内部統制基準の改訂!調達・購買業務プロセスへの影響とは?

  • このエントリーをはてなブックマークに追加
内部統制基準の改訂!調達・購買業務プロセスへの影響とは?
download-img01.jpg

2023年4月7日に、内部統制基準および実施基準の改訂が公表されました。

内部統制基準が改訂された背景のひとつは、内部統制報告制度(J-SOX制度)の実効性に関する懸念が生じたためです。

調達業務や購買業務においても、内部統制の整備は重要視されてきましたが、近年の購買業務における不正など内部統制上の問題が多く発生していることも影響しています。

改訂後の適用は、2024年4月1日以降に始まる事業年度の内部統制監査からです。

この記事では、改定の背景や改定内容から特に「調達・購買業務」(*)に関係する課題や内部統制のポイントについて解説します。

調達・購買業務(*)
商品、原材料、サービスなどの見積や契約締結を行い、発注し、代金を支払うまでの業務

内部統制とは

内部統制は、企業が自社の業務を適正かつ合法的に実施するための仕組みです。

金融庁、企業会計審議会が公表している内部統制評価の実務上のガイドラインでは、以下の通り説明しています。

出所:内部統制評価の実務上のガイドライン
「財務報告に係る内部統制の評価及び監査の基準」(以下、基準)
「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、実施基準)

内部統制とは、業務の有効性及び効率性報告の信頼性事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいいます。

内部統制は、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成されます。

4つの目的

業務の有効性及び効率性とは、事業活動の目的の達成のため、業務の有効性及び効率性を高めることをいう。

(参考)
業務の効率化調達・購買管理を効率化するには?調達・購買管理システムについて解説
調達・購買管理システムについて解説!業務効率化のポイント

報告の信頼性とは、組織内及び組織の外部への報告(非財務情報を含む。)の信頼性を確保することをいう。

事業活動に関わる法令等の遵守とは、事業活動に関わる法令その他の規範の遵守を促進することをいう。

参考:コンプライアンス(compliance)
コンプライアンスとは、「法令遵守」のことをさし、企業や個人が法令や社会的ルールを守ることを意味しています。 
コンプライアンスに求めらるのは「法令を守れば良い」というわけではなく、企業倫理や社会規範などに従い、公正・公平に業務を行うという意味も含まれています。

購買業務に関連するコンプライアンス
内部統制基準、電子帳簿保存法、インボイス制度、下請法、建設業法等
調達部、購買部が知っておくべき、インボイス制度に関する業務とシステム
【建設業向け】購買管理システム選定のポイント4選!業界の課題と建設工事案件のシステム要件
調達・購買DXでも必須!電帳法で困ったこと、専門家に聞いてみた。
調達・購買DXで必要な電子帳簿保存法への対応

資産の保全とは、資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう。

(参考)
調達・購買管理におけるガバナンス強化の必要性について解説

6つの基本的要素

統制環境
  経営者の命令及び指示が適切に実行されるための方針、手続き。例えば、職務分離や職務分掌などです。

リスクの評価と対応
 リスクを識別、分類及び評価するプロセスです。リスク評価の流れは、①リスクの識別、②分類、③分析、④評価、⑤対応とされています。

統制活動
 業務プロセスのリスクや統制(コントロール)を認識し、評価及び改善をする活動です。

情報と伝達
 必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することです。

モニタリング(監視活動)
 内部統制が有効に機能していることを継続的に評価するプロセスです。

IT(情報技術)
 ①ITへの対応
  組織を取り巻くIT環境を適切に理解し、ITの利用及び統制について適切な対応を行う必要があります。
 ②ITの利用及び統制
  ITには、情報処理の有効性、効率性等を高める効果があり、これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができます。

