仰星コンサルティング本田氏を招き、「IPOに必要な「内部統制」構築の勘所とは」をテーマにセミナーを開催しました（後編）

当記事はセミナーレポートの後編となります。
前編はこちらから。

IPOを目指す企業が避けて通れない課題の1つが内部統制報告制度への対応です。

この記事では、DIGGLE株式会社が仰星コンサルティング株式会社のパートナー公認会計士・本田直誉氏を招いて実施したセミナー「IPOに必要な「内部統制」構築の勘所とは」について、内容を前・後編の2回にわたりご紹介しています。

後編では、内部統制を文書化する場合のポイントや内部統制の評価単位、評価作業の流れについてのお話をご紹介します。

全社的な内部統制を文書化する場合のポイント

全社的な内部統制につきましては、実施基準で評価項目の例示がされていますので、例示項目をベースにして、チェックリスト形式で評価を行うのが一般的です。

また実施基準では、評価項目の加除修正が認められております。例えば、グループでの決裁承認権限規定、人事考課規程や研修制度などを統一するなど、中央集権的にグループ運営している場合には、親会社だけを評価することができ、実質的な評価範囲を縮小できます。

ほかにも、重要性を勘案して子会社の評価項目を加除修正することも可能ですが、監査法人と事前に相談して合意をしておく必要があるのでご注意ください。

全社的な内部統制の評価単位

チェックリストの作成の単位についてです。まず、連結全体で1つのチェックリストを作成するというものです。中央集権的にグループ運営がされている場合は、1つのチェックリストだけで作成が足ります。そのほかのケースとしまして、グループレベルになると、事業部門や地域などの単位で作成するケースとなります。3つ目に事業拠点のレベルで、子会社や支店の単位でそれぞれにチェックリストを作成していきます。

こちら以外にも、簡易的にチェックリストを作成することは可能ですが、留意事項が2点あります。1つは、各企業で組織として備えるべき機能については省略できないということです。もう1つは、子会社まで統制が及んでいることが確認できるものは省略できるということです。このポイントを押さえておけば、簡易的にチェックシートを作成することが可能となります。

全社的な内部統制の評価作業の流れ

まずテストシートの各評価項目についてです。整備運用状況についてテストを実施して、不備がある場合は不備の管理を行います。次に不備の改善をするために、不備の改善状況を確認した上で、最終的に不備が残っているかどうかを整理して、全社的な内部統制の有効性の評価を行います。内部統制報告制度はあくまで期末日時点の有効性を判断しますので、期中に不備があっても期末までに是正されていれば、有効という結論にすることが可能です。

全社的な内部統制の有効性の判断は、最終的には期末日を対象に行いますが、評価範囲の対象決定に大きく影響いたしますので、早い段階で監査法人と協議しておくことが重要です。

全社的な決算財務報告プロセスの評価方法

全社的な決算財務報告プロセスは、チェックリストを用いて、企業における連結グループの会計方針が作成されて、明確な経理手続きが確立されているかといったところを、全社的な内部統制に準じて評価していきます。

決算財務報告プロセスの全体像ですが、日々の仕訳から決算作業を終えて、連結財務諸表を作成して、最終的に有価証券報告書を作成していくプロセスですが、こちらの一連のプロセスについて評価することになります。

全社的な決算財務報告プロセスは、一つの業務プロセスでもありますので、具体的に把握された内部統制の整備運用状況の評価にあたっては、個々の内部統制を個別に評価することになります。全社的な決算財務報告プロセスを評価した結果、不備が発見された場合には、早い段階で是正を図る必要があります。

運用状況の評価は、財務諸表監査でも内部統制の評価プロセスと重なる部分が多く、期末日までに内部統制に重要な変更があった場合は、追加手続きを実施する前提で、前年度や四半期決算の決算業務をベースに、早い段階で整備状況の評価をしておくことがポイントになります。

業務プロセスに係る内部統制

業務記述書の作成およびリスク設定のポイントについてです。

まず、業務記述書作成におけるポイントです。1つ目は、取引の発生から必ず会計情報として処理されるまでの過程を網羅することです。経理部門ではなく、営業部門など、現業部門が業務記述書を作成すると、会計処理に関する業務が漏れることがあります。現業部門に業務記述書作成を依頼する場合、会計処理まで記載されるように注意する必要があります。

