• １．内部統制報告制度（J-SOX）とは
• ２．１年間における内部統制評価の流れ
• ３．内部統制の評価範囲を決定するステップ
• ４．全社的な内部統制の評価と42の評価項目に関するチェックリスト
• ５．決算・財務報告プロセスの評価（全社的な観点）
• ６．業務プロセスの評価
• ７．決算・財務報告プロセスの評価（固有の業務プロセスの観点）
• ８．IPO準備における内部統制報告制度対応の留意点

内部統制報告制度（J-SOX）とは、「財務報告に係る内部統制」が有効に機能していることを評価し 外部に報告する制度のことで、金融商品取引法により上場企業に実施が義務付けられています。

前提として、上場企業に求められる内部統制は、内部統制に関する基準及び実施基準によって以下４つの目的と、 それぞれの目的を達成するために必要な６つの基本的要素が定義されています。（※１）
※１… 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」 P.4～10 内部統制報告制度では、上記の目的のうち「②財務報告の信頼性」に関して、６つの基本的要素の視点から、次の３つの有効性を評価します。


▲ 内部統制報告制度の概要

評価を行うのは経営者です。そして、その評価結果が正しいかどうかを監査人が監査します。

財務報告の範囲は、財務諸表のみならず注記情報や、関連当事者の判定等、財務諸表作成に密接に関わる事項も対象になります。
また、子会社がある場合は連結ベースで評価されます。

評価時点は「期末日」です。そのため極論ではありますが、期末日で有効と評価されれば、期首日では内部統制が有効でなくても有効と捉えられます。

よくある誤解に「上場後３年間は内部統制報告制度が免除になる」というものがありますが、 免除されるのは監査人による監査のみですので、経営者による評価が免除になるわけではありません。
上場したとしても会社が実施する内容は変わりませんので、IPO準備の段階から、 財務報告に係る内部統制が有効かどうか評価できるよう対応しておきましょう。

【関連コラム】J-SOX対応の重要性を、IPO準備会社の内部統制の不備事例と共に解説。

内部統制評価の流れは、３月決算の場合は一般的に下図のようになります。


▲１年間における内部統制評価の流れ

図に記載されている「整備状況評価」と「運用状況評価」はそれぞれ以下のような違いがあり、内部統制が最終的に有効かどうかは、この２つの視点から判断します。 そして内部統制の評価の進め方としては、まず「森」（大きな範囲）から見て、 その後に「木」（より重要なところ・リスクがありそうな特定のところ）を見ていく「トップダウン型」での実施が求められます。
つまり全社的な内部統制評価を行ってから業務プロセスの内部統制評価を行うということですが、 運用状況評価に関しては、「木」である業務プロセスの内部統制評価から実施することが一般的です。

全社的な内部統制の運用状況評価は、企業全体に広く影響を及ぼすような大きな変更がない限り期末時点で評価することが望ましいのに対し、 業務プロセスの内部統制の運用状況評価は年度の間に都度発生するプロセスが対象となるため、 期末時点ですべての業務プロセスを評価することが実務において現実的ではないためです。

したがって、業務プロセスの内部統制の運用状況評価を期中に実施した場合には、 期末時点では評価時点から期末まで問題なくきちんと運用されているかのチェックとして「統制のアップデート」を実施する、 というのが一般的な運用となります。

年間のスケジュールは「評価範囲の検討」から始まりますが、検討材料とした「予算」や「前期の金額」は、 時が経ち実績が出てくることにより数値が変わっていきます。
数値が変われば、リスクがあるところが全てカバーできているかを改めて見直す必要がありますので、 期末前後で「評価範囲の見直し」を実施します。
例では期末としていますが、「内部統制に不備が出た」などの状況によって、都度見直しが必要となります。

内部統制をどこまで評価するかは、この評価範囲の検討ステップで決まるため、重要なステップになります。

全て評価する、としてしまうと作業量が大変ですが、評価範囲を必要以上に少なくすれば監査法人に指摘されてやり直しになるからです。
最近はJ-SOXの文書化をアウトソーシングする企業も多いですが、 本来不要なところまで範囲に含めていないかを判断するためにも、評価範囲をどう決定していくかの考え方は自社内で持っておきましょう。

評価範囲を決定するステップは下図のとおりです。


▲内部統制の評価範囲を決定するステップ

「全社的な内部統制」の項目では、原則すべての事業拠点（子会社や支店など）が評価の対象となりますが、 たとえば売上を累計していった際に対象の事業拠点が全体の5%未満など重要性が僅少であれば評価の対象外とすることができます。

セミナーでは、ケーススタディとして下図のような問題を用意しました。


▲内部統制の評価範囲のケーススタディ

いかがでしょうか？ 解答はこちらからご確認ください。

評価範囲を決定した後は、全社的な内部統制の整備状況評価を行っていきます。
まず、全社的な内部統制とは、例えば売上が計上されるプロセスのような個々のプロセスではなく、 そういったプロセスのベースになるような、会社全体に影響を及ぼすような内部統制を指します。
全社的な内部統制が有効かどうかによって、トップダウンで次に見るところが変わってくるので、もっとも重要な内部統制と言えます。


