はじめに
IPO準備で最も時間がかかり、最も挫折しやすいのが内部統制の構築です。
「内部統制」と聞くと、規程や書類を大量に作るイメージがあるかもしれません。しかし本質は、業務の適正性を確保し、不正やミスを防ぐ仕組みを作ることです。
本記事では、IPO審査に耐えうる内部統制を構築するための実務的なステップを解説します。
内部統制とは
内部統制とは、組織の目的を達成するために、業務に組み込まれたプロセスや仕組みのことです。
内部統制の4つの目的
| 目的 | 内容 |
|---|---|
| 業務の有効性・効率性 | 事業活動が効率的に行われていること |
| 財務報告の信頼性 | 決算書の数字が正確であること |
| 法令等の遵守 | 法律や社内規程を守っていること |
| 資産の保全 | 会社の資産が適切に管理されていること |
COSOフレームワーク
内部統制の国際的な標準フレームワークが**COSO(Committee of Sponsoring Organizations)**です。日本のJ-SOXもCOSOをベースにしています。
COSOの5つの構成要素:
| 構成要素 | 内容 | 具体例 |
|---|---|---|
| 統制環境 | 組織全体の内部統制に対する意識 | 経営者の姿勢、倫理規程、組織体制 |
| リスクの評価 | 目的達成を阻害するリスクの識別 | リスクの洗い出しと重要度の評価 |
| 統制活動 | リスクに対する具体的な統制手続 | 承認手続、職務分離、照合 |
| 情報と伝達 | 必要な情報の識別・取得・伝達 | 報告体制、情報システム |
| モニタリング | 内部統制の有効性の監視 | 内部監査、自己点検 |
IPOにおける内部統制(J-SOX)
J-SOXとは
J-SOX(日本版SOX法)は、上場企業に対して内部統制報告書の提出を義務付ける制度です。正式名称は「財務報告に係る内部統制の評価及び監査の基準」です。
| 項目 | 内容 |
|---|---|
| 対象 | 上場企業(IPO準備企業はN-1期から対応) |
| 評価対象 | 財務報告に係る内部統制 |
| 評価者 | 経営者(自己評価) |
| 監査 | 監査法人による監査 |
| 報告書 | 内部統制報告書を有価証券報告書と合わせて提出 |
全社的な内部統制と業務プロセスに係る内部統制
| 区分 | 対象 | 評価方法 |
|---|---|---|
| 全社的な内部統制 | 会社全体に影響する統制 | チェックリスト(42項目) |
| 業務プロセスに係る内部統制 | 個別の業務プロセスの統制 | 業務フロー・RCMの文書化 |
| IT全般統制 | 情報システムの管理 | IT統制の評価シート |
| IT業務処理統制 | アプリケーション上の統制 | 入力・処理・出力の検証 |
内部統制の構築ステップ
ステップ1:対象範囲を決める
すべての業務プロセスを同じ深さで整備するのは現実的ではありません。重要な勘定科目に関連する業務プロセスに絞って整備します。
対象とすべき業務プロセスの選定基準:
| 基準 | 内容 |
|---|---|
| 売上高の2/3 | 連結売上高の概ね2/3を占める事業拠点 |
| 重要な勘定科目 | 売上高、売掛金、棚卸資産など |
| リスクの高いプロセス | 不正や誤謬が発生しやすい業務 |
一般的に文書化が必要な業務プロセス:
- 販売プロセス(受注→出荷→売上計上→請求→回収)
- 購買プロセス(発注→検収→仕入計上→支払)
- 在庫管理プロセス(入庫→保管→出庫→棚卸)
- 経費精算プロセス(申請→承認→支払→計上)
- 月次決算プロセス(仕訳→試算表→レビュー→確定)
- 固定資産管理プロセス(取得→登録→減価償却→除却)
ステップ2:業務フローを文書化する
各業務プロセスをフローチャートと業務記述書で文書化します。
業務フローチャートに含める要素:
| 要素 | 内容 |
|---|---|
| 担当者・部門 | 誰が行うか(レーン分け) |
| 業務手順 | 何をどの順番で行うか |
| 使用するシステム | どのシステムを使うか |
| 帳票・書類 | どの書類が作成・使用されるか |
| 統制ポイント | どこでチェック・承認が入るか |
| 判断分岐 | 条件によって処理が変わるポイント |
業務記述書に含める要素:
| 項目 | 内容 |
|---|---|
| プロセス名 | 販売プロセス、購買プロセス等 |
| 対象範囲 | 開始点から終了点まで |
| 担当部門・担当者 | 各ステップの実行者 |
| 業務の詳細手順 | 具体的な作業内容 |
| 使用帳票 | 注文書、請求書、検収書等 |
| 統制活動 | 承認、照合、レビュー等 |
ステップ3:リスクコントロールマトリクス(RCM)を作成する
RCMとは、各業務プロセスにおけるリスクと、それに対する統制活動を対応させた表です。
RCMの構成:
| 項目 | 内容 | 例 |
|---|---|---|
| アサーション | 財務報告の適正性に関する主張 | 実在性、網羅性、正確性、期間配分 |
