内部統制強化への好機に

掲載月：2006年6月

図1 基本的枠組み
現在の経営環境のなかで管理されるべき最も重要なリスクのひとつに、財務報告の虚偽報告、すなわち粉飾決算等、会計上の不正行為があります。
2005年12月、金融庁企業会計審議会内部統制部会から、内部統制の目的のひとつである"財務報告の信頼性"に焦点を当てたガイドライン「財務報告に係る内部統制の評価及び監査の基準について」が公表されました。
これが、日本版SOX法(以下、J-SOX)です。

J-SOXは、I.内部統制の基本的枠組み［図1］、II. 財務報告に係る内部統制の評価、III.財務報告に係る内部統制の監査、の三部で構成され、冒頭の基本的枠組みで内部統制システムとして"COSO^*1"が採用されています。
内部統制の目的については、COSOの3項目に「資産の保全」が追加され、内部統制の基本的要素では、「ITへの対応」が新たに加えられました。ITはそもそも他の構成要素から独立して存在するものではありませんが、通信、財務、サービスの提供など企業活動の多くの領域でITが重要な役割を果たしており、内部統制の目的達成に不可欠と考えられたためです。
2009年3月期決算から適用される予定ですが、時間的なゆとりはさほどありません。財務報告に係る「全社的」および「業務プロセス」への内部統制の具体的な実施基準の公表が待たれるところですが、J-SOXは経営者にとってアカウンタビリティ(説明責任)を確かなものとする内部態勢を構築する好機となります。

本年5月施行された会社法では、すべての大会社(資本金5億円以上か負債200億円以上)に業務の適正を確保するための体制として、内部統制システムの基本方針の決定を取締役会で行うよう義務づけられました。
取締役の職務の執行に係る情報の保全および管理のみならず、使用人の職務の執行の適法性を確保するコンプライアンスの重視、親会社および子会社を含むグループ企業における業務の適正を確保する体制が求められます。
会社法で要請される内部統制システムの構築は、組織的、機能的な態勢が必要とされ、内部統制の枠組みの成熟度や広範囲な構成要素を 含むことからCOSOが大きな指針となります。
特に金融機関では、1999年COSOを前提とする「金融検査マニュアル」が公表された後、顧客保護の観点から"法令等遵守態勢"と"リスク管理態勢"を自らの事業規模、業種、経営環境を考慮して内部統制の「形」を整備してきました。引き続き、継続的な評価に基づく維持、改善を図る必要があります。

図2 プロジェクト組成例
財務報告の信頼性を確保するJ-SOXの社内態勢のポイントは、(1)全社的なプロジェクトの組成、(2)財務報告に関連す るプロセスの文書化、(3)プロセスの適正性の保証といえます。
財務報告であるがゆえに「J-SOXプロジェクトは、会計の所管部のみの業務である」と考えがちですが、それは大きな間違いです。
経理部などでは各部門で入力された取引の集計、評価、決算、引当て、減価償却などを行いますが、個々の取引の正当性まではわかりません。外部に開示される財務報告がステークホルダーにもたらす影響は計り知れないものがあります。社内で財務諸表に影響を与える取引を思い浮かべるとその範囲の広さは容易に想像がつくでしょう。
したがって、J-SOXプロジェクトは全社的に指導力、強制力をもつCEO、CFOや財務担当役員がリーダーに適任とされています。
プロジェクトは全社レベルでその重要性が理解され、手戻りを最小限に抑えた、効率的で効果的なプロジェクトの推進が必要となります。プロジェクト・マネジメント・オフィス(PMO)の構成次第で対応コストが大きく異なることが予想され、コンサルティング会社などの経験を活用する金融機関 も多数見受けられます［図2］。

J-SOXのアクションプランは、米国SOX法^*2にそのヒントがあります。
財務報告に影響を与えるプロセスの洗い出し、文書化、評価、是正、確認など一連の対応フローのコンセプトは変わりません。SOX法で求められるフローを大きくとらえると、次のようになります。

