内部統制体制の構築と業務管理システム
ビーブレイクシステムズが提供しているクラウドERP「MA-EYES」の導入企業にアンケート調査をすると、導入目的が「IPOに向けた(もしくは上場したことにともなう)内部統制の確立」と回答する会社がとても多いです。
参考記事: |
IPOのためにERPのような業務管理システムを導入しなければならないというわけでは必ずしもありませんが、システム導入することが内部統制体制の構築に役立つことは多いです。今回は改めて内部統制の概要と業務システムの関係について考えてみようと思います。
なお本記事では、内部統制について、金融庁が令和元年に発表した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」をベースにご紹介します。
※記事内にページ数を記載していますが、こちらは上記文書の右下にて採番されているページ数を記載しています。また記事内で「実施基準」と記載している箇所は、基本的に上記文書内に含まれる実施基準のことを指します。
目次
最近のIPOの動向
まず最近の新規株式公開(IPO)の動向について確認してみましょう。
昨年2022年の新規株式上場企業数は91社でした(TOKYO PRO Mareketへの上場は除く)。2021年は125件と多かったのですが、2015年から2020年ごろは以前はおおよそ80~90社前後で推移していましたので、2022年は例年通りとも言えます。リーマンショック前と比べるとIPO件数は少なくなっていますが、それでも毎年90社前後の企業が新規上場を実現しています。
新規株式上場(IPO)を目指すためには様々な準備が必要ですが、そのうちの一つが今回のテーマである「内部統制体制の構築」です。
内部統制とは
「内部統制」という言葉は何となく知っているけど、具体的にどのようなことを指すのかはよくわからないという人も多いのではないでしょうか。
金融庁によると内部統制は以下のように定義されています。
つまり、内部統制には4つの目的があり、その4つの目的を達成するためには6つの基本的要素が必要である ということです。まずは、“4つの目的とは何か”、“目的を達成するための6つの基本的要素とは何か”を明確にしておきましょう。
内部統制の4つの目的とは
実施基準では下記の通り定義されています(29~31ページ参照)。
会社の事業目的のために会社内にある“ヒト(人的資源)、モノ(物的資源)、カネ(コスト)、トキ(時間)”などの資源を有効で効率的に使うこと、信頼性の高い財務情報を社内外に公表できること、会社や会社に属する個人が法律や規則などを遵守していること、会社が保有する資産(有形・無形問わず)を正しく取得・使用・処分することなどが内部統制の目的ということになります。
4つの目的は別々のことではあるものの、相互に関連しています。内部統制のこの4つの目的を達成するために構築した体制(仕組み)は、会社の事業を推進し、発展するためにも必要不可欠ではないでしょうか。
内部統制の6つの基本要素
次は基本要素を見ていきましょう(32~47ページ参照)。
経営の在り方などから、リスクの把握・対応方法、業務の権限範囲やチェック体制、情報の扱い方、ITについてなど、項目は多岐にわたります。最後のITへの対応については業務システムとも大きくかかわりがあるので後述したいと思います。
内部統制の役割と責任
内部統制の実施するうえで、それぞの立場に応じた役割と責任があります。立場ごとに見ていきましょう(49~51ページ参照)。
このようにそれぞれの立場によって役割や責任の範囲は異なりますが、その会社に属する人(短期や臨時で雇用されている方も含まれます)はすべて内部統制に関わることになるので、きちんと理解しておくことが大切です。
全社的な内部統制、業務プロセスに係る内部統制
財務報告に係る内部統制に関して以下の記述があります(14ぺージ)。
全社的な内部統制とは企業グループ全体が対象になる内部統制のこと、業務プロセスに係る内部統制とは日常的に行っている業務(例えば購買業務や経理業務など)のなかに組み込まれ実施される内部統制のことです。
全社的な内部統制の評価項目の例として、実施基準にはいくつか例示されています(85~87ページ)。先に述べた6つの基本要素ごとに合計42の評価項目が載っています。こちらを参考にしながら、会社の状況や事業の内容などによって、その会社に適した形で内部統制を運用する必要があります。
