「3点セットは必ずしもいりません」〜金融庁が内部統制Q&Aに追加回答中小企業における内部統制対応などにも回答

» 2008年06月25日 00時00分 公開
[大津心@IT]

 金融庁は6月24日、2007年10月に発表した「内部統制報告書に関するQ&A」に、新たな質問・回答47問を追加発表した。追加Q&Aでは、「中小企業におけるIT環境」や「中小企業における内部統制の記録」「中小企業における職務分掌にかかわる代替的な統制」など、中小企業向けの質問に多数答えているほか、「3点セットは必要なのか?」という質問にまで回答している。

中小企業向けの疑問や監査人関連の質問に対して新たに回答

 今回の追加発表は、金融庁が2007年10月に発表した「内部統制報告書に関するQ&A」に対し、新たに追加された47の質問に同庁が考えを示したもの。4月から日本版SOX法の適用は始まっているが、まだ多くの企業が文書化作業や内部評価段階といわれており、「何をいまさら」という声も聞こえてきそうだが、まだ日本版SOX法対応作業が終わっていない企業には大きな影響を与えそうだ。

 今回追加された質問と回答は、問21〜問67までの47問。追加されたQ&Aの中には「重要な欠陥の意義」や「中小規模企業の特性に応じた内部統制の取り扱い」に関するもの5問、「評価範囲外から重要な欠陥が発見された場合の内部統制報告書の訂正」について、「3点セットは必要なのか」など、従来より対象企業を悩ませていた疑問に答えているものもある。

 項目別に見ると、「評価の意義」で追加されたのは1問、「評価範囲」が8問、「評価体制」が2問、「評価方法」が14問、「記録・保存」が3問、「内部統制監査の目的」が2問、「内部統制監査と財務諸表監査の関係」が2問、「内部統制監査の実施」が5問、「監査人の報告」が5問、「中小規模企業」が5問となっている。「内部統制監査の目的」と「内部統制監査と財務諸表監査の関係」「監査人の報告」の3つの項目は新たに項目自体が追加されている。このことから、中小企業向けや監査人関連など、以前から説明不足とされてた部分に対して多く回答しているほか、「そもそも内部統制監査の目的は何か?」などにも回答した。

3点セットは必ずしも必要なかった!

 追加された47問の中からいくつかピックアップしてみると、例えば「3点セットの作成」では、「3点セットをすべて作成しないと重要な欠陥に該当するのか」という問いに対し、「経営者は必要に応じて図や表を活用して整理・記録することが有用だ」「実施基準で図や表の例を挙げているが、必ずしもこの様式による必要はない」とし、最終的には「3点セットとして作成しなければならないのではなく、3点セットを作成しない場合でも直ちに重要な欠陥に該当するものではない」と回答している。

 また、「取引先企業に対しても、該当取引に関連する内部統制の整備や評価を依頼しなければならないのか」という問いに対しては、「(重要な業務プロセスを構成している委託業務先に該当する場合を除き)内部統制の評価の範囲に含まれない」と回答した。

 「評価範囲の外から重要な欠陥が発見された場合の取り扱いはどうすればよいのか」という質問に対しては、「経営者が実施基準などに準拠して決定した評価範囲に対して評価している場合には、内部統制報告書を提出した後に評価範囲の外から重要な欠陥に該当する事実が見つかったとしても、内部統制報告書に記載した評価結果を訂正する必要はない」と答えている。

 ITに関連する質問は、「期末日直後の大規模なシステム変更」「IT統制の評価範囲」「電子メール等のデータの保存」「中小規模企業におけるIT環境」の4点。「期末日直後に大規模なシステム変更を予定している場合に変更前のシステムにかかわる内部統制についての評価を省略してもよいか」という質問に対しては、「評価は期末日を評価基準にしているので、期末日直後にシステムの変更などを予定している場合であっても、変更前のシステムの内部統制は評価の対象になる」としている。

 「どのような場合にITにかかわる全般統制やITにかかわる業務処理統制が評価対象となるのか」という質問に対しては、「財務報告にかかわるITの評価では、企業の利用するすべてのシステムが評価対象となるのではなく、財務報告にかかわる内部統制に関連するシステムが評価対象となる」としたほか、「重要な虚偽記載が発生するリスクを低減するためのITにかかわる業務処理統制と当該業務処理統制に関連するITにかかわる全般統制をそれぞれ評価の対象として識別する」と答えた。

 「内部統制報告制度の導入にともなって電子メールなどのデータはすべて保存しなければならないのか」という質問には、「電子メールなどのデータを一律に記録・保存することを求めているのではない」としているほか、「有効性評価を実施する際などに作成した記録のみを保存することで足りる」と答えている。

 また、中小企業におけるIT環境については、「パッケージソフトウェアをそのまま利用しているような比較的簡易なシステムの場合には、個々のITにかかわる業務処理統制よりも、ITにかかわる全般統制に重点を置く必要がある」や「重要なシステム変更がない場合には、ITにかかわる全般統制が有効であることを確認したうえで、ITにかかわる業務処理統制については、毎期評価を実施しないで過年度の評価結果を利用できる」と答えた。

Copyright © ITmedia, Inc. All Rights Reserved.