2023年4月に内部統制の評価・監査の実施基準の改訂が公表され、2024年4月1日以降、適用が開始されました。この記事では、改訂された監査基準・監査実施基準において、変更・追加された主要なポイントをまとめて解説します。

監査基準・監査実施基準は、監査法人や公認会計士などの監査人が内部統制監査を行うにあたって準拠するものですが、監査を受ける企業においても内容を把握する必要があります。

内部統制監査が義務付けられている上場企業だけでなく、これから上場を予定している企業の担当者もぜひ参考にして下さい。

【関連する無料ガイドブック】
▶ 請求書支払業務を取り巻く内部統制・セキュリティコンプライアンスの課題と4つの解決策
※すぐにPDF資料をお受け取りいただけます

 2023年4月に内部統制基準・実施基準が改訂

2008年に内部統制報告制度が導入され、金融商品取引法の定めにより上場会社を対象として、経営者による内部統制の評価と、監査人による監査が義務付けられました。

そして2023年4月に「財務報告に係る内部統制の評価及び監査の基準」（以下、内部統制基準）と「財務報告に係る内部統制の評価及び監査に関する実施基準」（以下、実施基準）が改訂され、金融庁より公表されました。

改訂への対応は内部統制監査が義務付けられている上場企業だけでなく、これから上場を予定している企業も必須の取り組みです。

出典：金融庁｜財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」の公表について

適用時期は2024年4月から

改訂後の内部統制基準、実施基準は、2024年4月1日以後に始まる事業年度の内部統制監査から適用されます。

改訂にともない追加・修正された事項を把握した上で、内部統制を再構築する必要性の検討や従業員への改訂点の浸透など、計画的に行う必要があるでしょう。

内部統制基準改訂のポイント

主な改訂のポイントは、以下の通りです。

• 内部統制の目的の1つである「財務報告の信頼性」が、非財務情報を含んだ「報告の信頼性」に変更
• 不正リスクへの評価・対応が重要である旨を明記
• 内部統制の評価範囲を選定する基準の見直し
• 内部統制報告書に記載すべき事項の追加
• IT活用に関してセキュリティの確保が重要な旨を追記

金融庁の意見書をもとに以下の3つの項目に分けて、それぞれ詳細を解説します。

1. 内部統制の基本的枠組み
2. 財務報告に係る内部統制の評価及び報告
3. 財務報告に係る内部統制の監査

「内部統制の基本的枠組み」の改訂内容

内部統制の基本的枠組みは、内部統制の4つの目的、6つの基本的要素に関する部分が記載されている項目です。主な改訂ポイントは以下の通りです。

1. 「財務報告の信頼性」が「報告の信頼性」に
2. 「リスクの評価と対応」「情報と伝達」「ITへの対応」に重要項目を追加
3. 「内部統制の関係者」に対する変更点

なお、内部統制の4つの目的、6つの基本的要素に関しては以下の記事で詳細を解説しているので、ご参照下さい。

「財務報告の信頼性」が「報告の信頼性」に

内部統制の目的の1つである「財務報告の信頼性」が、非財務情報も含めた「報告の信頼性」に変更されました。これにより財務上の情報だけでなく、利害関係者の判断材料となるような重要な情報も開示することが求められます。

今後、内部統制の取り組みとしては財務報告だけでなく、非財務情報も含めることでより信頼性を確保することが重要です。ただし、あくまで金融商品取引法により義務付けられている内部統制報告書では「財務報告の信頼性」を確保することが強調されています。

財務報告の信頼性を高めるためには、内部統制に対応したシステムの導入や、正確に財務情報を管理するためのツールの活用が対策として有効です。

「リスクの評価と対応」「情報と伝達」「ITへの対応」に重要項目を追加

「リスクの評価と対応」では、リスク評価の際には不正リスクへの懸念について考慮することが重要であると明記されました。

「情報と伝達」では、大量の情報を扱う場合、情報の信頼性を確保するためにはシステムを有効に活用することが重要であるとされています。

「ITへの対応」では、IT業務が増えてITに関連する統制の重要性が増していること、サイバーリスクが高まっていることなどから、情報セキュリティの確保に注力することも強調されました。

