内部統制実施基準とは?改訂の概要と背景、評価項目、重要ポイントを解説

このエントリーをはてなブックマークに追加
article156_visualLong

内部統制実施基準は、財務報告に係る内部統制の評価と内部統制監査を実施する際の具体的な考え方を示す基準です。2024年4月1日以後に開始する事業年度から改訂後の基準が適用されており、評価範囲の判断、不正リスクへの対応、ITやクラウド利用を含む情報システム管理など、実務で確認すべき論点がより明確になりました。IPO準備企業にとっても、内部統制システムを中長期的に構築し、財務情報の信頼性を高めるうえで、内部統制基準と実施基準の理解は欠かせません。本コラムでは、内部統制基準および実施基準の概要、評価項目、改訂内容、実務上の注意点について解説します。

IPO Compass編集部
■執筆:IPO Compass編集部
スムーズなIPOに近づくためのコラム・セミナーを企画しています。

この記事でわかること

  • 内部統制実施基準の概要
  • 内部統制実施基準の評価項目
  • 内部統制基準および実施基準の改訂概要
  • 内部統制基準の実務における注意点

1.内部統制基準および実施基準とは?

内部統制とは、会社の業務が適切に行われることを目的に業務の中に組み込まれ、組織内のすべての者によって遂行されるプロセスをいいます。金融庁の基準では、内部統制は「業務の有効性及び効率性」「報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」という4つの目的を達成するための仕組みとして整理されています。IPO準備では、上場審査や上場後の内部統制報告制度への対応を見据え、内部統制を属人的な管理ではなく、継続的に運用できる仕組みとして整備していくことが重要です。

●内部統制基準とは?

内部統制基準は、正式には「財務報告に係る内部統制の評価及び監査の基準」という名称です。これは、経営者が財務報告に係る内部統制の有効性をどのように評価し、監査人がその評価をどのように監査するかについて、基本的な枠組みを示すものです。内部統制の目的、基本的要素、経営者・取締役会・監査役等・内部監査人・監査人の役割などが整理されており、内部統制報告制度の土台となります。

●内部統制実施基準とは?

内部統制実施基準の正式名称は、「財務報告に係る内部統制の評価及び監査に関する実施基準」です。内部統制基準が基本的な考え方を示すのに対し、実施基準は、全社的な内部統制、決算・財務報告プロセス、業務プロセス、ITを利用した内部統制などをどのように評価するかについて、より具体的に示すものです。経営者が内部統制評価を行う際の評価範囲、評価方法、評価結果の報告、監査人との協議などの実務に関係します。

●内部統制基準・実施基準の必要性

内部統制は、会社の規模、事業内容、組織構造、情報システムの利用状況によって、設計・運用の形が異なります。そのため、各社が独自の判断だけで内部統制評価を行うと、評価の深さや判断基準にばらつきが生じやすくなります。こうした状況に対し、財務報告の信頼性を合理的に確保するために、統一的な評価の枠組みを提供するものが内部統制基準と実施基準です。

【関連コラム】

2.内部統制実施基準の評価項目

内部統制は、4つの目的を達成するために、6つの基本的要素で構成されます。6つの基本的要素とは、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」です。内部統制評価では、これらの要素が業務プロセスに適切に組み込まれ、実際に有効に運用されているかを確認します。ここでは、内部統制実施基準における評価項目である6つの基本的要素の内容と、評価時に確認したいポイントを整理します。

●統制環境

「統制環境」とは、組織が保有する価値基準、組織の基本的な人事・職務制度、企業風土、経営者の姿勢などを総称する概念です。内部統制の土台となる要素であり、どれだけ詳細なルールや承認フローを整えても、誠実性、倫理観、法令遵守意識が組織内に浸透していなければ、内部統制は形骸化する可能性があります。

【統制環境に関する主な評価基準】

  • 誠実性及び倫理観:組織全体で誠実性や倫理観が共有されているか
  • 経営者の意向及び姿勢:経営者が内部統制の重要性を理解し、適切な姿勢を示しているか
  • 経営方針及び経営戦略:経営方針や経営戦略が明確に示されているか
  • 取締役会及び監査役等の有する機能:取締役会及び監査役等が監督機能を適切に果たしているか
  • 組織構造及び慣行:組織構造や社内慣行が適切に整っているか
  • 権限及び職責:各部門や担当者の権限と責任が明確に定められているか
  • 人的資源に対する方針と管理:人材配置や育成、評価に関する方針と管理が整っているか

●リスクの評価と対応

「リスクの評価と対応」とは、組織目標の達成を妨げる可能性のあるリスクを識別・分類・分析・評価し、そのリスクへの対応を決定するプロセスです。財務報告に係る内部統制では、誤謬や不正によって財務情報に重要な虚偽表示が生じるリスクを把握し、必要な統制を設計します。

