内部統制の評価範囲はどう決める? 判断基準や見直しのポイントを解説
内部統制の評価範囲を適切に定めることは、財務報告の信頼性を確保するために最も重要なステップの1つです。しかし、どの事業拠点や業務プロセスを評価対象に含めるべきか、その選定基準に悩む担当者もいるのではないでしょうか。
本記事では、内部統制の評価範囲を決めるステップや判断基準、見直す際のポイントなどを解説します。
内部統制の評価範囲を決める重要性
適切な内部統制を社内に構築して運用するためには、その有効性を定期的に評価するプロセスが不可欠です。
なお、内部統制とは、業務のミスや不正を防ぎ、財務報告を適正に行うために、社内のルールや体制、手続きを整備し、運用する仕組みのことです。上場企業などでは、金融商品取引法に基づく内部統制報告制度(J-SOX法)により、自社の拠点や業務プロセスにおける内部統制の整備や運用の状況を毎期評価し、その結果を開示することが求められます。
とはいえ、すべての拠点や業務プロセスをすべて同じ深さで評価すると、作業負荷が膨大になりかねません。そこで重要になるのが、評価範囲の設定です。内部統制の評価を行う際は、拠点や業務プロセスのうち、財務報告に重要な影響を与える領域に重点を置いて評価を行う「リスクアプローチ」が、J-SOX法で認められています。
このリスクアプローチでは、全社的な内部統制の運用状況を踏まえた上で、財務報告に重要な影響を及ぼす事業拠点や業務プロセスに評価範囲を絞り、効率的に内部統制の評価を行うことが基本となります。そのため、評価範囲の設定は内部統制の状況を評価する際の最初のステップであり、評価の効率化と財務報告の信頼性確保の双方に直結する重要な要素です。
評価範囲の設定が不適切な場合、企業にとって重大なリスクを抱える拠点や業務プロセスが評価対象から漏れてしまったり、反対に重要性の低い領域まで評価対象に含めてしまって評価の作業が膨大になったりする可能性があります。その結果、内部統制の有効性を正しく判断できなくなるような事態にもなりかねません。
また、評価範囲は一度決めれば終わりではなく、毎期見直すことが求められます。事業環境の変化や組織再編、新規事業の開始などによってリスクの内容や重要性は変化するため、こうした変動を適切に反映させることが重要です。評価範囲を適切に設定・見直すことは、企業経営においても重要な意味を持つと言えるでしょう。
- 併せて読みたい
評価範囲を選定するための4つのステップ
内部統制の評価範囲は、場当たり的に決めるのではなく、一定の手順に沿って合理的に選定することが重要です。評価範囲の選定は、大きく分けて「事業拠点の重要性」「業務プロセスと勘定科目の重要性」「個別リスクの有無」といった観点から整理されており、段階的に絞り込んでいくのが基本的な考え方です。下記では、内部統制の評価範囲を決定する際の基本となる4つのステップについて解説します。
なお、下記のステップに沿って評価範囲を決定する際は、監査法人と協議した上で合理的な根拠に基づいて判断しなければなりません。
| ステップ | 概要 |
|---|---|
| 1.重要性のない事業拠点の除外 | 全社的な内部統制と全社的な決算・財務報告に関する業務プロセスについて評価対象となるのは原則としてすべての事業拠点だが、グループ全体の連結売上高の上位から95%までに含まれない事業拠点については除外できる |
| 2. 重要な事業拠点の選定 | 連結売上高の上位からおおよそ3分の2までを占める事業拠点は重要な事業拠点として評価対象とし、その基準から外れる拠点でも事業の特性や業務内容、不正リスクなどの質的な重要性も考慮して評価対象に含めるか判断する |
| 3.重要な勘定科目による選定 | 財務報告に重要な影響を与える勘定科目に関連する業務プロセスに評価範囲を絞り込むために、自社の財務状況や事業特性を踏まえた重要な勘定科目を選定する |
| 4.個別評価科目の追加選定 | 上記の基準で評価範囲から除外された業務プロセスであっても、重要な財務報告の虚偽記載などのリスクが高い取引・業務かといった基準で個別に評価範囲に加える必要がある業務プロセスを特定する |
1.重要性のない事業拠点の除外
内部統制の評価範囲を決定するために最初に行うのが、全社的な内部統制と全社的な決算・財務報告に関する業務プロセスについて評価対象となる事業拠点の範囲を定めることです。
全社的な内部統制とは、企業全体で内部統制が有効に機能するよう整備された方針、組織体制、ルールなどを指します。また、業務プロセスとは、生産・販売・購買・経理などの個別業務の流れを指し、これらの業務で不正やミスを防止するための仕組み、ルールも内部統制の評価対象となります。
全社的な内部統制や全社的な決算・財務報告に関する業務プロセスについては、原則としてすべての事業拠点が評価対象です。ただし、グループ全体の連結売上高を基準として、連結売上高の上位から95%までに含まれない事業拠点については、重要性のない事業拠点として評価範囲から除外できるとされています。
