PLC（ Process Level Control：業務プロセスに係る内部統制）は、企業が事業活動を遂行する上で、不正や不祥事を防止し、財務報告の信頼性を高めるために、業務プロセスレベルで実施する一連の取組みです。企業が直面するリスクを適切に管理し、戦略的目標の達成を促進するため、PLCは不可欠な要素として位置づけられています。この記事では、PLCの基本概念から、その有効性を評価するための具体的な手順に至るまでを詳細に解説します。

PLC（業務プロセスに係る内部統制）の基本概要

PLCとは、業務プロセスに組み込まれた内部統制のことです。その特徴やELC（Entity Level Control：全社的な内部統制）との違いについて、以下で詳しく解説します。

PLCとは

PLCとは、企業が事業活動を遂行する上で、不正や不祥事を防止し、財務報告の信頼性を高めるために、業務プロセスレベルで実施する一連の取組みです。企業は数多くのプロセスを経て事業を運営しています。製造会社を例にあげると、材料を仕入れる購買プロセス、製造において発生するコストを管理する原価計算プロセス、仕入れた材料や製品を管理する在庫管理プロセス、営業から製品の出荷までを行う販売プロセス、売掛金の計上から回収や督促を行う債権管理プロセス、など様々なプロセスを通じて事業を運営しています。これらの業務プロセスには、業務上のミスを防止するための内部統制が組み込まれています。これらをPLCと呼びます。

PLCとELCの違い

内部統制には、PLCとELCの2種類があります。

PLCは、企業の事業活動を支える重要な業務プロセスを対象として、その有効性を高めるために実施されます。ELCは、企業全体に関するリスクを対象とした内部統制です。

PLCとELCの違いは、下表のとおりです。

項目	PLC	ELC
対象	業務プロセスレベル	全社レベル
具体例	販売プロセスにおけるシステム統制、購買プロセスにおける承認、在庫管理プロセスにおける棚卸	財務報告の基本方針の明確化、内部監査体制の整備、職務規程の整備

PLCとELCは、どちらも内部統制の重要な要素です。PLCは業務プロセスレベル、ELCは企業の全体レベルでの内部統制のことです。

また、PLCとELCは、相互に密接に関連しています。ELCは、PLCを有効に機能させるための土台となるものです。ELCが有効に機能していれば、PLCの有効性も高まります。

PLCを構築する際の2つのポイント

PLCの構築は、企業の健全な経営と効率的な運営に不可欠です。これを実現するためには、特に2つの重要なポイントに注目する必要があります。まずはリスクの洗い出しを行うこと、次にそれに対するコントロールを整備することです。これらのプロセスを通じて、企業はリスクを管理し、内部統制の枠組みをより強固なものとすることができます。

PLCを構築する際の重要な2つのポイントについて、以下に詳しく解説します。

1. リスクの洗い出しを行う

リスクの洗い出しは、PLC構築の最初のステップです。企業が直面する可能性のあるリスクを特定し、それらが企業の目標達成にどのように影響を及ぼすかを理解することが重要です。リスクは、人為的なミスが発生するリスクだけでなく、市場の変動、財務リスク、運営リスク、法令遵守のリスク、技術的なリスクなど、多岐にわたります。

リスクの洗い出しのプロセスでは、各部門からの意見を積極的に取り入れることが重要です。経営層だけではなく、各部門の従業員も自部門のリスクに精通しているため、彼らの知識と経験はリスク識別において不可欠です。また、外部環境の変化にも敏感であることが重要で、市場動向、法的要件の変更など、外部の要因も考慮に入れる必要があります。

2. リスクに対するコントロールを整備する

リスクが特定されたら、次はそれらに対処するためのコントロールを整備します。このステップでは、各リスクをどのように管理し、緩和するかを決定します。コントロールには、ポリシーや手順の策定、リスク管理システムの導入、従業員への教育と訓練、チェック体制の強化などが含まれます。

リスクに対するコントロールを整備する過程では、リスクの重大性と発生確率を考慮して、優先順位をつけることが重要です。最も重大なリスクに対しては、より強固なコントロールを実施し、比較的低リスクな領域には、適切な監視と相対的に軽いコントロールを適用します。

