内部統制、全体像と1年間の評価の流れを把握

内部統制報告制度(J-SOX)とは何か?金融庁の42の評価項目に関するチェックリストの使い方、内部統制の対象範囲の決め方、どこにリスクがあるのか等、各評価資料のサンプルとともに整備・運用・評価方法を時系列で解説。IPO準備段階での対応留意点は必見。
更新:2023年11月29日

1.内部統制報告制度(J-SOX)とは

内部統制報告制度(J-SOX)とは、「財務報告に係る内部統制」が有効に機能していることを評価し外部に報告する制度のことで、金融商品取引法により上場企業に実施が義務付けられています。

前提として、上場企業に求められる内部統制は、内部統制に関する基準及び実施基準によって以下4つの目的と、それぞれの目的を達成するために必要な6つの基本的要素が定義されています。

4つの目的
  • ①業務の有効性及び効率性
  • ②財務報告の信頼性
  • ③事業活動に係る法令等の遵守
  • ④資産の保全

6つの基本的要素
  • ①統制環境
  • ②リスク評価
  • ③統制活動
  • ④情報と伝達
  • ⑤モニタリング
  • ⑥ITへの対応
参考) 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」 P.4~10

内部統制報告制度では、上記の目的のうち「②財務報告の信頼性」に関して、6つの基本的要素の視点から、次の3つの有効性を評価します。
  • ・全社的な内部統制(全社統制)
  • ・決算・財務報告プロセスに係る内部統制
  • ・業務プロセスに係る内部統制

内部統制報告制度の概要
▲内部統制報告制度の概要

評価を行うのは経営者です。そして、その評価結果が正しいかどうかを監査人が監査します。

財務報告の範囲は、財務諸表のみならず注記情報や、関連当事者の判定等、財務諸表作成に密接に関わる事項も対象になります。
また、子会社がある場合は連結ベースで評価されます。

評価時点は「期末日」です。そのため極論ではありますが、期首日では内部統制が有効でなくても、期末日で有効と評価されればよいとも言えます。

よくある誤解に「上場後3年間は内部統制報告制度が免除になる」というものがありますが、免除されるのは監査人による監査のみですので、経営者による評価が免除になるわけではありません。
上場後も会社が実施する内容は変わりませんので、IPO準備の段階から、財務報告に係る内部統制が有効かどうか評価できるよう対応しておきましょう。

【関連コラム】 IPO準備段階の内部統制報告制度(J-SOX)への対応-「監査」はIPO後3年免除。「提出」は必要-

2.1年間における内部統制評価の流れ

内部統制評価の流れは、3月決算の場合は一般的に下図のようになります。

1年間における内部統制評価の流れ
▲1年間における内部統制評価の流れ

図に記載されている「整備状況評価」と「運用状況評価」はそれぞれ以下のような違いがあり、内部統制が最終的に有効かどうかは、この2つの視点から判断します。

整備状況評価

内部統制に有効な仕組みがあるかどうか(点での評価)

運用状況評価

整備された内部統制が1年間運用されているか(フローでの評価)
そして内部統制の評価の進め方としては、まず「森」(大きな範囲)から見て、その後に「木」(より重要なところ・リスクがありそうな特定のところ)を見ていく「トップダウン型」での実施が求められます。
つまり、全社的な内部統制評価を行ってから業務プロセスの内部統制評価を行うということですが、運用状況評価に関しては、「木」である業務プロセスの内部統制評価から実施することが一般的です。

全社的な内部統制の運用状況評価は、企業全体に広く影響を及ぼすような大きな変更がない限り期末時点で評価することが望ましいです。一方で、業務プロセスの内部統制の運用状況評価は期末時点で必ずしも評価をするわけではありません。年度の間に都度発生するプロセスが対象となるため、期末時点ですべての業務プロセスを評価することが実務において現実的ではないためです。

