« 金融庁 個人情報保護法Q&A | Main | SOX法改正? »

2007.10.03

金融庁 内部統制報告制度に関するQ&A

 こんにちは、丸山満彦です。金融庁から「内部統制報告制度に関するQ&A」が公表されていますね。。。

 
【金融庁】
・2007.10.02 「証券取引法等の一部を改正する法律の施行等に伴う関係ガイドライン(案)」に対するパブリックコメントの結果について

・・(別紙5-1) 内部統制報告制度に関するQ&A(PDF:165K)

よりぬき・・・

●全社的な内部統制を評価する際の「僅少」の考え方。。。
=====
(問3)「全社的な内部統制については、原則として、すべての事業拠点について評価する。ただし、財務報告に対する影響の重要性が僅少である事業拠点に係るものについて、その重要性を勘案して、評価対象としないことを妨げるものではない。」(実施基準Ⅱ2(2))とあるが、「僅少である事業拠点」は、具体的には、どのように判断すると考えられるか。例えば、売上高で95%に入らないような連結子会社は僅少としてはずして良いか。
(答)
財務報告に対する当該事業拠点の影響の重要性を勘案して、経営者において、必要に応じて監査人と協議して、判断されるべきものであり、その判断基準について、一概に言うことは適切でないと考えるが、例えば、売上高で全体の95%に入らないような連結子会社は僅少なものとしてはずすといった取扱いは一般的なものであると承知している。なお、決算・財務報告プロセスのうち全社的な観点で評価することが適切と考えられるものについても同様の取扱いが考えられる。
=====
「例えば、売上高で全体の95%に入らないような連結子会社は僅少なものとしてはずすといった取扱いは一般的なものであると承知している。」これは、連結子会社からはずす場合のことを言っているような気がしますが・・・「非連結子会社ははずす」ということを言いたいわけなんでしょうか???そうでもないような気がするんですけどね。。。

●評価すべき業務プロセスを選定についての考え方・・・
=====
(問6)評価範囲の決定に際して、米国では、重要な事業拠点を選定した上で、各「重要な勘定科目」について、当該重要な事業拠点における金額を合算した合計額が、連結ベースの当該科目の金額の一定割合(例えば、概ね2/3)に達しないような場合には、当該一定割合に達するまで、各「重要な勘定科目」ごとに、その他の事業拠点における業務プロセスを評価対象に追加するといった実務が行われたと聞くが、我が国において同様のことを行う必要はないのか。
(答)
米国においてそのような実務が行われたことは承知しているが、実施基準では、そのような実務は採用しないこととされている。
=====
 「採用しないこととされている。」ということは、採用すれば、
・基準、実施基準に従って評価していないということになるのかなぁ・・・
それとも
・基準、実施基準に従っていないけど、結果的に評価が適正ならそれでよい
ということになるのかなぁ・・・

●部門宣誓書
=====
(問7)経営者が評価作業を行うに当たり、業務を執行する各部署の責任者から、所管する部署における内部統制が有効であるとする宣誓書を集めることによって、経営者評価の基礎とすることが考えられるが、どのように考えるか。
(答)
経営者の評価をどのように行うかは経営者において適切に判断されるべき事柄であり、業務を執行する部署の宣誓書を求めてはいけないということではないが、内部統制報告制度において、そうした宣誓書の作成を義務付けることはしていない。内部統制監査の実務においても、一般に、こうした宣誓書の存在自体が、内部統制の有効性についての有力な判断材料になるものではないと承知している。
=====
「宣誓書の存在自体が、内部統制の有効性についての有力な判断材料になるものではない」。要は、宣誓書をとっていること形式だけでは、内部統制の有効性についての心証形成には役立たない。ということを言いたいのだろうと思います。

