【イベントレポート大公開】内部統制構築セミナー〜最近話題の「内部統制」について専門家が語ります!〜
先日、当社主催で「内部統制構築セミナー」を実施しました。
税理士法人つばめ 公認会計士・税理士の河村先生をお招きし、内部統制のポイントやクラウド会計を前提とした内部統制についてお話いただきました。
本記事では、当日のレポートをお届けします。
【プロフィール】
河村浩靖/税理士法人つばめ 公認会計士・税理士
2005年公認会計士2次試験合格後、新日本監査法人にて上場企業の法定監査や公益法人監査、内部統制監査・コンサルティング等の業務を行う。2010年には、税理士法人にて主に中小企業の記帳代行・税務申告や上場会社の連結決算や開示業務支援、上場準備支援等を実施。2012年に独立開業し、2017年に税理士法人つばめを設立。
2019年1月NPO法人のための会計支援アプリ「Nport」をアプリストア登録、2020年11月 クラウド監査アシスタント「kansapo」をアプリストア登録。
2020年11月17日 Nportが全国47都道府県のNPO支援組織が選ぶ第4回「社会課題の解決を支えるICTサービス大賞」の『NPO運営支援部門部門賞』と『大賞』を受賞。2020年12月16日 kansapoが「freeeアプリアワード2020 」の『大賞』を受賞。
------------------------
内部統制の全体像
会社法と金商法の内部統制
会社法の内部統制は、会社法上の大会社ー資本金5億円以上または負債額が200億円以上ーの会社に対して適用されるものです
金商法の内部統制は上場会社に適応されるもので、みなさんも一度は聞かれたことがあるであろう「J-SOX」はこちらのことですね。上場会社の場合には、どちらの内部統制も対象になると認識していただいたほうが良いかと思います。
そして、内部統制には4つの目的があると言われています。
業務の有効性・効率性
報告の信頼性
法令遵守
資産の保全
会社法の内部統制は、これら4つの目的に沿った内部統制の構築が求められます。一方で、金商法の内部統制では、「財務報告の信頼性」のみを目的としています。ただ、実際に内部統制を構築しよう、業務を改善しようとした時に、他の3つの目的を無視して構築することはほとんどないと思います。ですので、J-SOXに対応した内部統制の構築をするにあたっては、他3つの目的も併せて重要なのだとご認識ください。
ダイレクトレポーティングではない
内部統制では、有効性について会社が評価し、内部統制報告書を出すことが必要です。監査法人は、この内部統制報告書に対して監査を実施します。
J-SOXに関して言うと、監査法人が内部統制書の有効性について評価するわけではない、ということで「ダイレクトレポーティングではない」と題しました。例えば、経営者が会社の内部統制上に重要な不備があると報告書を提出した場合、監査法人がさらにチェックをします。そして、確かに不備があると認められた場合、内部統制監査報告書は「適正」ということになります。この「適正」は、内部統制報告書が有効であると言っているのではないということがポイントです。
一方で、監査法人は内部統制監査ではなく財務諸表監査も行いますので、その一環で直接内部統制の有効性について評価することはもちろんあります。
J-SOXにおける評価対象
J-SOXにおいては、どのような会社・業務プロセスを評価するかは、一番最初に決めることです。例えば、グループ会社がA〜F社と複数あり、EFが持分法適用会社だとした場合には、3つの内部統制が必要です。
まず一つ目は、全社統制で、連結売上高の95%をカバーできる対象を絞り込みます。二つ目、全社的な決算財務報告プロセス。こちらも同様に対象を絞り込みます。三つ目が業務プロセスと言われるもので、これは連結売上高の3分の2をカバーできる対象を絞り込みます。なお、これらのカバー範囲の数値基準はあくまで目安です。
全社統制とは何か
全社統制とは、「企業集団全体に関わり、連結ベースでの財務報告全体に重要な影響を及ぼす内部統制」。要するに全体の土台となる非常に重要な内部統制です。この土台が崩れてしまっていると、上に乗る他の統制も有効なのかということに疑義が出てしまいます。
ここに不備があると、開示すべき重要な不備になり得るということでもあります。実施基準においても42の項目が例示されていますので、そちらを参考にしながら、会社の状況に合わせて修正、評価を行うのが実際の取り組み方になると思います。
例えば、「経営者は信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか」といった内容があります。具体的にどのような書類が必要かということが書いてあるわけではないのですが、会社として内部統制にどう向き合っていくかを評価したり、そういった体制が整っているかを評価するという意味です。
