MonthlyReport volume 08 September 2009

J-SOX適用2年目の実務上の留意事項

3月決算会社にあっては、金融商品取引法に基づく内部統制の評価及び監査制度(以下、J-SOXという)の適用初年度を終え、ほとんどの会社は重要な欠陥がなく一段落というところだと思います。しかし、そこに至るまでには、財務報告に係る内部統制の構築及び評価の過程でさまざまな不備が発見されるなど、程度の差こそあれ当初のスケジュールどおりに進んだ会社の方が少なかったのではないでしょうか。

本稿ではJ-SOX適用2年目の会社を対象に、経営者による効率的な内部統制の評価のためのポイントを中心に、実務上の留意事項を説明します。当期のJ-SOX評価計画を現在策定中或いはこれから策定する会社だけでなく、既にJ-SOX評価計画を策定し実行している会社にとっても確認の観点から参考にして頂ければと思います。

なお、本稿の意見に関する部分は、筆者の個人的な見解であることをあらかじめお断りします。

また、下記は一般的な説明であり個別の状況によっては必ずしも当てはまらない場合がありますので、社内で十分に検討するとともに外部監査人にも確認しておくことが適切と思います。

1. 経営者による効率的な内部統制の評価のためのポイント

多くの会社にとって適用初年度である前期においては重要な欠陥を出さないようにすることが最大の目標であり、評価の効率化は二の次だったと思います。しかし、初年度において重要な欠陥が無かった会社にとっては、2年目は評価の効率化についてより焦点をあててもよいのではないかと思います。効率的な評価のためのポイントには、たとえば以下のようなものが考えられます。

(1) J-SOX適用前からの内部監査との連携

前期においては、初めての制度ということで、J-SOX適用前から実施されている内部監査とは連携させずに別個に財務報告に係る内部統制を評価した会社が多かったと思います。J-SOX制度における一通りの評価を終えた当期においては、従来からの内部監査と別個に評価を実施するのではなく、担当部署や実施のタイミングを統一させたりするなど、財務報告に係る内部統制の評価と、従来からの内部監査を計画策定時点から連携させることによって、より効果的かつ効率的に内部統制を評価することができると考えられます。

(2) 評価範囲の見直し

前期においては、経営者・外部監査人ともに、初めての制度ということで評価範囲を広く取っていた会社もあるのではないでしょうか。「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、実施基準という)等が公表される前から準備していた会社では、米国企業改革法に基づく内部統制の評価及び監査制度(以下、US-SOXという)を参考にした結果、評価範囲を広めに取っている会社が多かったのではないかと思います。また、経営者にとっても財務報告に係る内部統制の評価は初めての試みでもあるため、意識して範囲を広めに取っていた会社もあったと思います。そこで、これらの会社の場合には、J-SOX制度の趣旨と1年目の評価結果を踏まえて、評価範囲の見直しを検討してもよいのではないかと思います。特に、業務プロセスに係る内部統制のうち、財務報告への影響を勘案して重要性が大きいとして個別に追加した業務プロセスについて、たとえば単に引当金だからということで選定していた場合には、虚偽記載リスクの発生可能性と影響度から再考してみることもできるのではないでしょうか。

(3) 全社的な内部統制の評価方法

企業集団が分権型の組織構造で運営されている場合、海外子会社等を含めたグループ全体に適用される方針や手続等は限定されている場合が想定されます。そのような場合は、実施基準の参考1に示されている多くの項目について、共通の方針や手続で運営されている評価単位ごとに整備・運用状況の評価が必要となります。反対に中央集権的に企業集団が運営されており、海外子会社等を含めて世界共通の方針や手続が確立されているような場合には、親会社でそれらの方針や手続の整備状況を評価することにより、各子会社や事業部単位での整備状況の評価はほとんど必要がなくなることも考えられます。このように、中央集権的に企業集団が運営されている場合には、子会社単独ではなくグループ全体として全社的な内部統制の整備・運用状況の評価を行うことになりますので、自社の評価単位と評価項目が適切に設定されているかを再度確認することが考えられます。

(4) 業務プロセスに係る内部統制のリスクの再考とキー・コントロールの絞込み

前期においては、結果として財務報告に係る内部統制に直接結びつかなかったり、結びつきが希薄だったりしたリスクをも識別した結果、多くのキー・コントロールを評価せざるをえなくなってしまった会社があったと思います。このような会社の場合には、リスクを再考することによって、キー・コントロールを絞り込むことができると考えられます。また、リスクを細分化しすぎた結果、キー・コントロールが多くなってしまったような場合には、リスクをより上位のものに集約するなどして、キー・コントロールを絞り込むことができる場合があります。

(5) 業務プロセスに係る内部統制の評価のローテーション

適用初年度の前期においては、評価範囲に選定した業務プロセスに係る内部統制のすべてを評価しなければなりませんでした。しかし、下記のように、2年目である当期以降は、一定の場合には、前期のような評価をしなくても済む場合があります。

