Comments
Description
Transcript
「受託業務に係る内部統制報告書」とは
Law, Accounting & Tax 「受託業務に係る内部統制報告書」 とは 第 3 回 (SSAE16/ISAE3402/86 号報告書) 浅野 昌夫 有限責任監査法人トーマツ 金融インダストリーグループ パートナー 福田 紘子 有限責任監査法人トーマツ 金融インダストリーグループ シニアマネジャー 第 2 回では、 「 内部統制報告書」を構成する重要 のが「 システムに関する記述書」といって過言では な書面について解説し 、その中で「システムに関す ないでしょう。また、委託会社にとっては、受託会 る記述書」についても、それがどのような文書であ 社がどのように受託業務を実施しているか 、また、 るのかを簡単に解説しました。 「 システムに関する 受託会社の組織または対象となっている受託業務 記述書」は受託会社が最も時間をかけて作成する の詳細な手続等に関する情報を把握するためのセ と思われるセクションでもあることから、今回、第 3 クションとなります。 回ではより詳細に解説することとします。 ただし 、あくまでも筆者が一般的と考える参考 委託会社にとって第 1部の「 受託会社監査人の 情報をお示しすることを意図しており、その上で受 保証報告書」や、第 2 部の「 受託会社確認書 (ア 託会社固有の状況を十分に勘案する必要がありま サーション)」は、受託会社の受託業務に関する内 す。実際の「システムに関する記述書」の作成に当 部統制を全体的に評価する、という観点からとて たっては、受託会社監査人との意見交換等を通 も重要な文書であることは論を待ちません。同時 じ 、正確な記載を検討してください。 に第 3 部の「 システムに関する記述書」も、第 1部 なお 、本稿のうち意見に該当するものは筆者個 人のものであることをお断りいたします。 や第 2 部では把握しきれない 、受託業務に関する 詳細情報が開示されていることから、委託会社が 受託業務の詳細を理解する上で、とても重要な文 1. 「システムに関する記述書」 とは 書といえます。 ま た、 第 1部 や 第 2 部 の 記 載 は SSAE16 、 ISAE3402 および 86 号の各基準において、どのよ 第 2 回で解説したように、 「 内部統制報告書」に うな文章が記載されなければならないか詳細なひ 含まれているセクションの中でも多くの紙幅を費や な型が例示されているため 、どの受託会社の報告 し 、受託会社が最も時間と労力を費やして作成する 書の文章も結果的に類似したものとなる傾向があ January-February 2013 105 表1 「システムに関する記述書」の構成例 第1章 全般的事項 第2章 業務の概要 第3章 統制環境 第4章 リスクの評価及び管理 第5章 受託業務の処理の過程 第6章 システムによる情報処理の過程 第7章 監視活動 第8章 受託業務の統制目的及び関連する統制 第9章 顧客側の相補的な統制の検討事項 る一方、 「システムに関する記述書」に関しては、記 載すべき項目は例示されているものの、記載方法 やひな型まで詳細に定められているわけではない ことから、受託会社が自社または自社の業務の強 みをアピールして、委託会社へ開示できるセクショ ンとなっています。 ステムにより把握し対応した方法 ⑤ 委託会社のための報告書を作成するために用 いたプロセス ⑥ 関連する統制目的 、及び当該統制目的を達成 するためデザインされた内部統制 ⑦ 受託会社のシステムをデザインする段階で、委 託会社において想定されていることを受託会 2. 「システムに関する記述書」 の構成 「 システムに関する記述書」は、記載すべき要件 が満たされていれば、どのような構成で記載をして もかまいません。第 2 回でも解説したとおり、 「シス 社が想定する内部統制 ⑧ 受託会社の統制環境、リスク評価プロセス、情 報システム ( 関係する業務プロセスを含む。 )と 伝達 、統制活動 、監視活動の側面のうち、委託 会社の取引の処理及び報告に関連するもの ※ 86 号:≪6.保証業務の計画と実施≫ テムの記述書」には以下の情報が記載されること ≪ ( 1 )規 準 の 適 切 性 の 評 価 ≫ が求められています。 