【中断】内部統制の仕組みと実務がわかる本(第2版)
第1版(青)の感想は↓
第2版の改訂ポイント
改訂とはいっても、法改正を伴わない、現行の基準/実施基準(「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」)の範囲内でのマイナーアップデートに過ぎない
・内部統制基準の改訂(2024年4月以降開始事業年度から適用)
・IT統制対応の変化
・サステナ情報開示の動向
はじめに
内部統制はブレーキであり、安心してアクセルを踏むためにも必要
しかし、
・形骸化した内部統制は事故防止に役立たない
・重厚な内部統制は機会損失を生む(内部統制地獄)
内部統制対応にかかるコスト:内部統制コントロールが1個増えると、以下の3種の工数が毎年かかるようになる
①現場で内部統制を導入運用するためのコスト(現場の管理工数)
②内部統制評価を行うためのコスト(内部統制チームの人件費)
③内部統制評価結果を監査してもらうためのコスト(監査報酬)
第0章:内部統制基準 改訂の概要
第1節:改訂の背景
・2008年4月:日本でも内部統制報告制度(J-SOX)が導入される
・2011年4月:1回目の大幅改訂
・2023年4月:2回目の大幅改訂
①実効性に対する懸念:「財務報告の信頼性」の向上に一定の効果しかなかった
・内部統制の経営者評価でスコープ外にした範囲から「開示すべき重要な不備」が明らかになる事例あり
・訂正報告書において評価結果変更の理由が十分に開示されてない
②国際的な開示要求やCOSOフレームワークへの適合
・「財務報告」だけでなく「報告(非財務情報を含む)」の信頼性に拡張
・不正リスク対応の重視
・ガバナンス>ERM>内部統制の関連性の明確化
第2節:主な改訂の概要
目的は「報告(非財務情報含む)の信頼性」に変わったものの、制度対応としての評価スコープは、依然として「財務報告の信頼性」に関する部分のまま
日本のIA基準の6基本的要素のうち、以下が強調された
①統制環境:なし
②リスクの評価と対応:不正リスク
③統制活動:なし
④情報と伝達:情報の信頼性確保には情報システム機能の有効性が必須
⑤モニタリング:なし
⑥ITへの対応:ITにかかる外部委託先管理、クラウドサービス利用に伴う情報の信頼性確保、サイバー攻撃に起因する開示遅延対策
監査役等の役割
・内部監査人や会計監査人などから、能動的に情報入手するべき
内部監査人の役割
・経営者だけではなく、取締役会と監査役等への報告経路を確保するべき
・監査法人からの依拠度合いを高めるために、専門能力を確保するべき
監査法人の役割
・指導的機能を発揮すべき(評価範囲などについてタイムリーに経営者と協議する、評価範囲の決定を行うのは飽くまでも経営者)
内部統制報告書に追加すべき事項
・評価範囲選定にかかる判断事由(使った指標や判断基準)
・「開示すべき重要な不備」の是正状況(前年度に「開示すべき重要な不備」を報告していた場合)
第3節:将来改訂される可能性のある論点
数値基準の撤廃(US-SOXと同様になる)
・評価範囲や実施頻度の決定における数値基準
・既に「機械的に適用すべきでない」という記載になっている
非財務情報開示にかかる内部統制報告制度
・財務諸表に対する「監査」のように、そもそも保証業務が必要なのは、独立第三者がチェックしないと、開示情報の虚偽表示リスクがあるため
・しかし現時点では、US-SOXですら、経営者評価も監査も要求されていない
・北米:SECによる気候関連情報開示規則案
・欧州:EFRAGによるESRS(欧州サステナ報告基準)、EUによるCSRD(企業サステナ報告指令)
・サステナ開示にかかるフレームワーク
・乱立して投資家も比較しにくい状況であり、統合が進められている
①GRI系:
・NGOセリーズが母体
・世界で最も普及しているが、「地球や社会のサステナビリティ」を志向している(ダブルマテリアリティ)ため、情報量過多で投資家のニーズとギャップがある
