内部統制報告制度(J-SOX)が施行されてから15年が経過し、財務報告の信頼性の向上に一定程度の効果があったとされる一方、「評価範囲外で開示すべき重要な不備が識別される」「開示すべき重要な不備の理由や是正状況が内部統制報告書に記載されていない」等、内部統制報告制度の実効性に関する懸念が指摘されています。国際的な内部統制の枠組み(COSOフレームワーク)の改訂もあり、2024年4月以後の事業年度から内部統制実施基準の改訂が適用されます。
今回の記事では、影響が大きい「評価範囲」「不正リスク」「IT統制」といったポイントを中心に、内部統制実施基準改訂に向けた対策を解説します。
目次
内部統制実施基準改訂のポイント
まずは、今回の内部統制実施基準改訂の概要を見ていきます。内部統制報告制度に対する形骸化、財務報告の信頼性への影響が適切に考慮されていないといった懸念から、以下の点が改訂となります。
■内部統制の目的
サステナビリティ等の非財務情報に係る開示の進展やCOSOフレームワークの改定を踏まえ、内部統制の目的が「財務報告の信頼性」から「報告の信頼性」に変更されました。
■不正リスクへの対応
リスクに「不正リスク」が含まれることが明記されています。不正に関するリスクの重要性が説明されており、不正リスクの検討や評価といった事項を考慮すべきとされています。
■評価範囲の選定基準
財務報告に与える質的重要性を考慮することが強調されています。長期間にわたり、評価対象外であった拠点やプロセスや不備の発生状況等を検討することが挙げられています。
■IT統制の評価手続
システム管理を行う上で、外部委託に係る統制の重要性が増していること、サイバーリスクの高まりを踏まえ、セキュリティ確保に関する重要性が追記されています。また、ローテーション評価についても言及されています。
■内部統制報告書の記載
内部統制報告書の開示情報を充実させるため、評価範囲の選定根拠や前年度に発生した開示すべき重要な不備の是正状況を記載することになります。
不正リスクやサイバーリスク等、昨今発生している事象や環境変化に合わせ、内部統制実施基準の改訂が行われました。直近の対策としては、評価範囲増加の有無を検証するとともに、適用年度における評価に向けて、評価内容の見直しを進める必要があります。
実施基準改訂適用における直前対策~評価範囲の検証~
今回の内部統制実施基準改訂で影響が大きいと考えられる「評価範囲」について、見ていきます。評価対象外の拠点やプロセスから重要な不備が検出されており、業種・業態、不備の発生状況、環境変化の有無等、質的重要性を考慮するべきとされています。以下が改訂のポイントです。
■重要な事業拠点の選定における量的重要性
「売上高の概ね2/3」や「売上・売掛金・棚卸資産の3勘定」を機械的に捉えるのではなく、質的重要性を勘案することが示されています。自社の業種・業態等を踏まえ、評価範囲の選定基準を見直す必要があります。
■重要な事業拠点を選定する指標
「売上高」のみを選定指標とするケースが多いですが、総資産・経常利益・税引前利益といった選定指標も考慮すべきとされています。例えば、グループ全体の製品を生産する子会社がある場合、連結消去後の売上高で判断すると、この生産子会社の金額的重要性が見え難くなります。こういったケースの場合、「売上原価」も選定指標として分析することになります。
■質的重要性の高い拠点の例示
質的重要性が高い拠点の例示として、「海外拠点」「企業結合直後の拠点」「中核的事業でなく独立性の高い拠点」が挙げられています。特に、海外展開をしている企業は、評価範囲が増える可能性があります。
■質的重要性の高い業務プロセス(リスク)の例示
以下のような質的重要性の高い業務プロセスの例示が挙げられており、事象の有無を確認する必要があります。
「規制環境や経営環境の変化」「新規雇用者」「情報システムの重要な変更」「事業の急速な拡大」 「新技術の導入」「新たなビジネスモデルや新規事業・新製品の販売開始」 「リストラクチャリング」「海外事業の拡大または買収」「新しい会計基準の適用や会計基準の改訂」
上記の改訂ポイントを踏まえ、まずは、評価範囲のシミュレーションを行い、監査法人と協議を行うことが重要です。評価範囲が追加となる場合は、評価調書や3点セット等の文書作成を行う必要があり、期間・工数を要します。早めに評価範囲を見極め、評価範囲が追加となる場合は、リソースの確保も検討事項になります。
実施基準改訂適用における直前対策~不正リスクの対応~
次に、「不正リスクへの対応」について、解説します。企業において、不正・不祥事が多く発生していることを背景に、リスクの定義に不正リスクが含まれるということが明記されています。現行の内部統制評価でも、リスクの評価・対応といった要素はありますが、不正リスクの兆候・事例を把握し、対策を検討することが言及されています。対策としては、現行の評価手続に以下のような内容が含まれているかを確認し、不足していれば、評価手続の追加・見直しを行います。
■経営者の姿勢
・業績達成よりもコンプライアンス優先であることを明確にし、周知・徹底しているか
・経営者が直接担当し、他のモニタリングが行き届かない業務領域がないか
■リスク評価
・自社で過年度に発生した不正事例や同業他社における不正事例を把握しているか
・内部監査の指摘事項や識別した内部統制の不備を考慮しているか
■リスク対応
・不正リスクに対し、現状の内部統制が予防・発見できるように整備・運用されているか
・海外拠点を含め、内部通報制度の仕組みが整備・運用されているか
■情報と伝達
