日本版sox法における内部統制に関する一考察日本版sox...
TRANSCRIPT
─ 1─
1.はじめに
2006年 6月,金融商品取引法第 24条の制定により,日本における内部統制が義務化され,2008年 4月の適用,2009年 4月から施行されることになっている.一方では,内部統制と関連する「様々な規定」1)が整えられ,3月決算期の企業は内部統制の整備・構築(文書化)が終わり,その有効性の評価,不備是正の最中である. 今般の内部統制は,新しい経験であり,規制側,対象企業,監査法人などの関連組織すべてにおいて,明確な方向性を打ち出せずに,混乱が伴ったことも事実である.とくに,日本版 SOX法といわれる内部統制は,「リスクマネジメント」,「コーポレート・ガバナンス」,「経営戦略論」,「経営哲学」,「法学」,「会計学」,「HRM」などの諸学問の領域が係わっており,学際的視点からの研究も至急である. 本稿では,学際的分析ではなく,実務的視点を中心に,次の点を明らかにすることを目的としている.すなわち,①内部統制の定義・分類を行い,その展開の詳細,②内部統制の法的枠組および関連規定の特徴と問題点,③内部統制の整備・構築手法と問題点,④内部統制有効性評価の手法と問題点,⑤内部統制の課題と展望である. 本研究は,主に事例研究を中心に行っている.また,内部統制は産業,業種によって,関連勘定科目,プロセスが異なっており,本稿の内容が普遍性を有するものではない.
2.内部統制の定義と展開
内部統制とは何か.内部統制はその導入対象な
日本版 SOX法における内部統制に関する一考察
洪 聖 協
どによって,定義も異なる.したがってその分類が必要になってくる.内部統制の定義は,次のような視点から分類される.すなわち,①組織全体の経営・業務を対象にする内部統制,②経営者による従業員の監督・監視の内部統制,③財務報告に限定されたコーポレート・ガバナンスおよび業務プロセスの内部統制である. ①の場合,鳥羽(2005)は「内部統制とは企業組織・事業組織における経営管理と業務に対する制御措置である.内部統制は正しい,適切な経営や業務遂行ができるように,企業組織・事業組織のあらゆる階層に属する人間行為に対して,事前に,行為する手段で,そして事後に働きかける制御措置である」と定義している 2).すなわち,経営層に対するコーポレート・ガバナンスとしての内部統制と組織全体の業務に対する内部統制が定義されている. ②の場合,1949 年の AIPC(American Institute of Certified Public Accounts)は「内部統制とは,企業の資産を保全し,会計記録の正確性と信頼性を保証し,経営機能を増進し,そして,経営者の定めた諸方針の遵守を促進するために,企業内部において設定された,組織,計画,手続,調整のための方法や手段を総称するものである」3)としている.ここでは,経営者が組織構成員に対する監督・監視機能としての内部統制であり,その範囲は財務報告に限定されている. ③の場合,1992年 COSOでは「内部統制とは次の三つの目的,業務の有効性と効率性,財務報告の信頼性,関連法規の遵守の達成に合理的保証を提供するために,事業体の取締役,経営者,他の構成員によって遂行されるプロセスである」4)
産業経営研究 第 31号(2009)
─ 2─
とされている.また,2007年金融庁の内部統制部会の「財務報告に係わる内部統制の評価および監査の基準並びに財務報告に係わる内部統制の評価および監査に関する実施基準の設定について」(以下実施基準とよぶ)においては,「内部統制は,①業務の有効性と効率性,②財務報告の信頼性,③関連法規の遵守,④資産の保全の 4つの目的が達成されているとの合理的な保証を得るために業務に組み込まれ,すべての者によって遂行されるプロセスである」5)と定義されている.ここでは,取締役,経営者,中間管理職を含めた組織のすべての者が業務のなかで内部統制を遂行することとなっている.また,このような内部統制は財務業務活動に限定されたものとなっている. このように,内部統制は対象によって,定義も多様である.本稿では,「日本版 SOX法」における内部統制の問題を取り上げており,③の視点である財務報告における内部統制の問題に焦点をあてている. 一方,今日の内部統制をめぐる法的規制を理解するためには COSO(1992)フレームワークを理解する必要がある. 通称COSO(Committee of Treadway Commission)は,1985年に「不正な財務報告に関する国家委員会」(通称,Treadway Commission)が設立され,その支援を目的とする米国公認会計士協会(AICPA),米国会計学会(AAA),国際財務担当役員協会(IIA),管理会計士協会(IMA)の民間団体の委員会のことである.同委員会は,1992年に,「内部統制統合的枠組̶理論編・ツール編」(COSOレーポート)6)を公表し,1994年には「外部報告編」が追加され,2004年には ERM(Enterprise Risk Management)を公表している 7). COSO内部統制フレームワークは,①枠組(内部統制の目的,構成要素,内部統制の限界,方法論など),②外部報告編,③ツール編から構成されており,3つの目的と 5つの構成要素が示されている 8). そして,周知のとおり,2001年のエンロン,2002
年のワールドコムの粉飾決算事件が契機となり,2002年 7月に米国企業改革法(サーベイス・オスリー=SOX法)が制定された.米国企業改革法(SOX法)の特徴は,役員(CEO, CFO)に対する規制・開示責任の強化,②内部統制評価義務と監査,③監査委員会の独立性,権限の強化,④監査人の独立性強化,⑤外部監査機構の設置であり,内部統制と深い関係性を有するのは「302条,404条,906条」9)である. そして,SEC(2003)は次のような規則すなわち①有効な内部統制の構築・維持の責任に対する経営者の宣誓書,②内部統制報告書公表の義務,③内部統制対象範囲の選定,④公認会計士監査による内部統制報告書の信頼性の確保を公表する.また,2004年公開企業の会計監査委員会であるPCAOB(Public Company Accounting Oversight Board)監査基準第 2号では,COSOフレームワークが参照されながら,①経営者による評価プロセスの理解,②全社的内部統制の識別,③重要関連勘定科目の識別,④アサーション(経営者の主張)の識別,⑤重要プロセスの識別,⑥整備・運用評価,⑦内部統制報告書,⑧複数事業拠点,⑨アウトソーシング,⑩テスト範囲の例,⑪重大な不備と重要な欠陥などの内部統制監査の実務指針が示されている.さらに,米国 ITガバナンス協会は2004年に SOX法 404条を支援する IT全般統制や IT統制の構築・評価の指針である Cobit for SOXを公表し,2006年第 2版の Cobitではリスクの高い領域への注視,トップダウン・リスクアプローチなどが改良され,IT統制のガイドラインを公表している. 一方では,カナダにおいて「COCO」10)モデルが公表され,SOX法は国際標準としてイギリス,フランス,韓国などに導入されていく. イギリスでは,1999年カナダの COCOと類似する「内部統制 :統合規定に関する取締役のためのガイダンス」である「ターンバル・ガイダンス」が公表される.「ターンバル・ガイダンス」は,取締役会の内部統制に関する原則および条項を遵
日本版 SOX法における内部統制に関する一考察
─ 3─
守する内容を示す一方,株主保護と企業資産の保全の健全な内部統制システムを構築し,その有効性を検討するとともにリスクアプローチと適切な判断を取締役会に求めている.2002年の米国企業改革法(SOX法)制定後,イギリスの財務報告審議会(FRC)は統合規定の改定と「ターンバル・ガイダンス」の見直し期間を設置し,2004年 12月に内部統制に関する「ターンバル・ガイダンス」のレビューを公表し,内部統制が本格化される. フランスでは,2001年新経済法規制の制定,2002年「ブーエン報告書」後,コーポレート・ガバナンスが本格的に議論され,ヨーロッパ版エンロン事件といわれる「ロイヤル・アホールド」,「パルマラット」などの粉飾事件があり,2003年
8月に「金融安定法」が制定される.同法律の117条,120条により商法の改定が行われ,商法225~237条では,取締役会または監査役会長に送付された経営報告書において,「企業の内部統制手続についての説明」が規定された.また,同法律 225~235条では,会計監査役に送付される監査報告書において,会計・財務情報の作成と処理に係る内部統制報告書についての要求事項があり,内部統制が本格化される. 韓国では,2003年 12月に「外部監査に関する法律および同法律の施行改定」において,「有価証券報告書」と「内部統制報告書」の提出の義務と外部監査人による内部統制監査報告書の意見表明が規定される.同法律は 2004年 4月に改定され,上場大企業,上場中小企業,非上場大企業に適用されている.このように,内部統制は各国において,法的規制として義務付けられており,財務報告の適正性の確保がステークホルダーとりわけ株主に認められるシステムとして,構築・運用されることになっている.