・2016年:GRIガイドラインをGRIスタンダードに改称
②IFRS(旧SASB)系
・米国国内向けであったSASBを国際標準化した
・投資判断に必要な情報のみに開示基準を限定する(シングルマテリアリティ)ことで、開示コストを抑制する意図あり
・2021年11月:IFRS財団がISSB(国際サステナビリティ基準審査会)を設立、CDSBとVRF(旧SASB&IIRC)が統合される
・2023年6月:IFRSサステナ開示基準(IFRS S1/S2)をリリース、TCFD提言がベースになっている
③欧州系
・ダブルマテリアリティ(GRIスタンダードよりも厳しい)
・EUのCSRD(指令)の下で開示を行うために準拠すべき基準
・2023年10月:EFRAGがESRS(欧州サステナ報告基準)をリリース
・サステナ開示にかかる第三者保証業務
・限定的保証から合理的保証に移行する予定
・国際監査保証基準審議会(IAASB)
・国際保証業務基準(ISAE)
・3000:監査またはレビュー以外の保証業務基準
・3410:温室効果ガス報告に対する保証業務基準
・国際サステナビリティ保証基準(ISSA)
・5000:サステナ保証業務に関する要求事項
・サステナ報告にかかる経営者評価
・非財務情報も財務情報と同様に、一定の基準に従って情報を収集し、前提を仮定し、複雑な計算により集計されるため、内部統制が必要
・2023年3月:COSO ICSRフレームワークをリリース、COSO IA 2013をベースにしたもの
ダイレクトレポーティングの採用
・企業の内部統制に対して、経営者が評価して内部統制報告書を作成するのは日米共通
・US-SOX(SOX法404条b):監査法人の意見表明の対象は、ICFR自体(連結財務諸表の作成プロセスを直接チェックする)
・J-SOX(金商法193条2-2):監査法人の意見表明の対象は、内部統制報告書(経営者による自己評価結果をチェックすることにより、間接的にICFRの有効性を判断するという発想)
会社法上の内部統制との制度統合
・会社法:範囲は広く、評価は不要
・金商法:範囲は狭く、評価は必要
第Ⅰ部:だから内部統制対応が行き詰まる
第1章:なぜ内部統制対応が行き詰まるのか
制度対応が失敗するパターン
・上場準備会社の場合、専門家(監査法人対応、評価実務、会計、ITシステムなど)をチームにアサインできず、制度対応プロジェクトが進まない
・監査法人の言いなりになってしまい、過剰な内部統制を構築したり、過剰な評価手続を定めてしまう(特に文書化しすぎ)
・システムを導入しても、自動統制(ITAC/ITGC)の有効性を評価できず、依然としてマニュアル統制の評価手続が必要になる
・関連部門との連携不足により、評価期間中に組織再編(M&A含む)やシステム更改などが発生し、評価のやり直しが必要になってしまう
・子会社や海外拠点との連携不足により、評価や不備改善が期限内に終わらない
制度対応を成功させるための要因
①専門性を有するメンバーのアサイン:最重要、コンサル活用もOK
②経営者と内部統制チームの定期的なコミュニケーション:二度手間を防ぐ
③会社側が主導する:監査法人の言いなりを防ぐため、監査法人と協議して納得してもらえるように知識をつける
④年間スケジュールで工数を考える:文書化プロセスよりも、毎期の評価↔︎不備改善プロセスの方が負荷が高い
第2章:効率的内部統制対応のススメ
コスパの悪い内部統制
・対応するリスクがないコントロール
・リスクに対して過剰なコントロール
・導入運用コストに対してリスク低減効果の低いコントロール
コントロール設計時の考え方
・最初に検討するべきは「予防的統制」
・リスク対応が不足している場合は、「発見的統制」を組み合わせて補完する(最低限の予防ができてない状態で発見できる状況を実現しても、対応が間に合わなくなる)
第3章:そもそも内部統制とは?
