「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」が2023年4月7日に公表されました。
この記事では、内部統制基準および実施基準の改訂内容について簡単にまとめました。
※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」
※意見書=「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」
内部統制基準および実施基準の改訂の経緯
内部統制報告制度(J-SOX)が2008年4月1日以後開始する事業年度から適用されて15年が経過し、当制度は財務報告の信頼性の向上に一定の効果があったと考えられます。
内部統制基準および実施基準においては、2011年と2020年に改訂されましたが、2020年の改訂内容はわずかなものであったため、2011年の改訂から十数年間、大きく見直されずにきました。
しかし、以下のような状況を経て従来の基準に対して問題意識が持たれたことで、2022年10月より企業会計審議会の内部統制部会において、ついに改訂の議論が始まりました。
【従来の基準の主な課題】
- COSOフレームワークの2013年の改訂(全社的リスクマネジメント、不正リスク、3線モデル、リスク選好等)
- 経営者が評価範囲外とした領域での開示すべき重要な不備の発覚
- 内部統制報告書提出後に開示すべき重要な不備が発見され、訂正報告書が提出される事例の発生、および訂正理由の不十分な開示 等
そして前述のように改訂基準が2023年4月7日に公表され、2024年4月1日以後開始する事業年度から適用されることとなりました。
報告の信頼性
「Ⅰ.内部統制の基本的枠組み」では従来より、内部統制の目的として「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」の4項目が掲げられています。
そのうちの「財務報告の信頼性」において今回の改訂で「報告の信頼性」とされました。
これは、サステナビリティ等の非財務情報に係る開示や、COSOフレームワーク2013において同様の改訂がなされたことによるものと思われます。
また、改訂後の内部統制基準では、「報告の信頼性」について「組織内及び組織の外部への報告(非財務情報を含む。)の信頼性を確保すること」と定義しています。
なお、「Ⅰ.内部統制の基本的枠組み」では、金融商品取引法上の内部統制報告制度に限らず、全般的な内部統制の概念について示されています。
そのため、注記であらためて「報告の信頼性には、財務報告の信頼性が含まれる。財務報告の信頼性は、財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保することをいう。」とし、金融商品取引法上の内部統制報告制度への橋渡しがされています。
不正に関するリスク
内部統制の基本的要素のひとつである「リスクの評価と対応」について、不正に関するリスクもあわせて考慮する重要性が示されました。
リスク評価の際に「動機とプレッシャー」「機会」「姿勢と正当化」という不正のトライアングル(3つの要素が結び付いて不正行為につながる)についての検討が求められます。
ITにおける信頼性の確保
IT技術の進展や、業務へのITシステムの活用範囲の拡大により、内部統制においてもITシステムの重要性は日々増しています。
そのため、ITに関連する基準についても見直しが行われ、「Ⅰ.内部統制の基本的枠組み」においては、以下の改訂がありました。
※IT統制の評価に関する改訂については、後述の「評価範囲の決定」をご覧ください。
- 内部統制の基本的要素のひとつである「情報と伝達」において、「情報の信頼性を確保するためには、情報の処理プロセスにおいてシステムが有効に機能していることが求められる。」との記載を追加
- 同じく内部統制の基本的要素のひとつである「ITへの対応」において、ITの委託業務に係る統制や、クラウドやリモートアクセス等のサイバーリスクの高まりによる情報セキュリティの確保の重要性を強調
経営者による内部統制の無効化
経営者による内部統制の無視または無効化への以下のような対策の例示が追加されました。
- 適切な経営理念等に基づく社内の制度の設計・運用
- 適切な職務の分掌
- 組織全体を含めた経営者の内部統制の整備及び運用に対する取締役会による監督
- 監査役等による監査及び内部監査人による取締役会及び監査役等への直接的な報告に係る体制等の整備及び運用