3.内部統制の関連規定
このような国際的展開のなかで,日本では 2006年 6月に「金融商品取引法第 24条」が制定され,
「内部統制報告制度」が制定された.同法律の第2項では,「上場企業は有価証券報告書の記載内容が適正である旨を記載した確認書を有価証券報告書と併せて内閣総理大臣提出しなければならない」と規定されている.第 4項では,「上場企業は,事業年度ごとに財務報告に関する種類その他の情報適正性を確保するために必要な体制を評価した内部統制報告書を有価証券報告書と併せて内閣総理大臣に提出しなければならない.内部統制報告書は,公認会計士または監査法人の監査証明を受けなければならない.また,その写しを上場している証券取引所に提出する」ことが規定されている.付則第 15条では,上記の内部統制報告制度は 2008年 4月 1日以後に開示する事業年度から適用されることが明記されている 11). 同法律の第 4項の条項は,経営者による内部統制有効性の評価と監査法人による内部統制監査証明を強制するものであり,米国 SOX法の第 404条に該当するものである.また,第 197条の第 2項,第 5項,第 6項においては,①有価証券報告書および付帯書類に重要な虚偽記載があり,かつ,原本と異なる内容を提出した場合,②有価証券報告書,またはその付帯書類を提出しなかった場合,③有価証券報告書,または送付書類に重要な事項に虚偽の記載があるものを提出した場合は,10年以下の懲役もしくは 1千万円以下(個人),7億円以下(法人)の罰金(又は懲役と罰金を併科)が科せられる.また,内部統制報告書もしくはその送付書類の写しを証券取引所に提出しなかった場合は,5年以下の懲役もしくは 500万円以下(個人),5億円以下(法人)(又は懲役と罰金を併科)が科せられる. このように,粉飾決算などに関する企業不祥事に関する同法律は「株主の視点」が大きく反映されたものであり,財務報告の適正性を確保する内部統制システムの構築・運用を企業に求めている. 一方,内部統制をめぐる動きは図 1が示しているように,金融庁および日本公認会計士協会,経
産業経営研究 第 31号(2009)
─ 4─
済産業省などが関連規定を公表している.内部統制関連規定は,2004年金融庁において,ディスクロージャー制度の信頼性確保に関する論議が始まり,2005年の金融庁の内部統制部会における「実施基準」の論議で具体化される.本稿では,内部統制の構築・評価のガイドラインである金融庁の「実施基準」および日本公認会計士協会の「実務上の取扱い」のポイントを取り上げることにしたい.「実施基準」は,3部から構成されて
いる.第 1部は,内部統制のフレームワークが示されている.すなわち,内部統制の目的は①業務の効率化と有効性,②財務報告の信頼性,③関連法規の遵守,④資産の保全であり,構成要素は①統制環境,②リスクへの評価と対応,③統制活動,④情報と伝達,⑤モニタリング,⑥ ITへの対応である.第 2部は企業側における内部統制の構築・有効性評価の基準が,第 3部では監査人による内部統制監査に関する基準が示されている(図2参照). ここでの特徴は,①内部統制目的に資産の保全を加えたこと,②構成要素に ITへの対応を加えたこと,③財務諸表監査と内部統制監査を同一人にしたこと,④内部統制監査において,ダイレクト・レポーティングを採用しないことなどである.一方では,米・韓国のように段階的導入ではなく,対象企業の一律的な導入および実施基準の内容に具体性が乏しく,対象企業の混乱が生じた一因にもなっている.とくに,内部統制構築・整備,有効性評価に関する具体的手法と明確な判断基準が示されていないことによって,監査法人主体の内部統制が進められたことは否定できない事実であろう. 一方,日本公認会計士協会の「実務上の取扱い」は,①全社的統制,②決算・財務プロセス(全社的視点),③業務プロセス統制,④ IT全般統制,⑤ IT統制における内部統制監査のガイドラインとして,整備状況評価,運用状況評価,不備の是正と一覧表の作成,ロールフォーワードに関する詳細を公表している(図 3参照). しかし,このような内部統制に関するガイドラインが企業現場の直接的な内部統制の実務に明確な指針を与えることはできず,実際は監査法人のマニュアル,コンサルティング企業のマニュアルなどが大きな影響力を持つことになった.そこで,金融庁は Q&Aなどを通して,監査法人あるいはコンサルティング企業に影響されず,企業が主体になることを示すが,現実は監査人による影響が大きく,企業は経済的・時間的に大きなコス
図 1.内部統制規制の推移および関連規定
2004年 12月:企業審議会内部統制部会
「企業審議会金融分科会第一部会報告─ディス
クロージャー制度の信頼性確保にむけて─」
公表
2005年 12月:企業会計審議会内部統制部会
「財務報告に係る内部統制の評価および監査基
準のあり方について」を公表
2006年 6月:金融庁(金融商品取引法)の成立
2006月 11月:企業会計審議会内部統制部会
「財務報告に係る内部統制の評価および監査基
準」公開草案
2007年 2月:企業会計審議会内部統制部会
「財務報告に係る内部統制の評価および監査の
基準、財務報告に係る内部統制の評価および
監査に関する実施基準設定について」公表
2007年 7月:日本公認会計士協会
「財務報告に係る内部統制の監査に関する実務
上の取扱い」公表
2007年 10月:金融庁「Q& A」
2008年3月:金融庁
「内部統制報告制度に関する11の誤解」
2007年 3月:経済産業省
「システム管理基準追補版(財務報告に係る IT
統制ガイダンス)
2008年 6月:金融庁「Q& A」
出所)筆者作成.
日本版 SOX法における内部統制に関する一考察
─ 5─
ち,当該企業全体を対象にする統制のことであり,全社的会計方針と財務方針,組織の構築,運用に関する経営判断,経営レベルにおける意思決定のプロセスなどである.また,全社的統制は連結財務報告の信頼性の確保と内部統制を健全に監督する全社的仕組みであり,プロセスレベルのコントロールの継続的なおかつ確実な整備・運用を会社・組織レベルで支援する行為および仕組みであり,「実施基準」は 42項目を提示している. しかし,親会社子会社の関係の場合でもそれぞれの企業の風土,状況が異なるためそれぞれに適した内部統制の整備・運用が求められる.とくに,子会社,事業部などの状況を勘案し,これらの単位で,財務報告に係る重要性を適切に判断し,全社的内部統制の構築・運用を行うことを「実施基準」は定めている.
