1992年に、トレッドウェイ委員会の支援組織委員会(COSO)は、内部統制制度の評価や促進する事業者およびその他の組織を支援するため、「内部統制―統合の枠組み」を公表した。その枠組みが、最高経営責任者、取締役会メンバー、規制当局、基準設定者、専門家組織、およびその他に、内部統制の適切な包括的枠組みとして認識されるようになった。
その枠組みにより、米国監査基準の変更やその他財務報告に関する改正などが行われるようになり、特に、2002年のサーベンス・オクスリー法によって、同法404条では上場会社には「財務報告に関する内部統制を評価する経営者報告書」や「会計監査人による内部統制の監査報告」が法制化されることとなった。
2004年4月8日、SECは、PCAOBが設定した監査基準第2号「財諸表の監査に関して実施した財務報告に関する内部統制の監査(An Audit of Internal Control Over Financial Reporting Performed in Conjunction
with an Audit of Financial Statements)」(全161ページ)を適用することを要請した。この監査基準は、会計監査に従事する会計監査人ばかりでなく、内部統制をチェックし機能していることを確かめる人(経営者、監査委員会、内部監査人など)に関しても適用がある点で、従来の監査基準と異なる。(SEC速報 参照)なお、監査基準書第2号は、監査基準書第5号(2007年11月15日以降に終了する事業年度から適用)によって改正された。
監査基準書2号では、会計監査人は、財務諸表監査の監査報告書ほか、@経営者の財務報告に関する内部統制の有効性に関する評価に対する意見表明と、A財務報告に関する内部統制の有効性に対して意見を表明する必要がある。基準書に添付されている監査報告書の例示(7例)では、財務諸表監査の監査報告書と内部統制に関する監査報告書と別々にする場合と、双方を一つの監査報告書にまとめる方法とが例示されている。
内部統制の監査報告書は株式時価総額75百万ドルを超える米国企業は2004年11月15日(従前は6月15日であったのを延期)以降終了する事業年度から適用し、小会社、外国会社、社債のみ上場する会社には2005年7月15日(当初は4月15日であったのを延期)以降終了する事業年度までに適用させるとしていた。(SEC速報 SEC最終ルール参照)
2004年度に適用初年度となった早期適用会社の内部統制の監査結果が明らかになると、内部統制の整備にかかるコスト負担に対し産業界から不満が続出することとなった。
一方、監査実務界では、サーベンス・オクスリー法第404条が求める追加監査手続に監査報酬が嵩み、ビッグ・フォーと呼ばれる国際会計事務所から中小の会計事務所に乗りかえが増えている。(Sept. 28, 2004
(USA TODAY) ) 監査報酬ばかりでなく、非監査業務(nonaudit services )として内部統制の充実のために雇用する追加の会計士、コンサルタントや弁護士に支払う報酬が嵩んでいると報じている。(Oct. 6, 2004 (The
Seattle Times) )
こうした不満に応えるべく、小会社、外国会社、社債のみ上場する会社の適用開始は延期され、2005年3月2日、SECは中小企業および外国会社の適用時期を2006年7月15日以降終了する事業年度からとして更に1年間延期した。COSOが2005年夏に「中小企業に関する内部統制の枠組みのガイダンス」を公表するのを待つとしている。(SEC速報 最終ルール 参照)。
2005年10月、COSOは、「中小企業に関する内部統制の枠組みのガイダンス」の草案を公表し12月末までコメントを求めていた。最終的に、COSOは、2006年7月11日「財務報告に関する内部統制−小規模上場会社のためのガイダンスInternal Control over
Financial Reporting − Guidance for Smaller Public Companies」を公表した。(英語版サマリーのみ・・無料)
2006年5月17日、公開会社会計監視審議会(PCAOB)は、監査基準書2号の見直し、小規模上場会社に関する監査人のためのガイダンスの作成などを表明した。(PCAOBニュース)
このガイダンスにより、売上高2億ドル以下のSEC登録の小規模上場会社(非早期適用会社Non-Accelerated Filers)5000社が、財務報告に関する内部統制の経営者報告書および外部監査人の監査報告書に利用されることになろうとしている。米国国内の会社の約44%の会社、外国会社の約38%の会社が早期適用会社ではなく、このガイダンスの利用が予想される。無論、すでに適用している早期適用会社にも適用されるべきものであるとしている。
2006年8月9日、SECはさらに経営者の報告書の適用を下記に用に延期している。
|
Effective dates of Section 404 for: |
Fiscal years ending on or after: |
|
|
US domestic reporting companies that are
accelerated filers |
15 November 2004 |
←現在適用中 |
|
Foreign private issuers that are accelerated
filers |
15 July 2006 |
|
|
Domestic and foreign non-accelerated filers |
15 July 2007 |
小規模上場会社については、SOX404条適用に際し効果的・効率的適用できるよう期限を更に延期している。
非早期国内の適用会社については、経営者報告書は、2007年7月15日以降終了する事業年度からではなく2007年12月15日以降終了する事業年度から適用を延期し、監査人の監査報告書は、2008年12月15日以降終了する事業年度に変更する。
