IPOサポートメディアは上場準備に関する様々な情報やマネーフォワードのグループソリューションを紹介
VCの方はこちら
  1. マネーフォワード クラウド
  2. IPOサポートメディア
  3. IPOの基礎知識
  4. 【上場企業必読!】内部統制の評価・実施基準の改訂版を徹底解説
  • 更新日 : 2025年3月19日

【上場企業必読!】内部統制の評価・実施基準の改訂版を徹底解説

2023年4月から内部統制における実施基準が改訂されました。

クリーンな事業活動と企業イメージのためにも、上場企業はもちろん、これから上場を目指す成長企業も「内部統制の実施基準」の最新情報を理解しておかなければいけません。

本記事では、財務報告に係る内部統制の評価および監査に関する実施基準の改訂版について解説します。改訂された内容や、改訂後に必要となる業務なども併せて確認してみましょう。

内部統制の評価および監査の実施基準の改訂目的や改訂範囲とは

金融庁は、2008年に上場企業を対象とした内部統制報告制度を金融商品取引法で定め、導入が開始されました。

運用から15年経過した2023年4月に内容が改訂されたため、内部統制の実施が義務付けられている上場企業や上場を予定している企業は改訂内容を把握しておく必要があります。

なぜなら、内部統制を再構築する必要や、従業員への共有が必要なためです。ここからは、具体的にどんな項目が改訂され、どんな内容の変更があったのかについて解説していきます。

以下の記事では内部統制の内容について解説していますので、ぜひ参考にしてください。

IPOサポートメディア
内部統制とは?4つの目的や6つの基本的要素を分かりやすく解説
内部統制とは、企業が事業活動を健全かつ効率的に運営するための仕組みのことです。しかし、内部監査やコーポレートガバナンス、コンプライアンスなどと内容が似ているため、上手に説明できる人は少ないのではないでしょうか。今回は、内部統制を行う4つの目的、および6つの基本的要素について解説します。ちなみに、本記事では2023年4月に改訂(2024年4月から適用)された「財務報告に係る内部統制の評価及び監査の基準」に基づいて、最新情報をお伝えしています。内部統制と類似している単語との違いや、経営者や従業員等の内部統制...

改訂の目的

実施基準の改訂の目的は、組織内で正しく適切に管理・監督をすることで内部統制をより効果的に実施し、クリーンな財務報告を行うことです。透明性を高めることで企業の価値を向上させる働きにつなげられます。

今後も健全でクリーンな企業イメージを保持していくためにも、改訂の詳細は正しく理解しておきましょう。

改訂された範囲

実施基準の改訂範囲は以下の通りです。

内部統制の基本的枠組み
  1. 報告の信頼性
  2. 内部統制の基本的要素
  3. 経営者による内部統制の無効化
  4. 内部統制に関係を有する者の役割と責任
  5. 内部統制とガバナンス及び全組織的なリスク管理
財務報告に係る内部統制の評価及び報告
  1. 経営者による内部統制の評価範囲の決定
  2. ITを利用した内部統制の評価
  3. 財務報告に係る内部統制の報告
財務報告に係る内部統制の監査

参考:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)|金融庁

時代の変化に合わせた実施基準へ

実施基準の改訂には、15年間運用した経過の中で目的の変化があったことが理由のひとつとして挙げられます。

2008年導入時の目的は企業の財務報告の正確性を保証し、投資家保護を強化することでした。導入当時は内部統制による一定の効果が確認されたものの、制度の実効性が疑われる事例が起こり、経営者による内部統制の範囲外で開示すべき重要な不備があったなどの意見が報告されました。

この課題解決のために、経営者による内部統制の評価と監査人による監査が義務付けられるように改訂へと至りました。

また改訂の背景には、財務報告の信頼性に懸念があったことが見受けられます。

平成20 (2008)年4月1日以後開始する事業年度に適用されて以来、15年余りが経過した。 この内部統制報告制度は、財務報告の信頼性の向上に一定の効果があったと考えら れる。 一方で、経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らか になる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示がない 事例が一定程度見受けられており、経営者が内部統制の評価範囲の検討に当たって 財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等 の内部統制報告制度の実効性に関する懸念が指摘されている。

引用:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)|金融庁

さらに、グローバル化や市場環境の変化、IT化・テクノロジーの急激な発展など、社会や経済の変化に伴い、企業が複雑で多種多様なリスクに対して厳重に管理する必要が出てきたことも影響します。