トを払っている.
4.内部統制の実務的アプローチ(文書化)
4. 1 内部統制の適用範囲と評価対象 内部統制適用企業は,「実施基準」で示しているように,①上場企業,②連結財務対象企業,③委託業務企業,④持分法適用企業,⑤海外子会社であり,5万社ともいわれている 12).その適用範囲は,①全社的統制,②決算・財務プロセス(全社的視点),③業務プロセス,④ IT全般統制,⑤IT業務統制である.全社的統制および決算・財務プロセスの全社的視点は売上高の 95%が評価対象であり,業務プロセスは売上高の概ね 3分の2が評価対象として定められている. 全社的内部統制とは「連結ベースでの財務報告全体に影響を及ぼす体制」のことである.すなわ
図 2.金融庁の実施基準のポイント
内部統制の目的
業務の効率化と有効性
財務報告の信頼性
関連法規の遵守
資産の保全
構成要素
統制環境
リスクへの評価と対応
統制活動
情報と伝達
モニタリング
への対応
全社的な内部統制の評価
決算・財務報告プロセス(全社
的視点)
業務プロセスに係わる内部統制の評価
①重要な事業拠点の選定(全社的内
部統制が有効,連結売上の 3分の 2)
②評価対象業務プロセス(売上,売
掛金、棚卸資産に至るプロセス.重
要性の大きいプロセス)
整備・運用状況の評価
内部統制の不備 不備の是正
重要な欠陥の判断 欠陥の是正
①金額的重要性(連結税引前利益
5%)②質的重要性(財務諸表作成
に影響を与えるもの)
内部統制の重要な欠陥等の報告と是正
経営者による内部統制報告書
全社的な内部統制の評価の検討
決算・財務プロセスの評価の検
討(全社的視点の評価の適切な
もの)
それ以外の業務プロセス内部統
制評価の検討
評価範囲の妥当性の検討
整備・運用状況の評価の検討
①監査証拠は財務諸表監査と相
互利用
②運用評価:サンプリング(90%
の信頼度 25 のサンプリング)
重要な欠陥等の報告と改善状況
監査人による内部統制監査報告
出所)筆者作成.
産業経営研究 第 31号(2009)
─ 6─
割を含め,財務報告の基本方針を明確に示しているか,②適切な経営理念や倫理規程に基づき,社内の制度が設計・運用され,原則を逸脱した行動が発見された場合には,適切に是正が行われるようになっているか,③経営者は,適切な会計処理の原則を選択し,会計上の見積り等を決定する際の客観的な実施過程を保持しているか,④取締役会および監査役または監査委員会は,財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し,実行しているか,⑤経営者は,問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に,適切
全社的統制は,第 1に「統制環境」のことである.「統制環境」は組織の気風を決定し,組織内のすべての者の統制に対する意識に影響を与えるとともに,他の基本的要素の基礎となるものをいう.具体的には,以下のようなものが挙げられる.すなわち,①誠実性および倫理観,②経営者の意向および姿勢,③経営方針および経営戦略,④取締役会および監査役会または監査委員会の有する機能,⑤組織構造および慣行,⑥権限と職責などである. 評価項目としては,①経営者は,信頼性のある財務報告を重視し,財務報告に係る内部統制の役
図 3.「実務上の取扱い」のポイント
整備状況評価 運用状況評価 不備是正 ロールフォーワード
監査プロセスの早い段
階で実施.企業集団の
状況に応じて,評価単
位,評価項目の適正性
記録の閲覧,内部統制
の設計,業務適用の事
実を評価する.
担当者への質問,
関連文書の閲覧,
観察,再実施.
統制環境は,記録が形
式的,あるいはない場
合があり,質問,観察
手法で評価する.
不備一覧表の
作成
不備の項目の
例(実施基準)
内部統制の
有効性の確認
整備・運用評価の
実施した以降期末
日まで
経営者の有効性評価の
妥当性,ウォークスルー
の実施,(質問,文書の
閲覧,観察など).
統制担当者の権限およ
び知識の確認,統制上の
要点が不適切である場
合,補完統制などを踏ま
え判断する.
監査手続:質問,関連
文書の閲覧,業務の観
察,担当者による作業
の再現,監査人の再実
施.証跡が文書などで
残されていないもの
は,質問,観察,コン
ピュータ利用監査技
法を用いる.
不備一覧表の
作成
不備の是正
内部統制の
有効性の確認
整備・運用評価の
実施した以降期末
日まで
全社的視点
業務プロセスの視点
EUC ( End User
Computing )評価
委託業務の評価
マクロや表計算式の検証
経理担当者のアクセス制御
記録,文書の閲覧,質問
など評価手続の作成
必要最低限のサンプ
ル(自動統制)
不備一覧表の
作成
不備の是正
代替,補完統制
有
無
IT
出所)筆者作成.
日本版 SOX法における内部統制に関する一考察
─ 7─
動を実施することにより検出された誤謬等は適切に調査され,必要な対応が取られているか,などがある. 第 4に「情報と伝達」のことである.「情報と伝達」は,組織内のすべての者が各々の職務の遂行に必要とする情報が,識別,把握および処理され,適時かつ適切に,組織内外および関係者相互に正しく伝えられることを確保することをいう.また,必要な情報が伝えられるだけでなく,それが受け手に正しく理解され,その情報を必要とする者に共有されることが重要となる. 評価項目としては①信頼性のある財務報告の作成に関する経営者の方針や指示が,企業内のすべての者,とくに財務報告の作成に関連する者に適切に伝達される体制が整備されているか,②会計および財務に関する情報が,関連する業務プロセスから適切に情報システムに伝達され,適切に利用可能となるような体制が整備されているか,③内部統制に関する重要な情報が円滑に経営者および組織内の適切な管理者に伝達される体制が整備されているか,④内部通報の仕組みなど,通常の報告経路から独立した伝達経路が利用できるように設定されているか,などがある. 第 5に,「モニタリング」のことである.「モニタリング」は,財務報告に係る内部統制が有効に機能していることを継続的に評価するプロセスをいい,「業務に組み込まれて行われる日常的モニタリング」と「業務から独立した視点から実施される独立的評価」が存在する. 評価項目としては,①日常的モニタリングが,企業の業務活動に適切に組み込まれているか,②経営者は,独立的評価の範囲と頻度を,リスクの重要性,内部統制の重要性および日常的モニタリングの有効性に応じて適切に調整しているか,③モニタリングの実施責任者には,業務遂行を行うに足る十分な知識や能力を有する者が指名されているか,④経営者は,モニタリングの結果を適時に受領し,適切な検討を行っているか,⑤モニタリングによって得られた内部統制の不備に関する
な改善を図っているかなどがある. 第 2に「リスクへの評価と対応」のことである.「リスクへの評価と対応」は組織目標の達成に影響を与える事象について,組織目標の達成を阻害する要因をリスクとして識別,分析および評価し,当該リスクへの適切な対応を行う一連のプロセスをいう.適切な対応に当たっては,評価されたリスクについて,その回避,低減,移転または受容等,から適切なものを選択する. 評価項目としては,①信頼性のある財務報告の作成のため,適切な階層の経営者,管理者を関与させる有効なリスク評価の仕組みが存在しているか,②リスクを識別する作業において,企業の内外の諸要因および当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか,③経営者は,組織の変更や ITの開発など,信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度,リスクを再評価する仕組みを設定し,適切な対応を図っているか,などがある. 第 3に「統制活動」のことである.「統制活動」は経営者の命令および指示が適切に実行されることを確保するために定める方針または行為をいう.統制活動には,権限および職責の付与,職務の分掌等の広範な方針および手続が含まれる.このような方針および手続は,業務のプロセスに組み込まれるべきものであり,組織内のすべての者において遂行されることにより機能するものである. 評価項目としては①信頼性のある財務報告の作成に対するリスクに対処して,これを十分に軽減する統制活動を確保するための方針と手続を定めているか,②経営者は,信頼性のある財務報告の作成に関し,職務の分掌を明確化し,権限や職責を担当者に適切に分担させているか,③統制活動に係る責任と説明義務を,リスクが存在する業務単位または業務プロセスの管理者に適切に帰属させているか,④全社的な「職務規程」や,個々の「業務手順」を適切に作成しているか,⑤統制活
産業経営研究 第 31号(2009)
─ 8─
セス管理,外部委託管理などがある. 「IT業務統制」は,業務管理システムにおいて,承認された業務の正確な処理,記録のための IT統制個々のアプリケーション・システムにおいて,承認された取引がすべて正確に処理,記録されることを確保するコンピュータ・プログラムに組み込まれた統制であり,具体的には①システムセットアップ(与信限度額などの設定など),②整合性チェック(在庫の年齢調べリストなど),③インタフェース(会計伝票の転記,マスターファイルの転送など),④セキュリティー(パスワードの制限,マスターファイル更新の制限など)がある. 内部統制は上記の領域が対象となるが,まず「評価範囲」を選定する.図 4は一般的な評価範囲決定の事例である.例えば A社は,連結ベース 15社の関連企業があり,全国 60営業所の拠点において,営業活動を行っている中堅企業である. 全社的統制および決算・財務プロセス(全社的視点)は,ほとんどの関連企業が対象となっているが,業務プロセスは売上高を概ね 3分の 2として,H支店(71%)までが適用範囲であり,残り7の関連企業は対象に含まれていない.内部統制の適用範囲は,毎年変化する.M&Aや売上高の変化,そして財務報告に重要な影響を与える事業拠点の出現などにより,その範囲は変わることになり,企業にとっては大きな負担となっている.
