シリーズJ-SOX第2回:内部統制の評価範囲について
内部統制について振り返るシリーズ、前回からは基礎編を終えて、ついにJ-SOX編に突入しました。ここからは、内部統制報告制度、いわゆるJ-SOXについての内容や実務について書いていきたいと思います。
>前回の記事はこちら
さて、ではJ-SOXでは何をすることを求められているのかを前回の記事から振り返ってみます。J-SOXとはどういうものかを簡単にまとめると、以下のようになります。
J-SOXまとめ
経営者は内部統制をしっかり整備して運用してね、あ、それと自分でその内部統制がイケてるかちゃんと評価して、その評価結果を「内部統制報告書」にまとめて有価証券報告書と一緒に報告してね。あ、それと内部統制報告書の内容については、監査法人による監査証明も受けてね。by金融商品取引法
上記のまとめに書いてある通り、企業は内部統制を整備して、さらにその整備した内部統制を運用する必要があります。経営者は内部統制がきちんと整備され、運用されているかを評価し、内部統制報告書にその結果をまとめる必要があります。
もう少し具体的に言うと、「内部統制を整備する」とは例えば購買に関する業務について「発注、受領、支払の担当者を分ける」や「購買する際には上司の承認が必要」といったルールを整備することです。こうすることにより悪いことが出来にくくなり、僕が内部統制の基礎シリーズから言っている「しっかりとした会社」に一歩近づくことになります。
そして「内部統制を運用する」とは、皆がちゃんとその整備した内部統制に則って業務を遂行することを意味します。例えばルールで発注者とは別のものが受領すると決めているのに、実態は発注者がそのまま受領まで行っている場合、整備はルールとして出来ていてOKだけど、その整備した通りに運用できていないのでダメ、ということになります。
そして、経営者はその内部統制がきちんと整備されて、またその通りに運用されているかを自らが評価する必要があります。「ちゃんとやってるよね」と確認して、その結果を取りまとめるのです。ただ、経営者は忙しいので、基本的には内部監査部といった部門が変わりにその役割を担うことになります。
内部統制はどこまでを評価する必要があるのか
ここで、一つの疑問が浮かび上がります。それは、「内部統制を評価するといったって、どこまで評価の対象に入れれば良いのか」というものです。つまり「誰」の「何」を評価すれば良いのかという話になります。今回は「誰」の話を見ていきます。内部統制基準では、財務報告に係る内部統制の有効性の評価という項目において、以下のように記載しています。
(1)財務報告に係る内部統制の有効性の評価
経営者は、財務報告の信頼性に及ぼす影響の重要性の観点から必要な範囲について、財務報告に係る内部統制の有効性の評価を行わなければならない。
また、経営者は、評価に先立って、予め財務報告に係る内部統制の整備及び運用の方針及び手続を定め、それらの状況を記録し保存しておかなければならない。
なお、財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行うものとする(企業集団全体に関わり連結ベースでの財務報告全体に重要な影響を及ぼす内部統制を以下「全社的な内部統制」という。)。
(注) 外部に委託した業務の内部統制については評価範囲に含める。
ここ、地味にすごいことを言っていますが、お分かりになりますでしょうか。それは、「財務報告に係る内部統制の有効性の評価は、原則として連結ベースで行うものとする」という箇所になります。J-SOXの評価範囲は、連結ベースが対象となるのですが、これはつまり「最終親会社」「その子会社」「その持分法適用となる関連会社」の全てが含まれることになります。また、業務の一部を外部委託している場合は、その業務の内部統制についても評価範囲に含める必要があると書いてあります。
つまり、簡単にいうとすべての連結グループ会社と、外部委託の会社の内部統制が評価範囲になると書いているのですが、これが冷静に考えると結構エグイことを書いています。連結グループということは、海外にある子会社も対象に含まれますし、海外企業を買収したらいきなりJ-SOXの対象になるわけです。
では、それぞれについて内部統制実務基準の内容を見てみます。
連結対象となる子会社等
これは文字通り連結の対象となる子会社たちですね。こちらは上記の通り評価範囲を決める際の対象に含まれます。ただ、日本企業にあるあるですが子会社も親会社と同じように上場しており、内部統制基準に基づいた「内部統制報告書」を作成して監査を受けている場合は、親会社はその子会社が作成した内部統制報告書を評価に活用することができます。
