COLUMN
コラム
内部統制実施基準とは?概要や2023年4月の改訂ポイントをわかりやすく解説
執筆者:茅原淳一(Junichi Kayahara)
『資金調達の手引き』
調達ノウハウを徹底解説
資金調達を進めたい経営者の方の
よくある疑問を解決します!
内部統制基準及び内部統制実施基準(以下、内部統制制度と記載)が2023年4月に改訂され、その後適用されています。
内部統制制度は、会社が組織として目標を達成するだけでなく、財務報告を信頼できる内容にするためにも非常に重要な仕組みです。
この記事では、内部統制制度の基本的要素や改訂に至った背景、改訂ポイントを分かりやすく解説します。
目次
内部統制とは
内部統制とは、企業内部で法規・社内規定に違反する行為を防ぐために設けられた仕組み・ルールのことです。
経営者が適正かつ効率的に会社を運営するための監督制度で、経営者を始め、会社全体で取り組むことで機能します。
内部統制はコーポレート・ガバナンスの一部として、主に会社内部で機能する仕組みです。外部関係者から内部統制の実施を要求されている会社は報告書を提出しなければなりません。
内部統制については、以下記事で詳細に記載していますので併せてご覧ください。
⇒内部統制とは?目的・会社法や金融商品取引法での定義や方針を徹底解説!
⇒IPOに内部統制が必要な理由とは?構築する目的・要素も解説!
内部統制の基本要素
内部統制では、会社の適正な運営や損害防止のために、以下の6つの基本的な要素を柱としています。
・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング
・ITへの対応
これらの要素の下に、後述する評価項目が分けられています。
上記記載の内部統制の基本要素は、その目的を達成するために必要な構成部分であり、評価もこれらの6要素を元に判断されます。
また、内部統制の目的は次のように定義されています。
・業務の有効性及び効率性
・財務報告の信頼性
・事業活動に関わる法令等の遵守
・資産の保全
内部統制は、業務が有効なものであるように組織すること、財務報告の信頼性を確保すること、さらに法令の遵守や資産が適正に扱われていることを会社に求めます。
内部統制実施基準
内部統制実施基準とは、文字通り内部統制を実施する際の具体的な実施方法です。
内部統制の実施基準は、すべての会社に当てはまるような細かい基準が決められているわけではありません。なぜなら、会社の規模や業種によってさまざまなケースがあるからです。
そのため、画一的な実施ではなく、会社の状況に応じて適切に実施される必要があります。実際、評価の基本的な要素や大枠は決まっているものの、会社の状況や成熟度も勘案して柔軟に運用されるべきと定められています。
また、内部統制の実施業務そのものが成熟していく必要もあります。
上場したばかりの会社と上場後10年経過した会社とでは、内部統制のレベルが異なっていなければなりません。会社を適正に運営する仕組みは、いつまでも初歩的なものを継続するのではなく、年数の経過に従って安定・成熟することが求められるからです。
より成熟した内容で内部統制を行う会社に対しては、より高いレベルでの内部統制評価が行われる必要があります。
内部統制の実施基準の評価項目の例
それでは、ここからは具体的な内部統制実施基準について解説します。前述の通り内部統制の基本的な要素となる6つの項目について評価が実施されます。
統制環境
統制環境は、言い換えると社内風土や関係者の意識です。いくら内部統制の仕組みを整備しても、運用する人間にその意思がなければ実現しないでしょう。
そのため、統制環境は内部統制が実施されるための基盤となる要素です。
後述する金融庁の企業会計審議会が公表した意見書からは、統制環境を評価する基準に以下の要素が挙げられていることが分かります。
・誠実性及び倫理観
・経営者の意向及び姿勢
・経営方針及び経営戦略
・取締役会及び監査役又は監査委員会の有する機能
・組織構造及び慣行
・権限及び職責
・人的資源に対する方針と管理
つまり、経営者の意向や経営方針だけでなく、誠実さや倫理観も社内に適正に浸透させ、組織としてどのような姿勢で業務・財務報告と向き合っているかが問われます。