4. 2 内部統制構築・評価の全体像 内部統制の構築・評価のコストは,企業によって異なるが膨大である.時間的コストは,文書化作業に 1年,有効性評価に 1年は費やされる.それに伴って,経済的コストとして,コンサルティング,監査法人のアドバイス,システム導入などがあり,Canon社は 30億円の費用を公表している. では,具体的に企業側は何をするのか.ここでは,総論的な枠組を指摘することにしたい.内部
情報は,当該実施過程に係る上位の管理者並びに当該実施過程および関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか,⑥内部統制に係る重要な欠陥等に関する情報は,経営者,取締役会,監査役または監査委員会に適切に伝達されているか,がある. 第 6に「ITへの対応」のことである.「ITへの対応」は統制目標を達成するために予め適切な方針および手続を定め,それを踏まえて,業務の実施において組織の内外の ITに対し適切に対応することをいう.尚,ITへの対応は,内部統制の他の基本的要素と必ずしも独立に存在するものではないが,いわゆる実施上の重要な影響を及ぼすもの,という位置付けであることに留意する. 評価項目としては,① 経営者は,ITに関する適切な戦略,計画等を定めているか,②経営者は,内部統制を整備する際に,IT環境を適切に理解し,これを踏まえた方針を明確に示しているか,③経営者は,信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため,手作業および ITを用いた統制の利用領域について,適切に判断しているか,④ ITを用いて統制活動を整備する際には,ITを利用することにより生じる新たなリスクが考慮されているか,がある. 一方,「決算・財務プロセス」は 2つに分かれる.すなわち「全社的な視点」の「決算・財務プロセス」と「業務プロセス視点」の「決算・財務プロセス」である.前者は,連結財務諸表作成,個別財務諸表作成,開示におけるそれぞれの評価項目がある.後者は業務プロセス領域における決算・財務業務のことであり,仕訳作業,大株主状況の作成,税効果会計などの業務である. 「業務プロセス」の場合は,全社的評価結果を踏まえて行うプロセスであり,販売管理,購買管理,生産管理,固定資産管理などのように個々の業務プロセスに組み込まれた統制のことである. 「IT全般統制」は,業務処理統制が有効に機能する環境を保証する統制活動のことであり,ITの開発,変更,保守,システム運用・管理,アク
日本版 SOX法における内部統制に関する一考察
─ 9─
実際には,取引が行われるとプロセスごとに総勘定元帳までの流れがある.例えば,販売プロセスの場合に,与信管理,受注,出荷,売上計上,代金の請求,回収,返品管理,債券管理の業務の流れがある.それぞれのサブプロセス中の業務に仕訳が発生し,不正,誤りが発生しうるリスクを分析評価する. リスク評価は,リスクの洗い出し,リスクの評価(影響度と発生可能性),リスクの特定を定性,定量分析を通して行う.その際には,統制上の要件(アサーション)である(①実在性,②網羅性,③権利と義務の帰属,④評価の妥当性,⑤期間配分の適切性,⑥表示の妥当性)13)の視点より,リスク評価が行われる.また,特定されたリスクを低減するコントロール活動(防止,発見,マニュアル,IT)を適切に埋め込む設計を行う. その実践手法としては,「関連規定・文書・マニュアル・ルールの整備」「業務記述書」「フローチャート」「RCM」などを整備することである.
統制の作業は「文書化フェーズ」と「有効性評価フェーズ」に大別される.前者は,財務諸表の適正性の確保としての合理的な確信を与え得る内部統制の構築・整備を行うことであり,後者は構築・整備したものが有効であるかという評価および整備通りに運用されているかという評価を行うことである. 内部統制の構築・整備は文書化のことである.何を対象にいかに文書化を行えばいいのか.内部統制は,財務諸表の適正性を確保する仕組みである.評価対象となる業務プロセスの識別は,事業目的に大きく係る勘定科目に至る業務プロセスと財務報告に重要な影響を及ぼすプロセスに大別される.「実施基準」は,「絶対的評価対象プロセス」として,関連勘定科目の売上高,売掛金,棚卸資産に至るプロセスは必ずその範囲に含むことを定めている.また,上記の勘定科目以外にも財務報告に重要な影響を与える勘定科目,プロセス(引当金など)も含まれるとしている.
図 4.内部統制の評価範囲の例(単位 :百万円)
組織 売上高 累計金額 累計(%)
10,400 10,400 14.3
8,800 19,200 26.5
6,000 25,300 34.8
6,000 31,400 43.1
5,400 36,800 50.6
5,300 42,200 58.0
5,000 47,200 64.9
4,800 52,000 71.5
出所)筆者作成.
