異議申立てとは?特許異議申立ての手続きの流れ、期間、費用を解説
catfish_admin
経営リスクナビ
内部統制の新基準、実務への影響は?会社法・金商法の改正点を解説
catfish_admin
企業の内部統制システムについて、2024年4月以降開始する事業年度から適用される新基準への対応が急務となっています。今回の改訂は、金融商品取引法と会社法の両面から、非財務情報やITリスクへの対応強化など、より実質的なガバナンス体制の構築を求めるものです。従来の延長線上での対応では不十分であり、評価範囲の見直しや規程類の更新など、全社的な取り組みが不可欠です。この記事では、内部統制を巡る最新の法改正・基準改訂の要点を整理し、具体的な実務対応について詳しく解説します。
目次
近年の内部統制を巡る動向
法改正・基準改訂の全体像と背景
近年の内部統制を巡る動向は、金融商品取引法と会社法の両面からガバナンス強化を求める方向へ大きく進んでいます。内部統制報告制度の導入から十数年が経過し、社会経済環境が大きく変化したことが背景にあります。
具体的には、国際的な内部統制の枠組みが改訂されたにもかかわらず、日本の制度に長らく反映されていなかったことや、経営者の評価範囲外で不祥事が相次いだことなどが挙げられます。また、内部統制の有効性が事後的に訂正される際に十分な情報開示がなされず、制度の実効性に対する市場からの信頼が揺らいでいました。
このような状況を踏まえ、金融庁の企業会計審議会は財務報告に関する内部統制の実効性向上を目指し、基準および実施基準の全面的な見直しを行いました。この改訂は、単なる形式的な法令遵守にとどまらず、企業の持続的成長と市場からの信頼回復を担保するための重要な経営課題として位置づけられています。
なぜ今、基準が見直されたのか
社会経済の急速な変化に伴い、企業が直面するリスクが多様化・複雑化したため、基準の抜本的な見直しが行われました。従来の画一的な評価手法では、現代の経営実態に潜むリスクを十分に捕捉できなくなったことが主な理由です。
見直しが急務となった背景には、以下のような複合的な要因があります。
基準見直しの主な背景
- 従来の財務数値に依存した機械的な評価範囲の決定により、重要なリスクを持つ部門や子会社が対象外となるケースが頻発した。
- 働き方の多様化やクラウドサービスの普及に伴い、情報セキュリティやサイバー攻撃のリスクが飛躍的に増大した。
- 企業の社会的責任(CSR)や非財務情報の重要性が高まり、投資家が求める透明性の水準が変化した。
- これらの要因が重なり、従来の枠組みでは投資家保護という制度の根本目的を達成できないという危機感が共有された。
以上のことから、現代の複雑なリスク環境に適合し、より実効性の高いリスク管理体制を企業に構築させるため、今回の基準見直しが実施されました。
【金商法】内部統制基準の改訂
改訂の適用時期と対象企業
改訂された内部統制の評価および監査に関する基準・実施基準は、2024年4月1日以後に開始する事業年度から適用されます。3月決算の企業であれば、2025年3月期の内部統制報告書から新基準に基づく報告が義務付けられます。
対象は、金融商品取引法に基づき有価証券報告書の提出義務を負うすべての上場企業です。上場企業は、その連結子会社・関連会社を含めた企業集団として内部統制の有効性を評価します。しかし、その影響は直接の対象企業にとどまりません。
改訂基準の主な影響範囲
- 上場企業: 新基準への直接的な対応が義務付けられる。
- 新規株式公開(IPO)準備企業: 上場審査において新基準に準拠した内部統制の整備・運用状況が厳格に評価されるため、実質的に対応が必須となる。
- 上場企業の取引先・業務委託先: 親会社からサプライチェーンの一環として、新基準に準拠した厳格な情報管理や業務品質を求められる可能性が高まる。
このように、今回の基準改訂は市場全体に広く影響を及ぼすため、すべての企業にとって早期かつ計画的な対応が求められます。
変更点①:「報告の信頼性」への目的拡大
今回の改訂で、内部統制が目指す4つの目的のうちの一つが、従来の「財務報告の信頼性」から「報告の信頼性」へと拡大されました。これは、投資家等の利害関係者が企業価値を判断するうえで、財務情報だけでなく非財務情報の重要性が飛躍的に高まったためです。
「報告の信頼性」とは、組織の内部および外部への報告全般の信頼性を確保することを意味します。これにより、企業は財務諸表だけでなく、サステナビリティ開示情報など幅広い報告について、その正確性や透明性を担保するプロセスを整備することが求められます。
「報告の信頼性」で求められる具体的な統制活動の例
- 温室効果ガス排出量など非財務データの収集・集計プロセスの厳格化
- データ収集・承認に関する業務フローの文書化と標準化
- 外部へ開示する前の複数名によるチェック体制の構築
ただし、現行の金商法上の内部統制報告制度における監査証明の対象は、引き続き「財務報告の信頼性」に限定されます。しかし、基準に非財務情報への配慮が明記されたことで、企業は全社的なディスクロージャー体制の高度化に取り組む必要があります。