早期登録の外国会社については、経営者報告書は2006年7月15日以降終了する事業年度から、監査人の監査報告書は2007年7月15日から適用するとしている。(SEC速報・2006年8月9日 参照)
このように、過大なコスト負担増を伴う恐れがあることから、小規模上場会社の適用は延期されてきている。日本の基準では、現状では小規模上場会社に対する配慮はない。日本の場合は、上場会社→規模の大きな会社→企業を代表するのは「日本経団連」→制度立案・設計の所管官庁である金融庁の金融審議会・企業会計審議会に「日本経団連」から委員が出席・・この仕組みでは小規模上場会社は、制度設計や基準に反映されることはない。
ちなみに、日本では、金融庁・企業会計審議会が、2006年12月8日に、「財務報告に係る内部統制の評価及び監査の基準のあり方について」を公表し、「財務報告に係る内部統制の評価及び監査の基準案」を明らかにしている。
2007年1月31日、金融庁・企業会計審議会内部統制部会は、ほぼ原案通り決定され部会は解散し総会の決議を待つばかりとなった。(【詳報】「IT全社統制の不備」の例を変更、J-SOX実施基準“確定版”案 ニュース 議事次第 参照)
内部統制および財務報告に関する日米の背景は、以下の通りである。米国は、財務報告に関する内部統制の監査の導入の土壌(知識、経験、人的資源)が下記の通りあっても、小規模上場企業については別途ガイダンスを用意し実施可能性を探っているのである。日本は、2009年3月期から金融商品取引法により、「財務報告に係る内部統制の経営者報告書と会計監査人による監査報告書」を求めているが問題山積である。
日本の場合、2009年3月期より適用とされている:
○財務報告に関する内部統制の報告書の提出(金融商品取引法第24 条の4 の4、第193 条の2 第2 項関係)
○内部統制の監査報告書の提出(金融商品取引法第24 条の4 の4、第193 条の2 第2 項関係)
| 米国 | 日本 | |
| 公認会計士の数 | 33万人 | 1万6千人 |
| コーポレート・ガバナンス | 監査委員には最低一人財務専門家を必要とする 監査委員会に会計士が増加 |
財務専門家を要求していない(注2) |
| 内部統制の評価実務 |
長年の監査実務がある。 期中監査で、内部統制の評価を行い、内部統制が 機能しているか準拠性のテスト(Compliance test) を行い、期末の実証監査(Substantive test)の 範囲、タイミング、入手する監査証拠の性質(強弱) を決定することが監査基準に明記され実務となって いる。 |
実証監査中心の監査で 内部統制の評価まで行われるケースは 無かったのが現状。 監査報酬にも現れている。 |
| 監査基準等 (注1) | 米国の監査基準 財務報告に係る内部統制の監査基準(161n) 「財務諸表監査と統合した財務報告に関する 監査基準」(公開草案)(131ページ)改正案 |
日本の監査基準 財務報告に係る内部統制の監査基準(28n) 実施基準(草案)(127ページ) |
| 仕事内容の文書化 (Documentation) |
労働の移動が一般化しており、業務などの マニュアルや業務手順書(Job Descriptions) など作業の文書化が実務に定着している。 |
大企業は終身雇用制が定着しており マニュアルや業務手順書などの文書化 の慣習はない。 「文書化をしなさいとは、実施基準に書い ていない。「記録・保存」と書いているだけ 今からでは遅いのではない」と八田部会長 は講演しているそうです。(講演受講者ブログ) 記録・保存はDocumentationの邦訳です。 文書化も邦訳の一つ。 「内部統制の整備の状況を記録し、可視化 することで、内部統制の有効性に関する 評価が実施できる」とし、「業務の流れ、 業務記述書、リスクと統制の対応が 参考となる」として基準書に記述しており、 documentation(文書化)そのものであること をお忘れか(基準書27ページ参照)。 |
| 内部監査の実務 | 内部監査が実務に定着している。 内部監査の手順書、報告書など洗練されたもの となっているケースが多い。 |
大企業は、性善説や終身雇用制度もあり、 内部監査が定着しにくい土壌となっている。 内部監査が機能しているのは稀 |
| 財務報告の基準 | 財務報告の基準(FASB)は明瞭になっている。 | 会計基準は、不明瞭。 大蔵省・企業会計審議会の会計基準、 金融庁・企業会計審議会の会計基準、 企業会計基準委員会の会計基準、 日本公認会計士協会の実務指針 会社法計算規則、税法など複雑怪奇 |
| 四半期報告書 | 連結ベースの四半期報告書が上場会社には 求められており、四半期ごとにモニターリング できる体制があるところが多い。 |
経理の一部が作成し、限られた者しか 目を通していない場合が多い。 会計基準が確立していない。 |
| 連結財務諸表 | 19世紀後半から連結決算の歴史あり | 2000年3月期から連結中心となる |
| 個別財務諸表の公表 | 米国は連結財務諸表のみを公表 | 日本は、連結財務諸表と個別財務諸表を 会社法および金融商品取引法で開示を 求められており、過重の負担あり。 |
(注1):米国の監査基準等の改正
2006年12月5日、PCAOBは内部統制の監査基準の改定案の概要を公表し、草案は19日に公表した。それによると、「監査人の意見は、会社の内部統制が有効かどうかの意見に限定し、経営者の評価への結論の適正性についての意見を含まないことを明確にする」としている。
Clarify
that an internal control audit is limited to an evaluation of whether, in the
auditor’s opinion, the company’s internal control is effective, and does not
include an opinion on the adequacy of management’s process to reach its
conclusion.
