る内部統制の設定
内部統制評価の実施基準では、以下4個の評価項目例をあげています。
- 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。
- リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。
- 経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。
- 経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。
リスクの評価と対応は、財務報告における不正や誤謬の発生を未然に防ぐための要です。事業変化や新規プロジェクトごとにリスクを見直し、経営レベルから適切な判断を下すことで、信頼性の高い財務報告体制を維持できます。
統制活動で求められる内部統制と評価項目
統制活動は、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続であり、権限や職責の付与、職務の分掌等の広範な方針と手続が含まれます。
財務報告の信頼性に関しては、財務報告の内容に影響を及ぼす可能性のある方針及び手続が、経営者の意向どおりに実行されていることを確保すべく、例えば、明確な職務の分掌、内部牽制、並びに継続記録の維持及び適時の実地検査等の物理的な資産管理の活動等を整備することが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告の重要な事項に虚偽記載が発生するリスクを低減するための体制が適切に整備及び運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 権限や職責の分担、職務分掌の明確化
- 全社的な職務規程等や必要に応じた個々の業務手順等の整備
- 統制活動の実行状況を踏まえた、統制活動に係る必要な改善
内部統制評価の実施基準では、以下7個の評価項目例をあげています。
- 信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続を定めているか。
- 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。
- 統制活動に係る責任と説明義務を、リスクが存在する業務単位又は業務プロセスの管理者に適切に帰属させているか。
- 全社的な職務規程や、個々の業務手順を適切に作成しているか。
- 統制活動は業務全体にわたって誠実に実施されているか。
- 統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
- 統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。
統制活動は、組織内での具体的なチェック体制と言えます。職務分掌と内部牽制を明確にし、実際に想定どおりの運用がなされているかを継続的に検証・改善していくことが重要です。
情報と伝達で求められる内部統制と評価項目
情報と伝達は、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられ・共有されることです。
財務報告の信頼性に関しては、例えば、財務報告の中核をなす会計情報について、経済活動を適切に、認識、測定し、会計処理するための一連の会計システムを構築することと、会計情報を適時かつ適切に、関係者に報告するシステムを確保することが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「真実かつ公正な情報が識別、把握及び処理され、適切な者に適時に伝達される仕組みが整備及び運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 明確な意向、適切な指示の伝達を可能とする体制の整備
- 内部統制に関する重要な情報が適時・適切に伝達される仕組みの整備
- 組織の外部から内部統制に関する重要な情報を入手するための仕組みの整備
内部統制評価の実施基準では、以下6個の評価項目例をあげています。
- 信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内の全ての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
- 会計及び財務に関する情報が、関連する業務プロセスから適切に情報システムに伝達され、適切に利用可能となるような体制が整備されているか。
- 内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
- 経営者、取締役会、監査役等及びその他の関係者の間で、情報が適切に伝達・共有されているか。
- 内部通報の仕組みなど、通常の報告経路から独立した伝達経路が利用できるように設定されているか。
- 内部統制に関する企業外部からの情報を適切に利用し、経営者、取締役会、監査役等に適切に伝達する仕組みとなっているか。
情報と伝達は、適切なコミュニケーション網を整備し、組織内外の重要情報を正しく共有する仕組みです。誤った情報や伝達漏れをなくすことが、正確な財務報告の実現につながります。
モニタリングで求められる内部統制と評価項目
モニタリングは、内部統制が有効に機能していることを継続的に評価するプロセスです。
財務報告の信頼性に関しては、例えば、日常的モニタリングとして、各業務部門において帳簿記録と実際の製造・在庫又は販売数量等との照合を行うことや、棚卸において在庫の残高の正確性及び網羅性を監視することなどが挙げられます。
また、独立的評価としては、内部監査部門や監査役等が、財務報告の信頼性を検証するために行う会計監査などが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告に関するモニタリングの体制が整備され、適切に運用されていること」が重要であり、以下3つのポイントが挙げられます。