変更点②:リスク評価とITへの対応強化
今回の改訂では、リスクの評価と対応において、不正リスクへの意識向上と、高度化する情報技術(IT)環境への対応が強力に推進されることになりました。近年の企業不祥事の多くが意図的な不正によるものであり、同時にサイバー攻撃などの新たな脅威が経営の根幹を揺るがしているためです。
リスク評価とIT対応の主な強化ポイント
- 不正リスク評価の深化: 不正のトライアングル(動機・プレッシャー、機会、正当化)を明確に考慮したリスク分析の実施が求められる。
- サイバーセキュリティ対策の徹底: クラウドサービスやリモートワークの利用拡大に伴うセキュリティ対策の強化が必須となる。
- 外部委託先管理の強化: システム開発・運用を外部委託している場合でも、企業自身が主体的にリスクを評価し、委託先を適切に監督・管理する体制を構築する。
- IT統制の厳格化: 自動化されたプロセスの変更管理や特権IDの利用状況モニタリングなど、IT業務処理統制の信頼性を確保する活動が重要となる。
これらの対応は情報システム部門だけの課題ではなく、業務部門とIT部門が緊密に連携して取り組むべき全社的な課題と位置づけられています。
変更点③:内部統制の関係者に関する見直し
改訂基準では、経営者自身が内部統制を意図的に無効化するリスクへの対策が明示され、取締役会や監査役、内部監査人による牽制機能の重要性が強調されました。どれほど精緻なルールを構築しても、経営者がそれを形骸化させては意味がないためです。
経営者による内部統制の無効化を防ぐための対策例
- 適切な経営理念に基づく社内制度の設計と運用
- 権限の集中を避けるための適正な職務分掌の徹底
- 取締役会による経営者の職務執行に対する客観的な監督機能の強化
- 内部通報制度の実効性のある運用と通報者の保護
この牽制機能を実効あるものにするため、監査役はより能動的な情報収集と関係者との連携が、内部監査人には高度な専門的能力が求められます。特に、内部監査部門が経営者から独立して、直接、取締役会や監査役に報告できるルートを確保することが望ましいとされ、組織の自浄作用を促す仕組みの重要性が強調されています。
【会社法】内部統制関連の改正
システム構築義務の対象拡大
会社法が定める内部統制システムの構築義務は、法改正を経て、より広範な企業に厳格に適用されるよう対象が拡大・明確化されてきました。これは、企業の社会的影響力が大きくなるにつれ、不祥事発生時の利害関係者への損害が甚大になるためです。
当初の対象は、資本金5億円以上または負債総額200億円以上の大会社に限られていました。しかし、2014年の会社法改正で企業集団(親子会社グループ)全体の業務の適正を確保することが明記され、親会社は子会社を含めたグループ全体のガバナンス体制構築に責任を負うことになりました。さらに、2021年施行の改正では、特定の公開大会社に社外取締役の設置が義務化されるなど、監督機能の客観性を高める法整備が進んでいます。
構築すべき体制内容の具体化
会社法が求める内部統制システムの内容は、抽象的な理念ではなく、会社法施行規則によって具体的に規定されています。企業は以下の項目を網羅した実効性のある体制を整備する義務があります。
会社法施行規則で定められた構築すべき体制の具体例
- 取締役の職務執行に係る情報の保存および管理に関する体制
- 損失の危険(リスク)の管理に関する規程その他の体制
- 取締役の職務執行が効率的に行われることを確保するための体制
- 従業員の職務執行が法令および定款に適合することを確保するための体制
- 企業集団における業務の適正を確保するための体制
- 監査役(または監査委員会等)の監査が実効的に行われることを確保するための体制
これらの体制は、単に規程を作成するだけでなく、実際に有効に運用されていることが求められ、その運用状況は事業報告書を通じて株主に開示されます。
会社法と金商法における内部統制
両制度の目的と根拠法の違い
会社法と金融商品取引法(金商法)が定める内部統制は、目的や保護対象が異なるため、両者の違いを正確に理解し、統合的に運用する必要があります。
| 項目 | 会社法に基づく内部統制 | 金融商品取引法に基づく内部統制報告制度 |
|---|---|---|
| 主たる目的 | 株主や債権者の保護 | 証券市場に参加する投資家の保護 |
| 対象範囲 | 業務全般の適法性・効率性(広範) | 財務報告の信頼性確保(特化) |
| 責任の主体 | 取締役会 | 経営者(代表取締役・CFOなど) |
| 監査 | 監査役(または監査委員会等)による適法性監査 | 公認会計士または監査法人による監査証明 |
実務上、これらは別々のシステムではなく、会社法が求める広範な統制体制という土台の上に、金商法が求める財務報告に特化した詳細なプロセスが構築される、という階層構造として捉えるのが適切です。
法改正による影響範囲の整理
