ポイント:内部統制の監査基準、日本版SOX法、企業改革法、COSOフレームワーク、資産の保全、ITへの対応、財務報告、監査
昨年の12/8に金融庁からでた「財務報告に係る内部統制の評価及び監査の基準(以下、「内部統制の監査基準」)」を私なりに要約してみました。「内部統制の監査基準」だけで、まだ「実施基準」が公表されていませんが、「日本版SOX法」「日本版企業改革法」「J-SOX法」と言われているものです。やはり要約してみると内容をよく理解できますね。
金融庁「内部統制の監査基準」によると、日本版SOX法もCOSOフレームワークに準拠しているが、目的には「資産保全」、基本的要素には「ITへの対応」が加わったように多少の違いがある。これらの違いについて、簡単に説明する。
「内部統制の監査基準」の3ページの「三 基準案の主な内容等」では4つの目的と6つの基本的要素をあげている。数字が一つずつ増えているのは、一目瞭然である。もう一つ「構成要素」という言葉が「基本的要素」と変わっている。
「目的」で増えたのでは「資産の保全」である。1章第2節で他の3つの目的は説明しているので、追加になった「資産の保全」に関して補足を行う。
「資産の保全」とは、資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう。
もう一つ「構成要素」が「基本的要素」に変わったのは、これらの「要素は例示である事を明確にするため」と書いてある。その基本的要素に加わったのは、「ITへの対応」である。「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」「ITへの対応」の6つになったのである。
「ITへの対応」とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。ITへの対応は、IT環境への対応とITの利用及び統制からなる。
経営者は「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」「ITへの対応」の基本的要素が組み込まれたプロセスを構築し、それを適切に機能させていくことが求められている。
なお、具体的に内部統制をどのように整備し、運用するかは、個々の企業等が置かれた環境や事業の特性等によって異なっている。経営者には、それぞれの企業の状況等に応じて、内部統制の機能と役割が効果的に達成されるよう、自社にあわせて適切に工夫を行っていくことが期待されている。
経営者による評価及び報告の基準を規定している。主に企業ですべき事が記述されている。経営者は、内部統制を整備及び運用する役割と責任を有している。特に、財務報告の信頼性を確保するため、「内部統制の基本的枠組み」において示された内部統制のうち、財務報告に係る内部統制については、その有効性を自ら評価しその結果を外部に向けて報告することが求められる。
なお、「内部統制の監査基準」において、使われる次の用語の意味が記述されている。この基準を読むうえで、前提となる知識である。
1.有効性の評価と範囲
経営者は、財務報告の信頼性に及ぼす影響の重要性の観点から必要な範囲について、財務報告に係る内部統制の有効性の評価を行わなければならない。また、評価に先立って、予め財務報告に係る内部統制の整備及び運用の方針及び手続を定め、それらの状況を記録し保存しておかなければならない。 なお、財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行うものとする。また、外部に委託した業務(アウトソーシング)の内部統制については評価範囲に含める。ただし、評価の範囲は財務報告に対する金額的及び質的影響の重要性を考慮して合理的に決定するべきであり、重要性の乏しい勘定科目や子会社、関連会社は評価対象とする必要はない。
2.内部統制の評価
まず、適切な統制が全社的に機能しているかどうかについて、財務報告に係る重大な虚偽表示につながるリスクに着眼して業務プロセスに係る内部統制を評価していく。 次に経営者は、全社的な内部統制の評価結果を踏まえ、評価対象となる内部統制の範囲内にある業務プロセスを分析した上で、財務報告の信頼性に重要な影響を及ぼす統制上の要点を選定し、各業務プロセスの内部統制上の要点について内部統制の基本的要素が機能しているかを評価する。 つまり、「トップダウン型のリスク・アプローチ」を採用している。
3.有効性の判断と是正
経営者は、財務報告に係る内部統制の有効性の評価を行った結果、統制上の要点等に係る不備が財務報告に重要な影響を及ぼす可能性が高い場合は、「内部統制に重要な欠陥」があると判断しなければならない。 そして、経営者による評価の過程で発見された財務報告に係る内部統制の「不備」及び「重要な欠陥」は、適時に認識し、適切に対応される必要がある。重要な欠陥が発見された場合であっても、それが報告書における評価時点(期末日)までに是正されていれば、財務報告に係る内部統制は有効であると認めることができる。ただし、期末日後に実施した是正措置については、報告書に付記事項として記載する。