社会の変化に合わせてより効果的な内部統制の確保のために改訂されたといえるでしょう。

内部統制基準の改訂によって起こる企業への影響とは

内部統制基準の改訂によって企業にはどんな影響が出るのでしょうか。

この15年の社会の変化で、ITを扱う企業やITに依存する企業が急増しました。これらの企業はサイバー対策の強化や運用システムの見直しが求められるため、ITに対する統制の需要が増しています。

また、業務効率化の促進も内部統制の評価範囲が広がることで、効率化どころか業務量が増加してしまうなどの影響が考えられます。

実務で注意すべき箇所

実施基準の改訂によって、実務ではリスク対策、業務効率化の推進、評価範囲の検証の3点に注意しましょう。

リスク管理や対策は、内部統制の改訂に関係なく注力し、未然に防ぐように努めるべきです。情報漏洩や水増し清算などの不正リスクに加え、サイバー攻撃などのITリスクなどが時代と共に増加し年々複雑化しています。随時新たなリスクを考慮・警戒し、必要であれば内部統制の再構築をするべきでしょう。

内部統制の評価範囲が広がるということは評価対象とされる業務も増えるということになります。評価手続きが効率的に行えるように注力しましょう。そのためには運用ツールやシステムの導入、または見直しを検討する場合もあります。

評価範囲の検証には、自社と物理的距離があるグループ会社や支社に注意を払いましょう。たとえば海外支社など直接管理が行き届きにくい事業所には追加の評価対象に含める必要があります。

内部統制基準のどこが改訂されたのか

内部統制の改訂箇所について解説していきます。改訂ポイントは以下の5つです。

【変更】財務報告の信頼性が「報告の信頼性」へ

内部統制の4つの目的のうちの1つである「財務報告の信頼性」が非財務情報も含めた「報告の信頼性」に変更されました。改訂以前は財務報告だけだったのが非財務情報も含めることで利害関係者がより多くの判断材料を得ることになり、より精度の高い判断ができるようになりました。

非財務情報とは、財務とは別に社内環境や統制に関するもので顧客満足度や従業員の福利厚生、環境への取り組みなどを指します。つまり企業の社会的な側面の情報のことです。

注意したいのは、あくまで金融商品取引法で定められた財務情報の報告は基本的にこれまで通り適切に行ったうえで、非財務情報も加える必要があることです。

【追記】不正リスクへの評価・対応が重要

内部統制の6つの要素である「リスクへの評価と対応」において、COSO報告書の改訂を踏まえ、リスクを評価する際に、不正に関するリスクについて考慮することの重要性や考慮すべき事項が追加されました。

リスク評価の対象となる不正リスクへの懸念に対して強化する必要があります。不正に関するリスクの検討においては、さまざまな不正及び違法行為の結果、発生し得る不適切な報告や資産の流用および汚職についての検討が必要です。

不正に関するリスクの評価においては、不正に関する動機とプレッシャー、機会、姿勢と正当化について考慮することが重要とされ、リスクの変化に応じて再評価し、対応を適時に見直すことが重要です。

【追記】評価範囲に関して、監査人との適切な協議を明確化

評価範囲が広がったことで監査人との適切な協議を明確化することが追記されました。

具体的に以下の3点が追加されました。

  1. 財務諸表監査の実施過程で入手した監査証拠の活用
  2. 監査人は独立監査人として独立性を確保する
  3. 経営者が定めた内部統制評価の範囲外の不備に対する対応

改訂前の問題点として、経営者による評価範囲外での重要な情報開示不備がありました。改訂で第三者的立場である監査人との適切な協議を実施することにより、より厳密で適切な監査が行われるように改善されました。

【追記】IT活用においてセキュリティの確保が重要

ITに関連する業務の増加で、ITに伴う統制が重要とされています。ITを活用することで業務効率化、業務範囲の拡大が可能になることに伴ってサイバーリスクも心配されます。サイバーリスクへの対応には情報セキュリティの強化や確保が重要です。

【変更】内部統制の評価範囲基準

内部統制の評価範囲の基準の変更が改訂のもっとも重要視された項目です。経営者自身が内部統制の評価範囲を決めてしまうと、開示すべき重要な情報を評価範囲から外すなどの独自的な判断に偏る懸念がありました。

