2008年に内部統制報告制度が開始して15年が経過しました。内部統制報告制度は、財務報告の信頼性の向上に一定の成果があった一方で、評価範囲外の拠点やプロセスで開示すべき重要な不備が発見される事例が散見されてきました。今回の改訂は、2023年4月7日に企業会計審議会から公表された「財務報告に係る内部統制の評価および監査の基準並びに財務報告に係る内部統制の評価および監査に関する実施基準の改訂について(意見書)」を受けて、2024年4月以降の事業年度から適用されます。内部統制報告制度の実効性に対する懸念や国際的な内部統制の枠組みの改訂に対応することが主な目的です。
今回の記事では、内部統制実施基準改訂の概要から、改訂による影響と対策、対応時の留意点について解説します。
目次
内部統制実施基準改訂の概要
COSOフレームワークの改訂を基に、内部統制の基本的枠組みや内部統制評価および報告書の記載等に関する改訂が行われました。内部統制の基本的枠組みと内部統制評価および報告書の記載は内部統制の構築に与える影響が大きいと考えられます。この目次では、内部統制の基本的枠組みと内部統制評価、報告書の記載を中心に、改訂の大枠を説明していきます。
(1)内部統制の基本的枠組み
①COSOフレームワークの改訂を踏まえ、内部統制の目的が「財務報告の信頼性」から「報告の信頼性」に変更されました。
②内部統制やコーポレートガバナンスを一体とした全社的なリスク管理の重要性が追記されました。その一例として、3つのラインモデルが示されました。
③リスクには、不正リスクも含まれると明記されました。不正リスクを評価・検討する必要があります。
(2)財務報告に係る内部統制の評価および報告書の記載
①評価範囲の決定において、リスクを考慮することが強調されました。その一例として、長期間評価対象外だった拠点や不備発生状況、質的重要性等を考慮することが示されました。
②ITの開発・運用において、外部委託するケースが多く見られ、外部委託に係る統制の重要性が増しています。また、サイバーリスクの高まりを考慮して、セキュリティ体制を確保することが重要であると追記されました。IT業務処理統制のローテーション評価についても言及されています。
③内部統制報告書の記載について、評価範囲の選定根拠や前年度に発生した開示すべき重要な不備の是正状況を記載することが示されました。
この中でも、評価範囲の決定、IT統制、内部統制監査報告書の記載については影響が大きいと考えられます。この後の目次では、影響が大きいと予想される評価範囲の決定、IT統制、内部統制報告書の記載について解説していきます。
内部統制実施基準改訂の影響と対策①~評価範囲~
評価範囲を決定するにあたり、「売上高の概ね3分の2」や「売上・売掛金・棚卸資産の3勘定」が機械的に適用されるケースが多く存在していました。今回の改訂では、質的重要性の考慮やリスク・アプローチに基づく重要拠点の識別等、評価範囲を決定するにあたっての留意点が明確化されました。この目次では、評価範囲決定における注意点を説明していきます。
(1)評価範囲検討に関する監査法人との協議
評価の計画段階、状況の変化等に応じて監査法人と適時適切に協議を行うことが明記されました。特に、状況の変化等あった場合はより密な協議が必要になります。
(2)質的重要性の高い拠点
金額的重要性のみに基づいて重要な事業拠点が決定されるケースが散見されていました。質的重要性の高い拠点の例示として、「海外拠点」「企業結合直後の拠点」「中核的事業でなく独立性の高い拠点」が挙げられています。
(3)重要な事業拠点の選定における量的重要性
「売上高の概ね3分の2」や「売上・売掛金・棚卸資産の3勘定」という指標が使用されてきましたが、自社の業種・業態等を踏まえ、評価範囲の選定基準を見直す必要があります。
(4)評価外のプロセスから発見された重要な不備の取り扱い
評価対象外の事業拠点や業務プロセスで開示すべき重要な不備が識別された場合、その事業拠点や業務プロセスは、少なくとも当該会計期間は評価範囲に含めるべきと示されました。
(5)長期間評価対象外だったプロセスの取り扱い
長期間評価範囲外だった事業拠点や業務プロセスについても、評価範囲に含めることを考慮しなければならないとされました。
(6)質的重要性の高い業務プロセス(リスク)の例示
質的重要性の高い業務プロセスの例示が挙げられており、そういった事象の有無を確認する必要があります。質的重要性の高い業務プロセスとしては、「規制環境や経営環境の変化による競争力の変化」「新規雇用者」「情報システムの重要な変更」「事業の大幅で急速な拡大」 「生産プロセスおよび情報システムへの新技術の導入」「新たなビジネスモデルや新規事業の採用または新製品の販売開始」 「リストラクチャリング」「海外事業の拡大または買収」「新しい会計基準の適用や会計基準の改訂」が挙げられています。
この結果、企業によっては、評価範囲が広がる可能性があります。評価範囲が広がった場合、新たな内部統制の構築や準備等、工数が増大します。早めにリスク評価を行い、評価範囲選定基準を見直し、検討する必要があります。
内部統制実施基準改訂の影響と対策②~IT統制~
IT統制に関する改訂としては、外部委託契約やモニタリング等、外部委託に係る統制の重要性、サイバーリスクの高まりを考慮したセキュリティ体制確保の重要性が追記されました。また、ローテーション評価についても言及されています。この目次では、IT統制における留意点を説明していきます。
(1)IT全社統制
監査法人から、サイバーリスクの対策状況に関する質問やヒアリングが行われ、追加のセキュリティ対策を求められる可能性があります。サイバーリスクの高まりを考慮して、セキュリティ体制を確保すること、クラウド等の特権管理、ネットワークアクセスの管理状況を確認する必要があります。
(2)IT全般統制
