EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
2024年7月発行のIPOガイドブックを転載したものであり、本文中特に断り書きのない限り、2024年4月15日現在の法令・規則等に準拠して作成しています。
2024年版 IPOガイドブック
本章では「財務報告に係る内部統制の評価及び監査の基準」(以下、「基準」)及び「財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「実施基準」)に照らして、「経営管理制度の整備・運用」の記載内容について整理します。
金融商品取引法により、上場会社を対象に財務報告に係る内部統制の「評価」と「監査」が義務づけられています(以下、「内部統制報告制度」)。
経営者は財務報告に係る内部統制を整備・運用する役割と責任を有しており、財務報告に係る内部統制については、その有効性を自ら評価し、その結果を外部に向けて報告することが求められます。また、経営者による財務報告に係る内部統制の有効性は、その評価結果が適正であるかどうかについて、当該企業等の財務諸表の監査を行っている公認会計士等の外部監査人が監査することにより担保する仕組みになっています。
内部統制報告制度は、上場後最初に到来する事業年度末(通常、上場申請期)から適用されることになります。しかし、新規上場会社は、一定規模の会社を除き、上場後の3年間、内部統制報告書に係る監査証明が免除されています。
基準によれば、内部統制とは、基本的に、業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成されます。
なお、後述する内部統制報告制度の基準の改訂において、内部統制の目的の1つである「財務報告の信頼性」が「報告の信頼性」と改訂されたほか、4つの基本的要素に改訂が施されています。
内部統制は従来から企業に存在しており、事業活動において発生する非効率的な活動、不正確な財務数値、法令違反並びに横領などのリスクを防止・発見するための仕組みであり、内部統制のレベルは企業によって様々です。
内部統制は、組織活動の目標を達成するために組織内のすべての者によって遂行されるプロセスです。そのため、組織に属しているすべての者は内部統制に関係を有しており、それぞれの役割と責任を担うことになります。基準及び実施基準では、関係者を経営者、取締役会、監査役等、内部監査人、組織内のその他の者に分類しています。
分類 |
役割と責任 |
---|---|
経営者 |
|
取締役会 |
|
監査役、監査役会、監査等委員会又は監査委員会 |
監査役、監査役会、監査等委員会又は監査委員会は、取締役及び執行役の職務の執行に対する監査の一環として、独立した立場から、内部統制の整備及び運用状況を監視、検証する役割と責任を有しています。 |
内部監査人 |
内部監査人は、内部統制の基本的要素の一つであるモニタリングの一環として、内部統制の整備及び運用状況を検討、評価し、必要に応じて、その改善を促す職務を担っています。 |
組織内のその他の者 |
上記以外の組織内のその他の者も、自らの業務との関連において、日常業務の中で自らの権限と責任の範囲内で、有効な内部統制の整備及び運用に関して一定の役割と責任を有しています。 |
2023年4月7日付で「財務報告に係る内部統制の評価及び監査の基準」、「財務報告に係る内部統制の評価及び監査の実施基準」が改訂されました。当該基準は2024年4月1日以降開始する事業年度より適用となります。
今回の改訂は、財務報告の信頼性を担保するため内部統制報告制度の実効性をより高めていくためとされています。
主な改訂点と考え方は以下の通りとなります。
項目 |
報告の信頼性 |
---|---|
① 報告の信頼性 |
内部統制の目的は「財務報告の信頼性」を包含する「報告の信頼性」を確保することとされました。 |
② 内部統制の基本的要素 |
COSO報告書の改訂を踏まえ、リスク評価するに際し不正に関するリスクを考慮することの重要性や考慮すべき事項が明示されました。 |
②-1 リスクの評価と対応 |
リスクの評価と対応では、評価対象となるリスクに不正に関するリスクが含まれることが明記されました。これにより、企業は財務報告の信頼性に及ぼす影響の重要性を考慮する上で、不正に関するリスクも念頭におくこととなります。不正に関するリスクを検討する際には、不正の要因となる「動機とプレッシャー」「、機会」「、姿勢と正当化」について考慮することが重要とされており、企業は、今後、これらの不正の要因も考慮して評価範囲を決定していくことになります。 |
②-2 情報と伝達 |
