内部統制(J-SOX)3点セット、作成の目的および実務と実態
2023年1月4日
目次
1.原則主義の内部統制と細則主義の産能大式フローチャート
高校時代、私は物理が大好きでした。物理の問題を解くのであれば、三度の飯を抜いてでも徹夜してでも構わないほどでした。設定された条件のもとで回答が一つしかない、そのたった一つの回答にピシッとたどり着くことが快感だったのです。
逆に嫌いだったのは英語、それも英作文。何通りもの回答があることが許せなかったのです。こういう解釈もありますね、こちらの構文を使ってもいいですね、みたいな。
それでは国語は?これが大好きで、テストはいつもトップクラスでした。
なぜか?今の教育カリキュラムがどうなっているかはわかりませんが、昔は国語の回答は「一つ」だったのです。ある意味国語の先生の素晴らしいところで、いろいろな条件を定めて答えが一つしかないように設問されていたわけです。物理と一緒です。条件さえ整えば回答は一つになるのです。私はこう考えます!という自由な意見が許容されていなかった時代でした。
その昔、上場審査では産能大方式で書いたフローチャートが必須でした。しかしこのフローチャート、書くためのルールがとても複雑なのです。一見ではルールを読み取ることができなかったため、産能大式フローチャートを作成するだけでコンサルティング料が取れたほどでした。その代わり一度習得したら業務記述書がまったく必要ないレベルで、ピシッとフローチャートが出来上がるのです。
このフローチャートはまさに日本人の思考回路「細則主義」の代表たるものです。ルールの中で一つだけの回答を求めていきます。それに対して日本の内部統制のベースになったSOX法は、アメリカ発祥の法律です。根本的な考え方がPrincipleベースすなわち原則主義と呼ばれるものです。
「中学生らしい服装をする」が原則主義、「女子のスカートは床から○○㎝以上」これが細則主義、日本人的にいえば細則主義の方が楽です。何も考えなくていいわけですから。しかしSOX法は原則主義、本質を理解して何を作るか自分で考えてください、というのがベースです。
そのようなわけで、業務フローチャート、業務記述書、RCM(リスク・コントロール・マトリクス)いわゆる俗称3点セットに関しても、必ず作りなさい、とは誰も一言も言っていないのです。(実施基準のサンプルには入ってますけど)
POINT:誰も3点セットを作らなければいけないとは言ってない
【関連コラム】 内部統制(J-SOX)の3点セットとは?概要と作成のポイント
逆に嫌いだったのは英語、それも英作文。何通りもの回答があることが許せなかったのです。こういう解釈もありますね、こちらの構文を使ってもいいですね、みたいな。
それでは国語は?これが大好きで、テストはいつもトップクラスでした。
なぜか?今の教育カリキュラムがどうなっているかはわかりませんが、昔は国語の回答は「一つ」だったのです。ある意味国語の先生の素晴らしいところで、いろいろな条件を定めて答えが一つしかないように設問されていたわけです。物理と一緒です。条件さえ整えば回答は一つになるのです。私はこう考えます!という自由な意見が許容されていなかった時代でした。
その昔、上場審査では産能大方式で書いたフローチャートが必須でした。しかしこのフローチャート、書くためのルールがとても複雑なのです。一見ではルールを読み取ることができなかったため、産能大式フローチャートを作成するだけでコンサルティング料が取れたほどでした。その代わり一度習得したら業務記述書がまったく必要ないレベルで、ピシッとフローチャートが出来上がるのです。
このフローチャートはまさに日本人の思考回路「細則主義」の代表たるものです。ルールの中で一つだけの回答を求めていきます。それに対して日本の内部統制のベースになったSOX法は、アメリカ発祥の法律です。根本的な考え方がPrincipleベースすなわち原則主義と呼ばれるものです。
「中学生らしい服装をする」が原則主義、「女子のスカートは床から○○㎝以上」これが細則主義、日本人的にいえば細則主義の方が楽です。何も考えなくていいわけですから。しかしSOX法は原則主義、本質を理解して何を作るか自分で考えてください、というのがベースです。
そのようなわけで、業務フローチャート、業務記述書、RCM(リスク・コントロール・マトリクス)いわゆる俗称3点セットに関しても、必ず作りなさい、とは誰も一言も言っていないのです。(実施基準のサンプルには入ってますけど)
POINT:誰も3点セットを作らなければいけないとは言ってない
【関連コラム】 内部統制(J-SOX)の3点セットとは?概要と作成のポイント
2.内部統制とは「一人で業務を完結させない」仕組み
そもそも内部統制とは何でしょう。
リスク管理手法の一環で、平たく言えば不正をさせない仕組みのことです。言い換えれば「一人で業務を完結させない」仕組みとも言えます。というわけで、その仕組みが確認できるものであればフローチャートだろうが何でも構わないのです。
では「一人で業務を完結させない」とはどういうことでしょう。
リスクが発生するのは基本的に人間が関与するところです。「元の書類から新しい書類を作成する」、「元の書類からシステムに入力する」、ここに必ずリスクが発生します。元の書類と新しい書類を見比べて間違っていないか、元の書類とシステムに入力された情報を見比べて間違っていないか。作成者と確認者を分けて確認することが一人で業務を完結させないという事です。
