2023年04月内部統制報告制度（J-SOX2023改訂版）が15年ぶりに改訂されて内部統制が様変わりし、皆さんの会社では豊富な知識と蓄積された経験をもとに日々内部統制を進化させていることと思います。その知識と経験をいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを考えてみたいと思います。

　前回に引き続き、今回も決算・財務報告プロセス（以下「FCRP」といいます）です。

【参考となる書籍・資料】

・財務報告に係る内部統制の評価及び監査の基準（企業会計審議会・金融庁）

・財務報告に係る内部統制の評価及び監査に関する実施基準（企業会計審議会・金融庁）

・今から始める・見直す 内部統制の仕組みと実務がわかる本（浅野雅文著・中央経済社）　

・監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」（日本公認会計士協会）

【FCRPのポイント④】「個別」で評価する勘定科目がカギ③

　前々回の記事「内部統制に向き合う Part.11 -決算・財務報告プロセス①-」では、FCRPは財務報告の信頼性の結論であることとご紹介しました。また前回の記事「Part.12 -決算・財務報告プロセス②-」では、「個別」で評価する勘定科目がカギであることをご紹介しました。内部統制はすべてのプロセスへの評価（監査）を行うことで財務報告の信頼性を証明することが目的ですが、前述のとおりFCRPは財務報告の信頼性の結論です。また、FCRPは他のプロセスとは違い、経営者の意向及び姿勢が直接反映されやすい部分に関するプロセスです。実施基準にも「さらに、経営者が不当な目的のために内部統制を無視又は無効ならしめることがある。」（実施基準55ページ）の記述があります。これを観点において評価するのは、全社統制（CLC）とFCRPとなります。この観点で具体的に詳細に評価（監査）することができるのは、FCRPの個別評価です。このように考えると、現在のJ-SOXで３勘定を「機械的に適用せず」（実施基準74ページ）としていることが理解できると考えます。

　もうひとつの考え方で、内部統制の４つの目的のうち「業務の有効性及び効率性」がありますが、このうち「業務の有効性」は社内の業務が法令・社内規程・業務マニュアル等を遵守して適切かつ有効に遂行されていることと、経営・事業に関するリスクの低減を適切かつ有効に行なっていること、この両方の意図が含まれていると考えます。イメージ的には、前者の社内の業務が法令・社内規程・業務マニュアル等を遵守して適切かつ有効に遂行されていることのほうに意識が行きがちですが、内部統制の６つの基本的要素に「リスクの評価と対応」があることを忘れてはなりません。しかもこれは基本的要素の２番目にあることから考えても、内部統制の重要なポイントであることは容易に想像できると思います。このように考えますと、前回の記事の「【FCRPのポイント③】「個別」で評価する勘定科目がカギ②」項でご紹介したFCRP個別の評価の３つのアイデア（※）の趣旨がご理解いただけるかと思います。

※３つのアイデア

• ＜アイデア１＞売上高に対する売上原価＋販管費の勘定科目も評価する

• ＜アイデア２＞主要事業に関連する勘定科目全般を評価する

• ＜アイデア３＞リスクが大きい取引・非定型・不規則な取引の勘定科目に特化する

FCRP個別で評価するポイントを変えてみる

　３つのアイデアのうち１と２は、社内の業務が法令・社内規程・業務マニュアル等を遵守して適切かつ有効に遂行されていることを確認するためのものです。この２つで、いわゆる３勘定や財務報告への影響度合いの大きい勘定科目について評価することができる2023年改定以前のJ-SOXと同等の評価ができると思います。ただし、その2023年改定後のJ-SOX又は今後改定されるであろうJ-SOXのレベルであるかと言われたら難しいです。それに、意外と見逃しがちなのは非定型・不規則な取引など虚偽記載が発生するリスクが高い業務プロセスとその勘定科目です。皆さんの会社で、もし内部統制においても企業価値の向上を高めることをお考えであれば、FCRP個別の評価はこれら３つのアイデアを踏まえて評価を実施するのが理想的です。今後のJ-SOX改定でどこまでのレベルを求められるかはわかりませんが、US-SOXに近いレベルを求められるとすれば、評価範囲がいきなり全事業拠点・全勘定科目と言われたら相当大変な思いをすることになりますが、少なくとも先の３つのアイデアを実施した経験を持っていれば難しさは軽減できると思います。

　話が少し外れましたが、３つのアイデアのうち３については、FCRP個別で評価するポイントを変えてみることをお勧めします。そのポイントとは、内部統制の６つの基本的要素の中の「リスクの評価と対応」の要素です。この要素を強めることにあります。これまでのJ-SOXでは「財務報告」の言葉の印象が強いあまりに経理・会計の方に意識が強くなる傾向にありました。これを経営・事業等全般に広げることを「この要素を強める」と言い換えています。そのため、ここで必要になるのは会社のリスク管理を担う部門・委員会（以下「リスク管理部門等」といいます）の存在で、このリスク管理部門等と内部統制を担う部門、内部監査部門、事業部門、管理部門すべての連携が必要であり、重要になります。これは何を意味するかというと、全役員・全従業員が内部統制を理解して業務を遂行することが求められるということです。これは実施基準の「Ⅰ．内部統制の基本的枠組み」章「４．内部統制に関係を有する者の役割と責任」項（59ページ）に示されていることです。

（出典：実施基準59ページ）

　会社の全部門の中で、リスクの無い部門はありません。リスク管理部門等で毎期リスクの洗い出しを実施していると思いますが、この洗い出されたリスクを内部統制の統制項目に活かしているでしょうか。６つの基本的要素の中の「リスクの評価と対応」は、CLCの中で評価していると思いますが、PLC、ITGC／ITAC、そしてFCRPの統制項目に活かしているでしょうか。2023年のJ-SOX改定後は、少なくともFCRP個別の方で活かすことを想定しているものと考えます。内部統制の評価資料（チェックリスト、RCMを含む）が社外に出ることはありませんが、それはそのような評価を実施していることが前提となっているからであり、毎期末に提出する「内部統制報告書」の裏付けにもなるものですからそのような評価を実施する責任があると言っても言い過ぎではないと考えます。これらを踏まえると、内部統制の評価については「報告の信頼性」の意味でもFCRPの精度、特にFCRP個別の評価の精度を高めることが重要です。

　前回の記事ではFCRP個別の評価の３つのアイデアを挙げるなどして若干具体的な内容であったため、FCRP個別の評価の重要度合いがわかりにくかったかもしれないと思い、今回は実施基準に示されている内容を裏付けとして３つのアイデアの必要性をご紹介しました。このアイデアを皆さんの会社でどのように応用するのか、どの程度勘定科目等の範囲を広げ深掘りするかは会社の業種・事業規模等によって変わりますので、ぜひ皆さんの会社で「企業価値の向上を高めるための内部統制」の意識をもって十分にご検討いただけたら幸いです。

当社が提供するサービスとして

当社が提供する「内部統制・内部監査体制構築」サービスでは、

1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先（外部）として業務遂行いたします。（＊内部統制責任者として、社内に１名選任をお願いします。）

　この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築／再構築をご検討ください。