▲全社的な内部統制の評価

一般的には、内部統制の実施基準にて例示されている42の評価項目に関するチェックリストを作成し有効性を評価していきます。
チェックリストは各監査法人で作成・提供していることが多いため、すでに契約済みの監査法人があれば確認してもよいでしょう。

基本的要素	評価項目の例
①統制環境	経営者は、信頼性のある財務報告を重視し、財務報告に係る内部統制の役割を含め、財務報告の基本方針を明確に示しているか。
	適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸 脱した行動が発見された場合には、適切に是正が行われるようになっているか。
	経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の 客観的な実施過程を保持しているか。
	取締役会及び監査役等は、財務報告とその内部統制に関し経営者を適切に監督・ 監視する責任を理解し、実行しているか。
	監査役等は内部監査人及び監査人と適切な連携を図っているか。
	経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められ る事実が存在する場合に、適切な改善を図っているか。
	経営者は、企業内の個々の職能（生産、販売、情報、会計等）及び活動単位に 対して、適切な役割分担を定めているか。
	経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所 要の能力を有する人材を確保・配置しているか。
	信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、 常に適切なものとなっているか。
	責任の割当てと権限の委任が全ての従業員に対して明確になされているか。
	従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。
	経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員 等の能力を引き出すことを支援しているか。
	従業員等の勤務評価は、公平で適切なものとなっているか。

※ 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」 P.85～87 （内部統制の実施基準にて例示されている42の評価項目に関するチェックリスト）より「統制環境」のみ抜粋　

チェックリストは、冒頭に挙げた内部統制の６つの基本的要素ごとに作られています。
６つの基本的要素のうち、「①統制環境」の評価項目は特に重要で、経営理念・内部統制の基本的な方針や考え方が文書化されているか、 取締役会や監査役会がモニタリングチェックするような規程があり文書化されているか、 不公平や不正が起きないような人事制度になっているかなどがチェックされ、他の５つの要素に関する項目にも影響を及ぼします。

全社的な内部統制評価の後は、決算・財務報告プロセスを評価します。
決算・財務報告プロセスとは、その名の通り決算に関するプロセスを指し、ここができていないと数字の信頼性が失われるため、 全社的な内部統制と同じくらい重要なプロセスとなります。

決算・財務報告プロセスには大きく２つの領域があり、経営規程など全社的な観点から評価する領域と 減損の検討・税効果の計算など固有の業務プロセスを評価する領域があります。

このうち、全社的な観点から評価する領域は、「全社的な内部統制」同様に、チェックリスト（※３）を用いて評価します。 （こちらのチェックリストも各監査法人で作成していることが多いです。）
※３… 日本公認会計士協会「統制リスクの評価手法」付録5


▲決算・財務報告プロセスとは

決算・財務報告プロセスのチェックにおいては、 使用している会計ソフトに関するアクセス権限の一覧表や仕訳の履歴の情報が必須となります。
もしも、現在使用している会計ソフトにそうした機能がない場合は、監査法人に指摘されIPOをスムーズに進められなくなる可能性がありますので、 会計ソフトの入れ替えを検討することをおすすめします。

【無料ダウンロード】監査法人はここを見ている！IT監査のポイントと、それを実現する奉行の機能とは？

また、数値を管理する上でExcelなどのスプレッドシート（表計算ソフト）を使用することがあると思います。
スプレッドシートは非常に便利ではありますが、計算式・行の間違いやファイル破損などが発生しやすいという一面もあります。
そうしたミスやトラブルに気づかなかった場合、財務報告の信頼性が損なわれることになりますので、 決算財務報告プロセスの上ではスプレッドシートの管理は非常に重要です。
少なくともどういったスプレッドシートを使用しているのか、バックアップをとっているのか、 アクセスコントロールがどうなっているかなどは管理しておく必要がありますので注意してください。

全社的な内部統制の評価、決算・財務報告に係る内部統制の評価（全社的な観点）の後は、固有の業務プロセス統制の評価を行います。
主な評価の流れは下図のとおりです。


▲業務プロセス統制の評価の流れ

業務プロセス統制の評価では、最初に財務報告に関する業務フローを理解するところから始め、 「だれが、いつ、どこで、何を、どのように業務を行い、仕訳に繋がる情報・資料を作成・加工・承認等しているのか」を記載した業務記述書を作成します。
また、業務記述書の作成と併せて、業務の流れの連続性を確認するためのフローチャートも作成します。

