実務経験者が解説するIT統制の基礎 #2

初回では「内部統制とはなにか」について解説しました。
第2回ではもう少し実務的な内容に踏み込んで、「内部統制の体制・基本計画・評価範囲」について解説します。

なお、今後の解説は一般的な例で、実際には様々な例外が発生します。
内部統制は自社の業務に合わせて構築するシステムなので、決まった形や正解がないのが悩ましいところです。
あくまで基礎知識として参考にしていただき、実際の内部統制の構築・評価は監査法人とよく話し合って進めてください。

内部統制の体制

内部統制の構築にあたり、まずは社内の体制を明確にしましょう。

社内における内部統制の最終的な責任者は、経営者である代表取締役です。
また、取締役会には内部統制の監督責任が、監査役会は独立的観点から内部統制を監査・検証する責任があります。

ここまではどの会社も変わらないでしょう。
メインになるのは「内部統制担当（*）」という役割です。
内部統制担当は、内部統制の主担当として内部統制評価など内部統制に関する実務を行い、評価結果を経営者や監査法人に報告します。
* 正しくは「内部監査担当」と表記しますが、内部監査と紛らわしいので
  本連載では「内部統制担当」と表記します

体制図のサンプルはこんな感じです。

組織図のように全組織を網羅する必要はなく、内部統制に主眼を置いた体制図を作成します。
※本来は内部統制は会社全体で取り組むものですが、あくまで体制図として
　主要な役割のみを記載します

■内部統制担当の独立性

重要なのは、内部統制担当が事業部から独立している点です。
これは金融庁の『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準』（以下、実施基準）という実質的な内部統制のガイドラインとなる資料にも、「独立した視点から評価を実施する」と記載されています。

つまり、内部統制担当は事業部所属ではなく、事業と独立した部門のメンバーでなければいけないということです（兼務でもNGの場合があります）。
これは、内部統制の評価があくまでも客観的かつ独立性を持って行われるべきで、売上や利益に直結する事業部内の人間が内部統制評価を実施すると、恣意的な評価結果に繋がるリスクがあるためです。
たとえば、事業部門に所属するメンバーが内部統制の評価を実施すると、「本来は値引きの際は上長承認が必要だけど、一部急ぎの見積は上長承認を通してないので、ちゃんと上長の承認履歴が残っているものだけを証憑として提出しよう」といったように、保身のために正当な評価がされない可能性があります。

大きな会社であれば社長直下で内部監査部門が独立して存在しているかもしれませんが、まだそこまで大きくない会社であればバックオフィス部門のメンバーが内部統制担当を兼任するのが一般的でしょう。
IT統制についても、同様の理由で評価者は事業部門から独立していることが望ましいです。

内部統制の基本計画

内部統制は、会計年度単位で評価のサイクルを回します。
内部統制の大きなイベントとして、以下の4つがあります。

1.基本計画の策定
2.整備状況の評価（整備評価）
3.運用状況の評価（運用評価）
4.ロールフォワード評価（RF評価）

それぞれどのような作業を実施するのか解説していきます。
具体的にどのような成果物をアウトプットするのかサンプルがないとイメージが湧きづらいかもしれませんが、それらは後日改めて解説します。
ひとまずは、「こんなスケジュールで進むんだな」と理解しておいていただければ大丈夫です。

1.基本計画の策定
基本計画の策定は、当期における内部統制評価のはじまりです。
先に説明した内部統制の体制を今期はどうするのか。
今期の評価対象事業はどの事業なのか。
どのようなスケジュールで実施するのか。
などを検討します。

2.整備状況の評価（整備評価）
整備評価では、当期の内部統制を具体的にどのような手続きで運用・評価するかを策定します。
全社統制や各業務プロセス統制の手続きに変更点がないかを各部門にヒアリングなどで確認し、各プロセスの評価方法や評価に用いる証憑を資料に取りまとめます。
整備評価実施までに当期発生した業務を対象として、一連の業務の流れで各証憑を1点ずつ採取するウォークスルー評価という方法で評価することが一般的です。

