内部統制の評価範囲

経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
J-SOXとリスクアプローチ
J-SOXにおける内部統制の評価は、リスクアプローチで実施することが認められています。
会社は、評価範囲を適切に設定することで、リスクの高い領域に重点を置き、リソースを効率的に配分しながら、内部統制の有効性評価を実施することができるのです。
決算財務報告プロセスを含む、全社的な内部統制の評価範囲は原則として全ての会社(上場会社とその連結子会社および持分法適用会社)となっていますので、ここでは、業務プロセス統制の評価範囲の決定に関する具体的な手順を説明します。
業務プロセスにかかわる評価範囲の決定手順
業務プロセスとして決定するプロセスには、以下3つがあります。
- 事業目的に係る業務プロセス
- その他重要な業務プロセス
- IT全般統制
事業目的に係る業務プロセス
事業目的に係る業務プロセスは、以下の手順で選定します。
重要な事業拠点の選定
財務報告に対する売上高や資産規模などの金額的及び質的影響並びにその発生可能性を考慮して、連結グループの中で重要な事業拠点を選定します。
例えば、連結消去後売上高の3分の2を占める拠点を選ぶ方法などがありますが、機械的な当てはめは禁止されています。
事業目的に係る勘定科目の選定
選定された事業拠点で事業目的に大きく関わる勘定科目を、財務報告に対する金額的及び質的影響並びにその発生可能性を考慮して選定します。
製造業の場合であれば、例えば、売上高、売掛金、棚卸資産が該当するケースが多いでしょう。
自社の事業内容を勘案して実態に即した勘定科目を選定する必要があります。
勘定科目に至る業務プロセスの識別
選定された勘定科目に関係する業務プロセスを選定します。例えば、売上高が勘定科目として選定されている場合、売上を計上する販売プロセスが該当します。
また棚卸資産が選定されている場合、購買プロセス、製造プロセス、在庫管理プロセスなどが該当します。
その他重要な業務プロセス
その他重要な業務プロセスは、重要な事業拠点として選定されているかどうかにかかわらず、財務報告への影響を勘案して、重要性の大きい業務プロセスを選定します。
具体的には、以下の4つの観点から判断して業務プロセスを選定します。
- リスクが高い取引や業務
財務報告の重要な虚偽記載に結びつきやすい事業上のリスクを有する事業や業務であり、例えば、金融取引、デリバティブ取引、価格変動の激しい棚卸資産が該当します。
また、複雑又は不安定な権限や職責及び指揮・命令の系統下の事業や業務もリスクが高いと判断されます。例えば、海外拠点、企業結合直後の拠点、中核的事業でない事業を手掛ける独立性の高い拠点などです。 - 見積や経営者による予測を伴う勘定科目に係る業務
貸倒引当金や退職給付引当金の算定などが該当します。 - 非定型、不規則な業務
例えば、通常の契約条件や決済方法と異なる取引、期末に集中する取引、過年度の趨勢から見て突出した取引などが該当します。 - その他重要性が高い業務
IT全般統制
IT全般統制とは、システムの開発、運用、維持管理等に係る活動です。
対象となるITシステムや基盤は、選定された業務プロセスで使用されているものが対象となります。
より厳密にいうと、当該システムが提供しているIT業務処理統制を考慮して範囲は決まります。
全ての会社で決算財務報告プロセスの評価は行うため、会計システムは必ず対象になります。
その他、例えば販売プロセスで使用されている販売管理システムがあれば、それがIT全般統制の評価対象となる可能性があります。
監査人との協議
評価範囲が十分でないと、後から対象プロセスを拡大することになったり、内部統制報告書の監査結果に影響を与えてしまう可能性があります。
したがって、評価範囲を決定する前後には、評価範囲を決定した方法と根拠等について、監査法人と適切に協議を行っておくことが不可欠です。
また、期中に不備等が見つかった場合にも、評価範囲を見直す可能性があるため、適宜監査人と協議をおこない情報共有を行う必要があります。
内部統制基準の改訂の影響
2024年4月以降始まる事業年度から、改訂された内部統制の評価基準が施行され、これまでよりも厳密なリスクアプローチが求められることになりました。
内部統制基準に例示として記載されている数値基準(売上高の2/3や一定の年数など)を機械的に適用するのではなく、実質的な財務報告への影響を考慮して、リスクが高いと判断した事業拠点や業務プロセスを評価範囲に含めることが求められているのです。
もともとリスクアプローチとは、リスクの高い領域に重点を置いてリソースを配分し、効率的に監査を進めるためのものです。
内部統制の評価範囲の決定に際しても、リスクアプローチの考え方に立ち戻って進めることが、結果的に会社にとって最も効果的といえるでしょう。
内部統制を構築することは企業価値を高めると考えられています。しかし、それはあくまでも費用対効果で考えたときに、内部統制を構築する費用が、将来損失等が発生するリスクを抑えるという効果を上回る場合のみです。
無闇やたらに内部統制を構築すれば、余計な手間ひまが増えてしまい、利益を損なう可能性もあります。自社のリスクは自社が一番良く把握していると考えられますが、そのリスクの評価は適切でしょうか。本来対処すべきリスクを過小に見積もり、同業他社がおこなっているような対策を講じていない、ということはないでしょうか。
必要な範囲に有効性の高い内部統制を築くことは、企業の財務報告の信頼性を高め、ガバナンスを強化するために不可欠です。リスクの評価や内部統制の評価範囲に迷うことがあれば、内部統制コンサルタントに相談してみてください。

しています!
