はじめに
IPO準備を進める中で、「内部監査」と「内部統制」という言葉を耳にすることが多くなります。
この2つは密接に関連しており、混同されがちですが、その意味と役割はまったく異なります。本記事では、初めてこれらの言葉に触れる方にもわかるように、身近なたとえを交えながらやさしく解説します。
1. まずイメージで全体像をつかもう
理解の入口として、レストランの衛生管理に置き換えて考えてみましょう。
内部統制 = 衛生管理のルールや仕組みそのもの
- 「食材は冷蔵庫で保管する」「調理前に手を洗う」「賞味期限を毎朝チェックする」
- こうしたルール・手順・チェックの仕組みが「内部統制」にあたります
内部監査 = そのルールが本当に守られているかを確認する活動
- 「抜き打ちで冷蔵庫の温度を測る」「手洗い記録を確認する」「賞味期限切れの食材がないか実際に調べる」
- こうした検証活動が「内部監査」にあたります
つまり、ルールを作るだけでは不十分で、ルールが実際に守られているかを確認する仕組みもセットで必要だということです。
これは会社経営でもまったく同じです。
2. 内部統制とは何か
一言でいうと
内部統制とは、**「会社が健全に経営されるためのルール・仕組み・プロセスの総称」**です。
もう少し詳しく
企業が経営目標を達成するために、業務プロセスの中にリスク管理の仕組みを組み込むことを指します。特別な部署だけが行うものではなく、**会社のあらゆる業務に組み込まれている「仕組み」**です。
内部統制の4つの目的
内部統制には、以下の4つの目的があるとされています。
① 業務の有効性・効率性
ムダなく、正しく業務が行われる仕組みがあるか。
例:営業の見積もり作成に統一フォーマットがあり、上長承認を経てから顧客に提出するフローが定められている
② 財務報告の信頼性
決算書や財務データが正確に作成される仕組みがあるか。
例:売上の計上基準が明文化されており、経理部門が基準どおりに処理しているかをダブルチェックしている
③ 事業活動に関わる法令等の遵守(コンプライアンス)
法律や社内規程を守る仕組みがあるか。
例:個人情報の取り扱いに関する社内規程があり、全従業員が年1回研修を受けている
④ 資産の保全
会社の財産(現金・在庫・設備・情報など)が適切に管理されているか。
例:現金の出納は必ず2名体制で行い、月次で残高照合を実施している
内部統制の具体例
日常の業務の中にある内部統制の例をいくつか挙げてみます。
| 業務場面 | 内部統制の例 |
|---|---|
| 経費精算 | 申請→上長承認→経理確認の3段階フロー |
| 契約締結 | 一定金額以上は法務レビュー+役員承認が必要 |
| 売上計上 | 検収書の受領をもって売上を計上するルール |
| 採用 | 採用稟議書の作成と役員承認 |
| 情報管理 | アクセス権限の設定と定期的な棚卸し |
| 在庫管理 | 月次の実地棚卸しと帳簿との照合 |
このように、内部統制は「特別なこと」ではなく、日常業務の中に組み込まれているルールや手順のことです。
3. 内部監査とは何か
一言でいうと
内部監査とは、**「内部統制(ルール・仕組み)が本当にちゃんと機能しているかを、独立した立場でチェック・評価する活動」**です。
もう少し詳しく
いくら立派なルールを作っても、「実際には守られていない」「形骸化している」ということは珍しくありません。内部監査は、そうした**「ルールと実態のギャップ」**を見つけ出し、改善を促す活動です。
内部監査の具体的な進め方
内部監査は、一般的に以下のステップで行われます。
ステップ1:計画(どこを見るか決める)
年間計画を策定し、どの部署・どの業務プロセスを、いつ監査するかを決めます。すべてを一度に見ることはできないため、リスクが高い領域から優先的に実施します。
ステップ2:実施(実際に確認する)
書類の確認(証憑突合)、担当者へのヒアリング、実地確認などを行います。「ルール上はこうなっているが、実際はどうか?」を丁寧に確認していきます。
ステップ3:報告(結果をまとめる)
発見事項(問題点や改善が必要な点)を報告書にまとめ、経営者に報告します。発見事項には「改善提案」もセットで記載します。
