内部統制報告制度において、全社的な内部統制（ELC: Entity Level Control）はその中心を担うものです。全社的な内部統制（以下ELC）が有効に機能していなければ、リスク管理システムや業務プロセスのコントロールを整備しても十分に機能せず、企業の内部統制が無効化されてしまう危険性もあります。そこで本記事では、ELCがなぜ重要であるのか、ELCをどのように有効化するかに関して解説していきます。

内部統制報告制度（J-SOX）とは

一般にJ-SOXとして知られる内部統制報告制度は、日本における企業の財務報告の信頼性を高めることを目的とした重要な制度です。アメリカのサーベンス・オクスリー法（SOX法）を参考に整備された内部統制報告制度は、日本企業におけるガバナンス強化を目指すための重要な制度として位置づけられます

J-SOXの下では、上場企業は年次財務報告に加え、内部統制の有効性に関する報告を含める必要があります。これには、内部統制の設計と運用に関する評価が含まれ、企業は、特に、財務報告の信頼性に重要な影響を与える可能性のある領域に焦点を当てて自ら内部統制に関する評価を行わなければなりません。

内部統制報告制度の導入により、企業はリスク管理プロセスを強化し、不正行為や誤謬のリスクを減少させることが期待されています。

J-SOXにおけるELCの位置づけ

ELCとは、企業全体に広く影響を及ぼし、企業全体を対象とする内部統制であり、基本的には企業集団全体を対象とする内部統制のことです。ELCは、J-SOXの枠組みの中で中心的な役割を担うものです。ELCは、組織全体にわたる内部統制の枠組みや基礎として機能するもので、企業のリスク管理体制、内部監査プロセス、および組織文化にも影響を与えます。

ELCをもう少し具体的にいえば、経営陣の姿勢、組織の構造、企業の倫理規範などのことです。

ELCは、全ての内部統制の基盤となりうるものです。ELCが機能していなければ、どんなに業務プロセスレベルでの内部統制を整備しても、組織の社風や経営者の倫理観によって形骸化されてしまいます。そのため、ELCは、重要な意思決定プロセス、全社的な会計方針、および経営戦略の策定においても重要な役割を果たすものです。

ELCは内部統制全体の重要な基礎

ELCは内部統制全体の基礎となる要素です。ELCは単に特定の手続ではなく、組織の文化、倫理観、および全体のガバナンス構造に根ざしたものです。ELCは、企業のリスク管理戦略全体を方向づけ、個々の業務プロセスや部門レベルでの内部統制が適切に機能するための指針となります。

ELCの枠組みは、リスクの識別、分析、評価、および対応を包括的に示すものです。また、新たなリスクが発生した場合や市場環境が変化した場合に、企業が適切に対応できるよう支援します。ELCが有効でなければ、企業は変化するビジネス環境に適応できず、リスクを効果的に管理できません。さらに、全社的な内部統制は、不正行為や違反の防止にも寄与し、企業の評判や株主価値を保護する上で重要な役割を果たします。

J-SOXにおいて評価が求められる4つの内部統制

J-SOXは、企業の内部統制に関する評価と報告を要求する重要な制度です。J-SOXに基づき、企業は自社の内部統制システムを評価し、その有効性を報告する必要があります。内部統制には、以下の4つがあります。

• 全社的な内部統制（Entity Level Control　以下：ELC）
• 決算・財務報告プロセスに係る内部統制（Financial statement close process　以下：FSCPまたは、Financial Controls for the Reporting Process　以下：FCRP）
• 決算・財務報告プロセス以外の業務プロセスに係る内部統制（Process Level Control　以下：PLC）
• IT全般統制（Information Technology General Controls　以下：ITGCまたは、General IT Controls　以下：GITC）

以下では、それぞれの内部統制について解説していきます。

全社的な内部統制（ELC）

ELCは、組織全体の内部統制体制の基礎を形成します。ELCは、企業の文化、経営方針、リスク管理の枠組み、および経営陣の意思決定プロセスに深く関連しています。これには統制環境、リスク評価と対応、統制活動、情報と伝達、モニタリング、およびITへの対応が含まれます。

ELCの評価は、企業の全体的な内部統制の有効性を担保する上で重要です。例えば、経営陣のリスクに対する認識、倫理的な行動規範、内部報告システムの有無などが評価されます。これにより、組織が内部統制を活用して、適切なリスク管理とコントロール構造を備えているかどうかを評価できます。