業務プロセスに係る内部統制のために必要な“内部統制3点セット”
業務プロセスに係る内部統制に関して、実施基準では、評価対象の業務プロセスの把握や整理のためと虚偽記載が発生するリスクやそのリスクを減らすための要点を識別するために、図や表を活用しながら、整理や記録することがいいと記載されています(70~71ページ)。この図や表の例として、“業務の流れ図”、“業務記述書”、“リスクと統制の対応”の3つの資料が挙がっているのですが、それが一般的に内部統制3点セットと呼ばれている資料になります。
金融庁が公表している内部統制報告制度に関するQ&Aでは、
経営者は、実施基準に参考例として掲載されている参考資料と同様のものをいわゆる3点セットとして作成しなければならないということではなく、3点セットを作成しない場合であっても、直ちに開示すべき重要な不備に該当するものではないと考えられる。(内部統制報告制度に関するQ&A (問32)【3点セットの作成】より)
との記載もありますが、基本的には作成しておくべき書類として考えられています。
では具体的にどのようなものなのでしょうか?実施基準に記載されている参考資料をご覧いただきながら見ていきましょう(下図)。
フローチャートと業務記述書は、業務プロセスごとに整理して記載するものです。だれがいつどこでなにをなんのためにどのようにして行うのかを、フローチャートは図で作成し、業務記述書は文章で記述します。ITシステムを使うときはそれももれなく記述しておく必要があります。
リスクコントロールマトリクス(RCM)は、財務報告の信頼性を確保するために、業務において不正や誤り、虚偽記載が行われるリスクを洗い出し、そのリスクを減らすための統制(コントロール)を対応させた表です。
どの文書も様式は決まっていないので、整理しやすい形でまとめます。
基本要素のひとつ“IT(情報技術)への対応”とは
内部統制の6つの基本要素の一つである“IT(情報技術)への対応”は、大きくIT環境への対応とITの利用及び統制の2つに分かれます。
IT環境への対応とは、会社などの組織を取り巻く様々なITの利用などに対して適切な対応をとることです(42ページ)。例えば、社会でITがどれほど浸透しているのか、会社の取引においてどれほどITが利用されているのか、ITに関して外部への委託状況はどのようになっているのかなどを考慮しておく必要があります。
ITの利用及び統制のITの利用とは、より有効で効率的な内部統制の構築するためにITを利用することです(43~45ページ)。ITにより内部統制の他の基本的要素を有効に機能させることができます。ITの統制についてはこのあと詳しく見ていきます。
IT統制とは
IT統制とは、会社で導入されているITシステムに関する統制のことを指します。
まず経営者はITの統制目標を立てる必要があります。実施基準には、有効性及び効率性、準拠性、信頼性、可用性、機密性の5項目がIT統制目標として挙げられています(45ページ)。経営者は自分でたてた目標を達成するためにITの統制を構築することになります。
IT統制には、全般統制と業務処理統制の二つに分けられます。
IT全般統制
IT全般統制とは、ITシステムの環境を保証するためのものです。この後紹介するIT業務処理統制がきちんと機能していてもそもそもITシステムにプログラムの改ざんや不正アクセスが行われたりすると、内部統制が有効であることが保証できなくなってしまいます。業務上の管理だけではなく、ITの基盤やインフラ環境などもきちんと管理する必要があるのです。
具体的には、「システムの開発、保守に係る管理」、「 システムの運用・管理」、「内外からのアクセス管理などシステムの安全性の確保」、「外部委託に関する契約の管理」などがIT全般統制として必要な内容です(46ページ)。
IT業務処理統制
IT業務処理統制とは、業務を管理するITシステムにおいて、業務のデータや情報がすべて正しく処理され、保存、管理されていることを確保することで、業務プロセスの中に組み込まれています。
