「内部統制」とは?
「内部統制」とは、企業が健全な事業活動や決算報告をするための社内のルールや仕組みのことをいいます。詳細は後述しますが、たとえば、担当者が作った書類を上司がチェックするといった仕組みのことをいいます。
また、「J-SOX」とは、企業に財務情報の透明性と正確性の確保を厳しく求め、「内部統制」の整備を経営者に義務付けている法律のことをいいます。なお、「J-SOX」は、「Japanese Sarbanes-Oxley act」の略で、「日本版SOX法」とも呼ばれます。
実際には「J-SOX法」という法律はなく、「金融商品取引法」において、内部統制の構築が求められています。
まだあまりピンとこないですね、、「Sarbanes-Oxley?」というのはなんのことでしょうか。
「Sarbanes-Oxley(サーベンス・オクスリー)act」とは、アメリカの企業改革のための法律のことで、名前は当時の国会議員(サーベンスさん、オクスリーさん)に由来しています(通称「SOX法」)。
「SOX法」では、企業に財務情報の透明性と正確性の確保を厳しく求め、「内部統制」の整備を経営者に義務付けています。要は「粉飾決算」が起こらないように会社(経営者)自身がしっかりとした仕組みづくりをしてください、という法律です。アメリカのエンロン事件をきっかけに2002年に成立した法律です(J-SOXは2008年に成立しました)。
エンロン事件とは、アメリカで起きた大規模な「粉飾決算」の事例のことです。
この事例を通じて明らかになったのは、エンロン社のずさんな社内管理体制でした。このような状況を放置すると、他の企業でも同様に「粉飾決算」が起きる可能性があることから、本事件をきっかけに「SOX法」が成立することとなりました。
各企業には「内部統制」の整備が厳しく義務付けられることとなり、日本でも同様に「J-SOX法」が導入されました。
アメリカで起きた粉飾事件がきっかけで「内部統制ブーム」が起こり、J-SOX法(金融商品取引法に含まれます)が誕生しました。
なるほど。エンロン事件のようなことが起こらないように、各会社に仕組みづくりを求めているんですね。
「粉飾決算」については、以下の記事もあわせてご参照ください。
「業務プロセス」「リスク」「統制活動」の例
そのとおりです。「内部統制」では、企業の「業務プロセス」から生じうる「リスク」を「統制活動」によって低減することがポイントになってきます。
「業務プロセス」「リスク」「統制活動」とは、それぞれどのようなものでしょうか。
具体的な内容があるとイメージが湧くと思いますので、それぞれ例示を見ていきましょう。
- 購買プロセス
- 販売プロセス
- 入金/支払プロセス
- 固定資産プロセス
- 決算プロセス
- 会計伝票の登録が漏れる
- 同じ会計伝票が二重で登録される
- 架空の取引が登録される
- 金額・勘定科目・相手先等の項目が誤った会計伝票が登録される
「統制活動」は、事前にリスクを軽減する「予防的統制」と、事後的にリスクを軽減する「発見的統制」の2種類があります。
- 承認がされないと後続処理に進めないようにする(ワークフローの導入)
- 誤った内容が入力された場合、システム上エラーとなるように設定する
- システム間でデータが自動連係されるようにする(⇔人が転記作業を行う)
- チェックリストを作成し、セルフチェックを行う
- 担当者が作業した内容を上長がチェックする
- エラーレポートをシステムから出力し、定期的に確認する
「販売プロセス」において、二重にデータが登録されるという「リスク」に対して、システム間の自動連係の仕組みを作る、レポートをチェックするといった「統制活動」を行うことで、適切な会計処理が行われるようにするといったイメージですね。
「内部統制」の3点セット
そのとおりです。「プロセス」「リスク」「統制活動」という概念をしっかりと理解することがまずは重要です。
また、「J-SOX法」では内部統制を整備、運用するのみではなく、これらを「可視化(見える化)」することをを求めています。
「内部統制」を「可視化」するために「3点セット」とよばれるツールがあります。
- 業務記述書
- フローチャート
- RCM(リスク・コントロール・マトリックス)
以下、金融庁のサンプルを見ながら解説を進めていきます
(金融庁のサンプルは以下のページより引用しております)。
https://www.fsa.go.jp/news/r1/sonota/20191213_naibutousei/1.pdf
業務記述書
「業務記述書」とは、業務の流れを文章で記載した書類のことをいいます。
だれが、いつ、どうやって(手作業か、システムを利用するのか)業務を実施するのかといった内容を明確にすることが目的です。
フローチャート
「フローチャート」とは、業務の流れを図で記載した書類のことをいいます。こちらもだれが、いつ、どうやって(手作業か、システムを利用するのか)業務を実施するのかといった内容を明確にすることが目的です。
RCM
「RCM(リスク・コントロール・マトリックス)」とは、業務上の「リスク」と、それに対応する「統制(コントロール)」を一覧にした書類のことをいいます。業務プロセスにおけるリスクと対応策を一覧化することが目的です。
なるほど。透明性のある決算を行うためには「見える化」も重要ですね。
以下の記事で少し深堀りした内容を解説していますので、あわせてご参照ください。
先日、「J-SOX」の一環として、「内部統制」に関するヒアリングを受けたのですが、これらはどういったものなんでしょうか。