産業経営研究 第 31号(2009)
─ 10─
ル」を回転させて,大数の法則にもとづく客観的確率のような計量的手法と数字によりリスクを捉えるアプローチである 14).実際,定性,定量分析は様々な手法がある 15). 内部統制の場合,全社的統制は定性分析,業務プロセスは定量分析で行われる.財務報告に与える影響度を 3段階に分類し,財務報告に大きく影響を与えるリスク,財務報告にそれなりに影響を与えるリスク,軽微であるが財務報告に与えるリスクを分類する. 図 5は B社におけるリスク評価の事例である.B社の場合,評価結果を 3段階分類すなわち,35~45,16~34,5~15にし,財務報告に与える影響を高,中,低にしている.B社のケースは,取引量,集中度,複雑度などの評価項目を 3点満点にし,その結果を数値化している.しかし,実際ほとんどの企業はこのような定量分析を行っていない.3段階に分類方法は同じであるが定性分析方法を用いている.また,リスクの洗い出しが的確に行われていないのも現状である.その多くの理由は,普段の業務活動を財務報告虚偽記載リスクの観点から捉えたことがないことや関連コンサルティング企業に丸投げするケースもあるからである.とくに,中堅・中小の内部統制対象企業は
このような文書化は,あくまでも財務諸表の虚偽記載が生じないような仕組みを構築することで,損害を与えうるリスクを防ぐことが目的である.一方では,内部統制は構築・整備(文書化)が目的ではないことである.すなわち,「評価フェーズ」として,①整備状況の有効性評価,②運用状況の有効性評価がある.前者は,内部統制の整備状況を評価し,有効ではなく不備であれば,その不備是正を行う.後者は現場において内部統制が適切に運用されているかを第三者的立場から有効性を評価することである.最終的には,不備是正と不備の一覧表の作成,重要な欠陥の判定と是正をし,3月 31日に,経営者は自社の内部統制の有効性評価の宣言を行い,監査人による内部統制監査を受け,「内部統制報告書」を内閣総理大臣に提出することとなっている.
4. 3 内部統制の構築手法(リスク評価) 一般的に,リスク分析評価手法は定性,定量分析で行われる.定性分析とは,リスク感覚をみがき不確実な将来に対する信念,つまり主観的確率に基づいてリスクを捉え,かつ測定・評価する感覚的アプローチのことである.定量的分析とは,たとえばリスク分析ソフトである「クリスタルボ
プロ
セス
サププロ
セス
財 務 諸
表 影 響
度(A)
複雑
度(B)
取 引
量(C)
自動
化(D)
集 中
度(E)
固 有 リ
スク(F)
計算結果
A*(B+C+D
+E+F
販売 与信管理 低
受注,出荷
売上計上
代金請求
返品管理
代金回収
債権管理
評価結果
35~45 高
16~34 中
5~15 低
2 1 1 2 2 1 14
高3 2 3 3 3 2 36
中3 1 3 3 2 2 33
中2 2 2 3 3 2 24
高3 2 3 2 3 3 39
図 5.B 社のリスク評価の例
出所)B社の事例をベースに筆者作成.
日本版 SOX法における内部統制に関する一考察
─ 11─
準」は,「絶対的評価対象プロセス」とし卸資産に至るプロセスは必ずその範囲に含むことを定めている.また,上記の勘定科目以外にも財務報告に重要な影響を与える勘定科目,プロセス(引当金など)も含まれるとしている. したがって内部統制の評価対象は業種ごとに異なる.金融庁の「実施基準」が示している例は一般製造業の勘定科目である.金融・保険業,不動産業などはその勘定科目は異なる.図 6に示した事例は D社の勘定科目と対象プロセスを示したものである. 決算・財務プロセス(全社的視点)の場合,完成工事高,完成工事原価,退職金付引当金,賞与引当金,貸倒引当金,評価損益勘定,受注工事損引当金,法人税,住民税,事業税など,土地,預かり消費税,建設仮勘定,建物完成工事補償引当金などの勘定科目に至るプロセスとして,単体決算プロセス,連結決算プロセス,開示プロセスの評価対象が選定されている.決算・財務プロセス(全社的視点)の場合は,業種によって,勘定科
適切な人材を有していない.筆者が行っている教育・研修セミナープログラムに参加している多くの企業の現状は同規模,同業種の場合でもリスクとコントロールの数が極端に異なるケースも見られた.いずれにしろ,内部統制において適切なリスク評価は欠かせない.リスク評価に誤りが生じるとその対応策であるコントロール設定にも誤りが生じ,内部統制システムの全体に誤謬をもたらす危険性がある.また,適切な内部統制の運用が行われない可能性は高くなる.
4. 4 内部統制の構築手法(勘定科目と関連プロセス)
内部統制の構築は,関連勘定科目と評価対象プロセス関係を理解することが必要になる.すべてのプロセスや勘定科目と関係を有していないプロセスおよび業務に内部統制を構築する場合,その範囲は膨大なものとなる.前項でも指摘したように,「実施基準」は,「絶対的評価対象プロセス」としして,関連勘定科目の売上高,売掛金,棚基
図 6.勘定科目とプロセスの関係の例
「絶対的評価対象プロセス」とし
関連勘定科目
完成工事高,完成工事原価退職金付
引当金,賞与引当金,貸倒引当金,
評価損益勘定,受注工事損引当金,
法人税,住民税,事業税など,土地,
預かり消費税,建設仮勘定,建物
完成工事補償引当金など
①受注・契約プロセス
②原価管理プロセス
③購買プロセス
④決算プロセ
⑤請求入金プロセス
決算・財務プロセス
単体決算プロセス
連結決算プロセス
開示業務プロセス
決算
固定資産
人件費
営業所
営業所業務プロセス
関連勘定科目
売上,売掛金,受取手形,
消費税など
固定資産プロセス
①固定資産調達プロセス
②固定資産棚卸・廃却プロセス 関連勘定科目
建物,土地,未成工事支出金,
固定資産売却損
人事プロセス 給与プロセス,賞与プロセス
退職金プロセス,人事マスタ
登録
関連規定の整備 業務の流れ図 業務記述書 RCM
出所)D社の事例をベースに筆者作成.
産業経営研究 第 31号(2009)
─ 12─
の一つといわれてきた「暗黙知」を「形式知」に変換させることである.業務プロセスはそれぞれサブプロセスに分割され,プロセスごとに業務の流れが具体化されたフローチャートを作成することである. フローチャートは業種,企業ごとに異なる.それは,同じ業種,同じプロセスでも業務の流れは同じではないからである.なぜ,このようなフローチャートを作成するのか.ここには,2つの理由が考えられる.第 1は,業務を見える化することによって,業務の有効性を判断し,その効率化および無駄の削減につなげることである.第 2は,現場業務を担っている担当者がプロセス全体の流れを理解し,業務を行うことができるからである. 図 7は,D社におけるフローチャートの事例である.上記のプロセスは受注・契約のプロセスであり,発注情報を入手し,それをベースに見積書を作成し,その内容の承認を上席者が行う.そし
目は異なるものの上記のプロセスは同様である.これらの 3プロセスにはそれぞれ,評価項目が設定され,チェックリストを作成することになる.業務プロセスの場合,D社は各営業所があり,営業所ごとのプロセスと固定資産プロセス,人事プロセスが評価対象となっている.営業所の勘定科目は,売上,売掛金,受取手形,消費税などがあり,関連業務プロセスは①受注・契約プロセス,②原価管理プロセス,③購買プロセス,④決算プロセス,⑤請求入金プロセスから構成されている.また,固定資産プロセスは建物,土地,未成工事支出金,固定資産売却損などの勘定科目と連携しており,人事プロセスは給与プロセス,賞与プロセス,人事マスタ登録などから構成されている.