20. ( 1 ) より引用 ① 提供した業務の種類 ( 処理される取引種類が 含まれることがある。 ) 以下の解説では便宜上、上の表1で例示した構成 ② 取引の開始から、記録 、処理 、必要に応じた ( 第 2 回でも例示したもの)に基づき、上に掲げた 修正、委託会社のために作成される報告書へ 基準の要求事項を満たすためには、どの章にどの の転記に至る手続 ( ITによるものか 、又は手 ような内容を記載する必要があるかを解説します。 作業によるものかを問わない。 ) ③ 取引の開始 、記録 、処理 、報告に使用された 会計記録 、裏付け情報及び特定の勘定 ( 誤っ た情報の修正と、情報が委託会社のために作 成される報告書等へどのように転記されたか を含む。) ④ 取引以外の重要な事象や状況を受託会社のシ 106 ARES 不動産証券化ジャーナル Vol.11 第1章 全般的事項 この章では、報告書に関する基本的な情報の提 供が目的となります。 当該報告書がどの基準 ( SSAE16 、ISAE3402ま たは 86 号のいずれか 、またはその組み合わせ等) を採用しているのか 、どの業務を評価対象として いるのか 、Type 1 / Type 2 のいずれの報告書か 、 情報の提供が目的となります。 または、Type 2 の場合はどの期間を評価対象とし 経営方針、組織運営の状況 ( 部室の構成 、業務 ているのか ( Type 1の場合はどの時点を評価対象 分掌 、取締役会以下委員会等の役割等)、社内規 としているのか)、等の情報は、利用者が報告書を 程等の状況 、人事方針、法令遵守態勢等に関する 正しく利用するにあたって、不可欠な情報となりま 記載が具体例として挙げられます。重要なポイント す。 としては、この「統制環境 」についても、SSAE16 、 また、 「 システムに関する記述書」は委託者の監 ISAE3402 および 86 号の基準においては、受託業 査人の利用に十分役立つものであるが、対象となる 務に関係するものを記載することが要求されている 内部統制をすべて網羅的に記述することが目的で ことです。 はなく、その特徴に着目したものであることが申し 添えられます。 なお 、2011年12月にCOSO の改訂公開草案が 公表されましたが 、SSAE16 、ISAE3402 および 86 号が適用されたのが当該改訂前であること、また 第 2 章 業務の概要 この章では、受託会社に関する基本的な情報の 提供が目的となります。 本稿執筆時点では新 COSOフレームワーク ( 確定 版 )が発行されていないため 、本稿では、従来の COSOフレームワークに基づいて解説を進めます。 例えば、受託会社の属するグループ ( 該当がある 場合)、沿革 、主として実施している業務 、再受託 会 社 へ の業 務 委 託の 状 況 、また利 用している 第 4 章 リスクの評価及び管理 この章では、 「 リスクの評価及び管理 」として、 Information Technology の状況等を記載し 、受託 受託業務に係る取引に関するリスクの識別 、評価 会社がどのような会社であるのか 、その概要が読 および管理の仕組みに関する情報の提供が目的と み手にわかるように簡潔に説明します。後続の各 なります。 章からは、対 象となる受託業務に関する記載へ 不動産運用業務に限らず、一般的に運用リスク、 フォーカスを絞り込んでいくことになるので、第 2 章 事務リスク、システムリスク等の評価と管理の概要 で受託会社に関する基本的な情報を提供した後 が説明されます。もちろん 、会社によって、リスク分 で、基準の要求事項である「提供した業務の種類 」 類の方法はさまざまであることから、上の例にとど を明記すると、文章全体の運びがスムーズになると まらず、他のタイプのリスクを識別するケースもある 思われます。 と思われます。受託業務を実施するにあたって、ど のようなリスクが存在するか 、どのようなリスクを報 第 3 章 統制環境 第 3 章から第7章にかけては、SOX等でもよく知 ※ られているCOSO フレームワークに基づく内部統 告書に含めるべきかを改めて検討し 、必要なリスク 要素に関する情報を読み手に分かり易く記載する ことがポイントとなります。 