「経営者による財務報告に係る内部統制の有効性の評価は、その評価結果が適正であるかどうかについて、当該企業等の財務諸表の監査を行っている公認会計士等(以下「監査人」という。)が監査することによって担保される」とし、「ダイレクト・リポーティングの不採用」とする日本の内部統制に係る監査基準(案)に根本から影響しよう。
(注2):監査委員に財務専門家を
”財務報告に関する内部統制”では、複雑化する会計基準に対応できる会計・財務専門家を監査委員会に一人必要とする米国、カナダ、英国、中国のコーポレート・ガバナンス原則を導入することが肝要。日本では監査役や監査委員に会計・財務の専門家が要求されておらず適正な財務報告を担保するには弱い。
実施基準案の米国との相違点を、「基準案のポイント」に、金融庁がまとめている。これは、2007年1月30日開催の第1回我が国金融・資本市場の国際化に関するスタディグループの資料の中で明らかにしている。(基準案のポイント 参照)
小規模企業といえども、内部統制のフレームワークを変更するものではない。
| COSO内部統制の定義及び3つの目的 |
|
内部統制は、以下の範疇に分けられる目的の達成に関して合理的な保証を提供することを意図した、事業体の取締役、経営者およびその他の構成員によって遂行されるプロセスである。 |
AU Section 319
内部統制の目的を達成するため、経営者は、内部統制の基本的要素が組み込まれたプロセスを整備し、そのプロセスを適切に運用していく必要がある。それぞれの目的を達成するには、すべての基本的要素が有効に機能していることが必要であり、それぞれの基本的要素は、内部統制の目的のすべてに必要になるという関係にある。
| COSO内部統制の5つの構成要素 |
| ■統制環境 (control environment) ■リスクの評価 (risk assessment) ■統制活動 (control activities) ■情報と伝達 (information and communications) ■モニタリング(monitoring) |
注意:日本の基準は「ITの利用(use of IT )」を含めて6つの要素としている。
内部統制の基本的要素
内部統制の基本的要素とは、内部統制の目的を達成するために必要とされる内部統制の構成部分をいい、内部統制の有効性の判断の規準となる。
(1) 統制環境
統制環境とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤をいう。
統制環境としては、例えば、次の事項が挙げられる。
@ 誠実性及び倫理観
A 経営者の意向及び姿勢
B 経営方針及び経営戦略
C 取締役会及び監査役又は監査委員会の有する機能
D 組織構造及び慣行
E 権限及び職責
F 人的資源に対する方針と管理
(注) 財務報告の信頼性に関しては、例えば、利益計上など財務報告に対する姿勢がどのようになっているか、また、取締役会及び監査役又は監査委員会が財務報告プロセスの合理性や内部統制システムの有効性に関して適切な監視を行っているか、さらに、財務報告プロセスや内部統制システムに関する組織的、人的構成がどのようになっているかが挙げられる。
(2) リスクの評価と対応
リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。
@ リスクの評価
リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。
リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。
A リスクへの対応
リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。
リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択する。
(注) 財務報告の信頼性に関しては、例えば、新製品の開発、新規事業の立ち上げ、主力製品の製造販売等に伴って生ずるリスクは、組織目標の達成を阻害するリスクのうち、基本的には、業務の有効性及び効率性に関連するものではあるが、会計上の見積り及び予測等、結果として、財務報告上の数値に直接的な影響を及ぼす場合が多い。したがって、これらのリスクが財務報告の信頼性に及ぼす影響等を適切に識別、分析及び評価し、必要な対応を選択していくことが重要になる。
(3) 統制活動
統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。
統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内のすべての者において遂行されることにより機能するものである。
(注) 財務報告の信頼性に関しては、財務報告の内容に影響を及ぼす可能性のある方針及び手続が、経営者の意向どおりに実行されていることを確保すべく、例えば、明確な職務の分掌、内部牽制、並びに継続記録の維持及び適時の実地検査等の物理的な資産管理の活動等を整備し、これを組織内の各レベルで適切に分析及び監視していくことが重要になる。
(4) 情報と伝達
情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう。組織内のすべての者が各々の職務の遂行に必要とする情報は、適時かつ適切に、識別、把握、処理及び伝達されなければならない。また、必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内のすべての者に共有されることが重要である。
一般に、情報の識別、把握、処理及び伝達は、人的及び機械化された情報システムを通して行われる。
@ 情報
組織内のすべての者は、組織目標を達成するため及び内部統制の目的を達成するため、適時かつ適切に各々の職務の遂行に必要な情報を識別し、情報の内容及び信頼性を十分に把握し、利用可能な形式に整えて処理することが求められる。
A 伝達
イ. 内部伝達
組織目標を達成するため及び内部統制の目的を達成するため、必要な情報が適時に組織内の適切な者に伝達される必要がある。経営者は、組織内における情報システムを通して、経営方針等を組織内のすべての者に伝達するとともに、重要な情報が、特に、組織の上層部に適時かつ適切に伝達される手段を確保する必要がある。
ロ. 外部伝達
法令による財務情報の開示等を含め、情報は組織の内部だけでなく、組織の外部に対しても適時かつ適切に伝達される必要がある。また、顧客など、組織の外部から重要な情報が提供されることがあるため、組織は外部からの情報を適時かつ適切に識別、把握及び処理するプロセスを整備する必要がある。
