内部統制は、①全社統制(IT全社統制)、②業務プロセス統制、③IT統制(IT全般統制・IT業務処理統制)、④決算統制(全社・個別)の4つに区分されます。
見落としがちですが、4つの統制の中で、全社統制は大きな意味を持ちます。
組織体制や規程類等に大きな変更が無い場合、全社的統制は前年度の評価を踏襲する形となってしまうため、その重要性を忘れがちになってしまいます。
そこで、今回は全社統制に関して触れていきたいと思います。
全社統制とは~6つの要素~
全社統制とは、企業集団および財務報告全体に重要な影響を及ぼす統制になります。
例えば、行動規範、職務分掌、教育研修制度の整備、IT方針等が該当します。
企業全体におけるルールや仕組み(規程類・体制等)が全社統制になります。
全社統制は、以下の6つの要素から構成されます。
①統制環境
『統制環境』とは、社風等、企業グループ全体の社員に対する意識に影響を与えるとともに、他の基本的要素の基礎となるものになります。
統制環境として、以下のような事項が該当します。
・経営理念
・取締役会及び監査役又は監査委員会における責任の明確化
・人事評価制度の整備
取締役会及び監査役又は監査委員会が、財務報告の適切性や内部統制の有効性に関して適切な監視を行っているか、財務報告や内部統制に関する組織体制等が挙げられます。
②リスクの評価と対応
『リスクの評価と対応』とは、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいいます。
リスクの評価と対応として、以下のような事項が該当します。
・リスク評価体制の構築
・不正を防止・発見できるような仕組みの構築
・認識したリスクへの対応
財務報告の信頼性に影響を与える事象がないか、定期的にリスクの分析・評価を行うことが求められます。
例えば、新製品の開発、新規事業の立ち上げ等は、大きな影響を与えるため、適切なリスク分析・対応が必要となります。
③統制活動
『統制活動』とは、経営者の指示が適切に実行されることを確保するために定める方針及び手続をいいます。
統制活動には、権限及び職責の付与、職務の分掌等が含まれます。
統制活動として、以下のような事項が該当します。
・各業務における責任と義務の明確化
・職務分掌規定や職務権限規定等の整備
・業務マニュアルの整備
不正又は誤謬等の行為が発生するリスクを減らすために、各担当者の権限及び職責を明確にし、適切に業務を遂行していく体制を整備することが求められます。
④情報と伝達
『情報と伝達』とは、必要な情報が把握され、企業内外及び関係者相互に正しく伝えられることをいいます。情報と伝達として、以下のような事項が該当します。
・財務報告の作成に関する経営者の方針・指示
・内部通報制度の整備及び通報者の保護体制
・企業外部から内部統制に関する情報を収集する仕組み
⑤モニタリング
『モニタリング』とは、内部統制が有効に機能していることを継続的に評価するプロセスをいいます。
モニタリングには、通常業務の中行われる日常的モニタリングと第三者が実施する独立的評価があります。
モニタリングとして、以下のような事項が該当します。
・日常的なモニタリング体制の整備(業務チェックリスト等)
・内部監査
・内部統制評価
⑥ITへの対応
『ITへの対応』とは、企業グループ全体のITに対する管理方針をいいます。
財務報告を行う上で、ITの活用は不可欠となっているため、適切なITの管理が必要となります。
情報と伝達として、以下のような事項が該当します。
・ITに関する管理方針
・ITに関する組織体制の整備・運用
・IT利用のルール
適切な内部統制を維持するためには、6つの基本的要素がすべて適切に整備及び運用することが必要となります。
全社統制の重要性~他の統制との関係性~
次に、全社統制と他の統制の関係から、全社統制の重要性について触れていきたいと思います。
冒頭部分でも触れましたが、全社統制の重要性は高いと考えられます。
内部統制実施基準でも、「全社統制の評価結果を踏まえ、評価対象とする業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす統制上の要点を選定し、評価する」という記載があります。
つまり、全社統制に不備がある場合、業務プロセス統制の範囲を拡大する必要がある、ということを示唆しています。