ITの利用の具体例を以下に紹介します。

統制環境の有効性を確保する  
 例)
 社内ポータルサイト、チャットツール、電子メール等を利用し、経営者の方針や決定事項等を伝達する

リスクの評価と対応の有効性を確保する
 例)
 売掛債権の発生や回収を適時に把握し、回収が滞っている売掛債権について別途の管理をする

統制活動の有効性を確保する
 例)
 生産管理システムの棚卸の検証機能で製造指図書のデータに従って在庫原材料の出庫数量を入力する手続や日々の原材料の実在庫データを入力し、帳簿在庫と実在庫の差を把握し、問題を発見する 

情報と伝達の有効性を確保する
 例)
 ホームページ上でメッセージの掲載などを組織外部に向けた報告を行い、自社製品へのクレーム情報等を外部から収集する

モニタリングの有効性を確保
 例)
 日常の業務活動を管理するシステムに組み込み自動化する

IT統制とは、ITを取り入れた情報システムに関する統制であり、自動化された統制を中心としますが、手作業による統制も含まれます。

ITの統制を有効なものとするために経営者が設定する目標を、ITの統制目標と呼びます。

ITの統制目標としては、例えば、次のものが挙げられます。 
 
準拠性
 情報が関連する法令や会計基準、社内規則等に合致して処理されていること

信頼性
 情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性) 

可用性
 情報が必要とされるときに利用可能であること

機密性
 情報が正当な権限を有する者以外に利用されないように保護されていること

参考:ガバナンス(governance)
内部統制と同じような用語に、ガバナンスがあります。
ガバナンスとは、顧客・従業員・地域社会等の立場を踏まえた上で、組織が、透明・公正かつ迅速・果断な意思決定を行うための仕組みで、コーポレートガバナンスとも呼ばれます
コーポレートガバナンスと内部統制は、どちらも健全な経営を行うための取り組みには変わりありません。
しかしコーポレート・ガバナンスは、企業全体に対してのシステムや手法を指します。
一方で内部統制とは、企業内部に対して設けられた制度や手法のことを指します。

内部統制基準改定の経緯

内部統制基準は、組織内で目標達成やリスク管理を確保するための仕組みや、規則で経営や事業を適正に進めるために大切なプロセスです。

内部統制基準が改訂された背景のひとつは、内部統制報告制度(J-SOX制度)の実効性に関する懸念が生じたためです。

内部統制報告制度が開始されて以降、制度は財務報告の信頼性の向上に一定の効果をもたらしました。
しかしながら、制度導入から15年ほどたち、内部統制の評価範囲外で開示が必要になる事例が出てきました。

改正前の実施基準では、評価対象とする業務プロセスを識別する方法として、原則、売上、売掛、棚卸資産の3勘定に至る業務プロセスを対象としていました。
企業の特性等を踏まえて判断する必要があるとされていましたが、内部統制の評価業務は企業にとって負担が大きく、コストを削減するためにも、なるべく最低限の範囲にとどめておくことが一般的でした。

不正リスクの大きい調達・購買業務のプロセスについても、多くの企業が内部統制の評価対象外となっています。
一部の内部統制を重視している企業でも、会計データの分析による統制や棚卸資産勘定に関連する直接材の仕入(パーチェシング:Purchasing)業務のみ対象にしていました。間接材、固定資産などの調達・購買業務プロセスや不正を防止する調達契約(ソーシング:Sourcing)業務を統制として評価対象としている企業は少ない状況です。
(参考)
ソーシング(調達契約)と調達・購買システムの契約管理について解説

このように、業務処理統制、決算・財務統制は、決算の数字を作るプロセスを評価するもので、不正や作られた数字そのものが適切かどうかを確認するものではなかったことから、日本の内部統制報告制度が形骸化することの要因の1つとなっていました。

2013年5月には、米国のCOSO(トレッドウェイ委員会支援組織委員会)報告書が改訂され、国際的な内部統制の枠組みが変化しています。
具体的に、内部統制の目的の一つである「財務報告」の「報告」(非財務報告と内部報告を含む。)への拡張、不正に関するリスクへの対応の強調、内部統制とガバナンスや全組織的なリスク管理との関連性の明確化等です。
しかし、日本の内部統制報告制度には、国際的な枠組みの変化はまだ反映されていません。
このような内部統制報告制度をとりまく環境に対応するため、内部統制基準は改訂されました。