POINT:一人で業務を完結してないか確認
一人で業務を完結させていないかを確認するために、まず必要なことはその業務に関連する帳票を片っ端から集めることです(パソコンに入力した場合は入力後の確認帳票を出力)。それらを業務の頭からお尻まで順番に並べ、最初の帳票から最後の帳票に至るまで情報の伝達が正しく行われているかを見ていきます。そして新しく作成した帳票は「誰が作成したのか」、「その新しい帳票の記載内容が正しいと確認したのは誰か」を確認します。帳票の前後のつながりや承認者が確認できない場合は業務改善が必要です。
POINT:帳票の情報がすべてつながっているか確認、帳票に確認者が確認している証跡があるか確認
【関連コラム】 内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説
リスク管理手法の一環で、平たく言えば不正をさせない仕組みのことです。言い換えれば「一人で業務を完結させない」仕組みとも言えます。というわけで、その仕組みが確認できるものであればフローチャートだろうが何でも構わないのです。
では「一人で業務を完結させない」とはどういうことでしょう。
リスクが発生するのは基本的に人間が関与するところです。「元の書類から新しい書類を作成する」、「元の書類からシステムに入力する」、ここに必ずリスクが発生します。元の書類と新しい書類を見比べて間違っていないか、元の書類とシステムに入力された情報を見比べて間違っていないか。作成者と確認者を分けて確認することが一人で業務を完結させないという事です。
POINT:一人で業務を完結してないか確認
一人で業務を完結させていないかを確認するために、まず必要なことはその業務に関連する帳票を片っ端から集めることです(パソコンに入力した場合は入力後の確認帳票を出力)。それらを業務の頭からお尻まで順番に並べ、最初の帳票から最後の帳票に至るまで情報の伝達が正しく行われているかを見ていきます。そして新しく作成した帳票は「誰が作成したのか」、「その新しい帳票の記載内容が正しいと確認したのは誰か」を確認します。帳票の前後のつながりや承認者が確認できない場合は業務改善が必要です。
POINT:帳票の情報がすべてつながっているか確認、帳票に確認者が確認している証跡があるか確認
【関連コラム】 内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説
3.仕組みを説明するためにフローチャート&業務記述書を作成する
一人で業務を完結してないことが確認出来たら、目的を果たしたことになりますが、一応証券会社や監査法人に説明できる何らかの資料を作成しておきましょう、せっかくですから。何の資料でも構わないと前述しましたが、一般的に業務フローチャートが上場審査の時に使われますのでフローチャートの形にしておきましょうか。
帳票の最初から最後までの流れを「どこの部署のどの役職の人が作成(システムに入力)したのか」、「どこの部署のどの役職の人が確認(承認)したのか」が明確にわかるように上から下までつなげればOKです。図でうまく表現できなかったときのために業務記述書があります。一般的にフローチャートの脇に業務記述書を並べて、両方を見ながら業務の流れがわかればそれで十分です。昔のように産能大方式でつくらないといけないという決まりも無いわけですから。
ベースとなるフローチャートが出来上がったら、現場の担当者にヒアリングして流れが正しいかを確認してもらいます。
規程を作成していれば、「分掌規程」「権限規程」や「営業管理規程」などの「業務関連規程」と整合性がとれているかを確認します。まだ作成していなければ、規程作成時にフローチャートを参考にします。
帳票の最初から最後までの流れを「どこの部署のどの役職の人が作成(システムに入力)したのか」、「どこの部署のどの役職の人が確認(承認)したのか」が明確にわかるように上から下までつなげればOKです。図でうまく表現できなかったときのために業務記述書があります。一般的にフローチャートの脇に業務記述書を並べて、両方を見ながら業務の流れがわかればそれで十分です。昔のように産能大方式でつくらないといけないという決まりも無いわけですから。
ベースとなるフローチャートが出来上がったら、現場の担当者にヒアリングして流れが正しいかを確認してもらいます。
規程を作成していれば、「分掌規程」「権限規程」や「営業管理規程」などの「業務関連規程」と整合性がとれているかを確認します。まだ作成していなければ、規程作成時にフローチャートを参考にします。
-
POINT:フローに書き起こす、フローチャートと業務記述書の両方を見て流れがわかればOK。
現場に確認が必要 - POINT:分掌規程、権限規程、業務関連規程との整合性にも注目
4.RCMは必要か?
上場を目指す会社であればとりあえずここまで作っておけば一段落です。
えっ、上場後の内部統制監査に備えてRCM(リスク・コントロール・マトリクス)を作っておきたい?!奇特な方ですね、何で作りたいんですか?そもそもRCMをなぜ作らないといけないかを考えたことはありますか?