決算・財務報告プロセスに係る内部統制（FSCPまたはFCRP）

決算・財務報告プロセスに係る内部統制は、財務報告の信頼性を担保するために特に重要です。決算・財務報告プロセスに係る内部統制は、財務データの収集、記録、処理、報告に関連するプロセスにわたるものです。例えば、収益認識、費用計上、資産評価などの重要な財務取引に関わるポリシーと手続が評価の対象となります。

また、決算プロセスの効率性、財務情報の正確性、および時宜を得た報告を担保するための統制活動も含まれます。この統制の評価には、適切な文書化、適切な承認プロセス、および異常な取引の特定と報告のメカニズムが重要です。

決算・財務報告プロセス以外の業務プロセスに係る内部統制（PLC）

決算・財務報告プロセス以外の業務プロセスに係る内部統制は、購買、在庫管理、生産、営業などの業務プロセスに係る内部統制が該当します。

これらの内部統制は、不正行為や誤った情報の流通を防ぎ、企業の資産を保護するためのものです。例えば、在庫の棚卸、売上の計算チェック、購買プロセスの承認などが評価されます。これらの統制は、企業の全体的な運営効率とリスク管理の枠組みを強化します。

IT全般統制（ITGCまたはGITC）

IT全般統制は、情報技術システムの運営と管理に関わる内部統制です。これには、データの整合性とセキュリティ、プログラムの変更管理、およびアクセス制御が含まれます。IT全般統制の主な目的は、期中を通じてITシステムが正確かつ効果的に機能していることを担保することです。

例えば、データベースや会計システムへの不正アクセスを防ぐためのアクセス制御、システムの変更に関する厳格な承認プロセス、およびシステムのバックアップとリカバリ計画が評価の対象となります。IT全般統制は、データの完全性（網羅性）と正確性を確保するために不可欠です。

ELCを強化するための基本的要素

ELCは、企業のガバナンス、リスク管理、および内部統制プロセスなどを支える基礎となるものです。内部統制を有効なものとするためには、いくつかの基本的要素に着目し、これらを効果的に内部統制に実装することが重要です。ここでは、内部統制制度を有効なものとするために必要な6つの基本的要素について解説します。

内部統制の強化については、次の記事を参考にしてください。

内部統制の強化に効果的な方法は？具体的な手法やメリットを紹介

①統制環境

統制環境は、内部統制の基礎を形成する要素であり、組織の倫理的な風土、経営者の姿勢、管理構造、および組織文化を含みます。統制環境の整備は、組織内のコントロール意識の高さを反映し、従業員の行動規範や業務の実行方法に大きな影響を与えるものです。統制環境を強化するためには、経営者の姿勢、明確な倫理基準、適切な責任と権限の分配、および従業員の能力開発・研修の実施に注力することが求められます。

②リスクの評価と対応

リスクの評価と対応は、組織が直面する潜在的なリスクを識別、分析し、それらに対して適切な対応策を講じるプロセスです。これには、市場の変動、法規制の変更、技術進化、運営上のリスクなど、幅広いリスク要因の評価が含まれます。リスク評価は定期的に行われ、変化する環境に適応し続ける必要があります。リスクに対する対応策は、リスクの軽減、移転、回避、または受容を含む選択を行うことで対応します。

内部統制におけるリスクの考え方については、次の記事を参考にしてください。

内部統制におけるリスクとは？リスクの評価と対応の重要性と手順

③統制活動

統制活動は、リスクを軽減し、組織の目標達成を支援するために設計されたポリシーや手続です。これには、承認、確認および記録など、適切な業務活動が含まれます。効果的な統制活動は、不正行為の防止、資産の保護、およびデータの完全性と精度を確保するために不可欠です。これらの活動は、組織の規模、複雑さ、および特定のリスク評価に適合するようにカスタマイズされる必要があります。

④情報と伝達

情報と伝達は、組織内外での適切な情報の収集、保持、および伝達するプロセスです。これには、財務報告、運営上のデータ、およびリスク管理に関する情報が含まれます。効果的なコミュニケーションは、組織内の全てのレベルで適切な情報がタイムリーに共有され、意思決定がサポートされることを保証します。情報システムは、情報の正確性とアクセス性を保証するために重要な役割を果たします。