4. 5 内部統制の構築手法(フローチャート) 内部統制の文書化は,言い換えれば業務を可視化する作業である.すなわち,従来の日本的経営
顧客 営業所 支店、本社 システム(サーバー)
開示 発注情報
見積、顧客
提出
契約
受注情報
終了
見積内容
確認書
見積原価
内訳書
見積書
受注稟議書 承認
契約書類
契約種類
受注登録
リスト
受注実績表
C
承認
原価管理
見積原価登録
ST-ABLE 見積管理
見積データ登録
ST-ABLE 受注管理
受注データ登録
会計システム
完成工事未収入金
未成工事受け入金
完成工事高
預り消費税
会計システム
図 7.フローチャートの事例
出所)D社の事例をベースに筆者作成.
日本版 SOX法における内部統制に関する一考察
─ 13─
債券管理となり,それぞれに業務におけるリスクの特定とその対応策であるコントロールを埋め込み,システムとの関係性を明らかにする作業をすることになる. ここで,現場での問題点を指摘しておく.第 1に,現場の認識である.現場従業員はこのような業務の流れを可視化することが得意ではない.また,財務虚偽リスクとの関係性および統制上の要件を理解し,業務を行うことを意識していない場合が多い.第 2に,関連規定や証憑などの整備が
て,契約を行った後に受注情報を入力し,プロセスは終了している.一方では,業務処理の際に起こりうる財務虚偽記載リスクを特定し,それを低減するコントロール活動を埋め込むことになっている.また,それぞれの業務活動の関連するシステムとの連携をも可視化している. このような,フローチャート(業務の流れ図)は,プロセス全体の業務の流れを明確にすることができる.一般製造業の場合は,与信管理→受注→出荷→売上計上→代金請求→回収→返品管理→
図 8.RCM の事例
7 RCM の事例
しかし、RCM 作成は業務プロセスごとの財務報告活動業務の内部統制に関するすべてのものを示すものとなっており、その実際の作業は、専門的な知識が要求される。
7 は D社の RCM の事例である。RCM 統制上の要件、勘定科目との関係までも示されており、内部統制の構築・整備、有効性評価を行うツールとして、有効なものである。
プ
ロ
セ
ス
サ
ブ
プ
ロ
セ
ス
責
任
者
ア
サ
シ
ョ
ン
リ
ス
ク
番
号
リ
ス
ク
重
要
度
統
制
番
号
コントロール
統
制
の
区
分
1
統
制
の
区
分
2
関
連
規
定 証憑
統
制
頻
度
受
注
契
約
プ
ロ
セ
ス
見
積
顧
客
提
出
契
約
受
注
登
録
支
店
長
網
羅
性
実
在
性
網
羅
性
R
3
R
4
R
5
R
6
R
7
工種および数量に変
更がある場合,その内
容が変更見積書に反
映されないリスク
適切な承認がされな
いまま,見積書が顧客
に提出されるリスク
見積内容が契約書類
等に反映されないリ
スク
架空入力のリスク
誤入力の入力
高
低
低
高
中
C
6
C
7
C
8
C
9
C
1
0
C
1
1
工事担当者は,工事日誌
の変更内容に基づき,見
積書を作成する。
支店長は,見積原価内
駅書また見積書を検討
し,単価について,異常
値を確認,承認する
C7と同一
支店長は,契約種類の内
容を検証し,契約種類に
承認を行う
支店長は受注登録リスト
と契約種類を突合し受注
登録リストに承認を行う
営業,事務担当者は,受
注登録リストと契約種類
を突合し,受注登録リス
トに確認印を押す
防
止
防
止
防
止
発
見
発
見
発
見
手
動
手
動
手
動
手
動
手
動
手
動
工
務
工
務
営
業
営
業
営
業
営
業
工 事
日 誌
見積書
見積書
契 約
種 類
受注登
受注登
録リス
ト
録リス
ト
随
時
随
時
随
時
随
時
月
次
随
時
ー
出所)D社の事例をベースに筆者作成.
産業経営研究 第 31号(2009)
─ 14─
記することにより,財務報告虚偽リスクが生じない仕組みが作られるのである. RCM作成には,経済的・人的・時間的コストが発生する.しかし,業務活動におけるリスクとコントロールの関係を明確にするツールとしては有効である.確かに,このような内部統制システムを構築・整備することがリスク防止になることはない.問題は,リスクをコントロールする現場の担当者が適切なコントロール活動業務を遂行することである.すなわち,内部統制が適切に運用されない限り,これらのものは形式的制度論になるだろう.
5 内部統制の有効性評価
内部統制は,構築・整備で終わりではない.内部統制は文書化後が始まりである.それは,「有効性評価」をしなければならないからである.金融庁の「実施基準」,日本公認会計協会の「実務上の取扱い」は,文書化後の有効性評価として,「整備状況評価」と「運用状況評価」を行うことを規定している.前者は,財務報告虚偽が発生するリスクを低減する仕組みである「文書化」が有効であるかどうかを評価することである.後者は,現場において設計したとおりに内部統制が運用されているかを評価することである. ここで,両者の評価は異なることに留意する必要がある.第 1に評価手法である.整備状況評価は「ウォークスルー」の手法を用いる.運用状況評価は,コントロールごとに個別的手法を用いる.たとえば,あるコントロールに関しては,「インタビュー」と「観察」,あるコントロールに関しては「関連文書閲覧」などで評価を実施する. 第 2に,評価実施者である.整備状況評価は各現場におけるプロセス責任者を中心に,業務に詳しい中間管理職が行う.しかし,運用状況評価は対象業務と関連を有しない第三者的な立場の者が評価を行う.「実施基準」では,対象業務と関連を有しない客観的な立場で評価を行う「部門」を設置することを規定している.実際の現場では,
充分ではないことである.関連規定がない場合や証憑などが整理されないことが多いことから,フローチャート作成と一緒に関連規定作業にも多くの資源を導入している.第 3に,社内の人材の問題である.フローチャートを適切なリスクとコントロール,システムとの関係性から的確に示すことができる人材が不足している.とくに,中堅・中小規模の組織体には尚更である.したがって公認会計士や監査法人,コンサルタントがプロジェクトの中心となり,内部統制を進めており,コストが増加する一因ともなっている.
4. 6 内部統制の構築手法(RCM) RCM(リスク・コントロール・マトリックス)とは何か.一口でいえば,業務プロセスに潜むリスクと,それに対応するコントロール(統制活動)の状況を定義した文書のことである. また,RCM作成は業務プロセスごとの財務報告活動業務の内部統制に関するすべてのものを示すものとなっており,その実際の作業は,専門的な知識が要求される.RCMの項目は,業種,企業によってほぼ同様である.内容は,それぞれの業種,企業の特性によって異なる.一方ではRCMは,文書化までの内容と有効性評価の内容までを含むことになる.本稿では,文書化における内容を確認していきたい.一般的な RCMの項目は,①プロセス,②サブプロセス,③評価対象組織,④アサーション,⑤勘定科目,⑥リスク,⑦コントロール,⑧統制実施担当者,⑨統制実施頻度,⑩コントロールの種類,⑪財務報告に与える影響度,⑫関連規定,⑬証憑,⑭関連システム,⑮キーコントロールの区分,などがある.図 8では,ある営業所の受注・契約プロセスにおける見積顧客提出,契約,受注登録サブプロセスのRCMを示している.それぞれにおいて,アサーション,リスクとコントロールが示され,関連規定,証憑,統制担当者などが記されている.このように,評価対象プロセスに潜むリスクを明確にし,それを低減するコントロール活動の詳細を明
日本版 SOX法における内部統制に関する一考察
─ 15─
が有効であれば,問題はないが不備の判定が出た場合は不備是正を行う.さらに,不備是正後,一定期間を経て,再評価を行い,整備状況評価に問題がないことを最終的に確認し,運用状況評価を行う. しかし,「実施基準」,「実務上の取扱い」は,評価の判断基準が示されていない.すなわち,有効と不備の判定基準である.結局,海外で行われた手法が現場では実践される.すなわち,リスクとコントロールの関係のなかで,コントロールにはキーコントロールがあるが,キーコントロール以外のコントロールに問題がある場合,個別的にその是正をするがキーコントロールが有効であれば,リスクを低減する全体的設計としては有効であるという判断である 17).