それらは、口頭や文書での説明のみならず、内部統制のプロセスや仕組みそのもの、また人的構成にも表れるものです。
内部統制では、そのような部分を通して見える企業や経営者の取り組みを評価します。
リスクの評価と対応
リスクの評価と対応とは、会社の目標達成に影響を与える事象に関して、組織としてどのように識別・分析し、対応するかという項目です。つまり、リスクマネジメントに関するプロセスや認識能力を評価します。
平常時には問題なく運営される組織でも、トラブルを適切に処理できなければ内部統制が意味を成さなくなってしまいます。そのため、内部統制にはトラブル予測・発生時でも適切に対処できる仕組みが必要です。
意見書では、リスクの評価と対応を別の要素として扱っています。
リスクの評価とは、リスクを識別・分析するプロセスです。社内外で発生しうるリスクについて、会社との関係や影響を分類し、リスクの性質や大きさなどを分析して評価する仕組みが求められます。
リスクへの対応とは、リスクの評価を受けて選択する対応策です。回避や低減など、リスクに対応するための選択肢を選ぶプロセスを含んでいます。
例えば、新製品の開発や新規事業の立ち上げにおける、リスクの計算や対応策に関して用いられるプロセスです。
統制活動
統制活動とは、内部統制が適切に行われるための組織作りです。内部統制を実施するには、経営者の命令や指示が正しく伝達され、実行されるための仕組みを構築・運用する必要があります。
これには、各担当者に職責や権限を適切に付与すること、加えてそれぞれが自分の権限内で職務を果たせる体制を構築していくことが含まれます。内部統制実施基準においては、それらの方針・手続きなども含めた組織づくりや仕組みが評価されます。
例えば、取引の承認と記録を分離しそれぞれの担当者を設置することで、不正が起こりにくく、相互に牽制が効くような仕組みなどが挙げられます。
責任の所在が明確でないと、問題が発生した時に収拾がつかなくなるため、社内の活動や所有物の管理に関して明確に責任を割り振り、管理作業の継続や検査などを設定する必要があるでしょう。
各部署や現場チームなど、組織した単位ごとに責任者や活動方針を設定し、各担当者にその内容を明確に理解させるといった、マニュアルや業務プロセスの整備も含まれます。
情報と伝達
情報と伝達とは、社内外で必要な情報が適切に伝わり、理解されるための仕組みを指します。前述の統制活動の基礎となる部分ともいえるでしょう。
この情報には、経営者の指示や命令のみならず、会社の内部情報や顧客情報など、会社が扱うすべての情報が含まれます。
正確な情報を伝えるためには、経営者から社員への指示や社員から上がってくる報告、あるいはコミュニケーションなどが適切に行われなければなりません。
また、伝達方法も重要です。受け取った側に誤解や理解の不足がないよう、あるいは誤った情報が社内に広がらないようコントロールする体制作りが求められます。
伝達方法の範囲には、社外へ情報を伝える、あるいは社外から情報が伝えられるケースも含まれます。財務情報の開示や取引先への伝達、取引先や公共機関からの通達などがこれにあたります。
また、外部との情報のやり取りが適切に処理され、伝わるためのプロセスの整備も評価対象の1つです。
情報の正確性と適切な伝達は、会計情報の信頼性にも大きく関わってきます。信頼性を確保するためには、会計情報が適時かつ適切に、社内外の関係者に報告されるシステムを確保することが重要です。
モニタリング
モニタリングとは、内部統制の仕組みが日常の業務でどのように機能しているかを継続的に評価することです。内部統制の仕組みを作るだけでは不十分なため、それが有効に機能しているかどうかが適正に評価されなければなりません。
例えば、必要経費の承認・計上が適切な管理者によって確認される仕組みなどがこれにあたります。
モニタリングには2つの種類があります。
「日常的モニタリング」は、経営管理や業務改善のために通常業務に組み込まれる活動です。今述べたような経費の確認・承認などが含まれます。
これに対し「独立的評価」として、通常業務から独立した視点で行われるモニタリングが設定されています。経営者や役員による内部監査などがそうです。