このプロセスを通じて、企業は自身のリスク許容度に応じた対策を講じることができます。また、定期的なレビューとアップデートを行うことで、内部統制の効果を持続的に維持し、組織の変化や外部環境の変動に柔軟に対応することが可能となります。

これらのステップを踏むことで、PLCは効果的に構築され、企業はリスクを管理し、目標達成の確率を高めることができるのです。

J-SOXにおけるPLCの有効性を評価する手順

J-SOXにおけるPLCの有効性を評価する手順について、以下で詳しく解説します。

1.評価範囲の選定

PLCの有効性を評価する手順としては、最初に評価範囲を選定します。具体的な評価範囲の選定方法は、以下の3段階に分かれます。

重要な事業拠点を選定

評価範囲の選定にあたって、はじめに、重要な事業拠点を選定します。重要な事業拠点とは、重要性の高い事業を営む拠点を指します。拠点は、地理的な概念にとらわれるものではなく、法人や業態、セグメントにより識別されます。

実務では、例えば、本社を含む各事業拠点の売上高を算出し、高い順に合算したうえで、連結ベースの売上高における一定の割合に含まれる拠点を評価対象とする場合があります。実施基準上、一定の割合について、全社的な内部統制の評価が良好であれば、連結ベースの売上高の2/3程度といった例が示されています。

ただし、2/3という指標はあくまでも例であり、前年度の評価結果、内部統制の整備状況に対する大きな変更の有無、グループにおける主要度合などを勘案したうえで、総合的に判断します。なお、2024年4月1日以降開始する事業年度については改定後の内部統制報告制度が適用され、重要な事業拠点の選定についてもポイントが明確化されています。数値基準を機械的に適用しないように留意が必要です。

一般的に評価対象となる3勘定に係る業務プロセスを選定

重要な事業拠点を選定した後、評価対象となる業務プロセスの識別を行います。一般的な事業会社の場合、重要な事業拠点における売上高、売掛金及び棚卸資産に関連する業務プロセスは、原則として、全てを評価対象となります。しかし、その3種類の勘定科目の中でも財務報告への影響度が僅少である業務プロセスは評価範囲から除外できます。その場合は、評価範囲から除外した理由を記録する必要があります。

また、例えば、棚卸資産に関連する業務プロセスであっても、販売、在庫管理、原価計算、の全てに関連するプロセスを評価しなければならないわけではありません。さらに、3種類の勘定科目もあくまで例です。例えば、在庫の発生しないビジネスや人件費が重要なビジネスであれば、異なる勘定科目に関連するプロセスが評価対象になる場合もあります。

その他の重要な業務プロセスを評価対象に個別に追加

重要な拠点を選定し、3勘定に係る業務プロセスを評価対象として識別した後、それ以外の重要な業務プロセスを評価対象に個別に追加します。重要な事業拠点に限らず、全ての事業拠点において、評価対象に個別に追加すべき重要な業務プロセスを検討します。

重要な業務プロセスとしては、以下のようなものが挙げられます。

• リスクが大きい取引に関連するもの
• 見積りや経営者による予測を伴う重要な勘定科目に関連するもの
• 非定型・不規則な取引など虚偽記載が発生するリスクが高いもの

以上の3段階の工程を経て、PLCの有効性を評価する際の評価範囲を選定します。

2.3点セットの作成

PLCの有効性を評価する手順において、重要なプロセスとなるのが「3点セットの作成」です。

3点セットとは、業務記述書、フローチャート、リスクコントロールマトリクスのことをいいます。評価範囲の選定で洗い出された財務報告の信頼性に大きな影響を与える業務プロセスを、業務記述書やフローチャートを使って視覚化することで、業務プロセスの中でどのようなリスクがあるかを把握できるようになります。そして、リスクに対してどのような低減策を講じることができるかが分かるようになります。

この手順では、財務報告の信頼性に重大な影響を与える可能性があると特定された重要な業務プロセスに関して、業務の流れ、関連するリスク、およびこれらのリスクに対する内部統制活動を明確に文書化します。

この3点セットには、以下の要素が含まれます。

１．業務記述書（業務プロセスの記述）

評価対象となる各業務プロセスの詳細なフローを文書化し、プロセスが財務報告にどのように影響しているかを明確にします。この段階では、取引の流れ、会計処理の過程などが図や表を用いて整理されます。