情報と伝達については、情報の信頼性が強調されました。基準及び実施基準が策定された15年前と比べると、ビジネス及びビジネスを取り巻く環境は変化しており、大量の情報を扱い、業務が高度に自動化されたシステムに依存している状況も増えてきています。そうした状況においては、情報の信頼性が重要となることが強調されました。 |
②-3 モニタリング |
モニタリングについては、内部監査人が識別した問題点について、取締役会や監査役等とも共有し、適切に対応することが求められています。内部監査は経営者直轄の組織としている企業も多いと思いますが、内部監査人が識別した問題点について、適時に経営者に報告する仕組みを確保するとともに、問題点に対し経営者が適切な対応をしているかをガバナンスが監視していくことの重要性を確認する改訂となっています。 |
②-4 IT(情報技術)への対応 |
ITへの対応については、昨今、ITリソースを自社で保有せず、外部の専門会社に委託する事例も増えてきていることから、ITの委託業務に係る重要性について強調されています。また、クラウドやリモートアクセスなどのさまざまな技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保の重要性も強調されました。 |
③ 経営者による内部統制の無効化 |
内部統制を無視又は無効ならしめる行為に対する、組織内の全社的又は業務プロセスにおける適切な内部統制の例が示されました。 |
④ 内部統制に関係を有する者の役割と責任 |
監査役等については、内部監査人や監査人等との連携、能動的な情報入手を行うことの重要性が記載されました。 |
⑤ 内部統制とガバナンス及び全組織的なリスク管理 |
内部統制、ガバナンスおよび全組織的なリスク管理を一体的に整備および運用することの重要性が明示され、これらの体制整備の考え方として、3線モデル等が例示されました。 |
項目 |
報告の信頼性 |
---|---|
① 経営者による内部統制の評価範囲の決定 |
経営者による内部統制の評価範囲の決定にあたっては、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことが改めて強調されました。それに伴い、評価対象とする事業拠点や業務プロセスを選定する指標として例示されている「売上高等のおおむね3分の2」や「売上、売掛金及び棚卸資産の3勘定」という特定の勘定科目の例示を、機械的に適用すべきでないことが記載されました。 |
② ITを利用した内部統制の評価 |
ITを利用した内部統制の評価について留意すべき事項が記載されました。 |
③ 財務報告に係る内部統制の報告 |
内部統制報告書において記載すべき事項が明示されました。 |
改訂の内容等 |
---|
実効的な内部統制監査を実施するために、監査人は、財務諸表監査の実施過程において入手している監査証拠の活用や経営者との適切な協議を行うこと等が重要であることが示されました。 |
財務報告に係る内部統制の評価・報告の流れ、年間スケジュールを図示すると、以下のようになります。
上場準備会社においては、上場会社と比べると人的リソースの不足は否めません。
実際に作業を行う人材の不足、内部管理体制の整備に関する経験や知識の不足、専門知識を有する経理財務や内部監査担当者の不足、報告すべき財務内容やその重要性に関する理解の不足など多くの課題が考えられます。
そのため、目標とする上場時期に合わせて、財務報告に係る内部統制を構築し、経営者自らが評価できるようにするためには、人材の確保を優先することが必要となります。
一般的に、上場準備会社は上場会社に比べて事業規模が小さく、業務内容が複雑でないことも多いため、このような点では準備作業の負担は減りますが、社内リソース、特に人材不足がネックとなることが予想されます。
当該リソースの確保に関しては社内での人員育成が第一であることに加え、必要に応じて一部業務をアウトソーシングすることも考えられます。ただし、アウトソーシングを利用する場合にも社内で成果物をチェックすることが必要であり、あくまで内部統制の整備・運用責任は会社にあることに留意する必要があります。
上場準備会社、特にビジネスや組織が急拡大するスタートアップ企業では、上場直前期に内部統制報告制度への対応を図るケースが実務上多くなっているものと考えられます。上場直前期においては上場準備作業が本格化することもあり、予定どおり導入作業が進まないことも考えられます。従って、しっかりとした導入計画を立て、着実に実行することが求められます。プロジェクト管理を十分に行わないで導入作業を進めた場合には、導入作業の大幅な遅れにつながり、上場審査上も問題視される可能性があります。
そのためプロジェクト管理について、以下のポイントに留意する必要があります。