2つ目は、リスクや統制だけでなく、プロセスの全体像を記録することです。よくありがちなのが、統制に関する部分だけを業務記述書に記載することです。リスクや統制の設定は最後に行えばよいので、リスクをきちんと把握できるように、統制行為でなくても、プロセスの全体像が把握できるレベルで業務の内容を記載することが重要なポイントです。

3つ目は、記載内容の事実誤認がないか、ヒアリング先の現場担当者に確認依頼をすることです。ヒアリング内容を完全に理解して記録するのはとても難しいので、作成した業務記述内容に事実誤認がないか、ヒアリング先の現場担当者に確認してもらうことで、手戻りを減らせます。

4つ目は、現場担当者のヒアリング結果と現状が異なることがあるので、一連の業務に関連するエビデンスのサンプルを入手して、業務指示書と相互参照できるよう関連付けておくことです。ヒアリングした内容と実際の業務内容が違うということはよくあります。そのため、業務記述書の内容が正しいかどうかを早い段階で確認しておくことが重要です。

5つ目は、業務記述書を作成する段階で、同時並行的にフローチャートを作成することです。現場担当者に確認をとる際に、業務記述書で確認をとると文章で内容を確認する必要があるため、負担がかかってしまいます。フローチャートであれば、取引の流れが追いやすく、必要な情報に簡単にアクセスできるので、現場担当者が確認する際の負荷が少なくなるというメリットがあります。

リスクとコントロールの設定のポイント

まず、リスクの記述のポイントは、勘定科目と関連付けてアサーション（経営者が適正な財務諸表を提示するための要件）の未達成の要因について、なぜ財務報告リスクになるのか、どのように歪める可能性があるのかを明確にすることにあります。

内部統制報告制度の対象になるのは、あくまで財務報告リスクだけですので、ほかのリスクは対象外です。ただ、財務報告上のリスクだけではなく、事業上のリスクを認識して評価することが実務上よく見受けられます。例えば、売上の受注時に上長の承認を得るプロセスがあった場合、仮に承認がなかったら何が起こるのかを考えますと、例えば採算の悪い案件を受注して、赤字が出てしまうことが考えられます。財務報告上は、この取引を正しく計上すれば済む話なので、財務報告を歪めるものではないということで、このようなリスクは事業上のリスクになります。

弊社で支援させていただく場合は、必ずこのリスクは財務報告をどのように歪めるのかといったことを考えていただくようにしております。すると、話をしていくうちに担当者の方も財務報告とは関係ないリスクと気づいていただけるケースが非常に多いです。リスクの認識という入り口の段階で、本来認識しなくてもよいリスクを認識してしまうと、評価対象が増えて負荷が重くなってしまうため、注意が必要です。

2つ目に、コントロールがリスクをどのように軽減しているのか、4W1Hを意識して記述することで、テスト手続きの作成が容易になります。

3つ目に、リスクに対応するコントロールが存在しない場合は、発生可能性や影響度を考慮して、重要なリスクが存在する場合は、コントロールを整備する必要がありますし、逆に重要なリスクが存在しない場合は、コントロールの整備を省略することが可能です。内部統制報告制度は、あくまで財務報告の信頼性に重要な影響を与えるコントロールを選定して評価するとされています。そのため、認識したリスクが重要であるかどうかを判定した上で、重要なリスクを対象にコントロールを設定することになります。

ここで業務記述書やフローチャートを作成する場合に、ExcelやPowerpointを使うケースが多いと思いますが、文書化ツールもリリースされていますので、必要に応じて利用すると効率的に作業を進められます。弊社では、サン・プランニング・システムという会社のiGrafxというツールを利用しておりますが、ほかにもありますので、興味のある方は検索してみてください。

経営者評価の実施主体について

基本的に内部統制の評価は、経営者の指揮下で行う必要があります。大企業であれば専任の内部監査部署を設置できますが、株式上場を目指す会社の場合は、必要最低限の人員で上場準備を進めることが多いので、内部監査の専任者を採用するのが難しいケースが多いでしょう。そのため、ここでは上場準備会社が現実的に対応可能な例をご紹介します。

まず、一次的には経営者が内部統制の評価を行うべきですが、それは現実的ではないため、既存部署を活用することがあります。方法としては、まず専任の内部監査担当者を選ぶケースです。これが最も理想的ですが、専任部署であっても人員が限られる場合があります。