- 財務報告に係る内部統制の有効性を定時又は随時に評価するための体制の整備
- 内部・外部の通報に適切に対応するための体制の整備
- モニタリングによって把握された内部統制上の問題(不備)が、適時・適切に報告されるための体制の整備
内部統制評価の実施基準では、以下7個の評価項目例をあげています。
- 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
- 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
- モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
- 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
- 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
- モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
- 内部統制に係る開示すべき重要な不備等に関する情報は、経営者、取締役会、監査役等に適切に伝達されているか。
モニタリングの目的は、内部統制の実効性を継続的に維持・向上することにあります。日常的な部門レベルのチェックと、独立部門による定期的な監査の両軸をバランスよく運用していくことが重要です。
ITへの対応で求められる内部統制と評価項目
ITへの対応は、組織目標を達成するために予め適切な方針及び手続を定め、業務の実施において組織の内外のITに対し適時かつ適切に対応することです。
財務報告の信頼性に関しては、財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、必要な内部統制を整備することが必要です。
例えば、情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることが挙げられます。
すなわち、財務報告に係る内部統制という意味では、「財務報告に係る内部統制に関するITに対し、適切な対応がなされること」が重要であり、以下2つのポイントが挙げられます。
- IT環境の適切な理解とこれを踏まえたITの有効かつ効率的な利用
- ITに係る全般統制及び業務処理統制の整備
内部統制評価の実施基準では、以下5個の評価項目例をあげています。
- 経営者は、ITに関する適切な戦略、計画等を定めているか。
- 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
- 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
- ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
- 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
ITへの対応では、システムと業務フローを総合的に把握し、ITリスクを適切に管理する必要があります。特に財務報告に直結するシステムについては、全般統制と業務処理統制をバランス良く整備することが肝心です。
全社的な内部統制の評価
会社は、全社的な内部統制の整備及び運用状況を毎年評価しなければなりません。その状況が業務プロセスに係る内部統制に及ぼす影響の程度も確認します。
具体的には、チェックリストに整理・記載した自社の内部統制について、関係者への質問や規程等の閲覧、サンプル取引資料の検査を実施することで、整備と運用の状況を確認して、記録します。
整備状況の評価では、主に関係者への質問もしくは規程内容の確認を通じて、方針や制度などが適切に整備されていることを確認し、運用状況の評価で実際に規定通りの運用が行われていることを確認するために、期中の取引資料などを確認します。
全社的な内部統制の場合、業務プロセスと異なり、整備状況と運用状況を明確には分離せずに、同時に評価できることがあります。
例えば、内部通報制度の評価において、関連する会社規程の確認とあわせて、期中の通報件数や通報内容、対応状況も同時に確認するケースが該当します。
全社的な内部統制の評価は、チェックリストを活用し、整備と運用を包括的に確認するプロセスです。特に「運用」が規程どおりに機能しているかどうかがポイントとなります。
全社的な内部統制のよくある不備
全社的な内部統制の構築は、初めてJ-SOX対応が必要となる上場準備会社にとって非常に大変な作業です。
例えば、内部監査部を新たに設置する、リスク管理に係る規程や体制を整備する、コンプライアンス管理のための規程や体制を整備する、内部通報制度を導入するなど、上場にあたって対応しなければならない課題・不備は、ショートレビューや証券会社の審査を通じても洗い出されるので、順次優先順位に留意して順次構築を進めましょう。
全社的な内部統制の不備がある場合、業務プロセスに係る内部統制にも直接又は間接に広範な影響を及ぼし、最終的な財務報告の内容に広範な影響を及ぼすことになります。
全社的な内部統制の不備は、企業全体に深刻なリスクをもたらし、財務報告にも大きく影響する点に注意が必要です。上場準備段階から計画的に整備し、早期に不備を把握・是正することで信頼性の高い経営基盤を構築しましょう。
全社的な内部統制は会社の基盤となる非常に重要なものですから、慎重に取り組む必要があります。
しかし、構築にあたっては、内部統制評価の実施基準に例示された42の各評価項目にこたえるために、具体的にどんな制度を導入すればいいのか、また、現在の状況で上場会社としての合格点に達しているのかどうかなど、判断に迷うことがでてきます。
そういった勘所を抑えるためには、外部コンサルタントの活用を選択肢として検討するのが良いでしょう。
