全社的内部統制は、売上高だけで評価範囲を決めるものではありません。全拠点検討を出発点に、僅少性、質的リスク、発生可能性、監査人協議、内部統制報告書への反映まで体系的に整理します。
全社的内部統制は、売上高だけで評価範囲を決めるものではありません。
J-SOXでは、全社的内部統制を単純な売上高カバレッジだけで選ばず、全拠点検討から始めます。
全社的内部統制の評価範囲の決め方で最も重要なのは、業務プロセス評価のように単純な売上高カバレッジだけで選ばないことです。金融庁・企業会計審議会の内部統制基準・実施基準では、原則として全ての事業拠点を全社的な観点で評価し、財務報告への影響が僅少な拠点だけを重要性に応じて対象外にできる考え方が示されています。
次の重要ポイントは、評価範囲を決めるときに最初に押さえるべき結論をまとめたものです。読者にとって重要なのは、全社的内部統制では「どこを除外できるか」よりも「除外しても財務報告リスクを合理的に説明できるか」を確認する点です。
親会社、連結子会社、重要事業部、共有サービス、海外拠点、委託業務、IT運用、関連会社への影響を母集団に含め、金額的重要性・質的重要性・発生可能性・代替モニタリングを組み合わせて判断します。
次の一覧は、評価範囲を決める実務上の判断軸を6つに分けたものです。各項目は後続の章で詳しく扱うため、まず判断の順番と文書化すべき要素を読み取ってください。
親会社だけでなく、子会社、事業部、地域、委託先、IT、関連会社への影響まで母集団として把握します。
グループ一体で評価できる場合と、子会社、地域、事業セグメント、買収直後会社を別単位で見る場合があります。
売上高、総資産、利益、重要勘定残高、質的リスク、発生可能性を組み合わせ、比率だけで除外しません。
全社的内部統制に良好でない項目があれば、関連する拠点や業務プロセスを追加評価する方向で検討します。
2023年改訂後は、選定指標、一定割合、追加した拠点やプロセスの判断事由を説明する姿勢が重要です。
協議は有用ですが、評価範囲を決定する責任は経営者にあります。協議内容と最終判断を分けて記録します。
内部統制報告書、経営者責任、監査役等の監督、不正会計リスクが評価範囲の判断と結び付きます。
J-SOXにおける内部統制評価は、単なる経理部門のチェックリストではありません。内部統制報告書は、有価証券報告書提出会社にとって、財務報告の信頼性に関する経営者の公式な表明であり、投資家、監査人、取締役会、監査役等、金融庁、証券取引所、取引先、金融機関に対する重要な説明文書です。
評価範囲を狭くしすぎると、対象外から開示すべき重要な不備が見つかるおそれがあります。反対に、評価範囲を広げすぎると作業が形式化し、重要なリスクに監査資源を集中しにくくなります。内部統制の実効性を高めるには、「どこまで見るか」だけでなく、「なぜそこを見るか」「なぜそこを除外できるか」を経営者が合理的に説明する必要があります。
次の一覧は、評価範囲の判断が企業法務・経営の論点になる理由を整理したものです。各項目は、評価範囲の狭さや説明不足がどのステークホルダーへの説明責任につながるかを読み取るために重要です。
評価範囲、評価時点、評価手続、追加・除外の理由が、公開文書として説明できる内容になっているかが問われます。
取締役、執行役、CFO、経理責任者が、財務報告リスクをどう把握したかを説明できる必要があります。
監査役等、監査等委員会、監査委員会、取締役会は、評価範囲が過度に狭くないかを確認する立場にあります。
粉飾、横領、循環取引、期末偏重取引、架空売上、在庫過大計上などは、金額だけでなく質的リスクとして検討します。
M&A、海外子会社、新規事業、IT刷新、会計基準変更、リストラクチャリングなどは、評価範囲の見直し理由になります。
監査人との協議、監査計画、追加評価手続、訂正内部統制報告書への対応にも評価範囲の根拠が関係します。
そのため、このテーマは公認会計士や内部統制担当者だけでなく、弁護士、企業内法務、コンプライアンス担当、内部監査担当、取締役会事務局、監査役スタッフ、税務・財務担当、経営企画、M&A担当、海外管理部門にも関係します。
財務報告に係る内部統制、全社的内部統制、業務プロセス統制、評価範囲を分けて理解します。