制の 5つの構成要素について、それぞれ1章を割い て記載されます。第 3 章では、内部統制を醸成す るベースとなる「 統制環境 」として、受託業務に係 る組織および権限や職責の付与の状況等に関する 第 5 章 受託業務の処理の過程 この章では、 「 受託業務の処理の過程 」として、 受託業務に係る取引に関する統制目的とそれを達 ※ COSO: 米国トレッドウェイ委員会(米国公認会計士協会等を中心に、1985 年に産官学共同で創設された「不正な財務報告に関する国家委員会」を指 し、委員長の名前から「トレッドウェイ委員会」と呼ばれる。)組織委員会(the Committee of Sponsoring Organizations of the Treadway Commission) の略称であり、1992 年に「内部統制のフレームワーク」を公表しました。 January-February 2013 107 成するための方針及び手続に関する情報の提供が 目的となります。 受託業務が 、業務の流れの川上 ( 例えば、契約 口座の開設 )から川下 ( 例えば、運用報告書の発 行)までどのような要領で運営されているかを具体 第 7 章 監視活動 この章では、 「 監視活動」として、受託業務に係 る統制活動に対する日常的な監視活動や内部監査 の状況等に関する情報の提供が目的となります。 会社が設けているモニタリング活動である、自 的な業務の流れに沿って記載します。一般的には、 主点検 ( CSA )、内部監査の要領等について記載 第 5 章である程度詳細に記載された業務処理の過 することが一般的と考えられます。親会社等による 程を繰り返しつつ、統制に当たる行為をより強く意 グループ監査などを記載するケースもあります。 識して統制目的とともに示すのが 、後続の第 8 章 ( 受託業務の統制目的及び関連する統制 )となりま す。 通常の場合、 「 システムに関する記述書」の中で 第 8 章 受託業務の統制目的及び関連する統制 次の項番 「 4「統制目的及び関連する統制 」におい て記載すべき統制の例」にて解説します。 この第 5 章と第 8 章に最も多くの紙幅が費やされる パートとなります。 第 9 章 顧客側の相補的な統制の検討事項 不動産運用会社に必要と思われる記載事項につ 一連の統制目的を達成するためには、受託会社 いては、次ページの項番 4「「統制目的及び関連する だけが有効に統制を実施するだけでは足りない場 統制 」において記載すべき統制の例」にて解説し 合があります。中には委託会社 ( 顧客)サイドでの ます。 関連する統制が適切に機能して初めて所期の目的 を達せられる統制も考えられます。 「 システムに関 第 6 章 システムによる情報処理の過程 この章では、 「 システムによる情報処理の過程 」 うな委託会社の統制が機能して初めて統制目的が として、受託業務に係る取引を開始 、記録、処理 、 達成されるような統制に関する情報の提供が目的 報告する情報システムの仕組みや伝達の方法に関 となります。 する情報の提供が目的となります。 第 8 章に記載されている統制目的のすべてに対 「 システムに関する記述書」という表題の中で使 して受託会社だけがその責任を負うわけではなく、 用されている『システム』という単語は、第 2 回で解 委託会社が関連する統制を適切に実施しているこ 説したとおり、 『 受託会社がデザイン ( 設計)し 、業 とが前提となっていることのアピールとなります。 務に適用している方針と手続 』を意味します。一 例えば、次の項番 4で例示する統制目的である 方、複雑なことに、この章のタイトルの中で使用さ 「口座変更が 、網羅的 、正確かつ適時に承認され 、 れて いる『 システム』は 、通 常 の『 Information 登録されることを合理的に保証する統制 」を例にと Technology 』を指しています。 ると、受託会社は委託会社から送付される口座変 この章では、受託業務におけるITの利用状況に 更依頼書どおりに変更を登録することについて統 より、記載内容は大幅に異なってくることが想定さ 制を実施することは可能である一方、そもそも委託 れます。