(注) 財務報告の信頼性に関しては、例えば、情報について、財務報告の中核をなす会計情報につき、経済活動を適切に、認識、測定し、会計処理するための一連の会計システムを構築することであり、また、伝達について、かかる会計情報を適時かつ適切に、組織内外の関係者に報告するシステムを確保することが挙げられる。
(5) モニタリング
モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある。
@ 日常的モニタリング
日常的モニタリングは、内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいう。
A 独立的評価
独立的評価は、日常的モニタリングとは別個に、通常の業務から独立した視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取締役会、監査役又は監査委員会、内部監査等を通じて実施されるものである。
B 評価プロセス
内部統制を評価することは、それ自体一つのプロセスである。内部統制を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要素を予め十分に理解する必要がある。
C 内部統制上の問題についての報告
日常的モニタリング及び独立的評価により明らかになった内部統制上の問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に情報を報告する仕組みを整備することが必要である。この仕組みには、経営者、取締役会、監査役等に対する報告の手続が含まれる。
(注) 財務報告の信頼性に関しては、例えば、日常的モニタリングとして、各業務部門において帳簿記録と実際の製造・在庫ないし販売数量等との照合を行うことや、定期的に実施される棚卸手続において在庫の残高の正確性及び網羅性を関連業務担当者が監視することなどが挙げられる。また、独立的評価としては、企業内での監視機関である内部監査部門及び監査役ないし監査委員会等が、財務報告の一部ないし全体の信頼性を検証するために行う会計監査などが挙げられる。
「財務報告に係る内部統制の評価及び監査の基準のあり方について」by 企業会計審議会内部統制部会(平成1 7 年1 2 月8 日)より
日本の内部統制の目的には「資産の保全」が追加され4つの目的とされ、構成要素には「ITへの対応」が加えられ6つの基本的要素とされている。
米国の基準では、「資産の保全」は財務報告の信頼性および事業活動の有効性・効率性に含まれるとし(AU319 .13)、「ITの利用(use of IT)」は、他の5つの構成要素のすべてに影響するとして別項目として取り扱っている(AU319 .16~.20)。
内部統制の目的を達成するためには、構成要素のどこを整備・機能させるかの関係を示し、かつ、会社組織・事業の全体がサポートしなければ、内部統制目的の達成を実現できない関係を図示したものが下記のCOSOキューブである。
 |
Objectives(目的): ・Financial Reporting(財務報告) ・Operations(事業活動) ・Compliance(法令等遵守) Components(構成要素): ・Control Environment(統制環境) ・Risk Assessment(リスク評価) ・Control Activities(統制活動) ・Information and Communications(情報と伝達) ・Monitoring(モニタリング) Entity(事業体): ・Functions(機能) ・Units(構成単位) COSOから引用している米国監査基準AU319 .8より |
注意:日本の内部統制の目的には「資産の保全」が追加され4つの目的とされ、構成要素には「ITへの対応」が加えられ6つの基本的要素とされている。
米国の基準では、「資産の保全」は財務報告の信頼性および事業活動の有効性・効率性に含まれるとし(AU319 .13)、「ITの利用(use of IT)」は、他の5つの構成要素のすべてに影響するとして別項目として取り扱っている(AU319 .16~.20)。
 |
米国の基準では、資産の未承認の取得、使用、処分に対する「資産の保全(Safeguarding of Assets)」の内部統制は財務報告の信頼性および事業活動の有効性・効率性に含まれる(AU319 .13) |
COSOは、小規模会社の定義を決めるものではないとしても、適用する会社の小規模会社は以下のものとしている。
・
事業ラインが僅かであったり、生産ラインが僅かである
・
市場が地域的に限られていたり、販売ルートが限られている
・
事業の主要な所有者が経営のリーダーシップを持っている
・
少ない経営者が広範囲の管理を行っている
・
複雑でない取引工程・手順である
・
少数の人たちで広範囲の業務をこなしている
・
法律、人事、会計及び内部監査のような職位に能力が限られている
注意:日本のように大企業(資本金5億円以上、負債200億円以上)中小企業を資本金等で一律に区分していない。
上場会社の経営者および利害関係者(Stakeholders)は、特に小規模企業は、サーベンスオクスレー法404条の適用に関して発生する費用に非常に敏感である一方、そこから得られる便益には無関心である。財務報告が不正確なことから生ずる影響の測定が難しいにもかかわらず、企業の誤謬による財務報告に対する市場の反応は、企業の大小の規模に関係なく、不正確な報告に対して許すことはない。
最も重要な便益は、企業の革新や企業の成長を支える資本を調達する資本市場への参加能力を強化することである。他の便益は、組織の中で一貫したメカニズムなかで経営者の意思決定をサポートする信頼できタイムリーな情報がある。
小規模企業の特徴は、コスト効率の良い内部統制のために大きな挑戦をしなければならないことである。
その挑戦は、次のことである;
・
職務の適切な分離(Segregation of duties)を実行するために十分な資源を入手する
・
経営者が統制を無視する(マネジメント・オーバーライドの)危険な機会を制圧する経営者の能力
・
取締役会や監査委員会が効果的に機能するために、要求される財務報告及びその他の専門性を持った人の募集
・
会計や財務報告に関する十分な経験や技能を持った人の募集や雇用の継続
・
経営者が、会計や財務報告に十分な焦点を当てられるように、事業活動から注意を注ぐ
・
限られた技術的資源で、コンピュータ情報システムに関する適切な管理を維持する