内部統制とは、業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全という目的を達成するために、業務に組み込まれ、組織内の全ての者によって遂行される仕組みです。金融庁・企業会計審議会の基準では、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という6つの基本的要素から構成されます。
一般読者向けにいえば、内部統制は、会社が誤り・不正・法令違反・資産流出を防ぎ、正しい報告を行うための仕組みです。規程集だけではなく、承認、分掌、記録、照合、モニタリング、是正、IT権限管理が一体となった運用を指します。
J-SOXで評価対象となるのは、内部統制全般ではなく、主として財務報告に係る内部統制です。法令遵守や業務効率そのものが常に直接の評価対象になるわけではありませんが、法令違反や業務上の不備が引当金、偶発債務、減損、収益認識、棚卸資産、税金、開示事項を通じて財務報告に重要な影響を及ぼす場合は、評価範囲に入ります。
次の一覧は、J-SOXで使う主な用語の関係を整理したものです。読者にとって重要なのは、全社的内部統制が本社だけの統制ではなく、グループ全体や特定子会社・地域・事業単位の統制環境も含み得る点です。
企業全体に広く影響し、基本的には企業集団全体を対象とする統制です。経営者の姿勢、取締役会監督、グループ会計方針、内部通報、内部監査、子会社管理、IT基本方針などが含まれます。
販売、購買、在庫、固定資産、給与、原価計算、決算、税金、財務、IT処理など、具体的な取引や会計処理の流れに組み込まれた統制です。
どの会社、事業拠点、業務、勘定科目、プロセス、ITシステム、期間、統制を評価対象にするかを示します。
次の表は、評価範囲を検討するときの4つの次元を示しています。組織、統制、期間、深度を分けることで、「売上が小さいから対象外」といった粗い判断を避け、どの観点で確認が不足しているかを読み取れます。
| 次元 | 検討事項 | 実務上の問い |
|---|---|---|
| 組織範囲 | 親会社、子会社、事業部、地域、関連会社、委託先 | どの単位まで全社的観点で評価するかを確認します。 |
| 統制範囲 | 統制環境、リスク評価、情報伝達、モニタリング、ITなど | どの評価項目・統制活動を対象にするかを確認します。 |
| 期間範囲 | 評価時点、対象期間、期中評価、期末ロールフォワード | いつの状態をどの証拠で確認するかを確認します。 |
| 深度 | 質問、閲覧、観察、再実施、往査、質問書 | どの程度の手続で十分といえるかを確認します。 |
全拠点検討、僅少性の例外、3分の2の誤解、毎期見直しを整理します。
全社的内部統制は、業務プロセス評価範囲のように、まず重要な事業拠点を売上高等で選び、その拠点だけを見るという構造ではありません。実施基準は、全社的な内部統制について、業務プロセスに係る評価範囲決定手順の対象には含まれず、原則として全ての事業拠点を全社的な観点で評価することに留意するとしています。
次の割合の比較は、全社的内部統制で誤解されやすい数値の位置付けを整理したものです。棒の長さは実務でよく見る目安や例示の大きさを表しますが、読者が読み取るべき点は、どの数値も機械的な安全基準ではないということです。
実施基準は、財務報告に対する影響の重要性が僅少な事業拠点に係るものについて、重要性を勘案して評価対象としないことを妨げないとしています。ただし、これは小さい会社を自動的に見なくてよいという意味ではありません。僅少性は、金額的重要性、質的重要性、発生可能性を総合して判断します。
売上高で全体の95%に入らない連結子会社を僅少として評価対象から外す取扱いは例示されていますが、経営者が必要に応じて監査人と協議して判断するべきものです。特定の比率を機械的に適用することは避けます。
J-SOX実務でしばしば誤解されるのが、「売上高のおおむね3分の2まで見ればよい」という理解です。この考え方は、主として重要な事業拠点を選定し、業務プロセスに係る内部統制の評価範囲を決める場面で示される一例です。全社的内部統制の評価範囲をそのまま3分の2で切る基準ではありません。
次の表は、全社的内部統制と業務プロセス統制の違いを整理したものです。両者を分けて読むことで、評価範囲を狭くしすぎる典型的な誤解を避けられます。
| 検討対象 | 基本的な考え方 | 典型的な誤解 |