上記手順で業務の流れを理解した後は、財務報告に係るリスクの識別を行います。
リスクの識別では、発生しうる不正・誤謬が、適切な財務情報を作成するための要件（アサーション）のうちの どれに影響を及ぼすのか明確にしておくことが重要です。
下図のアサーションの分類と定義、リスクの例を参考にしてください。


▲アサーションの分類と定義

想定されるリスクを洗い出したら、次にそのリスクに対応するコントロール（財務報告の信頼性を阻害するリスクを低減するための手続）の識別を行います。
コントロールは、その性質によって間違いや不正等を事前に防止する「防止的なコントロール」と、 間違いや不正等を事後的に防止する「発見的なコントロール」の２つに分類され、 それぞれを組み合わせることにより、内部統制からの逸脱を防止・発見する可能性が高くなります。 また、コントロールの手法によって、承認・照合・上長による検証などの「手作業によるコントロール」と、 アクセスコントロール・エディットチェックなどの「自動化されたコントロール」に区分されます。

リスクの識別、そしてコントロールの識別を実施した後は、それらのプロセスを整理したリスクコントロールマトリクス（RCM）を作成します。


▲コントロールを識別する思考プロセス

先述の「業務記述書」「フローチャート」、そしてこの「リスクコントロールマトリクス」が、いわゆる「J-SOXの３点セット」と呼ばれているものです。
作成は義務づけられていませんが、業務の流れを可視化し、 リスクとコントロールの関係性を把握するためにも作成したほうが良いでしょう。

最後に、３点セットで明確になった各コントロールの評価を実施します。
コントロールは「２．１年間における内部統制評価の流れ」で記載したとおり、「整備状況評価」と「運用状況評価」に分けて評価します。

整備状況評価では、一般的な手続きとしてウォークスルーを行います。
ウォークスルーとは、取引を開始してから財務諸表に計上されるまでの流れを追跡することであり、 実際に現場に行き、口頭や文書による質問・コントロールが行われているか観察 ・関連する記録等の閲覧・検証対象の再実施などを行います。
リスクを低減するコントロールが整備されているかどうかは、先ほどの３点セットの内容と実際の業務が一致しているかどうかで評価します。

そして運用状況評価では、一般的な手続きとして無作為サンプリングによる抜き取りテストを行います。
ウォークスルーで実施した、質問・観察・閲覧・再実施の手続きの組み合わせで実施しますが、 質問のみの手続きは原則不十分となるため注意してください。
なお、整備状況評価では、識別したすべてのコントロールに対してWTを実施しますが、 運用状況評価では、全てのコントロールに対して無作為サンプリングテストを行うことは非常に大変なため、 キーコントロールに対してのみ実施することになります。


▲キーコントロールの選定ポイント

決算・財務報告プロセスのうち、固有の業務プロセスの評価・文書化は、一般的には「６．固有の業務プロセスの評価」で記載した内容と同じです。

ただし、「５．決算・財務報告プロセスの評価（全社的な観点）」でも解説したとおり、 決算・財務報告プロセスは財務報告の信頼性に関連する非常に重要なプロセスです。 評価機会も少なく専門性も求められますので、その特徴に留意した上で評価しましょう。

評価の対象を重要性の高い項目に絞るため、以下の視点で選定します。 最後に、全体を通して不備の検討や不備の評価を実施し、経営者による内部統制の報告を行います。
これが内部統制報告制度の流れです。

これまで記載したとおり、内部統制報告制度への対応は多くの人員コスト・作業コストがかかります。
直前になって慌てないためにも、N-2（直前々期）には着手し、申請期には万全な状態にしておくことが重要です。
そして、内部統制報告制度への対応をスムーズに進める上では、以下のポイントに留意してください。

・適切な評価範囲の決定
過度に作業範囲を広げないためにも、評価範囲は外部任せにせず、自社内でも検討しましょう。
また、監査法人との意見交換や事前の擦り合わせを実施し、より適切な評価範囲の決定を行いましょう。

・作業コストが大きい文書化の対応
対応できる人員が社内にいる場合は、監査法人のツールなどを活用し社内で文書化し、 対応できる人員が社内にいない場合は、新たにそれのみで採用することは、 探す時間もコストも大変なため、うまく外部リソースを活用し対応しましょう。

・デジタル化が進む環境下ではITが重要
これだけデジタル化が進む環境下では、内部統制とITは切っても切れない重要な関係です。 特にITに関する内部統制のベースとなる、IT全般統制は非常に重要です。 有効と評価されない場合には、最悪監査意見が出ない可能性もあり得ますので、有効と評価されるよう準備しましょう。
また、業務アプリケーションに関しては財務報告の信頼性に直結する会計システムが最重要となります。 現行のシステムに内部統制報告制度に耐えうる機能があるかどうか、事前に見直ししておきましょう。

内部統制報告制度への対応にあたって不明な点がある場合や、自社のリソースで賄うことに不安がある場合は、 我々IPO Forumネットワークへご相談ください。