上場準備企業の内部統制について②

前回に引き続き、上場準備企業の内部統制構築について解説していきます。

今回は、内部統制における必要な文書化とその具体的な手法について解説をしていきたいと思います。

１．内部統制における文書化の必要性

上場企業において内部統制報告書は最終的に外部の監査人に評価結果の監査を受けることになります。

内部統制報告書は外部監査を前提としていますので、経営者による内部統制の評価手続きが、文書などの記録として残されていることが必要です。

経営者は、内部統制の有効性を評価するにあたり内部統制の整備、運用の方針と手続きを定め、その運用状況を記録し、保存しておく必要があります。

規定やマニュアルなどは、それを定めるだけではなく、文書化することによって客観的な判断が可能となるからです。

一方で、外部の人間には社内の業務フローや承認プロセスなどは決して自明ではありません。

そこで、各業務プロセスの流れや、どのプロセスに重要な影響を及ぼすリスクが潜んでいるか、さらにリスクに対する具体的な統制手続きがとられているかなどについて、業務に携わったことのない人でも容易に理解できるよう、各種規定類や業務フローの文書化が必要とされるのです。

２．文書化の範囲

日本版SOX法（J-SOX法）では、財務報告にかかわる内部統制が義務付けられているので、文書化の範囲は最低でも財務報告に関係する業務プロセスとなります。

ここで『財務報告に関係する業務プロセス』について少し補足の説明をします。

内部統制は、①業務の有効性及び効率性、②財務報告の信頼性、②事業活動に関わる法令等の遵守、④資産の保全という四つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスというのが正式な定義ですが、このうち金融商品取引法における内部統制報告制度は、②財務報告の信頼性を確保するための内部統制を評価及び報告の対象としており、あくまでJ-SOX法で求められているのは、②財務報告に関する業務プロセスのみの文書化ということになります。

内部統制には、その他①、③、④に関わる内部統制もありますが、財務報告と財務諸表監査に関わるのは②だけであるため、義務とされているのは②のみとなります。（証券審査の過程などで、②以外の業務プロセスについて、可視化、文書化が求められることもあるため、上場準備において②だけを文書化すれば足りるということを意味しない事には留意が必要です。）

なお、この財務報告に関する業務プロセスには、業務財務報告以外の目的も併せて達成されるように業務に組み込まれている内部統制も含まれます。

通常は、企業内のほとんどの業務プロセスにおいて、財務報告に何らかの関係があるため、膨大な作業量が予想されます。 そのため、業務プロセスの文書化は、全社レベルの重要プロジェクトとして、計画的に進めていくことが必要です。

３．3点セットの整備

財務報告に関わる内部統制の整備及び運用において、適切な内部統制が行われているかを把握する必要があります。そのために用いられるツールが3点セットです。

前回のコラムでも触れたように、3点セットは「フローチャート」、「業務記述書」、「リスクコントロールマトリックス」で構成されています。

3点セットは、業務におけるリスクを把握し、それに対する統制（コントロール）を可視化するツールです。

3点セットは法律で作成が義務付けられているわけではありませんが、内部統制に取り入れることで、業務や会計処理の流れを可視化しやすくなるメリットがあります。

加えてリスクとコントロールの関係性も把握しやすくなるなりますから、内部統制構築及びJ-SOX対応を抜け漏れなく効率的に進めることができると言われています。

以下、それぞれの詳細について説明します。

【業務フローチャート】

フローチャートは、業務のプロセスを図で見える化したものです。

社内で行われている業務が要求元から情報システムへ反映されるまでにどのような流れをたどっているかを全体的に把握することができます。

業務プロセスを可視化することによって、取引と会計処理の流れを整理するとともに、内部統制上のリスクを識別します。

フローチャートは、業務の詳細な内容や注意点などの記載には不向きですが、業務の開始から完了までの業務全体の流れが一覧図で表現されているため、手順などを直感的に理解できるなどの利点があります。

【業務記述書】

業務記述書は、業務の内容を文章化。各工程における作業内容や担当者の理解度を把握することが目的です。業務概要やプロセスを書き起こすことで、取引の発生、承認、記録、処理、報告などに関する情報を詳細に記述することができ、フローチャートには不利点をカバーすることができます。

【リスクコントロールマトリックス】

リスクコントロールマトリックスは、業務におけるリスクとそのリスクに対応するコントロールを比較した一覧表です。

想定されるリスクとそれに関わるコントロールが分かりやすく可視化されています。

業務内容毎にリスクを識別して評価し、内部統制によりリスクをどのように低減しているのかを記載しているので、リスクが顕在化する頻度や確率と、顕在化したときに企業が被る影響が一目で分かるようになっています。