富士通フォーラム2006・セミナーレポート
「財務報告に係る内部統制」を支える会計システムのあるべき姿
GLOVIA/SUMMIT 1

株式会社富士通システムソリューションズ スマートソリューションサービス本部 第一会計ソリューション部 部長 前村 和史

もともと「内部統制」は、企業の監査部などにおいて用いられてきた用語だが、近年、「企業の財務情報の正確性、信頼性を高め、正しい財務情報開示によって投資家を保護する」米国SOX法の運用を機にわが国でも一般化しつつある。日本版SOX法は金融庁が主体となり、2006年度、財務報告に関わる部分が法制化され、2008年度から運用が開始される見通しである。

［内部統制におけるIT対応］

内部統制とITの関わりについて整理すると、組織／制度面での対応、業務部門の対応／情報部門の対応を縦横2軸に、

• 業務（手動）統制
• IT全般統制（IT統制環境）
• IT全般統制（ITのサービス）
• ITアプリケーション統制

といった作業を遂行しつつ、内部統制への対応が進められていく展開であるとわかる。

［想定される実施作業］

日本版SOX法に向けた内部統制構築作業は、次のように進むものと考えられる。

1. スコープの決定
   重要な勘定科目の識別、事業拠点、業務プロセスの特定
2. 内部統制文書化
   業務フローを記述し、業務上のリスクを洗い出してリスクコントロールマトリックスを作成して適正な業務統制の方法を決める。
3. 不備改善実施
   業務を進めながらギャップを見つけ、欠陥をコントロールする
4. 内部統制の有効性評価
   社内の監査部門による有効性の評価
5. 外部監査人による監査

［主要な作業となる内部統制文書化］

もっとも大きな負荷がかかるだろうとされるのは内部統制文書化の作業である。

同作業は、「必要文書の決定」→「現状業務調査」→「統制目標／リスクの検討」→「コントロールの現状を記述」を経て内部統制記述書作成と至る。

何がリスクかの考え方は企業によって異なるが、業務フロー全般について、一つ一つのプロセスを拾い出し、そのリスクについて検討する作業は大変な作業になる。的を絞って取りかかる必要がある。

リスクコントロールマトリックスには、業務プロセスごとに該当サンプル、該当内部統制の目的、該当統制が機能しない際のリスク、開示項目が正しいための条件・要件、統制の種類（予防的／発見的、自動／手動）、網羅性、実在、正確性、正当性、権利と義務、表示と開示などについてチェック・記述されていく。これらの記述により、企業のどこにリスクがあり、それぞれに対してどのように統制がなされているかを明示し、期末に経営陣から報告がなされる。

記載内容

該当プロセス／サププロセス 該当内部統制の目的 該当統制が機能しない際のリスク 開示項目が正しいための条件・要件（アサーション） 統制の種類（予防的／発見的、自動／手動）

頻度 内部統制の内容 参考資料・マニュアル 内部統制の評価 該当統制の所轄部門

統制文書イメージ(一例)

［不備改善による適正化］

リスクコントロールマトリックスによって洗い出されたリスクに対しては、コントロール策を用意していくが、実際に業務を進めていくなかで統制力が弱かったり、コントロール策が十分でなかったりする箇所が判明してくる。その場合はギャップを分析し、必要なアクションを洗い出し、アクションの選定・実行を行う。内部統制においては、リスクやギャップがあってはならないという考え方ではなく、それらが適切にコントロールされていればよいとされている。

一連の実施作業は初年度で完結するのではなく、2年目以降も継続して続けられていく。集めた監査資料がしっかりと管理されるためにも、内部統制作業は委員会やワーキンググループなどによって進められているのではなく監査部などの組織により実施される

---

 1    2    3   次へ