この基準を用いることで、財務報告に与える影響が相対的に小さい拠点を評価対象から外し、重要な拠点に評価リソースを集中させることが可能になります。ただし、除外の判断にあたっては、数値基準だけでなく、拠点の業務内容やリスク特性も考慮し、合理的な理由をもって決定することが重要です。
2.重要な事業拠点の選定
全社的な内部統制や全社的な決算・財務報告に関する業務プロセスの評価対象を整理した後は、それ以外の業務プロセスについて評価対象とする「重要な事業拠点」を選定します。すべての拠点・業務プロセスを詳細に評価するのではなく、重要性の高い拠点に絞って評価を行うことが、J-SOXにおける基本的な考え方です。
重要な事業拠点とは、一般的に連結売上高の上位からおおよそ3分の2までを占める事業拠点を指します。この選定にあたっては、売上高といった量的な重要性を中心に判断しますが、それだけでなく、事業の特性や業務内容、不正リスクなどの質的な重要性も考慮することが必要です。売上高の3分の2という数値基準から外れる拠点であっても、不正発生の可能性が高く適切な内部統制が機能しているかを確認しなければならない場合や、財務報告に与える質的影響が大きいと判断される場合などでは、機械的に数値基準を適用せずに評価対象に追加することが求められます。
この重要な事業拠点の選定では、経営者の適切な判断が重要な役割を果たします。J-SOX法においても、評価範囲の選定に際しては、単純な数値基準に依存するのではなく、事業内容やリスクの状況を踏まえた柔軟な判断が重要である点が強調されています。監査法人と十分に協議を行いながら、合理的な根拠に基づいて重要な事業拠点を選定することが重要です。
3.重要な勘定科目による選定
重要な事業拠点を選定した後は、その拠点におけるすべての業務プロセスが自動的に評価対象となるわけではありません。内部統制の評価では、財務報告に重要な影響を与える勘定科目に関連する業務プロセスに評価範囲を絞り込むことが基本となります。
一般的に重要な勘定科目としては、売上高、売掛金、棚卸資産などが挙げられます。これらは一般的に金額の規模が大きく、虚偽記載や誤りが発生した場合に財務報告全体へ多大な影響を与える可能性があるためです。
ただし、重要な勘定科目は企業の事業内容や業態によって異なります。例えば、固定資産の比率が高い企業では固定資産に関する勘定科目が重要となる場合があり、金融取引が多い企業では金融資産や負債に関する勘定科目が重要となることもあり得ます。
このように、自社の財務状況や事業特性を踏まえ、画一的な基準にとらわれずに重要な勘定科目を選定することが重要です。
4.個別評価科目の追加選定
業務プロセスの評価範囲については、「重要な事業拠点」および「重要な勘定科目」という基準によって一定の絞り込みを行いますが、それだけですべての重要なリスクを網羅できるとは限りません。そのため、これらの基準で評価範囲から除外された業務プロセスであっても、内容によっては個別に評価対象へ追加する必要があります。
具体的には、下記の3つの観点から、個別に評価範囲に含める業務プロセスがないかどうか検討しなければなりません。
- 個別に評価範囲に含める必要がある業務プロセス
-
- 重要な財務報告の虚偽記載などのリスクが高い取引・業務に関連するプロセス
- 見積もりや経営者による予測が必要となる重要な勘定科目に関する業務プロセス
- 非定型取引や不規則取引に関する業務プロセス
評価範囲の判断基準に関する内部統制報告書への記載
内部統制の評価範囲をどのような基準で決定したのかについては、内部統制報告書に具体的に記載することが重要です。評価範囲の選定は、経営者の判断が大きく影響するプロセスであるため、その判断の妥当性や透明性を確保することが求められます。「どのような観点で事業拠点や業務プロセスを評価範囲に含め、または除外したのか」といった点に関する理由を明確にしておくことで、外部から見た際にも合理的な判断であることを示すことができます。
特に、事業拠点を評価範囲から除外した場合には、連結売上高に占める割合やリスク評価の結果など、除外の根拠を具体的に記載することが重要です。また、重要な勘定科目の選定基準についても、「なぜその勘定科目を重要と判断したのか」を説明できるようにしておく必要があります。
さらに、評価範囲の選定や見直しにあたって監査法人と協議した内容についても、記録として残しておくことが望ましいでしょう。こうした情報を内部統制報告書に適切に反映することで、判断プロセスの透明性が高まり、内部統制全体の信頼性向上にもつながります。
評価範囲の見直しのポイント
内部統制の評価範囲は、一度決定すれば固定されるものではなく、企業を取り巻く環境やリスクの変化に応じて継続的に見直すことが重要です。事業内容や組織体制、財務状況は年々変化するため、過去に設定した評価範囲が現在のリスク状況に適していない可能性もあります。