上智大学経済学部卒業。大原簿記学校講師、青山監査法人(当時)勤務を経て、1998年KPMGニューヨーク事務所に入社。
2002年以降は、KPMG東京事務所(現あずさ監査法人)にて外資系企業の法定監査、デューデリジェンス、SOX法対応支援業務を担当する。
現在は、経営コンサルタントとして、内部統制構築支援やIFRSコンバージョン支援に携わるとともに、各種実務セミナー講師としても活躍中。
著書『フローチャート式ですぐに使える内部統制の入門と実践』他。
コントロールソリューションズでは、内部統制に関わるセミナーを随時開催しています。佐々野氏のセミナーは分かりやすいと好評のため、「すぐに相談までは進めない」という方はセミナーでお話を聞いてみてはいかがでしょうか?
今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。 本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。
海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。
今年も1年間かけて実施してきた財務報告に係る内部統制の評価について、結果を取りまとめる時期になりました。内部統制報告書の提出にむけた全体作業を念頭におきながら、最終的に重要な不備が残ることがないようにロールフォワードや再テスト等を進めていきましょう。
なお、改訂実施基準が施行されたため、期中に不備等が見つかると追加で評価しなければならない可能性があります。自社の評価範囲に影響するような不備は早めに把握し、内部統制の構築と評価が期末までに完了するよう進めることが大切です。
本講座では、期末前後の評価作業、有効性の判断方法、内部統制報告書の作り方、改訂に伴う評価範囲への影響等について、最近の各社及び監査法人の動向等をふまえ、随所に設例、事例を織り込みながら、実務本位の解説で定評ある講師がわかり易くご指導いたします。
海外進出先での政情不安や急激な為替変動、クラウドサービス利用に伴うリスク等、昨今企業が直面するリスクは、増大かつ多様化しており、リスク管理の重要性が高まっています。
従来型のリスクに対して各部門が都度場当たり的に対応するのではなく、リスク情報をタイムリーに認識・集約したうえで効率的・効果的に対応するためには、全社的な視点から計画的に実施する、いわゆる全社的リスクマネジメント(ERM)体制の構築と実践が不可欠です。法的にも、会社法、金融商品取引法、コーポレートガバナンスコードにおいて、グループ全体を含めた先を見越した全社的リスク管理体制の整備が求められています。しかし、具体的にどのような構築・運用が望ましいかは、各社各様であるため、ERMの導入が困難になっています。
本講座では、ERMの構築からその後のPDCAサイクルにおける実務上の重要ポイントについて、具体例を用いて直面する課題とともに初心者にもわかり易く解説します。また、ERMの一環として、危機管理マニュアルや事業継続計画の策定についても合わせて説明します。
企業不祥事や製品事故の増加に伴い、コーポレート・ガバナンス強化が進み、監査役等の責任が重くなっています。本講座では、監査役やスタッフ向けに、役割・責任や実務ポイントを具体例を交えてわかりやすく解説します。
内部統制制度が浸透する一方で、運用面での課題や作業効率化のニーズが高まっています。本講座では、J-SOXの背景や体制、全社統制構築に関する基本知識を、実務に精通した講師がわかりやすく解説します。
内部統制制度が浸透する一方で、運用上の課題や効率化に対するニーズが高まっています。本講座では、業務プロセスやIT全般統制の評価について、記載例を用いながら、実務に精通した講師が基本知識やノウハウをわかりやすく解説します。