PR

 金融庁が11月8日に一般公開した内部統制整備の実務的なガイドラインである「実施基準」草案(以下,実施基準案)は,(1)「内部統制の基本的枠組み」(資料1-1),(2)「財務報告に係る内部統制の評価及び報告」(資料1-2),(3)「 財務報告に係る内部統制の監査」(資料1-3)という3つの文書から成る。このほかに(1)~(3)のポイントをまとめた参考資料(資料2)がある。

 公開に先立ち11月6日に開催された「金融庁 企業会計審議会 第14回内部統制部会」では、(1)と(2)について議論され,(3)に関する議論は11月20日に開催予定の第15回内部統制部会に持ち越された(関連記事『日本版SOX法「実施基準案」がついに登場、IT統制に関して例示』『「売上高3分の2以上を目安に業務を選定」、内部統制の基準案公表』)。そこで以降では、(1)と(2)の中身を2回に分けて紹介していきたい。今回は(1)「内部統制の基本的枠組み」を取り上げる。

(吉田 琢也=ITpro)

 実施基準案の1つめの文書である「内部統制の基本的枠組み」(以下、文書1)は、次の5つのパートから成る。

 内部統制の定義(目的)
 内部統制の基本的要素
 内部統制の限界
 内部統制に関係を有する者の役割と責任

 財務報告に係る内部統制の構築

 ここでいう基本的枠組みとは、組織の規模や形態などに関係なく、財務報告に係る内部統制の評価及び報告(=2つめの文書)、あるいは、財務報告に係る内部統制の監査(=3つめの文書)を実施するうえで前提となるもののこと。それが上記5項目というわけである。以下では文書1の記述に従って、各項目の概要やエッセンスを紹介していく。

■内部統制の定義(目的)

 実施基準案の文書1ではまず,内部統制を次のように定義している。

 内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全という「4つの目的」が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応という「6つの基本的要素」から構成される。            

 ただし、内部統制は、上記の4つの目的の達成を絶対的に保証するものではない。「4つの目的が達成されないリスクを一定の水準以下に抑える」という意味で、合理的な保証を得ることを目的にしているのである。

 文書1ではまず、内部統制の定義や目的に関して、2つのことを特に強調している。1つは「内部統制は、組織の業務に組み込まれて構築され、組織内のすべての者により業務の過程で遂行される」ということだ。正規の従業員だけでなく、組織内で一定の役割を担って業務を遂行する短期雇用・臨時雇用の従業員も、内部統制の遂行者となる。

 もう1つは「内部統制は、組織内のすべての者が業務の中で遂行する一連の動的なプロセス」である、ということである。内部統制は、いったん構築したらそれで終わりではなく、常に見直していくべきもの、なのである。

 4つの目的、すなわち「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の遵守」、「資産の保全」のうち、金融商品取引法が直接的に求めているという意味で特に重要な「財務報告の信頼性」について補足しておきたい(他の3つの目的の具体的な内容については、文書1をご覧いただきたい)。

 実施基準案の文書1では、「財務報告の信頼性」を「財務諸表、および、財務諸表に重要な影響を及ぼす可能性のある情報の信頼性」と定義している。ここでいう財務諸表とは「金融商品取引法上の開示書類(有価証券報告書及び有価証券届出書)に記載される財務諸表」を指す。財務報告の具体的な内容(範囲)については、実施基準案の2つめの文書である「財務報告に係る内部統制の評価及び報告」で規定している。

 金融商品取引法は、「財務報告の信頼性」以外の目的のための内部統制を直接的に求めてはいない。しかし、財務報告は組織の業務全体と密接不可分の関係にあるため、経営者は目的相互の関連性をよく理解したうえで内部統制の整備や運用に取り組むべきである、と強調している。

■内部統制の基本的要素

 文書1によれば、内部統制の「基本的要素」とは、「内部統制の目的を達成するために必要とされる内部統制の構成部分」のことであり、「内部統制の有効性の判断の規準となる」と説明している。具体的には、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「IT(情報技術)への対応」の6つを指す。

 これは読者もよくご存知のように、内部統制に関する国際的なフレームワーク(枠組み)である「COSOモデル」で提示された5つの要素に、「ITへの対応」を加えたものだ(関連記事『「日本版COSO」の構成要素を理解する(前編)』、『同(後編)』)。ここでは6つの要素のうち、特に読者との関係が深いと思われる「ITへの対応」が文書1でどのように説明されているのかを見てみよう。

 まず、COSOモデルの5要素に「ITへの対応」を加えたのは、「組織に深くITが浸透している現状では、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠」だからである。決して、「組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない」ということを、実施基準案では強調している。

 ITへの対応には、「IT環境への対応」と「ITの利用及び統制」という2つの側面がある。IT環境への対応とは、組織を取り巻くさまざまなIT環境を適切に理解したうえで、ITを利用したり統制したりせよ、という意味だ。ここでいうIT環境とは、社会や市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、組織の情報システムへの依拠の状況、情報システムの安定度、外部委託の状況、などを指す。

 では、ITの利用及び統制とは何だろうか。これについて文書1では、次のように説明している。

 組織内において、内部統制の他の基本的要素の有効性を確保するために、ITを有効かつ効率的に利用すること、並びに組織内において、業務に体系的に取り込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させること

 そのうえで、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、という他の5要素に対し、それぞれの有効性を確保するためのITの利用について、例を挙げながら説明している。例えば「統制活動の有効性を確保するためのITの利用」では、

 ITを利用した統制活動を、適切に設計して業務プロセスに組み込むことにより、統制活動の自動化が可能となる。例えば、適切な生産管理システムを開発し、その中に棚卸の検証プログラムを組み込んでおき、製造部門が製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や倉庫係が日々の原材料の実在庫データを入力する手続等を業務プロセスに組み込むことにより、瞬時に帳簿在庫と実在庫の差を把握し、問題の発見に役立てることが考えられる。統制活動が自動化されている場合、手作業による統制活動に比べて迅速な情報処理が期待できるほか、人間の不注意による誤謬等の防止も可能となり、結果として、内部統制の評価及び監査の段階における手続の実施も容易なものとなる。

 こうしたメリットを例示する一方で、ITの利用には次のような内部統制上のデメリットがあることに注意を促している。

 統制活動が自動化されているとプログラムの不正な改ざんや不正な使用等があった場合に、プログラムに精通した者しか対応できず、不正等の適時の発見が困難になるといった問題点も考えられ、適切なアクセス管理等の措置を講じておくことにつき留意する必要がある。