top of page
検索

内部統制実施基準の改訂で実務はどう変わるか:上場会社が押さえるべきポイント

  • 4月7日
  • 読了時間: 8分

はじめに

前回の記事では、上場会社に求められる内部統制の全体像として、全社的内部統制、業務プロセスに係る内部統制、決算・財務報告プロセスの関係を解説しました。

今回は、内部統制実施基準の改訂により、上場会社の実務にどのような影響があるのかを整理します。

企業会計審議会は、2023年4月に「財務報告に係る内部統制の評価及び監査の基準並びに実施基準」の改訂を公表しました。改訂基準・改訂実施基準は、2024年4月1日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用されています。

今回の改訂は、単に文言を修正したものではありません。内部統制報告制度の実効性を高めるために、評価範囲の考え方、リスク評価、ITへの対応、内部統制報告書の記載、監査人との協議など、上場会社の実務に関係する重要な見直しが行われています。


改訂の背景

内部統制報告制度は、2008年4月1日以後開始する事業年度から適用され、上場会社における財務報告の信頼性向上に一定の効果を上げてきました。

一方で、制度運用が定着する中で、いくつかの課題も指摘されるようになりました。

たとえば、経営者による評価範囲の外で開示すべき重要な不備が明らかになる事例や、内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が見受けられることが、改訂の背景として示されています。

また、企業を取り巻く環境も大きく変化しています。クラウドサービスの利用、外部委託、システム連携、グループ経営の複雑化、非財務情報の重要性の高まりなどにより、従来よりも内部統制上のリスクが多様化しています。

そのため、今回の改訂では、形式的・機械的な評価ではなく、会社のリスクに応じた実効性のある内部統制評価がより重視されています。


ポイント1:評価範囲を「前年踏襲」で決めない

今回の改訂で、実務上特に重要なのが、評価範囲の考え方です。

J-SOX実務では、重要な事業拠点や評価対象とする業務プロセスを選定し、評価範囲を決定します。

しかし、評価範囲を毎年ほぼ前年どおりに決めている会社も少なくありません。売上高などの一定割合だけを見て、形式的に重要な事業拠点を選定している場合もあります。

改訂後は、評価範囲を決定する際に、会社の事業内容、リスク、組織変更、システム変更、子会社の状況、不正リスク、過年度の不備などを踏まえて、より実質的に検討することが重要になります。

特に、次のような変化がある場合には、評価範囲の見直しが必要です。

  • 新規事業の開始

  • M&Aや子会社の増加

  • 海外拠点の拡大

  • 重要なシステム変更

  • クラウドサービスや外部委託の拡大

  • 取引形態や収益認識プロセスの変更

  • 過年度の不備や監査上の指摘

  • 経理・内部監査体制の変更

評価範囲は、単なる数値基準だけで決めるものではありません。会社のリスクを踏まえて、なぜその範囲を評価対象にしたのか、または評価対象から外したのかを説明できることが重要です。


ポイント2:内部統制報告書で評価範囲の説明力が求められる

改訂後は、内部統制報告書における評価範囲の記載も重要になります。

内部統制報告書には、評価の範囲、評価時点、評価手続などを記載します。特に、重要な事業拠点の選定に利用した指標や一定割合、評価対象とする業務プロセスの識別で選定した勘定科目、個別に評価対象に追加した事業拠点や業務プロセスについて、判断事由を含めて記載することが適切とされています。

これは、上場会社の実務にとって大きな意味があります。

従来以上に、評価範囲の決定過程を文書化し、監査法人や社内関係者に説明できるようにしておく必要があります。

たとえば、次のような点を整理しておくことが考えられます。

  • 重要な事業拠点をどの指標で選定したか

  • その指標を選んだ理由は何か

  • 評価対象とした勘定科目は何か

  • その勘定科目が事業目的に大きく関わる理由は何か

  • 個別に追加した業務プロセスはあるか

  • 評価対象から外した拠点や業務プロセスについて、リスクをどう判断したか

評価範囲の検討資料は、単なる社内メモではなく、経営者評価の根拠資料として重要になります。


ポイント3:ITを利用した内部統制の評価がより重要になる

今回の改訂では、ITを利用した内部統制の評価も重要なテーマです。

現在の上場会社では、販売管理システム、購買管理システム、在庫管理システム、会計システム、ワークフロー、連結システム、クラウドサービスなど、多くの業務がITに依存しています。

財務報告に係るITの評価では、財務諸表の重要な勘定科目がどの業務プロセスやシステムと関連しているか、システム間のデータの流れ、利用部署、IT基盤の概要などを整理することが重要です。