アプリケーションを含めて広範に ITを利 会社から提供される口座変更情報に誤りがあれ 用している場合には、システムの構成図を示し 、各 ば、登録される内容は正確ではなくなってしまいま システムの役割・提供者等について記載することが す。 一般的です。また、受託会社のIT全般統制として、 セキュリティ管理方針、アクセス管理 、システム開 発・保守計画等について記載します。 108 する記述書」の最終章となるこの章では、上述のよ ARES 不動産証券化ジャーナル Vol.11 表 2 基準における要求事項と、 「システムに関する記述書」の対応する章の例示 基準の要求事項 ① 提供した業務の種類(処理された取引種類が含まれる ことがある。) 「システムに関する記述書」の対応する章 第 2 章 業務の概要 ② 取引の開始から、記録、処理、必要に応じた修正、委 託会社のために作成される報告書への転記に至る手続 第 5 章 受託業務の処理の過程 (IT によるものか又は手作業によるものかを問わない。 ) ③ 取引の開始、記録、処理、報告に使用された会計記録、 裏付け情報及び特定の勘定(誤った情報の修正と、情 第 5 章 受託業務の処理の過程 報が委託会社のために作成される報告書等へどのよう に転記されたかを含む。) ④ 取引以外の重要な事象や状況を受託会社のシステムに より把握し対応した方法 第 3 章 統制環境 第 4 章 リスクの評価及び管理 第 7 章 監視活動 ⑤ 委託会社のための報告書を作成するために用いたプロ セス 第 5 章 受託業務の処理の過程 ⑥ 関連する統制目的、及び当該統制目的を達成するため デザインされた内部統制 第 8 章 受託業務の統制目的及び関連する統制 ⑦ 受託会社のシステムをデザインする段階で、委託会社 において整備されることを受託会社が想定する内部統 制 第 9 章 顧客側の相補的な統制の検討事項 第 3 章 統制環境 ⑧ 受託会社の統制環境、リスク評価プロセス、情報シス 第 4 章 リスクの評価及び管理 テム(関係する業務プロセスを含む。)と伝達、 統制活動、 第 6 章 システムによる情報処理の過程 監視活動の側面のうち、委託会社の取引の処理及び報 第 7 章 監視活動 告に関連するもの 第 8 章 受託業務の統制目的及び関連する統制 るものと考えます。 3.基準の要求事項との紐付け 上述のとおり、受託会社が「 システムに関する記 述書」を作成するときに考えなければならないの は、基準の要求事項を満たすことです。上の 表 2 4. 「統制目的及び関連する統制」 において記載すべき統制の例 記載上の前提と具体的な統制目的の例 は、前項冒頭で示した 86 号における「システムに関 本稿において例示した構成に基づく「 システムに する記述書」に記載すべき要求事項を、ここまで解 関する記述書」第 8 章は、第 5 章に記載された受託 説してきた第 1章から第 9 章までの構成例に当ては 業務の処理の過程をベースに、統制目的とこれに めると、各要求事項がそれぞれどの章において満 関連する具体的な統制を示すパートであり、第 5 章 たされると考えられるかを示したものです。この構 同様に「 システムに関する記述書」の中でも最も紙 成例に限らず、基準の要求事項が「システムに関す 幅を費やして記載されるのが一般的です。 る記述書」のどの章において満たされているか 、整 理しておくことをお勧めします。 場合によっては上の例示にこだわらない章立て 改めて忘れてならないのは、委託会社の財務報 告目的に関連する統制が対象となることです。委 託者の財務報告目的に関連しない統制を合理的な の構成も検討し 、受託会社のスタイルに合った構成 理由もなく記載することは適切ではありませんし 、 を見つけることができれば、受託会社のカラーを活 その一方で、記載すべき委託会社の財務報告目的 かした訴求力の高い文章を作り上げることにつなが に関連する統制の見落としがないことも、しっかり January-February 2013 109 表 3 AICPAのGuide が示す InvestmentManager の統制目的例(抜粋) 項 目 新規口座開設および管理 統制目的 新規口座が 、顧客の指示およびガイドラインに従って網羅的 、正確かつ適時に承認さ れ、開設されること 口座変更が 、網羅的 、正確かつ適時に承認され、登録されること 