内部統制報告書とは、企業の内部統制が有効に機能しているか経営者が評価した結果を報告する書類です。全ての上場企業に提出が課せられ、内部統制報告制度J-SOXへの対応時に作成しなければなりません。
本記事では作成・提出のポイントを解説します。
目次
- 内部統制報告書とは
- 関連書類との違い
- 提出が義務付けられている会社
- 内部統制報告書の記載事項
- 基本的枠組みに関する事項
- 評価の範囲、基準日及び評価手続に関する事項
- 評価結果に関する事項
- 付記事項・特記事項
- 内部統制報告書のひな形・様式
- 内部統制報告書の作成手順
- 内部統制の整備・運用状況の評価
- 作成に必要な書類(J-SOX 3点セット)
- 内部統制報告書の作成
- 監査法人による監査
- EDINETでの提出・公開
- 提出先と提出期限
- 新規上場企業の監査免除特例
- 2024年4月の制度改訂
- 改訂の背景と概要
- 評価範囲の決定に関する変更点
- 基本的要素の改訂ポイント
- 内部統制報告書の不備と対応
- 開示すべき重要な不備の判断基準
- 不備が見つかった場合の対応手順
- 閲覧方法
- まとめ
- freeeで内部統制の整備をスムーズに
- よくある質問
内部統制報告書とは
内部統制が正しく機能しているかを経営者が評価し結果を開示する書類です。会計不正等の不祥事が相次いだことを背景に、2007年施行の金融商品取引法によって導入されました。米国SOX法を参考に整備されたためJ-SOX(日本版SOX法)と呼ばれます。
同法第24条の4の4を根拠とし、有価証券報告書の提出義務を負う上場企業の経営者が事業年度ごとに提出します。
関連書類との違い
内部統制報告書は有価証券報告書と同時に提出する書類で、名称が似た書類と混同されやすいですが作成者と役割が異なります。
<内部統制報告書と関連書類の比較>
| 書類名 | 作成者 | 内容 | 根拠法令 |
|---|---|---|---|
| 内部統制報告書 | 経営者 | 内部統制の有効性に関する自己評価結果 | 金商法第24条の4の4 |
| 内部統制監査報告書 | 監査人 | 内部統制報告書に対する監査意見 | 金商法第193条の2第2項 |
| 確認書 | 経営者 | 有価証券報告書の記載内容が適正である旨の確認 | 金商法第24条の4の2 |
内部統制報告書が経営者の「評価」、監査報告書が監査人の「監査意見の表明」で、セット提出で信頼性が担保されます。確認書は「有価証券報告書そのものの記載内容」を対象とする点が異なります。
提出が義務付けられている会社
全ての上場企業が対象です。2000年代前半に大手上場企業による虚偽記載の不祥事が相次いだことを受け義務化されました。
新規上場企業も対象で、監査法人の監査は上場後3年間免除されますが報告書は必ず提出しなければなりません。未提出や重要事項の虚偽記載は罰則対象です。
内部統制報告書の記載事項
記載事項は①基本的枠組み、②評価の範囲・基準日・評価手続、③評価結果、④付記事項、⑤特記事項の5つです。金融庁のひな形(第一号様式)に従い順に記載します。
基本的枠組みに関する事項
代表者及び最高財務責任者が整備・運用の責任を有している旨、準拠した基準の名称、内部統制により虚偽記載を完全には防止・発見できない可能性がある旨の3項目を記載します。いずれも定型で金融庁のひな形に文面があります。
評価の範囲、基準日及び評価手続に関する事項
評価の基準日、評価基準に準拠した旨、評価手続きの概要、評価の範囲の4項目を記載します。範囲は決定手順を簡潔に記載し、十分な手続きができなかった部分があれば範囲と理由も記載します。
評価結果に関する事項
次の①〜④のうち該当するいずれかを記載します。①有効である旨、②一部手続が実施できなかったが有効である旨、③開示すべき重要な不備があり有効でない旨、④重要な手続が実施できず評価結果を表明できない旨。実施できなかった手続きと理由、不備の内容と是正されなかった理由も併記します。
提出までに不備を是正した場合は付記事項に記載します。
付記事項・特記事項
