金融庁 実施基準まとめ-2

実施基準で記載されている内部統制留意点として、重要と思われる4点をとりあげてみましょう。

(1)内部統制の評価範囲では、
■連結対象となる子会社(組合等を含む)を含む重要な事業拠点で、その事業目的に大きく係る業務プロセスと定義しています。

■その業務プロセスでは、原則として、売上、売掛金及び棚卸資産にいたる業務プロセスは全て対象とします。

例えば、棚卸資産に至る業務プロセスには、「販売プロセス」、「在庫管理プロセス」、「期末の棚卸プロセス」、「購入プロセス」等がそれに当ると明記しています。

■米国のSOX法の規定にも無い評価範囲として、「委託企業の評価」があります。

評価対象となる業務プロセスを委託している場合、その内部統制の責任も経営者に求められています。

(2)重要性の目安として、目安目標値を提示しています。

■重要拠点とは売上高等が概ね2/3の割合までの事業拠点が含まれ、
■金額的重要性は連結総資産、連結売上高、連結税引き前利益等の比率で判断し、目安として、5%程度。
さらに、上場廃止基準や財務制限条項に係る記載事項など投資判断に与える影響等の質的な重要性を上げています。

(3)内部統制の監査時期(通常決算期)に外部監査人による監査で不備が発生し、その対応が不可能とならないためにかイア者が当該範囲を決定した時点で、その妥当性を監査人と協議を行うことを推奨しています。“転ばぬ先の杖”ですね。

(4)監査人による内部統制の監査は、聞き取り調査に加え、検査を無作為サンプリングにもとづいて確認を行う必要があるが、90%の信頼度には少なくとも25件のサンプリングが必要とガイドしています。

さらに、ITによる業務処理統制が為されている場合はサンプル数の低減が可能とIT統制の有効性を指摘しています。

最後に、実施基準の全体像を解説しておきましょう。
内部統制は、「内部統制の構築」と「評価と報告」の2つの仕組み構造になります。

(1)「内部統制の構築」では、経営者による「内部統制の方針と手続の決定」がなされ、各担当者部門で「内部統制規定と実施ルール決定」をし、この規定にもとづいて、内部統制の実施が行われます。

この構築プロセスの全ての過程において、文書化が必要ですし、実施状況の記録が必要になります。

これらの状況把握や記録といったものを人手で全て賄うことはまず困難です。

ITを有効に活用し、人手を煩わせずに動じ記録する仕組みを構築することで信頼性と内部統制の有効性が高まります。IT統制は必須に近いと言うことです。

(2)「評価と報告」では、これらの文書や実施状況記録を基に内部監査を行い、設定目標に対する成果、問題点を洗い出し、改善策を作成し、「内部統制報告書」を作成します。

この報告書を財務諸表とともに外部監査人へ提出し、監査を受け、監査人が作成した「内部統制監査報告書」の要求に対応した「内部統制報告書」と「有価証券報告書」をステークホルダーへ開示することになります。

ここのメッセージでは、“経営者の姿勢として、虚偽の報告をせず、内部統制の不備に対しては改善をし、より有効な内部統制の仕組みを作り上げ続ける”ことを求めています。

以上で、今回は終わります。

経産省が公表した「システム管理基準 追補版」をベースにIT 内部統制の要点を伝えていきたいと思っています。楽しみしておいてください。