内部統制基準の変更点

上記の経緯やIT技術の発展により内部統制基準が改訂されました。

特に調達・購買プロセスに関連するものとしては、内部統制評価範囲に関するもの、不正リスクに関するもの、ITに関するものが多く変更されています。

参考までに、基準及び実施基準の変更箇所の一部を下記に記します。

◎内部統制の定義 
(旧)
財務報告の信頼性とは、財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保することをいう。」

(新)
報告の信頼性とは、組織内及び組織の外部への報告(非財務情報を含む。)の信頼性を確保することをいう。」 
◎評価の範囲、評価時点及び評価手続
(追加)
特に、以下の事項について、決定の判断事由を含めて記載することが適切である。
イ.重要な事業拠点の選定において利用した指標とその一定割合
ロ.評価対象とする業務プロセスの識別において企業の事業目的に大きく関わるものとして選定した勘定科目
ハ.個別に評価対象に追加した事業拠点及び業務プロセス

◎内部統制監査と財務諸表監査の関係
(追加)
財務諸表監査の過程で識別された内部統制の不備には、経営者による内部統制評価の範囲外のものが含まれることがある。
監査人は、当該不備について内部統制報告制度における内部統制の評価範囲及び評価に及ぼす影響を十分に考慮しなければならない。また、必要に応じて、経営者と協議しなければならない。 

◎リスクの評価と対応
(追加)
リスクの評価の対象となるリスクには、不正に関するリスクも含まれる。
不正に関するリスクの検討においては、様々な不正及び違法行為の結果発生し得る不適切な報告、資産の流用及び汚職について検討が必要である。
不正に関するリスクの評価においては、不正に関する、動機とプレッシャー、機会、姿勢と正当化について考慮することが重要である。 また、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直すことが重要である。

◎情報と伝達
大量の情報を扱い、業務が高度に自動化されたシステムに依存している状況においては、情報の信頼性が重要である。
信頼性のない情報は、経営者の誤った判断等につながる可能性がある。
情報の信頼性を確保するためには、情報の処理プロセスにおいてシステムが有効に機能していることが求められる。

◎IT(情報技術)への対応 
(旧)
「ITへの対応を基本的要素に加えたことは、組織に深くITが浸透している現状では、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠となっていることを示したものであって、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない。 」

(新)
「また、情報システムの開発・運用・保守などITに関する業務の全て又は一部を、外部組織に委託するケースもあり、かかるITの委託業務に係る統制の重要性が増している。さらに、クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要である
ITへの対応を基本的要素に加えたことは、組織に深くITが浸透している現状では、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠となっていることを示したものであって、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない。」

(参考)調達・購買管理システム!クラウド時代の選定方法と情報セキュリティ

◎評価の範囲の決定
(追加)
この決定の際には、長期間にわたり評価範囲外としてきた特定の事業拠点や業務プロセスについても、評価範囲に含めることの必要性の有無を考慮しなければならない。 
(追加)
評価範囲外の事業拠点又は業務プロセスにおいて開示すべき重要な不備が識別された場合には、当該事業拠点又は業務プロセスについては、少なくとも当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切である。

◎評価対象とする業務プロセスの識別
(旧)
企業の事業目的に大きく関わる勘定科目(例えば、一般的な事業会社の場合、原則として、売上、売掛金及び棚卸資産)に至る業務プロセスは、原則として、全てを評価の対象とする。
 ↓
(新)
企業の事業目的に大きく関わる勘定科目に至る業務プロセスは、財務報告に及ぼす影響を勘案し、原則として、全てを評価の対象とする。

◎ITに係る業務処理統制の評価
ITに係る業務処理統制は、多くは自動化されたITに係る業務処理統制であるが、一部、ITシステムに組み込まれていない手作業によるITに係る業務処理統制が存在している場合がある。
一般的に、自動化されたITに係る業務処理統制は手作業によるITに係る業務処理統制よりも無効化が難しくなる。
しかし、自動化されたITに係る業務処理統制であっても過信せずに、内部統制の無効化のリスクを完全に防ぐことは困難であるという視点を持つことが重要である。
また、電子記録について変更の痕跡が残り難い場合には、内部統制の無効化が生じてもその発見が遅れることがある点についても留意することが重要である。 