会社として内部統制を軽視しているということであれば、業務プロセスなども構築することは難しいだろうとも言えますので、全社統制は非常に重要なものであると言えます。
全社的な財務決算報告プロセス
こちらは、決算の体制のようなものだと思ってください。規定、適切な人材が揃っているか、後は単体では締め作業や勘定科目の体系が示されているか、連結パッケージが子会社に共有されているか、決算に関連する業務できちんと統制が取れているかをチェックするものです。
特徴としては、不備があった場合に一発アウトになりかねないということです。
内部統制は不備があったとしても、期末までにその不備が改善されていれば有効だと言えるのですが、こちらに関しては不備の改善期間が中々無い場合が多いです。期末の決算監査中に不備が見つかることもありますので、こちらも非常に重要なプロセスです。
こちらは、監査法人からチェックリストの雛形をもらい、会社の状況似合わせて作ることも多くあります。
業務プロセス
こちらの場合、まず重要な事業拠点をチェックします。次に、重要勘定に係る業務プロセスを評価対象にします。重要勘定とは、売上高、売掛金、棚卸資産などですが、事業の特性によって変わってくるところでもあります。
J-SOX 何から手を付けるべきか?
上場準備中の企業が、いつから何をやるべきかという問いに対しては、個人的にはN-2期に入ったら、三点セットの作成と規定の整備状況の確認ですとか、そういったところに対しては完璧でなくても良いので、現状を整理する意味でも手を付けるべきだと思います。
その理由は次の三つです。
免除規定の誤解
上場後三年間に関しては、内部統制報告書に係る監査証明が免除されるという規定があります。会社による内部統制報告書の提出義務自体が、免除されるわけではないことがポイントです。
上場したらすぐに内部統制報告書の提出義務が発生しますので、上場前からそれができる体制を整えておくように準備をすべきだと思います。
監査でも内部統制を評価
会社は内部統制をもとに、間違いが起こらないようにチェックして財務諸表を作り、監査法人は、監査を進めるアプローチの手法として、まず会社の内部統制が有効かどうかを評価します。有効であればそれに依拠して監査手続の内容を決定する、リスクアプローチというやり方を取っています。
内部統制が有効であれば、監査の量が少なくてすむという建付けになっているので、監査を効率化するためにもやはり準備すべきところだと思います。
上場審査の対応
こちらはガイドブックでも、「上場後に必要となる財務報告に係る内部統制報告体制についても対応準備を進めていただく必要がある」と明記されています。免除規定に引っ張られる方もいらっしゃいますが、やはり準備はしておくべきです。
また、従業員の人数が増えてきてしまうと、途中から「このワークフローを使いましょう」といっても抵抗があるかなと実務的に感じています。早いうちから、自社はこういうフローで進めていますと決まっていれば、従業員もそれでやらざるを得ないですから、抵抗されないようにという目的も、N-2期から取り組む理由としてあるかなと思います。
内部統制はミスを防止してくれるものなので、従業員を守るという効果もありますので、そういった理由・意味も含めて早めの体制づくりが重要かと思います。
freeeを前提とした3点セット
※ウェビナーにご参加いただき、アンケートにご回答いただいた方には、河村先生が作られた3点セットをお送りいたしました。3点セットの具体的な内容につきましては、別途お問い合わせください。※
https://aitravel.cloud/contact/
クラウド会計ソフトfreeeを使った場合の整備状況について、こちらにまとめました。
例えば、スマート受発注という受注と発注を管理できるシステムがあり、請求書の内容をfreeeに流し込むということができるようになっています。人事労務freeeでは給与情報が取得できますし、各種アプリとAPI連携することによってシームレスに情報が連携できています。
https://www.freee.co.jp/deals/
また、freee自体に各種申請や支払依頼や経費精算のワークフローがあるので、申請承認のプロセスを容易に構築することができます。仕訳承認機能によって履歴が残るようにもなっていますので、freeeを前提とした場合、きちんと運用するだけでJ-SOX対応の土台はできたと言えるでしょう。
目的を意識する
先程、内部統制には4つの目的があるとお話しました。財務報告の信頼性という目的に関連したものかどうか、を意識しておきましょう。