近年の会社法と金商法の双方の改正は、企業の管理部門に広範かつ多大な影響を及ぼしています。会社法改正がガバナンスの枠組みを強化したのに対し、金商法改訂は実務レベルの詳細なプロセスの見直しを要求しています。
| 法改正 | 主な影響部署 | 具体的な影響内容の例 |
|---|---|---|
| 会社法改正 | 法務部、内部監査部、経営企画部 | ・子会社管理体制の強化とモニタリング |
・社外取締役への説明責任の増大と情報提供プロセスの構築 | | 金商法改訂 | 経理部、情報システム部、事業部門 | ・リスクアプローチに基づく評価範囲の再選定 ・非財務情報に関するデータ検証プロセスの導入 ・サイバーセキュリティ対策とIT統制の高度化 |
これらの改正に対応するには、特定の部署だけでなく、組織横断的なプロジェクトチームを組成し、全社的に取り組むことが不可欠です。
新制度への具体的な実務対応
対応すべき事項の確認リスト
新基準へ遺漏なく対応するには、現状の体制と新基準の要求事項とのギャップを体系的に洗い出し、優先順位をつけて対策を実行することが不可欠です。具体的な確認手順は以下の通りです。
新基準対応のための確認ステップ
- 全社的内部統制の見直し: 経営理念や倫理規程の現代化、経営者による統制無効化リスクへの牽制機能の明文化を確認する。
- 評価範囲の決定プロセスの再構築: 従来の画一的な数値基準を改め、質的要因を加味したリスクアプローチに基づく選定プロセスを確立し、その根拠を文書化する。
- 不正・ITリスク対応の点検: 不正機会を与える職務分掌の欠陥がないか、外部委託先管理やアクセスログ監視などIT統制が有効に機能しているかを検証する。
- 内部監査機能の強化: 内部監査人の専門性確保と、経営者から独立した報告ルート(取締役会・監査役への直接報告)が確保されているかを確認する。
- 開示内容のアップデート: 内部統制報告書に、評価範囲の選定理由や前年度の不備に対する是正状況を具体的に記述できるか、事前準備を行う。
内部規程・業務マニュアルの見直し
新制度の要求を現場の実務に定着させるには、方針の改定だけでなく、各部署の内部規程や業務マニュアルを最新の状態に更新することが極めて重要です。現場の従業員はマニュアルに従って行動するため、実態との乖離は重大な不備とみなされます。
主な見直し対象規程・マニュアル
- 業務記述書・フローチャート: 業務のデジタル化やプロセスの変更を反映させ、実態と一致させる。
- リスクコントロールマトリクス(RCM): 不正リスクの観点から職務分掌などを再点検し、新たな統制活動を追記する。
- 非財務情報に関する業務マニュアル: サステナビリティ関連データ等の収集・検証プロセスを新たに明文化し、統制下に置く。
これらの見直しは、管理部門だけでなく、現場の実務担当者と連携しながら、実効性のある内容にすることが不可欠です。
評価範囲の再検討で重視すべき「質的要因」とは
評価範囲の決定において、従来の売上高などの量的基準に加えて、事業に内在する固有のリスクを示す「質的要因」を慎重に評価することが強く求められます。売上規模が小さくても、重大な虚偽記載リスクが潜んでいる可能性があるためです。
評価範囲の検討で特に重視すべき質的要因の例
- 複雑な会計処理や高度な見積りを伴う取引(例:デリバティブ取引)
- 企業買収(M&A)直後で、内部統制の統合作業が未了の事業拠点
- 内部統制が脆弱な海外子会社や関連会社
- 通常とは異なる非定型的な取引や契約
- 不正が発生しやすい事業環境や業績プレッシャーの高い部門
評価範囲の見直しとIT統制の具体策
評価範囲の見直しに伴い、対象となる事業拠点やプロセスが利用するITインフラに対する統制活動も再設計する必要があります。基幹システムやクラウド環境の脆弱性は、データ改ざんなどの致命的なリスクに直結するためです。
講じるべきIT統制の具体策
- IT資産の網羅的な棚卸し: 各部門が利用するシステムやクラウドサービス(シャドーIT)を正確に把握し、管理下に置く。
- IT全般統制のアップデート: 退職者のアカウント削除など、アクセス権限管理のルールを厳格に運用する。
- 自動化された統制の検証: 自動化されたプロセスであっても、プログラムの変更管理やログ監視が有効か定期的にテストする。
- 外部委託先管理の強化: 委託先のセキュリティ体制が自社基準を満たしているか、客観的な報告書等で定期的に評価する。
監査法人との連携で注意すべき実務上の論点
新制度への対応を円滑に進めるうえで、監査法人と早期かつ継続的に協議し、見解の相違を未然に防ぐことが最も重要です。監査の最終段階で評価範囲の妥当性などについて認識のズレが発覚すると、決算発表の遅延といった重大な事態を招きかねません。
特に、評価範囲の決定理由、重要な見積りを含むプロセスの統制、発見された不備の重要性の判断などについては、計画段階から積極的に情報共有を行い、合意形成を図る実務運用が求められます。
よくある質問
非上場企業にも改正は関係しますか?