|---|---|---|
| 全社的内部統制 | 原則として全ての事業拠点を全社的観点で評価し、僅少な拠点だけを除外候補にします。 | 売上高上位3分の2だけを見ればよいと考えることです。 |
| 業務プロセス統制 | 全社的内部統制の評価結果を踏まえ、重要な事業拠点、重要勘定、追加リスクプロセスを選定します。 | 売上、売掛金、棚卸資産だけを見ればよいと考えることです。 |
評価範囲は、一度決めたら固定されるものではありません。長期間にわたり評価範囲外としてきた事業拠点や業務プロセスでも、必要性を毎期考慮します。評価範囲外で開示すべき重要な不備が識別された場合は、少なくともその不備が識別された時点を含む会計期間の評価範囲に含めることが適切です。
母集団、評価単位、金額的重要性、質的重要性、除外理由、評価項目、業務プロセス反映、監査人協議の順に進めます。
最初に、評価範囲に入る可能性のある母集団を定義します。ここで漏れがあると、その後のリスク評価や除外判断は不完全になります。
次の表は、母集団に含めて検討すべき対象と主な確認資料を整理したものです。組織図だけでは見落としやすい共有機能、委託先、関連会社、近時の変化を拾うために重要です。
| 区分 | 検討対象 | 主な確認資料 |
|---|---|---|
| 親会社 | 本社、管理部門、経理、財務、法務、内部監査、IT、開示 | 組織図、決裁規程、職務分掌、会計方針 |
| 連結子会社 | 国内子会社、海外子会社、製造会社、販売会社、持株会社 | 連結範囲一覧、子会社管理規程、月次報告 |
| 事業部・地域 | 事業セグメント、地域統括会社、カンパニー制組織 | セグメント情報、管理会計資料 |
| 共有機能 | シェアードサービス、グループ経理、給与、購買、IT | 業務委託契約、SLA、業務分掌 |
| 委託先 | 給与計算、会計処理、IT運用、クラウド、BPO | 委託契約、受託会社の報告書 |
| 関連会社 | 持分法適用会社、重要な合弁会社 | 持分法損益、投資残高、役員派遣状況 |
| 近時の変化 | 買収会社、新規事業、システム変更、撤退事業 | M&A資料、PMI計画、IT変更管理 |
委託業務については、委託者が責任を有し、委託業務に係る内部統制も評価範囲に含まれます。重要な業務プロセスの一部を外部委託している場合、受託会社の内部統制の整備・運用状況を把握し、評価する必要があります。
次に、全社的内部統制をどの単位で評価するかを決めます。グループ共通の統制で足りるのか、子会社、事業部、地域、買収直後会社を別単位で見るべきかを判断します。
次の表は、代表的な評価単位と適する場面を整理したものです。評価単位を分ける理由を明確にすることで、統制環境やIT運用の違いを見落としにくくなります。
| 評価単位 | 適するケース | 留意点 |
|---|---|---|
| グループ全体一体評価 | 親会社主導で会計方針、IT、決算、内部監査、子会社管理が統一されています。 | 現地独自運用がないかを確認します。 |
| 親会社+主要子会社別評価 | 子会社に独自の経理、IT、人事、決裁権限があります。 | 子会社ごとの統制環境を個別に把握します。 |
| 事業セグメント別評価 | 事業モデル、収益認識、在庫、規制、リスクが大きく異なります。 | セグメントごとの重要勘定が異なる可能性があります。 |
| 地域・国別評価 | 海外子会社、現地規制、現地会計、言語・文化差が大きい場合です。 | 現地管理者の権限、内部監査可能性、報告ラインを確認します。 |
全社的内部統制の評価範囲から除外できるかを検討する際は、まず金額的重要性を測定します。売上高だけでは、資産、見積り、資金、在庫、固定資産のリスクを拾えないことがあります。
次の表は、金額的重要性を測る代表的な指標と注意点を示しています。業種や事業特性によって見るべき指標が変わるため、複数指標を組み合わせて読み取ることが重要です。
| 指標 | 適する業種・局面 | 注意点 |
|---|---|---|
| 売上高 | 製造業、卸売、小売、サービスなど一般事業会社 | 内部売上が多い会社では歪む可能性があります。 |
| 総資産 | 不動産、投資、金融資産保有、設備産業 | 売上が小さくても資産が大きい会社を拾えます。 |