5. 2 運用状況の有効性評価 運用状況評価は,現場と関係を有しない第三者的な「内部監査部門」あるいは担当部門と関係しない別の部門が評価を行うことが規定されている.同評価は,キーコントロールが対象となる.また,評価はサンプリング手法が用いられる. 日本公認会計士協会の「実務上の取扱い」では,サンプリングは統制実施頻度が日次,随時行われるものは 25件を選定し,サンプリングの母集団を特定し,統計的および非統計的手法で行うことを提示している.しかし,サンプリングの指針は監査法人によって異なる.各監査法人の主張があり,統計的手法はランダム乱数生成方式,確率論,系統的サンプリングなど,統一した見解はない.多くの現場では,ランダム乱数方式を用いるケースが多い.そして,サンプリングの数が決定され,評価手続が作成される. 評価手続の作成は,評価対象コントロールであるキーコントロールごとに詳細に作成される.まず,評価手法を決める.評価手法には,質問,観察,関連文書の閲覧,再実施がある.例えば,与信限度額の設定の誤謬,変更されるリスクがあり,そのコントロールが取引先の登録,与信限度
内部監査部門が運用評価の主体となっている. 第 3は,評価対象範囲である.整備状況評価はすべてのコントロールが対象となる.一方,運用状況評価はキーコントロールが対象となる.キーコントロール選定は,リスクを低減する重要コントロールとして,コントロールの種類(防止,発見)やサンプリング母集団特定などを考慮して,選定される.また,運用状況評価はキーコントロールにおけるサンプリングを通して行われる. 第 4は,評価基準である.整備状況評価はリスクとキーコントロールとの関係性から有効と不備を判定する.しかし,運用状況評価は,統計的手法で判断を行う.
5. 1 整備状況の有効性評価 整備状況の有効性評価は,内部統制の設計が妥当かどうかを評価することである.基本的には,全社的統制,決算・財務プロセス,業務プロセス,IT全般統制などそれぞれにおいて行われる. 評価手法は,一般的にはウォークスルー(Walkthrough)で行われる.ウォークスルーとは,ある 1つの取引に対して,発生から財務報告へ反映されるまでをトレスする方法であり,実際は関連文書の検討などを通して,追跡調査をする方法である.具体的には,担当者への質問,設計状況の確認,関連文書の閲覧,社内規定,ルールの確認,整備作成資料の確認エラーへの質問,確認,エラー発生率,原因分析・調査コントロールに関連する報告書,資料の分析・比較を行うことである 16).また,リスクとコントロールの整合性,業務分掌の適正性,リスク発生の低減,業務適用の事実,内部統制の存在,募集団の特定,運用テストの可否,キーコントロール設定の整合性なども評価内容に入る. そして,コントロールごとにウォークスルー手続を作成し,有効性評価が行われる.その際には,実際行われた取引の伝票を 1つあるいは複数サンプリングして,業務プロセスの取引の始まりから総勘定元帳までの流れを追跡調査する.評価結果
産業経営研究 第 31号(2009)
─ 16─
判断基準を決めている.一方では,不備はその是正を行い,さらに再評価を行うことになる.そして,運用状況評価は,その実施時期が半年前倒しされることが一般的であり,年度末に修正変更履歴の確認を行う「ロールフォワード」を作業し,内部統制作業は完了する.その後は,経営者が「内部統制有効性評価」の宣言をし,不備があるのか,重要な欠陥があるのか,問題がないのかを開示し,監査法人の内部統制監査を受け,内部統制報告書を提出する.
6.内部統制の課題と展望
これまで,日本版 SOX法における内部統制に焦点をあて,その定義,法的枠組,構築,評価の実践的内容を論じてきた. しかし,今回の内部統制には幾つかの課題がある.第 1に,今回の内部統制の必要性を学会,産業会などで充分論じる必要がある.基本的には,日本版 SOX法は株主中心主義を強調した米国基準であり,日本の組織,風土,仕事環境に関し,学際的に検証する必要がある.第 2に,内部統制に関する基準である.金融庁および日本公認会計士協会などの基準が明確な指針を示していないことである.それによって,多くの企業現場は混乱に陥った.今後,統一的見解の作業をするべきである.第 3は,対象企業に対するガイドラインの整理である.グローバル企業,大企業,中堅企業,IPO企業すべてが同様な作業はできない.それぞれに適したガイドラインを今後示す必要がある.第 4は,今回の内部統制を財務報告以外にも,業務の効率化と有効性などに活用し,コストに対する受益を得るべきである. 一方,今後内部統制は財務報告に限定されたリスクマネジメントではなく,企業経営目的達成に影響を及ぼすすべての要因を体系化し,統合的に行う ERMを展開していくことが諸外国の事例から予想される. 最後に,今回の論文は内部統制の構築を中心にしており,有効性評価には深く論じることはでき
額の変更担当者は承認された稟議書を基に与信限度額の修正を行う(マニュアル統制)ということにしよう.その場合,評価手続は,「関連文書の閲覧 :①販売システムからサンプリング期間中の取引先の情報登録,変更履歴を抽出する,②同リストの中で,与信限度額の変更件 4件をサンプリングする.また,稟議書も入手する,③稟議書に担当上席者の承認があるかを確認する,④稟議書の内容と変更履歴が一致するかを確認する」になる. では,評価の判断基準はどうなるか.今回の日本版 SOX法の場合,90%の信頼度があればいい.すなわち,サンプリングの 25件中,失敗が 0件であればいい.では,失敗が 1件ある場合どうなるか.この問題に関しても「実施基準」,「実務上の取扱い」には規定がない.一部の監査法人がその基準を公表しているが,全体的な統一的見解が公表されていない.結局は米国などで行われた手法が用いられている.25件中 1件の失敗があれば,許容範囲率は,14.7%となり,信頼度 90%には至らない.この場合は,サンプリングの内容を分析し,サンプリングを増やすことが可能である.例えば,15件増やし,問題がなければ 40件中 1件の失敗であり,許容範囲率は 9.4%となり,有効となる.しかし,また 1件の失敗が出ると40件中 2件の失敗で,許容範囲率は 12.8%となる.この場合,2つの考え方がある.40件中 2件があれば,さらに代替,補完コントロールを探し,その評価が有効であれば有効という判断を下す18).もう 1つは重要な欠陥の関係から判断を下す.40件中 2件があれば,不備と決定し,商品の推定金額が 1,000万であれば(1,000× 12.8)不備金額は 128万となる.さらに,代替,補完コントロールがあれば,それを評価し,有効であればその金額(例えば 30万)を 128万から引く.連結税引前利益が 100万である場合,重要な欠陥にはならないという判断である 19). いずれにしろ,多くの企業はこのような判断基準が示されていないことから監査人との協議で,
日本版 SOX法における内部統制に関する一考察
─ 17─
Risk Management Integrated Framework.
8)COSOのフレームワークにおける内部統制の目的は①業務の効率性と有効性,②財務報告の信頼性,③関連法規の遵守であり,構成要素は①統制環境,②リスクの評価,③統制活動,④情報と伝達,⑤モニタリングである.
