HOME > 内部統制/IFRSコンサルティング > 内部統制 Q&A

内部統制 Q&A

U.S.-SOXとJ-SOXの構築上の考え方の相違点を教えてください。

U.S.-SOXは、導入に際し企業に過大な負担をかけてしまうことが問題点として指摘されていました。そこで、我国では、整備・運用においてトップダウン型のリスクアプローチの採用、監査においてダイレクトレポーティングの不採用など、様々な工夫がなされました。特に、内部統制の評価範囲の決定における重要な事業拠点の選定では、実施基準において「全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合を概ね2/3程度とし・・・」のように具体的な内容を示すなど随所に配慮のあとがうかがえます。また、内部統制は企業それぞれが判断し構築するものであることが考慮され、比較的自由度が高い内容となっています。逆にいえば、決められたことをやればよいということではなく、企業にとって本来あるべき姿の内部統制の仕組みを構築することが求められているということとなるでしょう。

J-SOX実施基準の「財務報告に係る全社的な内部統制に関する評価項目の例」に例示されている、42項目の内容について、どのようにコンサルティングをしていただけるのか概略を教えてください。

実施基準に示されている評価項目の42項目(例)に対する注意書きとして、「必ずしもこの例によらない場合があること及びこの例による場合でも、適宜、加除修正がありうることに留意する」ことと記述されています。また、42項目(例)に対し直接チェックリストの作成を求めるものでもありません。しかしながら、チェックリストを作成することは、評価現場において有効なツールとして機能することも事実です。PJCでは、42項目(例)の意図及び精神を、より詳細な「全社的内部統制評価チェックリスト(サンプル)」として示すことにより、評価項目のご理解を深めていただけるよう努めています。結果としてご提供したサンプルの内容とはまったく違う内容になる場合もありますし、概ねサンプルどおりになる場合もあります。

PJCは、企業の個別性(歴史、背景、業種、業容、業態、規模、製品、リスク等)をしっかりと認識し、チェックリストに反映させることが大事なことと考えています。

ITベンダーの指導のもとに、情報システム部門を中心に内部統制に係るITシステムの再構築を行っている最中の会社ですが、この前提でPJCのコンサルティングはどのようにかかわっていただけるのでしょうか。

ITベンダーによるITシステムの再構築のメリットは、作業が標準化されコントロールポイントが低減でき、監査における工数の効率化を図ることができるなどが挙げられ、有効なものであると考えます。ただし、これは構築の方向性を間違わなければという前提でのことです。PJCでは、企業様のIT部門と一緒になり、構築の方向性の決定及び修正へのサポートを実施しています。

ITシステムの再構築をしても意図した結果が得られずに、毎年数千万円~数億円のメンテナンス費用が発生している企業は珍しくありません。また、ITシステムの構築だけで内部統制の仕組みが完成するものではありません。ITベンダーが提供するシステムの多くは、主に業務処理統制(アプリケーション統制)に対するもので、概して全社的な内部統制についてはあまり触れないことがあるようです。いくらITシステムの再構築を実施しても、人の介在をゼロにすることはできません。データ入力時のヒューマンエラー、インプットする情報の前プロセスの精度の維持向上等は、ITシステムだけでは解決することができないのです。

PJCでは、IT業務処理統制を支える基盤である「IT全般統制」に必要なITガバナンスの確立・教育訓練・手順の確立等のコンサルティングを実施することにより、内部統制に係るITシステムの構築をサポートいたします。

会社の現状の内容を把握していない段階でなぜ見積り工数が算出できるのですか。調査と構築の二段構えになるのではないですか。

PJCには、各種ISO規格、食品安全スキーム構築、会社法・金融商品取引法対応内部統制システム構築、ERM(統合リスク管理体制)およびコンプライアンス体制構築・BCP(事業継続計画)策定研修、人事評価制度導入など、1995年の日本進出以来、8,600件を超える支援実績があります。この経験を蓄積し、業種・サイト数・従業員数・製品などから、プロセスのつながりおよびその複雑さを見積もるノウハウを作り上げました。
PJCの見積書は営業部門で作成し、レビューしたあと、コンサルタント責任者が最終的に検証して提出しています。ただ、工数計算は一般的な上場企業レベルの管理状況や文書化率を想定しており、コンサルティングの途中で想定外の問題が表面化した場合には、ご説明・ご相談のうえで工数の追加をお願いすることもあります。お見積もり段階で、PJCの営業担当者に組織の現状をできる限り詳しくお伝えくださいますようお願いいたします。

