法務

内部統制報告制度の改正ポイント|担当者が押さえるべき実務対応と適用時期

catfish_admin

企業の経営層や財務担当者として、公表された内部統制報告制度の改正にどう対応すべきか、具体的な影響範囲の把握に努めている方も多いのではないでしょうか。この改正は、従来の形式的な基準適用から脱却し、リスクベースのアプローチを徹底することで、財務報告の信頼性をより実質的に確保することを目的としています。単なる規制対応に留まらず、自社の潜在リスクを可視化し、企業価値を守るための重要な機会となります。この記事では、改正の主要な変更点から、評価範囲の再検討やIT統制の見直しといった具体的な実務対応までを網羅的に解説します。

目次

内部統制報告制度 改正の概要

今回の改正における背景と目的

今回の内部統制報告制度の改正は、制度導入から15年が経過し、運用上の課題が明らかになったことを受けて、制度の実効性を抜本的に向上させることを目的としています。

制度改正の主な背景には、以下の2つの点が挙げられます。

改正の主な背景
  • 経営者が評価対象外とした範囲から、開示すべき重要な不備が発覚する事例が散見されたこと
  • 全社的なリスク管理やガバナンスとの連携を重視する国際的な潮流の変化に対応する必要があったこと

従来は、売上高の一定割合といった定量的な基準のみで機械的に評価範囲を決定した結果、リスクの高い新規事業や子会社が対象から漏れるケースがありました。今回の改正は、こうした過去の課題を解決し、複雑化する現代のリスク環境において財務報告の信頼性を改めて確保することを目指すものです。

改正が目指す内部統制の全体像

今回の改正が目指すのは、ガバナンスや全社的なリスク管理と一体となり、経営者による内部統制の無効化リスクを防ぐ、実効性のある内部統制の再構築です。

これまでの内部統制は形式的なチェックリストの消化に陥りがちで、経営トップが主導する不正や、急激なリスク環境の変化に対応しきれないという課題がありました。そこで、組織全体の牽制機能を高めるため、新たな枠組みでは各組織・役職の役割がより明確に定義されています。

新たな枠組みにおける各組織・役職の役割
  • 監査役: 内部監査人や外部監査人と積極的に連携し、能動的に情報を収集する
  • 取締役会: 経営者による内部統制の無視や無効化を常に監視する責任を負う
  • 現場: 情報技術の進化に伴うサイバーリスクや外部委託先のリスクを、全社的なリスク管理に組み込む

このように、一部の部署に責任を限定するのではなく、経営層から現場、さらには外部委託先までを含めた組織全体でリスクに動的に対応し、透明性の高い企業運営を実現することが、改正の目指す全体像です。

主要な変更点の解説

①内部統制の基本的枠組みの見直し

今回の改正では、内部統制の基本的枠組みが見直され、特に重要な変更点として「報告の信頼性への拡張」と「不正リスクの考慮の明確化」が挙げられます。

近年、サステナビリティ情報といった非財務情報の重要性が増しており、財務情報だけでなく企業が開示するあらゆる情報の信頼性を担保することが求められています。また、経営者や従業員による意図的な不正を防ぐため、リスク評価の段階で不正の発生要因を深く分析する必要性が高まりました。

この見直しに伴い、企業には以下のような具体的な対応が求められます。

基本的枠組みの見直しに伴う具体的な対応
  • リスク評価プロセスに「不正のトライアングル(動機・機会・正当化)」の概念を組み込む
  • 経営者による内部統制の無効化を防ぐため、内部監査部門から取締役会等への直接報告ルートを確保する
  • 情報システムの信頼性を確保し、セキュリティ事故発生時の迅速な報告体制を整備する

この変更は、企業を取り巻く情報の多様化と不正リスクの複雑化に対応するものです。実務上は、既存の基本方針や規程を現代の要求水準に合わせて根本から見直すことが求められます。

②評価範囲の判断基準の明確化

評価範囲の判断基準に関して、売上高の一定割合などを機械的に適用する画一的な手法が明確に否定され、質的な影響度を重視したリスクベースのアプローチが徹底されました。

従来は「売上高のおおむね3分の2」といった基準が形式的に適用され、金額は小さくとも重要なリスクを抱える事業拠点が評価範囲から漏れる問題が頻発していました。これを防ぐため、企業固有のリスク特性に応じた実質的な評価範囲の選定が不可欠となります。