⑤モニタリング

モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいいます。モニタリングによって、内部統制は常に監視､評価及び是正することが可能となります。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価があるため、両者を区別することが必要です。効果的なモニタリングは、組織が変化する環境に迅速に適応し、内部統制の弱点を識別し、これを改善するための措置を講じることを可能にします。

内部統制のモニタリングについては、次の記事を参考にしてください。

内部統制のモニタリングとは｜内部統制の基本からモニタリングの具体例まで公開

⑥ITへの対応

ITへの対応は、技術が内部統制環境に与える影響を理解し、管理するプロセスです。これには、情報システムのセキュリティ、アクセス管理、データの完全性、および変更管理が含まれます。ITシステムは組織の運営に不可欠であり、その信頼性とセキュリティは、財務報告の正確性と効率性に直接的な影響を及ぼします。そのため、IT関連のリスクを評価し、これに対する適切な対応策を実装することが重要です。

内部統制の評価範囲

内部統制の評価は、企業のリスク管理と財務報告の信頼性を担保するために不可欠なプロセスです。評価の範囲は、ELC、決算・財務報告プロセスに係る内部統制、決算・財務報告プロセス以外の業務プロセスに係る内部統制、およびIT全般統制にわたります。各カテゴリーの評価範囲を理解することは、組織が効果的な内部統制システムを構築し、維持する上で重要です。

内部統制の評価範囲については、次の記事を参考にしてください。

内部統制の評価範囲とは？評価の基準や決定のフローを順を追って解説 

「全社的な内部統制（ELC）」の評価範囲

全社的な内部統制（ELC）の評価は、企業全体の統制環境とリスク管理プロセスを対象とします。具体的には、内部統制の6つの基本的要素ごとに、実施基準にある42の評価項目を参考にしながら、チェックリストを用いて行います。これにより、組織の倫理観、経営陣のリーダーシップ、組織構造、およびリスク評価と管理プロセスの有効性が評価されます。ELCの評価は、組織全体としての内部統制の有効性を判断するために不可欠です。

「決算・財務報告プロセスに係る内部統制（FSCPまたはFCRP）」の評価範囲

「決算・財務報告プロセスに係る内部統制（FSCPまたはFCRP）」の評価は、主に経理部門が担当する財務報告プロセスの信頼性に焦点を当てています。このプロセスには、残高試算表の作成、総勘定元帳の作成、連結財務諸表の作成などが含まれます。評価は、全社的な観点からチェックリストを用いて行われ、各業務区分で財務報告の信頼性のための内部統制が有効に機能しているかが検証されます。財務報告に直接影響を与える重要なプロセスには特に注意を払う必要があります。

「決算・財務報告プロセス以外の業務プロセスに係る内部統制（PLC）」の評価範囲

「決算・財務報告プロセス以外の業務プロセスに係る内部統制（PLC）」の評価の焦点は、日常業務における上長の承認や販売管理などの各種システムの有効性です。これには、フローチャートや業務記述書を用いて取引フローを整理し、財務報告の信頼性に関わるリスクを識別する作業が含まれます。リスクに対するコントロールの有効性は、リスクコントロールマトリクスで評価されます。

「IT全般統制（ITGCまたはGITC）」の評価範囲

「IT全般統制（ITGCまたはGITC）」の評価は、ITによるコントロールを担保するための内部統制に注目します。評価範囲には、ITシステムのセキュリティ、アクセス管理、データの完全性、および変更管理などが含まれます。効果的なIT全般統制は、データの精度を保証し、組織の情報技術システムの信頼性を高めるために不可欠です。

ELCの具体的な評価方法

ELCの評価は、組織全体のリスク管理とコントロールプロセスの効果性を確認するために重要です。評価プロセスには、主にチェックリストの作成と評価項目の決定の2つのステップが含まれます。ELCの評価方法は、組織の内部統制の状態を把握し、必要な改善を特定するための基盤を提供するものです。

チェックリストの作成

ELCの評価において、チェックリストの作成は重要なステップです。

チェックリストは、内部統制の6つの基本的要素ごとに評価項目を列挙し、それらに対する回答を通じて内部統制の有効性を評価するために用います。

6つの基本的要素とは、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応のことです。これらの基本的要素ごとに評価項目を並べられるようなチェックリストを作成します。

