財務報告に係る内部統制の評価及び監査の基準等の改訂について

Ⅰ.はじめに 
　2023年４月７日に金融庁から【財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）】（以下、「意見書」とする。）が公表されている。なお、本稿における意見の部分については筆者の見解であり、法人の見解ではないことを申し添える。

Ⅱ．経緯 
　改訂の経緯について、意見書において下記の内容が記載されている。

（１）金融商品取引法により、上場会社を対象に財務報告に係る内部統制の経営者による評価と公認会計士等による監査（以下、「内部統制報告制度」とする。）が適用されて以来、15年余りが経過している。この内部統制報告制度は、財務報告の信頼性の向上に一定の効果があったと考えられるものの、一方で経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らかになる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示が無い事例が一定程度見受けられており、経営者が内部統制の評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の内部統制報告制度の実効性に関する懸念が指摘されている。

（２）国際的な内部統制の枠組みについて、平成25（2013）年５月、米国のCOSO（トレッドウェイ委員会支援組織委員会）の内部統制の基本的枠組みに関する報告書（以下、「COSO報告書」という。）が平成25（2013）年5月に改訂されており、具体的には、内部統制の目的の一つである「財務報告」の「報告」（非財務報告と内部報告を含む。）への拡張、不正に関するリスクへの対応の強調、内部統制とガバナンスや全組織的なリスク管理との関連性の明確化等を行っているものの、我が国での内部統制報告制度ではこれらの点に関する改訂が行われていない。

Ⅲ．改訂の内容 
　意見書では下記の３点から改訂点を記載している。
（１）    内部統制の基本的枠組み
（２）    財務報告に係る内部統制の評価及び報告
（３）    財務報告に係る内部統制の監査
　そのうち、今回は（１）と（２）の点について記載していく。

（１）内部統制の基本的枠組みに関する改訂点
① 報告の信頼性
　内部統制の目的の一つである「財務報告の信頼性」を「報告の信頼性」とすることとしている。報告の信頼性は、組織内及び組織の外部への報告（非財務情報を含む。）の信頼性を確保することをいうと定義するとともに、「報告の信頼性」には「財務報告の信頼性」が含まれ、金融商品取引法上の内部統制報告制度は、あくまで「財務報告の信頼性」の確保が目的であることを強調したと記載されている。
　内部統制の定義は、従来、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の順守並びに資産の保全の４つの目的が達成されているとの合理的な保証を得るためのプロセスとされていたが、そのうちの「財務報告の信頼性」について、報告の信頼性に変更されたものである。金融商品取引法の内部統制報告制度は依然として財務報告の信頼性の確保を目的としていることから、重要な影響は無いようにも思えるが、内部統制としての定義の変更である以上、一定の対応が求められる可能性はあるものと考えられる。

② 内部統制の基本的要素
　「リスクの評価と対応」において、リスクを評価するに際し不正に関するリスクについて考慮することの重要性や考慮すべき事項を明示していると記載されている。
　特に不正に関するリスクについては財務報告に係る内部統制の評価及び監査に関する実施基準（以下、「実施基準」とする。）の【２．内部統制の基本的要素】の【（２）リスクの評価と対応】において次のように記載されている。
　「リスクの評価の対象となるリスクには、不正に関するリスクも含まれる。不正に関するリスクの検討においては、様々な不正及び違法行為の結果、発生し得る不適切な報告、資産の流用及び汚職について検討が必要である。不正に関するリスクの評価においては、不正に関する動機とプレッシャー、機会、姿勢と正当化について考慮することが重要である。」
　不正については、既存の実施基準における全社的な内部統制の42の評価項目の中のうち、「経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか」という評価項目に対し、必要な統制を整備・運用を行っている実務が多いものと考えられる。
　当該改正において全社統制の評価項目の例の変更はないものの、現状記載されている統制の内容よりも具体的な対応・記載を求められる可能性はあるものと考えられる。

③ 経営者による内部統制の無効化
　内部統制を無視又は無効ならしめる行為に対する、組織内の全社的又は業務プロセスにおける適切な内部統制の例を示した。また、当該行為が経営者以外の業務プロセスの責任者によってなされる可能性もあることを示した、と記載された。
　上記の改正から経営者以外の業務プロセスの責任者によって無効化がなされる可能性もあることを示していることから、業務プロセスの責任者に対する無効化への対応に関する統制を整備する等の対応が求められる可能性はあるものと考えられる。