| 税引前利益・営業利益 | 利益貢献度が重要な事業、成熟事業 | 赤字・低利益拠点では過小評価になり得ます。 |
| 棚卸資産 | 製造・小売、在庫評価リスクが高い事業 | 陳腐化、評価減、架空在庫リスクを考慮します。 |
| 売掛金・契約資産 | 信用リスク、収益認識リスクが高い事業 | 回収条件、期末売上、長期契約を確認します。 |
| 固定資産 | 減損リスク、設備産業、研究開発型企業 | 事業計画・見積りの統制と関連します。 |
| キャッシュ・借入 | 資金管理、横領、財務制限条項、為替リスク | 財務部門・子会社資金管理を確認します。 |
金額が小さい拠点でも、質的リスクが高ければ評価範囲に含める方向で検討します。企業法務・コンプライアンスの視点は、ここで特に重要になります。
次の表は、質的重要性として検討すべきリスクと財務報告への影響を整理したものです。金額指標に表れにくいリスクが、どの勘定科目や開示に影響するかを読み取るために使います。
| リスク | 典型例 | 財務報告への影響 |
|---|---|---|
| 経営者の無効化リスク | ワンマン経営、親族会社的子会社、承認の形骸化 | 架空売上、費用隠し、関連当事者取引に影響します。 |
| 不正リスク | 循環取引、横領、キックバック、架空在庫 | 売上、売掛金、棚卸資産、費用、引当金に影響します。 |
| 会計見積りリスク | 減損、繰延税金資産、引当金、工事進行 | 見積りの恣意性や開示不足につながります。 |
| 法令違反リスク | 贈収賄、独禁法、個人情報、輸出管理、労務 | 偶発債務、課徴金、引当金、継続企業の前提に影響します。 |
| ITリスク | ERP刷新、権限管理不備、ログ不備、サイバー攻撃 | 取引データの完全性・正確性に影響します。 |
| M&Aリスク | 買収直後、PMI未了、会計方針不統一 | 連結修正、のれん、減損、収益認識に影響します。 |
| 海外リスク | 現地慣行、為替、税務、現地監査品質 | 子会社財務情報の信頼性に影響します。 |
| 開示リスク | 非財務KPI、契約、重要な後発事象 | 有価証券報告書、決算短信、注記の虚偽表示につながります。 |
評価範囲から除外する場合は、結論だけでなく根拠を残します。単に「売上高が小さいため除外」と書くだけでは不十分であり、金額的重要性、質的重要性、発生可能性、代替モニタリング、監査人協議、次年度見直し条件を明示します。
次の表は、除外理由を文書化するときに最低限残すべき項目です。列ごとに何を示すかを確認することで、監査対応時に説明しやすい調書になります。
| 項目 | 記載する内容 | 例 |
|---|---|---|
| 除外対象 | 会社、支店、休眠会社など具体的な対象 | A国販売子会社、B製造子会社の小規模支店、休眠会社C |
| 除外区分 | なぜ除外候補になるか | 財務報告に対する影響が僅少な事業拠点 |
| 金額的重要性 | 売上、資産、利益、重要勘定残高など | 連結売上高0.3%、総資産0.1%、税引前利益影響なし |
| 質的重要性 | 訴訟、通報、規制違反、特殊取引、重要ITなど | 重要な訴訟・通報・規制違反なし、特殊取引なし |
| 発生可能性 | 過年度指摘、内部監査結果、経理責任者交代、PMI状況 | 過年度監査指摘なし、内部監査指摘なし、PMI完了 |
| 代替的モニタリング | 除外後にどのように見守るか | 月次連結パッケージレビュー、親会社経理による分析 |
| 監査人との協議状況 | 協議の有無、コメント、追加確認事項 | 評価計画段階で協議済み、追加確認事項あり |
| 次年度見直し条件 | 再検討が必要になる条件 | 売上高1%超、重要な通報、システム変更、経営者交代 |
評価範囲を決めた後は、どの評価項目を使うかを設計します。評価項目例をそのまま機械的に使うのではなく、企業ごとの事業、組織、IT、リスクに合わせて調整します。
次の表は、内部統制の6つの基本的要素に沿って評価項目を整理したものです。どの要素が拠点別評価を必要としやすいかを読み取り、質問書や閲覧資料の設計に使います。
| 基本的要素 | 評価項目の例 | 拠点別評価が必要になりやすい場面 |
|---|---|---|
| 統制環境 | 経営者の倫理観、取締役会監督、権限・職責、人材配置 | 買収子会社、海外子会社、権限集中会社 |