内部統制の評価範囲は、重要な事業拠点や業務工程を評価対象として選定する指標として、これまでの「売り上げ額の約3分の2」や「売り上げ・売掛金棚卸資産の3勘定」という基準から、これらを一律で決定・適用すべきでないという基準へ変更されました。

内部統制の評価範囲基準は、一律の基準で判断するのではなく、適宜状況に順応して適切な協議のうえで決定する必要があります。

J-SOXの具体的手順

J-SOXとは、上場企業の財務報告の信頼性を確保するための内部統制報告制度です。

ここでは、J-SOXではどのような手順で行うべきか、具体的な手順や必要な書類、書類の作成方法、作成ツールについて、順を追って説明します。

まずはJ-SOXに必要な3点セットを用意しよう

J-SOXとは企業の不正・不祥事を未然に防ぐための仕組みや組織、社内ルールである「内部統制」が有効に機能しているかを評価し、報告する制度を指します。

J-SOXへの対応には「3点セット」と言われる必要書類の作成が求められます。

J-SOXの「3点セット」
  1. フローチャート
  2. 業務記述書
  3. リスクコントロールマトリックス

この3点セットは経営者を主導に書類を作成し、用意をしておく必要があります。

1.フローチャート

フローチャートは部門ごとの業務フロー(流れや工程)を図式化したものを記載した書類です。フローチャートにより、業務プロセスが可視化され、視覚的に組織の全体像が分かりやすくなり、流れ全体を網羅できます。

さらに、業務上の課題や問題点、リスクの発見にもつながります。注意したいのは、2.業務記述書と相違が無いように作成することです。フローチャートと業務記述書は整合性が取れている状態で用意しましょう。

2.業務記述書

業務記述書とは、フローチャートを言語化・文章化した書類です。

業務の概要・流れ・手順・使用しているシステムやツールすべてを文字で表記したものになります。作成の際には、5W1H(いつ・どこで・だれが・なにを・なぜ・どのように)を意識した正しい日本での記載が必要です。

3.リスクコントロールマトリックス

リスクコントロールマトリックス(RCM)は、業務フローにおける不正やミスなどの業務上リスクと、そのリスクへの具体的対応策を記載した一覧表のことです。

内部統制によって、どのリスクが、どう対応することによって、どれくらいリスクヘッジできるのかが一目で理解できる資料となります。一覧にすることで網羅性と効果の有効性を評価することを目的としています。

3点セットの作成方法とは

「フローチャート」「業務記述書」「リスクコントロールマトリックス(RCM)」それぞれは以下の手順で作成します。

まず、フローチャートまたは業務記述書のどちらかから着手します。業務マニュアルや帳簿を照らし合わせながら、実務担当者へヒアリングし、内容をすり合わせて作成します。どちらかが完了したら、もう一方も作成します。

次に、リスクコントロールマトリックス(RCM)を作成します。フローチャートを確認しながら、リスクがどこで発生するかを検討します。発生する可能性の高い箇所を一覧にまとめながら、フローチャートにも追記します。

該当箇所でどのようなリスクが起こりえるかを多面的に考えることがポイントです。

社内の内部統制を見直してみよう

本記事では、財務報告に係る内部統制の評価及び監査に関する実施基準について解説しました。

また、改定前の情報やその背景、改訂後の具体的な変更点や追加点、そして社会の変化に伴って改定に踏み切った背景などもお伝えしました。

2024年4月1日から財務報告に係る内部統制の評価及び監査に関する実施基準はすでに適用されています。自社の内部統制のアップデートにはさまざまな資料の提出や対応を求められます。時代や事業方針などを顧みて、見直しを検討してみる余地があるでしょう。


※ 掲載している情報は記事更新時点のものです。

  • IPOサポートメディア編集部

    「IPOサポートメディア」は株式会社マネーフォワードが運営している公式メディアです。IPO・上場準備に関連するビジネスに役立つ情報を更新し、IPOを目指すすべての成長企業を応援します。

※本サイトは、法律的またはその他のアドバイスの提供を目的としたものではありません。当社は本サイトの記載内容(テンプレートを含む)の正確性、妥当性の確保に努めておりますが、ご利用にあたっては、個別の事情を適宜専門家にご相談いただくなど、ご自身の判断でご利用ください。

関連記事

  1. マネーフォワード クラウド
  2. IPOサポートメディア
  3. IPOの基礎知識
  4. 【上場企業必読!】内部統制の評価・実施基準の改訂版を徹底解説