●経営者評価における監査人の監査手続の利用
=====
(問8)経営者の評価において、従来監査人が財務諸表監査において行っている部分(実地棚卸、資産評価単価の妥当性の検討など)については、監査人の検証をもって内部統制に係る評価を行ったと考えることができないか。
(答)
監査人の検証をもって経営者評価自体に代えることは一般論としてできないが、例えば、実地棚卸や資産評価単価の妥当性の検討等に際して、会社の内部監査部門の担当者等が、実地棚卸や資産評価の担当者の監査人に対する説明やそれに対する監査人の指摘事項等を確認し、それを当該部分に係る内部統制の評価手続において利用するといったことはありうると考えられる。
=====
 私も、監査人の検証を確認することで、内部監査人が内部統制に係る評価を行ったことにはできないと思いますね。。。
 監査人が実施した監査手続の一部を経営者評価のための材料として利用することはできる・・・ということなんでしょうかね。。。

●経営者評価と監査の二度手間の防止策?
=====
(問9)監査人の中には、従来から、財務諸表監査の過程において、監査計画策定のために自らフローチャート等を作成し、内部統制の有効性を評価しているところがある。
そのような場合、監査人の中には、内部統制報告制度への対応として、フローチャート等の作成を経営者に求めるとともに、引き続き、監査人としても財務諸表監査のためのフローチャート作成を行い、そのための情報提供等を経営者に求めるものがある。これでは作業が二重になり、無駄が生じることになるのではないか。
(答)
フローチャート等を二重に作成することが、効率的でない結果となりうることは御指摘のとおりであり、その場合には、例えば、以下のいずれかのような対応が考えられる。
(1)監査人は経営者が作成したフローチャート等内部統制の記録の信頼性を検証した上で、それを財務諸表監査にも利用する。
(2)経営者が提供する情報等を基に、監査人において、財務諸表監査のためのフローチャート等の作成が可能であるとすれば、経営者においても、当該情報等に基づき内部統制の評価を行うことが可能であると考えられる。
この場合、内部統制の評価に必要な業務プロセスに係る内部統制の整備及び運用に関する適切な記録について作成しているものがあれば、経営者において、それを利用することができる。
(注)実施基準においては、必ずしもフローチャート等の作成を求めているものではなく、会社の独自の記録等により内部統制の評価を行うことができるのであれば、それで足りるとしている。
=====
 評価される企業側からの質問に対して、監査人にあーしろ、こーしろという対応策を提示していますが・・・。ちょっと信じられない話ですが・・・。あるんでしょうね。。。

●決算・財務報告プロセスの評価時期
=====
(問11)決算・財務報告プロセスについての内部統制の評価はいつ行うことになるのか。当期の決算日以降でなければ行うことができないのではないか。
(答)
1.実施基準においては、内部統制の評価時期について、弾力的な取扱いが示されており、期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実施されることを前提に、必ずしも当期の期末日以降ではなくとも、適切な時期に評価を行うことで足りるとされている。
2.特に、決算・財務報告プロセスに係る内部統制については、仮に不備があるとした場合、当該期において適切な決算・財務報告プロセスが確保されるためには、早期に是正されることが適切であり、(期末日までに内部統制に関する重要な変更があった場合には適切な追加手続が実施されることを前提に、)前年度の運用状況や四半期決算の作業等を通じ、むしろ年度の早い時期に評価を実施することが効率的・効果的である。
=====
・整備状況の評価
及び
・四半期決算と同じ手続きに係る運用状況の評価
については、前倒し評価できますが・・・
・年度決算特有の内部統制の運用状況の評価
はどうなりますかね。。。

●IT統制の集中管理
=====
(問12) IT 統制はすべて同一のIT 基盤で集中管理する必要があるか。
(答)
実施基準は、「すべてを同一のIT基盤で集中管理すること」は求めていない。企業内にIT基盤が複数認められれば、個々のIT基盤を評価単位として、ITに係る全般統制の評価を行うこととなる。
=====
 評価が効率的にできます。。。