付記事項には、末日後提出日までに有効性に重要な影響を及ぼす事象が発生した場合、または末日時点で重要な不備があり提出日までに是正措置を実施した場合に記載します。
特記事項には特記すべき事項があれば記載します。該当なしの場合は「該当事項なし」と記載します。
内部統制報告書のひな形・様式
様式は金融庁公布の「内部統制府令」で定められ、内国会社用の第一号様式と外国会社用の第二号様式があります。
第一号様式は記載事項5項目に沿った構成で、報告書自体は1〜2ページ程度です。他社の文面はEDINETで閲覧できます。
内部統制報告書の作成手順
流れは①内部統制の整備・運用状況の評価、②3点セットの整備、③報告書の作成、④監査法人による監査、⑤EDINETでの提出・公開の5ステップです。
内部統制の整備・運用状況の評価
内部統制には業務の有効性及び効率性・報告の信頼性・事業活動に関わる法令等の遵守・資産の保全の4目的があり、これらの達成が評価対象です。
まず全社的な内部統制の整備・運用状況を確認し、結果を踏まえて業務プロセスレベルを評価します。全社的な内部統制は統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応の6つの基本的要素で構成されます。
作成に必要な書類(J-SOX 3点セット)
<J-SOX 3点セットの概要>
| 書類名 | 内容 |
|---|---|
| 業務記述書 | 業務プロセスの手順・担当者・使用システム等を記述 |
| フローチャート | 業務プロセスを図式化しリスクポイントを可視化 |
| RCM(リスク・コントロール・マトリックス) | リスクと統制活動を対応表で整理 |
財務報告に関係する勘定科目(売上・売掛金・棚卸資産など)の業務プロセスが主な対象で、報告書には添付しませんが監査法人の検証時の基礎資料として作成・保管が求められます。
内部統制報告書の作成
金融庁交付のひな形(第一号様式)に沿って1〜2枚程度の書類を作成します。記載事項5項目に従い評価の基準日・評価範囲・評価手続の概要・評価結果を記載します。有効性の評価に特段の問題がなければ大部分は定型文をもとに作成できます。
監査法人による監査
原則として監査法人(公認会計士)の監査証明を受ける必要があります。
監査人は無限定適正意見・限定付適正意見・不適正意見・意見不表明のいずれかを表明します。財務諸表監査と内部統制監査は同一の監査法人が実施し監査意見は一体的に形成されます。
EDINETでの提出・公開
EDINET(Electronic Disclosure for Investors' NETwork)を通じて有価証券報告書とともに提出します。金融庁運営の電子開示システムで、提出された報告書は無料で閲覧できます。
提出先と提出期限
提出先は法令上は内閣総理大臣で、実務上はEDINET経由で管轄財務局長へ提出します。期限は事業年度経過後3ヶ月以内で、有価証券報告書との同時提出が原則です。3月決算企業なら翌年6月末が期限です。
新規上場企業の監査免除特例
新規上場企業には上場後3年間、監査証明を免除できる特例があります。作成・提出義務は免除されません。直前事業年度末の資本金100億円以上、または負債総額1,000億円以上の企業は免除を受けられません。
2024年4月の制度改訂
2024年4月1日以後に開始する事業年度から改訂後の制度が適用されています。3月決算企業では2025年3月期の報告書が改訂後基準に基づく最初の報告書です。
改訂の背景と概要
2023年4月に企業会計審議会が公表した意見書に基づくもので、J-SOX制度導入(2008年)以来約15年ぶりの大幅な見直しです。背景は制度運用の形式化への指摘とCOSO 2013年版フレームワーク改訂への整合性確保の2点です。
主な変更は評価範囲の決定方法・基本的要素・不正リスクへの対応・IT統制の強化の4点です。
評価範囲の決定に関する変更点
改訂前は連結売上高の概ね2/3を占める事業拠点を重要な事業拠点として選定する数値基準が一般的でした。
改訂後は機械的な数値基準ではなく、事業環境や個別のリスク特性を踏まえた判断が求められ、決定方法の判断事由を報告書に記載することも義務化されました。
基本的要素の改訂ポイント