すべての会社は、財務報告に関する内部統制の構築と報告に追加コストがかかり、そのコストは小さな会社にとっては相対的に高い可能性がある。それでも、資源が求められるが、小規模事業は、通常この挑戦に応ずることができる、そして、合理的にコスト効率の良い方法で効果的な内部統制を達成することに成功することができる。これは、いろいろな方法で達成される。このガイダンスの中に概説している。今日すでに多くの小規模会社の中に存在し、経営者が内部統制の効果を考慮する際に「信用を得ることができる」方法がそれである。
多くの小規模事業は、会社の創設者または、その他のリーダーによって、支配される。会社にその成長と他の目的を達成するのを可能にする一方で、この小規模事業のポジションは、財務報告に対する効果的な内部統制に多く貢献することができる。その事業、プロセス、一連の契約上の約束、ビジネス・リスクなど、ビジネスの異なった側面の深い知識は、財務報告システムによって作成される報告書の中に期待されるものをリーダーに知らせることができ、予期しない差異が表面化したときに必要に応じてフォローアップするのを可能にする。
典型的な小規模会社は、より複雑ではないビジネス構造で相対的に直接的にビジネスを行っており、取締役はビジネス活動についてより深い知識を得ることができる。取締役は、その会社の発展に密接に関係しているかもしれなく、歴史的展望を強く持つかもしれない。たびたび明らかに(exposure)されること、および、広範囲にわたる経営者との頻繁なコミュニケーションは、取締役会とその監査委員会を財務報告に対する監視責任を実行する上で非常に効果的な方法で助けとなる。
資源の制約は、従業員の数を制限するかもしれない。これは職務の分離に関する心配が生ずる恐れが時としてある。しかし、経営者は、潜在的な不適切さを補償するためにとるべき行動がある。これらは、経営者が詳細な取引のシステム報告をリビューすることを含んでいる。根拠となる文書のリビューのために取引を抽出する、定期的な実地棚卸のカウントを監督する;設備やその他の資産を会計記録と比較する;勘定残高の調整をリビューしまたは個別にそれらの手続きを行う。多くの小規模会社において、経営者はすでにこれらを実行している、そして、信頼できる報告や信用を支えている他の手続きは、効果的な内部統制に対する彼らの貢献と考えられなければならない。
限られた内部の情報技術資源の現実は、しばしば、他の者が開発・維持したソフトウェアの使用を通して扱われる。これらのパッケージは、制御された実施と操作をまだ必要とする、しかし、社内の開発されたシステムに関連するリスクの多くは避けられる。プログラム改修が開発者会社だけによってされる限り、プログラムの改修管理は限られている。一般的には、小規模会社の人は、未許可の修正をするための技術的な専門知識が欠如している。そのような市販のパッケージもまた、どの従業員が指定されたデータをアクセスすることができるか、修正することができるかについて、また、データ処理の完全性と正確性のチェックを実行して、関連したドキュメンテーションを維持する、など統制のために埋め込まれた設備の形であり、利点を持っている。
更なる利点は、業務の整合性を改善することができて、調整を自動化することができて、経営者のリビューのために例外の報告を容易にすることができて、業務の適切な分離をサポートできるいろいろなビルトイン・アプリケーション統制とともに来るソフトウェアを利用することによって得られることができる。
監視(モニタリング)の要素は、フレームワーク(内部統制の枠組み)の重要な一部であり、ビジネスを行う際に経営者によって型通りに実行される広範囲にわたる活動をしているところは、内部統制システムの他の構成要素を機能させるため、フィードバックすることができる。多くの小規模事業の経営者は、規則正しくそのような手続きを実行するが、必ずしも十分な「信用」を内部統制の効果に対する彼らの貢献と、考えなかった。これらの活動(通常,手で実行されて、時々コンピュータ・ソフトウェアでサポートされる)は、内部統制を設計して、評価する際に充分に考慮されなければならない。
別の観点から、活動をモニターすることは効率を促進することができるもう一つの方法がある。内部統制を評価して報告する最初の年以後、多くの会社は、費用節約することがあれば2年目の評価プロセスを繰り返さない。
異なるアプローチは、しかし効率を促進させることができる。すでに組み込まれている監視活動に集中することによって、または、多少の追加的な努力を加えることによって、経営者は、より詳細なテストを目標とするべきか洞察を得て、前年度以降の財務報告システムの重要な変更を確認することができる。効果的な内部統制のために5つの全ての構成要素が適切で、効果的に働いていなければならない、そして、各構成要素のいくらかのテストが必要な間、非常に効果的なモニター活動が他の構成要素の中の特定の欠点を相殺することができて、かつ、結果として生じる全体的な効率性による評価作業の目標をはっきりさせることができる。
上記を考慮することに加えて、会社は、会社の活動と状況に直接適用できる財務報告目的だけに集中し、内部統制に対してリスク・アプローチをとり、正しくドキュメンテーションの大きさを設定し、統合したプロセスとしての内部統制を見て、かつ、内部統制の完全性を考慮することによって、内部統制の設計をし、実行し、評価する際に、追加の効率を得ることができる。
COSOのフレームワークでは、企業は、はじめに適切な財務報告の目的を設定しなければならないとしている。財務報告の目的は、高いレベルで信頼できる財務諸表を作成することである。そして、それは財務諸表が重要な誤謬がないという合理的保証を達成することを含む。この高水準目的から、経営者は、会社の事業活動と状況、および会社の財務諸表と情報開示に適正に反映されることに関連がある目的を確立する。これらの目的は、規制当局の要求または、経営者がその目的を設定するとき、取入れる他の要因によって影響されるかもしれない。
効率は、直接事業活動に関連する目的や、財務諸表に重要な活動と状況に関連がある目的だけに集中することによって得られる。経験では、会社の財務諸表から始まって、財務諸表に重要な影響を及ぼす事業活動、工程および出来事に関する目的を確認することによって、最も能率的に達成できることを示している。このように、その会社の財務報告の信頼性に何が関連しているのかに注意を注ぐことである。
経営陣がいくつかの点においてリスクを考慮する一方、全体的な考慮は、信頼できる財務報告に対するリスクを含む重要な目的へのリスクである。リスク・ベースとは、財務報告の信頼性に潜在的に影響する量的で質的な要因に集中することを意味することであり、財務諸表作成に関連して間違える取引処理やその他の活動を特定することを意味する。重要な目的に集中することによって、経営者は必要とされるリスク度の評価の範囲と深さを決めることができる。たびたび、リスクは、内部統制を初めに設計して、実行する前後関係において考慮される、そこで、目的へのリスクは特定されて、リスクがどのように管理されなければならないかについて決定することの根拠を作り上げるために分析される。他には、評価する前後関係において、内部統制が目的に対するリスクを和らげることに効果的かどうかということである。