SOCレポート等を取得し、外部委託の範囲を確認します。その結果、外部委託先に関する評価手続が増える可能性があります。選定プロセス・契約範囲・モニタリング等の評価が漏れなく行われているか、確認し、評価範囲の増大に備える必要があります。
(3)IT業務処理統制
IT業務処理統制の評価項目について、機械的にローテーション評価を適用すべきではないと示されました。この結果、前年度評価結果に依拠できず、評価作業の負荷が増える可能性があります。IT業務処理統制に係るリスクを早めに評価し、評価項目の選定を行います。ローテーション評価の適用については、監査法人と協議する必要があります。早めにリスク評価を行い、評価範囲選定基準を見直し、検討する必要があります。
外部ベンダーに委託していることを理由に、評価対象外にしている場合、評価範囲が広がる可能性があります。評価範囲が広がる可能性を考慮してスケジュールを見直し、早めにリスク評価を行い、評価範囲選定基準を見直し、検討する必要があります。
内部統制実施基準改訂の影響と対策③~内部統制報告書の記載~
内部統制報告書に記載するべきことが明確化されました。評価範囲の決定方法と根拠、前年度に発生した開示すべき重要な不備の是正状況を記載することが求められるようになりました。この目次では、内部統制報告書の記載事項について説明していきます。
(1)重要な事業拠点を決定するときに利用した指標とその一定割合
重要な事業拠点をきめるにあたって、リスクを考慮したうえで、どのような指標を使って対象拠点を決定したのか、記載することが示されました。記載例としては、売上高の○%、総資産の✕%になります。
(2)重要な事業拠点で、評価対象の業務プロセスに決定した勘定科目
評価対象のプロセスを決めるにあたって、リスクを考慮したうえで、なぜその勘定科目を評価対象に決めたのか、その記載が求められています。
(3)評価対象に個別に追加した事業拠点および業務プロセス
個別に追加した事業拠点や業務プロセスにどのようなリスクが潜んでいるのか、リスクの抽出に何の指標を使用したか、記載する必要があります。記載例としては、○○支店の貸倒引当金という形で記載します。
(4)前年度に開示すべき重要な不備を報告した場合、内部統制報告書の付記事項に、期限、改善策等、具体的な是正状況を記載することが求められるようになりました。記載例としては、年度初めに新たな手順書を作成し、業務手順の浸透を図っている等です。
従来、評価範囲決定方法の記載は必ずしも求められていませんでしたが、今回の改訂では、評価範囲の決定方法と根拠の記載が求められています。評価範囲決定の根拠資料を基に、選定根拠を文書化する必要があります。
内部統制実施基準改訂対応における留意点
ここまで、内部統制実施基準改訂による影響と対策を説明してきました。この目次では、内部統制実施基準改訂に対応するために必要な実務上の留意点、内部統制を構築するための留意点を説明していきます。
(1)評価範囲の検証と内部統制の構築
改訂内容を踏まえ、評価範囲の検証を行います。評価範囲の追加がある可能性を考慮して、早めにリスク評価に着手し、内部統制の構築を行います。海外拠点・事業結合の拠点・独立事業を展開している拠点は、評価範囲に加わる可能性があります。内部統制の構築には一定の期間を要するため、早めに評価範囲の追加があるかを確認し、構築を進める必要があります。
(2)工数の増加を見据えた効率化(コントロールや評価項目の削減等)の推進
評価範囲・評価手続の増加を見据え、コントロールや評価項目の統廃合等、評価の効率化を進める必要があります。評価範囲の拡大、不正リスク・ITへの対応といった評価手続の追加により、工数が増加する可能性があります。工数を軽減するため、キーコントロールの統合や削減等、評価の効率化を検討べきです。
(3)セキュリティおよび不正への対策
セキュリティや不正リスクは、J-SOXに限った話ではありません。全社的に検討するべきリスクです。システムセキュリティにおいては、委託先の管理やセキュリティ対策を把握し、強化を検討する必要があります。不正対策においては、不正を未然に防ぐための仕組みの整備(ダブルチェックによる内部牽制等)と運用体制の確立が求められています。
自社を取り巻くビジネス環境や想定されるリスクを考慮しながら、評価範囲や統制状況を見直し、内部統制の構築を行う必要があります。内部統制の構築は全社的な課題であり、関係部門とも連携して取り組む必要があります。
まとめ
今回の改訂では、リスクを考慮して内部統制を構築しなければならないと示されました。内部統制の構築は、全社的に取り組まなければ問題で、構築には一定の期間がかかります。各担当部門は、自部門の業務のリスクを洗い出し、コントロールを設定しなければなりません。内部監査部門は、独立した立場からリスクを評価し、評価範囲や重要な拠点、評価対象プロセスを決定しなければなりません。
■内部統制実施基準改訂の概要
・内部統制の基本的枠組みや内部統制評価および報告書の記載等に関する改訂が行われた。
・評価範囲の決定、IT統制、内部統制監査報告書の記載に関する影響が大きい。
■内部統制実施基準改訂の影響と対策①~評価範囲~
・評価範囲が増えた場合、新たな内部統制の構築や準備が必要になる。
・早めにリスク評価を行い、評価範囲選定基準を見直す。
■内部統制実施基準改訂の影響と対策②~IT統制~
・外部委託に係る統制について、評価範囲が広がる可能性がある。
・スケジュールを見直し、早めにリスク評価を行い、評価範囲選定基準を検討する。
■内部統制実施基準改訂の影響と対策③~内部統制報告書の記載~
・評価範囲決定の根拠資料を記載する。
・根拠資料を基に選定根拠を記載する。
■内部統制実施基準改訂対応における留意点
・リスクを考慮しながら、評価範囲や統制状況を見直す。
・関係部門とも連携して内部統制を構築する。