この2つは、随時個別あるいは組み合わせて行われる場合もあり、その内容や有効性も評価の対象となります。
モニタリングによって内部統制を評価する担当者は、内部統制の基本的要素や意義を正しく理解していることが求められます。
また、モニタリングには、問題となる事象や事実が発見された場合に、適切な責任者にその情報が伝えられるプロセスが含まれるのも特徴です。その際、対処するための方針や手続きもあらかじめ設定しておく必要があります。
ITへの対応
ITへの対応とは、業務の実施においてIT環境や関連サービスへ対応すること、または適切に利用することを指します。
ITへ適切に対応することで、情報を効果的に処理し、業務の効率を高めることが望まれます。公式ホームページでのメッセージ掲載や、会計システムの利用などがその一例です。
ITの利用は日常の業務に深く関わっているため、必ずしも内部統制実施基準として独立して存在する訳ではありません。例えば、情報と伝達にはメールや専用ソフトの利用などが実質的に含まれている、といったケースがこれにあたります。
しかし、金融庁の報告書では、「業務がITに大きく依存している場合」や「情報システムにITを高度に取り入れている場合」は、内部統制の有効性に関係する判断の基準となる、と指摘されています。
そのため、IT利用はもちろんのこと、IT環境への対応も内部統制実施基準の重要な項目に含まれています。
2023年4月の内部統制実施基準の改訂
内部統制実施基準は、2023年4月1日より改訂されたものが適用されています。まずは、改訂に至るまでの背景と意見書をご紹介します。
改訂に至るまでの背景
内部統制報告制度が2008年に導入されて以来、財務報告の信頼性は一定程度向上しました。
しかし、年月とともに市場や企業のあり方が変化しており、従来の内部統制の範囲外となる分野で開示が求められるケースが生じています。つまり、改訂前の制度ではカバーできない事例が増えていました。
さらに、経営者が内部統制の評価範囲を決定するにあたり、財務報告の信頼性に与える影響を適切に考慮していないとの懸念が持ち上がるようになりました。
加えて、米国のCOSO(トレッドウェイ委員会支援組織委員会)の内部統制の基本的枠組みに関する報告書が、経済社会の変化やリスクの複雑化に対応するべく、2013年5月に改訂されました。しかし、日本の内部統制報告制度には、そのような国際的な変化が反映されていませんでした。
このような背景により、内部統制部会が2021年10月から審議を行っており、2023年4月の改訂が実現することになりました。
改訂に際して金融庁が公表した意見書
「統制環境」の見出しでもすでに紹介していますが、金融庁の企業会計審議会は内部統制の実施基準を改訂し、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」として公表しています。
合わせて、日本公認会計士協会(監査・保証基準委員会)も、改訂に対するコメント概要と対応内容を公表しています。
この改訂は、内部統制の基準および実施基準を構成する各項目で大幅に改訂されているため、改訂内容への十分な理解や適切な実施が求められます。
内部統制実施基準の改訂ポイント
内部統制実施基準の改訂は、以下のように3つの項目で実施されています。
・内部統制の定義や概要を記した「内部統制の基本的枠組み」での改訂
・内部統制の評価範囲や内部統制報告書の作成方法に関する「財務報告に係る内部統制の評価及び報告」での改訂
・監査人の監査や報告に関する「財務報告に係る内部統制の監査」での改訂
以下に、主な改訂内容を挙げます。
| 「内部統制の基本的枠組み」の改訂ポイント |
|---|
| ・「財務報告の信頼性」が「報告の信頼性」へ改訂。報告の信頼性には財務報告の信頼性が含まれているが、あくまで財務報告の信頼性の確保が目的 |
| ・「リスクの評価と対応」に、不正リスクを考慮する重要性、考慮すべき事項を追加。具体的な考慮内容も記載 ・「情報と伝達」には、情報の信頼性を確保するシステムが有効に機能することの重要性を追加 ・「ITへの対応」では、ITの委託業務に関係した統制の重要性、そしてサイバーリスクの高まりを受けて情報システムに係るセキュリティ確保の重要性を追加 |