実務上は、次のような点を見直す必要があります。

  • 財務報告に関係するシステムの一覧は整備されているか

  • 業務プロセスとシステムの関係は整理されているか

  • システム間のデータ連携は把握されているか

  • アクセス権限は適切に管理されているか

  • システム変更は承認・テストを経て実施されているか

  • クラウドサービスや外部委託先の管理は十分か

  • IT全般統制とIT業務処理統制の関係は整理されているか

特に、クラウドサービスや外部委託を利用している場合、自社だけで統制状況を把握しにくいことがあります。そのため、委託先管理、サービス提供会社の報告書、利用者側で実施すべき統制などを確認する必要があります。

IT統制は、情報システム部門だけの問題ではありません。経理、内部統制、内部監査、業務部門が連携して、財務報告に影響するITリスクを把握することが重要です。


ポイント4:開示すべき重要な不備への対応を明確にする

内部統制評価の結果、不備が発見された場合には、その重要性を判断し、必要に応じて改善を行います。

不備のうち、財務報告に重要な影響を及ぼす可能性が高いものは、開示すべき重要な不備に該当する可能性があります。

開示すべき重要な不備が期末日までに是正されていれば、財務報告に係る内部統制は有効であると認められる場合があります。一方、期末日後に是正措置を実施した場合には、内部統制報告書の付記事項として記載できるとされています。

また、前年度に開示すべき重要な不備を報告した場合には、その是正状況を付記事項として記載することも求められます。

実務上は、次のような対応が重要です。

  • 不備の内容を正確に記録する

  • 不備の原因を分析する

  • 財務報告への影響額や影響範囲を検討する

  • 開示すべき重要な不備に該当するか判断する

  • 改善計画を作成する

  • 改善後の運用状況を再評価する

  • 経営者、監査役等、監査法人に適時に報告する

不備対応で重要なのは、単に「改善しました」と説明することではありません。なぜ不備が発生したのか、どのように改善したのか、再発防止策は有効に運用されているのかを説明できることです。


ポイント5:監査法人との早期協議が重要になる

内部統制評価は、経営者が主体的に行うものです。評価範囲の決定も、最終的には経営者の責任で行います。

一方で、内部統制監査では、監査法人が経営者の評価結果や評価範囲の妥当性を検討します。

そのため、評価計画の段階から、評価範囲の決定方法や根拠について、監査法人と適切に協議しておくことが重要です。

改訂基準では、監査人は、経営者による内部統制の評価範囲の決定前後に、その範囲を決定した方法や根拠等について、必要に応じて経営者と協議を行うことが適切とされています。

ただし、評価範囲の決定はあくまで経営者が行うものです。監査法人との協議は、経営者の判断を代替するものではありません。

実務上は、次のようなタイミングで協議しておくとよいでしょう。

  • 年度初めの評価計画策定時

  • 評価範囲を決定する前

  • 組織変更やシステム変更があったとき

  • 新規事業やM&Aがあったとき

  • 重要な不備や監査上の指摘があったとき

  • 評価結果を取りまとめる前

監査法人との協議を後回しにすると、期末近くになって評価範囲の見直しが必要になる可能性があります。その場合、追加評価や証跡収集に時間がかかり、実務負担が大きくなります。


上場会社の実務で見直したい事項

今回の改訂を踏まえると、上場会社では次のような事項を見直すことが考えられます。

  • 内部統制評価計画の作成方法

  • 評価範囲の決定プロセス

  • 重要な事業拠点の選定理由

  • 評価対象業務プロセスの選定理由

  • 個別追加プロセスの判断基準

  • ITシステム一覧と業務プロセスとの対応関係

  • クラウドサービス・外部委託先の管理

  • 不備の集計、評価、改善プロセス

  • 監査法人との協議時期

  • 内部統制報告書の記載内容

特に重要なのは、前年踏襲の評価から脱却することです。

「昨年もこの範囲だったから今年も同じ」という考え方では、会社のリスク変化に対応できません。事業、組織、システム、人員、子会社、外部環境の変化を踏まえて、毎期、評価範囲と評価手続を見直すことが重要です。


まとめ

内部統制実施基準の改訂は、上場会社のJ-SOX実務に大きな影響を与えます。

特に重要なポイントは、次の5つです。

  1. 評価範囲を前年踏襲ではなく、リスクに応じて見直すこと

  2. 内部統制報告書で評価範囲の判断理由を説明できるようにすること

  3. ITを利用した内部統制の評価を見直すこと

  4. 開示すべき重要な不備への対応と是正状況を明確にすること

  5. 監査法人と早期に協議し、評価計画の実効性を高めること

今回の改訂は、内部統制を形式的な文書作成から、より実効性のあるリスク対応へ進めるものです。

上場会社の内部統制担当者にとっては、評価範囲、IT統制、不備対応、報告書記載、監査法人対応を改めて見直すよい機会といえます。

次回は、内部統制を学ぶ実務担当者が参照したい公的資料・実務指針について、金融庁、日本公認会計士協会、東証・JPXなどの資料を中心に整理します。


コメント

まずはお気軽にご相談ください

電話またはメールでいつでもお問い合わせください。

bottom of page