2024年4月に改訂された内部統制実施基準により、海外子会社を評価範囲に含めることを検討することが示されました。日本から目が届きにくい海外子会社における内部統制の不備や会計不正の発生を予防することが目的となります。しかし、実際に海外子会社を重要な事業拠点として内部統制の評価対象に含めた場合、言語の相違や物理的な距離により、現地担当者とのコミュニケーションに弊害が生じます。その結果、各国の商慣習や業務内容を迅速かつ正確に把握し、実効性のある内部統制を構築することが難しくなります。
今回の記事では、評価範囲の選定方法・導入スケジュール、および実務上の留意点について、業務プロセス統制とIT全般統制に焦点を当てて、解説していきます。
海外子会社に対する内部統制評価の重要性
2024年4月に改訂された内部統制実施基準により、「複雑又は不安定な権限や職責及び指揮・命令の系統(例えば、海外に所在する事業拠点)を、評価対象に含めることを考慮する」ことが求められるようになりました。内部統制実施基準の改訂を主導した企業会計審議会の意見書では、「経営者による内部統制の評価範囲外で開示すべき重要な不備が明らかになる事例」により、「内部統制報告制度の実効性が懸念」されていることが、実施基準改訂の背景の1つとして挙げられています。また、企業会計審議会の会議では、親会社によるコントロールが不十分であることが原因で、海外子会社での会計不正・内部統制の不備が発覚し、有価証券報告書の財務諸表や内部統制報告書を訂正しなければならない事例が多く見られていることが指摘されました。このような背景から、海外子会社における会計不正や内部統制の不備を発見・予防することが、実施基準改訂の重要な目的の1つにあったと言えます。しかし、海外子会社が重要な事業拠点として評価範囲に含まれた場合、言語や地理的な制約が発生し、業務プロセス統制やIT全般統制を導入する難易度は、国内子会社と比較して格段に高くなることが想定されます。
次の目次以降で、重要な事業拠点や評価対象となる業務プロセス・システムを選定していく手順を解説した後、海外子会社における業務プロセス統制、およびIT全般統制導入に向けた実務上のポイントを解説していきます。
評価範囲の選定方法
本目次では、改訂実施基準の特徴に触れながら、海外子会社における業務プロセス・IT全般統制の選定方法を解説していきます。
▼業務プロセス:
選定の枠組み自体は従来通り、【(1)重要な事業拠点】→【(2)業務プロセス】の2段階となります。
(1)重要な事業拠点の選定
実施基準では、下記の事項が新たに言及されるようになりました。
・財務諸表に対する金額的及び質的影響並びにその発生可能性を考慮する
・選定する指標として、売上高だけでなく、総資産や税引前利益等を用いることがある
・複雑又は不安定な権限や職責及び指揮・命令の系統(例えば、海外に所在する事業拠点)を評価対象に含めることを検討する
従来は売上高を用いた場合に、連結ベースの一定の割合(おおむね2/3程度)に達していなかった海外子会社が、選定される可能性が出てきました。
(2)業務プロセスの選定
実施基準では、下記の事項が新たに言及されるようになりました。
・財務報告に対する金額的及び質的影響並びにその発生可能性を考慮する
・長期間にわたり評価範囲外としてきた業務プロセスについて、評価範囲に含める必要性を考慮する
初めて評価を行う海外子会社であるがゆえに、売上・売掛金・棚卸資産だけではなく、質的影響を十分に考慮し、評価対象とする勘定科目を取捨選択していく必要があります。
▼IT全般統制:
IT全般統制の評価対象となるシステムは、下記の観点から選定していきます。
(1)選定した業務プロセスにおいて特定される、IT業務処理統制が組み込まれたシステム
(2)財務諸表を作成する上で必要となる重要なデータが蓄積されているシステム
他方で、実施基準改訂により、サイバーセキュリティが新たな評価項目として追加されました。監査法人と協議し、海外子会社のサイバーセキュリティをどの粒度(評価範囲・評価手続き等)で評価していくか、事前に決定していく必要があります。
実施基準改訂を踏まえ、重要な事業拠点として海外子会社が選定される可能性があります。そして、量的影響だけでなく質的影響も十分に考慮した上で、評価範囲となる業務プロセスやシステムを選定していきます。
