[コラム] 日本版SOX法：評価フェーズに耐えうる文書化のポイント

ソーシャルブックマークに登録:

出展:みずほ情報総研ホームページ（http://www.mizuho-ir.co.jp/）「コラム／みずほ情報総研（株）　コンサルティング部 佐久間 敦　２００７年３月２０日付」より


　金融庁企業会計審議会において検討されてきた財務報告に係る内部統制の整備・評価に関する実施基準（「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」）が2月15日に正式に承認された。公開企業に財務報告に関する内部統制報告書の公開を義務付けた、いわゆる「日本版SOX法（金 融商品取引法の一部）」の適用開始となる2008年4月まで約1年を残すところとなった。


　法の求める内部統制整備を行うために、各企業が対処するべき実務の流れはおおよそ以下のようになる。

（1）内部統制整備・評価範囲の決定：重要勘定科目の選定、対象事業所・子会社の選定、評価対象プロセスの洗い出し
　　（→ 内部統制の評価はどの範囲とするか？）
（2）文書化：全社的な内部統制および業務プロセスにかかる内部統制（業務処理統制、IT全般統制）に関する資料の整備
　　（→ 内部統制はどのように整備されているか？）
（3）評価：内部統制の整備上の有効性の評価
　　（→ 内部統制は有効に設計されているか？）
（4）テスト：内部統制の運用上の有効性のテスト
　　（→ 内部統制は有効に運用されているか？）
（5）内部統制の不備の是正
（6）内部統制報告書の作成・公表

実施基準の公開から約1ヶ月、現時点では（1）や（2）のフェーズに着手し ている企業が多いのではないか。本コラムでは、財務報告に関する内部統制整備の初期段階となる文書化フェーズでの実務のポイントを解説する。

　文書化のフェーズでは、会社全体の内部統制の整備状況を客観的に把握できる資料（＝内部統制文書）を整備することが目標となる。実施基準では、どのような内部統制文書を用意すればよいか厳密に定めているわけではなく、 各企業に裁量をゆだねる形となっている。一つの方法として、業務の流れを図示した「フローチャート」、業務の詳細を記述した「業務記述書」、業務プロセスの中で発生する財務報告を歪めるリスクとその統制（＝コントロール）の対応関係を表した「リスクコントロールマトリクス（RCM）」のいわゆる「3点セット」と呼ばれる文書群を作成する企業が多いようである。

■業務プロセスの細分化：メリハリをつけ品質確保

　文書化フェーズにおける最初の作業が、業務プロセスの細分化である。内部統制文書は、評価対象となった業務プロセスを数十〜数百に細分化した単位ごとに作成する必要がある（細分化の程度は、業種・業態・企業規模によっ て異なる）。そのため、業務プロセスの細分化を適切な範囲に収めることが、作成される内部統制文書の分量と品質に大きくかかわってくる。

　企業の事業目的にかかわる重要な勘定科目に至る業務プロセスは、原則としてすべて内部統制の評価の対象となる（実施基準「II．財務報告に係る内部 統制の評価及び報告」2（2））。実施基準では、一般事業法人における重要勘定科目として売上、売掛金、棚卸資産が例示されているが、科目は業種・ 業態によって変わってくる。金融機関であれば、預金、融資、決済、有価証券といった主要業務のみならず、より広範な業務プロセスが対象となる可能性もある。

　業務プロセスの記述にあたって、当該業務に関する社内規程や事務手続、管理マニュアル等がある場合は、これらの文書を利用して内部統制報告用資料を作成することができる。ただし、業務内容をすべて詳細に文書化するのは適切ではない。財務報告の適正性に係る内部統制が対象であることに留意する必要がある。たとえば、フローチャートの記述に当たっては、業務（取引）の開始から終了まで一連の流れが分かるように記述されていることが望まし いが、財務報告の適正性を毀損するリスクが発生するポイント（たとえば、伝票の起票や承認行為、勘定仕訳が起こるタイミング、等）は詳細に、それ 以外の部分は概要が伝わる程度に、といったメリハリをつけた方がよい。

■リスクとコントロールの識別：統制上の要件を意識してもれなく対応

　文書化のフェーズでもっとも重要なポイントは、業務プロセスの記述そのものよりも、業務の中で発生するリスクとコントロールを正しく識別することである。たとえば、金融機関の業務には信用リスク、市場リスク、情報漏えいリスク、システムリスクなど様々なリスクが関係しており、文書化の際に財務報告に直接関係のないリスクまで識別してしまうことが少なくない。財務報告の適正性に関するリスクとはどのようなものか、文書化の担当者の間で認識を統一しておく必要がある。そのために、内部統制文書の作成ガイド ラインを定めて周知するといった方策も有効である。

　ここで、「財務報告の適正性に関するリスク」とは、具体的には「下記a〜f に示す統制上の要件（『アサーション』と呼ぶ場合もある）に影響を及ぼすリスク」と説明できる（実施基準「II．財務報告に係る内部統制の評価及び報告」3（3））。

ａ．実在性：資産および負債が実際に存在し、取引や会計事象が実際に発生 していること
ｂ．網羅性：計上すべき資産、負債、取引や会計事象をすべて記録していること
ｃ．権利と義務の帰属：計上されている資産に対する権利および負債に対する義務が企業に帰属していること
ｄ．評価の妥当性：資産および負債を適切な価額で計上していること
ｅ．期間配分の適切性：取引や会計事象を適切な金額で記録し、収益および費用を適切な期間に配分していること
ｆ．表示の妥当性：取引や会計事象を適切に表示していること

　リスクを識別する際には、当該リスクは上記のどのアサーション（一つまたは複数）に関係するかを理解する必要がある。また、業務プロセスにおいて識別したリスクに対しては、これを低減する統制（＝コントロール）を識別する。コントロールは、そのリスクに関係するアサーションをすべて満たす必要がある。たとえば、受注業務プロセスにおいて「受注入力を誤るリスク」が識別され、実在性・網羅性・評価の妥当性の3つのアサーションに関係があるとする。この場合、対応するコントロールは3つのアサーションを満たさなければならないことに留意しなければならない。このリスクとコントロ ールの対応関係を表形式で記述したものがリスクコントロールマトリクス（RCM）であり、内部統制の整備状況の評価（設計評価）等を行う際に重要な資料となる。

■限られる準備期間：試行実施後に全社展開

　このように、文書化フェーズにおいて作成する内部統制文書は、通常の業務で作成する各種資料とは異なる視点が必要となる場合が少なくない。法の適用までに時間が限られている現状において、全社一律にスタートし完了でき れば理想的であるが、現実には困難である。それゆえ、文書化を開始するにあたっていくつかの業務プロセスを対象にパイロット（試行実施）を行うことを推奨する。パイロットを通じて文書化のノウハウを蓄積するとともに、作業ボリューム等を見積り、全社に展開する際の計画策定に反映させることができる。

　また、文書化のフェーズでは、文書作成に多大な労力がかかることが予想されるため、内部統制整備でもっとも「重い」作業とみなされることも少なくない。しかし、内部統制文書はあくまでも評価のための「材料」であり、作成すること自体が目標ではない。文書化のフェーズでは、後に続く評価フェ ーズで耐えられる分量と品質を確保することが重要となる。

	このニュースの評価は? Powered by newsing

コラム最新記事

毎朝５分のメルマガチェックで、ＩＴ業界の「今」を読む！！

IBTimesトップページへ