| リスクの評価と対応 | 不正リスク評価、会計基準変更、法令変更、新規事業リスク | 新規事業、規制業種、急成長事業 |
| 統制活動 | 承認、職務分掌、照合、資産管理、決裁統制 | 小規模子会社、兼務が多い拠点 |
| 情報と伝達 | 会計方針伝達、内部通報、取締役会報告、子会社報告 | 言語差・時差・現地独自運用がある拠点 |
| モニタリング | 内部監査、自己点検、是正管理、監査役等との連携 | 内部監査未実施拠点、指摘未改善拠点 |
| ITへの対応 | IT方針、アクセス管理、変更管理、外部委託、セキュリティ | ERP刷新、SaaS利用、委託運用、海外IT |
全社的内部統制の評価は、それ自体で完結しません。良好でない項目がある場合、その影響を受ける業務プロセスについて評価範囲の拡大や評価手続の追加が必要になります。
次の表は、全社的内部統制の不備が業務プロセス評価にどう波及するかを示しています。どの不備がどのプロセスを追加確認させるかを読み取ることで、評価計画の説明力が高まります。
| 全社的内部統制の不備 | 業務プロセス評価への影響 |
|---|---|
| 子会社管理規程が未整備 | 当該子会社の販売・購買・決算プロセスを追加評価します。 |
| 内部監査が海外子会社に及んでいない | 海外子会社の決算・財務報告プロセスを追加評価します。 |
| ITアクセス管理が不十分 | 関連システムを利用する販売・在庫・会計プロセスを追加評価します。 |
| 内部通報制度が機能していない | 不正リスクの高い拠点・勘定科目を追加評価します。 |
| 経営者レビューが形骸化 | 見積り、減損、引当金、非定型取引の評価手続を追加します。 |
| 決裁権限が不明確 | 重要契約、売上計上、支払、固定資産取得を追加確認します。 |
評価範囲の決定は経営者が行います。ただし、評価範囲の決定前後に、決定した方法と根拠について必要に応じて監査人と協議することが適切です。協議は計画段階だけでなく、状況変化や新たな事実が発見された場合にも行います。
金額だけでなく、質的リスク、発生可能性、代替モニタリング、文書化を順に確認します。
全社的内部統制の評価範囲は、金額だけで判断せず、質的リスク、発生可能性、代替モニタリング、文書化まで順に確認します。次の判断の流れは、除外候補を検討するときに、どこで評価範囲に含めるべきかを読み取るために重要です。
影響しない場合は母集団外とし、根拠を記録します。影響する場合は次へ進みます。
僅少でない場合は評価範囲に含めます。僅少である場合も、質的重要性を確認します。
不正疑義、重要な通報、法令違反、訴訟、税務、IT、M&A、海外、見積り、関連当事者取引などを確認します。
過年度監査指摘なし、内部監査良好、決算レビュー良好、重要変更なしなどの証拠を確認します。
月次レビュー、連結パッケージ分析、内部監査ローテーションなど、除外後の監視方法を確認します。
除外理由、指標、質的判断、監査人協議、見直し条件を補います。
ただし、毎期見直し、変化があれば評価範囲に戻します。
この判断の流れの要点は、「金額が小さい」だけで除外しないことです。質的リスク、発生可能性、代替モニタリング、文書化がそろって初めて、除外判断を説明しやすくなります。
海外子会社、買収直後会社、共有機能、IT変更、関連会社、IPO準備会社では、質的リスクを重く見ます。
判断に迷いやすい場面では、売上高の大小よりも、財務報告に影響する機能・権限・変化・情報取得可能性を見ます。次の一覧は、典型場面ごとに重視すべき読み取り方を整理したものです。
現地経営者の権限集中、言語・時差、現地会計、税務、贈収賄、為替、現地監査品質、親会社からのモニタリング不足を確認します。除外する場合は、連結売上高0.5%などの数値だけでなく、重要な資産・訴訟・税務・規制・IT機能・不正通報がないことを記録します。
海外質的リスク過去の統制環境、会計方針、IT、権限、決裁、内部監査、コンプライアンス文化が親会社と異なることがあります。のれん、PPA、減損、連結修正、収益認識、在庫、税務、偶発債務のリスクを確認します。
M&APMIグループ経理、購買、給与、支払、債権管理、IT運用などを担う場合、売上を計上しなくても複数拠点の財務報告に横断的に影響します。業務分掌、権限管理、例外処理、SLA、エラー管理、BCPを確認します。
