2022年12月、企業会計審議会内部統制部会は「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(公開草案)」(以下、内部統制基準の改訂案)を公表しました。今回はこの内容について、ご説明します。
1.背景
日本の内部統制報告制度(J-SOX)は、2009年3月期決算会社から順次適用され、14年余りが経過しました。しかし、内部統制報告(評価)の範囲外で開示すべき重要な不備が発見されたり、内部統制の有効性の評価結果が訂正された場合に十分な理由が開示されない等の事例が見受けられ、制度の実効性に対する懸念が指摘されていました。
このような状況を踏まえて、2022年10月から企業会計審議会の内部統制部会において、内部統制の実効性向上を図る観点から検討が開始され、今回内部統制基準の改訂案が公表されました。
2.内部統制報告制度の問題点
内部統制部会の審議においては、以下の問題提起があったとされています。
・非財務情報の内部統制報告制度における取扱い
・ダイレクトレポーティング(監査人が内部統制の有効性を直接評価・報告すること)の採用
・内部統制監査報告書における内部統制に関する「監査上の主要な検討事項(KAM)」の採用
・訂正内部統制報告書に対する監査人の関与の在り方(現状は監査が求められていない)
・経営者に対する課徴金制度等の罰則規定の見直し
・会社法との調整(将来的に会社法と金融商品取引法の内部統制を統合した総合的な判断ができるようにすべき)
・代表者による確認書(※)における内部統制に関する記載の充実
※代表者による確認書:会社の代表者が有価証券報告書等の記載内容が適正であることを確認したことを記載した文書
・臨時報告書における内部統制の取扱い
いずれも制度導入から時間が経過する中で、会社を取り巻く環境の変化、周辺制度の新設・改訂、依然として不正会計等の企業不祥事がなくならないことに対して、内部統制制度が十分対応できていないとの観点からの指摘であったと考えられます。
3.主な改訂点
(1)内部統制の基本的な枠組みについて
① 報告の信頼性
内部統制の定義における内部統制の目的の1つであった「財務報告の信頼性」が「報告の信頼性」に改められ、この報告は非財務情報を含む組織内外への報告が対象になることが示されました。従前の「財務報告の信頼性」は、この「報告の信頼性」の中に含まれるものとして整理されましたが、内部統制報告制度は、あくまで「財務報告の信頼性」の確保が目的であることが強調されています。
② リスクの評価と対応
内部統制の構築にあたっては、リスクの評価(組織の目標達成に影響を与える事象について、その阻害要因をリスクとして識別・分析・評価するプロセス)を行う必要がありますが、この対象に不正リスクが含まれることが示されました。
また、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直す必要があることも示されました。
③ 情報の信頼性とIT(情報技術)への対応
大量の情報を扱い、業務が高度に自動化されたシステムに依存されている状況では、その情報の信頼性が重要となり、情報の信頼性を確保するために情報の処理プロセスにおいてシステムが有効に機能していることが必要となることが示されました。
このため、ITに適時適切に対応することが必要となりますが、企業の中には、ITに関する業務を外部組織に委託しているケースもあり、ITの委託業務に関する統制の重要性が高まっていることや、クラウドやリモートアクセス等の新しい技術の活用において、サイバーリスクの高まりを踏まえた情報システムに係るセキュリティの確保が重要であることも示されました。
④ その他の事項
その他に、以下のような追加・改訂がなされています。
・経営者による内部統制の無効化への対策の例示を追加
・内部統制の無効化が経営者以外の内部統制における業務プロセスに責任を有する者によっても起こり得ることを明示
・取締役会、監査役等、内部監査人の内部統制に対する役割・責任を追記
・内部統制とガバナンスや全組織的なリスク管理(ERM)との関係を明示
(2)財務報告に係る内部統制の評価及び報告について
① 内部統制の評価範囲の決定(全般的事項)
内部統制の評価範囲の決定前後に、評価範囲を決定した方法や根拠等について、必要に応じて監査人と協議を行うことが適切であるとされました。ただし、評価範囲の決定はあくまで経営者(企業)が行うものであり、この協議は、監査人による指導的機能の一環であることに留意が必要であるとされています。