結論として、直接的な報告義務はないものの、非上場企業も今回の改正と無関係ではありません。
その理由は、現代のビジネス環境において、非上場企業がサプライチェーンの一員として、取引先の上場企業から高度なコンプライアンス体制を求められるケースが増加しているためです。また、将来的な新規株式公開(IPO)やM&Aを検討している企業にとっては、新基準に準拠した内部統制の構築が企業価値評価の前提となります。したがって、自社の経営基盤を強化するベンチマークとして、この改正を捉えることが重要です。
改訂で求められる「ITへの対応」の具体例は?
結論として、単なるシステム導入ではなく、サイバーセキュリティ確保を目的とした統合的なリスク対策の実践が求められます。
求められるIT対応の具体例
- 外部委託先管理: クラウドサービス提供事業者等のセキュリティ対策状況を定期的に評価・確認する。
- アクセス制御の強化: 多要素認証の導入などにより、システムへの不正アクセスリスクを低減する。
- インシデント対応体制の整備: ランサムウェア攻撃などを想定したデータ復旧手順を整備し、定期的に訓練を実施する。
内部統制報告書の記載内容は変わりますか?
結論として、はい、より詳細かつ透明性の高い記載が求められるようになります。
従来の定型的な報告から脱却し、投資家への説明責任を果たすことが目的です。具体的には、以下の点が新たに求められます。
内部統制報告書の主な記載変更点
- 評価範囲の選定理由の明記: 重要な事業拠点の選定指標や、個別の業務プロセスを追加した判断事由などを具体的に記載する。
- 前年度の不備に対する是正状況の詳細記載: 開示すべき重要な不備があった場合、講じた是正措置とその結果を付記事項として記載する。
これにより、報告書は企業のガバナンスへの取り組み姿勢を示す重要なコミュニケーションツールへと変わります。
関連する会社法の条文を教えてください
結論として、内部統制システムの構築に関する主要な根拠条文は、会社法第362条および会社法施行規則第100条などです。
内部統制に関する主な会社法条文
- 会社法 第362条 第4項 第6号: 取締役会設置会社において、取締役会が内部統制システムの基本方針を決定する義務を規定しています。
- 会社法 第362条 第5項: 大会社である取締役会設置会社において、上記基本方針の決定を法的な義務として強制しています。
- 会社法施行規則 第100条: 法律の委任を受け、構築すべき体制の具体的な内容(リスク管理体制やコンプライアンス体制など)を詳細に列挙しています。
企業はこれらの条文の趣旨を理解し、自社の実態に合った実効性のある体制を構築・運用する責任があります。
まとめ:内部統制の新基準に対応し、実効性のあるガバナンス体制を構築する
本記事では、2024年4月から適用される内部統制の新基準について、金融商品取引法と会社法の両面から解説しました。今回の改訂は、報告の信頼性を非財務情報へと拡大し、不正リスクやサイバーセキュリティといった現代的なリスクへの対応を強化することが核心です。企業はこれを形式的なルール変更と捉えるのではなく、実効性のあるガバナンス体制を構築し、企業価値を高める機会と認識することが重要です。まずは、リスクアプローチに基づき評価範囲を再検討し、IT統制や内部規程が最新の状況に適合しているかを確認することから着手してください。具体的な対応を進める上では、監査法人との早期の協議が不可欠であり、個別の論点については専門家への相談も検討しましょう。
Baseconnect株式会社
サイト運営会社
本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。
当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。
加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。