3.運用状況の評価（運用評価）
運用評価では、整備評価で決めた手続きに従って各プロセスの評価を実施します。
運用評価実施までに当期発生した業務全体を対象として、サンプリングと呼ばれる手法で無作為に一定数の証憑をピックアップし、内部統制が正しく運用されているかチェックします。
採取する証憑の数はプロセスの実施頻度によりますが、毎日実施されるようなプロセスだと25個ものサンプルが必要になります。
そのため、通年の内部統制評価の中で最も作業ボリュームが大きいイベントです。

4.ロールフォワード評価（RF評価）
ロールフォワード評価（RF評価と略すこともあります）では、運用評価終了後から期末までの間に発生したプロセスを評価します。
12月決算の会社の場合、12月末まで待ってから運用評価を実施したのでは不備が発覚した場合の改善が決算報告（2月）までに間に合わず、決算報告に支障が発生する可能性があります。
そうならないように、10月頃に運用評価を1月〜9月分を対象として実施して大枠の評価は完了しておき、期末後に残りの10月〜12月分を対象としてロールフォワード評価を改めて実施します。
ロールフォワード評価では、運用評価後に大きな変更があったかどうかの確認し、特に大きな変更がない場合は数点の証憑の収集で完了します。

通年のスケジュールを整理すると、以下のようになります。

■内部統制年間計画の例（12月決算の企業の場合）

内部統制の評価範囲

基本計画策定の際に、当期の内部統制の評価対象事業を決定します。
これがかなり重要で、きちんと理解しておかないと「なんでもかんでも内部統制の対象になる」と勘違いしてしまいます。
新しい事業が立ち上がったりシステムを導入する度にそれらの内部統制を構築するととんでもない負荷がかかるので、評価範囲についてきちんと理解しておきましょう。

■内部統制の構成

評価範囲の説明の前に、内部統制の構成を解説します。
内部統制の中にも統制の種類がいくつかあります。
まずは以下の構成図をご覧ください。
評価対象になるかどうかの判断基準は後ほど説明します。

各統制の内容をざっくり解説します。
監査法人とのやり取りで英語の略称表記もよく使われるので、そちらも併せて記載しておきます。

【全社統制】
正式名称は「全社的な内部統制」です。
略して「全社統制」だったり、英語で「CLC（Company Level Control）」や「ELC（Entity Level Controls）」と呼ばれたりもします。
全社統制はその名の通り会社全体で取り組む統制で、内部統制の対象となった会社ごとに全社統制を構築・評価します。
「取締役会や監査役会が設けられているか」
「各種規程が定められており、従業員に周知されているか」
など、会社そのものに対する統制を定めます。

【決算・財務報告プロセス統制】
正式名称は「決算・財務報告プロセスに係る内部統制」。
英語では「FCRP（Financial Controls for the Reporting Process）」。
FCRPの評価は会社単位なので、原則として全社統制と評価対象は同じです。
「決算や会計の方針は定められているか」
「開示を漏れなく実施するためのチェックリストは作成されているか」
など、決算と開示に関する統制を定めます。

【業務プロセス統制】
英語では「BPC（Business Process Control）」。
業務プロセス統制が内部統制の一番の肝でありボリュームが大きい統制です。
業務プロセス統制は、対象範囲の業務（後述）ごとに作成します。
各事業の業務フローを資料として可視化し、各プロセスで発生するリスクがあればそれに対するコントロールを定めます。
例）
「見積の際は営業担当者が値引きを設定する」というプロセスに対して、「不適切な多額の値引きが設定されるリスク」が想定される場合、「一定額以上の値引きについては、決裁権限表に従った上長承認を必要とする」といったコントロールを置く

【IT業務処理統制】
英語ではITAC（IT Apprication Control）。
ITACは、業務プロセスの中で手作業ではなくITにより自動化されているプロセスに対して実施する統制です。
たとえば毎月の各事業の売上をスプレッドシートで手で集計するのではなく、内製した売上管理システムから自動的に集計する場合、その数字が正しく算出されていることをITACで検証する必要があります。

