セキュリティ対策コラム　－内部統制の構築とその評価について－日本版SOX法を読む（実施基準より）その1

内部統制についての目的と内部統制を構成する基本的要素や財務報告に係る内部統制の構築について述べています。

（1）目的と基本的要素

内部統制の目的と基本的要素は、よく立方体で示されるものです。

内部統制の目的としては、「業務活動の有効性」、「財務報告の信頼性」、「関連法規制の遵守」、「資産の保全」を挙げています。それぞれ固有の目的ですが、互いに独立したものではなく、密接に関連しています。金融商品取引法では、財務報告の信頼性を目的として、有効な内部統制を求めています。しかしながら、財務報告は、組織の業務全体と密接不可分の関係にありますから、目的相互間の関連性を理解した上で内部統制を構築し運用することが望まれます。

内部統制を構成する基本的要素は、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」からなり、この6つの基本的要素がすべて適切に整備および運用されることが重要で、内部統制の有効性を判断する際の評価基準となるものです。

2）内部統制の構築

ここでは，前段で記述された内部統制の目的と基本的要素に照らし、内部統制の構築に関して重要となる点を6つの基本的要素に対して全体で16の関連項目を列挙しています。

内部統制の構築について一般的な手続きが例示されていますが、まずは実際に行われている内部統制の整備状況を把握し、リスクとその対応を把握する必要があります。そのために、組織の重要な各業務プロセスについて、取引の流れ、会計処理の過程を図表を活用して把握することが薦められています。

経営者は自社内に内部統制を構築した後、内部統制の有効性について評価し、評価結果を内部統制報告書という形で開示しなければなりません。実施基準のⅡ章では、財務報告に係る内部統制の評価の意義や評価範囲、評価方法について述べられています。

（1）内部統制の評価の意義

内部統制の有効性評価とは、内部統制がその枠組み（実施基準Ⅰ章）に準拠して整備及び運用されており、当該内部統制に重大な欠陥がないことをいいます。重大な欠陥とは、一定の金額(比率)を上回る虚偽記載、または質的に重要な虚偽記載をもたらす可能性が高いものをいいます。金銭的重要性については、連結総資産、連結売上高、連結税引き前利益などに対する比率で判断するとし、企業の業種、規模、特性によるとしながらも、重大な欠陥としては、連結税引き前利益については、概ね5％程度以上とすることが考えられると例示しています。

（2）連結ベースの評価

財務報告に係る内部統制の有効性評価は、連結ベースの子会社や関連会社を対象としています。企業の財務諸表の作成に係る業務を外部に委託している場合には、委託業務に係る内部統制についても評価対象となります。

（3）評価の範囲の決定

財務報告に対する金額的及び質的影響の重要性を考慮して、以下の事項に関し評価範囲を決めていきます。

• 財務諸表の表示及び開示
• 企業活動を構成する事業または業務
• 財務報告の基礎となる取引または事象
• 主要な業務プロセス

＜全社的な評価の範囲＞

内部統制の評価は、全社的な評価と業務プロセスに関わる評価とがあり、全社的な内部統制は原則として全事業拠点について評価します。

＜業務プロセスの評価の範囲＞

経理部門が担当する決算・財務報告に係わる業務プロセスのうち、全社的な観点で評価することが適切と考えられるものについては、すべての事業拠点について全社的な観点で評価します。例えば以下のような手続きが含まれるとしています。

• 総勘定元帳
• 連結修正、報告書の結合及び組替など連結財務諸表作成のための仕分けとその内容を記録する手続き
• 財務諸表に関連する開示事項を記載するための手続き

上記以外の業務プロセスについては、売上高等の重要性に応じて、例えば、本社を含む各事業拠点における売上高等の金額が高い拠点から合算していき、連結ベースの売上高等が一定の割合に達している事業拠点を評価の対象にするとしています。

一定の割合としては、例えば全社的な内部統制の評価結果が良好な場合に、連結ベースの売上高等が概ね2／3程度に達している事業拠点を評価の対象範囲とするような目安を例示しています。また、評価対象とする業務プロセスは、事業目的に大きく関わる勘定科目（例えば、一般的な事業会社の場合、原則として、売上、売掛金及び棚卸資産）に至る業務プロセスは、原則として、すべてを評価の対象とします。

但し、例えば、重要な事業拠点で行う事業または業務との関連性が低く、財務報告に対する影響の重要性も僅少である業務プロセスについては、評価対象にしないことができるとしています。

（4）評価方法

＜全社レベルの評価＞

評価は全社的なものと、業務プロセスに係わるものの2段階で行われ、内部統制の整備状況と運用状況について評価していきます。全社的な内部統制は、企業全体に広く影響を及ぼし、企業全体を対象とする内部統制であり、例えば全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定のプロセス等について内部統制の基本的要素（注1）が充足されているか評価していきます。

＜業務プロセスの評価＞

全社的な内部統制の評価結果を踏まえて、業務プロセスに係わる内部統制の評価の範囲、方法等を決定することになります。全社的内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係わる内部統制の評価について、評価範囲の拡大や評価手続きを追加するなどの処置が必要になります。一方全社的な内部統制の評価結果が有効である場合については、業務プロセスに係わる内部統制の評価に際して、サンプリングの範囲を縮小するなど、簡易な評価手続きをとり、または重要性等を勘案し、評価範囲の一部について、一定の複数会計期間ごとに評価の対象とすることが考えられるとしています。

業務プロセスの統制は、個々の勘定科目に係わるプロセスに対する統制上の要点（注2）の視点から具体的に評価していきます。

まず経営者は、評価対象となる業務プロセスにおいて、不正又は誤謬により、虚偽記載が発生するリスクを明確にします。次に虚偽記載が発生するリスクを低減するために、内部統制として何が必要かを明らかにし、適切な財務情報を作成する統制要件（注2）を確保する合理的な保証ができているかを判断します。これにより、内部統制についての基本的要素(注1)が有効に機能しているかを評価します。また、業務プロセスに係わる内部統制の運用状況についても有効性を評価していきます。

（注1）： 内部統制の基本的要素：「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」、「ITへの対応」

（注2）： 統制上の要点：適切な財務情報を作成するための要件でアサーションと呼ばれるもので、実存性（資産及び負債が実際に存在し、取引や会計事象が実際に発生していること）、網羅性（計上すべき資産、負債、取引や会計事象をすべて記録していること）、権利と義務の帰属（計上されている資産に対する権利及び負債に対する義務が企業に帰属していること）、評価の妥当性（資産及び負債を適切な価額で計上していること）、期間配分の適切性（取引や会計事象を適切な金額で記録し、収益及び費用を適切な期間に配分していること）、表示の妥当性(取引や会計事象を適切に表示していること)

実施基準では、ITを利用した内部統制の評価についても説明していますが、紙面の都合上次回に説明することにします。