上場準備会社においても上場会社と同様、内部統制導入プロジェクトを円滑に行うためにはプロジェクトの総責任者となる社長又は取締役が強力にバックアップすることが必要になります。上場準備プロジェクトそのものをトップマネジメントが指揮することも多いですが、上場準備の中で財務報告に係る内部統制の構築も大きなウエイトを占めることになります。これまで以上にプロジェクト管理が重要になるため、経営陣がその重要性を理解した上でプロジェクトをリードしていくことが求められることになります。
前述のとおり、上場会社は、事業年度ごとに、有価証券報告書と併せて内部統制報告書の提出が求められており、内部統制報告書についても、公認会計士等の監査証明が必要とされています。しかし、新規上場会社については、新規上場に伴う負担を軽減するため、一定規模の会社を除き、上場後3年間、この監査証明が免除されています。
監査証明の免除は、金融商品取引所に上場されている有価証券の発行者に初めて該当することになった日(上場日)以後3年を経過する日までの間に内部統制報告書を提出する場合(金融商品取引法第193条の2第2項第4号)に適用されます。
また、上場日が当該発行者の事業年度開始後3 月以内の日となる、いわゆる期越え上場の場合には、その事業年度開始後3 月を経過した日が起算日となり(金融商品取引法施行令(昭和40年政令第321号)第35 条の3)、上場後3年間の免除期間が確保されています。
但し、上場日の属する事業年度の直前事業年度に係る連結貸借対照表もしくは貸借対照表に資本金として計上した額が100億円以上、又は当該連結貸借対照表もしくは貸借対照表の負債の部に計上した額の合計額が1,000億円以上の会社は適用除外とされています(内部統制府令(平成19年内閣府令第62号)第10条の2)。
これは、新規上場会社であっても、その規模等に照らし、市場への影響や社会・経済的影響が大きいと考えられる会社については、内部統制報告書に係る監査義務を免除することは適当ではないとの趣旨によるものです。
この内部統制報告書に係る監査証明の免除規定の適用は会社に委ねられているため、免除期間に会社が任意で監査証明を受けることは可能です(但し、一旦監査証明を受けた以後、再度免除規定の適用を受けることはできません)。また、免除されるのは監査証明についてのみであり、内部統制報告書の提出は必要です。
デジタル社会実現のため、国を挙げてDX(Digital Transformation)を推進している中、従来紙ベースであったビジネス文書のデジタル化(Digitization。ペーパーレス化)の関心が高まっています。
ビジネス文書のデジタル化には、具体的に、電子契約のように取引の開始から完了まで電子文書上で行う電子化(電子取引)と、スキャナ保存制度のように既存の紙面文書をスキャンして電子文書に変換する電子化の二つがあり、「電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律」(電子帳簿保存法)において以下のように定められています。
デジタル化にあたっては、電子帳簿保存法の適用要件の順守(税務コンプライアンス)と同時に、「改ざん」や「なりすまし」といったデジタル化固有のリスクに対応するため、個々の企業の状況に応じて、適切な内部統制の構築が求められ、以下では、急速に普及している「電子契約」や、相次ぐ電子帳簿保存法改正により利用進展が予想される「スキャナ保存制度」にかかる内部統制の着眼点や留意点について解説いたします。
なお、関連する参考資料として、日本公認会計士協会から監査基準報告書500実務指針第1号「イメージ文書により入手する監査証拠に関する実務指針」が公表されています。当該実務指針は監査人が監査の過程で入手する監査証拠がイメージ文書(PDF等)で提供される場合に係る実務上の指針を取りまとめたものですが、企業が内部統制を構築する上においても有益な情報が提供されており、合わせてご参照ください。
電子契約の導入においては、従来の紙から電子データへの変化によるリスクを意識した対応が求められ、以下のような着眼点・留意点が考えられます。
ここでいう本人性とは、電子契約を締結する相手方が名乗った通りの人物であり、契約元の会社にとって意図した相手であるかどうかを意味します。電子契約においては、リモートで行うことから相手の顔が見えず、また、郵送等も行わないことから意図した相手でないといった「なりすまし」のリスクがあります。この「なりすましリスク」に対応するために、例えば、電子メールのドメインの正確性を確認することはもちろんのこと、当事者間において第三者機関から発行される電子証明書付きの電子署名を用いる(署名型の採用)といった対応や電子契約の締結に当たり、取引相手先に電子メールを送る際、別途、SMS認証を追加するといった多要素認証を用いることも考えられます。