特に、売上構成の変化や事業規模の拡大・縮小、M&A、新規事業の開始といった変動があった場合には、評価範囲の妥当性を改めて検討しなければなりません。また、新たなリスクが顕在化していないか、過去の内部統制評価や監査で指摘された事項がないかといった点も、見直しの重要な判断材料となります。
新規拠点が設立された場合には、直近の財務数値や将来の売上見込みを分析し、評価範囲に含めるかを検討します。新規拠点がグループ連結売上高の95%に含まれる場合には、全社的な内部統制および全社的な決算・財務報告に関する業務プロセスの評価が必要です。
それ以外の業務プロセスについては、「重要な事業拠点に該当するか」「重要な勘定科目に関係する業務があるか」「個別に評価範囲へ含める必要がある業務プロセスが存在するか」といった観点から判断しましょう。こうした見直しを毎期適切に行うことで、内部統制評価の実効性を維持・向上させることができます。
評価作業の進め方
内部統制の評価を効率的かつ適切に進めるためには、評価対象ごとに作業内容を整理し、計画的に評価を実施することが重要です。全社的な内部統制と個別の業務プロセスとでは、評価の進め方や確認すべきポイントが異なります。下記では、内部統制評価における基本的な作業の進め方のポイントについて解説します。
| 項目 | 概要 |
|---|---|
| 全社的な内部統制と全社的な決算・財務報告に関する業務プロセスに関する評価 | 対象となる事業拠点の決算時期や内部統制の整備・運用状況を踏まえて、評価や改善のスケジュールを検討し、規程やマニュアルが適切に整備されているかを確認する |
| その他の業務プロセスに関する評価 | 評価項目に対する統制内容と、それを裏付ける証憑を収集・確認するために、業務の担当者にヒアリングし、サンプリングによって証憑を集める |
全社的な内部統制と全社的な決算・財務報告に関する業務プロセスに関する評価
全社的な内部統制および全社的な決算・財務報告に関する業務プロセスの評価では、対象となる事業拠点の決算時期や内部統制の整備・運用状況を踏まえて、評価や改善のスケジュールを検討することが重要です。
評価を進める際は、本社と各対象拠点で内部統制評価を担当する責任者や実務担当者を選任します。その上で、内部統制に必要となる規程やマニュアルが整備されているかを確認し、不備などがないかを検証します。
もし規程やマニュアルに不備がある場合には、本社側で整備している規程やマニュアルをベースに修正・展開していく方法が効率的です。全社で共通の考え方やルールを持つことで、内部統制の水準を一定に保ちやすくなります。
その他の業務プロセスに関する評価
全社的な内部統制以外の業務プロセスに関する評価では、評価項目に対する統制内容と、それを裏付ける証憑をどのように収集・確認するかが重要となります。最初に、対象となる業務プロセスについて、現地の担当者から統制の内容や業務の流れをヒアリングし、どのような方法で評価を行うべきかを検討します。
評価に必要な証憑については、すべてを収集するのではなく、サンプリングによって対象とする証憑を特定する方法が一般的です。その際、評価対象となる期間や件数、必要な確認項目などを事前に明確にし、現地担当者と共有しておくことで、効率的に評価作業を進めることができます。
なお、初めて内部統制評価を行う場合や、新たに評価対象となった業務プロセスについては、指定した証憑が十分にそろわず、追加収集や再確認が必要になるケースも少なくありません。そのため、手戻りが発生することを見越して、余裕を持ったスケジュール管理を行うことが重要です。
内部統制の評価範囲の選定基準を押さえて、適切な内部統制の評価・改善を進めよう
内部統制の評価範囲の設定は、財務報告の信頼性確保に不可欠な工程で、適切な選定基準とリスク評価が重要です。重要な事業拠点や勘定科目などを、数値的な基準だけでなく、事業への影響の大きさや不正・誤りのリスクの発生可能性なども加味して的確に選定しなければなりません。
評価範囲を決める際には、監査法人との協議を密にすることや、評価範囲の見直しを継続的に行うことが正しく内部統制システムを運用していくためのカギとなります。まずは自社の現状を正しく把握するところから始めて、評価範囲の選定計画の策定を進めてください。
なお、内部不正などのリスクに対応するための内部統制システムの構築にあたっては、適切なITシステムを導入することも重要です。ITを活用して内部不正などの抑止や早期発見につながる体制をつくれば、内部統制システムの機能を強化することが可能となります。
例えば、インターコムの「MaLion」シリーズであれば、ファイルアクセスやWebアップロードなどを監視できるため、情報漏洩の抑止や早期発見に役立つでしょう。ファイルアクセス監視では、各種ファイルの操作状況(読み込み、書き込み、移動、コピー、名称変更、削除)を監視することも可能です。セキュリティポリシーに反する操作に対しては、実行を制限すると共に、不正アクセス者に対する警告も表示できる機能などもあります。内部統制システムの構築や強化をお考えの場合は、ぜひご検討ください。