内部統制の効果を評価する状況では、時々、「典型的な」組織にふさわしい統制の一般的なリストを使って内部統制を考慮する傾向がある。質問書または書式の中のこれらのツールが役に立つかもしれない、意図しない結果は、その経営者が、「標準的」か「典型的」な統制に焦点を当てる。それは、会社の財務報告の目的やリスクに関係していない。 問題は、会計システムの詳細から開始し、プロセスの実態が信頼できる財務報告を成し遂げることに関連したかどうかに関係なく、極端に深く文書化する。これは、それらがいることがありえるので、そのようなアプローチが役に立つはずではないとは言えない。しかし、たとえどんなアプローチが行われても、会社の事業活動と状況に特有の注意が、経営者が確立した目的に向けられているとき、効率は得られる。
ビジネス・プロセスと手続きおよび内部統制システムのその他要素のドキュメンテーションは、多くの理由から開発されて、維持される。事業を行う上で要求される実務に一貫性を促進することも一つである。効果的なドキュメンテーションは、何をすべきで、どうコミュニケーションすべきかを助ける。ドキュメンテーションのもう一つの目的は、新しい人員を訓練する際に、他の従業員の再教育またはリファレンス・ツールとして助けとなる。ドキュメンテーションは、内部統制の有効性についての報告に証拠を提供する。
ドキュメンテーションのレベルと内容は、会社により大きく異なる。確かに、大きい会社は、通常、文書化へのより多くの業務があり、財務報告プロセスの中のより大きい複雑さを持っている、したがって、より小さい会社より大規模なドキュメンテーションを持つことが必要であるとわかる。小規模会社は、たびたび形式的なドキュメンテーション(例えば徹底的な方針マニュアル、システム・フローチャート、職務内容説明書、など)の必要性が少ないことがわかる。小規模会社においては、一般的に、少ない人で、かつ、少ない経営者の階層があり、より近い関係で働き、より頻繁な相互関係がある。そして、その全ては何が予期されるか、そして、何がされているかコミュニケーションを促進する。例えば、小規模のビジネスは、メモによって、人的資源、調達または顧客信用方針を文書化するかもしれなく、ミーティングで経営者によって提供されるガイダンスでメモを補うかもしれない。大きい会社は、よりよく人々に知らしめるためより詳細な方針(または方針マニュアル)を必要とする。
財務報告に対する内部統制が効果的であると思う必要なドキュメンテーションの範囲について疑問が生ずる。答えはある、もちろん、それは状況とニーズによる。ドキュメンテーションの若干のレベルは、常に、全ての出荷が請求されていること、定期的に調整行われていることを経営者に保証するような、その内部統制が機能していることを保証する必要がある。しかし小規模事業には、経営者はたびたび統制手続きに直接関与し、その手続きのために、経営者が統制に直接の関与を通して効果的に機能していると決定することができるので、最小のドキュメンテーションだけがあるかもしれない。しかし、信頼できる財務諸表の作成に関して行われる会計システムや関連する手続きは、よく設計され、よく理解され、適正に実行されて、経営者に情報提供されなければならない。
経営者が、規制当局、株主または第三者に財務報告に関する内部統制の設計・運用が効率がよいと主張しているとき、経営者は、個人のリスクのより高いレベルを受け入れて、その主張をサポートする重要な制御活動と、会計システムの中に主要なプロセスのドキュメンテーションを典型的に要求する。したがって、経営者はそのドキュメンテーションがその主張を適切にサポートしているかどうか決定するためにリビューする。必要とされるドキュメンテーションの量を考慮する際に、ドキュメンテーションの内容と範囲は、会社の規定当局の要求事項によって影響されるかもしれない。これは、ドキュメンテーションがより形式的であるか、形式的でなければならないということを意味しているのではなく、統制が機能している証拠を必要としていることを意味している。
それに加えて、外部の監査人が内部統制の効果を証明するとき、経営者は、監査人にその主張に対するサポートを提供することになっている。そのサポートは、統制が正しく設計され、効果的に機能しているという証拠を含んでいる。統制が正しく機能しているという主張を支えるドキュメンテーションの内容と範囲を考慮することで、外部監査人は監査証拠として使用する。
方針と手続きが非公式で文書にされていない例が、まだあるかもしれない。人が規則正しくそれらの統制をしたことを示すビジネスの普通の行為を通して、経営者が証拠を得ることができる所では、これは適切かもしれない。しかし、統制プロセス(例えばリスク評価)が、プロセスと経営者の分析を通じたドキュメンテーションなしでは、CEOまたはCFOの心において、完全に実行されることができるというわけでないということを心に留めておくことが重要である。このガイダンスの後ろに含まれる例の多くは、経営者がビジネスの普通のコースを通して証拠を収集することができる方法を図示する。
内部統制のドキュメンテーションは、ビジネス・ニーズに応じなければならなくてはならない、且つ、状況に釣り合わなければならない。5つの内部統制の構成要素の設計と機能の効果をサポートするドキュメンテーションの範囲は、判断の問題であって、費用対効果を考慮しなければならない。実務では、証拠の作成と保存期間は、いろいろな財務報告プロセスにはめ込まれなければならない。
内部統制のプロセスは、会社のビジネス活動および置かれている状況に関連して、財務報告目的を設定することから始まる。一旦、目的が設定されたならば、経営者は、それらの目的へのいろいろなリスクを評価して、どのリスクが財務報告において重要な誤謬となるかについて決定して、リスクが統制活動の範囲を通してどのように管理されなければならないかについて決定する。経営者は、財務報告や内部統制システムの他の構成要素のために必要とされる情報を収集し、処理し、伝える。すべて、これは、組織のトップが適正な気風をつくる必要から形作られ洗練される会社の統制環境の関連で行われる。全てがモニターされるこれらの構成要素は、統制が時を越えて正しく働き続けることを確実にするのを助ける。プロセス概観から、フレームワークの構成要素の流れの概要は、次のように表されることができる:
|