基準(「財務報告に係る内部統制の評価及び監査の基準」)における内部統制のフレームワーク:4目的×6基本的要素
A. 統制環境
①誠実性および倫理観:倫理規程の明確化と教育
②経営者の意向および姿勢:経営理念の明確化と教育
③経営方針および経営戦略:事業計画の策定と周知
④取締役会および監査役等の有する機能:内部監査人からの報告受領、経営者への意見陳述
※取締役会および監査役等は、経営者による不正を防止発見するための唯一の内部統制
⑤組織構造および慣行:内部通報制度などの運用
⑥権限および職責:実効性のある職務分離(レビューの形骸化などを防ぐ)
⑦人的資源に対する方針と管理:教育訓練制度などの運用
B. リスクの評価と対応
※内部統制報告制度が対象としているリスクとは、「財務情報の虚偽表示リスク」である
※2023年改訂で不正リスクの検討が要請されるようになった
①リスクの評価:識別→分類→分析→評価
②リスクへの対応:回避/移転/低減/受容
※通常、リスク顕在化時の被害が大きい場合、発生頻度が高いなら回避し(リスク源となるビジネスから撤退する)、発生頻度が低いなら移転する(損害保険に加入する)。被害が少ない場合、低減して(内部統制を導入する)受容する。
C. 統制活動
・職務分離による相互牽制
・承認プロセス
・属人性の低減
D. 情報と伝達
・報告経路
・データ連携フロー
E. モニタリング
①日常的モニタリング(オフサイトモニタリング):1線/2線/3線の各部門での自己点検・自己評価
②独立的評価(オンサイト検査):監査役等による取締役に対する評価、取締役会による経営者に対する評価、内部監査部門による業務部門に対する評価
F. ITへの対応
※2023年改訂では、SaaS普及に伴い、ITにかかる外部委託管理の重要性が強調された
①IT環境への対応:社内外のIT活用度の把握
②ITの利用および統制
・「統制環境」にかかるIT利用:ITリテラシーの強化
・「リスクの評価と対応」:リスク評価の自動化
・「統制活動」にかかるIT利用:内部統制の自動化(ITAC)
・「情報と伝達」にかかるIT利用:グループウェアの導入
・「モニタリング」にかかるIT利用:監視システムの導入
内部統制の限界
①不注意などに起因する誤謬や判断の誤り(特に非定型業務はミスしやすい)
②費用対効果による脆弱な内部統制(組織の目標達成を阻害するようなコントロールは導入できない)
③複数担当者の共謀による相互牽制の無効化
④経営者による無効化(取締役会および監査役等にしか止められない)
第Ⅱ部:内部統制評価と効率化の実務
第4章:計画フェイズ
第5章:文書化フェイズ
第6章:評価①
第7章:評価②
第8章:不備の改善・再評価
第9章:総合的評価・内部統制報告書の作成
巻末付録
COSO ICSRフレームワーク
略
内部統制対応の効率化チェックリスト
全般事項
①専門家の選任:内部統制チームに、会計/業務/ITに精通したメンバーを選任しているか
②主体性の確保:監査法人の言いなりになっていないか
③スケジューリング:プロジェクトのスケジュールは時間的な余裕があるか
④外部専門家の活用:外部専門家を活用して社内リソースの不足を補っているか
⑤監査報酬の削減:経営者評価の記録は、監査法人が利用できるレベルか
計画フェイズ
①事業拠点の識別:
②ELCの評価範囲:僅少範囲を特定し、評価範囲から除外できているか
③ELCの評価範囲:中央集権化・業務標準化により評価範囲を限定できているか
④
⑤
⑥
⑦
⑧
⑨
⑩監査法人との協議:評価範囲について計画フェイズで監査法人と共通認識を持てているか
文書化フェイズ
①リスク観点:財務報告リスクの観点から作成できているか
②作成順序:業務記述書&フローチャート→RCMの順番で作成しているか
③現場担当者によるレビュー:記載内容について現場担当者と認識齟齬がないか
④エビデンスの特定:文書化時に適切なエビデンスを特定できているか
⑤共通業務の特定:共通業務を重複して文書化していないか
⑥
⑦
⑧
⑨
⑩
⑪
⑫
⑬
評価フェイズ
①
②
③
④
⑤
⑥
⑦
⑧
⑨
⑩
⑪
不備改善フェイズ
①
②
③
④
⑤
⑥
再評価フェイズ
①
②
③
④
⑤