いずれも近年のビジネス環境の変化などを踏まえて、有効な内部統制を構築するためのポイントを追加したものと考えられます。

「内部統制の関係者」に対する変更点

経営者が内部統制を無効化してしまう行為に対して、適切な内部統制の例を示しました。具体的には以下の通りです。

• 適切な経営理念などに基づいた社内制度の設計・運用
• 適切な職務の分担
• 取締役会による監督
• 監査役による監査

また、内部統制に関係する者の責任と役割に関して、以下の内容が追記されました。

• 監査役に対して、内部監査人・外部の監査人との連携や能動的に情報を入手することの重要性
• 内部監査人に対して、専門的能力と専門職として正当な注意をもって行動することや、取締役会・監査役などへの報告経路を確保することの重要性

「財務報告に係る内部統制の評価及び報告」の改訂内容

「財務報告に係る内部統制の評価及び報告」では、財務報告に係る内部統制の評価とその範囲、評価の方法、評価結果の報告などに関する事項が記載されています。主な改訂点は、以下の4つです。

1. 経営者による内部統制の評価範囲の決定
2. 質的重要性のリスクを明記
3. ITを利用した内部統制の評価
4. 財務報告に係る内部統制の報告

それぞれ解説します。

経営者による内部統制の評価範囲の決定

経営者が内部統制の評価範囲を決定する際の留意点が明記されました。

具体的には、重要な事業拠点や業務プロセスを評価対象として選定する指標として、これまで「売り上げ額の約3分の2」や「売り上げ・売掛金・棚卸資産の3勘定」といった基準がありましたが、これらを機械的に適用すべきでない旨が記載されました。

つまり、重要な事項においては一律の基準で判断するのではなく、状況に応じて適切に考慮して評価範囲を決定することが求められます。

また、評価範囲の決定は経営者が行うものの、必要に応じて監査人と協議することも追記されました。ただし、監査人はあくまで外部の立場から指導するため、企業と同じ立場で協力して内部統制を評価するわけではありません。

ITを利用した内部統制の評価

ITを利用した内部統制の評価について、留意すべき事項が追記されました。例えば、ITを利用して自動化された内部統制は、継続的に運用状況のテストを実施する必要があります。

ただし、頻度に関しては経営者がIT環境の変化を踏まえて慎重に判断した上で、必要に応じて監査人と協議して行いましょう。「何年に1度」といった特定の年数を機械的に適用すべきではないため、状況に合わせてテストを実施することが求められます。

また、自動化されたITに係る業務処理統制であっても過信せずに「内部統制が無効化されるリスクを完全に防ぐのは困難」という視点をもつことが重要である旨も追記されました。

システムの導入は、有効な内部統制の構築の手段として必須です。しかしどのようなシステムでも良いわけではなく、内部統制が有効に機能するものを選びましょう。また、システムを過信せずに定期的な評価手続きを行うことも大切です。

財務報告に係る内部統制の報告

内部統制報告書において記載すべき事項が追加されました。具体的には、経営者による内部統制の評価の範囲について、重要な事業拠点を選定する際に利用した指標などの判断事由を記載する必要があります。

また、前年度に開示すべき「重要な不備」があった場合、重要な不備に対する是正状況を内部統制報告書の付記事項に記載する旨が追記されました。

「財務報告に係る内部統制の監査」の改訂内容

財務報告に係る内部統制の監査では、内部統制監査の目的や監査計画、評価範囲の検討、内部統制監査の実施・報告という、監査人による内部統制監査に関する内容が記載されています。主な改訂点として追記された事項は、以下の通りです。

• 財務諸表監査の実施過程で入手した監査証拠の活用
• 監査人は独立監査人として独立性を確保する
• 経営者が定めた内部統制評価の範囲外の不備に対する対応

監査人が財務諸表監査の過程で内部統制の不備を発見した場合は、企業側で追加の対応が必要になる場合があります。

このような改訂に対応するためには、企業によっては内部統制の見直しや、導入システムの変更なども視野に入れる必要があるでしょう。

内部統制基準の改訂の背景

金融商品取引法による内部監査報告制度が始まったのは2008年からでした。内部監査報告制度は財務報告の信頼性向上に一定の効果があったと考えられますが、一方で内部統制の評価範囲外で重要な不備が発見されるなど、少なからず財務報告の信頼性に対する懸念がありました。