【リスクの評価・対応に関する評価基準】

  • リスクの評価:リスクを適切に識別・分類・分析・評価しているか
  • リスクへの対応:評価したリスクに適切な対応ができているか

●統制活動

「統制活動」とは、経営者の命令や指示が適切に実行されるように定める方針と手続きです。具体的には、承認・照合・職務分掌・実地棚卸・アクセス権限管理・例外取引の確認などが該当します。IPO準備企業では、創業期からの口頭承認や属人的な処理が残っている場合があるため、重要な業務処理について、誰が、いつ、何を確認し、どの証跡を残すかを明確にすることが重要です。

【統制活動に関する評価基準】

  • 承認・権限管理:取引や決裁に必要な承認権限が明確で、実際の運用と一致しているか
  • 職務分掌:申請・承認・記録・保管・照合などの役割が適切に分離されているか、販売・購買・在庫・固定資産・人件費・決算などの主要業務に統制が組み込まれているか

●情報と伝達

「情報と伝達」とは、必要な情報が識別・把握・処理され、組織内外の関係者に適時かつ適切に伝達される仕組みです。財務報告の信頼性を確保するには、会計処理に必要な情報が現場から経理部門に正確に伝わること、内部統制上の不備や懸念が経営者・取締役会・監査役等・内部監査人・監査人に共有されることが求められます。

【情報と伝達に関する評価基準】

  • 情報の識別・把握・処理:社内外の信頼性のある情報が、適切に識別・把握・処理されているか
  • 内部伝達:必要な情報が組織内の適切な関係者(経営者、取締役会、監査役等など)に適時・正確に伝達されているか
  • 外部伝達:財務報告の信頼性に関わる情報が、外部(株主や投資家など)に適切に開示・伝達されているか
  • 通報・相談経路:通常の伝達経路とは別に、不正や懸念を報告できる内部通報・相談窓口が機能しているか

●モニタリング

「モニタリング」とは、内部統制が有効に機能しているかを継続的に確認し、必要に応じて是正するプロセスです。日常的モニタリングは業務部門による自己点検や上長確認などを通じて行われ、独立的評価は内部監査部門などが実施します。内部統制評価で不備が見つかった場合は、原因を分析して改善策を講じ、改善後の運用状況まで確認することが重要です。

【モニタリングに関する評価基準】

  • 日常的モニタリング:業務の中で統制の実施状況を継続的に確認する仕組みがあるか
  • 独立的評価:内部監査人などが、客観的な立場から内部統制の有効性を評価しているか
  • 不備の報告:発見された不備が、重要性に応じて経営者、取締役会、監査役等に報告されているか
  • 是正状況の確認:改善策の実施だけでなく、改善後に統制が有効に機能しているかを確認しているか

●ITへの対応

「ITへの対応」とは、情報システムを利用した業務処理や財務報告に関連して、IT環境の整備・アクセス管理・システム変更管理・障害対応・外部委託先管理などを行うことです。クラウドサービスや外部委託先、データ連携ツールを利用する企業では、自社内だけでなく、委託先やサービス提供事業者を含めた管理状況を把握する必要があります。

【ITへの対応に関する評価基準】

  • IT戦略の策定:ITに関する適切な戦略、計画等を定めているか
  • IT環境への対応:IT環境を適切に理解し、これを踏まえた方針を明確に示しているか
  • IT全般統制及びIT業務処理統制:ITに係る全般統制及びITに係る業務処理統制についての方針及び手続きを適切に定めているか

3.【2024年4月適用】内部統制基準および実施基準の改訂概要

内部統制基準および実施基準は、2024年4月1日以後に開始する事業年度から改訂後の内容が適用されています。特に、評価範囲を形式的に決めないこと、ITを利用した内部統制を適切に評価すること、内部統制報告書の記載を明確にすることは、実務上の重要ポイントとなります。

●内部統制の基本的な枠組み

改訂では、内部統制の目的の一つであった「財務報告の信頼性」が「報告の信頼性」に変更されました。これにより、組織内外への報告について、財務情報だけでなく非財務情報も含めた信頼性確保の重要性が明確になりました。また、「リスクの評価と対応」「情報と伝達」「ITへの対応」について、企業環境の変化やテクノロジー利用の拡大を踏まえた追記が行われました。
さらに、経営者による内部統制の無効化への対応、内部統制の関係者の役割と責任、内部統制とガバナンス及び全組織的なリスク管理との関係も明確化されています。3線モデルも例示され、業務部門・リスク管理部門・内部監査部門と取締役会・監査役等が連携しながら、内部統制を一体的に整備・運用する考え方が示されています。