プレ評価を活用した導入スケジュール
日本・海外を問わず、内部統制の導入は、大きく3段階で進めていきます。第1段階として、内部統制に携わる担当者に対して勉強会等を開催して、内部統制報告制度に準拠する目的を理解してもらいます。第2段階として、担当者にヒアリングしながら現状の業務を正確に把握した上で、業務プロセス統制は3点セット(業務記述書・フローチャート・RCM)、IT全般統制はチェックリストを作成します。この段階で、不足する統制活動が発見された場合、新たに整備・運用を開始していきます。そして、第3段階として、証憑を用いて評価結果をまとめた評価調書を監査法人に提出します。
しかし、海外子会社の場合、物理的な距離・言語等の制約がある中で、「担当者のアサイン→勉強会の開催→3点セット等の文書作成→不足する統制活動の整備・運用を開始→評価作業」という一連の流れを同時並行で進めることは非常に困難であると認識しておく必要があります。仮に、発見された不備を期末までに是正できず、重要な不備として開示するか否か監査法人と検討する必要が出てくることも、シナリオとして想定しなければなりません。こちらを踏まえ、「プレ評価」と「本番評価」を分割し、1~2年をかけて「本番評価」に移行していくことを推奨します。「本番評価」とは、正式な評価対象として評価を実施し、監査法人による監査を受ける段階を指します。それに対し、「プレ評価」とは、「本番評価」の事前準備として評価を実施し、不備事項の発見・改善を行う段階を指します。具体的に、「プレ評価」では、下記の3項目を順番に実施して、統制活動を着実に整備していきます。
(1)現地担当者へのヒアリングを通した3点セット等の準備
(2)整備状況評価の実施/不備事項の把握
(3)不足する統制活動の整備
「プレ評価」と「本番評価」に分割することを監査法人に説明し、「プレ評価」期間は、内部統制の整備・改善を目的とした準備段階であり、海外子会社を正式な評価対象とは位置づけないないことを事前に合意しておく必要があります。また、「本番評価」に移行した際に特定すべきリスクや、整備すべき統制活動が不足していることを監査法人から指摘されないようにするため、「プレ評価」での(2)整備状況評価の結果を監査法人に共有しておくことが実務上不可欠です。
業務プロセス統制での実務ポイント
本目次では、国内と海外での事例を比較し、海外子会社の業務プロセス統制を構築する上での実務ポイントを解説していきます。
まず、財務諸表の信頼性に係るリスクを低減していくことは、日本と海外とで違いはありません。まずは、実施基準で言及されているアサーションから財務諸表の信頼性に係るリスクを特定していきます。そして、特定したリスクを低減するため、職務分掌の達成の観点等からチェック・承認活動を整備していきます。特に、システムの承認機能を新たに開発、または有効化する必要性を現地担当者に理解してもらい、運用開始までの時間やコストを確認しておく必要があります。
次に、各業務プロセスについて、日本と海外での相違点から、実務上の注意点を解説していきます。
(1)売上/収益認識
検収概念・契約形態の相違に留意する必要があります。特に請負契約の場合、検収書を回収するという商慣習が日本特有のものであり、海外ではほとんど運用されていません。そのため、契約書、並びに履行完了を証明する証憑(出荷証明、請求書)を組み合わせた統制活動を、現地担当者と構築していきます。
(2)棚卸資産
地理的に離れていることもあり、在庫を利用した会計不正や内部統制の不備を発見しにくい特徴があります。海外子会社が在庫を有している場合は、「プレ評価」の段階で少なくとも1回は現地に赴き、棚卸資産の実在性、実地棚卸方法、評価方法を確認することを検討します。
(3)入金/債権管理
日本と比べて、入金が遅延する国が多いため、債権管理の有効性は特に留意して評価する必要があります。また、一部の国では小切手が実務上使用されています。その場合、ビジネスリスクとして、小切手を用いた不正防止状況を確認することを推奨します。
(4)見積/評価が伴う勘定科目
評価項目について、日本と海外とで違いはありません。具体的には、算定根拠資料の有無、算定する担当者とダブルチェック・承認する担当者の分離状況を評価していきます。なお、グループ本社の経理担当者に確認し、評価対象となる勘定科目について、採用されている会計基準や、連結精算状況を確認しておくべきです。