共有機能横断影響ERP刷新、会計システム変更、販売管理システム変更、連結決算システム導入、クラウド移行、RPA導入、電子帳簿保存法対応は、財務情報の完全性・正確性・正当性に影響します。
IT変更管理関連会社は連結売上高にその売上高が含まれないため、単純な売上高カバレッジに当てはめにくい対象です。持分法損益、投資残高、虚偽記載リスク、情報取得制約、代替手続を記録します。
関連会社情報制約職務分掌を十分に分けにくく、経営者レビューに依存しやすい場合は、全社的内部統制の重要性が高まります。上場準備では、決算体制、会計方針、IT権限、規程整備、証跡保存、内部通報制度を早期に整えます。
IPO経営者レビュー2023年改訂後は、評価範囲の決定方法と根拠を公開文書・調書・協議記録で整合させる姿勢が重要です。
内部統制報告書には、評価の範囲、評価時点、評価手続を記載します。2023年改訂後は、評価範囲の決定方法と根拠を含めるものとされ、重要な事業拠点の選定指標、一定割合、重要勘定科目、個別追加した拠点・業務プロセスについて、判断事由を含めることが適切とされています。
次の表は、内部統制報告書と評価調書で整合させるべき記載事項を整理したものです。定型文だけにせず、自社の事業特性と範囲判断の理由を対応させるために重要です。
| 記載・確認項目 | 実務上の意味 | 確認ポイント |
|---|---|---|
| 重要な事業拠点の選定指標と一定割合 | 売上高、総資産、利益など、どの指標を使ったかを示します。 | なぜその指標と割合が自社に合うかを説明します。 |
| 事業目的に大きく関わる勘定科目 | 売上、売掛金、棚卸資産以外の重要勘定も含めて検討します。 | 事業モデルやリスクに応じて選定します。 |
| 個別追加した拠点・業務プロセス | 金額だけでは拾えない質的リスクを評価範囲に反映します。 | 追加理由、手続、結果を調書と合わせます。 |
| 評価範囲の限定 | 期中買収などで十分な評価手続を実施できない場合に検討します。 | 限定理由と報告書記載が整合しているかを確認します。 |
評価範囲決定メモは、決定方法、判断根拠、監査人協議結果、前期からの変更点を残す文書です。次の表は、メモの構成例を実務で確認しやすい形にしたものです。
| 章立て | 記載内容 |
|---|---|
| 目的 | 当期の財務報告に係る全社的内部統制の評価範囲について、決定方法と判断根拠を記録します。 |
| 参照基準 | 内部統制の評価及び監査の基準・実施基準、内部統制監査基準報告書第1号、社内J-SOX基本方針を示します。 |
| 評価母集団 | 親会社、国内・海外子会社、持分法適用会社、共有サービスセンター、主要委託先を列挙します。 |
| 評価単位 | グループ共通統制、国内製造子会社、海外販売子会社、買収直後会社などの単位を示します。 |
| 対象とした理由 | 金額的重要性、質的重要性、IT・決算・子会社管理への影響、過年度指摘、当期変化を記載します。 |
| 対象外とした拠点 | 金額的重要性、質的重要性、除外理由、代替モニタリング、次年度見直し条件を表で残します。 |
| 良好でない項目と対応 | ITアクセス管理などの不備、影響拠点、業務プロセス評価への反映を記録します。 |
| 監査人との協議 | 協議日、協議事項、監査人コメント、経営者判断を分けて記録します。 |
| 結論 | 当期の評価範囲と、重要な変化が発生した場合の再検討方針を明示します。 |
全社的内部統制の評価範囲は、経理部門だけで決めるべきではありません。次の表は、関係部門ごとの役割を整理したものです。誰がどの情報を提供し、どの観点で確認するかを読み取ることで、評価範囲の抜け漏れを防げます。
| 役割 | 主な責任・関与 | 注意点 |
|---|---|---|
| 経営者・CFO | 評価範囲の最終決定、内部統制報告書の責任 | 監査人任せにしません。 |
| 経理・財務 | 連結範囲、勘定科目、決算プロセス、評価調書 | 数値基準の機械的適用を避けます。 |
| 法務・コンプライアンス | 法令違反、訴訟、通報、規制、契約リスクの提供 | 財務報告への影響に翻訳します。 |
| 内部監査 | 独立的評価、証跡確認、改善状況フォロー | 自己評価だけで終わらせません。 |
| IT部門 | IT全般統制、アクセス、変更、委託先、障害 | 業務プロセスとの関連付けが必要です。 |
