内部統制報告書から読み解く子会社管理シリーズ:(1)リモートワーク環境下における内部統制上の課題

2022-11-11

はじめに 

新型コロナウイルス感染症(COVID-19)の世界的大流行に伴い、この2、3年でリモートワークへの要請が急速に高まりましたが、十分な準備期間が確保できない中で、付け焼き刃での対応に留まっているケースが多く見られます。しかし、世の中がリモートワークを推進する方向に舵を切った以上、COVID-19が終息したとしても、従来の働き方に完全に後戻りすることはもはや考えられません。オフィスへの出社とリモートワークを組み合わせるなどの方法でリモートワークが定着することが予想され、リモートワークに対応した体制を確立することは不可欠です。一方で、リモートワークを導入するということは対面や紙面でのやり取りを基本とする従来の慣行から大きく転換するということを意味しており、リスクが大幅に変化する可能性があります。このようなリスクに対応しつつリモートワークに対応した体制を確立することは、親会社自身にとっても悩ましく、ましてや子会社がこのような体制を確立することを親会社として管理することはそれ以上の難題になっています。そこで、今回は子会社管理の観点から、リモートワーク環境下における内部統制の課題を考察します。

リモートワーク環境下における内部統制

前回のコラムでご紹介したとおり、2020年3月期から2022年3月期の内部統制報告書において、下記(ⅰ)(ⅱ)のようにCOVID-19の影響により決算遅延が生じた不備事案や、下記(ⅲ)のようにコロナ禍のリモートワーク環境下において内部統制の整備状況の記録が欠如していた不備事案が生じています。各不備事案の内部統制報告書から内容を要約します。

事案(ⅰ):中国子会社において、COVID-19による肺炎の予防・抑制を目的とした政府通達により移動などが制限された影響で、決算業務や監査業務に遅れが生じた結果、決算短信の開示を延期せざるを得なくなった。このようなリスクにも対応可能な、速やかで確実な決算関連手続が遂行可能な体制となっていなかったもの。

事案(ⅱ):米国子会社において、COVID-19の感染拡大の影響で決算業務や監査業務が遅延した結果、決算短信の開示および有価証券報告書の提出に遅れが生じた。同子会社において決算修正が発生したこともあわせて、連結財務諸表を作成するための決算・財務報告プロセスに係る内部統制の整備および運用が不十分であると判断されたもの1

事案(ⅲ):米国子会社において、コロナ禍のリモートワーク環境下で業務処理統制に係る内部統制の整備状況に関する記録を欠いていたため、連結会計年度末日までに適時に運用評価を実施することができなかった。子会社の管理責任者はその状況を把握しておらず、親会社も子会社に対して適切に管理・指導を行えず、十分な牽制機能を発揮できなかったもの。子会社および親会社における内部統制に係る管理人員の増強、子会社による内部統制の記録の整備および親会社による整備状況の確認、子会社内部監査部門への教育およびモニタリング強化により是正を図ることとした。

これらの不備事案は、子会社において

  1. リモートワークでの業務処理を実施できる体制がなかったこと:事案(ⅰ)(ⅱ)
  2. リモートワークに係る内部統制の構築とモニタリングが適切に実施されなかったこと:事案(ⅲ)

に起因して不備が発生したものと推測されます。これらの事案をもとに、リモートワーク環境下における課題を考えてみましょう2

【課題1:リモートワークでの業務処理を実施できる体制の構築】

COVID-19の流行前は、オフィスへの出社を前提に業務を処理する企業が大半でした。上に挙げた(ⅰ)および(ⅱ)の不備事案も、そのような従来の業務処理からリモートワークへの転換が容易にできず、業務処理が滞ってしまったものと推測されます。そこでまずは、リモートワークへの転換をスムーズに進めるためのポイントを考えます。

