【事業会社の方向け】共通統制を利用した経営者評価と監査の効率化―J-SOX編

「共通統制」なんて聞いたことがない？　そうでしょうね、今、作った言葉です。複数拠点間で共通して整備、運用されている内部統制を指しています。

---

監査法人で30年強、うち17年をパートナーとして勤めた「てりたま」です。
このnoteを開いていただき、ありがとうございます。

前回のてりたまnote「新しいグループ監査がぴたりとはまる会社とは？」の中で、米国企業には内部統制の標準化と集約が進んでいる会社が多いということに触れました。そして、次のように書いています。

米国企業のグループ監査では、米州、欧州、アジアパシフィックなどの地域単位で手続を実施することになります。
あるいは、全世界を一つの単位として実施することもあります。

これにより、子会社ごとにフルにウォークスルーし、内部統制を識別する工数を大幅に減らすことができます。
運用評価手続のサンプル数も減らすこともできるでしょう。

これをお読みいただいた方の中に、「何それ？　効率化できるの!?　もっと教えて!!」という方がいらっしゃいました。
そこで事業会社の方向けに、どのように経営者評価や監査の効率化につながるのか、2回に分けてお話しします。

今回はJ-SOX編として、経営者評価と内部統制監査の効率化について取り上げます。

「共通統制」って何？

「共通統制」は私の造語で、複数拠点間で共通して整備、運用されている内部統制を指しています。
英語の"common control"を直訳しました。（もしほかに定訳があったら、すみません）

ちなみに、「共通支配下の取引」も英語で"transaction under common control"と紛らわしいですが、こちらの"control"は「支配」を意味しています。
「共通統制」の"control"は、もちろん「統制」です。

共通統制を利用した経営者評価と内部統制監査の効率化

共通統制による効率化の例

共通統制がどのように効率化につながるかを簡単な設例で考えてみましょう。
ある会社がAからEまでの5つの拠点を持っていて、ある一つの内部統制について、毎年それぞれ25件のサンプルをテストしているとします。

全部で125件のサンプルテストを実施しています。

ある年度で、この内部統制を5つの拠点に共通しているとみなすことができれば、次のようにテストを変更することが可能です。

125件から25件に劇的に減らすことができました。
これだけでなく、ウォークスルーなど整備状況のチェックも、5拠点全部ではなく、一つか二つで足りる可能性があります。

これは、経営者評価も、監査法人の監査でも同じです。

共通統制の要件

このようにすばらしい共通統制なのですが、認められるためにクリアしないといけない要件があります。

共通統制は、もちろん私が勝手に言っていることではありません。
金融庁の実施基準（財務報告に係る内部統制の評価及び監査に関する実施基準）では、次のように規定しています。

全社的な内部統制の評価結果が良好である場合や、業務プロセスに係る内部統制に関して、同一の方針に基づく標準的な手続が企業内部の複数の事業拠点で広範に導入されていると判断される場合には、サンプリングの範囲を縮小することができる。

金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」
Ⅱ. ３. (３) ④ ロ．
（抜粋。太字は筆者）

ここで2つの要件を示しています。

• 全社的な内部統制の評価結果が良好

• 同一の方針に基づく標準的な手続が企業内部の複数の事業拠点で広範に導入されていると判断される

全社統制が良好、これは明確ですし、そりゃそうだろうなと思いますよね。
二つ目はちょっと抽象的です。次の項で説明します。

「同一の方針に基づく標準的な手続」

共通統制だと主張するためには、同一の方針に基づく標準的な手続が整備、運用されていることを監査人に説明できるようにしておく必要があります。

ここからは基準の解釈になりますが、次のような状況を説明できれば、共通統制と言ってよいと思います。（「全拠点」とは、共通統制を導入している拠点全部を指します）

• 規程、マニュアル、手順書などが判断の余地がないほど詳細なレベルで作成され、全拠点に導入されている（または、同じチームが全拠点を巡回し、同じ手続で導入されていることを定期的に確かめている）

• 同じシステムを利用しており、拠点ごとにカスタマイズされていない

• 同じ3点セット（フローチャート、業務記述書、リスク・コントロール・マトリクス（RCM））が全拠点に適用されている

• 規程類や3点セットに定められたとおりに運用されていることを確かめている

最後の点は、経営者評価のサンプルテストで確かめることができるかもしれません。
その場合は、一つひとつのサンプルがリスクに対応できていること（統制目標を達成していること）を確かめるだけでは不十分で、共通統制が運用されていることも確かめないといけません。
例えば、入力データのエラーチェックのために、システムから出てくるエラーリストを使うことになっているのに、ある拠点では全件を目で見てチェックしている場合、同じリスクには対応できていても「共通」とは言えません。

シェアード・サービス・センターを利用している場合

業務をシェアード・サービス・センターに集約している場合は、通常は作業を標準化していることが多いと思いますので、共通統制を識別できる可能性は高いと言えます。

ただし、シェアード・サービス・センターの中で拠点ごとのチームが編成されていたり、各拠点の希望を聞いてフレキシブルに対応していたりすると、共通統制でなくなってしまうリスクがあります。

参考

• 金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」（令和5年4月7日）

• 金融庁「内部統制報告制度に関するＱ＆Ａ」（令和5年8月31日）

• 日本公認会計士協会「財務報告内部統制監査基準報告書第１号『財務報告に係る内部統制の監査』」（2024年4月18日）

おわりに

今回は本丸のグループ監査にたどり着きませんでした💦
次回、いよいよ基準（監基報600）の改正があったグループ監査の効率化についてお話しし、全体を通じてご注意いただきたい点をまとめます。

なお念のためですが、この記事は（私のほかの記事も）分かりやすさ重視で全体的に踏み込んで書いています。この記事を参考に効率化を検討いただく際には、監査チームとは事前に十分な打ち合わせをお願いします。

---

最後までお読みいただき、ありがとうございます。
この投稿へのご意見を下のコメント欄またはX/Twitter（@teritamadozo）でいただけると幸いです。
これからもおつきあいのほど、よろしくお願いいたします。

てりたま