国内外における粉飾事件や、有価証券報告書の開示内容に関する不適正な事例の発生を契機として、企業の内部統制の充実を図り、個々の企業の業務の適正化・効率化などを通じたディスクロージャーの信頼性を確保するための方策として、財務報告に係る内部統制報告制度(以下、J-SOX)が導入されました。
J-SOXにおいては、経営者は財務報告に係る内部統制を構築する責任を有しており、その有効性を自ら評価し、外部に対してその結果を報告することが求められます。また、財務報告に係る内部統制の有効性に対しての経営者の評価を外部監査人が監査することによって、その評価の適正性を確保する制度となっています。
財務報告に係る内部統制の経営者による評価と、外部監査人による監査の概観は以下のようになります。
J-SOXに関する基準や規則などについては、2007年2月に企業会計審議会から「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施の設定について(意見書)」が公表され、「財務報告に係る内部統制の評価及び監査の基準」(以下、「基準」)および「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「実施基準」)が制定されました。その後、2007年8月に「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」、10月に内閣府令ガイドラインが制定され、次いで、金融庁から「内部統制報告制度に関するQ&A」、日本公認会計士協会から「財務報告に係る内部統制監査に関する実務上の取扱い」が制定あるいは公表されています。
これらの基準や規則などについては、J-SOX導入後も見直しが行われ、内部統制の基準・実施基準のさらなる簡素化・明確化を図るため、2011年3月に改訂が行われました。また、金融庁から「内部統制制度の関するQ&A」の改訂と「内部統制報告制度に関する事例集~中堅・中小上場会社等における効率的な内部統制報告実務に向けて~」が公表されています。
J-SOXは、先行して制度導入された米国における制度の運用状況や見直しの議論を踏まえて、次のような特徴を有しています。
(1)トップダウン型のリスクアプローチの採用
(2)内部統制の不備の区分(不備と開示すべき重要な不備)
(3)ダイレクトレポーティングの不採用
(4)内部統制監査と財務諸表監査の一体的実施
(5)内部統制監査報告書と財務諸表監査報告書の一体的作成
(6)監査人と監査役・内部監査人との連携
経営者は、内部統制の有効性を評価するにあたって、連結ベースでの全社的な評価を行い、その結果を踏まえて、財務報告に係る重要な虚偽表示につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価します。業務プロセスに係る内部統制の評価範囲については、必要に応じて事前に監査人と協議して決定することになります。
J-SOXでは、財務報告に係る内部統制の有効性に対する経営者の評価を監査人が監査することで、その適正性を確保することとされています。また、内部統制監査は、原則として財務諸表監査と同一の監査人が実施し、内部統制監査報告書は財務諸表監査報告書と合わせて作成することが原則とされています。
なお、金融商品取引法の改正により、一定の要件の下、内部統制報告書の監査を上場後3年間免除されることを選択することができますが、内部統制報告書の作成自体は上場後最初に到来する事業年度末後に作成し、提出する必要があります。
J-SOXにおいて評価が求められる内部統制は、全社的な内部統制、決算・財務報告プロセスに係る内部統制、業務プロセスに係る内部統制、ITの統制の4つに分類できます。
全社的な内部統制は企業集団全体に関わり、連結ベースでの財務報告全体に重要な影響を及ぼし、その評価項目は「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「実施基準」)に42の項目が例示されています。
原則として、企業集団の全ての事業拠点が評価対象(連結子会社含む)となります。
基本的要素 |
実施基準における評価項目(一部抜粋) |
統制環境 |
経営者は、財務報告の基本方針を明確化 取締役会は経営トップの職務遂行の監視 財務経理部門の要員の十分性(知識・経験・人数) |
リスクの評価と対応 |
リスクの重要性の評価基準 法令などの変更に応じた手続や方針 不正、違法行為の指導やその他の未然防止手続 |
統制活動 |
各業務手続きの承認・検証・記録の手続 財務報告の作成に関する職務の分担、分離 誤謬等が検出された場合の修正手続 |
情報と伝達 |
報告体制の適時性 取締役会、監査役、内部監査部門の情報交換 内部通報制度の設置 |
モニタリング |
内部監査部門による独立的な監査の実施 発見された不備とその原因を除去するための是正措置 |
ITへの対応 |
ITに関する適切な戦略、計画の存在 ITに関する方針及び手続 |
決算・財務報告プロセスは、主として経理部門が担当する月次の合計残高試算表を作成し、個別財務諸表や連結財務諸表を含む外部公表用の有価証券報告書を作成する一連の過程を指します。
全社的な内部統制に準じて、原則として、企業集団の全ての事業拠点が評価対象(連結子会社含む)となります。
業務プロセスに係る内部統制とは、販売管理、購買管理、経理業務など企業活動において通常に行われる業務に組み込まれ、一体となって遂行される統制の仕組みのことをいいます。
実施基準においては、以下の業務プロセスが評価対象とされています。
ITの統制とは、ITを取り入れた情報システムに関する統制であり、全般統制と業務処理統制の2つの領域から構成されます。
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための財務報告に関する処理プログラムやデータの信頼性を担保する、“基盤”となる内部統制を指します。