ただし業務プロセスの内部統制の運用状況評価を期中に実施した場合には、評価時点から期末まで問題なくきちんと運用されているかをチェックするために期末時点で「統制のアップデート」を実施することが一般的な運用です。

年間のスケジュールは「評価範囲の検討」から始まりますが、検討材料とした「予算」や「前期の金額」は、時が経ち実績が出てくることにより数値が変わっていきます。
数値が変われば、リスクがすべてカバーできているかを改めて見直す必要があるため、期末前後で「評価範囲の見直し」を実施します。
例では期末としていますが、「内部統制に不備が出た」などの状況によって、都度見直しが必要です。

3.内部統制の評価範囲を決定するステップ

内部統制をどこまで評価するかは、この評価範囲の検討ステップで決まるため、非常に重要です。

すべて評価する、としてしまうと作業量が膨大になりますが、評価範囲を必要以上に少なくすれば監査法人に指摘されてやり直しになるためです。
最近はJ-SOXの文書化をアウトソーシングする企業も多いですが、本来不要なところまで範囲に含めていないかを判断するためにも、評価範囲決定の基準は自社内で持っておきましょう。

評価範囲を決定するステップは下図のとおりです。

評価範囲の決定ステップ
▲評価範囲の決定ステップ

「全社的な内部統制」の項目では、原則すべての事業拠点(子会社や支店など)が評価の対象となりますが、対象となるすべての事業拠点の累計売上金額が全体の5%未満など、重要性が僅少であれば評価の対象外とすることができます。

4.全社的な内部統制(全社統制)の評価と42の評価項目に関するチェックリスト

評価範囲を決定した後は、全社的な内部統制の整備状況評価を行っていきます。
全社的な内部統制(全社統制)とは、会社全体に影響を及ぼすような内部統制を指します。全社的な内部統制が有効かどうかによって、トップダウンで次に見るところが変わってくるため、もっとも重要な内部統制と言えます。

全社的な内部統制とは
▲全社的な内部統制とは

一般的には、内部統制の実施基準にて例示されている42の評価項目(下表)に関するチェックリストを作成し有効性を評価していきます。
チェックリストは各監査法人で作成・提供していることが多いため、すでに契約済みの監査法人があれば確認してもよいでしょう 。
基本的要素 評価項目の例
①統制環境 経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸 脱した行動が発見された場合には、適切に是正が行われるようになっているか。
経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の 客観的な実施過程を保持しているか。
取締役会及び監査役等は、財務報告とその内部統制に関し経営者を適切に監督・ 監視する責任を理解し、実行しているか。
監査役等は内部監査人及び監査人と適切な連携を図っているか。
経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められ る事実が存在する場合に、適切な改善を図っているか。
経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に 対して、適切な役割分担を定めているか。
経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所 要の能力を有する人材を確保・配置しているか。
信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、 常に適切なものとなっているか。
責任の割当てと権限の委任が全ての従業員に対して明確になされているか。
従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員 等の能力を引き出すことを支援しているか。
従業員等の勤務評価は、公平で適切なものとなっているか。

※横スクロールできます。

▲金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」 P.85~87 (内部統制の実施基準にて例示されている42の評価項目に関するチェックリスト)より「統制環境」のみ抜粋

チェックリストは、冒頭に挙げた内部統制の6つの基本的要素ごとに作られています。
これらのうち、「①統制環境」の評価項目は特に重要で、
  • ・経営理念・内部統制の基本的な方針や考え方が文書化されているか
  • ・取締役会や監査役会がモニタリングチェックするような規程があり文書化されているか
  • ・不公平や不正が起きないような人事制度になっているか
などがチェックされ、他の5つの要素に関する項目にも影響を及ぼします。

5.決算・財務報告プロセスの評価(全社的な観点)

全社的な内部統制評価の後は、決算・財務報告プロセスを評価します。
決算・財務報告プロセスとは、その名の通り決算に関するプロセスを指し、ここができていないと数字の信頼性が失われるため、全社的な内部統制と同じくらい重要です。