4.評価結果
経営者は、「内部統制報告書」を作成し、財務報告に係る内部統制の有効性の評価結果等を記載する。「内部統制報告書」は次の事項を記載する。
経営者による財務報告に係る内部統制の有効性の評価は、その評価結果が適正であるかどうかについて公認会計士等(以下、「監査人」という。)が監査することによって担保される。
1.監査人
内部統制監査と財務諸表監査が一体となって実施されるために、当該企業の財務諸表監査を行っている監査人と同一の監査人(監査事務所のみならず、業務執行社員も同一)によって実施される。
2.評価対象
経営者の作成した、評価結果を対象とする。すなわち監査人が直接内部統制を評価するダイレクトレポーティング(直接報告業務)は行わない。
3.評価方法
経営者により決定された評価範囲の妥当性を検討し、次に経営者が評価を行った全社的な評価及び全社的な評価に基づく業務プロセスに係る内部統制の評価について検討する。内部統制の有効性の評価についての検証は「監査」の水準とすることとされている。また、監査人は監査役等と適切に連携し、必要に応じて内部監査人の業務等を利用できる。
4.評価結果
評価に対する意見等は「内部統制監査報告書」として作成報告する。ただし、この報告書は原則として財務諸表監査における監査報告書と合わせて記載する。
なお、「内部統制の監査基準」では、米国における運用の状況も検討し、評価・監査に係るコスト負担が過大なものとならないような方策が講じてある。
1.トップダウン型のリスク・アプローチの活用
経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、必要な範囲で業務プロセスに係る内部統制を評価する。
2.内部統制の不備の区分
内部統制の不備を、財務報告に与える影響に応じ「重要な欠陥」と「不備」との2つに区分することとした。米国では不備を3つに区分していることから、財務報告への影響等についての評価手続がより複雑なものになっているとの指摘がある。
3.ダイレクトレポーティングの不採用
監査人は、経営者が実施した内部統制の評価について監査を実施し、米国で併用されているダイレクト・レポーティング(直接報告業務)は採用しないこととした。
4.内部統制監査と財務諸表監査の一体的実施
内部統制監査で得られた監査証拠及び財務諸表監査で得られた監査証拠は、双方で利用することが可能となり、効果的かつ効率的な監査の実施が期待できる。
5.内部統制監査報告書と財務諸表監査報告書の一体的作成
内部統制監査報告書については、財務諸表監査報告書と合わせて記載することを原則とした。
6.監査人と監査役・内部監査人との連携
監査人は、監査役などの監視部門と適切に連携し、必要に応じ、内部監査人の業務等を適切に利用できることとした。
参考
「財務報告に係る内部統制の評価及び監査の基準のあり方について(金融庁)」
関連コラム
ヒトの性質で見た内部統制の限界とは 2006年10月23日記述
日本版SOX法が中小企業へ与える影響は? 2006年10月16日記述
日本版SOX法(金融商品取引法)の本質って? 2006年10月09日記述
「J-SOX実施基準の見通し」について思うこと 2006年08月28日記述
金融商品取引法の理解の第一歩 2006年07月24日記述
日本版SOX法(金融商品取引法)の動向で思うこと 2006年07月03日記述
ソフトウェア取引の新会計ルールの公開 2006年06月05日記述
ドキュメント管理への取組み−電子文書の役割 2006年04月24日記述
日本版SOX法に関するソリューション提供 2006年04月17日記述
内部統制の強化は「金融商品取引法案」に 2006年03月27日記述
金融庁「内部統制の監査基準」の要約 2006年03月06日記述
日本版SOX法と関連ITキーワード 2006年02月20日記述
日本版SOX法とSOA(サービス志向アーキテクチャ)の関係 2006年02月13日記述
日本版企業改革法(J-SOX法、日本版SOX法)の情報整理 2006年02月06日記述
SOX法とITILの融合って? 2006年01月23日記述
ERPソフトとは 2006年01月02日記述
SOX法の基礎知識 2005年12月12日記述
IT業界にはびこる一式契約の見直し 2005年11月07日記述
内部統制の強化の促進−日本版SOX法− 2005年9月26日記述
2006年03月06日 宿澤直正 記
Copyright (C) 2005 宿澤経営情報事務所