【改訂内容】

  • 「財務報告の信頼性」が「報告の信頼性」に変更
  • 「リスクの評価と対応」「情報と伝達」「ITへの対応」への追記
  • 「経営者による内部統制の無効化」に該当する行為に対して、適切な内部統制の例を追記
  • 「内部統制の関係者に対する役割と責任」に関する記載を追記
  • 「内部統制とガバナンス及び全組織的なリスク管理」の重要性と考え方を新設

●財務報告に係る内部統制の評価及び報告

経営者による評価範囲の決定については、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことが改めて強調されました。たとえば、「売上高等のおおむね3分の2」や「売上、売掛金及び棚卸資産の3勘定」といった基準はあくまで例示であり、機械的に適用すべきものではありません。重要なリスクがある拠点や業務プロセスは、形式的な基準を機械的に適用せず、評価範囲に含める必要があります。
また、ITを利用した内部統制の評価に関する留意事項が追加され、内部統制報告書における記載事項も明示されました。評価範囲を決定した理由や評価範囲外で不備が見つかった場合の対応について、これらの判断の根拠を合理的に説明することが求められます。

【改訂内容】

  • 経営者による評価範囲の決定における留意点の明確化
  • ITを利用した内部統制の評価に関する留意事項の追加
  • 内部統制報告書における記載事項の明示

【関連コラム】

●財務報告に係る内部統制の監査

内部統制監査については、重要なリスクに重点を置いた効率的な監査を実施する考え方が明確化されました。監査人は、財務諸表監査で得られた監査証拠等を内部統制監査にも活用できること、監査人の独立性を確保すること、評価範囲外で発見された内部統制の不備への対応を検討することが示されています。

【改訂内容】

  • 監査人は内部統制監査において監査証拠等を活用することを明確化
  • 監査人の独立性を確保することを明確化
  • 評価範囲外で発見された内部統制の不備への対応を明確化

出典:
金融庁「財務報告に係る内部統制の評価及び監査の基準・実施基準(抄)新旧対照表」
金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」

4.内部統制実施基準が改訂された背景

内部統制報告制度の導入後、評価範囲の判断や不備の開示に関する課題が見られたことに加え、企業を取り巻く環境が大きく変化し、従来の実務だけでは十分にリスクを捉えにくくなったことが改訂の背景にあります。形式的なチェックリスト対応ではなく、自社の事業構造やリスクに即した内部統制を構築する必要があります。

●内部統制制度導入後の課題の見直し

内部統制報告制度の運用では、経営者による内部統制の評価範囲外で開示すべき重要な不備が明らかになった事例や、内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が一定程度見受けられていました。こうした状況から、経営者が評価範囲を検討する際に、財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないかという懸念が指摘されました。
特に、「売上高のおおむね3分の2」を形式的に当てはめ、対象外となった拠点や業務プロセスが抱えるリスクを十分に認識していないケースは問題となります。数値基準は評価範囲を検討する際の目安であり、重要な不正リスクや財務報告への影響がある場合には、追加的に評価範囲に含める判断が必要です。改訂は、これまでの形式的な運用から、実効性のある内部統制評価に移行することを促すものです。

●企業を取り巻く環境変化への対応

米国では2013年にCOSOの内部統制フレームワークが改訂され、「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング」の5つの構成要素と17原則を通じて、より実効的な内部統制の考え方が示されました。日本でもコーポレートガバナンス・コードなどの整備は進んでおり、内部統制報告制度についても、企業環境の変化を踏まえた見直しが求められていました。
近年は、グループ経営の拡大やDXの進展、クラウドサービスの利用、外部委託の増加などにより、管理すべき範囲が広がっています。そのため、内部統制評価でも、単に従来の業務プロセスをなぞるのではなく、実際のリスク評価に基づいて、重要な領域を適切に見極めることが求められます。

●不正リスク・IT・サイバーリスクへの対応と管理

IT活用の増加により、内部統制で管理すべきリスクは、社内業務のミスや手続きの漏れにとどまらず、システムやデータを起点としたリスクへと広がっています。たとえば、クラウドサービスの設定ミスやアクセス権限の過大付与、外部委託先での障害、データ連携時の誤処理、サイバー攻撃によるデータの消失やシステム障害、情報の信頼性の毀損などは、財務報告にも影響を与える可能性があります。
また、不正リスクへの対応では、担当者の単純なミスを防ぐだけでなく、経営者や管理職がルールを無視する可能性も想定しておく必要があります。内部監査人や監査役等が適切に情報を入手し、必要に応じて取締役会や監査人と連携できる体制を整えることが、内部統制の有効性を高めるうえで重要です。

5.内部統制基準の実務で注意すべきポイント

内部統制基準と実施基準を実務に落とし込む際は、制度の文言を理解するだけでなく、自社の業務、組織、情報システム、グループ会社の状況に合わせて判断することが重要です。ここでは、実務で注意すべきポイントを整理します。

