IPOの基礎 2023 第7章 内部統制報告制度

2023年9月19日
カテゴリー IPOの基礎

2023年7月発行のIPOガイドブックを転載したものであり、本文中特に断り書きのない限り、2023年4月14日現在の法令・規則等に準拠して作成しています。

2023年版 IPOガイドブック

1. 内部統制報告制度

(1) 財務報告に係る内部統制の評価と監査の制度

本章では「財務報告に係る内部統制の評価及び監査の基準」(以下、「基準」)及び「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「実施基準」)に照らして、「経営管理制度の整備・運用」の記載内容について整理します。
 

(2) 財務報告に係る内部統制の評価及び監査の制度の全体像

金融商品取引法により、上場会社を対象に財務報告に係る内部統制の「評価」と「監査」が義務づけられています(以下、「内部統制報告制度」)。

経営者は財務報告に係る内部統制を整備・運用する役割と責任を有しており、財務報告に係る内部統制については、その有効性を自ら評価し、その結果を外部に向けて報告することが求められます。また、経営者による財務報告に係る内部統制の有効性は、その評価結果が適正であるかどうかについて、当該企業等の財務諸表の監査を行っている公認会計士等の外部監査人が監査することにより担保する仕組みになっています。

内部統制報告制度は、上場後最初に到来する事業年度末(通常、上場申請期)から適用されることになります。しかし、新規上場会社は、一定規模の会社を除き、上場後の3年間、内部統制報告書に係る監査証明が免除されています。

内部統制評価・監査制度の全体像

内部統制評価・監査制度の全体像

2. 内部統制の基本的枠組み

内部統制の目的と基本的要素

基準によれば、内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成されます。

なお、内部統制は従来から企業に存在しており、事業活動において発生する非効率的な活動、不正確な財務数値、法令違反並びに横領などのリスクを防止・発見するための仕組みであり、内部統制のレベルは企業によってさまざまです。

内部統制の基本的枠組み

内部統制の基本的枠組み

3. 内部統制の関係者の役割と責任

内部統制は、組織活動の目標を達成するために組織内のすべての者によって遂行されるプロセスです。そのため、組織に属しているすべての者は内部統制に関係を有しており、それぞれの役割と責任を担うことになります。基準及び実施基準では、関係者を経営者、取締役会、監査役等、内部監査人、組織内のその他の者に分類しています。

分類 役割と責任 
経営者
  1. 経営者は、組織を代表し、業務を執行する権限を有するとともに、取締役会による基本方針の決定を受けて、組織の内部統制を整備及び運用する役割と責任を負っています。
  2. 経営者は、会社の代表として有価証券報告書を提出する立場にあり、開示書類の信頼性に係る最終的な責任を有しています。
  3. 金融商品取引法における内部統制報告制度においても、内部統制報告書に会社の代表者がその役職氏名を記載して提出します。経営者は、財務報告に係る内部統制の整備及び運用について適正に評価・報告することが求められています。
取締役会
  1. 取締役会は、組織の業務執行に関する意思決定機関であり、内部統制の整備及び運用に係る基本方針を決定します。
  2. 取締役会は経営者による内部統制の整備及び運用に対して監督責任を有しています。
監査役、監査役会、監査等委員会又は監査委員会 監査役、監査役会、監査等委員会又は監査委員会は、取締役及び執行役の職務の執行に対する監査の一環として、独立した立場から、内部統制の整備及び運用状況を監視、検証する役割と責任を有しています。
内部監査人 内部監査人は、内部統制の基本的要素の一つであるモニタリングの一環として、内部統制の整備及び運用状況を検討、評価し、必要に応じて、その改善を促す職務を担っています。
組織内のその他の者 上記以外の組織内のその他の者も、自らの業務との関連において、日常業務の中で自らの権限と責任の範囲内で、有効な内部統制の整備及び運用に関して一定の役割と責任を有しています。

4. 内部統制報告制度に関連する基準の改訂

2023年4月7日付で「財務報告に係る内部統制の評価及び監査の基準」、「財務報告に係る内部統制の評価及び監査の実施基準」が改訂されました。当該基準は2024年4月1日以降開始する事業年度より適用となります。
今回の改訂は、財務報告の信頼性を担保するため内部統制報告制度の実効性をより高めていくためとされています。
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」に基づく、主な改訂点と考え方は以下の通りとなります。
 