PJCが文書化3点セットの作成を請け負う場合、どのような手順で仕事を進められるのでしょうか。現場や内部統制推進室とのかかわり方を含めて教えてください。また、現場や内部統制推進室が行うべき作業の内容とその量はどのくらいですか。

業務フローチャート、業務記述書、リスクコントロールマトリクスのいわゆる「3点セット」は、【1.プロセスオーナー(各部門の責任者など)への業務ヒアリング⇒2.コンサルタントによる3点セット作成⇒3.プロセスオーナー及びコンサルタントによる3点セットのデザイン検証⇒4.会計監査人への意見聴取】の繰り返しにより実施されます。

活動期間は企業様により様々ですが、概ね3ヶ月~4ヶ月間位が一般的です。現場のプロセスオーナーがかかわる場面は上記1、3、内部統制推進室の皆様がかかわる場面はそれぞれではありますが、1、3、4のいずれにも参画いただくことが望ましいでしょう。内部統制システム構築に必要なプロセスは、多くの部門を横断していることが多いため、全体像が見えている内部統制推進室の皆様の参画が欠かせません。

上記1、3は、デスクワークでの聞き取りや、現場におけるウォークスルーなど様々な方法の組合せで実施されます。基本的には、コンサルタントが3点セットの作成を行いますが、コンサルタントへの丸投げでは企業様内部での理解が促進されず後々苦労される結果となってしまいます。PJCのコンサルタントは、企業様の負担を調整しながら、3点セットの完成とご担当者様への教育の両立を勘案しつつ作業を進めてまいります。したがいまして、企業様の作業量は構築作業を進めながら、相談し判断いたします。

内部統制推進室の皆様には、上記3点セット作成の手順の中で発生するプロセスオーナーへのヒアリング実施時における社内各部署のスケジュールなどのご調整、社内文書のリストアップ、会計監査人との意見調整などをお願いしております。内部統制推進室の皆様とPJCコンサルタントは、ひとつのチームとしてシステムの構築を行うため、お互いの状況を確認しながら一緒に作業をしてまいります。

規程類の整備支援とは、PJCのひな形に当てはめるということですか。それとも現状の規程類の見直しをするということですか。

PJCの基本的なスタンスは、「余計なものは作らない」「今あるものを活用する」「なければ作る」です。

規程類の量を増やせば増やすほど、文書管理にコストがかかる上、担当者の引き出しの奥にしまわれ、結果的に見られることがないといった状態に陥ることが多いものです。文書化することとシステムがうまく機能することとはまったくの別物であると認識しています。もちろん、PJCは必要な規程類の一定のひな形は準備しています。しかし、それらを使用する場合でも、企業様の個別性を考慮し実態に合ったものに作りかえます。PJCは現場第一主義を貫いており、企業様の実情に沿った構築をお約束いたします。

担当するコンサルタントの資質はどのような形で可視化してもらえるのでしょうか。

PJCのコンサルタントは、入社時厳しい採用基準のもとに選考されています。さらに、内部統制プロジェクト担当者は、入社後の様々なコンサルティングサービス提供の実績、入社前の経歴及び顧客からの評価等を考慮し、再選考試験に合格した者のみが内部統制プロジェクト担当となります。担当者は「チームリーダー、財務担当者、IT担当者、CSR担当者、業務及びSCM担当者」等に分類され、企業様の個別性に合わせ任命されています。これらのことは、ご契約形態にもよりますが「プロジェクト計画書」「講師紹介スライド」「バイオ(経歴書)」等を使い可視化されることとなります。

「リスクコントロールマトリクス」のフォームについて、具体的にどういった形式で作成することが望ましいのでしょうか。また、監査要点の内容(網羅性など)をどこまで記載すべきでしょうか。

リスクコントロールマトリクスの形式に関しては、「金融庁内部統制実施基準意見書」にサンプルが掲載されていますのでご確認ください。

サンプルの内容は「業務プロセス名」「リスクの内容」「統制の内容」「監査要件」「リスク評価」「リスク評価内容」となっています。しかし、画一的なフォームを要求するものではないことに留意して、形式論ではなく、プロセスに隠された虚偽記載リスクを探しだすために、現場でのリスクアセスメントを行い、実態を浮き彫りにすることが重要です。瑣末な業務プロセスにとどまることなく、経営者の行動に関するものから、取引に関するもの、業務プロセス、関連プロセス、監査証拠に関するものまでの流れの中で、会計基準の強引な適用など、現場の実態と乖離しないように、不法、不正、ミス、エラー等の虚偽記載リスクをあぶりだすことに留意するべきです。

監査要点については、実在性・網羅性・権利と義務の帰属・評価の妥当性・期間配分の適切性・表示の妥当性をすべて明示することが一般的でしょう。