目的の「財務報告の信頼性」は「報告の信頼性」に改められ、サステナビリティ関連の開示など非財務情報を含む報告全般の信頼性を対象とします。リスクの評価と対応では不正リスクへの考慮が明示されました。
ITへの対応ではサイバーセキュリティの確保が「IT環境への対応」の一要素として明記されました。
内部統制報告書の不備と対応
不備とは、内部統制が適切に整備されていない、または整備されていても運用上有効に機能していない状態を指します。
開示すべき重要な不備の判断基準
財務報告に重要な影響を及ぼす可能性が高いものは「開示すべき重要な不備」に分類され、金額的重要性と質的重要性の両面から判断します。金額的重要性は連結税引前利益の概ね5%程度が目安です。
質的重要性は上場廃止基準に関係する項目や経営者による不正が関与する不備などが該当します。重要な不備があると判断された場合は報告書で「有効でない」旨を記載し、不備の内容と是正されなかった理由を開示します。
不備が見つかった場合の対応手順
対応は原因分析→是正措置→報告書への記載の手順です。末日までに是正完了なら評価結果に影響しません。末日時点で未完了の場合は開示すべき重要な不備として記載し、末日以降提出日までに是正措置を実施した場合は付記事項として記載できます。
過去報告書に重要な誤りが判明した場合は訂正内部統制報告書をEDINETから提出します。
閲覧方法
提出済みの報告書は金融庁のEDINET閲覧サイトで無料閲覧できます。書類検索から企業名・証券コードで検索し書類種別で「内部統制報告書」を選択して該当事業年度を選択します。
まとめ
内部統制報告書は全ての上場企業が作成・提出しなければならない法定開示書類で、記載漏れや不正確な記載は許されません。2024年4月の制度改訂により評価範囲の判断事由の記載義務化や基本的要素の見直しが行われており、最新の実施基準を確認し評価プロセスを見直すことが重要です。
freeeで内部統制の整備をスムーズに
IPOは、スモールビジネスが『世界の主役』になっていくためのスタート地点だと考えています。
IPOに向けた準備を進めていくにあたり、必要になってくる内部統制。自社において以下のうち1つでも該当する場合は改善が必要です。
- バックオフィス系の全てのシステムにアクセス権限設定を実施していない
- 承認なく営業が単独で受注・請求処理を行うことができる
- 仕入計上の根拠となる書類が明確になっていない
freee会計のエンタープライズプランは内部統制に対応した機能が揃っており、効率的に内部統制の整備が進められます。
内部統制対応機能
- 不正防止(アクセスコントロール)のための、特定IPアドレスのみのアクセス制限
- 整合性担保(インプットコントロール)のための、稟議、見積・請求書発行、支払依頼などのワークフローを用意
- 発見的措置(モニタリング)のための、仕訳変更・承認履歴、ユーザー情報更新・権限変更履歴などアクセス記録
- 国際保証業務基準3402(ISAE3402)に準拠した「SOC1 Type2 報告書」を受領
詳しい情報は、内部統制機能のページをご確認ください。
導入実績と専門性の高い支援
2020年上半期、freeeを利用したマザーズ上場企業は32.1%。freeeは多くの上場企業・IPO準備企業・成長企業に導入されています。
また、freeeではIPOを支援すべく、内部統制に関する各種ツールやIPO支援機関との連携を進めています。
内部統制を支援するツール・連携機能
IPOに向けた準備をお考えの際は、freeeの活用をご検討ください。
よくある質問
内部統制報告書は誰が作成するもの?
経営者(代表取締役)の責任のもとで作成されます。実務上は内部監査部門や経理部門が評価作業と起案を主導し監査法人との協議を経て最終化するのが一般的です。署名は代表者と最高財務責任者が行います。
詳しくは「内部統制報告書の作成手順」をご覧ください。
内部統制報告書を提出しなかった場合の罰則は?
金融商品取引法に基づき、個人には5年以下の懲役もしくは500万円以下の罰金、法人には5億円以下の罰金が科される可能性があります。重要事項の虚偽記載も同様です。
詳しくは「提出が義務付けられている会社」をご覧ください。