●IT業務処理統制と手作業による統制
=====
(問13) 業種、業態や業務プロセス等によっては、IT ではなく手作業による統制の方が適している場合もあるのではないか。
(答)
1.業種、業態や業務プロセスによっては手作業による統制の方が適していることがありうることは御指摘のとおりであり、内部統制におけるITの利用の程度は、各企業において適切に判断されるべき事柄である。
2.実施基準においても、「内部統制にIT を利用せず、専ら手作業によって内部統制が運用されている場合には、例えば、手作業による誤謬等を防止するための内部統制を、別途構築する必要等が生じ得ると考えられるが、そのことが直ちに内部統制の不備となるわけではない。」(実施基準Ⅰ2(6)②)として、ITによる対応を必ず求めているものではない。
=====
 どうせなら、実施基準の財務報告に係る全社的な内部統制に関する評価項目の例として「ITへの対応」の項目に例示している。
・経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
・経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。 
 なんかを使って、そんなこともわかっていないのなら、全社的な内部統制に不備があるのではないか???って回答してみるとか・・・

●IT全般統制の不備の場合の代替策の例示・・・
=====
(問14)ITに係る全般統制に不備がある場合には、直ちに重要な欠陥となるのか。
(答)
1.実施基準では、ITに係る全般統制は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものでは必ずしもないため、全般統制に不備が発見されたとしても直ちに重要な欠陥と評価されるものではないとされている。
2.例えば、ITに係る全般統制のうち、プログラムの変更に適切な承認を得る仕組みがないなどプログラムの変更管理業務に不備がある場合でも、事後的に業務処理統制に係る実際のプログラムに変更がないことを確認できたような場合には、稼働中の情報処理システムに係る業務処理統制とは関連性が薄いため、当該システムの内部統制は有効に機能していると位置づけることができると考えられる。
=====
 なるほど・・・。
 全般統制が有効に機能していないとIT業務処理統制やその他のIT処理が継続的に機能していることを保証できない・・・という話がされますので、まぁ、そういう話とも絡めて理解ということなんでしょうかね。。。

●期末前3ヶ月間のシステム凍結
=====
(問16)内部統制監査が受けられなくなるため、期末前3か月間はシステムを凍結するなど、内部統制の変更を行ってはならないとの議論があるが、どのように考えるべきか。
(答)
1.お尋ねの問題は、財務諸表監査とも深い関連を有し、本来、企業と監査人との適切な協議の中で無理のない段取りが選択されていくべきものであり、経営者においても内部統制の評価を的確に行うように留意する必要があるが、企業が業務の改善等の観点からシステム変更等を行うことは当該企業の判断であり、内部統制監査を実施しにくくなることをもって、期末日前の一定の期間においてシステム変更等を行うべきでないと監査人が結論づけることは適切でない。
2.期末日直前においてシステム変更等があった場合の対応については、実施基準に照らして考えれば、以下の対応が容認されているところであり、これを活用し適切な工夫が行われるべきものと考えられる。
(1)期末日直前におけるシステム変更等が財務報告に係る内部統制に重要な影響を及ぼすものでないと判断される場合には、何ら問題は生じない。
(2)期末日直前におけるシステム変更等が財務報告に係る内部統制に重要な影響を及ぼすものと判断される場合でも、経営者は、財務報告に係る内部統制の重要な変更部分についてのみ追加手続の実施を検討すれば足り、監査人は、経営者が必要な追加手続を実施していることを確認することになる(実施基準Ⅲ4(2)①ロb)。
(3)また、期末日直前の大規模なシステム変更等により、期間内に十分な追加手続を実施できない場合でも、それが基準・実施基準にいう「やむを得ない事情」に該当する場合には、経営者は、当該部分を「やむを得ない事情」によるものとして評価範囲から除外して、評価結果を表明することができる。
その際、監査人は、経営者が十分な追加手続が実施できないことにつき正当な理由が認められると判断した場合には、無限定適正意見を表明することができる。
=====
 そのとおり!!!。
 監査人目線でいうと、、、監査人はシステム変更がされようとされまいと淡々と基準に従って評価していくだけですから、監査人が困るということはないと思います。。。
 経営者目線でいえば、、、期末日直前においてシステム変更等があり、内部統制が変更され、その内部統制の経営者評価が間に合わなかった場合、「やむを得ない事情」であれば、評価範囲から除外すればよいのですよね。。。
 その結果を投資家がどう判断するかは別ですが。。。(案外、誰も気にしてなかったりするかもですね。。。)