実務上の具体的な対応は以下の通りです。

評価範囲の判断における具体的な実務対応
  • 重要な事業拠点の選定時に、売上高だけでなく総資産や利益など多様な指標を複合的に検討する
  • 長期間評価範囲外であった拠点等も、質的な重要性の観点から定期的に評価対象に含めるか再検討する
  • 新規事業や複雑な取引を行う部門、過去に不祥事があった部署などを個別に追加評価対象として選定する
  • 評価範囲外から重要な不備が発見された場合、直ちに当該拠点を評価範囲に含める

これに伴い、内部統制報告書には、評価範囲の選定に用いた指標やその根拠を詳細に記載する説明責任が課されます。経営者は自社のリスクを客観的に理解し、監査法人と協議の上で、第三者が納得できる根拠をもって評価範囲を決定する必要があります。

③ITを活用した内部統制への対応

ITを活用した内部統制では、クラウドサービス等の外部委託に関する管理強化と、増大するサイバーリスクへの対応の重要性が新たに位置付けられました。

企業のデジタルトランスフォーメーション(DX)が進み、財務関連システムを社外のサービスに依存するケースが増加しています。これにより、外部のシステム障害やサイバー攻撃が財務報告の信頼性に直結するリスクが高まっており、従来の自社内システムを前提とした統制では不十分となりました。

具体的な実務対応として、以下の点が挙げられます。

IT統制に関する具体的な実務対応
  • 外部委託先の内部統制が適切に機能しているかを評価するプロセスを導入する
  • 委託先から定期的に内部統制の保証報告書(SOCレポート等)を取得し、内容を検証する
  • サイバー攻撃を想定したデータのバックアップ取得と復元テストを定期的に実施する
  • システムの脆弱性情報を適時収集し、修正プログラムを迅速に適用する体制を構築する

この改正により、システム管理は情報システム部門だけの課題ではなく、全社的なセキュリティ戦略や委託先管理と連動する経営課題として再定義されました。

改正に伴う具体的な実務対応

評価範囲の再検討と文書化の進め方

評価範囲の再検討と文書化においては、自社のリスク特性を定量的・定性的な両面から分析し、その選定プロセスと根拠を透明性高く記録することが求められます。

改正基準では、経営者は評価範囲の決定理由を内部統制報告書に明記する重い責任を負います。従来の慣例を踏襲するだけでは監査に対応できないため、ゼロベースでの見直しと詳細な記録が不可欠です。具体的な進め方は以下の通りです。

評価範囲の再検討と文書化の手順
  1. 事業リスク管理部門等と連携し、事業環境の変化や事故履歴などを統合したリスクマップを作成する
  2. リスクマップに基づき、定量的な指標を用いて基本となる評価範囲を抽出する
  3. 定性的なリスクが高い拠点や、長期間評価対象外だった拠点について、評価対象に含めるべきか再検討する
  4. 採用した指標や特定の拠点を除外・追加した理由など、検討過程全体を「評価範囲検討書」として文書化する
  5. 評価対象の業務プロセスについて、業務フロー図、業務記述書、リスクコントロールマトリクス(RCM)の3点セットを実態に合わせて更新する

評価範囲の再検討と文書化は、監査対応であると同時に、自社の隠れたリスクを可視化し、業務プロセスを最適化する機会と捉えることが重要です。

IT統制(全般・業務処理)の見直し

IT統制の見直しでは、クラウドサービス等の外部環境への依存度を再評価し、全般統制と業務処理統制の双方にセキュリティ対策と不正防止の観点を組み込むことが求められます。

業務の自動化やリモートワークの普及でシステム環境は複雑化し、サイバー攻撃や内部不正の脅威は増大しています。IT全般統制に不備があれば、その上で動く業務処理統制の有効性も揺らぐため、最新の環境に即した見直しが不可欠です。

統制の分類 主な見直しポイント
IT全般統制 ・システムの開発・運用・保守に関する規程が実務に即しているか確認する<br>・開発担当者と運用担当者の権限分離、特権IDの利用監視を徹底する<br>・クラウドサービスの提供事業者から保証報告書を入手し、自社の要件を満たすか確認する
IT業務処理統制 ・自動化された計算ロジックの正確性に加え、エラーデータの処理プロセスを検証する<br>・マスタデータの変更履歴を監視し、不正な変更がないか確認する<br>・表計算ソフトを利用する場合、数式の保護やアクセス制限を再点検し、改ざん防止策を強化する
IT統制の見直しポイント

IT統制の見直しは、システム部門と経理、内部監査部門が連携し、財務報告リスクを低減するという本来の目的に立ち返って実施することが求められます。

不正リスク評価と対応策の具体化

不正リスクへの対応では、全社レベルと業務プロセスレベルの両面から不正の発生要因を特定し、予防と発見の仕組みを多重に設計して、その運用状況を厳格に評価することが重要です。