(1) 内部統制の基本的枠組み

項目 報告の信頼性
① 報告の信頼性 内部統制の目的は「財務報告の信頼性」を包含する「報告の信頼性」を確保することとされました。
なお、金融商品取引法上の内部統制報告制度については、あくまで「財務報告の信頼性」の確保が目的であることが強調されています。
② 内部統制の基本的要素 COSO報告書の改訂を踏まえ、リスク評価するに際し不正に関するリスクを考慮することの重要性や考慮すべき事項が明示されました。
また、大量の情報を扱う状況等におけるシステムが有効に機能することの重要性、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保の重要性が記載されました。
ITの委託業務に係る統制の重要性が増していることも言及されています。
③ 経営者による内部統制の無効化 内部統制を無視又は無効ならしめる行為に対する、組織内の全社的又は業務プロセスにおける適切な内部統制の例が示されました。
また、当該行為は、経営者以外の業務プロセスの責任者によってなされる可能性もあることが示されました。
④ 内部統制に関係を有する者の役割と責任 監査役等については、内部監査人や監査人等との連携、能動的な情報入手を行うことの重要性が記載されました。
内部監査人については、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすること、取締役会及び監査役等への報告経路も確保すること等の重要性が記載されました。
⑤ 内部統制とガバナンス及び全組織的なリスク管理 内部統制、ガバナンスおよび全組織的なリスク管理を一体的に整備および運用することの重要性が明示され、これらの体制整備の考え方として、3線モデル等が例示されました。

(2) 財務報告に係る内部統制の評価及び報告

項目 報告の信頼性
① 経営者による内部統制の評価範囲の決定 経営者による内部統制の評価範囲の決定にあたっては、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことが改めて強調されました。それに伴い、評価対象とする事業拠点や業務プロセスを選定する指標として例示されている「売上高等のおおむね3分の2」や「売上、売掛金及び棚卸資産の3勘定」という特定の勘定科目の例示を、機械的に適用すべきでないことが記載されました。
また、評価範囲に含まれない期間の長さを適切に考慮するとともに、開示すべき重要な不備が識別された場合には、当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切であることが明確化されました。評価対象に追加すべき業務プロセスについては、検討に当たって留意すべき業務プロセスの例示等(例えば、通常の契約条件や決済方法と異なる取引)が追加されました。
さらに、評価範囲の決定は経営者が行うものの、内部統制評価の計画段階及び状況の変化等があった場合において、必要に応じ監査人との協議を実施することが適切であることが明確化されました。
② ITを利用した内部統制の評価 ITを利用した内部統制の評価について留意すべき事項が記載されました。
評価を一定の頻度で実施することについては、経営者は、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議して行うべきであり、特定の年数を機械的に適用すべきでないことが明確化されました。
③ 財務報告に係る内部統制の報告 内部統制報告書において記載すべき事項が明示されました。
重要な事業拠点の選定に関しては、利用した指標とその一定割合の決定の判断事由について記載することが適切であるとされました。
また、前年度に開示すべき重要な不備を報告した場合、その是正状況を付記事項に記載すべき項目として追加されました。

(3) 財務報告に係る内部統制の監査

改訂の内容等
実効的な内部統制監査を実施するために、監査人は、財務諸表監査の実施過程において入手している監査証拠の活用や経営者との適切な協議を行うこと等が重要であることが示されました。

5. 財務報告に係る内部統制の評価・報告の流れと年間スケジュール

財務報告に係る内部統制の評価・報告の流れ、年間スケジュールを図示すると、以下のようになります。

財務報告に係る内部統制の評価・報告の流れ

財務報告に係る内部統制の評価・報告の流れ

財務報告に係る内部統制の年間スケジュール(3月決算を想定)

財務報告に係る内部統制の年間スケジュール(3月決算を想定)

6. 人員の確保

上場準備会社においては、上場会社と比べると人的リソースの不足は否めません。

実際に作業を行う人材の不足、内部管理体制の整備に関する経験や知識の不足、専門知識を有する経理財務や内部監査担当者の不足、報告すべき財務内容やその重要性に関する理解の不足など多くの課題が考えられます。

そのため、目標とする上場時期に合わせて、財務報告に係る内部統制を構築し、経営者自らが評価できるようにするためには、人材の確保を優先することが必要となります。

一般的に、上場準備会社は上場会社に比べて事業規模が小さく、業務内容が複雑でないことも多いため、このような点では準備作業の負担は減りますが、社内リソース、特に人材不足がネックとなることが予想されます。