| ・内部統制が無効になる行為に対する適切な対応例が記載 ・その対応が経営者以外の適切な責任者によってなされる可能性も指摘 |
| ・内部監査人や監査人との連携の重要性、また監査に関連する情報の能動的な入手の重要性を記載 ・内部監査人に関連して、熟達した専門的能力を持ち、専門職として求められる正当な注意を払って職責を果たすこと、さらに取締役会や監査役等へ報告を届ける経路の確保の重要性も記載 |
| ・内部統制とガバナンス、そして全組織的なリスクマネジメントが一体的に整備かつ運用されることの重要性を明確化。それらの体制整備の考え方として「3線モデル」等の例示も記載 |
| 財務報告に係る内部統制の評価及び報告」の改訂ポイント |
|---|
| ・財務報告の信頼性に与える影響の重要性を適切に考慮すべきということを強調するために、経営者が評価範囲を検討する際の留意点を明確化 ・もし、評価範囲外において開示すべき重要な不備を見つけた場合、その開示すべき重要な不備が見つかった時点を含む会計期間の評価範囲にそれを含めるべきであることを明確化 ・評価範囲に関する監査人との協議は、計画段階や状況の変化などがあった場合、必要に応じて実施するべきであることを明確化 ・経営者や内部監査部門が評価対象を決める際に指標としてきた「売上高等のおおむね3分の2」を「売上高等の一定割合(おおむね3分の2)」に変更。また「売上、売掛金及び棚卸資産の3勘定」についても、段階的な削除などを今後企業会計審議会で検討する |
| ・ITを利用した内部統制の評価は、一定の頻度での実施はIT環境の変化を踏まえて慎重に判断すべき、また必要に応じて監査人と協議して行うべきとする。特定の年数など機械的に適用すべきではないと明確化 |
| ・内部統制報告書で、経営者による内部統制の評価範囲の決定に利用した指標等の判断事由等を記載するべき・前年度に報告された開示すべき重要な不備に対する是正状況は、付記事項に記載すべき項目として追加 |
| 「財務報告に係る内部統制の監査」の改訂ポイント |
|---|
| ・経営者により決定された内部統制の評価範囲の妥当性を確認する際、財務諸表監査などで入手した監査証拠を必要に応じて活用することを明確化 |
| ・内部統制の評価範囲について経営者と行う協議は、評価計画の段階や状況の変化があった場合など必要に応じて行うべきであり、かつ独立監査人としての独立性の確保を図る必要があると明記 |
| ・監査人の財務諸表監査中において、経営者による内部統制の評価範囲外で内部統制の不備を見つけた場合、その影響をしっかり考慮しつつ、必要があれば経営者と協議するべきと指摘 |
※出典:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)
内部統制実施基準の改訂による影響
冒頭で触れた通り、内部統制実施基準の改訂は2023年4月より適用されており、今後は評価範囲の決定プロセスなどに関して、監査法人などと検討を重ねる必要があります。
また、ITにおける不正のリスクやセキュリティの確保に関しても重要性が強調されたこともあり、安心・安全なIT環境を整える必要もあるでしょう。
これらの改訂によって、具体的にどこまで実務に影響があるかは不明なところもあります。改訂されたポイントの留意点や法令が、今後さらに検討・整備されることも明言されており、最新情報を注視していくことが重要です。
改訂で提起された中長期的な課題
今回の改訂では、採用されなかったものの今後も継続的に審議されるポイントも挙げています。これらは中長期的な課題として明記されており、今後の内部統制の見直しや対応を検討すべき分野となるでしょう。
中長期的な課題として指摘されているものは以下のとおりです。
・内部統制報告制度におけるサステナビリティ等の非財務情報の扱い方
・ダイレクト・レポーティング(直接報告業務)を採用するかどうか
・内部統制監査報告書で内部統制に関する「監査上の主要な検討事項」を採用するかどうか
・訂正内部統制報告書への監査人の関与について