不正は意図的に行われ巧妙に隠蔽されるため、通常の業務ミスを前提とした統制では発見が困難です。そのため、不正の動機・機会・正当化を断ち切る専門的なアプローチを組み込む必要があります。

不正リスクへの具体的な対応策
  • 全社レベル: 経営トップによる倫理的なメッセージの発信、過度なプレッシャーを生まない業績評価制度の設計、実効性のある内部通報制度の運用を行う
  • 業務プロセスレベル: 過去の不正事例を参考に具体的な不正シナリオを想定し、承認権限の厳格な分離や、例外取引に対するモニタリングを設定する
  • 運用状況の評価: 事前通告なしの抜き打ち監査や、データ分析ツールを用いた全量データからの異常検知など、予測されにくい手続きを導入する

この対応は、形式的な文書チェックを超え、組織の脆弱性に光を当てる作業です。具体的な不正シナリオに基づいた予防・発見の仕組みを構築することで、財務報告の信頼性を根本から守ります。

監査法人との協議を円滑に進めるための論点整理

監査法人との協議を円滑に進めるには、評価範囲の選定根拠やIT統制の見直し方針といった主要論点について、事前に自社の見解を文書化し、早期に共有することが不可欠です。

改正基準では経営者の判断が問われる領域が拡大したため、事後的に監査法人と見解が相違すると、決算・開示スケジュールに重大な支障をきたす恐れがあります。

監査法人との事前協議における主な論点
  • 重要な事業拠点の選定に用いた指標とその基準値の妥当性
  • 長期間評価対象外としてきた拠点の取り扱いに関する方針
  • クラウドサービスなど外部委託先の管理方針と評価方法
  • 不正リスク評価の結果と、それに対応する統制の設計方針

これらの論点を整理した資料を基に、計画段階で監査法人と合意形成を図ることが、効率的かつ確実な内部統制評価を完遂する鍵となります。

適用時期と今後の進め方

改正基準の適用スケジュール

改訂された内部統制基準および実施基準は、2024年4月1日以降に開始する事業年度から適用されます。3月決算企業の場合、2025年3月期の内部統制評価・監査から新基準での対応が必要です。

制度の実効性を早期に高めるため、公表から約1年の準備期間を経て速やかに適用が開始されました。企業は期初から新しい基準に基づいた内部統制を運用し、期末の有効性評価に備えなければなりません。適用初年度の進め方の例は以下の通りです。

適用初年度のスケジュール例
  1. 期初(4月頃)までに、改正内容を反映した評価計画を策定し、監査法人と合意する
  2. 上半期中に、全社的な内部統制およびIT全般統制の整備状況評価を完了させる
  3. 下半期を通じて、業務プロセスに係る内部統制の運用状況を評価する
  4. 期中に重要な不備が発見された場合は、期末日までに是正措置を完了し、再評価する期間を確保する

適用はすでに開始しており、時間的猶予はありません。詳細な計画と全社的な進捗管理が、新基準への確実な移行を成功させるための最低条件です。

適用に向けた準備と情報収集

改正への対応を円滑に進めるには、組織横断的な専門チームを構築し、規制当局や専門機関から最新情報を継続的に収集することが不可欠です。

今回の改正はリスク管理や情報セキュリティなど多岐にわたるため、経理部門や内部監査部門だけでの対応には限界があります。また、実務上の解釈は随時更新される可能性があるため、情報のキャッチアップが遅れると手戻りの原因となります。

適用に向けた準備の進め方
  1. 経営陣を責任者とし、経理、内部監査、IT、法務など関連部署の担当者で構成される専門チームを立ち上げる
  2. チームを中心に、既存の内部統制文書と新基準との差異分析(ギャップ分析)を行い、対応計画を策定する
  3. 金融庁が公表するQ&Aや日本公認会計士協会の実務指針などを精読し、改正の趣旨を正確に理解する
  4. 監査法人との定期的な情報交換会や外部セミナーへの参加を通じて、他社の動向やベストプラクティスを収集し、自社の対応に反映させる

組織の壁を越えた連携と、外部の知見を積極的に取り入れる姿勢が、質の高い内部統制を効率的に構築するための推進力となります。

経営層への報告と意思決定を促すポイント

経営層に報告する際は、改正への対応が単なる法規制の遵守ではなく、企業価値の毀損を防ぎ、持続的成長を支える戦略的投資であることを強調することが重要です。

評価範囲の拡大やIT統制の強化には相応のコストと工数がかかるため、経営層の強力なリーダーシップと予算承認が不可欠です。意思決定を促すためには、以下のような工夫が有効です。