現地担当者と密にコミュニケーションを取りながら、海外子会社における独自の商慣習・業務を適切に理解した上で、実効性のある統制活動を開始するまでの導入スケジュール、および必要となるコストも検討すべきです。
IT全般統制での実務ポイント
本目次では、国内と海外での事例を比較し、海外子会社のIT全般統制を構築する上での実務ポイントを解説していきます。
▼IT全般統制の目的とプロセス
日本・海外を問わず、IT全般統制の目的、および評価対象プロセスに差異はありません。IT全般統制では、「自動化された統制を守ること」、「蓄積されたデータを守ること」を達成すべく、下記の各プロセスにおいて統制活動を整備していきます。
(1)開発変更管理
プログラム変更時に、事前テスト実施・テスト結果の記録、本番リリース前の承認履歴を残していきます。特に本番リリース前の承認機能を開発・有効にする必要性を現地担当者から理解を得る必要があります。
(2)運用管理
下記を中心に統制活動を整備していきます。
・バックアップの取得と管理
・バックアップやバッチジョブに係るエラーのモニタリング
・障害発生時の対応記録、および恒久対応の実施
なお、評価対象システムがクラウドである場合でも、天災やインシデントにより開発ベンダーで管理されているデータが消失してしまうリスクに備え、バックアップデータを独自に取得・保管することを検討する必要があります。
(3)アクセス権管理
権限体系を定義した後、ID改廃(IDの新規発行・変更・削除)に係る適時の申請・承認履歴を残していきます。また、原則として年2回のID棚卸を実施し、追跡可能な証跡(IDの抽出履歴や要否判定結果)を残していきます。特に、ID改廃の承認機能の導入・ID棚卸の重要性を現地担当者に理解してもらう必要があります。
▼評価方法(SOCレポートの活用、販売代理店への質問)
海外子会社にて利用されている情報システムがクラウドサービスの場合は、「SOC1レポート」を用いた評価を検討します。また、販売代理店(SIer)自らが用意したサーバにパッケージソフトをインストールし、仮想デスクトップを経由して顧客に提供するビジネス形態が、日本と比べて多く見られます。パッケージソフトの開発ベンダーに加えて、販売代理店による統制活動状況を、質問書を用いて確認することも視野に入れる必要があります。
まとめ
海外子会社の内部統制対応では、1~2年の「プレ評価」期間を設け、重要なリスクを網羅的に特定し、必要な統制活動を構築した上で、正式な評価範囲に含めていくことを推奨します。国内と海外を比較し、財務諸表の信頼性に係るリスクを特定していく方針や、構築すべき重要な統制活動の方針は共通しています。一方、各国で異なる商慣習や業務を把握した上で、整備すべき具体的な統制活動を特定していく必要があります。そして、現地担当者に内部統制報告制度の目的、並びに重要な統制活動(承認履歴やID棚卸等)の目的について理解を得た上で、統制活動を実効的に運用してもらうことが重要です。
■海外子会社に対する内部統制評価の重要性
☑海外子会社における会計不正や内部統制の不備を発見・予防することが、実施基準改訂の重要な目的の1つであった。
☑言語や地理的な制約が発生し、内部統制の導入に対する難易度は国内と比較し、格段に高くなる。
■評価範囲の選定方法
☑業務プロセス:従来の3大勘定科目に加え、質的影響を十分に考慮し、評価対象とする勘定科目を取捨選択する。
☑IT全般統制:どの粒度でサイバーセキュリティを評価するか、監査法人と事前に決定する。
■プレ評価を活用した導入スケジュール
☑「プレ評価」と「本番評価」を分割し、1~2年をかけて「本番評価」に移行していく。
☑「プレ評価」での整備状況評価の結果を監査法人に共有し、不足するリスク・統制活動を特定しておく。
■業務プロセス統制での実務ポイント
☑財務諸表の信頼性に係るリスクを事前に低減できる活動を中心に整備していく。
☑各国で異なる商慣習・業務を理解し、統制活動の導入に向けたコスト・時間を現地担当者に確認する。
■IT全般統制での実務ポイント
☑「自動化された統制を守ること」、「蓄積されたデータを守ること」を達成するために、統制活動を構築していく。
☑販売代理店からパッケージソフトが提供されている場合は、質問書を用いた評価を検討する。