●評価範囲を適切に判断する

内部統制評価の範囲は、財務報告への影響の重要性とリスクに基づいて判断する必要があります。売上高などを基準として重要な事業拠点(本社・拠点・子会社など)を選定し、そのうえで、売上、売掛金、棚卸資産といった重要な勘定科目に関連する業務プロセスを評価対象として抽出します。実施基準で例示されている、「売上高等のおおむね3分の2」や「売上、売掛金及び棚卸資産の3勘定」といった指標はあくまで目安であり、機械的に適用すべきものではありません。
たとえば、売上規模が小さい拠点や子会社であっても、特殊な契約や手作業の多い業務、経営者判断に依存する取引、外部委託を含む業務プロセスには、重要なリスクが潜む場合があります。こうしたリスクが財務報告に与える影響の重要性を踏まえ、必要に応じて評価範囲に追加するかを個別に判断することが重要です。
また、評価範囲は一度決めたら固定されるものではなく、新規事業の開始やシステム変更などによってリスクが変化した場合には、適宜見直す必要があります。

●不正が発生しにくい体制に整える

内部統制は、単なるミス防止の仕組みではありません。意図的な不正が発生する可能性を前提に、承認権限、職務分掌、例外処理の確認、内部通報制度、内部監査、監査役等による監視を設計する必要があります。
特に注意すべきなのは、経営者による内部統制の無効化です。経営者が承認フローを無視したり、例外的な会計処理を指示したりする場合、通常の業務プロセスに組み込まれた統制だけでは不正を防げない可能性があります。そのため、重要な会計上の見積もり、非定型取引、期末の修正仕訳、関連当事者取引などについては、モニタリングや監査役等への報告経路を含めて検討することが求められます。

●IT・クラウド・委託先を含めた社内の管理体制を見直す

業務システムや会計システム、販売管理システム、ワークフロー、クラウドストレージ、SaaSなどを利用している場合、内部統制の対象は社内の紙の承認書類だけにとどまりません。アクセス権限の設定、退職者のID削除、マスタ変更の承認、データ連携時の確認、システム変更時のテスト、バックアップ、障害対応などを含めて管理する必要があります。
また、給与計算や決済、在庫管理、サーバー運用などを外部委託している場合は、委託先の管理状況も確認対象になります。委託先のサービス内容や責任分界点、障害発生時の対応、SOC報告書などの利用可否について確認し、自社の内部統制評価に必要な情報を把握しておくことが重要です。

6.最後に

内部統制実施基準は、財務報告に係る内部統制の評価と内部統制監査を実務に落とし込むための重要な基準です。改訂後の基準では、評価範囲について、形式的な数値基準だけで決めるのではなく、財務報告への影響の重要性とリスクに基づいて判断することが強調されています。また、IT、クラウド、外部委託、不正リスク、ガバナンスとの関係など、現在の企業実務に即した視点も明確になりました。
改訂のポイントを踏まえ、自社のリスクを適切に捉え、継続的に見直しながら運用することで、内部統制の実効性を高めていくことが重要です。

7.内部統制実施基準に関するよくあるご質問

内部統制実施基準では、すべての業務プロセスを評価する必要がある?
すべての業務プロセスを同じ深さで評価する必要はありません。財務報告に重要な影響を与える範囲を評価することが基本です。重要な勘定科目に関連する業務プロセスを起点に、不備が生じやすい領域、不正リスクの高い取引などを優先して評価します。
2024年改訂に伴い、子会社やグループ会社なども評価範囲の対象になる?
改訂以前から、子会社やグループ会社も、連結財務報告への影響が重要であれば評価範囲の対象です。改訂後は、売上高などの数値基準だけでなく、事業上の重要性やリスクを踏まえて判断することがより明確に示されています。
規模が小さい子会社であっても、重要なリスクがある場合には評価範囲に含める必要があります。
内部統制実施基準において、評価結果に不備が見つかった場合はどう対応すべき?
不備が見つかった場合は、まず不備の内容、原因、財務報告への影響、発生可能性を整理します。そのうえで、重要な不備に該当するかを判断し、改善策を策定・実行します。改善後は、統制が実際に有効に運用されているかを再確認することが重要です。必要に応じて、監査人や監査役等とも協議します。
内部統制実施基準では、誰が評価を実施する?
内部統制評価の責任は経営者にあります。ただし、実務上は内部監査人や内部統制担当部門が評価作業を担い、各業務部門が資料提出や説明に協力する形が一般的です。監査役等は監視・監督の立場から情報を入手し、監査人は経営者の評価結果に対して内部統制監査を行います。
 
月2回程度、IPO準備に役立つ情報を配信!
IPO Compassメルマガ登録はこちらから!
メルマガ登録
新規CTA