| リスク | アサーションを脅かすリスク | 架空売上の計上、売上の計上漏れ |
| 統制活動 | リスクに対する統制 | 出荷実績との照合、月次売上レビュー |
| 統制の種類 | 予防的/発見的、手作業/自動 | 予防的・手作業 |
| 実施頻度 | 統制の実施頻度 | 日次、月次、四半期 |
| 実施者 | 統制を実施する人 | 経理部長、営業管理課 |
アサーションの種類:
| アサーション | 意味 | リスクの例 |
|---|---|---|
| 実在性 | 取引や残高が実際に存在する | 架空売上、架空在庫 |
| 網羅性 | すべての取引が記録されている | 売上の計上漏れ |
| 正確性 | 金額や数量が正しい | 単価の入力ミス |
| 期間配分 | 正しい期間に計上されている | 期ズレ(翌期の売上を当期に計上) |
| 権利と義務 | 資産に対する権利がある | 担保権の未記録 |
| 評価 | 適切な金額で評価されている | 在庫の評価損の未計上 |
ステップ4:統制活動を設計・導入する
識別されたリスクに対して、具体的な統制活動を設計し、業務に組み込みます。
統制活動の主な種類:
| 統制活動 | 内容 | 具体例 |
|---|---|---|
| 承認 | 権限者による承認 | 一定金額以上の支出は部長承認 |
| 職務分離 | 1人に権限を集中させない | 発注者と検収者を分ける |
| 照合 | 複数のデータを突き合わせる | 請求書と発注書の照合 |
| レビュー | 上位者による確認 | 月次決算の経理部長レビュー |
| アクセス制限 | システムの利用権限管理 | 経理システムの権限設定 |
| 実地棚卸 | 帳簿と実物の突合 | 四半期ごとの在庫棚卸 |
ステップ5:運用テストを実施する
整備した内部統制が実際に運用されているかを検証します。
運用テストの方法:
| テスト方法 | 内容 | 適用場面 |
|---|---|---|
| 質問 | 担当者へのヒアリング | 統制の理解度確認 |
| 観察 | 実際の業務を観察 | 承認手続の実施状況 |
| 文書の検査 | 証跡の確認 | 承認印、ログの確認 |
| 再実施 | 統制を再度実行 | 照合手続の正確性確認 |
サンプル数の目安:
| 統制の頻度 | テストサンプル数 |
|---|---|
| 日次 | 25件 |
| 週次 | 5件 |
| 月次 | 2件 |
| 四半期 | 1件 |
| 年次 | 1件 |
IT統制の構築
IT全般統制
| 統制領域 | 内容 | 具体的な対応 |
|---|---|---|
| プログラム開発 | システム変更の管理 | 開発・テスト・本番環境の分離 |
| プログラム変更 | 変更管理手続 | 変更申請→承認→テスト→リリース |
| コンピュータ運用 | 日常の運用管理 | バックアップ、障害対応手順 |
| アクセス管理 | 利用者の権限管理 | ID管理、定期的な棚卸 |
クラウドサービス利用時の注意点
SaaSを利用している場合、以下の点を確認する必要があります。
- **SOC報告書(SOC1/SOC2)**の取得状況
- データのバックアップ体制
- アクセスログの取得・保管
- サービス停止時の事業継続計画
内部統制構築でよくある失敗
1. 形式だけの文書化
フローチャートやRCMを作っても、実際の業務と乖離していれば意味がありません。現場の実態に合った文書化を行いましょう。
2. 職務分離ができていない
特に少人数の企業では、1人が発注から支払まで行っているケースがあります。完全な職務分離が難しい場合は、代替的な統制(上位者のレビュー等)で補完します。
3. 統制の証跡が残っていない
承認を行っていても、その証拠(承認印、メール、システムログ等)が残っていなければ、運用テストで「有効」と判定できません。証跡を残す仕組みを必ず整備しましょう。
4. 経営者の関与が不十分
内部統制は経理部だけの仕事ではありません。経営者自らが内部統制の重要性を認識し、全社的に推進する姿勢が不可欠です。
5. 完璧を目指しすぎる
最初から完璧な内部統制を構築しようとすると、時間とコストがかかりすぎます。重要なリスクから優先的に対応し、段階的に改善していく姿勢が大切です。
まとめ
| ポイント | 内容 |
|---|---|
| 基本フレームワーク | COSO(5つの構成要素) |
| IPO対応 | J-SOXに基づく内部統制の整備・運用・評価 |
| 文書化の3点セット | 業務フロー、業務記述書、RCM |
| 最重要 | 「整備」だけでなく「運用」の実績が審査で問われる |
| 現実的な進め方 | 重要なリスクから優先対応し、段階的に改善 |
内部統制の構築は、IPO準備の中で最も工数がかかるプロセスですが、同時に会社の経営管理レベルを大きく引き上げる機会でもあります。
NextFin会計事務所では、社外CFOとして内部統制の設計から運用定着まで伴走しています。「何から手をつければいいかわからない」という段階でも、お気軽にご相談ください。