①業務処理の電子化の推進

リモートワークの実施を可能にするには、オフィスでの実施を前提とする伝統的な業務処理を、オフィス外でも実施できるように電子化していく必要があります。その前提として、持ち帰りが可能なITデバイス(PC、タブレット、USBリモート端末など)を従業員に支給するなどして、業務処理に必要なシステムにオフィス外からでもアクセスできる環境を整えることが必要です。同時に、社内外の関係者とやり取りする資料については、紙面ではなく電子ファイルを使用したり、押印ではなくシステムを用いた承認などの業務処理に変更したりすることで、物理的な制約をなくすことが可能となります。加えて、中長期的には、単に業務処理を電子化することに留まらず、業務プロセス自体を抜本的に見直すことが重要です。例えば、情報の一元化、システム間の連携、ワークフローの導入、企業グループ内でのシステム共通化とそれに伴う業務プロセスの関与者および承認者の業務内容の標準化、業務のタイミングの見直しなどを行うことで、業務の有効化や効率化につながります。結果として、一時しのぎではなく持続的にリモートワークを実施していく体制を築くことができます。

②企業グループとしての基本方針の策定

上記①は、内部統制の基本的要素の観点では「ITへの対応」3に含まれるものです。各子会社の置かれている状況により具体的な対応策は異なってくることが考えられますが、その根本は企業グループ全体の方向性と一致している必要があります。したがって、上記①を推進する前提として「ITへの対応」に関する企業グループとしての基本方針をしっかりと定め、企業グループ全体に普及・浸透させることが重要です。

③企業グループとしての文化の醸成

上記①で述べた業務処理および業務プロセス自体を変更することに加え、リモートワークを推進する統制環境を醸成することも必要になります。今まで慣れていた業務処理を変えることに対しては不安が生じ、抵抗が発生することも予想されるでしょう。そのような場合には、企業グループとしてリモートワークにどのように取り組んでいくかという姿勢・方針を明確にし、企業グループ全体への周知を図ることで、リモートワークの推進を志向する経営風土を浸透させていくことが重要です。また、親会社と子会社の間のやり取りについても紙面ではなく電子データを活用したり、ウェブ会議システムを用いて会議を実施したりするなど、子会社がオフィスでの業務を余儀なくされるような外部要因を積極的に取り除き、リモートワークを実施しやすい業務環境を後押しすることも求められます。

【課題2:リモートワークに係る内部統制の構築とモニタリング】

冒頭に挙げた(ⅲ)の不備事案のように、リモートワークでの業務処理自体は実施されていても、それに対応する内部統制やモニタリングの体制が追いついていないケースもあります。ここでは、リモートワークに関連した内部統制およびモニタリングのポイントを考えます。

①リスクに対応した内部統制の構築

リモートワークの導入にあたっては、業務処理の電子化や業務プロセスの見直しに伴って業務フロー自体が大きく変わることが予想されます。また、対面である必要がなく、紙面を用いないやり取りが主流になることから、資料の改竄やなりすまし、事後否認などが発生しやすくなります。したがって、不正行為やミスが発生するリスクを改めて識別し、当該リスクをカバーするための内部統制を構築することが重要です。例えば、「業務処理におけるインプットデータの正当性を確認する手続きがあるか」「業務処理の結果に関するチェック作業や承認処理などの手続きが適切に設定されているか」といった点に留意する必要があります。また、サイバーセキュリティ対策もこれまで以上に重要になるでしょう。

内部統制を構築する一環として、これらの内部統制の証跡が確実に保存される仕組みを併せて導入するなど、検証可能性を確保することを忘れてはいけません。リモートワーク環境下での内部統制およびサイバーセキュリティ対策は主に電子データ上で実施されますが、その場合、紙面を使用しているケースに比べて証跡が残りにくくなります。すると、内部統制の整備状況や運用状況をトレースできず、後述するモニタリングにおいて検証が困難になる可能性があります。したがって、内部統制上のチェック作業や承認処理を実施した証跡や、システムのログなどについて、後からトレースできるような形で残すことに留意が必要です。