内部統制の5つの構成要素の各々は、信頼できる財務報告の目的を達成することをフレームワークの中に記述している。財務報告に対する会社の内部統制が効果的かどうかについて決定することは、判断を含む。内部統制は、財務報告の重要な誤謬を防止または予防し、かつ、見つけて、訂正するために一緒に機能する5つの構成要素を持つ。5つの構成要素が存在して、機能しているとき、経営者が財務報告書が確実に作成されるという合理的保証を持つという範囲において、内部統制は効果的であると思われる。
このガイダンスにはフレームワークの5つの構成要素に関連させて、下記20の基本原則を提示している。
| CONTROL ENVIRONMENT | 統制環境 | ||
| 1 | Integrity and Ethical Values | 1 | 誠実性と倫理的価値 |
| Sound integrity and ethical values, particularly of top management, are developed and understood and set the standard of conduct for financial reporting. | 特に最高経営管理者の健全な誠実性と倫理的な価値は、財務報告のために開発されて、理解され、行為の基準を設定する。 | ||
| 2 | Board of Directors | 2 | 取締役会 |
| The board of directors understands and exercises oversight responsibility related to financial reporting and related internal control. | 取締役会は、財務報告および関連した内部統制に関連した監視の責任を理解し実行する。 | ||
| 3 | Management’s Philosophy and Operating Style | 3 | 経営者の哲学と事業スタイル |
| Management’s philosophy and operating style support achieving effective internal control over financial reporting. | 経営者の哲学と事業スタイルは、財務報告に対する効果的な内部統制を成し遂げる支えとなる。 | ||
| 4 | Organizational Structure | 4 | 組織的な構造 |
| The company’s organizational structure supports effective internal control over financial reporting. | 会社の組織的な構造は、財務報告に対する効果的な内部統制を支える。 | ||
| 5 | Financial Reporting Competencies | 5 | 財務報告能力 |
| The company retains individuals competent in financial reporting and related oversight roles. | 会社は、財務報告と関連した監視の役割に堪能な個人を確保する。 | ||
| 6 | Authority and Responsibility | 6 | 権限と責任 |
| Management and employees are assigned appropriate levels of authority and responsibility to facilitate effective internal control over financial reporting. | 経営者と従業員は、財務報告に対する効果的な内部統制を容易にするために権限と責任の適切なレベルを割り当てられる。 | ||
| 7 | Human Resources | 7 | 人的資源 |
| Human resource policies and practices are designed and implemented to facilitate effective internal control over financial reporting. | 人的資源の方針と実行は、財務報告に対する効果的な内部統制を容易にするために設計され実行される。 | ||
| RISK ASSESSMENT | リスク評価 | ||
| 8 | Financial Reporting Objectives | 8 | 財務報告目的 |
| Management specifies financial reporting objectives with sufficient clarity and criteria to enable the identification of risks to reliable financial reporting. | 経営者は、信頼できる財務報告に対するリスクの識別を可能にするために十分な明快さと基準で財務報告目的を明確に述べる。 | ||
| 9 | Financial Reporting Risks | 9 | 財務報告リスク |
| The company identifies and analyzes risks to the achievement of financial reporting objectives as a basis for determining how the risks should be managed. | 会社は、リスクがどのように管理されなければならないかについて決定することの根拠として、財務報告目的の達成にリスクを分析し確認する。 | ||
| 10 | Fraud Risk | 10 | 不正リスク |
| The potential for material misstatement due to fraud is explicitly considered in assessing risks to the achievement of financial reporting objectives. | 不正による重要な誤った計算書の表示の可能性は、財務報告目的の達成に際してリスク評価する際に明確に考慮される。 | ||
| CONTROL ACTIVITIES | 統制活動 | ||
| 11 | Integration with Risk Assessment | 11 | リスク評価による統合 |