また、経営者以外の業務責任者が内部統制を無効化する可能性についても言及されています。
さらに内部統制の基本的枠組みの「4.内部統制に関係を有する者の役割と責任」においても、取締役会や監査役等は、経営者が不当な目的のために内部統制を無効化する場合があることに留意するとともに、監査役等は内部監査人や監査人等と連携して能動的に情報入手する重要性が記載されています。
内部監査人の役割の重要性の高まり
内部監査の有効性を高めるため、従来より経営者は内部監査人から適時かつ適切に報告を受けることができる体制の確保が基準に掲げられていました。
改訂基準では、さらに内部監査人について以下の2点が求められています。
- 熟達した専門的能力と専門職としての正当な注意をもって職責を全うすること
- 取締役会及び監査役等への報告経路を確保するとともに、必要に応じて、取締役会及び監査役等から指示を受けること
「内部統制とガバナンス及び全組織的なリスク管理」の新設
改訂基準では、内部統制とガバナンス及び全組織的なリスク管理の一体的な整備及び運用の重要性が新たに示されました。
なお、COSOフレームワーク2013では、ガバナンスはERM(全社的リスクマネジメント)を含み、ERMは内部統制を含むという関係性が表されています。
また実施基準では、体制整備の考え方の例示として、リスク選好や3線モデルについて述べられています。
リスク選好:組織のビジネスモデルの個別性を踏まえた上で、事業計画達成のために進んで受け入れるリスクの種類と総量
3線モデル:
- 第1線:業務部門内での日常的モニタリングを通じたリスク管理
- 第2線:リスク管理部門などによる部門横断的なリスク管理
- 第3線:内部監査部門による独立的評価
評価範囲の決定
経営者が評価の範囲外とした領域(海外子会社等)で「開示すべき重要な不備」が発見された事例が多く見られたため、今回の改訂審議においても評価範囲の決定についての課題感が目立ちました。
そのため、評価範囲外とした領域に関する配慮として、以下のような記述が追加されています。
- 長期間にわたり評価範囲外としてきた特定の事業拠点や業務プロセスについても、評価範囲に含めることの必要性の有無を考慮
- 評価範囲外の事業拠点又は業務プロセスにおいて開示すべき重要な不備が識別された場合、当該事業拠点又は業務プロセスについて、少なくとも当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切
その他の評価範囲の検討について、以下に簡単にまとめました。
事業拠点の選定について
●従来の実施基準の本文では、業務プロセスに係る内部統制の評価における事業拠点の選定の指標について売上高等を例示していましたが、それが注記へ移行しました。
●業務プロセスに係る内部統制の評価における事業拠点の選定に際して、財務報告に対する金額的及び質的影響並びにその発生可能性を考慮する旨が明記されており、前述の売上高等を指標に用いる記述の注記移行とあわせて、指標を画一的に適用しないことを強調しています。
業務プロセスの識別について
●従来の実施基準の本文では、業務プロセスに係る内部統制の評価における業務プロセスの識別について、売上、売掛金及び棚卸資産の3勘定に係る業務プロセス、さらに棚卸資産に至る業務プロセス(販売プロセス、在庫管理プロセス、期末の棚卸プロセス、購入プロセス、原価計算プロセス等)を例示していましたが、それらが注記へ移行しました。
●個別に評価対象とする業務プロセスのうち、リスクが大きい取引を行っている事業又は業務に係る業務プロセスの例示として、「複雑又は不安定な権限や職責及び指揮・命令の系統(例えば、海外に所在する事業拠点、企業結合直後の事業拠点、中核的事業でない事業を手掛ける独立性の高い事業拠点)の下での事業又は業務」が追加され、ここでも評価範囲外とした領域における「開示すべき重要な不備」の過去の発覚事例への配慮がなされています。
●個別に評価対象とする業務プロセスを識別するにあたり、リスクが発生又は変化する可能性がある以下の事例が追加で記されてます。
- 規制環境や経営環境の変化による競争力の変化
- 新規雇用者
- 情報システムの重要な変更
- 事業の大幅で急速な拡大
- 生産プロセス及び情報システムへの新技術の導入
- 新たなビジネスモデルや新規事業の採用又は新製品の販売開始
- リストラクチャリング
- 海外事業の拡大又は買収
- 新しい会計基準の適用や会計基準の改訂