具体的には、「入力情報の完全性、正確性、正当性等を確保する統制」、「例外処理(エラー)の修正と再処理」、「マスタ・データの維持管理」、「システムの利用に関する認証、操作範囲の限定などアクセスの管理」などが必要になります(47ページ)。
業務管理システムで実現するIT業務処理統制
業務管理システムは社内業務を効率化や生産性の向上などを目的に導入されることが多いですが、内部統制体制の構築のために導入を検討する会社も少なくありません。
業務管理システムとIT業務処理統制について、ビーブレイクシステムが提供しているクラウドERP「MA-EYES」を参考に見ていきましょう。
入力情報の完全性、正確性、正当性等を確保する統制
IT業務処理統制では、入力情報の完全性、正確性、正当性等を確保が必要になります。この統制を業務管理シスステムで行う場合、MA-EYESでは、例えば、業務データを入力するときに、入力必須項目に漏れがあったときにメッセージを表示し、かつ保存ができないようにすることが可能です。また入力可能な値だけを選択する形にするなど正しい値を入力できるような入力補助機能などにより正確性や正当性などを確保することができます。
例外処理(エラー)の修正と再処理
業務上のデータをもし誤ってシステムに入力してしまった場合や変更が発生した場合などは情報の修正が必要になります。その場合も修正できるようにしておく必要あります。MA-EYESでは、情報の修正はもちろん可能ですが、その場合はいつだれがどのように変更したのかがわかるような変更履歴を残したり、再度上長に情報の変更に伴う承認申請などを行うなどにより不正などが行われないように対応することができます。
マスタ・データの維持管理
正確なマスタ・データが管理されていることが統制上求められています。マスタ・データとは例えば取引先の情報格納されている取引先マスタなどがイメージがわきやすいと思います。取引先の情報は常に正しくシステム上保存され、必要な人が必要な範囲で新規追加・閲覧・修正などができるようにしておく必要があります。MA-EYESでは、権限を有するユーザのみがマスタデータを取り扱うことができるようになっています。また、売上情報の入力業務や請求データの入力業務など、担当部門がまたがっていたとしても、共通した取引先マスタデータから情報を取得し、業務を行う形になるため、業務のデータ間でマスタ・データの整合性も確保されます。
システムの利用に関する認証、操作範囲の限定などアクセスの管理
システムにログインするためのIDやパスワードなどによる認証や、必要な人に必要な範囲の業務が行うことができるようにアクセス権限などが求められています。例えばMA-EYESの場合は、IDとパスワードによってシステムにログインすることができます。ログイン後はそのユーザの権限の範囲内の機能が表示されて、また機能ごとに閲覧・入力・変更・登録・出力などの権限を細かく設定することができます。
またシステムへのアクセスログも記録が可能なので、何かあった際にログを確認することができます。
まとめ
いかがでしたか?今回は金融庁が令和元年に発表した「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」を見ていきながら、ひとひとつ解説しました。
内容が多く頭が混乱した方もいたかもしれません。本記事でざっくりと把握した後、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」を読んでいただくとより理解が深まるのではないかと考えています。少しでもお役に立てれば幸いです。
参考:
金融庁 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)
金融庁 内部統制報告制度に関するQ&A
※本記事の正確性については最善を尽くしますが、これらについて何ら保証するものではありません。本記事の情報は執筆時点(2023年2月)における情報であり、掲載情報が実際と一致しなくなる場合があります。必ず最新情報をご確認ください。
筆者プロフィール
- 新しい「働き方」やそれを支えるITツールにアンテナを張っています。面白い働き方を実践している人はぜひ教えてください!
【オンラインセミナー定期開催中】法改正、IT導入補助金、内部統制、業務の効率化など
いま解決したい課題のヒントになるかもしれません。ぜひお気軽ご参加ください!