２．フローチャート（業務プロセスの視覚化）

フローチャートとは、業務記述書の内容を図にした書類です。フローチャートによって、業務フロー、関わる部門、取引の発生からその集計および記帳に至る会計処理のステップ、そしてそれに伴うシステムとデータの流れが、直感的に理解しやすく表示されます。この図式作成の際には、業務記述書の内容と一致していることを確認し、整合性を保つことが重要です。

３．リスクコントロールマトリクス（リスクの識別と評価）

業務プロセスに内在するリスクを特定し、それらが財務報告に与える影響の大きさと発生する可能性を評価します。このプロセスには、虚偽記載のリスクや、プロセスが直面する他のリスク要因が含まれます。リスクは、財務報告又は勘定科目との関連性にもとづいて分析されます。

3点セットについては下記の記事で詳しく解説していますので参考にしてください。

J-SOXで使用する内部統制の3点セットとは？語句解説から作成方法まで公開！

3.整備状況の評価

PLCの有効性を評価する過程において、整備状況の評価は、直接的な観察と検証を通じて内部統制システムの整備状況を確認する重要な手順です。このプロセスでは、評価担当者が実際に業務プロセスが実施されている現場を訪れるなどして、内部統制の設計が計画通りに行われているかを観察します。整備状況の評価を行う上で有効な手法の一つとして、「ウォークスルー」があります。

ウォークスルーは、内部統制システムの理論的な枠組みから一歩踏み込み、現実の整備状況を詳細に検証する手法です。この過程では、業務の実行者や関係者からの直接的な情報収集、実際に業務が実施される様子の観察、関連する文書や記録の確認を行います。特に、業務プロセスにおける鍵となる文書の控えが存在するか、承認プロセスが有効に機能しているか、リスク管理と対応策が実際に実施されているかなどが確認の対象となります。

ウォークスルーを通じて、評価担当者は以下の点について具体的なエビデンスを得ることが可能です。

• 内部統制の整備が計画どおりに行われているか
• 内部統制に関連する文書化されたポリシーや手順が適切に遵守されているか
• システムやプロセスに関わる従業員が内部統制の要求事項を理解し、適切に実施しているか
• 内部統制の不備や弱点が存在しないか、または既知の問題に対して適切な対策が講じられているか

ウォークスルーは、内部統制の評価と改善において不可欠な手段であり、組織が財務報告の正確性と信頼性を確保するために重要な役割を果たします。

4.運用状況の評価

PLCに関する運用状況の評価において、「サンプリングテスト」は、内部統制システムが実際の業務環境でどのように機能しているかを検証するための重要な手順です。ウォークスルーのように1つのサンプルを評価するのとは異なり、サンプリングテストでは、ランダムまたは特定の基準にもとづいて抽出された取引を対象にして、内部統制の実施状況を具体的にテストします。

サンプリングテストの目的は、内部統制が期中を通じて一貫して実施されているかどうかを評価することにあります。具体的には、抽出したサンプルを通じて、内部統制が有効に運用されているか、および内部統制の目的が達成されているかどうかを検証します。

サンプリングテストでは、以下のような評価が行われます。

• 実際の取引における内部統制の運用状況の検証
• 内部統制により識別されるべき異常や例外事項の検出能力の確認
• 例外事項が発生した場合の処理の妥当性の検証
• 担当者によって業務のバラツキがないかの確認

このプロセスを実施することで、内部統制の実効性や潜在的な弱点、改善が必要な領域を特定することができます。

サンプリングについては下記の記事で詳しく解説していますので参考にしてください。

内部統制評価で必要なサンプル数はどれくらい？一覧表を使って解説！

5.不備への対応の検討

PLCの評価過程で明らかになった不備に対する対応策の検討は、内部統制の有効性を確保するための重要なステップです。このプロセスでは、評価を通じて特定された問題点や不具合について、その原因を深堀りし、実行可能で効果的な改善策を策定します。

不備の特定と対応策の検討には、以下のステップが含まれます。

１．問題の特定と分析

評価過程で識別された不備をリストアップし、それぞれの問題について詳細な分析を行います。この分析では、不備が発生した原因、影響範囲、および潜在的なリスクを明確にします。

