上場会社に求められる内部統制の全体像：全社的内部統制・業務プロセス・決算財務報告プロセス

はじめに

前回の記事では、会社法の内部統制と金融商品取引法の内部統制の違いについて解説しました。

会社法の内部統制は、会社全体の業務の適正を確保するための体制です。一方、金融商品取引法の内部統制は、上場会社の財務報告の信頼性を確保するため、経営者が財務報告に係る内部統制を評価し、内部統制報告書として提出する制度です。

では、上場会社の内部統制実務では、実際にどのような単位で内部統制を整備・評価していくのでしょうか。

上場会社の内部統制を理解するうえでは、次の3つを整理することが重要です。

1. 全社的内部統制

2. 業務プロセスに係る内部統制

3. 決算・財務報告プロセスに係る内部統制

本記事では、この3つの関係を中心に、上場会社に求められる内部統制の全体像を解説します。

上場会社の内部統制は大きく3つに分けて考える

上場会社の内部統制実務では、内部統制を会社全体で一つの大きな仕組みとして捉えながらも、実務上は大きく分けて次の3つの視点で整理します。

まず、会社全体に影響する全社的内部統制があります。これは、経営者の姿勢、取締役会や監査役等の機能、組織体制、規程、権限、内部監査、リスク管理、コンプライアンスなど、会社全体の内部統制の土台となるものです。

次に、販売、購買、在庫、人件費、固定資産などの業務プロセスに係る内部統制があります。これは、個別の業務の中で、財務報告に影響するリスクを識別し、そのリスクに対応する統制を整備・運用するものです。

さらに、決算整理、連結決算、開示資料作成などの決算・財務報告プロセスに係る内部統制があります。これは、財務諸表や有価証券報告書などを作成するプロセスに関する内部統制です。

この3つは別々に存在するものではありません。全社的内部統制が土台となり、その上に各業務プロセスの統制があり、最終的に決算・財務報告プロセスを通じて外部報告につながります。

1. 全社的内部統制とは

全社的内部統制とは、会社全体に広く影響を及ぼす内部統制をいいます。

たとえば、次のような項目が関係します。

• 経営者の内部統制に対する姿勢

• 取締役会や監査役等の監督機能

• 組織体制、職務分掌、権限規程

• コンプライアンス体制

• リスク管理体制

• 内部監査体制

• 経理・決算体制

• 子会社管理体制

• 情報システム管理体制

全社的内部統制は、個別の業務プロセスの前提となるものです。

たとえば、職務権限規程が整備されていなければ、販売プロセスや購買プロセスで誰が承認すべきかが不明確になります。内部監査体制が機能していなければ、業務プロセス上の不備を発見し、改善する仕組みが弱くなります。経営者が財務報告の信頼性を軽視していれば、現場の統制活動も形式的なものになりやすくなります。

そのため、財務報告に係る内部統制の評価では、まず全社的内部統制を確認し、その結果を踏まえて業務プロセスに係る内部統制を評価する流れになります。

全社的内部統制に不備がある場合、その影響は会社全体に広がる可能性があります。したがって、上場会社では、個別業務のチェックだけでなく、会社全体の統制環境や管理体制が有効に機能しているかを確認することが重要です。

2. 業務プロセスに係る内部統制とは

業務プロセスに係る内部統制とは、会社の個別業務に組み込まれた内部統制をいいます。

代表的な業務プロセスには、次のようなものがあります。

• 販売プロセス

• 購買プロセス

• 在庫管理プロセス

• 人件費プロセス

• 固定資産プロセス

• 経費精算プロセス

• 子会社管理プロセス

たとえば、販売プロセスでは、受注、出荷、請求、売上計上、入金管理までの一連の流れがあります。この中には、売上の架空計上、期間帰属の誤り、請求漏れ、入金消込誤り、貸倒リスクなど、財務報告に影響するさまざまなリスクがあります。