ここでいう権限性とは、電子契約を行う際にサインをする者が、その所属する組織で電子契約を締結する権限を実際に有している者かどうかを意味します。電子契約では、法人ではなく個人の電子サインが付されることになり、また、電子契約書データ(PDF)の署名パネルやクラウド上のシステムにて、いつ誰が電子サインしたか明確になります。例えば、企業内部において、契約の種類に応じて誰が電子サインするのかを明確に定めることや、また、代理でサインする場合には、その権限委譲のルールを整備することが考えられます。さらに、取引相手側の権限性についても確認する社内ルールを整備することも考えられます。
ここでいう非改ざん性とは、電子契約締結後において、その契約内容が変更されていないかどうかを意味します。例えば、使用している外部ベンダーが提供するクラウド型の電子契約システム自体が改ざんできない仕様となっていることを確認することが考えられます。また、電子契約システムのベンダーが受託業務に係る内部統制の保証報告書を入手している場合には、それによりベンダーにおけるIT全般統制やIT業務処理統制を確認することも考えられます。さらに、クラウド上の電子契約システム外にてPDF保管される場合、非改ざん性を担保する仕組みの一つとして、PDFにタイムスタンプを付すことが考えられます。タイムスタンプとは、タイムスタンプに刻印されている時刻以前にその電子文書が存在していたこと(存在証明)と、その時刻以降、当該文書が改ざんされていないこと(非改ざん証明)を証明するものになります。
電子契約の場合、電子データでの保管のため、予期せぬシステム障害などにより文書を消失するリスクがあります。そのため、電子契約のバックデータを取っておくことにより、不測の事態が生じた場合においても事業活動への支障を軽減することが可能となります。
電子契約の特徴として、複製により短時間内かつ広範囲にわたる漏えいが起こるリスクがあります。多くの電子契約サービスがクラウド型であることに対応して、既存の社内の情報セキュリティ管理規程などの見直しの検討や、具体的なアクセス権限の設定、パスワード管理、アクセス・編集履歴管理の検討が必要と考えられます。
スキャナ保存制度適用に当たり、電子帳簿保存法に定める適用要件を満たすことは当然必要ですが、個々の企業の状況を踏まえ、以下のような着眼点・留意点が考えられます。
改ざんリスクは、紙面をスキャンする前とスキャン後の両局面にて存在します。
まず、紙面をスキャンする前において、紙面自体が改ざんされるリスクがあります。また、紙面のスキャン後において、PDF編集ソフトウェアを用いて内容が改ざんされるリスクもあります。さらに、領収書の使い回しによる経費の二重請求といったリスクもあります。
このようなリスクに対して、次のような内部統制の構築が考えられます。
加えて、税務が求めるシステム要件の充足を検討する必要があります。この点、例えば、JIIMA認証(公益社団法人日本文書情報マネジメント協会による「電帳法スキャナ保存ソフト法的要件認証制度」)の取得の有無も参考になります。
上述、(2)電子契約における内部統制上の着眼点・留意点をご参照ください。
上記で紹介した、「電子契約」や「スキャナ保存制度」以外にも、消費税法でインボイス制度が導入されたことをきっかけに、デジタル庁を中心に「Peppolを利用したデジタルインボイス」(※)を利用することも促進されるようになり、経理業務のDXがますます加速しています。
デジタル化には多くのメリットがある一方、固有のリスクも存在します。適正な内部統制とともに導入を検討すべきであり、監査人との事前協議が重要となります。
(※)「Peppol」…Pan European Public Procurement Onlineの略称。受発注や請求にかかる電子文書をネットワーク上でやり取りするための「文書仕様」「ネットワーク」「運用ルール」の規格で、国際的な非営利組織であるOPEN PEPPOLが管理しているグローバルな標準規格で、現在30か国以上で採用されています。
デジタル庁は日本のPeppol Authorityとして機能し、グローバルな標準仕様である「Peppol(ペポル)」をベースとした日本におけるデジタルインボイスの標準仕様(JP PINT)の管理等を行っています。
Peppolを利用したデジタルインボイスにより、構造化されたテキストデータそのものが適格請求書として取り扱われるため、非改ざん性を担保しつつ、複雑化する仕入税額控除の計算に当たり、異なるシステム間でもデータの取り込みが自動化されたり、グローバル取引にも対応します。今後、国内決済システムと連携される構想もあるなど、経理業務のDXがますます広がることが期待されています。