1. 重要な勘定科目や取引、プロセスの分類
2. プロセスオーナー(BPO)の特定
3. プロセスの文書化
4. プロセスの設計・運用の有効性評価
5. プロセスの是正
6. 報告書の作成

このうち3.と4.が最もコストを要するステップとなります。
3.「プロセスの文書化」では、重要な取引の業務記述書、フローチャートで取引の流れを示し、リスク・コントロール・マトリクス(RCM)表では、誤謬や不正のリスク発生の所在とそれを防止、発見するコントロールを明示します。
そのうちキーとなるコントロールは、財務報告のアサーション(Assertion)すなわち、(1)実在性・発生、(2)評価、(3)網羅性、 (4)権利と義務、(5)表示と開示のどの項目を保証するかを特定します。これらは時間を要する作業となります。
4.「プロセスの有効性評価」は、通常、業務執行部門から独立した内部監査部門等で行われることが多く、キーコントロールに関しサンプリングでプロセスの証跡を確認し、評価する作業です。これを通常の業務監査と並行して毎年行うことになり、多大な要員が必要とされます。これらの作業を現場での自己評価(CSA)やコンサルティング会社などの外部の人的資源を活用する傾向が米国で強いのはそのためです。
これら一連の対応フローは財務報告の正確性を担保するもので、言い換えれば、取引のトレーサビリティ(取引発生時点からの取引経緯の確認証左)を高める重要なプロセスとなります。

図3 関連図
プロセスの文書化、有効性評価作業のフェーズで、意外に重くのしかかるのが「IT統制」です。
通常、財務報告に影響を及ぼすと想定されるリスクを削減する統制手続きには、予防的、発見的、補完的、回復的コントロールなどがあり、統制手続きの方法として、マニュアル統制、IT依存統制、IT統制があります。
IT依存統制とIT統制は、これらのコントロールにシステムが介在するものです。IT統制は、開発、変更、運用などの"IT全般統制"とデータ編集・更新、自動計算など個別システムの"ITアプリケーション統制"に分類されます［図3］。
ITガバナンス協会(IT Governance Institute)が公表するCOBIT^*3が提供するIT統制目標34項目のうち、12の項目がIT全般統制に該当します。SOX法の対応で想定以上の時間と労力を要するのがこれらIT統制です。
特に留意を要するのは、ダウンサイジングで広く社内業務プロセスに浸透するエンドユーザー・コンピューティング(EUC)、そしてシステム開発、運用、保守等が社外の情報処理会社に外出しされている場合です。財務報告に関連するこれら"EUC"と"外部業務委託"はIT統制の隘路 となりがちで、J-SOX対応に先駆けて組織的な整備が急がれます。

今日、日本では会社法、J-SOXなどガバナンスの新たな法制化が進められ、経営者にとって、対外的・対内的に強く求められる"アカウンタビリティ"と、J-SOXでは新たに"トレーサビリティ"が重要なキーワードとなりました。
両者を相携えることによって、はじめて財務報告に係る内部統制システムへの経営者の総合判断は十全なものとなります。この課題への水先案内人として、弊社では、PMOをはじめとし、文書化、評価作業などJ-SOXのさまざまな局面で皆さまのご支援をいたします。

*1 COSO : 米国トレッドウェイ委員会組織委員会(The Committee of Sponsoring Organization of the Treadway Commission : 通称COSO)が1992年に公表した内部統制のフレームワーク。
*2 米国SOX法 : 米国サーベインス・オクスリー法。エンロン事件やワールドコム事件などの不正会計問題の対策として、企業に対して開示情報の適確性を求め、経営者の投資家に対する責任と義務・罰則を定めた米国連邦法。
*3 COBIT : 米国の情報システムコントロール協会(ISACA)が提唱するITガバナンスの成熟度を測るフレームワーク。