銘柄属性登録 新規組入証券の属性登録 、および既組入証券の属性に対する変更が 、網羅的 、正 確かつ適時に承認され、証券マスタファイルに入力されること 売買発注等の処理 売買発注等の指示が 、網羅的 、正確かつ適時に承認され、 システムに入力されること 運用ガイドラインがモニタリングされ、例外的な事象は、網羅的 、正確かつ適時に特 定・解消されること 約定結果配分が 、ポートフォリオマネジャーによって承認されること 確認または決済 売買取引が 、網羅的 、正確かつ適時に決済されること 受託銀行が 、網羅的 、正確かつ適時に取引の連絡を受けること 時価取得 証券の価格が 、承認された取得先から入手され、網羅的 、正確かつ適時に更新される こと 価格の更新が 、網羅的 、正確かつ適時に承認・処理されること コーポレートアクション コーポレートアクションの通知が 、確認され、承認された取得先から入手され、網羅的 、 正確かつ適時に記録されること 利金、配当等 利金 、配当およびその他のインカム収入の情報が 、網羅的 、正確かつ適時に処理され ること 資金異動 資金異動が 、網羅的 、正確かつ適時に承認・処理されること 受託銀行との照合 口座管理システムに反映されている証券残高および現金残高が 、受託銀行が保有す る実際の残高と網羅的 、正確かつ適時に照合されること 投資顧問報酬およびその他の経費 投資顧問報酬およびその他の経費が 、網羅的 、正確かつ適時に承認され、計算かつ 記録されること 時価評価 NAVが 、網羅的 、正確かつ適時に承認され、計算されること 口座取引報告書および運用報告書 顧客の口座保有内容および市場価格が詳述されている口座取引明細書および運用 報告書が 、網羅的かつ正確であり、顧客に対して適時に提供されること と確認しなければなりません。 かれています。この例示では、 「委託会社の財務報 告目的に関連する受託会社の統制 」という視点が 110 SSAE16を 発 行 する 米 国 公 認 会 計 士 協 会 強く意識されているので、基準の要求を外さない記 (AICPA ) が公表する「Guide:Service Organizations: 載のためには、不動産運用業務についても、まずは Applying SSAE N0.16, Reporting on Controls at a こちらの整理をベースとし 、その上で個々の不動産 Service Organization( SOC1 ) 」では、Appendix D 運用会社に応じた特徴を加味していくことが効率 としてSSAE16 がよく利用されているいくつかの受 的であると考えます。 託業務において想定される統制目的を例示してお 上述のとおり、契約締結 ( ファンド設定 )から運 り、そのひとつに Investment Manager がありま 用報告書の発行に至る業務処理の流れの中で、委 す。上の表 3 はその例示ですが 、ご覧いただいてお 託会社の財務報告に関連する統制活動が抜き出さ 分かりのとおり、証券系資産運用会社が念頭に置 れています。 ARES 不動産証券化ジャーナル Vol.11 上記の基本的な考え方をベースに、不要な統制 を除外し 、不動産運用会社の特徴として例えば以 下のような統制を加味することになると思われます。 ﹀ ﹀ ﹀ ﹀ 物件取得に係る意思決定が網羅的 、正確か ﹀ ﹀ 「網羅性 」、 「正確性 」および「適時性 」が示されて 投資物件に対するデュー・ディリジェンスが ク量等を勘案し 、確保すべき目的を識別することに 適時に行われること なります。すなわち、すべての統制についてこれら 利益相反に対する管理が網羅的 、正確かつ 3 つの目的は等しく達成されることを求めるもので 適時に行われること はありませんが 、該当しない合理的な理由を明確 資金調達に係る意思決定が網羅的 、正確か にしておく必要があります。 運用計画 ( リーシング計画、修繕計画等)に わかり易い例としては、運用報告書の発送に係 る統制が挙げられます。 「網羅性 」: 全口座を対象としたスケジュール管 PM 会社等の外部委託先業者が適時に選 理表の利用等により、運用報告書を 定・モニタリングされること 発行すべき顧客に漏れがないことを 運用に係る予実管理が網羅的 、正確かつ適 確保しているか 時に行われること ﹀ とおり、それぞれの統制が確保すべき目的として います。