内部統制担当者は、何をよりどころにすればいいのか？Q＆A形式で押さえる内部統制対応の“勘所”

日本版SOX法の適用初年度、確固たる基準が見えない中で企業の内部統制担当者は何をよりどころに対応作業を進めればよいのか？　アビーム コンサルティングの永井 孝一郎氏は、「そこには“勘所”がある」と言う。

[唐沢正和]

　いよいよ2008年4月から日本版SOX法の適用が開始された。早くから対応を始めていた企業では、十分な準備期間を置いた後に内部統制の運用を開始していることだろう。しかし一方で、まだ内部統制の整備が十分に進んでいない企業も多いと聞く。

　また企業だけではなく、企業の内部統制をチェックする側の監査法人や外部監査人も状況は同じのようだ。どの業務範囲をどれぐらいの粒度でチェックし、どのようなドキュメントを作成しなければいけないのか。監査法人や外部監査人によって、その基準はまちまちなのが実情のようだ。こうした中、企業は内部統制やIT全般統制をどのような方針に従って進めればよいのだろうか。

　2008年9月25日、内部統制担当者が抱えるこうした課題に応えるべく「日本版SOX法対策ミーティング」と題したイベントが、＠IT情報マネジメント編集部の主催で開催された。基調講演では、内部統制のコンサルティング実績が豊富なアビーム コンサルティングの永井 孝一郎氏が登壇し、「本当に困っている人のためのJ-SOX対応の勘所」と題した講演を行った。永井氏いわく、内部統制対応をスムーズに進めるためには、制度の基本をしっかり理解することと、実際に対応作業を行う上での勘所を押さえることが重要だという。本稿では、迷える内部統制担当者のために、イベント当日の永井氏の講演の概要をお伝えする。

内部統制対応のために理解しておくべき基本知識

　日本版SOX法の適用対象となる企業では、これに対応するため内部統制の整備・評価などの取り組みを進めているが、その進ちょく度合いには大きなばらつきがある。そもそも誤った対応をしている企業、どうすればいいのか分からず立ち往生している企業、さらには外部監査人と意見が合わない企業や、いまだに経営者の理解を得られていない企業すらあるという。

　永井氏は、こうした企業において多くの悩みを抱えている内部統制担当者に対して、内部統制の整備・評価を進める上で、まず理解しておくべき基本的なポイントを指摘した。

アビーム コンサルティング 永井 孝一郎氏

　「そもそも内部統制とは、組織経営や計画経営の仕組みであり、その在り方を決めるのは経営者自身です。外部監査人による内部統制監査は、経営者の作成した内部統制報告書に誤りがないことをステークホルダーに保証する業務であり、監査結果に対してはどうしても保守的になりがちです。また、いわゆる『内部統制の実施基準』はあくまでもガイドラインにすぎません。趣旨、方向性、範囲などが合理的で、かつ内容が妥当であれば、実施基準や監査法人の書式に無理に合わせる必要はないのです」（永井氏）

　内部統制を整備・評価するに当たって、明確な基準が存在しないことも重要なポイントだ。現時点では、個々の企業が置かれた状況や監査法人、外部監査人などによってその判断基準が異なることが当たり前になっている。今後数年間の運用経験や事例の積み上げによって、徐々に判断基準が定まるとともに、内部統制の評価制度も固まってくると永井氏はみる。

　さらに、内部統制の評価範囲は状況に応じて絞り込むことが可能だ。

　「重要な拠点、事業、業務であっても、しっかりとした理由があれば評価対象から外すことができます。従って、どうしても準備が間に合わない拠点などがある場合には、無理に内部統制対応させずに、理由を明示して除外する選択肢もあります」（永井氏）

　しかし、準備不足を虚偽の報告で乗り切ろうとするのは、言うまでもなく許されざる行為だ。内部統制報告書を提出しなかった場合や、その記載に虚偽があった場合は、経営者個人には5年以下の懲役もしくは500万円以下の罰金（または併科）、法人には5億円以下の罰金が課せられることも忘れてはならない。

内部統制対応のための勘所を1問1答でアドバイス

　以上のような基本的なポイントを押さえた上で、永井氏はこれまでの豊富なコンサルティング経験から得た内部統制対応の勘所について解説した。内部統制担当者にありがちな不安や疑問、あるいは陥りやすい内部統制対策の問題点を具体的に挙げ、1問1答形式で分かりやすくアドバイスした。

一般的な内部統制評価スケジュールと、初年度におけるスケジュール上の留意点は？

　一般的な内部統制評価スケジュールとしては、第1四半期と第2四半期で業務プロセスの整備状況を評価、第3四半期から期末決算にかけて業務プロセスの運用業況を評価する。その中で文書・運用改善を図り、再テストを実施していく。初年度における留意点としては、特に内部統制整備・評価が遅れ気味の企業は後ろ倒しのスケジュールになりやすいため、評価要員の手当てと外部監査人との監査時期の調整を十分に行っておく必要があるだろう。

業務プロセスの運用評価におけるサンプリングテストの進め方と留意点は？

　テストのやり方やサンプリング件数に決まりはないが、一般的なテストの流れは以下のようになる。

1. テストの準備
2. テストの実施
3. コントロールの評価
4. 改善施策の実施と再テスト
5. サブプロセスの評価
6. 業務プロセスの評価結果のとりまとめ