当該リソースの確保に関しては社内での人員育成が第一であることに加え、必要に応じて一部業務をアウトソーシングすることも考えられます。ただし、アウトソーシングを利用する場合にも社内で成果物をチェックすることが必要であり、あくまで内部統制の整備・運用責任は会社にあることに留意する必要があります。

7. 実施計画の重要性

上場準備会社、特にビジネスや組織が急拡大するスタートアップ企業では、上場直前期に内部統制報告制度への対応を図るケースが実務上多くなっているものと考えられます。上場直前期においては上場準備作業が本格化することもあり、予定どおり導入作業が進まないことも考えられます。従って、しっかりとした導入計画を立て、着実に実行することが求められます。プロジェクト管理を十分に行わないで導入作業を進めた場合には、導入作業の大幅な遅れにつながり、上場審査上も問題視される可能性があります。

そのためプロジェクト管理について、以下のポイントに留意する必要があります。

  • 適切なプロジェクト・チームの組成
  • 適切な予算の割り当て(コスト・時間)
  • 全社的なプロジェクトとしての役員・従業員の意識改革
  • 適切な進捗管理

8. 経営者の意識

上場準備会社においても上場会社と同様、内部統制導入プロジェクトを円滑に行うためにはプロジェクトの総責任者となる社長又は取締役が強力にバックアップすることが必要になります。上場準備プロジェクトそのものをトップマネジメントが指揮することも多いですが、上場準備の中で財務報告に係る内部統制の構築も大きなウエイトを占めることになります。これまで以上にプロジェクト管理が重要になるため、経営陣がその重要性を理解した上でプロジェクトをリードしていくことが求められることになります。

9. 内部統制報告書に係る監査証明の免除

前述のとおり、上場会社は、事業年度ごとに、有価証券報告書と併せて内部統制報告書の提出が求められており、内部統制報告書についても、公認会計士等の監査証明が必要とされています。しかし、新規上場会社については、新規上場に伴う負担を軽減するため、一定規模の会社を除き、上場後3年間、この監査証明が免除されています。
 

(1) 免除期間及びその起算日

監査証明の免除は、金融商品取引所に上場されている有価証券の発行者に初めて該当することになった日(上場日)以後3年を経過する日までの間に内部統制報告書を提出する場合(金融商品取引法第193条の2第2項第4号)に適用されます。

また、上場日が当該発行者の事業年度開始後3 月以内の日となる、いわゆる期越え上場の場合には、その事業年度開始後3 月を経過した日が起算日となり(金融商品取引法施行令(昭和40年政令第321号)第35 条の3)、上場後3年間の免除期間が確保されています。
 

(2) 適用除外

但し、上場日の属する事業年度の直前事業年度に係る連結貸借対照表もしくは貸借対照表に資本金として計上した額が100億円以上、又は当該連結貸借対照表もしくは貸借対照表の負債の部に計上した額の合計額が1,000億円以上の会社は適用除外とされています(内部統制府令(平成19年内閣府令第62号)第10条の2)。

これは、新規上場会社であっても、その規模等に照らし、市場への影響や社会・経済的影響が大きいと考えられる会社については、内部統制報告書に係る監査義務を免除することは適当ではないとの趣旨によるものです。
 

(3) 留意事項

この内部統制報告書に係る監査証明の免除規定の適用は会社に委ねられているため、免除期間に会社が任意で監査証明を受けることは可能です(但し、一旦監査証明を受けた以後、再度免除規定の適用を受けることはできません)。また、免除されるのは監査証明についてのみであり、内部統制報告書の提出は必要です。

10. ビジネス文書デジタル化に係る内部統制

(1) ビジネス文書デジタル化とは

デジタル社会実現のため、国を挙げてDX(Digital Transformation)を推進している中、従来紙ベースであったビジネス文書のデジタル化(Digitization。ペーパーレス化)の関心が高まっています。

ビジネス文書のデジタル化には、具体的に、電子契約のように取引の開始から完了まで電子文書上で行う電子化(電子取引)と、スキャナ保存制度のように既存の紙面文書をスキャンして電子文書に変換する電子化の二つがあり、「電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律」(電子帳簿保存法)において以下のように定められています。

ビジネス文書デジタル化とは 図

デジタル化にあたっては、電子帳簿保存法の適用要件の順守(税務コンプライアンス)と同時に、「改ざん」や「なりすまし」といったデジタル化固有のリスクに対応するため、個々の企業の状況に応じて、適切な内部統制の構築が求められ、以下では、急速に普及している「電子契約」や、相次ぐ電子帳簿保存法改正により利用進展が予想される「スキャナ保存制度」にかかる内部統制の着眼点や留意点について解説いたします。