【IT全般統制】
英語ではITGC（IT General Control）。
IT業務処理統制と名前は似ていますが別物です。
ITACとITGCをひとくくりにして「IT統制」と呼ばれることが多いです。
IT全般統制は、業務プロセス統制で定めた業務プロセスにおいて使用されているすべてのシステムに対して、開発・運用などの管理が適切に実施されているかを検証します。
先述の例のように「見積の際は値引き金額によって決裁権限表に従った上長承認を必要とする」と定めていたおり、その承認にワークフローシステムを利用している場合、ワークフローシステムのアカウント管理・権限管理などが適切に実施されているかをIT全般統制で検証します。
また、ワークフローなど複数の業務で同じシステムを使用している場合は、IT全般統制は業務ごとではなく横断で検証します。
IT業務処理統制が有効でもそのシステムのIT全般統制が有効でない場合は不備となってしまう場合があるので、IT全般統制はIT業務処理統制を支えるための統制とも言えます。

■各統制の評価範囲

『実施基準』に記載されている評価範囲の判定基準をざっくり要約すると、以下のように書かれています。

【全社的な内部統制および決算・財務報告プロセス】
連結売上高全体の95%に含まれないような、財務報告への影響が僅少な連結子会社は対象外。
それ以外の会社はすべて対象。

【業務プロセスの評価範囲】
連結売上高の概ね3分の2程度を占める事業

文字だけだと分かりづらいので、サンプルを示します。
前期の連結売上高が1,000百万円の企業があり、各事業の売上高の内訳は以下の表の通りとします。

子会社Cが占める売上は全体の4%で基準となる5%を下回るので、全社統制および決算・財務報告プロセス統制の評価対象から除外されます。
次に、売上高が高い事業から順に並べていくと以下のようになります。
・事業A-1：30%
・事業A-2：20%
・事業B-1：20%
ここまでで計70%となり、売上全体の概ね2/3（約66.7%）を占めるため、業務プロセス統制の評価対象は上記の3事業のみとなり、それ以外の事業は対象外となります。
※毎年同じ事業が対象外になって評価されないままにならないように、
　売上比率だけでなくローテーションで主要事業を満遍なく評価対象に
　していく場合もあります

まだ売上の小さな新規事業などは対象外になることがほとんどなので、新しく事業が立ち上がる度に業務プロセス統制の対象に加える必要はありません。

なお、内部統制は期末時点で最終的な評価を行うので、今期の売上が固まるまで対象業務は確定できません。
そのため、基本計画の時点では昨年度の売上の数字を使用して評価対象の事業を判定し、運用評価や期末のタイミングなどで今期の実績・予測などの数値を用いて改めて評価範囲を見直すことが一般的です。

実施基準にも記載されているように、目安はあるものの対象範囲は機械的に適用するべきではないので、監査法人と協議の上で決定しましょう。
また、期中で事業の売上構成が大きく変わったりM&Aなどで評価対象の見直しが必要になる場合もありますので、会社全体の動きは常に情報が入ってくるようにしておきましょう。

まとめ

・内部統制担当は事業から独立していなければならない
・内部統制には、基本計画の策定、整備評価、運用評価、RF評価の
　4つの大きなイベントがある
・内部統制には、「全社統制」「決算・財務報告プロセス統制」
　「IT業務処理統制」「IT全般統制」などの統制の種類がある
・各統制の評価範囲は売上高などによって毎期判定する

今回は内部統制の体制・基本計画・評価範囲について解説しました。
評価範囲を正しく理解しておかないと、必要がないシステムまでIT統制を適用しようとして無駄な労力がかかってしまいます。
たとえば会計システムや社内決裁に使用するワークフローシステムはほぼ確実にIT全般統制の評価対象になりますが、業務フロー上に出てこないチャットやカレンダーなどのシステムはIT全般統制の対象にならないことがほとんどです。ファイルサーバーすら対象に含まれないことも多いです。
対象にならないからといってそれらのシステムのアカウント管理をザルにすればいい訳ではありませんが、「アカウント発行の際に都度承認の証跡を残す」といった内部統制のための運用までは不要です。
IdP連携して多要素認証しているかどうかなども内部統制観点では必須ではありません。もちろん不正アクセス対策や個人情報保護の観点でのリスクコントロールという意味では内部統制に関係なく実施した方が望ましいですが、内部統制監査でそこまで見られることは稀でしょう。

「内部統制を構築するから、何でもかんでもやらないといけない」
という訳ではないですし、まずは範囲を適切に把握できるようになりましょう。

次回は各統制の構築・評価で具体的にどのような成果物が必要になるのかを解説していく予定です。