●監査人が評価するものは???
=====
(問18)内部統制監査において、監査人が監査するのは基本的に経営者の評価結果であり、評価の手続についての詳細な検証は求められていないとの理解でよいか。
(答)
1.実施基準では監査人に対して、
①経営者が決定した評価範囲の妥当性及び
②統制上の要点の識別の妥当性を検証した上で、
③内部統制の整備状況及び運用状況の有効性に関する経営者の評価結果の妥当性
を検討することを求めている。
2.これらのうち、統制上の要点の識別の妥当性の検証は、評価手続の検証に属するものと考えられるが、実施基準では、それ以上に、内部統制の整備状況及び運用状況の有効性に関する経営者評価の検討において、監査人が経営者の評価結果を利用する場合を除き、経営者が具体的にどのような評価方法を行ったか(例えば、運用テストの具体的内容等)についての検証は求められておらず、監査人が監査するのは、ご指摘のとおり、経営者の評価結果についてである。
=====
 経営者の評価結果の妥当性を評価することが要求されていますが、監査人が①②以外にも、経営者評価結果の妥当性を評価する過程で経営者の評価手続が妥当かどうかを検証することはあるとは思いますが、目的と手段の関係でいうと、手段の一つということになるのでしょうね。。。
 ただ、経営者の評価手続が妥当であれば、監査人は経営者評価の結果の一部を監査人の検証過程に取り込むことができるので、効率的な監査ができますね。そうでなければ、監査人が経営者評価の結果を利用できないので、監査人が自らすべてのサンプルを抽出して検証しなければならないとので、経営者評価と監査で二度手間が生じるかもしれませんね。。。

●職務分掌に代わる代替的な統制の例示・・・
=====
(問20)中小規模の企業について、意見書前文に「例えば、事業規模が小規模で、比較的簡素な組織構造を有している企業等の場合に、職務分掌に代わる代替的な統制や企業外部の専門家の利用等の可能性も含め、その特性等に応じた工夫が行われるべきことは言うまでもない。」とあるが、具体的にはどういったことが考えられるのか。
(答)
1.財務報告に係る内部統制は、企業を取り巻く環境、事業の特性、規模等に応じて、整備・運用することが求められ、意見書前文では、事業規模が小規模で、比較的簡素な組織構造を有している企業等の場合には、その特性等に応じた工夫を行っていくことが考えられることを記述している。
2.例えば、事業規模が小規模で比較的簡素な組織構造を有している企業等の場合には、要員の不足等により、担当者間で相互牽制をはたらかせるための適切な職務分掌の整備が難しい場合が想定される。そのような場合には、例えば、経営者や他の部署の者が適切にモニタリングを実施する等により、リスクを軽減することや、モニタリング作業の一部を社外の専門家を利用して実施することなど、各企業の特性等に応じて適切な代替的な内部統制により対応することが考えられる。
=====
 長々と書いていますが、「職務分掌に代わる代替的な統制」の例として、
「経営者や他の部署の者が適切にモニタリングを実施する等により、リスクを軽減すること」が付加されているだけだったりして・・・

 
 
 


|

« 金融庁 個人情報保護法Q&A | Main | SOX法改正? »

Comments

問14
 「事後的に業務処理統制に係る実際のプログラムに変更がないことを確認できたような場合」というのは、どのように確認するんでしょうねぇ?
 ITを利用した業務処理統制とそれに関連するプログラムを紐付ける作業って可能でしょうか?