なお、関連する参考資料として、日本公認会計士協会から監査・保証実務委員会実務指針第104号「イメージ文書により入手する監査証拠に関する実務指針」が公表されています。当該実務指針は監査人が監査の過程で入手する監査証拠がイメージ文書(PDF等)で提供される場合に係る実務上の指針を取りまとめたものですが、企業が内部統制を構築する上においても有益な情報が提供されており、合わせてご参照ください。
 

(2) 電子契約における内部統制上の着眼点・留意点

電子契約の導入においては、従来の紙から電子データへの変化によるリスクを意識した対応が求められ、以下のような着眼点・留意点が考えられます。

電子契約における内部統制上の着眼点・留意点 図

① 本人性

ここでいう本人性とは、電子契約を締結する相手方が名乗った通りの人物であり、契約元の会社にとって意図した相手であるかどうかを意味します。電子契約においては、リモートで行うことから相手の顔が見えず、また、郵送等も行わないことから意図した相手でないといった「なりすまし」のリスクがあります。この「なりすましリスク」に対応するために、例えば、電子メールのドメインの正確性を確認することはもちろんのこと、当事者間において第三者機関から発行される電子証明書付きの電子署名を用いる(署名型の採用)といった対応や電子契約の締結に当たり、取引相手先に電子メールを送る際、別途、SMS認証を追加するといった多要素認証を用いることも考えられます。

② 権限性

ここでいう権限性とは、電子契約を行う際にサインをする者が、その所属する組織で電子契約を締結する権限を実際に有している者かどうかを意味します。電子契約では、法人ではなく個人の電子サインが付されることになり、また、電子契約書データ(PDF)の署名パネルやクラウド上のシステムにて、いつ誰が電子サインしたか明確になります。例えば、企業内部において、契約の種類に応じて誰が電子サインするのかを明確に定めることや、また、代理でサインする場合には、その権限委譲のルールを整備することが考えられます。さらに、取引相手側の権限性についても確認する社内ルールを整備することも考えられます。

③ 非改ざん性

ここでいう非改ざん性とは、電子契約締結後において、その契約内容が変更されていないかどうかを意味します。例えば、使用している外部ベンダーが提供するクラウド型の電子契約システム自体が改ざんできない仕様となっていることを確認することが考えられます。また、電子契約システムのベンダーが受託業務に係る内部統制の保証報告書を入手している場合には、それによりベンダーにおけるIT全般統制やIT業務処理統制を確認することも考えられます。さらに、クラウド上の電子契約システム外にてPDF保管される場合、非改ざん性を担保する仕組みの一つとして、PDFにタイムスタンプを付すことが考えられます。タイムスタンプとは、タイムスタンプに刻印されている時刻以前にその電子文書が存在していたこと(存在証明)と、その時刻以降、当該文書が改ざんされていないこと(非改ざん証明)を証明するものになります。

④ データ消失

電子契約の場合、電子データでの保管のため、予期せぬシステム障害などにより文書を消失するリスクがあります。そのため、電子契約のバックデータを取っておくことにより、不測の事態が生じた場合においても事業活動への支障を軽減することが可能となります。

⑤ データ漏えい

電子契約の特徴として、複製により短時間内かつ広範囲にわたる漏えいが起こるリスクがあります。多くの電子契約サービスがクラウド型であることに対応して、既存の社内の情報セキュリティ管理規程などの見直しの検討や、具体的なアクセス権限の設定、パスワード管理、アクセス・編集履歴管理の検討が必要と考えられます。

⑥ その他

  • 文書情報管理
    部署ごとに異なる電子契約システムを利用するあるいは他社が利用するシステムで契約する場合など、契約書データが複数箇所に保管される結果、原本の所在が分散するケースが想定されます。すべての契約書についてだれの責任でどこに原本があるのか管理するために、契約書台帳等で適切に管理する、あるいは、文書管理システムを利用して一元管理を行うといった対応が求められます。また、担当部署の判断で勝手に電子契約が締結されてしまうことを防ぐため、複数部署(例えば、契約管理部署)を関与させ牽制を働かせるなど、契約のルールを整備する必要があります。
  • 契約書日と電子サイン日の乖離
    紙面への押印や署名と異なり、電子契約においては電子サインを行った日(電子サイン日)が明示されます。これにより、例えば、バックデートでサインした契約書などは明らかになります。契約日と電子サインを行った日とで乖離がある場合に、当該事象がリスクとなり得ないか、慎重に検討する必要があります。
  • システム間連携(API)
    電子契約が社内承認なく勝手に締結されることを防止する観点からは、社内稟議申請→承認→契約締結→保管といった一連の業務フローの構築において、電子契約システムと社内基幹システムをAPI連携し、人の手が入らないような仕組みを作ることが有効であると考えられます。
     