調達・購買業務への影響

内部統制基準の改訂による影響と対策については、内部統制基準の改訂で示された中長期的な課題に対応することが求められます。

購買業務においては、不正請求や受注漏れ、癒着、不適切な契約などがリスクとなります。これらのリスクを適切に管理するためには、内部統制が不可欠です。

内部統制の評価範囲が拡大されたことで、内部統制の評価対象が増える可能性があります。

調達・購買業務のリスクとコントロール(内部統制)のまとめ

まず、調達業務や購買業務は企業にとって重要な業務であり、上記の通り、さまざまなリスクが存在します。
架空発注、取引先との癒着、横領、水増し請求、業務の属人化などが挙げられます。

具体的な事件として、
下請会社に対して加工代金を水増し請求させ、自分の口座に振り込ませるなどした事例、
補修材等の名目で架空発注した消耗品を私的利用した事例、
取引先との共謀による証憑偽造や業務実態のないサービスの形で不正請求されるケースが多く見られます。

購買担当者と取引先との癒着は、発見や防止が難しいリスクです。
会計データは適正に見え、証票やデータによる3点突合だけでは発見できません。しかし、商品調達のコスト高を招き、会社の業績に大打撃を与えかねません。

参考
調達・購買管理におけるガバナンス強化の必要性について解説

また、内部統制が適切に機能しているかどうかは、企業の信頼性や透明性にも影響を与えます。内部統制が不十分である場合、調達や購買に関する問題が発生する恐れがあり、それが業績や評判に影響を与えることもあります。
一方で、適切な内部統制が機能している企業は、社会的信頼性が高まります。

さらに、内部統制は、法令や規則に適合するための重要な要素でもあります。調達や購買に関連する法令や規則は多岐にわたり、それらを遵守するためには、内部統制が適切に機能していることが必要です。また、内部統制が不十分な場合、法令違反や規制違反につながるリスクが高まることもあります。

上記を避けるため以下のコントロール(内部統制)を設けることが重要です。

購買規程の整備
購買規程の項目として、総則、購買計画、取引先、発注、検収、仕入れ計上、支払いなど細かく設定し、購買担当者に順守させる必要があります。

同じ担当者による業務
同じ担当者に長年同じ領域の購買管理を任せていると、取引先との癒着リスク上昇につながります。
具体的には、取引先の営業担当者と自社の購買管理担当者との間で不正取引が起きる可能性があるため、定期的に担当者を変更するのも大切です。

相見積業務の徹底
複数のサプライヤーに必ず相見積を実施し、サプライヤーの選定は購買部門など別の担当者のチェックを設けることがが効果的です。購買基準として、商品の仕様、サプライヤー、選定条件、購入条件などをRFP(提案依頼書)で明記することも重要です。

(参考)
RFQ・RFI・RFPの違いとは?調達業務での活用方法や登場シーンについて解説

発注、支払いなど各部門の担当を分ける
職務分掌は、購買管理の不正防止において重要なポイントです。
部門や業務範囲を明確に分けて、なおかつ責任の所在もはっきりさせる体制にする必要があります。
発注部門と検収管理部門の担当者を兼任させない他部門の情報や管理システムへ容易にアクセスできないよう担当を別々に分けるといった体制を指します。また、発注と検収担当を別々に分けることで、正しい取引が行われているか2回に分けてチェックできます。業務範囲や部門の兼任は、避けることが大切です。

検収手続きは適正かつ迅速に行う
迅速に検収を行うことで、不正が発生する隙を与えずに支払いまで行うことが重要です。

3点照合 (3 way matching)
サプライヤーからの請求書が正確であることを確認するため、3つの証憑(注文書、納品書、請求書)が一致していることを確認することを確認します。