RCMで確認したいのは、たくさんあるコントロール(承認印)の中でもっとも重要なコントロール、いわゆる「キーコントロール」がどれなのかということです。RCMはそれを説明するための資料であり、その説明のためにでてくる概念が「アサーション(※)」です。簡単に言えばアサーションがたくさんついたコントロールがキーコントロールということになります。
内部統制報告制度の導入当初は、一つ一つのコントロールを精査し、該当するアサーションを判断したうえで、キーコントロールを定めていました。
アサーションも考え方のベースは「原則主義」です。細則主義のように「これこれこういう決まりだからこのアサーションが該当する」という基準がありません。要するに解釈によってアサーションが変わってくるのです。これが大混乱、アサーションでキーコントロールを決めるのやめよう!ということになったんですね。
では、現在はキーコントロールをどうやって決めてるのでしょうか?
「まあ、なんとなく」です。これは冗談ではありません。もちろんいくつかの基本的な考え方はありますが、監査法人と会社で相談して「これをキーコントロールにしましょうか」と決める感じです。そしてキーコントロールになったコントロールに対して、アサーションを少し厚めに設定します。
RCMはキーコントロールを説明するための書類です。しかし、結局キーコントロールは話し合いの中でなんとなく決まっていく、つまり後付けの証拠書類でしかないのです。
POINT:今のキーコントロールの決め方は決め打ち(RCMは後付け書類)
RCM作成に時間を費やすのは建設的ではありません。
しかし、遅まきながら現在内部統制実施基準改訂の議論が始まっています。こんな形式的なことはやめよう、と。それが有益な改訂となった場合、RCMに変わる実務に役立つ内部統制に変貌するかもしれません。それまでは当社のようなIPO実務支援の会社に作成を任せた方がよっぽど有益な時間の使い方だと思います。
えっ、上場後の内部統制監査に備えてRCM(リスク・コントロール・マトリクス)を作っておきたい?!奇特な方ですね、何で作りたいんですか?そもそもRCMをなぜ作らないといけないかを考えたことはありますか?
RCMで確認したいのは、たくさんあるコントロール(承認印)の中でもっとも重要なコントロール、いわゆる「キーコントロール」がどれなのかということです。RCMはそれを説明するための資料であり、その説明のためにでてくる概念が「アサーション(※)」です。簡単に言えばアサーションがたくさんついたコントロールがキーコントロールということになります。
- ※アサーションとは、財務報告の信頼性が確保されているかどうかを確認するための監査要件。金融庁は実在性、網羅性、権利と義務の帰属、評価の妥当性、期間配分の適切性、表示の妥当性をアサーションとして定めている。(「財務報告に係る内部統制の評価及び監査の基準」金融庁)
内部統制報告制度の導入当初は、一つ一つのコントロールを精査し、該当するアサーションを判断したうえで、キーコントロールを定めていました。
アサーションも考え方のベースは「原則主義」です。細則主義のように「これこれこういう決まりだからこのアサーションが該当する」という基準がありません。要するに解釈によってアサーションが変わってくるのです。これが大混乱、アサーションでキーコントロールを決めるのやめよう!ということになったんですね。
では、現在はキーコントロールをどうやって決めてるのでしょうか?
「まあ、なんとなく」です。これは冗談ではありません。もちろんいくつかの基本的な考え方はありますが、監査法人と会社で相談して「これをキーコントロールにしましょうか」と決める感じです。そしてキーコントロールになったコントロールに対して、アサーションを少し厚めに設定します。
RCMはキーコントロールを説明するための書類です。しかし、結局キーコントロールは話し合いの中でなんとなく決まっていく、つまり後付けの証拠書類でしかないのです。
POINT:今のキーコントロールの決め方は決め打ち(RCMは後付け書類)
RCM作成に時間を費やすのは建設的ではありません。
しかし、遅まきながら現在内部統制実施基準改訂の議論が始まっています。こんな形式的なことはやめよう、と。それが有益な改訂となった場合、RCMに変わる実務に役立つ内部統制に変貌するかもしれません。それまでは当社のようなIPO実務支援の会社に作成を任せた方がよっぽど有益な時間の使い方だと思います。
5.内部統制は原則主義、自分なりの説明が大事
まずはフローチャートやRCMを作る目的は何なのか、という原則を頭に入れましょう。あとはあれこれ難しく考えず、肩肘張らずに自分なりに説明できればなんでもOKと、開き直って作成しましょう。今回お伝えしたいことはこれだけです。答えは一つではないのですから。
POINT:とりあえず自分なりの主義主張で説明できればOK!
POINT:とりあえず自分なりの主義主張で説明できればOK!
関連リンク
■内部統制を担える人材を育成“IPO・内部統制実務士”とは?
経営品質の向上(上場審査基準を充たす経営管理面の整備と運用)、リスクへの対応、法令などから求められた内部統制システムの構築・評価・運用に必須な人材養成に応えるための資格制度です。詳細はホームページをご覧ください。
関連コラム
執筆
合同会社JMCA
一般社団法人日本経営調査士協会のコンサルティング部門としてM&AやIPO支援から経営支援まで、幅広い経営の支援を行うプロフェッショナル集団です。IPOコンサルティング事業ではIPO準備で必要となる書類の作成、作成時のノウハウ・サンプルやツールをご提供。内部統制構築・運用実務講座やIT統制など内部統制関連を中心にIPOセミナーを展開。
合同会社JMCA ホームページ
合同会社JMCA ホームページ
月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!
メルマガ登録