 例えば、大きく括って、「IT全般統制の検証の中で、購買管理システムに関してプログラム変更に不備があった」場合、「会計システム・売上システム等に不備がないので、売上業務処理統制等には影響しない」が、「購買業務処理統制内のITを利用した業務処理統制は有効に機能していない」と判断する、位のレベルで確認は取れると思うのですが…
 「購買業務処理統制における××というITを利用した業務処理統制に関連するプログラムはYYとZZである」なんていうのをいちいち識別するのは難しいというか無理と思うのですが。

 「ITに係る全般統制に不備」がある場合にのみ業務処理統制まで紐付ければよいのか?

 一方、例えばITに係る全般統制で「システム管理者に対する統制が不十分」となった場合、当該システム管理者が管理するシステムは全てNGで、関係する全てのITを利用した業務処理統制もNG、という理解でOKなのでしょうか?

 IT全般統制がNGだった場合の評価について、US-SOXの場合には「フレームワーク(A Framework for Evaluating
Control Exceptions and Deficiencies)」が出ていましたが、日本版フレームワークもどこかで出してくれないかなぁと期待するところです/他力本願。US版のフレームワークもIT部分はわかりづらいですが。

Posted by: Mulligan | 2007.10.03 23:30

Mulliganさん、コメントありがとうございます。

いつもいつも鋭い突っ込みです。。。

IT業務処理統制とIT全般統制の整理はあまり世の中でもされていない(したくない?)ので、いずれどこかでしないといけないのだろうと思っています。

Posted by: 丸山満彦 | 2007.10.04 22:03

公認会計士協会で、IT業務処理統制の雛形?を作っているとかいないとか漏れ伝わってきましたが…IT全般統制との関連まで言及していると良いですね。

Posted by: Mulligan | 2007.10.05 03:20

Mulliganさん、コメントありがとうございます。
> IT業務処理統制の雛形?を作っているとかいないとか漏れ伝わってきましたが…

そういう話もあるやに聞いていますが、

> IT全般統制との関連まで言及していると良いですね。

期待しましょう!!!
IT全般統制って何を確認しようとしているのか。。。

Posted by: 丸山満彦 | 2007.10.06 17:22

丸山さん、何時もお世話になっています。
問14ですが、実施基準で「重要な欠陥」の例として、「d.財務報告に係るITに関する内部統制に不備があり、それが改善されずに放置
されている。」とあります。 変更前は、アクセス権の問題でしたが。。。

実施基準で、「直ちに重要な欠陥」ではないとしても、代替、補完統制がなくて、改善されず放置した場合には、やはり、「重要な欠陥」となるのではないでしょうか。 
ご意見お願いできれば幸いです。
もっとも放置期間は、翌期ですかね。

(問14)ITに係る全般統制に不備がある場合には、直ちに重要な欠陥となるのか。
(答)
1.実施基準では、ITに係る全般統制は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものでは必ずしもないため、全般統制に不備が発見されたとしても直ちに重要な欠陥と評価されるものではないとされている。

Posted by: YI | 2007.10.09 23:37

YIさん、コメントありがとうございます。

> 代替、補完統制がなくて、改善されず放置した場合には、やはり、「重要な欠陥」となるのではないでしょうか。

 そういう場合もあると思います。全社的な内部統制といいますか、個々の業務プロセス以外の内部統制の不備というのは、その評価が非常に難しくて、全体として、モニタリングができているのか?とか、リスクの評価と対応ができているのか?という視点での評価になると思うんですよね。。。
 なので、一概には言えない。。。個々の状況を見ないと・・・ということになると思います。。。 

Posted by: 丸山満彦 | 2007.10.10 07:57

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 金融庁 内部統制報告制度に関するQ&A:

» 「内部統制報告制度に関するQ&A」がわからない その1 [Grande's Journal]
昨日のエントリーに関連させまして、 「「内部統制報告制度に関するQ&A」がわからない」 というタイトルで記事を作ってみました。 個人的な意見でしかないので、 そのままご利用されると「アホやないか?」 と思... [Read More]

Tracked on 2007.10.03 10:58

« 金融庁 個人情報保護法Q&A | Main | SOX法改正? »