④ 内部統制に関係を有する者の役割と責任
　監査役等については、内部監査人や監査人等との連携、能動的な情報入手の重要性等を記載した。また、内部監査人については、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすること、取締役会及び監査役等への報告経路も確保すること等の重要性を記載している。
　改正後の実施基準の【４．内部統制に関係を有する者の役割と責任】に、監査役等と内部監査人について次の通りに追加での記載がなされている。
・監査役等
　監査役等は、会計監査を含む、業務監査を行う。監査役等は、内部統制の整備又は運用に関して、経営者が不当な目的のために内部統制を無視又は無効ならしめる場合があることに留意する必要がある。監査役等は、その役割・責務を実効的に果たすために、内部監査人や監査人等と連携し、能動的に情報を入手することが重要である。
・内部監査人
　内部監査人は、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすることが求められる。さらに、内部監査の有効性を高めるため、経営者は内部監査人から適時かつ適切に報告を受けることができる体制を確保することが重要である。同時に、内部監査人は、取締役会及び監査役等への報告経路を確保するとともに、必要に応じて、取締役会及び監査役等から指示を受けることが適切である。
　監査役等については、基本的に従前から求められている内容から変更はないものと考えられる。内部監査人については「熟達した専門的能力と専門職としての正当な注意をもって職責を全うすることが求められる。」とあり、必要に応じて内部監査人の経験年数や専門的能力を身に付けるための対応の整備・運用等を行うことが求められる可能性が考えられる。
　
⑤ 内部統制とガバナンス及び全組織的なリスク管理
　内部統制とガバナンス及び全組織的なリスク管理は一体的に整備及び運用されることの重要性を明らかにし、これらの体制整備の考え方として３線モデル等を例示したと記載している。
　３線モデルは改正後の実施基準【５．内部統制とガバナンス及び全組織的なリスク管理】において第１線を業務部門内での日常的モニタリングを通じたリスク管理、第２線をリスク管理部門などによる部門横断的なリスク管理、そして第３線を内部監査部門による独立的評価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会又は監査役等による監督・監視と適切に連携させることが重要であると記載されている。