　また、サンプリング件数は25件が一般的とされている。留意点としては、テストの実施に膨大な時間と工数が掛かるケースもあるため、テスト工数を的確に見積もって、事前に十分なリソースと時間を確保しておく必要がある。

内部統制評価の作業負荷を軽減するにはどうすればよいか？

　内部統制評価作業の中で最も負荷が高いのは、サンプリングテストだ。その負荷を軽減するためには、サンプリングテストの各種工数パラメータを削減するしかない。工数パラメータとしては、統制単位数、平均サブプロセス数、平均キー統制数、平均サンプリング数、平均作業時間、テスト担当者数がある。これらを適切なレベルにまで減らすことは、内部統制評価コストを下げるだけでなく、組織運営コストを下げ、内部統制レベルの向上にもつながる。

サンプリングテストでエラーが発生した場合、どのように評価するのか？

　サンプリングテストにおけるエラー件数と推定逸脱率（誤り率）の関係は、例えばサンプリング数25件の場合、1件のエラーが発生した際の誤り率は14.7％、2件では19.9％となる。実際にはエラーが発生しても直ちに逸脱判定は行わず、当該事項にかかわる2次的統制が有効であるかどうかをテストした後に判定が行われることになる。

RCM（リスクコントロールマトリクス）に織り込むべき業務範囲およびリスク範囲は？

　財務報告リスクを織り込むのが基本。それ以外のリスク織り込みは任意だが、最近の調査結果では企業の半数近くがビジネスリスクも評価対象に織り込んでいる。ただし、ビジネスリスクを評価することは望ましい傾向ではあるが、制度運用が安定するまではリスク評価の目的を見極めた上で、制度対応目的よりも管理目的を重視する方がよいだろう。

決算・財務報告プロセスや棚卸しプロセスについて、前期末などの手続きをもって当期末の内部統制評価としてもよいと聞くが、本当か？

　金融庁が2008年6月24日に発表した「内部統制報告制度に関するQ＆A」でも、重要な変更がなければ当期末以外の手続きを評価してよいとしている。しかし、経営者がその結果を有効と表明していても、期末の財務諸表監査で問題が発見された場合は、期末時点での内部統制が有効とはいえなくなり、最悪の場合は虚偽表明にもなりかねない。ただ、期末手続きの評価で問題が発見された場合でも、期末決算の締め前、つまり外部公表前であれば会計上の期末までに手続きを是正できる可能性は残されている。

職務分離の必要性は認識しているが、当該業務の現場担当者や情報システム担当者が1人しかおらず、職務分掌のしようがない。人を増やすしかないのか？

　職務分離の本質は、利害の異なる複数の人間による相互けん制にある。そのため、横方向での職務分離が行えない場合は、縦方向での分離を検討する必要がある。いずれにしても、取引都度の事前承認などの「予防的統制」が望ましいが、難しい場合は1日分のまとめ承認などの「事後的統制」でも仕方がない。また、専門知識が必要な作業であっても、作業の分解、チェックリストの作成、本人のセルフチェックとの組み合わせによるけん制の仕組みを入れておくべきだろう。

内部統制の整備・推進と評価のために一般的に必要な体制は？

　アビーム コンサルティングが最近行った調査の結果を見ると、内部統制の整備・推進組織は経理財務部門と内部監査部門が上位を占め、次いで情報システム部門、経営企画部門となっている。一方、内部統制の評価組織は内部監査部門が圧倒的に多く、以下経理財務部門、情報システム部門、経営企画部門と続く。内部監査部門については、内部統制評価部門と分離すべきだという議論もあるが、必ずしもその必要はないと考える。

外部監査人の要求がどんどんエスカレートしているが、本当に彼らの言う通りにする必要があるのか？

　必ずしも外部監査人の言う通りにする必要はない。業務を本当に分かっているのは業務を行っている担当者であり、内部統制のレベルを決めるのは経営者でなくてはならない。ただし、ベテランの外部監査人は内部統制にかかわる多くの事例を知っているプロであり、その意見や指摘は参考にするべきだ。また、一部のシステム監査人の中には企業側の理解を超えたハイレベルの統制を求める人がいるが、その場合はシステム監査人の上長や担当会計士を交え、徹底的に議論する必要があるだろう。

やるべきことは各社各様

　内部統制に対応するに当たっては、「文書化」「3点セット」などの言葉が独り歩きし、とかく膨大な作業をこなさなくてはいけないイメージに駆られがちだ。しかし永井氏が言うように、制度の基本に立ち返って考えれば、「できる範囲で」対応すれば問題ないケースもあることが分かる。要は、各社各様の状況に応じて、報告すべき領域をしっかり定義する必要があるということだ。これは取りも直さず、自社の内部統制の現状をきちんと把握するということにほかならない。

　さらに、日本版SOX法の適用が開始されて半年がたった現在では、実際の対応作業で陥りがちな問題も、ある程度パターン化してきていることが分かる。こうした“勘所”については、内部統制対応の経験に長けたコンサルタントなどからノウハウのフィーバックを受けることも有効だろう。

関連ホワイトペーパー

内部統制 | SOX法 | 業務プロセス | ITガバナンス