内部統制のチェックリストは、次の記事を参考にしてください。

全社的な内部統制のチェックリストとは？6つの要素別のチェック項目

評価項目の決定

評価項目の決定は、チェックリストの作成に続く重要なステップです。ここでは、組織の特定の状況やリスク評価に基づいて、評価項目を作成していきます。その際の指針とすべきものが実施基準に記載された42の評価項目の例示です。

実施基準にある42の評価項目は、全社的な内部統制に関連するさまざまな側面をカバーしていますが、全ての組織にとって全ての項目が等しく重要とは限りません。評価項目の選定には経営陣による検討が必要です。監査人は、実施基準の42項目をもとに、組織の状況に適した適切な内容かを検討します。評価項目の削除には慎重な対応が求められ、抽象的な表現を具体的な質問に変更することが有効です。評価項目の決定には、組織内のさまざまなステークホルダーの意見を反映させ、組織全体の視点でリスク管理を行うことが重要となります。

評価範囲については、次の記事を参考にしてください。

全社的な内部統制に関する42の評価項目例とは？実施基準の具体的な内容を紹介

統制の状況の記載

チェックリストの評価項目について評価を行います。その際、ヒアリングだけでなく関連する資料を閲覧し、閲覧した資料とともに企業の統制の状況を文書化していきます。

統制の状況を記載する際には、評価項目に応じて関係する部署の担当者が回答し、経営者がそれを確認するという手順で行われているケースがほとんどです。

また、統制の状況については、第三者のチェックが行われることを踏まえて、5W1Hを意識しながら記載して、チェックが効率的かつ効果的に行えるよう、証拠となる資料名や記載箇所などを記載しておくことが望まれます。

ELCと関連するよくある質問

ELCに関連してよく出される質問には、それがCLC（Company Level Control：全社的な内部統制）やPLC（Process Level Control：業務プロセスに係る内部統制）とどのように異なるかというものがあります。以下では、それぞれの考え方の違いを解説します。

CLC(Company Level Control：全社的な内部統制)との違いは？

CLCとELCの意味にほとんど違いはありません。従来、CLCと呼ばれていたものが、近年では、ELCと呼ばれるようになりました。現在では、ELCが一般的な呼び方です。

PLC(Process Level Control：決算・財務報告プロセス以外の業務プロセスに係る内部統制)との違いは？

PLC（決算・財務報告プロセス以外の業務プロセスに係る内部統制）は、個々の業務プロセスや取引における内部統制に焦点を当てます。これは、特定の業務プロセス、例えば購買、在庫管理、販売などが効率的かつ効果的に運営されていることを保証するための統制です。PLCは、そのプロセスにおけるリスクを識別し、それに対処するための特定のコントロール活動を含みます。

対照的に、ELCは業務プロセスを超えた、組織全体の内部統制フレームワークです。ELCは組織の全般的なコントロール環境、リスク管理プロセス、および組織文化全体を包含します。ELCは、PLCによって提供されるような特定の業務プロセスにおけるリスクとコントロールを包括的な視点から評価し、全社的な内部統制体制の有効性を担保します。したがって、ELCはPLCの効果を強化し、組織全体のコントロール環境をサポートする役割を担っているといえるでしょう。

PLCにつきましては、下記の記事で詳しく解説していますので参考にしてください。

PLCとは｜業務プロセスに係る内部統制の概要と評価の手順を解説

まとめ

ELCとは、企業全体を対象（評価範囲）として、企業全体に影響を及ぼすような内部統制のことをいいます。具体的には、経営方針、倫理指針、組織文化などが全社的な内部統制に該当するものです。ELCは、「決算・財務報告プロセスに係る内部統制」、「決算・財務報告プロセス以外の業務プロセスに係る内部統制」、「IT全般統制」などに大きな影響を与えます。ELCが無効化されてしまうと、その他の内部統制の有効性も危ぶまれます。この意味で、ELCは、その他の内部統制の基礎になるものであるといえるでしょう。

---

Co-WARCについて

Co-WARCでは、内部統制構築、J-SOXの立ち上げ支援を含め、コーポレート課題全般の支援を行っています。

何からすれば良いかわからないから相談したい、具体的な支援内容を知りたいなど、どんなお悩みでもお気軽にご相談ください。

コーポレート課題を解決するプロが最適な解決策をご提案します。