（２）財務報告に係る内部統制の評価及び報告からの改訂点
　① 経営者による内部統制の評価範囲の決定
　経営者が内部統制の評価範囲を決定するにあたって、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを改めて強調するため、評価範囲の検討における留意点を明確化した。具体的には、評価対象とする重要な事業拠点や業務プロセスを選定する指標について、例示されている「売上高等のおおむね３分の２」や「売上、売掛金及び棚卸資産の３勘定」を機械的に適用すべきでないことを記載している。
　改正後の実施基準の【Ⅱ財務報告に係る内部統制の評価及び報告】の【２．財務報告に係る内部統制の評価とその範囲】における【（２）評価の範囲の決定】の注１において「事業拠点を選定する際には、財務報告に対する金額的及び質的影響並びにその発生可能性を考慮する。事業拠点を選定する指標として、基本的には売上高が用いられるが、企業の置かれた環境や事業の特性によって、総資産、税引前利益等の異なる指標や追加的な指標を用いることがある。銀行等の場合には、経常収益という指標を用いることが考えられる。この場合、本社を含む各事業拠点におけるこれらの指標の金額の高い拠点から合算していき、連結ベースの一定の割合に達している事業拠点を評価の対象とすることが考えられる。」と記載されている。
　また、注２においては「一定割合をどう考えるかについては、企業により事業又は業務の特性等がことなることから、一律に示すことは困難であると考えられる。全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合（おおむね３分の２程度）とする考え方や、総資産、税引前利益等の一定割合とする考え方もある。全社的な内部統制のうち、良好でない項目がある場合には、それに関連する事業拠点を評価範囲に含める必要がある。また、これに以下で記述する重要性の大きい個別の業務プロセスの評価対象への追加を適切に行うことが考えられる。」と記載されている。
　さらに、【②評価対象とする業務プロセスの識別】においては、「選定した重要な事業拠点（持分法適用となる関連会社を除く。）における、企業の事業目的に関わる勘定科目に至る業務プロセスは、財務報告に及ぼす影響を勘案し、原則として、全て評価の対象とする。」とされており、注１において「企業の事業目的に関わる勘定科目については、財務報告に対する金額的及び質的影響並びにその発生可能性を考慮し、例えば、一般的な事業会社の場合、原則として、売上、売掛金及び棚卸資産の３勘定が考えられる。これはあくまで例示であり、個別の業種、企業の置かれた環境や事業の特性等に応じて適切に判断される必要がある。」と記載されている。
　実務では重要な事業拠点を売上高の３分の２の指標を用いて事業拠点を選定している場合が多いものと考えられ、重要な勘定科目については売上、売掛金、棚卸資産は基本的に選定を行い、それ以外については個別に重要性（例えば、金額的に重要と判断したものや見積り科目等）を判断して選定を行っている場合が多いと考えられる。
　改正後においては機械的に適用すべきではないとされていることから、例えば事業拠点の選定においては既存のまま売上高を採用するにしても、少なくとも売上高を採用した理由の記載を行うことが求められる可能性はある。場合によっては売上高が適さず、他の指標を新たに用いて選定する必要性が出てくる。重要な勘定科目についても売上、売掛金、棚卸資産のみ選定する場合には他の科目について金額的又は質的に重要でないとする理由の記載を行う等の対応が必要になる可能性は考えられる。
　選定された事業拠点及びそれ以外の事業拠点について個別に追加すべき重要な業務プロセスの識別も改正後は重要である。その考え方の例が【②評価対象とする業務プロセスの識別】のロに記載されているが、その中のリスクの大きい取引を行っている事業又は業務に係る業務プロセスには「例えば、財務報告の重要な事項の虚偽記載に結びつきやすい事業上のリスクを有する事業又は業務（例えば金融取引やデリバティブ取引を行っている事業又は業務や価格変動の激しい棚卸資産を抱えている事業又は業務など）や複雑な会計処理が必要な取引を行っている事業又は業務、複雑又は不安定な権限や職責及び指揮・命令の系統（例えば、海外に所在する事業拠点、企業結合直後の事業拠点、中核的事業でない事業を手掛ける独立性の高い事業拠点又は業務を行っている場合には、当該事業又は業務に係る業務プロセスは、追加的に評価対象に含めることを検討する。）」と記載が改訂されており、リスク内容の例示を増やしていることからも特に検討が重要となることが考えられる。金額的に重要でないとした場合でも例えば、実質権限が1人に集中しているような業務プロセスについてはリスクが高いため、個別に追加すべき業務プロセスに該当するものと考えられる。
　
② ITを利用した内部統制の評価
　ITを利用した内部統制の評価について留意すべき事項を記載した。この評価に関して、一定の頻度で実施することについては、経営者は、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議して行うべきであり、特定の年数を機械的に適用すべきものではないことを明確化したと記載されている。
　実施基準の【３．財務報告に係る内部統制の評価の方法】の【（３）業務プロセスに係る内部統制の評価】における【⑤ITを利用した内部統制の評価】において「ITの統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。なお、ITに係る全般統制は、業務処理統制が有効に機能する環境を確保するものであるが、ITに係る全般統制が有効に機能していると評価されたとしても、それだけでITに係る業務処理統制も有効に機能しているという結論に至らない点について留意することが必要である。」と記載されている。既存の実施基準においてもIT全般統制とIT業務処理統制の両方を評価する必要はあるものの、ITに係る全般統制が有効に機能していると評価されたとしても、それだけでITに係る業務処理統制も有効に機能しているという結論に至らない点について留意することが必要である旨は記載されていなかった。今回の改訂においてその明記がなされていることから、今一度IT全般統制の評価のみとなっていないか確認を行う必要はあるものと考えられる。例えば、システム間の連携によって自動仕訳が作成される場合があるが、システムの権限確認やパスワード管理といった全般統制の確認以外に実際に連携した際に正しい仕訳が作成されることの確認を行う等の対応も必要になると考えられる。
　また、いわゆるローテーション制度と言われるものについて一律に年数を定めることは適切ではなく、前年度の運用状況の評価結果を継続して利用するためには毎年見直しを行い、ローテーション制度を適用することの妥当性を文書化することが望ましいと考えられる。

③ 財務報告に係る内部統制の報告
　内部統制報告書において、記載すべき事項を明示した。経営者による内部統制の評価の範囲について、重要な事業拠点の選定において利用した指標とその一定割合等の決定の判断事由等について記載することが適切であるとした。また、前年度に開示すべき重要な不備を報告した場合における当該開示すべき重要な不備に対する是正状況を付記事項に記載すべき項目として追加したと記載している。
　【財務報告に係る内部統制の評価及び監査の基準】の【４．財務報告に係る内部統制の報告】のうち【（４）評価の範囲、評価時点及び評価手続】において、財務報告に係る内部統制の評価の範囲（範囲の決定方法及び根拠を含む）の記載を内部統制報告書に記載するが、その際に以下の事項について、決定の判断事由も含めて記載することが適切であるとされている。
　イ．重要な事業拠点の選定において利用した指標とその一定割合
　ロ．評価対象とする業務プロセスの識別において企業の事業目的に大きく関わるものとして選定した勘定科目
　ハ．個別に評価対象に追加した事業拠点及び業務プロセス
　  
　内部統制報告書において上記の内容を記載することとなるため、より決定過程の文書化が重要であることが見て取れる。
　また、前年度に開示すべき重要な不備を報告した場合は対応する是正状況を記載する必要性があるため、対応策の構築を早期に進める必要性が出てくる。

Ⅳ．終わりに 
　今般の改正は令和６（2024）年４月１日以後開始する事業年度における財務報告に係る内部統制の評価及び監査から適用開始となる。検討の結果、特に影響が無いと考えている場合でも、その検討過程、検討結果を文書化していくことも重要であるため、早期の準備が必要と考えられる。