| 監査役等 | 経営者評価の妥当性、監査人との連携 | 評価範囲の狭さに疑問を持つ視点が重要です。 |
| 取締役会 | 内部統制システムの整備・運用監督 | 重大不備・範囲除外の説明を求めます。 |
| 外部監査人 | 評価範囲・手続・結果の妥当性の検討 | 独立性を保ちつつ協議します。 |
法務部門は、訴訟、行政調査、内部通報、契約リスク、規制違反、独禁法、労務、個人情報、輸出管理、贈収賄、反社、M&A契約上の補償条項などを、引当金、偶発債務、売上、減損、税金、注記、後発事象への影響として経理・内部監査へ伝える役割を担います。
売上高だけの除外、前年踏襲、統制種類の混同、協議遅れ、記録不足を避けます。
評価範囲の失敗は、結論そのものよりも、判断過程と記録の弱さから生じることが多いです。次の一覧は、監査対応や報告書記載で問題になりやすい失敗例を整理したものです。
売上が小さくても、資産、資金、税務、訴訟、IT、知的財産、関連当事者取引、規制リスクが大きい場合があります。
昨年も除外していたから今年も除外する判断は危険です。毎期、金額指標、質的リスク、変化事象、監査人コメントを更新します。
全社的内部統制は全社的観点で評価し、業務プロセス評価は重要拠点や重要勘定を選定します。別表で管理します。
年度末近くに評価範囲の妥当性が争点になると、追加評価の時間が足りません。上期中の協議が有効です。
評価対象外とした結論だけでは、なぜ除外できるのかを説明できません。指標、数値、質的判断、見直し条件を残します。
次の比較一覧は、全社的内部統制の評価範囲を現実の場面に当てはめたものです。前提、判断、除外や業務プロセスへの反映を分けて読むことで、数字だけではない判断の組み立て方が分かります。
親会社と国内製造子会社3社、販売子会社2社、休眠会社1社で構成され、売上高上位の親会社・製造子会社2社で連結売上の約80%を占めます。全社的内部統制は親会社本社のグループ共通統制を中心に評価し、主要製造子会社2社の統制環境、原価計算方針、在庫管理、内部監査指摘対応を個別確認します。休眠会社は取引が僅少で通報・訴訟・税務リスクがなく、月次残高確認がある場合に対象外を検討します。
国内親会社、海外開発子会社、海外販売子会社、クラウド運用委託先があり、売上は国内親会社が大半を占めます。海外開発子会社は主要サービスの開発・保守、セキュリティ、障害対応、顧客データ、収益認識システムに関与するため、全社的内部統制の評価範囲に含めます。IT変更管理に不備があれば、販売・請求・決算プロセスを追加評価します。
期中に海外販売会社を買収し、連結売上への寄与が当期2%程度でも、成長性が高く現地経営者が販売契約と値引承認を一手に担う場合は注意が必要です。完全な運用評価が難しい年度でも、統制環境、権限、売上認識、値引、返品、債権回収、関連当事者取引、内部通報制度、IT権限を初期評価します。
よくある疑問を、一般的な制度説明として整理します。個別企業の結論は事情により変わります。
一般的には、本社の統制だけで足りるとは限らないとされています。全社的内部統制は基本的には企業集団全体を対象とし、子会社や事業部等に独自の歴史、慣習、組織構造がある場合は、当該単位で評価することもあります。具体的な評価単位は、組織構造、権限、IT、内部監査の状況に応じて検討する必要があります。
一般的には、対象外にできる場合はあります。ただし、売上高だけで機械的に除外することは適切ではないとされています。財務報告に対する金額的影響、質的影響、発生可能性を総合評価し、除外理由を記録する必要があります。個別の判断は会社の状況によって変わります。
一般的には、その理解は適切ではないとされています。おおむね3分の2は、重要な事業拠点を選定し、業務プロセス評価範囲を決める場面での一例です。全社的内部統制は、原則として全ての事業拠点を全社的観点で評価する考え方が出発点になります。
一般的には、一定の場合に評価手続の一部を簡素化したり、一定の複数会計期間ごとの評価を検討したりする余地があります。ただし、重要性、リスク、過年度結果、変更状況によって結論は変わります。機械的な省略ではなく、根拠を記録したうえで検討する必要があります。
