2018.10.25

内部監査ポジションとJ-SOXポジション~企業毎に異なる内部監査部門の仕事

 

企業の置かれた環境によって、内部監査部門の仕事は変わります。上場企業であれば、内部監査のほか、内部統制報告制度への対応、いわゆるJ-SOX対応が必要になります。
しかしながら、上場企業においても、自社の置かれた状況により、内部監査もしくはJ-SOX対応としてしなければならない作業は変わってきます。
今回は、企業の置かれたポジション(内部監査ポジションとJ-SOXポジション)によって、内部監査部門が対応すべき作業内容が変わることを解説します。
※内部監査ポジションとJ-SOXポジションという用語は、弊社の造語です。

 


目次

目次1  企業における内部監査部門の仕事
目次2  内部監査ポジション~自社のポジションに合わせた内部監査
目次3  J-SOXポジション~自社のポジションに合わせたJ-SOX対応
目次4  企業ポジションに応じた内部監査部門の対応


 

企業における内部監査部門の仕事

内部監査部門には、内部監査とJ-SOX対応の2つの大きな仕事があります。
内部監査部門は、経営者の委託を受けて、内部監査対応(業務の準拠性を保証するための対応)とJ-SOX対応(内部統制報告制度への対応)をミッションとして活動する部門です。
内部監査とは、法令や社内規程等の規準に照らして、業務等が規程等に則っているか保証する活動であって、アシュアランスとコンサルティングの2つの活動があります。
アシュアランス(保証)
部門や子会社における業務ルールが明文化されており、ルール通りに運用できているかを評価し、業務の準拠性や法令遵守等の保証することをいいます。
コンサルティング(指導)
アシュアランス活動で発覚した問題事項について、規程類等のルール不足やその運用上の不備がある場合に改善施策の提案等を行う活動を指します。
一方、J-SOX対応は、内部統制の整備(規程類や3点セット、評価調書の作成等)と内部統制の評価(整備・運用状況の評価等)の2つに分かれます。
内部統制の整備
内部統制の仕組みを整備する作業です。規程類や業務マニュアル等の整備を行い、業務フロー図や業務記述書、リスクコントロールマトリックスといった3点セット等の作成を行います。
内部統制の評価
内部統制における整備および運用状況を評価する作業になります。毎年、評価範囲の決定から整備・運用状況の評価、内部統制報告書の作成まで行うことになります。

 

内部監査は、上場・非上場に関係なく、本来は全ての企業で実施されるべきものです。
一方、J-SOX対応は、上場企業に限定されており、全ての企業で実施されるものではありません。

 

 

内部監査ポジション~自社のポジションに合わせた内部監査

内部監査は、本来全ての企業で実施されるべきものです。しかしながら、内部監査は、企業の置かれたポジションによって、実施すべき監査の種類が異なります。
内部監査は、自社のポジションに従い、部門監査からテーマ別監査、そして定期監査の繰り返しへと内部監査のポジションを変えていかなければなりません。
■部門監査の実施(国内・海外拠点監査)
部門監査は、部門における規程類の整備と規程類への準拠性を保証・指導する一連の活動をいいます。初めて内部監査を実施しようという企業は、部門監査から着手していくべきです。部門に規程類が漏れなく正しく整備され、その規程通りに業務を行っているかチェック(保証)するのです。
まずは、全ての部門を対象にして“広く浅く”監査します。そのうえで、例えば、経費不正や残業労働、情報漏えいといった個別のテーマを設けて、“深く”監査していくことになります。
■テーマ別監査の実施(システム監査等)
テーマ別監査は、テーマを設けて重点的に監査を実施するものであり、例えば、個人情報保護法の改正等に伴い実施される監査をいいます。部門監査を実施して、規程の整備と運用状況に問題がないと判断できるようなレベルになったら、次は特定のテーマを設けて、より深く監査していく必要が出てきます。ここでいう“テーマ”は、企業によって千差万別であり、自社の業種や環境、管理レベル等を踏まえ、経営層の意向も確認して決定する必要があります。
■定期監査の強化・推進(循環的監査)
内部監査は、企業が存続する限り、毎年定期的に実施していくものです。ある程度成熟したら監査は終わり、というものではありません。内部監査は定期的に繰り返し実施して意味があります。
監査の対象は、最初は限られた部門かもしれませんが、徐々に範囲を広げていき、全ての部門、国内から海外子会社といった順に対象を広げていくべきものです。一方、テーマ別監査の監査テーマは、時代の要請に応じて、常に変化していくものです。情報漏えいや働き方改革といった時代の要請を受けて、テーマ別監査を循環的に実施する必要があります。

