実務経験者が解説するIT統制の基礎 #1

いくつかの上場企業で内部統制（IT統制に限らず内部統制全般）の実務担当を長年やってきたこともあり、自分のためにもこれから担当する方々のためにも、IT統制の基礎をまとめておきます。
内部統制自体は情シスの領域からは外れるかもしれませんが、IT統制で情シスが部分的に関わることも多いのではないかと思います。
なお、ボリュームが多いので何回かに分けて「実務経験者が解説するIT統制の基礎マガジン」として不定期連載していきます。

第1回は「内部統制とは何か」について解説します。
ちなみに初回ではIT統制まで辿り着きませんのでご了承ください。

本連載の前置き

・筆者は監査法人経験者ではなく、あくまで被監査担当として実務経験から
　学んだ内容をなるべく簡易な表現でまとめています。
　※誤った見解等があれば指摘いただけると助かります
・一般的なWeb事業会社で1000人未満規模の会社を想定した内容です。
　業種によっては大きく見解が異なる場合があるのでご了承ください。
・一連の記事の内容は2021年1月執筆時点のもので、法改正によって
　古い情報となっている可能性があります。

内部統制とは

IT統制を理解する前に、内部統制そのものを理解する必要があります。
内部統制を正しく理解していないと、IPO等で内部統制が必要になった段階で慌てて構築することになり負荷が一気に高まったり、逆に必要以上に統制を厳しくしてしまい業務の足かせになってしまうリスクがあります。

内部統制を正しく理解することで、実効性があり過不足なく丁度いい匙加減の内部統制を構築できるようになります。

■内部統制の法的な定義

内部統制は、以下のふたつの法律で定められています。

【会社法】
・第362条4項6号
取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びに当該株式会社及びその子会社から成る企業集団の業務の適正を確保するために必要なものとして法務省令で定める体制の整備

【金融商品取引法】
・第24条4項4号
（前略）事業年度ごとに、当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとして内閣府令で定める体制について、内閣府令で定めるところにより評価した報告書（以下「内部統制報告書」という。）を有価証券報告書（中略）と併せて内閣総理大臣に提出しなければならない。

会社法では企業活動全般における法令遵守を義務付けており、広い範囲の中に内部統制が含まれています。

一方、金融商品取引法（以下、金商法）では、より具体的な内容が記載されています。
上場企業が毎年提出を義務付けられている「有価証券報告書」と併せて「内部統制報告書」の提出が必要なため、上場企業では内部統制の構築が必須です。
金商法における内部統制報告制度は「J-SOX」とも呼ばれ、一般的に「内部統制」という言葉はこちらを指して使われることが多いです。
本連載においても、金商法における内部統制について解説します。
※米国のSOX法を基に日本版が作成されたため、J-SOXと呼ばれています
※内部統制の沿革や各法律による位置づけについては、総務省が出している『内部統制関連資料』に詳細が記載されています

内部統制の目的

金商法により、有価証券報告書と併せて内部統制報告書を毎年提出する義務があることがわかりました。
記載内容の詳細は割愛しますが、決まったフォーマットがあり、何も不備がなければ「内部統制は有効である」という旨を記載するだけです。
ただし、「開示すべき重要な不備」があった場合はその旨を記載しなければなりませんし、仮に重要な不備がありながら「有効である」と記載した場合は虚偽報告となり、最悪の場合は上場廃止などの大きな問題に成りかねません。

では、なぜそこまで厳格に内部統制を運用する必要があるのでしょうか。

■4つの目的と6つの基本的要素
金融庁は、『財務報告に係る内部統制の評価及び監査の基準』において内部統制の「4つの目的」と「6つの基本的要素」を定義しています。

【4つの目的】
（１） 業務の有効性及び効率性
（２） 財務報告の信頼性
（３） 事業活動に関わる法令等の遵守
（４） 資産の保全

【6つの基本的要素】
（１） 統制環境
（２） リスクの評価と対応
（３） 統制活動
（４） 情報と伝達
（５） モニタリング
（６） ＩＴ（情報技術）への対応

これらの項目は実際の内部統制の評価項目とリンクしているのですが、私が実際に監査法人の監査を受けた経験から、最も重要視されていると感じるのは「財務報告の信頼性」です。
つまり、毎年提出している売上高などの財務諸表の数字が正しいことを内部統制により裏付けています。
不正による数字の操作はもちろんですが、システムの不具合やオペレーションミスなどで誤った数字が報告された場合も虚偽報告と見なされてしまいます。こういった事態が起きないように、上場企業では内部統制の構築・運用が義務付けられています。