購買プロセスであれば、発注、検収、請求書確認、仕入計上、支払処理が適切に行われているかが重要です。在庫管理プロセスであれば、実地棚卸、評価、滞留在庫の把握、廃棄処理などが財務報告に影響します。

業務プロセスに係る内部統制では、こうした業務の流れを可視化し、どこにリスクがあるのか、そのリスクに対してどのような統制があるのかを整理します。

そのために実務上よく使われるのが、いわゆる3点セットです。

3点セットとは、一般に次の3つを指します。

1. 業務フローチャート

2. 業務記述書

3. リスク・コントロール・マトリクス、いわゆるRCM

業務フローチャートでは、業務の流れ、使用される帳票やシステム、承認や確認のポイントを図で整理します。業務記述書では、業務の内容や手順を文章で整理します。RCMでは、リスクと、それに対応するコントロールを一覧化します。

重要なのは、3点セットを作ること自体ではありません。業務プロセスを理解し、財務報告に影響する重要なリスクを識別し、そのリスクに対応する統制が有効に設計・運用されているかを確認することです。

3. 決算・財務報告プロセスとは

決算・財務報告プロセスとは、財務諸表や開示資料を作成するためのプロセスをいいます。

上場会社では、月次決算、四半期決算、年度決算、有価証券報告書、決算短信、計算書類など、さまざまな決算・開示業務があります。

決算・財務報告プロセスには、たとえば次のような業務が含まれます。

• 会計方針の決定

• 経理体制の整備

• 経理業務の分掌と承認権限

• 勘定残高、元帳、試算表の締め

• 決算整理仕訳の作成・承認

• 財務諸表の作成

• 連結パッケージの作成

• 連結財務諸表の作成

• 注記・開示資料の作成

• 取締役会等への報告・承認

決算・財務報告プロセスは、財務報告の信頼性に直接関係する重要なプロセスです。

また、販売や購買のような日常的な取引プロセスと異なり、四半期や年度末など特定の時期に集中して行われる業務が多い点も特徴です。

そのため、決算・財務報告プロセスでは、担当者の知識や経験に依存しすぎないよう、決算スケジュール、作業分担、レビュー手続、承認手続、必要資料の提出期限などを明確にしておくことが重要です。

特に、会計上の見積りを伴う項目には注意が必要です。

たとえば、次のような項目です。

• 貸倒引当金

• 棚卸資産評価

• 固定資産の減損

• 繰延税金資産の回収可能性

• 退職給付引当金

• 資産除去債務

• のれんの評価

• 訴訟損失引当金

これらは判断や見積りを伴うため、誤りが発生した場合の影響が大きくなりやすい領域です。したがって、単なる作業チェックだけでなく、根拠資料、計算過程、判断理由、責任者によるレビューを明確に残すことが重要です。

決算・財務報告プロセスは2つに分けて考える

決算・財務報告プロセスは、実務上、大きく2つに分けて考えると理解しやすくなります。

1つ目は、全社的な観点で評価することが適切なプロセスです。これは、グループ全体で共通の方針やルールに従って行われる決算・開示業務です。

たとえば、財務諸表作成プロセス、連結財務諸表作成プロセス、開示資料作成プロセスなどが該当します。これらは、チェックリストなどを用いて、全社的な観点から評価することが一般的です。

2つ目は、個別に評価するプロセスです。これは、見積りや予測を伴うなど、虚偽表示の発生可能性が高い個別具体的な決算業務プロセスです。

たとえば、固定資産の減損、繰延税金資産、引当金など、重要な判断を伴う会計処理が該当します。これらについては、必要に応じて3点セットやマニュアルを整備し、個別の業務プロセスとして評価します。