 

企業は、自社の実状(環境や経営層の要請)に応じた内部監査を選択して、部門監査からテーマ別監査へ重点をシフトさせ、定期的・循環的に監査を実施する必要があります。

 

 

J-SOXポジション~自社のポジションに合わせたJ-SOX対応

J-SOXは全ての企業に適用されるものではなく、上場企業のみが対象となります。全ての上場企業はJ-SOXに対応して、仕組みを整備して、毎年、内部統制の状況を評価し、報告していかなければなりません。現在、多くの上場企業は、J-SOXに向けた構築作業は一通り終わっている状況です。しかしながら、事業やITシステムに大きな変更があれば再構築しなければなりませんし、新規に上場を目指す企業は、まずは構築からスタートしなければなりません。J-SOX対応は、自社のポジションに応じて何をすべきか変わってきます。
■J-SOXの構築・評価(仕組み・体制)
新規に上場する企業は、まずJ-SOXの構築からスタートしなければなりません。すでに上場している企業でもITシステム等に大きな変更があれば、再構築が必要です。J-SOXの構築で特徴的なのは、3点セットの作成です。構築=3点セットの作成と言っても過言ではありません。この部分の作業負荷が非常に高いのです。まず企業は内部統制の仕組みを整備するとともに、3点セットを作成し、内部統制を評価する体制を構築する必要があります。
■J-SOXの安定的運用(法制度運用)
内部統制の構築は一度行えば終わりです。不備や変更が発生しない限り、毎年構築作業が発生する訳ではありません。しかしながら、内部統制の評価は毎年です。企業は上場し続ける限り、毎年内部統制の状況を評価し続けなければなりません。構築がひと段落したら、次は、評価を中心としたJ-SOX制度へ適切に対応していく必要があります。評価で不備が発生しないように、不備が発生しても直ちに是正されるような仕組みを作り、安定的に運用することが求められます。
■J-SOX評価効率化(作業負担の軽減)
内部統制の評価は、毎年行わなければなりません。毎年、評価範囲を決定し、整備状況評価から運用状況評価を実施しなければなりません。このことは企業にとって大きな負担です。評価範囲が広い企業や細かく評価作業を行っている企業からすると、この負担は大きな経営課題になります。
ある程度J-SOXの運用に慣れてきたら、次は、この評価作業の負担を軽くすべきです。多くの企業では、10年以上前の構築段階のまま評価をし続けており、過度に評価作業をしているケースが珍しくありません。企業は率先して評価作業の効率化に取り組むべきです。

 

上場企業は、J-SOX対応を適切に行い、適時“整備”と“評価”を進め、無駄のない効率的なJ-SOX体制を確立して運用していく必要があります。

 

 

企業ポジションに応じた内部監査部門の対応

内部監査ないしJ-SOXは、全ての企業ないし全ての上場企業が対応しなくてはならないものです。
しかしながら、企業が置かれたポジションにより、その対応は一様ではありません。
内部監査であれば、これから内部監査部門を立ち上げていこうという企業と何年も内部監査を実施してきた企業の対応が同じではありません。J-SOX対応も同じです。これから上場を目指そうとしている企業と法施行時より上場していた企業と対応すべき内容が同じである訳がありません。
いま自社がどのポジションにいるか考えて、適切な対応を取ることが内部監査部門には求められます。

 

 

 

まとめ

企業における内部監査部門の仕事
内部監査対応:業務ルールに関するアシュアランス(保証)とコンサルティング(指導)
J-SOX対応:内部統制の整備(3点セットの作成等)と評価(整備・運用状況の評価)
★内部監査部門の仕事は、内部監査とJ-SOXの2つに大別される。
内部監査ポジション~自社のポジションに合わせた内部監査
Step1:部門監査の実施…国内・海外拠点監査
Step2:テーマ別監査の実施…システム監査等
Step3:定期監査の強化・推進…循環的監査
★実状に応じた内部監査を選択して、定期的・循環的に監査を実施する。
J-SOXポジション~自社のポジションに合わせたJ-SOX対応
Step1:J-SOXの構築・評価…仕組み・体制
Step2:J-SOXの安定的運用…法制度運用
Step3:J-SOX評価効率化…作業負担の軽減
★内部統制の整備評価を進め、効率的なJ-SOX体制を確立して運用する。
企業ポジションに応じた内部監査部門の対応
★自社がどの内部監査ポジションまたはJ-SOXポジションにいるか考える。
★企業ポジションに応じて、適切な対応を取ることが内部監査部門には求められる。