実務においても、監査法人からそのような指摘を受けるケースがあります。
また、開示すべき重要な不備の原因として、全社統制の不備が挙げられることも多くあります。
全社統制とそれ以外の統制(業務プロセス統制、IT統制(IT全般統制・IT業務処理統制)、決算統制(全社・個別))との関係について、『傘をさして防ぐ』と表現しています。
全社統制を傘に例えた表現です。傘(全社統制)が適切に整備されていれば、雨に濡れるというリスクを低減することができます。逆に、全社統制が未整備である場合、リスクを防ぎ切れていないと考えます。
4つの統制の中で、全社統制は内部統制の基礎となる、重要な統制になります。
全社統制の構築~規程類の整備~
全社統制を機能させるためには、まずルール(規程類)を整備する必要があります。
その上で、ルールを実施するための体制を構築し、運用していく必要があります。
以下に、最低限必要となる規程をあげてみたいと思います。
あくまでも一例になり、企業グループの業種や規模等により、変わってくる点はご留意ください。
・取締役会規程
・監査役会規程
・職務権限規程
・職務分掌規程
・稟議規程
・就業規則
・人事考課規程
・経理規程
・内部監査規程
・IT管理に関わる規程(アクセス管理、システムの開発・運用、委託先管理等)
M&A等により、子会社が追加となり、内部統制の構築が必要となる場合、規程類の整備が必要となります。
親会社の規程類をベースに整備していくのが効率的な進め方になりますが、子会社の実態にあっているかの確認・検証に一定の期間がかかります。
今後、内部統制の構築を進める際、この点について、留意することをお勧めします。
全社統制の評価~評価項目の細分化~
全社統制を構築するだけでなく、適切に全社統制が実施されているか、評価を行う必要があります。
では、どのように評価を進めていくのでしょうか。
内部統制実施基準には6つの基本的要素ごとに、評価項目例(合計42項目)が例示されています。そちらを元に評価を行うのが一般的です。以下に一部を抜粋します。
・経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
・取締役会及び監査役又は監査委員会は、財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し、実行しているか。
・監査役又は監査委員会は内部監査人及び監査人と適切な連携を図っているか。
ただし、上記のような表現になっているため、評価の論点が見え難くなっています。
そこで、内容を細分化し、評価を行うことをお勧めします。
(例)
◆実施基準の評価項目
1.経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
◆細分化例
1-1.経営者は、財務報告に係る基本方針を明確にし、取締役会等の適正な承認手続きを経ているか。
1-2.内部統制の基本方針を連結グループ各社に内容を周知しているか。
全社統制は、概念的なものも多く、評価を行いにくい部分もありますが、ルール(規程類等)が整備され、社内イントラ等で周知し、ルールに沿い運用しているか(議事録等、実施記録があるか)、という視点は共通であると考えています。
まとめ
全社統制とは~6つの要素~
☑ 全社統制とは、企業集団および財務報告全体に重要な影響を及ぼす統制である。
☑ 全社統制には、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」
「モニタリング」「ITへの対応」という6つの要素がある。
全社統制の重要性~他の統制との関係性~
☑ 全社統制に不備がある場合、業務プロセス統制の範囲を拡大する必要がある。
☑ 全社統制が適切に整備されていれば、他の統制のリスクを低減することができる。
全社統制の構築~規程類の整備~
☑ 全社統制を機能させるためには、まずルール(規程類)を整備する必要がある。
☑ 規程類の整備には、確認・検証の期間が必要となるため、一定の期間がかかる。
全社統制の評価~評価項目の細分化~
☑ 内部統制実施基準の評価項目例をベースに細分化し、評価を行う。
☑ ルールが整備・周知され、その通り運用されているか、という視点で評価を行う。