また、長期間にわたり評価範囲外としてきた特定の事業拠点や業務プロセスについて評価範囲に含めることの必要性を考慮することや、評価範囲外の事業拠点や業務プロセスから開示すべき重要な不備が識別された場合は、少なくとも重要な不備が識別された事業年度においては、これらの事業拠点や業務プロセスを評価範囲に含めることが適切であるとされました。
さらに、ITの委託業務に関する統制の重要性が高まっていることを踏まえ、委託業務の評価の範囲に、ITに関する業務を外部の専門会社に委託する場合が含まれることが示されました。
② 業務プロセスに関する内部統制の評価範囲の決定
業務プロセスに関する内部統制の評価範囲を決定するにあたっては、重要な事業拠点の選定と評価対象とする業務プロセスの識別が必要となります。
重要な事業拠点の決定は、原則として売上高の重要性により決定する点は変更ありません。ただし、売上高の大きい事業拠点から合算して、連結ベースの売上高の一定割合(概ね2/3)を重要な事業拠点とする手法を機械的に適用すべきではないことが示されています。また、企業の環境や事業の特性によって、異なる(追加的な)指標を用いる場合がある点も同じですが、その際の指標の例示として、総資産や税引前利益が追記されています。
評価対象とする業務プロセスは、企業の事業目的に大きく関わる勘定科目に至る業務プロセスのすべてとする点は従前と変更ありませんが、一般的な事業会社の場合に、売上、売掛金及び棚卸資産の3勘定を評価対象とする手法を機械的に適用すべきではないことが示されています。
また、評価対象に追加すべき業務プロセスを選定する際には、これまでの考慮事項に加えて、複雑または不安定な権限や職責及び指揮命令系統の下で事業や業務を行っている場合(例.海外の事業拠点、企業結合直後の事業拠点、いわゆるノンコア事業を営む独立性の高い事業拠点)を考慮することが示されました。
③ ITを利用した内部統制の評価
ITを利用した内部統制について、以下のような留意すべき事項が追加されました。
・IT全般統制が有効に機能していると評価されたとしても、それだけでIT業務処理統制が有効に機能しているという結論には至らないこと
・IT全般統制の運用状況の評価を何年かに一度の頻度で実施する場合は、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査法人等と協議して行われるべきであり、特定の年数を機械的に適用すべきではないこと
・一般的に、自動化されたIT業務処理統制は手作業によるIT業務処理統制よりも無効化が難しくなるが、自動化されたIT業務処理統制が内部統制の無効化リスクを完全に防ぐことは困難であり、電子記録の変更の痕跡が残りにくい場合には、内部統制の無効化の発見が遅れる可能性があることに留意すること
④ 内部統制報告書における報告
前年度に開示すべき重要な不備を報告した場合は、これに対する是正状況を付記事項として記載することが求められました。
(3) 財務報告に係る内部統制の監査について
財務諸表監査において識別された内部統制の不備には、内部統制評価の範囲外のものが含まれる可能性があり、その場合に、監査人は内部統制報告制度における内部統制の評価範囲や評価に及ぼす影響を十分に考慮し、必要に応じて経営者と協議しなければならないことが示されました。
また、内部統制の評価範囲の妥当性を検討する際には、財務諸表監査の実施過程で入手した監査証拠も、必要に応じて活用することが適切であることが示されました。
内部統制の評価結果において、内部統制が有効ではない旨が記載されている場合には、その旨を監査人の意見に含めて記載することが適切であるとされました。
いかがでしょうか。内部統制報告制度の実効性を高め、財務報告に係る内部統制が有効に機能していることを確かめるために、
・企業の環境変化に対応した内部統制の評価が必要であること(不正リスクの考慮、ITに関する委託業務の評価など)
・内部統制の評価範囲(対象となる事業拠点や業務プロセス)を機械的に決定するのではなく、様々なリスクを考慮に入れた上で決定するべきであること
・コーポレートガバナンスを強化し、内部統制の評価がより実効的に行われていることを監視(モニタリング)する必要があること
の3点が重要になると思われます。また、監査人は評価範囲の決定について、経営者(会社)と協議を行うことが求められていることから、より実効的な内部統制の評価が行われているかどうか厳しい目を向ける必要があると思われます。
あすかコンサルティング株式会社
【会計コンサルティング担当】津田 佳典
プロフィールはこちらをご覧くださいませ!