(3) スキャナ保存制度における内部統制上の着眼点・留意点

スキャナ保存制度適用に当たり、電子帳簿保存法に定める適用要件を満たすことは当然必要ですが、個々の企業の状況を踏まえ、以下のような着眼点・留意点が考えられます。

スキャナ保存制度における内部統制上の着眼点・留意点 図

日本公認会計士協会IT委員会研究報告第50号「スキャナ保存制度への対応と監査上の留意点」も参照のこと

① 非改ざん性

改ざんリスクは、紙面をスキャンする前とスキャン後の両局面にて存在します。
まず、紙面をスキャンする前において、紙面自体が改ざんされるリスクがあります。また、紙面のスキャン後において、PDF編集ソフトウェアを用いて内容が改ざんされるリスクもあります。さらに、領収書の使い回しによる経費の二重請求といったリスクもあります。
このようなリスクに対して、次のような内部統制の構築が考えられます。
 

(例示)
  • スキャン時におけるダブルチェックの実施
  • 事後的検証(原本とPDFの照合)の実施
  • PDFにスキャン担当者等の電子サインを付与する
  • タイムスタンプを付与する
  • 改ざん防止機能のあるシステムを利用する
  • 書面原本の作成・受領・管理担当者とスキャン実施担当者の職務を分離する
  • スキャン後所定のストレージにPDFが自動保存される
  • 書面受取からPDF化作業そのものを適正な外部ベンダーに委託する
  • PDFと書面原本、関連会計帳簿・エビデンスとの相互関連性(参照)を確保する
  • PDFの保存および更新が、いつ、誰によって、どのように実施されたかを後日特定できるように、履歴情報を保存する
  • 事後的に、同一日付、同一取引先、同一金額のデータを検索し該当データについて、領収書原本と照合することにより、使い回しの有無を確認する

加えて、税務が求めるシステム要件の充足を検討する必要があります。この点、例えば、JIIMA認証(公益社団法人日本文書情報マネジメント協会による「電帳法スキャナ保存ソフト法的要件認証制度」)の取得の有無も参考になります。

② データ消失、③ データ漏洩

上述、(2)電子契約における内部統制上の着眼点・留意点をご参照ください。

④ その他

  • 監査対応のための原本保存期間
    監査上、一般的に、電子媒体に変換された証憑は、紙面原始証憑に比べて証拠力が弱いとされています(監査基準委員会報告書500「監査証拠」参照)。スキャナ保存制度を適用していても、原本は原始証憑たる紙面であることに変わりはありません。被監査会社は、原則、監査人の要求に応じてすべての証拠資料にアクセスできる環境を提供することが求められます。そのため、監査で必要な証憑類の保存期間について監査人と協議することが必要となります。


(4) 今後に向けて

上記で紹介した、「電子契約」や「スキャナ保存制度」以外にも、「デジタルインボイス」(※1)や「Peppol」(※2)といった仕組み・規格の導入が検討されており、経理業務のDXはますます加速していきます。デジタル化には多くのメリットがある一方、固有のリスクも存在します。適正な内部統制とともに導入を検討すべきであり、監査人との事前協議が重要となります。

(※1)「デジタルインボイス」------ インボイス制度におけるインボイスにかかる電磁的記録。非改ざん性を担保しつつ、複雑化する仕入税額控除の計算をシステム取り込みにより自動化されることが期待されている。
(※2)「Peppol」------ Pan European Public Procurement Onlineの略称。受発注や請求にかかる電子文書をネットワーク上でやり取りするための「文書仕様」「ネットワーク」「運用ルール」の規格で、国際的な非営利組織であるOPEN PEPPOLが管理しているグローバルな標準規格。現在30カ国以上で採用。「デジタルインボイス」等の電子文書を「Peppol」の規格に準拠させることで、異なるシステム間でのデータ取り込み、グローバル取引への対応など、さらなる経理業務の効率化が期待されている。