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制を指します。
J-SOXは財務報告に係る内部統制を直接の対象としていますが、評価対象となる内部統制は「全社的な内部統制」「決算・財務報告に係る業務プロセス」「その他の業務プロセス」の3つに区分することができます。
これに対して、上場審査の過程では、上場会社としてふさわしい健全なコーポレートガバナンス体制および、有効な経営管理体制を確立するとともに、企業内容などを適正に開示する体制を整備することが求められます。
いずれも、コーポレートガバナンス体制や全社的な観点に立った内部統制を整備することが前提となるため、まずはその整備を図ることが必要です。
ただし、上場審査の際には、財務報告が適正にできるかどうかという観点のみならず、資本市場を悪用した利得行為が行われる体制にないかどうかという観点も極めて重要です。
このため、まずは上場審査への対応に主眼を置いて、J-SOXを意識しながら、コーポレートガバナンス体制や全社的な内部統制を整備することから始めることが重要です。次いでJ-SOXの観点から決算財務報告プロセス、それ以外の業務プロセスの構築を行うことが、効率的なJ-SOX対応になると考えられます。
実務的には、まずJ-SOXの全体像をよく理解した上で、会社の実態に即したJ-SOX対応計画を策定し、アクションプランを明確にすることが重要です。この際には、監査法人から適切なアドバイスを受けることで、より効率的に準備を進めることができます。
内部統制の評価にあたっては、以下の文書を作成することが一般的です。
領域 |
一般的な内部統制文書例 |
全社的な内部統制 |
全社的な内部統制評価記述書 |
決算・財務報告プロセス |
決算・財務報告プロセスに係る全社的な内部統制評価記述書 業務記述書 リスクコントロールマトリクス フローチャート(必要に応じて) スプレッドシート統制評価記述書(必要に応じて) |
業務プロセスに係る内部統制 |
業務記述書 フローチャート リスクコントロールマトリクス(IT業務処理統制を含む) |
IT統制 |
IT全社的内部統制評価記述書 IT全般統制評価記述書 |
開示プロセス |
有価証券報告書に関する開示プロセス(特に「経理の状況」前の記載) |
J-SOXの導入にあたっては、経営者が当該制度の重要性を理解した上で、リーダーシップを発揮してプロジェクトを推進する必要があります。J-SOXはその対象となる範囲が企業グループの多くの部門や業務プロセスに及ぶため、プロジェクトチームを強力にリードできる人材をプロジェクトリーダーとして配置することが望まれます。なお、プロジェクトチームの組成に当たっては、経理部や内部監査部などの既設の部署等を活用してもよく、必ずしも「プロジェクトチーム」といった部門や専門の担当者を新たに置くことは必須ではありません。
また、上場準備会社においてはJ-SOXへの対応だけでなく、その他の上場準備対応があるため、限られた人材の中で適切に社内リソースを調整し、プロジェクトメンバーを選任する必要があることに留意が必要です。
内部統制プロジェクトチームは、内部統制の評価範囲の検討を行い、子会社または部門、業務プロセス、ITシステムなどの評価対象となる領域を特定します。後々の評価範囲の変更は導入スケジュール全体に大きな影響を与える可能性があるため、監査人の意見を踏まえて十分に検討する必要があります。
上場直前期には上場準備に係る作業が本格化するため、可能な限り直前々期中に内部統制の構築の対応を進める必要があります。文書化と評価を行う体制を整備した上で、スケジュールを含む導入計画を策定し、作業に遅れが生じないよう十分に進捗管理を行う必要があります。
内部統制の構築は内部統制プロジェクトチームだけではなく現場部門の協力が必要となるため、内部統制およびその評価に対する現場の理解が得られないなどの問題が生じる場合には、導入スケジュールに遅れが生じる可能性があります。そのため、関係者全員に向けた研修会を実施するなど、内部統制に対する理解・意識を醸成し、統制活動の実施や改善を効率的に進めていく必要があります。
内部統制プロジェクトチームは導入計画に基づいて、評価対象となる業務領域について業務記述書、フローチャート、リスクコントロールマトリクスなどの文書化作業を行います。文書化作業においてコントロールの不足などがある場合には課題として抽出し、改善に向けた対応を行っていきます。
通常の場合、上場申請期の期末日時点の内部統制を評価することになるため、直前期末までに内部統制環境を完成させ、評価計画、スケジュールを準備しておく必要があります。
直前期には本番年度とほぼ同様の手続きで内部統制の整備状況および運用状況の評価を行うドライランを実施します(評価手順・スケジュールは「4.本番年度の評価スケジュール」を参照)。
ドライランは、内部統制が業務の実態に即し、リスクに対して適切な統制が整備されているかどうかを本番年度前に確認するものであり、内部統制構築上の課題や懸念材料を把握することを目的とします。
また、内部統制の評価者にとっては評価作業のリハーサルの意味を持つため、本番年度にスムーズな内部統制の運用・評価を実施するためにも重要です。
本番年度において内部統制報告書の作成・提出するまでは、以下のプロセスを経ることとなります。
(1)評価計画・評価範囲の策定
(2)全社的な内部統制の評価
(3)IT全般統制の評価
(4)業務プロセスの評価
(5)不備の是正
(6)是正後の統制評価(アップデート統制評価含む)
(7)不備の評価
(8)決算・財務報告プロセスの評価
(9)内部統制報告書の作成、承認、提出
本番年度における評価スケジュールの一例(3月期決算)としては以下のとおりです。