２．優先順位の設定

全ての不備に対して、その緊急性や重要性にもとづいて優先順位を設定します。最も影響が大きい問題から対応を開始することで、リスクを効果的に管理し、内部統制の改善を進めます。

３．対応策の策定

各問題に対して、根本原因を解決するための具体的な対応策を策定します。これには、プロセスの見直し、制度やポリシーの改定、教育やトレーニングの実施などが含まれる場合があります。

４．アクションプランの作成

対応策を実行するための詳細なアクションプランを作成します。このプランには、目標、責任者、実施スケジュール、必要なリソースなどが明記されます。

５．関係者との協議

対応策の実施にあたっては、関係部署や担当者との協議を通じて、実行可能性や効果の最大化を図ります。また、必要に応じて外部の専門家の意見を取り入れることも検討します。

６、実施とモニタリング

策定されたアクションプランにもとづいて対応策を実施し、その効果をモニタリングします。不備が解消されたことを確認し、再発防止のための追加措置が必要かどうかを評価します。

不備への対応の検討と実施は、内部統制の持続的な改善と強化に寄与します。このプロセスを通じて、PLCの信頼性を高め、業務の効率性と有効性を向上させることができます。

PLCの運用状況評価におけるキーコントロールとは

運用状況評価におけるキーコントロールとは、PLCの中で、特に財務報告の信頼性に重要な影響を及ぼす統制行為を指します。

組織が直面する様々な財務報告リスクに対処するために、どのコントロールが最も効果的にリスクを低減できるかを評価し、キーコントロールを選定する必要があります。これには、リスクの類型を理解し、それに対応する典型的なコントロールを識別することから始まります。例えば、架空の出荷情報を記録するリスクに対しては、情報の承認や記録の担当者を分ける、第三者による照合、アクセス権限の管理などが効果的なコントロールとして識別されることがあります。

キーコントロールの選定においては、複数のリスクに共通したコントロールを選定することが効率的である点、リスクに対する感応度が高いコントロールを選定すること、そして防止的コントロールと発見的コントロールがバランスよく組み合わされていることなどが重要です。また、運用テストの容易さも考慮し、実施基準や実務指針で提供されるガイダンスに従って、適切なサンプル数と評価手続を計画する必要があります。

PLCの運用状況評価におけるキーコントロールの選定と評価は、組織の財務報告の信頼性を保証する上で欠かせないプロセスです。適切なキーコントロールの識別と評価を通じて、潜在的なリスクを管理することができます。

キーコントロールについて、詳しくは下記の記事で解説していますので参考にしてください。

内部統制のキーコントロールとは｜選定の手順やポイントを解説

まとめ 

PLCは企業の財務報告の信頼性を担保し、企業の運用の各段階において適切な情報の収集・処理・報告を確実に行うための内部統制を指します。

PLCの有効性を評価するには、まず重要な事業拠点を特定します。その後、重要なプロセスを絞り込み、PLCがどのように機能しているか、その業務にどの程度貢献しているかを評価します。

評価の一環として、適切な評価指標と基準を選定し、PLCの性能や効果を測るための具体的な評価書となる「3点セットの作成」が重要です。また、3点セットを用いて、内部統制がリスクに対応しているか、そもそも存在しているかを評価する整備状況の評価や、内部統制が期中を通じて一貫して運用されているかを評価する運用状況の評価も実施しなければなりません。評価結果から明らかになった不具合や課題に対する具体的な解決策を検討する「不備への対応の検討」も評価プロセスの重要な部分です。

PLCの運用状況評価において中心となるのがキーコントロールです。キーコントロールの選定にあたっては、リスクに対する感応度が高く、防止的及び発見的コントロールがバランス良く組み合わされているものを選ぶことが重要です。適切な評価手順とキーコントロールの適切な選定・運用により、組織はリスクを適切に管理し、目標達成に貢献することができます

---

Co-WARCについて

Co-WARCでは、内部統制構築、J-SOXの立ち上げ支援を含め、コーポレート課題全般の支援を行っています。

何からすれば良いかわからないから相談したい、具体的な支援内容を知りたいなど、どんなお悩みでもお気軽にご相談ください。

コーポレート課題を解決するプロが最適な解決策をご提案します。