金融庁は、3月11日に「内部統制報告制度に関する11の誤解」を発表したが、実情はどうなのだろうか。SOX法コンサルタントである筆者から見た現実とのギャップを解説する。
去る3月11日に金融庁は、「内部統制報告制度に関する11の誤解」という文書を公表した。ちまたでは「いまごろ出したって、遅いよ」といわれているが、今回はこれを検討してみよう。
枠の中は、金融庁が発表した内容。枠外は筆者のコメントである。
誤解その1:米国SOX法と同じか | |
誤解 | 米国の企業改革法(SOX法)のような制度が導入される |
回答 | 米国におけるSOX法に対する批判を踏まえて、制度を設計 |
(具体例) | |
○トップダウン型のリスク・アプローチ ○内部統制の不備の区分の簡素化 |
トップダウン型のリスク・アプローチについては、米国の監督当局であるPCAOB(Public Company Accounting Oversight Board:公開会社会計監視委員会)が、2005年に発表したプレスリリースですでに指摘しており、また2007年実施されたAS5(Audit Standard No.5)にも明記されている。
であるから、日本と米国の基本姿勢は同じであるが、日本では「評価する範囲の絞り込みが明示されているところ」が唯一の違いか。実施基準によれば、
A)全社的な内部統制については、原則として、すべての事業拠点について評価する。ただし、影響の重要性が僅少(きんしょう)(例えば5%)である事業拠点については例外あり。
B)業務プロセスに係る内部統制については、評価対象とする事業拠点を売上高などの重要性により決定する。例えば、連結ベースの売上高などの一定割合(おおむね2/3)とする。
C)Bで選定した事業拠点における、企業の事業目的に大きくかかわる勘定科目(例えば、一般的な事業会社の場合、原則として、売り上げ、売掛金および棚卸資産)に至る業務プロセスは、原則としてすべてを評価の対象とする。
としている。
誤解その2:特別な文書化が必要か | |
誤解 | フローチャートの作成など、内部統制のため新たに特別な文書化等を行わなければならない |
回答 | 企業の作成・使用している記録等を適宜、利用 |
(具体例) | |
○内部統制の記録 |
文書化の段階では、最低限RCM(Risk Control Matrix)は作らねばならない。なお、有効性の評価の段階で、評価のテスト記述書(一般には実施監査報告書と呼ばれる)は、絶対に必要となるので注意してほしい。これがないと、監査法人による監査も受けることができない。
誤解その3:すべての業務に内部統制が必要か | |
誤解 | どんなに小さな業務(プロセス)でも内部統制を整備・評価しなければならない |
回答 | 全社的な内部統制が最重要であり、全社的な内部統制の評価結果を踏まえて、重要な虚偽記載につながるリスクを勘案し、業務(プロセス)を評価する範囲の絞込みが可能 |
(具体例) | |
○評価対象となる業務の絞込み |
1.の部分で解説した通りである。
Copyright © ITmedia, Inc. All Rights Reserved.