例えば「受注承認はJ-SOXでは重要か(テスト対象とするか)」という質問をいただくこともあるのですが、回答としては「受注承認という統制が、財務報告の信頼性を目的としたものかどうかによる」となります。「承認」があれば統制テストの対象としたいところですが、目的は財務報告の信頼性ですので、そうでない統制に対してはJ-SOX上はテスト対象とはしないという結論になります。
受発注システムがあり、それが会計システムにつながっている場合には、受注額がそのまま売上計上になる可能性がありますので、受注額を登録時、受注承認時にチェック・統制をしている場合には、J-SOX上重要な統制となります。
もう一つ、クレジットカードを好きなように使えるのはJ-SOX上リスクになるかどうかという論点があります。こちらも、それによって財務報告の信頼性を損なうかどうかがポイントになります。極端な話、使われた内容が漏れなく会計計上されていることがJ-SOX上では重要になりますので、好き勝手に使われないようにすることは資産の保全を考える際には重要ですが、財務報告の信頼性においては、カード利用の統制はテスト対象にはしないかと思います。
一方で、財務報告の信頼性以外の目的も認識した上で、業務フローを構築する必要があります。4つの目標を切り分ける、のではなく、絡み合っていると認識して頂いたほうが良いかと思います。また3点セットを作るにあたって、他の目的に対する統制である場合には、テスト対象にしない・リスクとしては認識しないというのが重要なポイントかと思います。
リスクから認識する
よくある間違いですが、業務フローをヒアリングし、やっている統制を確認してから、その統制が潰していそうなリスクを考える、というパターンはあまり意味が無いということが多くあります。本来は、まずはリスクを認識して、そこから統制を考えるという順番であるべきです。
3点セットのうちのリスクコントロールマトリックスでも、どのようなリスクがあるか、そしてそれに対してどのような統制を取っているかを整理する表になっていますので、そちらをご覧いただきながら、「リスクありきで考える」と認識していただければと思います。
情報の転換点を抑える
先程、リスクについての話をしましたが、ではリスクはどう認識したら良いのか。抑えるべきは「情報の転換点」です。
例えば、このようなケースではどうでしょうか。
請求書が到着したら、会計システムに手入力。支払いリストをExcelで作り、振込データを一件ずつ登録して、振込をする。記帳をし、それを元に買掛金の消し込みをする。
といった作業があったとしたら、この中での情報の転換点は「請求書から会計システムに入力した時点」「システムから支払いリストをExcelで作成した時点」「振り込みデータを作成した時点」「通帳から会計システムに入力した時点」になります。
こういったところに間違いが起こるリスクがありますので、情報の転換点を捕まえて、そこにどのようなリスクがあるのかを考えると効率的にリスクを拾うことができます。
また、この場合にも「どの目的に関するリスクか」を考える必要があります。
請求書から会計システムに入力する時点では、財務報告のリスク。支払い情報や振込データを作るにあたっては、業務の有効性や効率性に関連するリスク。また、通帳の内容を会計システムに入力する時点でも、財務報告のリスクが発生していると考えられますので、入力者とは別の担当者によるダブルチェック体制を整える必要が出てきます。
MCからITACへ
MCは手作業による統制、ITACはITによる業務処理統制です。
MCのみですべてをカバーしようとすると、テスト、業務、統制自体も大変な工数になりますので、できるだけシステムを導入してITAC化したほうが良いでしょう。
ITを利用して手作業によるミスを防止すること自体が統制という考えがあり、ITACという名前になっています。チェックする役割が不要になり、テストをするときもデータを突合すれば良いので、非常に効率的に行うことができます。
できるだけMCは減らし、ITACを増やすことを意識して、3点セットを作っていただければと思います。ただ、会計システムに流した仕訳は最終的には人が確認する必要がありますので、そこはMCがどうしても残ってしまうところではあります。
kansapoで実質的なチェックを
ただ、仕訳承認を人が一件ずつチェックするのは面倒ですので、一括承認をしてしまい、形式的になりがちだという実情があるかと思います。そこを解消するためのシステムとして、私たちはkansapoを提供しています。
現状課題