・不正リスクが識別された場合、関係する部署へ適時・適切に情報が伝達されているか
・執行部門が認識した不正の兆候について適切に取締役会や監査役に伝達されているか
■モニタリング
・内部監査の結果は、監査役等や取締役会に適時に報告されているか
・内部監査が不十分な場合に、監査役等や取締役会はこれを是正できているか
内部統制(J-SOX)の中でも、不正リスクの把握・評価・対策の検討を組み入れることになります。上記のポイントを踏まえながら、評価手続を見直し、統制が不足していれば、ルールの整備・運用を実施することが求められます。
実施基準改訂適用における直前対策~IT統制~
続いて「IT統制」について、解説します。システムの開発・保守・運用を外部ベンダーに委託することが主流となっており、委託先管理の重要性が高まっています。また、情報漏洩等、サイバーリスクが増加していることを踏まえ、情報セキュリティの確保が重要となっています。IT統制において、以下の観点から統制状況を確認し、必要に応じ、評価手続を見直し・更新といった対応が必要です。
■委託先管理
委託先の選定・契約・モニタリングの評価が漏れなく行われているかを確認します。特に、委託先の品質管理(特権IDの付与・課題事項の報告)は重要です。委託先からSOCレポート等、内部統制が構築・運用されていることを保証する報告書を取得し、報告書のどの部分が委託範囲に適用されるかを照合することも必要です。
■サイバーセキュリティ
J-SOXにおいて、詳細なセキュリティ監査までは行われませんが、クラウド等の特権管理、ネットワークアクセスの管理状況を確認するべきです。IT全般統制にて、物理的アクセスやネットワークの管理に関する評価が含まれているかを確認し、不足している場合は、評価手続を追加することになります。
■IT業務処理統制
一度確認すれば問題ないということではなく、毎年評価すべきとされています。これまで、ローテーションで評価をしている場合は監査法人と協議し、ローテーションを適用できない場合は、評価計画の見直し・評価工数の確保を検討することになります。
これまで、外部ベンダーに委託していることを理由に、外部委託先に関する評価を対象外にしている、ないし、簡素化している場合は、追加の評価が必要となる可能性があります。情報セキュリティに関する責任は、委託元である企業側にあります。委託先が適切に情報セキュリティの管理を行っているをモニタリングすることは、重要な要素となります。
実施基準改訂対策における留意点
最後に、内部統制実施基準改訂を目前に控え、直前対策として検討すべきことを以下に挙げていきます。
■評価範囲
評価範囲の検証を行い、評価範囲の追加がある場合は、早期に内部統制の構築を行う必要があります。特に、海外拠点・事業結合の拠点・独立事業を展開している拠点は、評価範囲に加わる可能性があります。仮に評価対象外とする場合は、量的重要性だけでなく、質的重要性を加味し、その理由を取りまとめ、監査法人と交渉し、合意を得る必要があります。
■評価効率化の検討
評価範囲や評価手続が増加することを見据え、コントロールや評価項目の統廃合等、評価の効率化を進めておくべきです。効率化の検討は、今からでも進めることができます。評価範囲が増え、工数が不足するという事態になる前に検討することをお勧めします。他のコントロールでもカバーできているといった部分を抽出して統廃合する等、評価ボリュームを下げていくべきです。
■情報セキュリティ・不正への対策
情報システム部門では、委託先の管理やセキュリティ対策の強化を求められ、経理部門では、財務諸表不正や資産の不正流用を防止するための体制が求められています。今後は情報セキュリティや不正への対策強化がより一層要求されることになります。J-SOXにおけるリスクとして、不正リスクも組み込み、不正の発見・評価・対策を行っていく必要があります。
内部統制実施基準の改訂は、今回で終わりではなく、今後も改訂される可能性があります。今回の改訂の中で、中長期的な課題と位置づけ、今後検討する事項も挙げられています。内部統制に関連する動向、環境の変化を加味しながら、企業の実態に即した内部統制の整備・運用していくことがポイントになります。
まとめ
■内部統制実施基準改訂のポイント
☑「内部統制の目的」「不正リスクへの対応」「評価範囲」「IT統制」「内部統制報告書の記載」という点で、内部統制実施基準の改訂がある
☑自社の実態に合わせ、評価範囲や評価手続を設定することが求められている
■実施基準改訂適用における直前対策~評価範囲の検証~
☑実施基準の改訂内容を踏まえ、まず評価範囲選定の検証を実施する
☑評価範囲が増えると、対応に期間・工数を要するため、早めに評価範囲の見極める
■実施基準改訂適用における直前対策~不正リスクの対応~
☑不正・不祥事が多く発生していることが背景に、リスクの定義に不正リスクが含まれていることが言及されている
☑現行の評価手続に、不正リスクの把握・評価・対策の検討が含まれているを確認する
■実施基準改訂適用における直前対策~IT統制~
☑システムの開発・保守・運用を外部ベンダーに委託することが主流となっており、委託先管理の重要性が高まっている
☑情報漏洩等、サイバーリスクが高まっていることを踏まえ、情報セキュリティの確保が重要である
■実施基準改訂対策における留意点
☑評価範囲から外す場合は、量的重要性だけでなく、質的重要性を加味しながら、監査法人と交渉し、合意を得ておく
☑評価範囲や評価手続が増加することを見据え、コントロールや評価項目の統廃合等、評価の効率化を進めておく