ステップ4:フォローアップ(改善を確認する)
指摘した事項が実際に改善されたかを、一定期間後に再確認します。この「フォローアップ」が最も重要で、ここまでやって初めて内部監査が完結します。
内部監査の具体例
| 監査テーマ | 確認する内容の例 |
|---|---|
| 経費精算 | 承認フローが規程どおり運用されているか、領収書は全件添付されているか |
| 売上プロセス | 売上計上基準に沿った処理がされているか、検収書は適時に入手されているか |
| 情報セキュリティ | アクセス権限が適切に設定されているか、退職者のアカウントが速やかに削除されているか |
| 労務管理 | 36協定の範囲内で残業が管理されているか、有給取得の記録は正確か |
| 契約管理 | 契約書の原本が適切に保管されているか、更新期限の管理はできているか |
4. 両者の関係を整理する
ここで改めて、2つの違いを整理します。
| 内部統制 | 内部監査 | |
|---|---|---|
| 何か | 会社のルール・プロセス・仕組み | その仕組みが機能しているかを検証する活動 |
| 役割 | リスクを「予防」する | 予防策が「機能しているか」を確認する |
| 誰が担当 | 経営者・各部門の責任者と担当者 | 独立した内部監査担当者(または外部委託先) |
| いつ行う | 日常的・継続的に運用する | 年間計画に基づき定期的に実施する |
| 成果物 | 規程・マニュアル・フロー図・チェックリスト | 監査報告書・改善提案・フォローアップ記録 |
| たとえ | 交通ルール(速度制限、信号、車検制度) | 取り締まり(スピード違反の検知、車検の確認) |
大切なポイント: 内部統制と内部監査は「どちらが上」という関係ではなく、車の両輪のような関係です。片方だけでは機能しません。
5. よくある誤解を解消する
誤解①「内部統制=内部統制報告書(J-SOX)のこと」
内部統制は、J-SOX対応のためだけに存在するものではありません。J-SOXは内部統制の中でも**「財務報告に関する部分」**を文書化・評価する制度です。内部統制そのものは、会社のあらゆる業務に存在する、もっと広い概念です。
誤解②「内部監査は不正を見つけるためのもの」
不正の発見も内部監査の重要な役割の一つですが、それだけではありません。内部監査の本来の目的は、業務プロセスの改善と経営の質の向上です。「問題を見つけて罰する活動」ではなく、「より良い会社にするための活動」と捉えることが大切です。
誤解③「小さい会社には内部統制は必要ない」
規模に関わらず、会社にはルールや仕組みが必要です。IPO準備企業では、上場審査に耐えうる水準の内部統制が求められますが、最初から完璧を目指す必要はありません。今ある仕組みを「見える化」し、足りない部分を補っていくアプローチが現実的です。
誤解④「内部監査は経理や管理部門だけの話」
内部監査の対象は、経理部門だけではありません。営業、開発、人事、総務、IT――すべての部門が対象になりえます。むしろ、現場に近い業務ほど「ルールと実態のギャップ」が生じやすいため、内部監査の価値が発揮されます。
6. IPO準備でどちらを先に整備すべきか
基本の順序
理屈の上では、まず内部統制(ルール・仕組み)を整備し、その後に内部監査(検証活動)を実施するのが自然な流れです。
チェックする対象(内部統制)がなければ、チェックする活動(内部監査)も成り立たないからです。
現実的な進め方:並行して進める
ただし、IPO準備においては両者を並行して進めることが現実的です。その理由は3つあります。
理由① 完璧な内部統制は「一気に」作れない
内部統制の整備には時間がかかります。すべてのルールが整うまで内部監査を待つと、スケジュールが大幅に遅延します。
理由② 内部監査が内部統制の「不備」を発見してくれる
内部監査を実施することで、「ルールが作られていない領域」や「ルールはあるが実態と乖離している領域」が明らかになります。つまり、内部監査の結果が内部統制の整備に直接役立ちます。
理由③ 審査では「運用実績」が求められる
