内部統制報告制度の効果的・効率的な運用ができている会社とそうでない会社は何が違うのでしょうか。今月は2回ほど、IPOを目指す企業および新任担当者向けに、内部統制報告制度の概要について話をする機会がありました。私のパートは業務プロセスに係る内部統制の文書化・整備状況評価・運用状況評価における実施上のポイントがテーマでした。そこで最初に強調をしたのが、基準および実施基準の主旨を理解することが結果的に効率的な制度運用に繋がるということです。効果的・効率的な運用を実現するための一つのキーワードなのですが、基準・実施基準の中にはその適用局面が、必ずしも明示的に記載されておらず、また点在して記載されているため、意外とそれとは気づかないことが多いかもしれません。この重要なキーワードについて、今回は解説をします。
日本における内部統制報告制度の設計において組み込まれた6つの工夫
その前に、日本における内部統制報告制度の設計において、先行する米国のSOX法の運用実態を検証し、過度な負担とならないように工夫した点を確認しておきます。
- トップダウン型のリスク・アプローチの採用
- 不備を開示すべき重要な不備と(単なる)不備の2つに区分
- ダイレクトレポーティングの不採用
- 監査の一体的実施(財務諸表監査と内部統制監査を同一の監査人が実施)
- 監査報告書の一体的作成(財務諸表監査報告書兼内部統制監査報告書)
- 監査人と監査役・内部監査人との連携
これらの工夫の中で、どれが企業担当者にとって一番大事なものになってくるでしょうか。一つだけ性質の違うものが入っていることに気付くかと思います。
内部統制報告制度の効果的・効率的運用には、トップダウン型のリスク・アプローチの徹底が必須
答えは「トップダウン型のリスク・アプローチ」の採用です。その理由は、唯一 トップダウン型のリスク・アプローチのみ、企業が主体的に取り組むことができる事項だからです。このトップダウン型のリスク・アプローチを徹底することが、効果的・効率的な制度運用を実施するための一番ポイントになります。
基準によればトップダウン型のリスク・アプローチとは次のように説明されています。
経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価する
(財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書) 二(2)より引用)
このトップダウン型のリスク・アプローチの考え方が、企業の実態にあった内部統制の構築と評価について創意工夫をするためのヒントにつながります。逆にこのトップダウン型のリスク・アプローチの考え方を理解しないと形式面を重視した内部統制の構築につながったり、意図せず過度な負担を招いてしまったりする恐れがあると考えています。
トップダウン型のリスク・アプローチの適用局面は3つある
そして、トップダウン型のリスク・アプローチの適用局面は次のように3つあります。
全社的な内部統制が有効であるならば、というのが共通する前提条件になります。
評価対象事業拠点・プロセスの決定局面
一つ目は、評価対象となる事業拠点と業務プロセスの決定をする局面です。この点は基準でも業務プロセスに係る内部統制の評価範囲として明示的に記載されていますので、多くの企業で対応できているところかと思います。
トップダウン型
連結ベースの売上高等の概ね2/3に達するまで事業拠点を選び、その事業拠点における事業目的に関連する勘定科目に至る業務プロセスを評価対象とします。これはすべての事業拠点を評価しなくとも、売上高等の2/3がカバーできれば全体としての内部統制の有効性を判断できるとしたものです。また、業務プロセス(勘定科目)を限定しているのは、過去重要な虚偽記載が問題となった事例において、そのほとんどが例示としてあげられているような売上高、売掛金、棚卸資産など事業目的に関連した勘定科目で発生しているという実態を考慮しています。
リスク・アプローチ
このようなトップダウン型の考え方に加えて、各企業で重要な虚偽記載リスクが高い業務プロセスを個別に評価対象として加えることを求めています。リスクが大きい取引を行っている事業又は業務プロセス、見積りや経営者による予測を伴う重要な勘定科目に係る業務プロセス、 非定型・不規則な取引など虚偽記載が発生するリスクが高い業務プロセスなどが該当します。
統制上の要点の選定局面
二つ目は、統制上の要点の選定局面です。制度が始まった当初、統制上の要点を選定について、リスク・アプローチを十分に考慮しきれず、例えば不備に備えて予備的に統制上の要点を追加するなどが見受けられたようです。
トップダウン型
全社的な内部統制が有効であれば、統制上の要点に着目します。では、どのように着目して統制上の要点を絞り込むかという点については、リスク・アプローチの考え方によります。
リスク・アプローチ
一つはリスクの重要度を考慮します。リスクが発生したときに財務報告に与える影響の大きさとその発生可能性を考え、重要なリスクに対応するコントロールを統制上の要点として選定します。もう一つはコントロール間の補完関係等を考慮します。コントロールは対応するリスクとの関係で、①複数のコントロールが補い合ってリスクに対応する補足的な関係、②重複してリスクに対応する代替的な関係、③元々別のリスクに対応するために設定したコントロールが他のリスクにも対応する補完的な関係があります。このようなコントロール間の補完関係等を考慮して統制上の要点を絞り込みます。単に重要なコントロールを統制上の要点に選定するという観点では特定できない可能性があります。
運用状況の評価手続の決定局面
三つ目は、運用状況の評価手続の決定局面です。
トップダウン型
全社的な内部統制が有効であれば、サンプリングの範囲を縮小することができます。実施基準では、内部統制の監査における記載で、「日常反復継続する取引について、統計上の正規分布を前提とすると、90%の信頼度を得るには、評価対象となる統制上の要点ごとに少なくとも25件のサンプルが必要になる(III4(1)①ロa)」とありますが、これは全社的な内部統制が有効であるという前提です。
リスク・アプローチ
その上で、重要度に応じた評価を認めています。例えば、母集団を個々の拠点の特性に応じいくつかのグループに分けて複数年度で全ての拠点を一巡するローテーションや、また例えば、重要性が僅少である営業拠点を除外した上で評価対象とする拠点をサンプリングする方法、さらに例えば、自己点検などの日常的にモニタリングを考慮した手続、コントロールの重要度に応じて評価実施時期の見直しなどを認めています。
内部統制報告制度を効率的に運用するために企業担当者が主体的にできること
内部統制は、基準および実施基準の主旨を良く理解して、それぞれの企業の状況等に応じて、自ら適切に工夫して整備していくべきものです。内部統制報告制度の効果的・効率的な運用ができている会社とは、上記のようなトップダウン型のリスク・アプローチの徹底が出来ている会社ではないでしょうか。