なお、これらの内部統制の構築にあたっても、上記【課題1】②と同様に「ITへの対応」に関する企業グループとしての基本方針がベースになります。親会社は、リモートワーク環境において企業グループが直面するリスクを踏まえて、企業グループとしての「ITへの対応」に関する基本方針を定めることが重要です。

②モニタリングおよび親会社による監督

上記の内部統制の構築が適切になされているかどうか、内部監査部門が内部統制の管理部門のモニタリングを行います。内部監査部門は、内部統制の管理部門による活動状況をモニタリングし、リモートワークに対応した内部統制のアップデートが適切になされているかを確認する必要があります。具体的には、前述の「企業グループの『ITへの対応』に関する基本方針と整合しているか」といった点や、業務記述書やRCM(リスク・コントロール・マトリクス)などの内部統制文書において「業務フローの変更点の反映がなされているか」といった点について留意したうえで、「内部統制が適切にアップデートされているか」を確認することが重要です。

親会社には、これらのモニタリング体制が企業グループ全体において確実に運営されることを確保することが求められます。そのためには、親会社と子会社の内部監査部門の連携を通じて、リスクの変化や内部統制の変更など、企業グループ全体で留意すべきポイントに関する認識を共有することが重要です。それと同時に、子会社の内部監査部門が内部統制の管理部門のモニタリングを適切に実施できているか、親会社の内部監査部門により状況を監督することが必要であると考えられます。

リモートワーク環境下における内部統制(まとめ)

不備事案

不備の内容

不備の原因として

考えられるもの

子会社内での課題

左記課題への

親会社の関与

目的

具体的な対応策

(ⅰ)、(ⅱ)

COVID-19の影響による決算遅延

リモートワークでの業務処理を実施できる体制が整っていなかったため、業務処理が遅延したこと

リモートワークでの業務処理を実施できる体制を構築すること

業務処理自体の電子化と業務プロセスの見直し(【課題1】①)

企業グループとして「ITへの対応」にかかる基本方針を策定し周知する(【課題1】②)

上記のベースとしての統制環境の醸成(【課題1】③)

企業グループとしてリモートワーク推進の姿勢を打ち出し、浸透させる(【課題1】③)

(ⅲ)

COVID-19の影響を受けたリモートワーク環境下における内部統制の整備状況の記録の欠如、運用評価の非実施

内部統制の構築が不十分であったため、整備状況の証跡が残されていなかったこと

内部統制を適切に構築すること

内部統制の構築、特に内部統制の証跡を残すなど検証可能性の確保の徹底(【課題2】①)

企業グループとして「ITへの対応」にかかる基本方針を策定し周知する(【課題2】①)

モニタリング不足により上記が看過されたこと

モニタリングを実施すること

上記の内部統制の構築が適切にできているか、内部監査部門によるモニタリングの実施(【課題2】②)

子会社内部監査部門とのコミュニケーションによる認識共有と、子会社内部監査の実施状況のモニタリングを実施する(【課題2】②)

次回のコラムでは、外部のサービス提供者(外部委託先等のサードパーティ)を管理するにあたっての内部統制上の課題について考察します。

1 「COVID-19感染拡大の影響による決算遅延」と「決算修正」のうち、以降の解説では前者を取り上げて考察する。

2 参考文献:日本公認会計士協会(JICPA), 2021.『IT委員会研究報告第56号 リモートワークに伴う業務プロセス・内部統制の変化への対応 (提言)』. https://jicpa.or.jp/specialized_field/20210802cfh.html

3 「ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。」(企業会計審議会, 2019.『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』.
https://www.fsa.go.jp/news/r1/sonota/20191213.html

執筆者

中瀬 智治

パートナー, PwC Japan有限責任監査法人

Email

和田 安弘

パートナー, PwC Japan有限責任監査法人

Email

松田 一毅

マネージャー, PwC Japan有限責任監査法人

Email

上原 智美

マネージャー, PwC Japan有限責任監査法人

Email


インサイト/ニュース

20 results
Loading...
Loading...

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how