持分法適用となる関連会社
持分法適用となる関連会社についても、評価範囲を決める際の対象に含まれます。ただ、こちらも子会社と同様に内部統制基準に基づいた「内部統制報告書」を作成して監査を受けている場合、またはその関連会社が「別の親会社」の子会社である場合で、その別の親会社が内部統制基準に基づいた「内部統制報告書」を作成して監査を受けてる場合は、その内部統制報告書を評価に活用することが出来ます。1点留意点としては、子会社と異なるポイントとして、関連会社が子会社と同等の評価を行えない場合があります。
関連会社を持つ会社で働いた人ならわかっていただけると思いますが、関連会社は感覚的にはもはやその親会社とは別会社であり、特にグループで一緒という感覚はあまりないと思います。「いや、、、あんまり知らないっすわ」というのが正直な感想じゃないでしょうか。僕も事業会社で働いていた時は最終親会社にいましたが、正直、関連会社については別の会社であり、特に同じグループに所属しているという気分はわきませんでした。社会人としての経験が浅かったからかもしれません。
そういう場合には、その関連会社に質問書を送付したり、聞き取りをしたり、関連会社が作成している報告を見たりという方法で評価を行う必要があります。言い方はアレですが、あまり邪魔をしないように、嫌われないように、コソコソと評価を実施する感じですね。
在外子会社等
海外にある子会社についても、評価範囲を決定するときの対象に含まれることになります。海外にある会社なのに、日本の法律で求められるJ-SOXに対応する必要があるのです。財務報告の信頼性を確保するための法律なので、当たり前と言えば当たり前なのですが、実務で考えるとこれは結構厳しいものになっています。海外子会社からしてみたら「J-SOX?何それ?なんでそんな面倒なことしなきゃならんの?」と考えるのが当然であり、特に日本の会社が海外の会社を買収して子会社にした場合に、いきなりこれまでの文化をぶち壊すような対応を求められることになるため、対応難易度は相当に高くなります。
例えば、あなたがある会社で働いているときに、突然海外のよくわからない会社に買収され、その買収した会社の国の法律で「業務内容を読んだだけで理解できる水準で文書にしてください。業務のフローチャートを作成してください。その業務のどこにリスクがあるかを把握し、一覧化してください。テンプレートはこれとこれとこれです。ちゃんとその書いた内容通りに業務が出来ているか自分たちでチェックしてください。また、第三者がちゃんとできているかチェックもしますよ。出来てない場合は減点です。」と言われて対応を求められると「いやさすがに面倒だわ・・・」となると思います。J-SOXは海外子会社に同じようなことを求めるものになります。
その面倒なことを支援するという名目で、監査法人に支援依頼が来て、僕がお金を貰えてご飯を食べられるのですから、これはまた不思議な話です。
ちなみに、その海外の子会社が所在する国に日本のJ-SOXと同じような法律がある場合には、その国の制度を活用することも可能としています。
業務委託
業務委託は、財務諸表の作成の基礎となる業務(取引の承認、実行、計算、集計、記録、開示事項の作成等)を委託している場合や、情報システムの開発、運用、保守などを委託している場合のことを意味します。
この場合でも、委託している側の会社に責任があり、内部統制の評価の範囲に含まれることになります。その場合は、委託している業務の一部を自分たちで実施して検証したり、受託企業が自ら行った内部統制の評価結果の報告書を入手して、代わりの手段としたりします。ただ、この場合でもその報告書が十分なものであるかを検証する必要があります。
まとめ
以上が、内部統制の評価の範囲についてでした。簡単に言うと「連結グループ全体が評価対象」ということになるのですが、ではその対象となった企業の「何を」評価すれば良いのかという疑問がまだ残ります。
そりゃ完ぺきを目指すのであれば末端の会社の細かいルールまできっちりみて、そのルールが完ぺきに守られているかを綿密にチェックすれば最高なのですが、そんなことをしていたらそれだけで費用が膨らんであまりにも費用対効果が悪くなります。また、そもそも現実的ではありません。
では、一体対象企業の何をどこまで見ればよいのか。そのカギとなるコンセプトが「全社的な内部統制」「決算・財務報告プロセスに係る内部統制」「業務プロセスに係る内部統制」「ITに係る内部統制」となります。次回からは、この4つの観点でどのように内部統制評価の範囲を決定していくのかということを見ていきたいと思います。