2つ目は、部門間のたすきがけを利用した経営者評価という方法です。具体的には、複数の担当者がそれぞれ所属する部署を評価しないように、評価を行う方法です。

3つ目は、社外の専門家を利用するケースです。規模が小さい上場会社でも、社外の専門家を活用して実施しているケースが見られます。

4つ目は、自己点検の結果を利用するケースです。

2つ目と3つ目では、内部監査人が直接テストをするケースもあります。すべての方法で共通するのは、最終的には独立的な立場にある内部監査人がテスト結果をレビューする必要があるということです。

部門間のたすきがけを利用した経営者評価

自らの業務を評価することにならない範囲で、経理部などが拠点を巡回して内部統制を実施するケースです。内部監査人は、評価手続の具体的な内容や評価対象期間、評価範囲やサンプル件数などの基本的な要件を明確にした上で、経理部などが実施するテストの進捗状況を定期的に検証するとともに、経理部が実施したテスト結果が依頼した基本的な内容を満たしているかどうかを確認することが求められます。

たすきがけの長所は、客観性を確保しやすいことです。短所は専門性が必要となるため、この専門性を備えた人材の確保が難しい場合があることです。基本的には内部監査人がテストの管理を行った上で、経理部などの既存の部署がテストを実施します。場合によっては、内部監査人も自らテストを実施することがあります。

自己点検を利用した経営者評価

これは簡単に説明すると、評価対象となる部署が自ら内部統制を評価して、その結果を内部監査人が評価するというものです。ポイントとしては自ら評価をするので、いわゆる自己監査になり、隠蔽が行われる可能性があるため、モニタリングをきちんと実施する必要があります。上場準備会社ですと、この自己点検を利用するケースが非常に多い印象です。

自己点検を利用するための留意点ですが、自己点検だけでは実施基準が要求する水準を満たさないので、内部監査人による独立的なモニタリングと組み合わせる必要があります。ポイントは、内部監査部門から指示することや、テスト担当者向けに研修を行ったり、レビューを実施したり、定期的に内部監査人が自らサンプルレベルでテストを実施することです。

テストする拠点をローテーション等で選定

業務プロセスの運用テストを行う際のテスト拠点のローテーションですが、多数の営業拠点や店舗がある場合は、重要度に応じてグループ分けをして、重要度に応じてローテーション期間を設定するといった方法や、重要でない僅少な拠点は、そもそもサンプルの母集団から除外してテストを行うといった方法があります。ただしこの方法を採用する場合は、監査法人と事前の協議が必要となりますので、ご注意ください。

業務プロセスに係る内部統制の運用テストの実施時期と対象期間

実施基準上は、期末日時点の内部統制の有効性を評価すればよいので、年間を通した評価は必須ではありません。ただ一方で、監査法人は会計監査を実施していて、会計監査を効率的に実施するために内部統制監査の結果を利用して、年間を通して内部統制を評価するケースが多いです。

そのため会社としては、一定期間に限定して内部統制を評価すれば足りますが、そうすると監査法人が追加で内部統制の評価を行わないといけなくなるので、現場の負担が重くなる可能性があります。そのため、現場の負担を考慮した上で、テスト対象期間を決めるのが無難です。

サンプリングの方法は、統計的サンプリングと非統計的サンプリングという方法があります。内部統制評価制度は、非統計サンプリングの選定が可能です。

サンプル件数のガイドラインですが、内部統制監査ではいわゆる「25件テスト」と呼ばれる方法の実施が求められます。こちらも運用テスト期間と同じで、会社自身は25件テストの実施は必ずしも求められていませんが、監査法人が監査する際に25件テストを実施する必要があります。現場の負担を考慮した上で、サンプル件数を決定したほうが無難です。

現場の立場に立つと、当然ながら何回もエビデンスを依頼されるよりは一回で済んだ方が負担にならないので、それを考えた上で、サンプル件数を決定する必要があります。

以上、セミナーの内容をお伝えしました。

本田氏のお話からは、内部統制の仕組みや流れとともに、早くからのしっかりとした対策が不可欠であることがお分かりいただけたのではないでしょうか。

もちろん、IPO実現のためにはそのほかにもやらなければならないことが山積しています。内部統制とともに企業を悩ませるのが予実管理への対応です。

予実管理クラウドサービス「DIGGLE」は、予実管理業務の標準的なフローを提供し、着地点の差異分析が誰にでも簡単に行える経営管理ソリューションです。予実管理体制を整えたい企業のご担当者様はぜひご検討ください。

また、DIGGLE株式会社では毎月、予実管理業務に関するセミナーを開催しております。ぜひご参加ください。