| Actions are taken to address risks to the achievement of financial reporting objectives. | 財務報告目的の達成に対するリスクへの対応行動がとられる。 | ||
| 12 | Selection and Development of Control Activities | 12 | 統制活動の選択と開発 |
| Control activities are selected and developed considering their cost and potential effectiveness in mitigating risks to the achievement of financial reporting objectives . | 統制活動は、財務報告目的の達成にリスクを抑止するため、コストと潜在的な効果を考慮して選択し整備する。 | ||
| 13 | Policies and Procedures | 13 | 方針と手続き |
| Policies related to reliable financial reporting are established and communicated throughout the company, with corresponding procedures resulting in management directives being carried out. | 信頼できる財務報告に関連した方針が設定され社内に伝達され、対応する手続によって、経営者の指示が実行される。 | ||
| 14 | Information Technology | 14 | 情報技術(IT) |
| Information technology controls, where applicable, are designed and implemented to support the achievement of financial reporting objectives. | 情報テクノロジー統制は、該当する場合、財務報告目的の達成を支えるために設計され実行される。 | ||
| INFORMATION AND COMMUNICATION | 情報と伝達 | ||
| 15 | Financial Reporting Information | 15 | 財務報告情報 |
| Pertinent information is identified, captured, used at all levels of the company, and distributed in a form and timeframe that supports the achievement of financial reporting objectives. | 社内の全てのレベルで、財務報告目的の達成を支える適切な情報が、確認され、収集され、活用される。 | ||
| 16 | Internal Control Information | 16 | 内部統制情報 |
| Information needed to facilitate the functioning of other control components is identified, captured, used, and distributed in a form and timeframe that enables personnel to carry out their internal control responsibilities. | 他の統制構成要素の機能することを容易にする必要な情報を、各人がその内部統制責任を実行するのを可能にする形式とタイミングで、確認され、収集され、伝達される。 | ||
| 17 | Internal Communication | 17 | 内部のコミュニケーション |
| Communications enable and support understanding and execution of internal control objectives, processes, and individual responsibilities at all levels of the organization. | コミュニケーションは、組織の全てのレベルで、内部統制の目的、プロセスと個々の責任の理解および実行に役立つようにする。 | ||
| 18 | External Communication | 18 | 外部のコミュニケーション |
| Matters affecting the achievement of financial reporting objectives are communicated with outside parties. | 財務報告目的の達成に影響を及ぼしている事項について、外部者とのコミュニケーションを持つ。 | ||
| MONITORING | モニタリング | ||
| 19 | Ongoing and Separate Evaluations | 19 | 継続的評価と個別的評価 |
| Ongoing and/or separate evaluations enable management to determine whether the other components of internal control over financial reporting continue to function over time. | 継続的評価と個別評価は、経営者に財務報告に対する内部統制の他の構成要素が時間を超えて機能し続けるかどうか判定するのを可能にする。 | ||
| 20 | Reporting Deficiencies | 20 | 欠陥の報告 |
| Internal control deficiencies are identified and communicated in a timely manner to those parties responsible for taking corrective action, and to management and the board as appropriate. | 内部制御の欠陥は適時に識別され、是正措置をとるべき責任がある担当部署や、適当な場合は、経営者および取締役会に適時・適切に伝達される。 |
横山会計事務所
公認会計士 横山 明
Tel 047-346-5214 Fax
047-346-9636
E-mail: yokoyama-a@hi-ho.ne.jp
| ●「会計・税金・財務情報(ディスクロージャー)」へ | ||
| 会計基準・財務情報開示の総合情報サイト |