受託会社はそれぞれの統制の性格、リス 係る意思決定が適時に行われること ﹀ 上述の「具体的な統制の例」でも繰り返し示した つ適時に行われること つ適時に行われること ﹀ 統制を識別する上での着眼点② 「正確性 」: 作成者のチェックに加えてレビュアー 運用状況のモニタリングが網羅的 、正確か のダブルチェックの実施等により、運 つ適時に行われること 用報告書の内容が正確であることを 保有資産および 現金残高の照合が 、網羅 確保しているか 的 、正確かつ適時に処理されること 全口座を対象としたスケジュール管 理表の利用等により、運用報告書を 統制を識別する上での着眼点① 「 システムに関する記述書」の第 5 章で示す「 受 発行すべき正しい顧客に報告書が発 送されることを確保しているか 託業務の処理の過程 」と、第 8 章の「 受託業務の 「適時性 」: 全口座を対象としたスケジュール管 統制目的及び関連する統制 」は、全体の流れとして 理表の利用等により、報告期日までに は相当程度重複した記載となることが想定されま 報告書が発送されることを確保して す。その中で意識すべき違いは、第 5 章は業務の いるか 流れを分かり易く記載することが主眼であるのに対 し 、第 8 章では、その中で統制目的を示すとともに 具体的な統制活動を際立たせることです。 受託会社監査人の評価の対象となる統制につい 5.まとめ 前回までに解説したとおり、 「 内部統制報告書」 ては、当該統制を評価する上で必要な情報が盛り の重要な一部である「 システムに関する記述書」の 込まれていることが必要です。統制の当事者、証 作成責任は受託会社にあります。また、今回解説 跡となる帳票等が明示されることにより、監査人の したとおり、 「システムに関する記述書」を作成する 評価が可能になります。 ことは、とても時間のかかる、大きなプロジェクトで この着眼点については、次回「 内部統制の評価 を受けるとは」でも詳細に解説します。 す。 しかし 、SSAE16 、ISAE3402 および 86 号評 価を受ける初年度に、ある程度の時間を確保して 目的に適った文章を作成することができれば、翌年 January-February 2013 111 度以降は所要の変更等に対応したメンテナンスが 今回までは「 内部統制報告書」を形作る各文書 中心となり、受託会社として文書管理に費やす時間 とその内容に関する解説に主眼を置いてきました も大きく削減される効果が期待できます。 が 、次回は「内部統制の評価を受ける」とは、受託 「内部統制報告書」を通じて自社の業務をアピー 会社にとって具体的にどういうことなのか 、どうい ルする、という目的の達成に寄与するとともに、自 うことに注意を払わなければならないのか 、につい 社における業務処理のあり方を改めて見直す機会 て解説する予定です。 にもなると思われます。 112 あさの まさお ふくだ ひろこ 有限責任監査法人トーマツ 金融インダストリーグループ パートナー、 日本証券アナリスト協会検定会員。1982 年早稲田大学法学部卒業。 国内系資産運用会社にて 20 年以上勤務。アナリスト、ファンドマネ ジャー、ニューヨーク駐在を経た後、経営企画部門に 10 年以上従事。 2005 年監査法人トーマツ(現有限責任監査法人トーマツ)に入社。 主に資産運用会社および信託銀行に対する内部統制保証サービスのほ か、規制関連アドバイザリーサービスを提供している。 有限責任監査法人トーマツ 金融インダストリーグループ シニアマネ ジャー、米国公認会計士、AICPA 会員、公認内部監査人。 University of Michigan - Bachelors in Fine Arts, Indiana University–MasterofProfessionalAccountancy 卒業。 Deloitte&Touche( 現 Deloitte)に入所し、会計監査に従事。 以 後監査法人トーマツ(現有限責任監査法人トーマツ)へ異動し、主に 米国基準の内部統制及びコンプライアンスに関連するサービス(USSOX,SSAE 等)を提供している。 ARES 不動産証券化ジャーナル Vol.11