また、グローバル化や市場環境の変化、テクノロジーの発展などにより企業のリスクは多様化・複雑化しており、新たなリスクへの対応は年を追うごとに困難になっています。

経済社会の構造変化やリスクの複雑化にともなう内部統制上の課題に対応するために、内部統制基準、実施基準の見直しを行うこととなったことが背景として挙げられます。

内部統制基準の改訂による企業への影響と対策

実施基準の改訂を受けて企業が着手すべきことは、まず監査人と内部統制の評価範囲や手続きについて、検討・変更すべき点を協議しましょう。

また前述したように、IT業務が増えたことでITに関する統制の重要性が増しています。サイバーリスクへの対策として情報システムに係るセキュリティの確保が重視される旨が強調されており、懸念がある場合はシステムの見直しなど対策を講じる必要があるでしょう。

加えて基本的枠組みに関する改訂は、実務への影響が不透明な部分もあります。さらに、今回の改訂には反映されていないものの、中長期的な課題として示された事項も見受けられます。

今後も関連法案の整備などが行われることも考えられるため、引き続き情報収集や都度迅速な対応、継続的な従業員への教育などが求められるでしょう。

実施基準の改正における注意点

実施基準の改訂における実務上の注意点には、以下の3点が考えられます。

1. 評価範囲の検証
2. 効率化の推進
3. リスクへの対策

評価範囲の検証

前述のように、経営者による内部統制の評価範囲の決定ではいくつかの改訂点があります。評価範囲が広がることが考えられるため、早めにリスクの評価を行いましょう。

特に以下のような指揮命令系統が行き届きにくい拠点がある場合には、追加的に評価対象に含めることを検討する必要があります。

• 海外に所在する事業拠点
• 企業結合直後の事業拠点
• 中核的事業ではない事業を手掛ける独立性の高い事業拠点

対象に含めるべき拠点がないか早めに確認しましょう。

効率化の推進

内部統制の評価範囲や手続きが増えることで、評価に係る業務量の増加も予想されます。評価手続きを効率的に実施できるような対策が必要です。

評価手続きの工数を減らすには、内部統制に対応したシステムやツールの導入が効果的です。改訂後の内部統制基準において、ITを利用して自動化された内部統制は「過信してはならない」とされていますが、評価手続きを減らす方法としては有効といえます。

内部統制の評価手続きだけでなく通常業務の効率化にもつながるため、システムやツールの見直しも検討すると良いでしょう。

リスクへの対策

不正リスクやIT環境の変化によるサイバーリスクへの対策は、内部統制基準の改訂に関わらず懸念があれば早急に対応すべき事項です。

また、業務上のリスクは年々多様化・複雑化しています。内部統制基準の改訂に機械的に合わせるのではなく、適宜新たなリスクに対応する内部統制を構築する必要があるでしょう。

内部統制対応の支出管理プラットフォームを活用しよう

内部統制基準の改訂は、上場企業やこれから上場を予定している企業にとって対応は必須です。しかし事務処理の負担の増加は否めないでしょう。

また今回の改訂では、環境の変化に合わせて財務報告の信頼性をより確保するための項目が重要視されています。企業によっては、内部統制をはじめとした管理体制や報告体制の見直しが必要になるでしょう。

改訂後の内部統制基準に対応しつつ、少しでも事務処理の負担を軽減するためには、有効な内部統制を構築できるシステムやツールの活用が効果的です。ITを利用することで効率的な内部統制の構築・運用・見直しや、評価の工数の削減につながります。

内部統制の構築、または見直しを検討している企業には、内部統制対応の支出管理プラットフォームTOKIUMがおすすめです。トラブルが起きやすい精算業務などにおいて、セキュリティやコンプライアンスの強化や業務効率化に役立ちます。

▶︎料金や機能・導入メリットがわかる【TOKIUMの資料をダウンロード】
※すぐにPDF資料をお受け取りいただけます