9)302条では ,最高経営責任者と最高財務担当者による年次・四半期報告書における財務諸表の適正性と「内部統制の構築・維持の宣誓および署名」が義務付けられ,民事的責任を負うことが定められている.404条では,「財務報告に係る適切な内部統制構造と手続を構築・維持することは経営者の責任であり,会社の直近の会計年度において,財務報告に係る内部統制の構造と手続の有効性を含むものである.そして ,内部統制の評価に関して,当該会社の経営者による評価に対して証明を与え,かつ報告しなければならない」と述べられている.906条では ,経営者による四半期報告書における「財務諸表の適正性の宣誓および署名」が義務付けられ,刑事的責任(違反した場合,20年以上の禁固刑または 500万ドル以下の罰金)が問われることが記述されている.
10) The Canadian Institute of Chartered Accountants, the
Criteria of Control Board, Control and Governance
Number 1(1995)Guidance on Control, Toronto:
CICA.
1995年カナダ勅許会計士協会(CICA)の統制審議会は COSOフレームワークを拠り所にし,COCO
モデルとして 8つのコントロール評価原則と 10のコントロールの評価段階を公表している.カナダでは,2004年 10月にカナダ勅許会計士協会の監査・保証基準審議会により「財務諸表監査に関連して実施される財務報告に関する内部統制の監査」が公表され,内部統制が本格化されている.
11) 洪 聖協(2007)『内部統制実践パーフェクトガイド─内部統制の理論・構築・評価の実務─』カナリア書房,p.45.
12) 委託業務は,経営者が当該業務を適用している外部の委託会社の業務のことである.持分法適用
なかった.それから,学際的な視点ではなく実務的アプローチを行っている.別の機会に有効性評価の問題および学際的研究を発表することにしたい.(財団法人社会経済生産性本部 ERM主席研究員)
注1)金融庁 :内部統制部会「財務報告に係わる内部統制の評価および監査の基準並びに財務報告に係わる内部統制の評価および監査に関する実施基準の設定について」(2007年 2月最終意見案),Q&A
(2007年 10月,2008年 6月),「内部統制報告制度に関する 11の誤解」(2008年 3月).日本公認会計士協会 :「実務上の取り扱い」(2007年 7月),「IT統制の評価手続」(2007年 12月),「監査基準
18号」.経済産業省 :システム管理基準追補版「財務報告に係わる IT統制ガイダンス」(2008年 3月).
一方,法務省における 2006年新会社法(348
条第 4項,362条 5項),施行規則 100条でも内部統制を規定している.
2)鳥羽至英(2005)『内部統制の理論と実務』国元書房,p.1.
3)American Institute of Certified Public Accountants,
Committee on Auditing Procedure(1949)Internal
Control-Elements of a Coordinated System and its
Importance to Management and the Independent Public
Accountant, New York, AICPA.4)Committee of Sponsoring Organization of the Treadway
Commission(COSO)(1992)Internal Control-
Integrated Framework, AICPA.5)金融庁企業会計審議会内部統制部会(2007)「財務報告に係る内部統制の評価および監査の基準 ,
財務報告に係る内部統制の評価および監査に関する実施基準設定について」.
6)The Committee of Sponsoring Organization of the
Treadway Commission(COSO)(1992)Internal
Control-Integrated Framework, AICPA.7)The Committee of Sponsoring Organization of the
Treadway Commission(COSO)(2004)Enterprise
産業経営研究 第 31号(2009)
─ 18─
業審議会金融分科会第一部会報告─ディスクロージャー制度の信頼性確保にむけて─」公表.
────企業会計審議会内部統制部会(2005 年 12
月)「財務報告に係る内部統制の評価および監査基準のあり方について」を公表.
────(2006年 6月)「金融商品取引法」.────企業会計審議会内部統制部会(2006 年 11
月)「財務報告に係る内部統制の評価および監査基準」公開草案.
────企業会計審議会内部統制部会(2007年 2
月)「財務報告に係る内部統制の評価および監査の基準,財務報告に係る内部統制の評価および監査に関する実施基準設定について」公表.
────(2007年 10月)「Q&A」.────(2008年 3月)「内部統制報告制度に関する 11 の誤解」.────(2008年 6月)「Q&A」.経済産業省(2007年 3月)「システム管理基準追補版(財務報告に係る IT統制ガイダンス)」.鳥羽至英(2005)『内部統制の理論と実務』国元書房,
p.1.土田義憲(2006)『内部統制の評価モデル』中央経済者.
日本公認会計士協会(2007年 7月)「財務報告に係る内部統制の監査に関する実務上の取扱い」公表.
洪 聖協(2007)『内部統制実践パーフェクトガイド─内部統制の理論・構築・評価の実務─』カナリア書房.
────(2008)『内部統制有効性の評価─ J-SOX法運用評価の実践と ERMの展開』生産性出版.
吉川吉衛(2007)『企業リスクマネジメント』中央経済者.
American Institute of Certified Public Accountants,
Committee on Auditing Procedure(1949)Internal
Control-Elements of a Coordinated System and its
Importance to Management and the Independent Public
Accountant, New York: AICPA.
Committee of Sponsoring Organization of the Treadway
Commission(COSO)(1992)Internal Control-
企業は,過半数の株式支配をしていないため子会社と同じ評価はできないが,当該関連会社へ質問書の送付,聞き取り,報告書などの閲覧などの適切な方法で内部統制の有効性評価を行う.
13) 実在性とは,資産および負債が実際に存在し,取引や会計事象が実際に発生していることであり,架空計上リスク,二重計上,先行計上,誤った金額の計上のリスクがある.網羅性とは,計上すべき資産,負債,取引や事象を漏れなく記録していることであり,発生した会計取引の計上漏れ,計上遅れのリスクがある.権利と義務の帰属とは,計上されている資産に対する権利および負債に対する義務が会社に帰属していることである.評価の妥当性とは,資産や負債を会計方針に従って適切に評価していることである.期間配分の適切性とは,取引や会計事象を適切な金額で記録し,収益および費用を適切な期間に配分していることである.表示の妥当性とは,取引や会計事象を適切に表示していることである.
14) 吉川吉衛(2007)『企業リスクマネジメント』中央経済者,p.183.
15) 定性分析には,データに基づく推計,アンケート,シナリオ分析などがあり,定量分析には感応度分析,確立統計的推計,ストレステスト,バックテスティング,ベンチマーキング,スワット分析などがある.
16) 土田義憲(2006)『内部統制の評価モデル』中央経済者,pp.263‒264.
17) 洪 聖協(2008)『内部統制有効性の評価─J-SOX法運用評価の実践と ERMの展開』生産性出版,pp.83-85.
18) 洪 聖協,前掲書,pp.104-105.19) あずさ監査法人編(2008)『内部統制の評価マニュアル』中央経済社,pp.287-310.
参考文献あずさ監査法人編(2008)『内部統制の評価マニュアル』中央経済社.金融庁企業審議会内部統制部会(2004年 12月)「企
日本版 SOX法における内部統制に関する一考察
─ 19─
Framework.
The Canadian Institute of Chartered Accountants, the Criteria
of Control Board, Control and Governance Number 1
(1995)Guidance on Control, Toronto: CICA.
Integrated Framework, AICPA.
The Committee of Sponsoring Organization of the
Treadway Commission(COSO)(1992)Internal
Control-Integrated Framework, AICPA.
────(2004)Enterprise Risk Management Integrated