一般的には、その項目に関連する事業拠点や業務プロセスを評価範囲に含める方向で検討するとされています。例えば、ITアクセス管理、内部通報、子会社管理、経営者レビューに不備がある場合は、影響を受ける勘定科目やプロセスを追加確認する必要があります。
一般的には、評価範囲の決定責任は経営者にあるとされています。監査人との協議は重要ですが、経営者の判断責任を代替するものではありません。協議内容と経営者の最終判断を分けて記録する必要があります。
一般的には、自己点検は内部統制の改善に有用であり、独立したモニタリングを適切に実施することで評価判断の基礎として利用できる場合があります。ただし、自己点検だけでは独立的評価として十分でない可能性があります。評価証拠の信頼性は、実施者の独立性や手続内容によって確認する必要があります。
一般的には、重要な業務プロセスの一部を外部委託している場合、委託業務に係る内部統制も評価範囲に含まれるとされています。受託会社の内部統制の整備・運用状況を把握し、委託契約、受託会社の報告書、SLA、障害対応などを確認する必要があります。
一般的には、評価範囲について決定方法と根拠を含め、重要な事業拠点の選定指標・一定割合、事業目的に大きく関わる勘定科目、個別追加した事業拠点・業務プロセスについて、判断事由を含めることが適切とされています。具体的な記載は会社の事業特性と評価範囲によって変わります。
一般的には、法務部門は訴訟、行政調査、内部通報、契約リスク、規制違反、独禁法、労務、個人情報、輸出管理、贈収賄、反社、M&A契約上の補償条項などを、財務報告リスクに変換して経理・内部監査へ提供する役割を担います。引当金、偶発債務、売上、減損、税金、注記、後発事象への影響として説明することが重要です。
評価範囲の決定前後で、母集団、除外理由、監査人協議、報告書との整合性を確認します。
次のチェックリストは、全社的内部統制の評価範囲を決める前後で確認すべき項目をまとめたものです。Yes/No欄は社内検討時の確認欄として使い、コメント欄には根拠資料、判断理由、監査人協議の状況を記録します。
| チェック項目 | Yes/No | コメント |
|---|---|---|
| 評価母集団に親会社、連結子会社、重要事業部、海外拠点、委託先、関連会社を含めて検討したか | ||
| 全社的内部統制と業務プロセス統制の評価範囲を区別しているか | ||
| 全社的内部統制は原則として全ての事業拠点を対象に検討したか | ||
| 除外拠点について、金額的重要性だけでなく質的重要性と発生可能性を確認したか | ||
| 95%、3分の2、5%などの例示を機械的に適用していないか | ||
| 子会社や事業部の独自性に応じて評価単位を分ける必要性を検討したか | ||
| 全社的内部統制に良好でない項目がある場合、業務プロセス評価範囲へ反映したか | ||
| M&A、海外展開、IT変更、新規事業、会計基準変更、通報、訴訟などの当期変化を反映したか | ||
| 長期間評価範囲外の拠点・業務プロセスを見直したか | ||
| 委託業務・SaaS・クラウド・BPOの内部統制を検討したか | ||
| 監査人と計画段階で協議したか | ||
| 協議内容と経営者の最終判断を記録したか | ||
| 内部統制報告書の記載と評価調書が整合しているか | ||
| 次年度の見直し条件を設定したか |
全社的内部統制は、財務報告リスクをどう理解し、どの統制基盤を重視したかを示す判断です。
全社的内部統制の評価範囲の決め方は、単なる作業範囲の線引きではありません。経営者が、自社グループの財務報告リスクをどのように理解し、どの統制基盤を重視し、どの拠点・業務・IT・委託先を評価すべきと判断したかを示す、ガバナンス上の判断です。
また、全社的内部統制の評価結果は、業務プロセス評価範囲を決める起点になります。良好でない項目があれば、関連する事業拠点や業務プロセスを追加評価します。反対に、全社的内部統制が有効な場合でも、数値基準や過年度踏襲によって機械的に評価を省略することは避けます。
このページは一般的な情報提供を目的とする解説であり、個別企業に対する法的助言、会計助言、監査意見、内部統制監査上の結論を示すものではありません。実際の評価範囲の決定では、各社の事業内容、組織構造、会計方針、監査人との協議状況、最新の法令・基準・実務指針を踏まえ、必要に応じて弁護士、公認会計士、監査人その他の専門家に相談する必要があります。