コンサルタントを活用する場合も、言われたとおりに導入するのではなく、自社の組織風土を考慮し、意味のある制度となるように意見交換を行いながら進めましょう。
しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
年度末の内部統制報告書の提出に向け、評価の集約や改訂基準への対応が急務です。本講座では、重要不備を残さないための評価実務や有効性判断、報告書の作成法を詳説。最新の監査動向や事例を交え、実務に精通した講師が、期末までに評価を完遂するためのポイントを実務本位の視点で分かりやすく指導します。
年度末の内部統制報告書の提出に向け、評価の集約や改訂基準への対応が急務です。本講座では、重要不備を残さないための評価実務や有効性判断、報告書の作成法を詳説。最新の監査動向や事例を交え、実務に精通した講師が、期末までに評価を完遂するためのポイントを実務本位の視点で分かりやすく指導します。
リスクの多様化に伴い、グループ横断的な「ERM」の構築が急務です。本セミナーでは、形式的な体制から脱却し実効性を高める運用法を、基礎から高度な視点まで網羅。BCP策定や危機管理の基本も交え、初心者から実務者まで役立つ具体策を解説します。PDCAの定着や体制強化を目指す企業の課題解決を支援します。
上場準備企業に不可欠なJ-SOX対応と内部統制の構築を体系的に学ぶ実務担当者向け講座です。リスクベースの合理的な体制構築を目指し、評価範囲の決定から全社・業務・IT統制の整備、業務フロー等の文書化まで実務手順を網羅。優先順位や水準に悩む方へ、他社事例やつまずきポイント、監査対応の留意点までわかりやすく解説します。
生成AIの普及は、内部監査・内部統制にリスク兆候の早期発見や新たな視点をもたらします。一方で、情報漏洩や誤情報への慎重な対応も不可欠です。本セミナーでは、基礎知識から具体的な活用シナリオ、即戦力のプロンプト例まで実務視点で詳説。リスク管理を踏まえた「生成AIとの付き合い方」を実践的に学べる好機です。
後を絶たない企業の不祥事に対し、内部統制評価制度でも不正リスクへの対応が強化されています。本セミナーでは、不正の背景や直近の事例を徹底検証。手口を分析し、兆候を早期に発見・予防するための仕組みや具体的なチェックポイントを解説します。内部監査や調査を行う際の留意点も、実務に即して分かりやすく指導します。
相次ぐ企業の不祥事を受け、内部統制における不正リスク対応が重要視されています。本セミナーでは、不正の発生背景や直近の事例を分析し、未然防止や早期発見に必要な社内の仕組み・チェックポイントを実務場面に即して解説します。さらに、内部監査や不正調査を実施する際の留意点についても、講師が分かりやすく指導します。
急速に普及する生成AIは、内部監査・内部統制にリスク検知や新視点をもたらす一方、情報漏洩等の懸念も伴います。本セミナーでは、AIの基礎から実務での活用シナリオ、即戦力のプロンプト例までを詳しく解説。リスクを適切に管理しながら成果を最大化する「AIとの付き合い方」を、実務視点で実践的に学べる内容です。
内部統制制度の導入から約20年。今や当たり前の存在となり、その本質や意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンに向けて内部統制の基本に立ち返る入門講座です。「なぜ必要なのか」「目的や要素は何か」といった基礎知識から制度の全体像までをやさしく解説し、本質的な理解を深めます。
内部統制制度の導入から約20年が経過し、その本来の意義を考える機会が減っていませんか?本セミナーは、全てのビジネスパーソンを対象に内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素とは何か」「制度の全体像」をやさしく解説します。基礎知識を本質からしっかりと身につけたい方に向けた入門講座です。
生成AIを内部監査・内部統制業務へ安全かつ効果的に導入するための実践講座です。AIの基本や各種ツールの違い、業務効率化やリスク発見などの活用シナリオに加え、情報漏洩やハルシネーション等のリスク管理手法を網羅。さらに、監査計画やチェックリスト作成に即使える具体的なプロンプト技術まで実践的に解説します。
内部監査・内部統制業務における生成AIの活用とリスク管理を網羅した実践講座です。AIの基本から、監査計画やチェックリスト作成などの具体例、情報漏洩やハルシネーション対策まで、現場での「使いどころ」と「注意点」を徹底解説。さらに、実務でそのまま使える即効プロンプトの記述テクニックも体系的に学べます。
内部監査部門の立ち上げや新任担当者、実務を見直したい方に向けた基礎講座です。上場準備や不祥事防止など高まる期待に対し、限られた人員で効果的な監査を行うための基本知識と必須手順を、具体的な書式や事例を用いて総ざらいします。さらに、2024年に改訂されたグローバル内部監査基準のポイントも解説します。
内部統制制度の導入から約20年。日常業務で当たり前となった今だからこそ、その本質を再確認しませんか?本セミナーは全てのビジネスパーソンを対象に、内部統制の基本に立ち返り、「なぜ必要なのか」「目的や要素は何か」をやさしく紐解く入門講座です。制度の全体像から基礎知識をしっかりと学び直したい方にお勧めです。
内部監査・内部統制に特化した、生成AIの「使いどころ」と「注意点」を学ぶ実践講座です。監査計画やチェックリスト作成などの具体例を交え、業務効率化とリスク発見のノウハウを解説します。情報漏洩対策といったリスク管理の基本から、現場ですぐに使えるプロンプトの記述テクニックまで、実務直結の知識を網羅しています。
内部監査・内部統制業務における生成AIの実践的な活用法とリスク対策を網羅したセミナーです。監査計画やチェックリスト作成、議事録要約など、業務効率化とリスク発見に直結する活用シナリオを提示。情報漏洩やハルシネーションへの備えを学びつつ、現場で即実践できるプロンプトの記述テクニックまで習得できます。