・経営者の責任の明確化、また経営者による内部統制の無効化に対応する課徴金や罰則規定の見直し
・会社法と金融商品取引法の内部統制を統合するかどうか
・会社代表者による有価証券報告書等の記載内容の適正性に関する、確認書への記載を充実させるかどうか
・臨時報告書についての内部統制への意識
※出典:財務報告に係る内部統制の評価及び監査の基準並びに財務報告係る内部統制の評価及び監査に関する実施基準の改訂について(公開草案)
これらの項目については、法改正を含むさらなる検討が必要であるため、中長期的な課題として残されています。
また、内部統制報告書が訂正された場合は理由が十分に開示されることが重要であるため、訂正の経緯や理由を開示するよう関係法令の所要の整備が行われることが適切だとしています。
まとめ
今回の内部統制実施基準の改訂は、2008年に制定されてから初めてとなる大規模なものです。
法令が未整備なところもあり、今後施行されるであろう新たな法令や指針を注意深く追っていく必要があります。また、監査法人と協議しながら、自社の内部統制を整備していくことが求められるでしょう。
この記事が内部統制に携わる方の参考になれば幸いです。最後までお読みいただきありがとうございました。
内部統制・内部監査については次の記事もご参照ください。
⇒法定監査とは?種類、任意監査や税務調査との違いを解説
⇒ISMS(ISO27001)内部監査とは?進め方、実施の注意点を解説
⇒ISO9001内部監査とは?目的、質問例、進め方を徹底解説
⇒内部監査報告書とは?目的や書き方、流れをわかりやすく解説
⇒内部統制監査とは?目的、内部監査/会計監査との違い
⇒内部統制実施基準とは?概要や2023年4月の改訂ポイントをわかりやすく解説
⇒内部統制システムとは?目的、義務がある会社、具体例をわかりやすく解説
⇒内部統制報告書とは?目的、提出義務がある会社、作成方法などを解説
また、コーポレートガバナンスについては、次の記事もご参照ください。
⇒コーポレートガバナンス(企業統治)とは?目的・強化方法・歴史的背景について解説
⇒コーポレートガバナンス・コードとは?概要・特徴・制定された背景について解説
⇒コーポレートガバナンス・コードの5つの基本原則|特徴・制定の背景・適用範囲と拘束力について解説
⇒【2021年改訂】コーポレートガバナンス・コードの実務対応と開示事例
⇒プリンシプルベース・アプローチ|ルール・ベース・アプローチとの比較・背景・意義について解説
⇒コンプライ・オア・エクスプレイン|コンプライアンスへの対応・意義・必要性について解説
スタートアップ・ベンチャーの経営をされている方にとって、事業に取り組みつつ資金調達や資本政策、IPO準備も進めることは困難ではないでしょうか。
財務戦略の策定から実行まで担えるような人材をを採用したくても、実績・経験がある人を見つけるのには非常に苦労するといったこともあるでしょう。
このような問題を解決するために、SOICOでは「シェアリングCFO®︎」というCFOプロ人材と企業のマッチングサービスを提供しています。
シェアリングCFO®︎では、経験豊富なCFOのプロ人材に週1日から必要な分だけ業務を依頼することが可能です。
例えば、ベンチャー企業にて資金調達の経験を持つCFOに、スポットで業務を委託することもできます。
専門的で対応工数のかかるファイナンス業務はプロの人材に任せることで、経営者の方が事業の成長に集中できるようになります。
「シェアリングCFO®︎」について無料相談を実施しているので、ご興味をお持ちの方はぜひ下のカレンダーから相談会の予約をしてみてくださいね!
この記事を書いた人
共同創業者&代表取締役CEO 茅原 淳一(かやはら じゅんいち)
慶應義塾大学卒業後、新日本有限責任監査法人にて監査業務に従事。 その後クレディスイス証券株式会社を経て2012年KLab株式会社入社。 KLabでは海外子会社の取締役等を歴任。2016年上場会社として初の信託を活用したストックオプションプランを実施。 2015年医療系ベンチャーの取締役財務責任者に就任。 2018年よりSOICO株式会社の代表取締役CEOに就任。公認会計士。