委託業務の評価範囲
委託業務の評価範囲について、情報システムの開発・運用・保守などITに関する業務を外部の専門会社に委託する場合が例示として追加されています。
ITを利用した内部統制の評価
ITを利用した内部統制の評価については、以下のように、まずIT全般統制の有効性から機械的に評価手続の簡素化を選択しないことが示されました。
- IT全般統制が有効であっても、IT業務処理統制も必ず有効であるとは限らないことに留意する
- IT全般統制の整備状況に重要な変更がないこと等により、IT全般統制の運用評価において前年度の評価結果を継続利用する場合でも、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議すべきである
また、ITに係る業務処理統制の評価については、以下の留意点が追加されました。
- 自動化されたIT業務処理統制は手作業によるIT業務処理統制より無効化が困難だが、それを過信せず、また、電子記録について変更の痕跡が残り難い場合は内部統制無効化の発見が遅れる可能性に留意する
- IT全般統制の有効性が評価されてから変更がないこと等により、IT業務処理統制の評価に前年度の評価結果を継続して利用する場合でも、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議すべきである
内部統制報告書の記載事項
内部統制報告書の記載事項のうちのひとつである「評価の範囲、評価時点及び評価手続」において、財務報告に係る内部統制の評価範囲の決定の判断方法等について、以下の事項を記載することが明確にされました。
- 重要な事業拠点の選定において利用した指標とその一定割合
- 評価対象とする業務プロセスの識別において企業の事業目的に大きく関わるものとして選定した勘定科目
- 個別に評価対象に追加した事業拠点及び業務プロセス
また、前年度に開示すべき重要な不備が報告された場合、付記事項としてその是正状況を記載することが求められるようになりました。
監査人との協議
従来の基準では、評価範囲決定後にその決定方法及び根拠等について必要に応じて監査人との協議を行うことが適切であるとされていましたが、改訂基準では、以下の時点での協議を求めています。
- 評価の計画段階における協議
- 状況の変化等があった場合の協議
また、「評価範囲の決定は経営者が行うものであり、当該協議は、あくまで監査人による指摘を含む指導的機能の一環であることに留意が必要である。」とされ、評価範囲の決定の最終的責任はあくまで経営者であることが明確にされています。
ただ、評価の計画段階等に限らず、必要があった際に経営者と協議することにつき、「Ⅲ.財務報告に係る内部統制の監査」においても、以下の見直しがありました。
- 財務諸表監査の過程で、経営者が評価範囲外とした領域から、内部統制の不備を識別することがあることに留意し、内部統制報告制度に及ぼす影響に考慮する
- 経営者が決定した評価範囲の妥当性を判断する際に、財務諸表監査の過程で入手した監査証拠も活用する
- 内部統制報告書の内部統制の評価結果において、内部統制が有効でない旨を記載している場合は、その旨を監査人の意見に含めて記載することが適切である
内部統制報告書の訂正時の対応
内部統制報告書提出後に開示すべき重要な不備が発見され、訂正報告書が提出された場合、従来の基準では訂正に至った詳しい経緯等についての記載が求められていません。
それでは開示情報としては不十分との意見もあり、意見書には、関係法令について所要の整備を行う必要性が記されました。
更なる検討が必要な中長期的課題
当該改訂に向けた内部統制部会の審議において、前回の基準改訂から十数年も見直しが行われず、なおかつ、今回の審議期間が短期間であったことにより、踏み込んだ見直しに着手できなかった旨の指摘がありました。
そのため、当審議で提起された以下の点について、中長期的な課題として検討の継続が必要であることが意見書で示されました。
- 非財務情報の内部統制報告制度における取扱についての国内外の議論を踏まえた検討
- ダイレクト・レポーティング(直接報告業務)の採用
- 内部統制に関する「監査上の主要な検討事項」の採用
- 訂正内部統制報告書における監査人の関与の在り方
- 経営者による内部統制無効化に対する課徴金や罰則規定の見直し
- 会社法と金融商品取引法の内部統制の統合
- 会社代表者の確認書における内部統制に関する記載の充実
- 臨時報告書における内部統制の認識