この区分を理解しておくと、決算・財務報告プロセスをすべて同じ方法で評価するのではなく、リスクの性質に応じて評価方法を分ける考え方が理解しやすくなります。

IT統制は横断的に関係する

上場会社の内部統制を考えるうえでは、IT統制も欠かせません。

販売管理システム、購買管理システム、在庫管理システム、会計システム、ワークフロー、連結システム、開示支援システムなど、多くの業務がITに依存しています。

そのため、IT統制は、全社的内部統制、業務プロセス、決算・財務報告プロセスのすべてに横断的に関係します。

たとえば、販売プロセスで売上データが販売管理システムから会計システムへ連携される場合、そのデータが正確かつ網羅的に処理されているかが重要です。

また、会計システムのアクセス権限が適切に管理されていなければ、不適切な仕訳入力やマスタ変更が行われるリスクがあります。

IT統制には、大きく分けて、IT全般統制とIT業務処理統制があります。

IT全般統制は、システム全体が適切に機能するための基盤となる統制です。アクセス管理、システム変更管理、運用管理、バックアップ、障害対応、外部委託先管理などが該当します。

IT業務処理統制は、業務プロセスの中でシステムに組み込まれた統制です。入力チェック、自動計算、承認ワークフロー、エラーリスト出力、マスタ制御などが該当します。

現在の内部統制実務では、ITを前提にしない業務はほとんどありません。そのため、IT統制は、内部統制全体を支える重要な要素として位置づける必要があります。

全社的内部統制と業務プロセスの関係

上場会社の内部統制評価では、全社的内部統制の評価結果が、業務プロセスの評価に影響します。

全社的内部統制が有効に機能していれば、個別の業務プロセスの評価範囲を合理的に絞り込むことができます。

一方で、全社的内部統制に不備がある場合には、業務プロセスに重要な問題が発生する可能性が高まります。そのため、評価対象とする業務プロセスを広げたり、評価手続をより慎重に行ったりする必要が出てきます。

たとえば、内部監査体制が十分に機能していない場合、業務プロセス上の不備が見逃されている可能性があります。また、経理体制が脆弱な場合、決算・財務報告プロセスで誤りが発生するリスクが高まります。

つまり、全社的内部統制は、個別業務の前提となる土台です。個別の3点セットが整備されていても、会社全体の統制環境が弱ければ、内部統制全体として有効とはいえない場合があります。

上場会社の実務でよくある課題

上場会社の内部統制実務では、次のような課題がよく見られます。

1つ目は、全社的内部統制が形式的になっていることです。チェックリストは毎年更新しているものの、実際の組織変更、規程改定、子会社管理、内部監査体制の変化が十分に反映されていないケースがあります。

2つ目は、3点セットが古くなっていることです。業務フローやシステムは変わっているのに、フローチャートやRCMが数年前のままになっていると、実際の業務と文書が一致しなくなります。

3つ目は、決算・財務報告プロセスが属人的になっていることです。特定の経理担当者の知識や経験に依存している場合、担当者の異動や退職により、決算業務の品質が大きく低下するリスクがあります。

4つ目は、IT統制の見直しが遅れることです。クラウドサービスの導入、システム変更、外部委託の拡大が進んでいるにもかかわらず、アクセス権限や変更管理、委託先管理の統制が十分に見直されていないケースがあります。

内部統制は、一度整備すれば終わりではありません。会社の事業、組織、人員、システムが変化すれば、内部統制も見直す必要があります。

まとめ

上場会社に求められる内部統制は、大きく次の3つの視点で整理できます。

1. 全社的内部統制

2. 業務プロセスに係る内部統制

3. 決算・財務報告プロセスに係る内部統制

全社的内部統制は、会社全体の内部統制の土台です。業務プロセスに係る内部統制は、販売、購買、在庫、人件費、固定資産など、個別業務におけるリスクと統制を整理するものです。決算・財務報告プロセスに係る内部統制は、財務諸表や開示資料の信頼性を確保するための重要なプロセスです。

また、IT統制は、これらの内部統制に横断的に関係します。

上場会社の内部統制担当者にとって重要なのは、個別のチェック項目だけを見るのではなく、全社的内部統制、業務プロセス、決算・財務報告プロセス、IT統制がどのように関係しているかを理解することです。

次回は、内部統制実施基準の改訂により、上場会社のJ-SOX実務にどのような影響があるのかを解説します。