(ア) 運用状況の評価

金融庁の「内部統制報告制度に関するQ&A」(問34)では、「全社的な内部統制の評価結果が有効である場合には、評価範囲に含まれる業務プロセスに係る内部統制の評価について、財務報告の信頼性に与える影響の重要性を勘案し、重要な変更がないことを確認した上で、一定の複数会計期間ごとに運用状況の評価の対象とすることは可能である(実施基準3(2))。」とされ、また、日本公認会計士協会の「財務報告に係る内部統制の監査に関する実務上の取扱い」(以下、実務上の取扱いという)8(4)イでは、全社的な内部統制が有効であると判断できる場合は、「重要性等を勘案し、評価範囲の一部について、一定の複数会計期間ごと(例えば3年ごと)に評価の対象とすることが考えられる。」と記載されています。適用2年目である当期以降は、業務プロセスに係る内部統制の運用状況の評価については、ローテーションが可能となる場合があると思います。

(イ) ITを利用した業務処理統制の評価

実施基準3(3)ニcでは、「ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質がある。したがって、経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されていないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができる。」として、一定の要件のもとで当該年度におけるITを利用した業務処理統制の評価を省略することが可能となります。

(6) 評価スケジュールの見直し

前期は、評価が計画どおりに進まず、結果として下期に集中して多くの時間を費やした会社も多かったと思います。そこで当期においては、評価者・被評価者の年間の稼働状況を鑑みて評価スケジュールを策定することによって、無駄や無理を排除した効率的な評価を実施できるのではないかと考えられます。

2. 必須対応事項

前期同様に引き続き行う内部統制の整備・運用状況の評価以外に、2年目の当期において対応しなければならない事項としては以下のようなものがあります。

(1) 前期においては重要な欠陥に該当しなかった不備への対応

前期は重要な欠陥とは判断されなかった不備が当期には重要な欠陥に該当してしまう場合があります。

実施基準3(4)ハで例示している重要な欠陥となる全社的な内部統制の不備には、以下のものが含まれています。

  • 財務報告に係るITに関する内部統制に不備があり、それが改善されずに放置されている。
  • 経営者や取締役会、監査役又は監査委員会に報告された全社的な内部統制の不備が合理的な期間内に改善されない。

このように前期に存在した不備の中には、適切に対応していない場合には当期には重要な欠陥と判断されてしまうものがあるので留意が必要です。

(2) リスク・コントロール・マトリックス(以下、RCMという)等の評価資料の作成や見直し

2年目以降においては、評価範囲の変更があったり評価範囲内の内部統制の変更(組織の変更や、工事進行基準等の新たな会計基準に対応するものを含む)があったりした場合には、RCM等の評価資料を新たに作成したり見直したりする必要があります。なお、当期に新たに適用される会計基準等については、Monthly Report Vol.6をご参照ください。

3. 会社の選択したサンプルの利用について監査人との調整

実務上の取扱い3(2)では、「基本的には、監査人は自ら選択したサンプルを用いた試査により、適切な監査証拠を入手して行うこととなるが、監査人は、経営者が抽出したサンプルの妥当性の検討及び経営者による作業結果の一部について検討を行った上で、経営者が評価において選択したサンプルを自ら選択したサンプルの一部として利用することができる。」とされています。つまり、外部監査人は、会社が行った内部統制の評価にあたって使用したサンプルについて、検証を行った上で利用することができるのです。前期においては制度適用初年度ということで、会社と外部監査人双方が手探りの状況だったこともあり、外部監査人は会社の使用したサンプルを利用せずに全く別個にサンプルを抽出している場合がありました。しかし、制度が定着しつつある当期においては、外部監査人は会社の選択したサンプルを利用しやすくなると考えられるので、早い段階で外部監査人と協議してみてはいかがでしょうか。

4. おわりに

金融庁が公表した平成21年3月期決算会社における重要な欠陥があると開示した会社の割合は2%であり、US-SOXにおける適用初年度の実績である17%と比較してかなり低いものとなりました。これは、トップダウン・アプローチの採用など米国とは異なった制度であったことも一因と思いますが、多くの人や時間を集中的に投入した日本企業の努力によるところも大きいと思います。ただ、制度への慣れ、形骸化など時間の経過とともに意識が薄れていくおそれもあるように思います。そこで、今後は、会社が本当に必要性を感じられるような身の丈にあった、より効率的に評価できる仕組みを検討していくべきと思います。なお、当監査法人が翻訳に携わりました「COSO 内部統制システム モニタリングガイダンス」(平成21年8月3日 日本公認会計士協会出版局より発行)に、そのヒントが記載されていますので、参考にして頂ければ幸いです。

以上

太陽ASG有限責任監査法人

公認会計士 齋藤 哲
text : tetsu saito

TOP△