2023年4月、企業会計審議会内部統制部会は「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」を公表しました。
1.改訂のポイント
既に、あすかブログでも公開草案の内容を取り上げさせて頂きましたが、そこから内容的に大きな変更はなかったようですので、そちらもご参照ください。
今回の改訂のポイントは、以下のように整理できるかと思います。
(1)内部統制の基本的な枠組みについて
<内部統制の目的>
内部統制の目的が非財務情報を含む組織内外への報告の信頼性の確保とされた一方で、現状の内部統制報告制度は、あくまで「財務報告の信頼性」の確保が目的であることが強調されています。
今後、非財務情報を含めた外部報告の信頼性確保という観点からの内部統制報告制度が改めて検討されるのではないかと考えられます。
<リスクの評価>
内部統制の構築にあたって、リスクの評価を行う際には、不正リスクも考慮する必要があること、また、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直す必要があることが示されています。
このように、いわゆるリスクアプローチの考え方に基づいて内部統制を構築すること、言い換えれば、重要なリスクに内部統制が対応できているかを十分に検討することが重要であると考えられます。
<ITに関する対応>
大量の情報を扱い、業務が高度に自動化されたシステムに依存されている状況では、その情報の信頼性が重要となり、情報の信頼性を確保するために情報システムが有効に機能していることが必要であることは言うまでもありません。
その観点からは、ITの委託業務に関する統制の重要性が高まっていることや、新しい技術の活用においてサイバーリスクの高まりを踏まえた情報システムに係るセキュリティの確保が重要であることが示されました。
(2)財務報告に係る内部統制の評価及び報告について
① 全般的事項
・内部統制の評価範囲の決定前後に、評価範囲を決定した方法や根拠等について、必要に応じて監査人と協議を行うことが適切である。
・長期間にわたり評価範囲外としてきた特定の事業拠点や業務プロセスについて評価範囲に含めることの必要性を考慮する。
・評価範囲外の事業拠点や業務プロセスから開示すべき重要な不備が識別された場合は、少なくとも重要な不備が識別された事業年度においては、これらの事業拠点や業務プロセスを評価範囲に含めることが適切である。
・委託業務の評価の範囲に、ITに関する業務を外部の専門会社に委託する場合が含まれる。
② 業務プロセスに関する内部統制の評価範囲の決定
<重要な事業拠点の選定>
原則として売上高の重要性により決定する。ただし、これまで多くの企業が採用してきたと考えられる「連結ベースの売上高の一定割合(概ね2/3)を重要な事業拠点とする手法」は1つの考え方(機械的に適用すべきものではないもの)として示されています。
<評価対象とする業務プロセスの識別>
企業の事業目的に大きく関わる勘定科目に至る業務プロセスのすべてを評価対象とするものの、一般的な事業会社の多くが採用してきたと考えられる「売上、売掛金及び棚卸資産の3勘定を評価対象とする手法」は1つの考え方(機械的に適用すべきものではないもの)として示されています。
<個別に評価対象を追加する場合>
また、個別に評価対象を追加する場合の考慮事項として、複雑または不安定な権限や職責及び指揮命令系統の下で事業や業務を行っている場合(例.海外の事業拠点、企業結合直後の事業拠点、いわゆるノンコア事業を営む独立性の高い事業拠点)が挙げられています。
さらに、リスクが発生したり変化する状況の例として、情報システムの重要な変更、事業の大幅で急速な拡大、リストラクチャリング、海外事業の拡大または買収等9つの項目が挙げられており、このような状況が存在する場合には評価対象の見直しの要否を適時に行うことが必要とされています。
③ 財務報告に係る内部統制の報告
また、以上の点を踏まえて、財務報告に係る内部統制の報告(内部統制報告書)では、財務報告に係る内部統制の評価の範囲について、より詳細な記述が求められています。
・重要な事業拠点の選定において利用した指標とその一定割合
・評価対象とする業務プロセスの識別において企業の事業目的に大きく関わるものとして選定した勘定科目
・個別に評価対象に追加した事業拠点及び業務プロセス
(3) 財務報告に係る内部統制の監査について
財務諸表監査において識別された内部統制の不備には、内部統制評価の範囲外のものが含まれる可能性があり、その場合に、監査人は内部統制報告制度における内部統制の評価範囲や評価に及ぼす影響を十分に考慮し、必要に応じて経営者と協議しなければならないこととされています。
※なお、日本公認会計士協会は、この改訂を踏まえて「財務報告に係る内部統制の監査」(財務報告内部統制監査基準報告書第1号)の改正案を公表しています。こちらの内容についても、また別の機会に触れさせて頂きたいと思います。
2.今回の改訂についてどのように捉えるべきか
これまでお話した改訂基準のポイントを読まれて、「結局、何が変わるの? 何も変わらないのでは?」と思われた方もいらっしゃるかもしれません。
今回の基準の改訂を取りまとめられた堀江正之先生が「週間経営財務」のインタビューに答えられていましたが、私の理解も交えると、以下のようなことが今後必要になるのではないかと感じました。
・内部統制報告制度の実効性に対する懸念が改訂の背景にあるが、それは、何のための内部統制かということが長い間に徐々に薄れてしまったことに起因している。内部統制は企業経営を巡るリスク対処の1つの手段であり、新たなリスクが生じたり、リスクが変化すれば、内部統制も見直される必要がある。
・よって、経営者による内部統制の評価や監査人による監査を、基準の文言に従った単なる「手続」として見ないことが重要であり、会社も監査人も、内部統制報告制度が何のために存在するかを再度確認する必要がある。
・以上のような点を踏まえて、改訂内部統制報告制度では、内部統制の評価範囲について、監査人との協議が求められている。内部統制の評価範囲に関する協議は、監査人による指摘を含む「指導的機能」の一環であることが明確にされているが、監査人は適切な内部統制の評価となるように毅然とした態度で臨むべきである。
・従前とは異なった位置付けながらも、経営者評価における数値基準が基準内に残された形となったが、本来、リスクアプローチを徹底することと数値基準によって範囲を決定することは矛盾する考え方であるとも言え、リスクアプローチとの関係で数値基準をどのように取り扱うかが重要である。
・内部統制報告書への内部統制の評価の範囲に関する記載の追加は、各社横並びの記載を求めているのではなく、全社的な内部統制の評価が見直され、リスク評価に基づく会社独自の判断が示されることに意義がある。
(参考文献)
<INTERVIEW>内部統制報告制度の見直しと真のねらい 企業会計審議会 内部統制部会長 堀江正之(週間経営財務 3603号)
あすかコンサルティング株式会社
【会計コンサルティング担当】津田 佳典
プロフィールはこちらをご覧くださいませ!