会計の観点で財務諸表が正しく作成されているかどうかは会計監査で監査法人が重点的にチェックしますが、内部統制では会計に限らず業務プロセス全般やITも含めて「財務諸表に影響するような不正やインシデントが発生するリスクがないか」を多角的にチェックします。
内部統制を正しく構築・運用して、財務報告の内容が虚偽なく正確であることを証明し、その報告書を財務諸表と併せて国に提出する義務があるのです。

■非上場企業における内部統制の必要性
内部統制報告書は有価証券報告書と併せて提出するので、有価証券報告書の提出義務がない非上場企業（例外あり）は、内部統制を構築する義務はありません。
しかし、内部統制が必要ないからといって何も統制が効いていない環境では不正やミスが発生して事業存続に関わる大きな問題に繋がる可能性もありますし、IPOや上場企業による買収により内部統制の構築が急遽必要になるケースもあります。
監査法人に提出するための細かな資料まで作成する必要はありませんが、上記のようなケースに備えて自社の身を守るためにも、内部統制を意識した業務プロセスや環境は非上場の段階から準備しておいて損はないでしょう。

内部統制と監査法人

内部統制は、その名の通り本来は企業の内部で自律的に構築・運用する制度です。
しかし、自社内で内部統制の評価を行い、その結果だけで「不備なし」と自己申告する仕組みでは虚偽報告が後をたたないでしょう。
そこで重要な登場人物となるのが監査法人です。

実は、内部統制報告書と併せて内部統制監査報告書という書類を提出する必要があります。
監査法人は、その企業の内部統制が正しく構築・運用されているかを第三者観点から評価を実施し、そのお墨付きの報告書として内部統制監査報告書を提出します。
監査法人が直接内部統制を構築したり是正措置を実施することはできませんが、改善が必要な場合はその旨を経営者や内部統制担当者に伝えて改善を促します。

■内部統制監査報告書の免除
2015年に改正された金商法により、「新規上場とした企業(*)は、3年間は内部統制監査報告書の提出が免除される」という特例が設けられました。
* 資本金100億円以上または負債総額が1000億円以上の企業は対象外

ただし、あくまで監査法人による内部統制監査と内部統制監査報告書が免除されるだけで内部統制報告書は必要なので、上場の際に構築した内部統制をきちんと自社内で運用し、自社内で評価しなければなりません（監査法人も完全に内部統制を見ないかという、そんなこともありません）。

■様々な「監査」
監査法人のもうひとつの大きな役割として「会計監査」がありますが、こちらは会計に重点を置いた内部統制とは異なる監査なので、本解説では触れません。
他にも内部統制監査と似た言葉に「内部監査」がありますが、これは内部統制の構成要素の一部ではあるものの、実務的には内部統制とは別物です。
このように、「監査」という言葉だけでも、監査法人監査・会計監査・内部統制監査・内部監査・監査役監査など様々な用語があり、それぞれの意味も異なるので、会話で齟齬が起きないように略さずに正しい名称を使うようにしておきましょう。

まとめ

・有価証券報告書の提出が義務付けられている上場企業は、
　内部統制報告書を併せて提出する義務がある
・財務報告の内容が虚偽なく正確であることを内部統制により裏付けする
・自社内での内部統制評価に加え、監査法人による内部統制評価を実施し、
　内部統制監査報告書を提出してもらう必要がある

初回では内部統制そのものについて解説しました。
実務経験がない方にとってはイメージしづらい内容だったかもしれませんが、「なぜ内部統制が必要なのか」を理解しておくことは重要です。
次回はもう少し実務的な内容に入り、内部統制の基本計画や対象範囲について解説していきます。

参考書籍

内部統制に関する書籍は沢山出ていますが、監査法人目線の教科書的なものが多く、読んでも「具体的に何をすればいいか分からない」「ここまで全部実現するのは難しい」といったことがほとんどだと思います。
こちらの書籍は、監査法人だけでなく経営者・実務担当者の3つの視点を考慮して書かれており、「いかに効率的に実施するか」といった実務観点で解説されているので、実務担当者にオススメの一冊です。

今から始める・見直す 内部統制の仕組みと実務がわかる本