経営層への報告におけるポイント
  • 他社で発生した内部統制の不備に起因する株価下落や、サイバー攻撃による損害額などの事例を提示する
  • 現状の統制環境に潜むリスクが事業に与える影響を、可能な限り定量的に説明する
  • 統制強化に必要な投資と、それによって回避できる潜在的な損失を比較し、費用対効果を明確に示す

リスクの可視化と対応の必要性を具体的に示すことで、経営層の的確な意思決定を促し、全社一丸となった対応体制を確立することができます。

よくある質問

Q. 改正は全上場企業が対象ですか?

はい、金融商品取引法に基づき内部統制報告書の提出が義務付けられている、すべての上場企業が今回の改正の対象となります。

内部統制報告制度は、資本市場における財務報告の信頼性を確保するための基礎的な制度であり、企業規模や業種を問わず、すべての上場企業に共通の規律として適用されます。

新興市場に上場する中堅・中小企業も例外ではありません。ただし、組織規模が比較的小さい企業においては、経営者が直接業務を監視するなど、事業の状況に応じた代替的な統制や効率的な評価方法が認められる場合があります。それでも、不正リスクの考慮や評価範囲の妥当性の説明責任といった改正の核心部分は、大企業と同様に適用されます。

Q. 報告書の様式に変更はありますか?

内部統制報告書の様式自体に大きな構造的変更はありません。しかし、投資家への説明責任を果たす観点から、記載すべき内容の具体性と透明性が格段に高く求められるようになりました。

経営者がどのような根拠とプロセスで内部統制を評価したのかを、より詳細に開示する必要があります。特に、以下の点について記載内容の具体化が求められます。

内部統制報告書で記載の具体化が求められる事項
  • 重要な事業拠点の選定に用いた指標とその割合
  • 企業の事業目的に関連して重要と判断した勘定科目
  • 個別に評価対象に追加した拠点やプロセスがある場合、その選定理由
  • 前年度に重要な不備を開示した場合、その是正措置の進捗・完了状況

定型的な文章を流用するのではなく、自社の判断過程を個別に、かつ丁寧に記述する準備が必要です。

Q. 金融庁の関連資料の確認方法は?

改正に関する公式文書は、金融庁の公式ウェブサイトからすべて確認できます。具体的には、サイト内の「報道発表資料」や「企業会計審議会」のページに掲載されています。

制度の正確な解釈のためには、所管官庁である金融庁が公表する一次情報を直接確認することが最も重要であり、実務上の誤りを防ぐ上で不可欠です。

確認すべき主な資料は以下の通りです。

金融庁ウェブサイトで確認すべき主な資料
  • 「財務報告に係る内部統制の評価及び監査の基準並びに…実施基準の改訂について(意見書)」
  • 「内部統制報告制度に関するQ&A」
  • 「内部統制報告制度に関する事例集」

これらの資料は、金融庁ウェブサイトの検索機能や、「所管法令・指針」といったメニューからアクセスできます。実務担当者はこれらの情報を定期的に確認し、社内で共有することが求められます。

まとめ:内部統制報告制度の改正に対応し、実効性あるガバナンスを構築する

本記事で解説した通り、内部統制報告制度の改正は、従来の画一的な評価基準を見直し、リスクベースのアプローチを徹底することに主眼が置かれています。特に、評価範囲の選定における質的側面の重視、不正リスクへの具体的な対応、そしてクラウド利用など外部委託先を含むIT統制の強化が重要な変更点です。企業に求められるのは、自社の事業リスクを主体的に評価し、その判断プロセスと根拠を客観的に説明できる体制を構築することです。まずは経理、IT、内部監査などの関連部署で連携し、既存の統制文書と改正基準とのギャップ分析に着手し、監査法人との早期協議を開始することが推奨されます。内部統制の構築と運用は、企業の持続的成長を支える経営基盤そのものであるため、全社的な課題として取り組む必要があります。個別の具体的な対応については、自社の状況を深く理解する監査法人などの専門家にご相談ください。

Baseconnect株式会社
サイト運営会社

本メディアは、「企業が経営リスクを正しく知り、素早く動けるように」という想いから、Baseconnect株式会社が運営しています。

当社は、日本最大級の法人データベース「Musubu」において国内1200万件超の企業情報を掲げ、企業の変化の兆しを捉える情報基盤を整備しています。

加えて、与信管理・コンプライアンスチェック・法人確認を支援する「Riskdog」では、年間20億件のリスク情報をAI処理、日々4000以上のニュース媒体を自動取得、1.8億件のデータベース等を活用し、取引先の倒産・不正等の兆候の早期把握を支援しています。

運営会社情報ページへ
Recommend
こちらの記事もどうぞ
記事URLをコピーしました