決算・財務報告プロセスには大きく2つの領域があり、経営規程など全社的な観点から評価する領域と、減損の検討・税効果の計算など固有の業務プロセスを評価する領域があります。

このうち、全社的な観点から評価する領域は、「全社的な内部統制」同様に、チェックリストを用いて評価します。こちらのチェックリストも各監査法人で作成していることが多いです。

決算・財務報告プロセスとは
▲決算・財務報告プロセスとは

決算・財務報告プロセスのチェックにおいては、使用している会計ソフトに関するアクセス権限の一覧表や仕訳の履歴の情報が必須です。
現在使用している会計ソフトにそうした機能がない場合は、監査法人に指摘されIPOをスムーズに進められなくなる可能性がありますので、会計ソフトの入れ替えの検討をおすすめします。

また、数値を管理する上でExcelなどのスプレッドシート(表計算ソフト)を使用することがあります。スプレッドシートは非常に便利ですが、計算式・行の間違いやファイル破損などが発生しやすいという一面もあります。そうしたミスやトラブルに気が付かなかった場合、財務報告の信頼性が損なわれてしまう可能性があります。
決算財務報告プロセスの上ではスプレッドシートの管理は非常に重要であるため、使用するスプレッドシートの種類、バックアップの有無、アクセスコントロールの設定状況は最低限管理しておいてください。
【関連セミナー】 ケーススタディで押さえる内部統制報告制度(全2回)

6.業務プロセスの評価

全社的な内部統制の評価、決算・財務報告に係る内部統制の評価(全社的な観点)の後は、固有の業務プロセス統制の評価を行います。
主な評価の流れは下図のとおりです。

業務プロセス統制の評価の流れ
▲業務プロセス統制の評価の流れ

業務プロセス統制の評価では、最初に財務報告に関する業務フローを理解するところから始め、「だれが、いつ、どこで、何を、どのように業務を行い、仕訳に繋がる情報・資料を作成・加工・承認等しているのか」を記載した業務記述書を作成します。
また、業務記述書の作成と併せて、業務の流れの連続性を確認するためのフローチャートも作成します。

上記手順で業務の流れを理解した後は、財務報告に係るリスクの識別を行います。
リスクの識別では、発生しうる不正・誤謬が、適切な財務情報を作成するための要件(アサーション)のどこに影響を及ぼすのか明確にしておくことが重要です。
下図のアサーションの分類と定義、リスクの例を参考にしてください。

リスクの識別
▲リスクの識別

想定されるリスクを洗い出したら、次にそのリスクに対応するコントロール(財務報告の信頼性を阻害するリスクを低減するための手続)の識別を行います。
コントロールは、その性質によって間違いや不正等を事前に防止する「防止的なコントロール」と、事後的に防止する「発見的なコントロール」の2つに分類されます。それぞれを組み合わせることにより、内部統制からの逸脱を防止・発見する可能性が高くなります。
例)
「防止的なコントロール」として、売上・売掛金を出荷事実との照合記録が残された出荷報告書に基づき計上しておき、「発見的なコントロール」として、半期に一度、得意先元帳に記載されている金額を得意先と照合し差異調整を行う。
また、コントロールの手法によって、承認・照合・上長による検証などの「手作業によるコントロール」と、アクセスコントロール・エディットチェックなどの「自動化されたコントロール」に区分されます。

リスクの識別、そしてコントロールの識別を実施した後は、それらのプロセスを整理したリスクコントロールマトリクス(RCM)を作成します。

コントロールの識別
▲コントロールの識別

「業務記述書」、「フローチャート」、「リスクコントロールマトリクス」が、いわゆる「J-SOXの3点セット」と呼ばれているものです。
作成は義務づけられていませんが、業務の流れを可視化し、リスクとコントロールの関係性を把握するためにも作成したほうが良いでしょう。