上場審査では、「ルールを作った」だけでなく「一定期間運用した実績」が求められます。早い段階から内部監査を回すことで、運用実績を蓄積できます。
おすすめのスケジュール感
| 時期 | やること |
|---|---|
| N-3期〜N-2期 | 主要な規程・フローの整備 + 内部監査の体制構築(担当者の選任、計画策定) |
| N-2期 | 内部監査の試行実施 + 発見事項に基づく内部統制の改善 |
| N-1期(直前期) | 本格的な内部監査の実施 + フォローアップ + 三様監査の連携開始 |
| N期(申請期) | 内部監査の定常運用 + J-SOX対応の準備開始 |
7. J-SOX(上場後の内部統制報告制度)との関係
J-SOXとは
上場後は、金融商品取引法に基づく**内部統制報告制度(J-SOX)**への対応が義務付けられます。これは、財務報告に関する内部統制の有効性を経営者自身が評価し、その結果を「内部統制報告書」として開示する制度です。
IPO準備段階との関係
J-SOXで求められる対応の中核は、以下の3つです。
- 全社的な内部統制の整備・評価:会社全体のガバナンス体制やリスク管理の仕組み
- 業務プロセスに係る内部統制の整備・評価:売上・購買・経費など重要な業務フローの文書化と検証
- IT統制の整備・評価:情報システムに関する管理体制
IPO準備段階で内部統制と内部監査を適切に整備しておくと、上場後のJ-SOX対応の基盤がすでにできている状態になります。逆に、IPO準備段階でこれらが不十分だと、上場直後にJ-SOX対応に追われることになり、大きな負担が生じます。
2024年のJ-SOX改訂のポイント
2024年4月以降に開始する事業年度から、改訂されたJ-SOX基準が適用されています。主な変更点として、経営者による内部統制の「無効」判断基準の厳格化や、ITを利用した内部統制の評価範囲の見直しが挙げられます。IPO準備段階から、改訂後の基準を意識した体制構築を行うことが望ましいです。
8. セルフチェックリスト
自社の現状を確認するために、以下のチェックリストをご活用ください。
内部統制の整備状況
| チェック項目 | 確認 |
|---|---|
| 主要業務(売上・購買・経費・人事)のフローが文書化されているか | □ |
| 承認権限の基準(金額・内容別)が明確に定められているか | □ |
| 各業務に適切な職務分離(申請者と承認者の分離など)があるか | □ |
| 社内規程が整備され、定期的に見直されているか | □ |
| IT環境のアクセス権限管理が適切に行われているか | □ |
| コンプライアンス(法令遵守)に関する研修や啓発活動があるか | □ |
内部監査の実施状況
| チェック項目 | 確認 |
|---|---|
| 内部監査の担当者が明確に決まっているか(兼務可) | □ |
| 年間の内部監査計画を策定しているか | □ |
| 監査計画に基づき、実際に監査を実施しているか | □ |
| 発見事項を報告書にまとめ、経営者に報告しているか | □ |
| 発見事項のフォローアップ(改善確認)を実施しているか | □ |
| 監査役・会計監査人と情報共有する場(三様監査会議)があるか | □ |
まとめ:整理するとシンプル
- 内部統制 = 会社のルール・仕組み(構築・運用するもの)
- 内部監査 = そのルール・仕組みが機能しているかを検証するもの
両者は車の両輪であり、IPO準備においてはセットで整備・運用することが不可欠です。
大切なのは、最初から完璧を目指すのではなく、「作る→チェックする→直す→またチェックする」というサイクルを早く回し始めることです。
セイドウパートナーズの内部監査支援では、内部統制の整備から内部監査の実施まで、IPO準備企業の状況に合わせた伴走型のサポートを提供しております。「何から手をつければいいかわからない」という段階からでも、お気軽にご相談ください。
IPO準備の内部監査のことなら、セイドウパートナーズにご相談ください!
上場審査を知り尽くしたコンサルタントが、計画立案からフォローアップまでワンストップで支援します。