予実管理、J-SOX業務監査、財務諸表のチェックをする時、それぞれの目的に応じてfreeeからデータをエクスポートして加工するという業務が発生します。これを解消するのがkansapoで、目的に応じた適切なデータを取得し、データを自動で加工して情報を抽出するというSaaSです。
機能
kansapoの機能は大きく分けて2つ、データマネジメントとデータ活用です。データを活用するためには、まずデータの整備が必要ですので、本日はデータマネジメント機能を中心にご紹介します。
まず、科目設定という画面で、チェックタグと使用するデフォルト税区分を設定できます。例えば、会議費では絶対に取引先と部門をつけたいしたいという場合には、該当のタグをチェック。仕訳でチェックが外れてしまうなどがあった場合には、仕訳チェックでエラーが出るようになっています。デフォルト税区分でも、チェックを入れた税区分以外が使われた場合には、仕訳チェックでエラーが出るようになっています。
カスタムルール、仕訳チェック、売掛金チェック
カスタムルールでは、管理したい会計のルールを設定することができ、仕訳チェック機能によってそのルールを自動でチェックすることも可能です。また、残高チェックでは、例えば売掛金で取引先のタグにチェックを入れると、そのタグ別の内訳でマイナス残高があった場合には、エラーとしてわかるようになっています。
仕訳チェックと、その結果としての残高チェックをkansapoがやってくれることによって、仕訳承認という内部統制を保管してくれるようになっています。
(freeeAPI連携待ち)内部統制対応予定
こちらはfreeeのAPI連携待ちですが、kansapoで内部統制にも対応する予定があります。
現在、仕訳帳APIに登録した方法というのが画面上では見れるのですが、データとしては取れないんですね。これが取れるようになると、請求書から作られた仕訳・支払依頼から作られた仕訳と区分けができるので、仕訳から業務プロセスを抽出できるようになります。
その上で、3点セットを作りつつ、統制テストの母集団の抽出もkansapoを使ってできるようになってくると思います。内部統制お困りの方は、ぜひご検討ください。
Q&A
Q.スマート受発注の承認機能についてお教えください。
A.スマート受発注には、まだ承認機能がありません。受発注管理は、財務報告の信頼性という点ではリスクではないのではない場合が多いだろうということで、フロー上問題にしてはいません。ただ、内部統制の他の目的に関連すると、受発注の承認は必要ですので、要望としてfreee社にはお伝えしています。
Q.MCからITACにすることによって、どのあたりがどの程度楽になるのでしょうか。
A.三つの視点がありまして、一つ目は業務をする方。この方にとっては、紙の作業から脱却できるので、かなりの工数が削減されます。二つ目は統制、チェックをする方。MCではそもそものヘッドアカウントが必要ですし、かつ目視は必ずミスが起きる可能性がありますので、その手戻りなども考えても工数がかなり削減されます。また、ITが変わりに統制してくれるという発想ですので、役割も不要になります。3つ目は統制をテストする方。紙を探し出すのは経理担当の方が多いと思いますが、データでチェックすることによって、テスト作業も、日単位での工数削減になるかと思います。
Q.freee内で支払い依頼のフローを構築する場合、MCになりますか?
A.ITACは、情報を転記するところだとかを変わってくれるイメージです。ただ、実際に支払依頼などで情報を流していくと、人による統制が最終的には必要になりますので、そこはMCになります。ただ、支払依頼で作られた情報を仕訳に流すことは、一部ITACにできるところもあると思いますので、切り出してテストをしても良いかと思います。
freeeの場合には、freeeの場合には「受託業務に係る内部統制の保証報告書」(SOC1 Type2報告書)を受領しているので、IT全般統制を有効にしやすいんですね。テストをする際には、データをランダムに25件抽出しましょうとよく言われるのですが、IT全般統制が有効なシステム上で行われているACについては、1件で良いとされています。
また、MCでは紙を探して引っ張り出してくるというのが、特に面倒なところだと思うのですが、freeeなどの会計システムではデータのため検索・閲覧がしやすいですし、システムに稟議がありますので、MCだったとしてもチェック作業自体は効率的になるかと思います。
--------------
以上、内部統制構築セミナーのレポートをお届けしました。
AIトラベルでは、今後もバックオフィスの皆様を支援するウェビナーを実施予定です。
こちらのPeatixページに随時最新情報を更新してまいりますので、ぜひご覧ください。
この記事が気に入ったらサポートをしてみませんか?