最後に、3点セットで明確になった各コントロールの評価を実施します。
コントロールは「2.1年間における内部統制評価の流れ」で記載したとおり、「整備状況評価」と「運用状況評価」に分けて評価します。

整備状況評価では、一般的な手続きとしてウォークスルーを行います。
ウォークスルーとは、取引を開始してから財務諸表に計上されるまでの流れを追跡することです。実際に現場に行き、
  • ・口頭や文書による質問
  • ・コントロールが行われているか観察
  • ・関連する記録等の閲覧
  • ・検証対象の再実施
などを行います。
リスクを低減するコントロールが整備されているかどうかは、先ほどの3点セットの内容と実際の業務が一致しているかどうかで評価します。

そして運用状況評価では、一般的な手続きとして無作為サンプリングによる抜き取りテストを行います。
ウォークスルーと同様に、質問・観察・閲覧・再実施の手続きの組み合わせで実施します。質問のみの手続きは原則不十分となるため注意してください。
なお、整備状況評価では、識別したすべてのコントロールに対しウォークスルーを実施しますが、運用状況評価では、すべてのコントロールに対して無作為サンプリングテストを行うことは非常に大変なため、キーコントロールに対してのみ実施します。

キーコントロール(統制上の要点)とは
▲キーコントロール(統制上の要点)とは

【関連コラム】 内部統制(J-SOX)の3点セットとは?概要と作成のポイント

7.決算・財務報告プロセスの評価(固有の業務プロセスの観点)

決算・財務報告プロセスのうち、固有の業務プロセスの評価・文書化は、一般的には「6.業務プロセスの評価」で記載した内容と同じです。

ただし、「5.決算・財務報告プロセスの評価(全社的な観点)」でも記載したとおり、決算・財務報告プロセスは財務報告の信頼性に関連する非常に重要なプロセスです。評価機会も少なく専門性も求められますので、その特徴に留意した上で評価しましょう。

評価の対象を重要性の高い項目に絞るため、以下の視点で選定します。
  • ・事業目的に大きくかかわる勘定科目に計上される仕訳か(例:棚卸資産の評価損)
  • ・事業リスクの高い取引に関する仕訳か(例:事業リスクに関連した、○○引当金)
  • ・見積りや予測を伴い、財務諸表等に重要な影響を与える仕訳か(○○引当金、税効果)
  • ・専門性が高く、複雑性を伴う仕訳か(例:特殊な会計処理に関連する仕訳)
  • ・間違いを起こしやすい仕訳か(例:過去に間違いを起こし、その影響が大きかった仕訳)
最後に、全体を通して不備の検討や不備の評価を実施し、経営者による内部統制の報告を行います。
これが内部統制報告制度の流れです。

8.IPO準備における内部統制報告制度対応の留意点

IPO実現に向けて、内部統制報告制度への対応をスムーズに進めるために以下の3点にも留意してください。

・適切な評価範囲の決定

過度に作業範囲を広げないためにも、評価範囲は外部任せにせず、自社内でも検討しましょう。
また、監査法人との意見交換や事前の擦り合わせを実施し、より適切な評価範囲の決定を行いましょう。

・作業コストが大きい文書化の対応

対応できる人員が社内にいる場合は、監査法人のツールなどを活用し社内で文書化しましょう。
社内にいない場合は、外部リソースの活用も有効です。文書化のために新たに人員を採用することは探す時間もコストもかかるため、文書化作成は外部リソースを活用し、運用は社内で対応するなど、自社に適した方法で進めましょう。

・デジタル化が進む環境下ではITが重要

内部統制とITは切っても切れない重要な関係です。特にITに関する内部統制のベースとなる、IT全般統制は非常に重要であり、有効と評価されない場合には、監査意見が出ない可能性もあり得ます。
また、業務アプリケーションに関しては、財務報告の信頼性に直結する会計システムが最重要となります。現行のシステムが内部統制報告制度に耐えうる機能があるか、事前に見直ししておきましょう。

【関連コラム】 IPO前に会計システムのリプレイスは必要か?