買掛金残高(支払管理)のチェック
買掛金残高をチェックしたり、誰にも書き換えられたりできないような調達・購買管理機能(支払管理機能)を強化することは、不正取引や改ざんの防止につながります。各種書類の作成や発注時には、責任者によるワークフロー承認およびチェック体制を整備することも重要です。

調達・購買管理システムの利用
上記業務を効率的に実施すること及び自動処理による統制が期待できます。

調達・購買管理システムは、情報の一元管理、業務効率化、内部統制の強化といった利点があります。
また調達・購買管理以外のシステムと連動することで、法令への対応のほか、社内の仕組みを一気に改善できるのがメリットです。

intra-mart Procurement Cloudは、調達・購買プロセスをワンストップで提供しているクラウド型サービスです。
請求書発行や請求書受領も備えているため、手間をかけずに業務の効率化が可能です。
Excelなど手作業で実施している場合と比較して外部の内部統制監査の費用も大きく削減することができます。
調達・購買管理における内部統制の整備にお悩みの方は、ぜひ以下のページからintra-mart Procurement Cloudについての資料請求又は問い合わせをしてください。

(参考)調達リスクの要業績評価指標(KPI)
一社発注比率
特定の品目群において一つのサプライヤーからのみ発注している割合を示します。一社発注比率が高い場合、サプライヤーリスクの集中化や競争の不足が懸念されるため、適切なサプライヤーポートフォリオの構築が求められます。

納入品質不良率

特定の期間内に納入された製品や材料の中で、不良品や欠陥品の割合を示します。納入品質不良率の低下は、製品の品質向上や生産効率の向上につながります。

納期遵守率

特定の期間内に納期通りに製品や材料が供給された割合を示します。納期遵守率の向上は、生産計画の安定性や顧客満足度の向上につながります。

欠品率

特定の期間内に製品や材料が在庫不足で欠品した割合を示します。欠品率の低下は、生産計画の安定性や顧客満足度の向上に寄与します。

原低率

特定の期間内に原価低減活動によって実現されたコスト削減額の割合を示します。原低率の向上は、企業の収益性や競争力の向上に貢献します。

サプライヤー倒産件数

特定の期間内にサプライヤーが倒産した件数を示します。サプライヤー倒産は調達リスクを引き起こし、生産停止や供給不足などの問題を引き起こす可能性があります。

(参考)コンプライアンスの要業績評価指標(KPI)

下請法対象サプライヤー数

特定の期間内に調達部門が下請法の対象となるサプライヤーの数を示します。下請法対象サプライヤーは、公正な取引条件の確保や中小企業支援の観点から特別な取り扱いが求められる重要な取引相手です。

下請法対象サプライヤー率

特定の期間内に調達部門が下請法の対象となるサプライヤーの割合を示します。下請法対象サプライヤー率の向上は、公正な取引環境の確保や企業の社会的責任の履行に貢献します。

環境負荷物質把握率

特定の期間内に調達部門が取り扱う品目のうち、環境負荷物質の把握が適切に行われた割合を示します。環境負荷物質把握率の向上は、環境保護や持続可能な調達の促進につながります。

価格未決発注数

特定の期間内に価格が未確定のまま発注された件数を示します。価格未決の発注は不透明性を生み出し、予算の超過や紛争の原因となる可能性があります。

検収遅延数、支払遅延数

特定の期間内に検収または支払いが遅延した件数を示します。検収や支払いの遅延はサプライヤーとの信頼関係を損ない、取引の円滑な進行を妨げる可能性があります。

法令対応監査不具合件数

特定の期間内に法令対応監査で発見された不具合の件数を示します。法令遵守の不備はリスクを引き起こし、法的問題や信頼性の低下を招く可能性があります。

環境負荷規制遵守率

特定の期間内に環境負荷規制に適合したサプライヤーの割合を示します。環境規制への適合は企業の社会的責任を示し、環境への影響を最小限に抑えることに貢献します。



download-img01.jpg

Procurement Cloudを
ご検討される方へ

自社の要件にかなうかどうかを
直接聞きたい方へ