内部統制報告制度への対応は多くの人員コスト・作業コストがかかります。
直前になって慌てないためにも、N-2(直前々期)には着手し、申請期には万全な状態にしておきましょう。

内部統制報告制度の対応はIPO Forumネットワークへご相談ください。

IPO Forum ネットワークとは

IPOを目指す経営者や企業をワンストップでサポートする、IPOの専門家によるネットワーク組織。
2014年発足。 事業計画書作成支援、内部統制構築支援などの実務サポートのほか、 IPOの審査トレンドを解説する「IPO Forum」を半期に1度開催し、 資本政策、労務管理など、IPOに必須の論点を解説する「IPO塾」を年間を通して開催している。 メンバーによるコラムも定評がある。


【IPO Forumネットワークメンバー】
宝印刷株式会社 / 株式会社タスク /あいわ税理士法人 / TMI総合法律事務所 /アイ社会保険労務士法人 /株式会社オロ / イシン株式会社 /株式会社サーキュレーション /株式会社プロネット /株式会社オービックビジネスコンサルタント

IPO Forumネットワーク紹介資料

著書「この1冊ですべてがわかる 経営者のためのIPOバイブル 第2版」(中央経済社)

監査法人内研修でも活用される、プロが認めたIPO指南書。
株式公開を行うために必要となる前提知識・資本政策・人員体制・ IPO準備で絶対にやってはいけないことまで、Q&Aで優しく解説。
ビジネス専門書オンライン


【関連セミナー】 ケーススタディで押さえる内部統制報告制度(全2回)
関連コラム
IPO準備段階から対応すべき内部統制。内部統制(J-SOX)とは何か?内部統制報告書の「監査」はIPO後3年免除だが、IPO準備段階でどこまで対応すべきか?対応を後手に回すとどういったことが起きるのか?近年の不備事例も解説 。
IPO準備段階の内部統制報告制度(J-SOX)への対応-「監査」はIPO後3年免除。「提出」は必要-
更新:2023年11月30日
内部統制とは何か。4つの目的と6つの基本的要素を確認。内部統制報告制度への対応で求められる体制整備はどう構築するか?3点セットは必要なのか?
内部統制とは?4つの目的・6つの基本的要素から上場準備との関係を解説
更新:2023年11月28日
内部統制(J-SOX)の3点セットとは何か?概要と業務記述書・フローチャート・リスクコントロールマトリクスのそれぞれの作成方法、作成時のポイントを解説。
内部統制(J-SOX)の3点セットとは?概要と作成のポイント
更新:2023年11月28日
執筆
あいわ税理士法人<br>シニアパートナー/公認会計士/税理士<br>土屋 憲氏
あいわ税理士法人
シニアパートナー/公認会計士/税理士
土屋 憲氏
1999年より、監査法人業界にて上場会社の監査や株式上場支援業務に従事。金融機関への出向なども経験し、2015年にあいわ税理士法人に入所し現在に至る。株式上場に関連するセミナー講師多数。「株式上場マニュアル」(税務研究会)、「ケーススタディ・データ分析による資本政策の実務」(税務研究会)などを執筆。
あいわ税理士法人 ホームページ

月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!

メルマガ登録
コラム一覧に戻る
《無料》IPOお役立ち資料
この1冊ですべてわかる!経営者のためのIPOバイブル
奉行シリーズは、IPO実現企業の60%に選ばれています。導入のご相談はこちら!
お気軽にご相談ください

製品・サービスの導入のご相談ついて、専任スタッフがあなたの疑問にお応えいたします。

導入のご検討のお客様専用ダイヤル

0120-121-250

10:00〜12:00/13:00〜17:00
(土・日・祝日を除く)