はじめに
日本に内部統制報告制度(以下、J-SOX※1)が2008年4月1日に導入されてから、15年余りが経過しました。その間に米国トレッドウェイ委員会支援組織委員会(以下、COSO※2)の内部統制の基本的枠組みに関する報告書(以下、COSO報告書)改訂※3やコーポレートガバナンス・コードの導入等、さまざまな環境の変化があったものの、それらに伴う財務報告に係る内部統制の評価及び監査の基準(以下、基準)と、財務報告に係る内部統制の評価及び監査に関する実施基準(以下、実施基準)の改訂は行われてきませんでした。
2023年4月7日に企業会計審議会より「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」が公表されました。本稿では、この改訂の経緯や意図について改めて整理し、企業のJ-SOX実務担当者の立場で具体的に何をすればよいかを考察していきます。なお、文中の意見に係る記載は筆者の私見であり、PwCあらた有限責任監査法人および所属部門の正式見解ではないことをお断りします。
1 改訂の背景
今回の改訂の背景は大きく2つあります。
1つ目が、COSO報告書の改訂やコーポレートガバナンス・コード導入等の国際的な内部統制の枠組みが変更されたものの、それに伴う基準・実施基準等の変更は行われていなかった点です。
2つ目が、経営者による内部統制の評価範囲外で開示すべき重要な不備が明らかになる事例や、内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が一定程度見受けられており、J-SOXの実効性に関する懸念が指摘されていた点です。
2 主な改訂点
主な改訂点を、「内部統制の基本的枠組み」と「財務報告に係る内部統制の評価及び報告」に分けて説明します。
まず、図表1に「内部統制の基本的枠組み」に関する主な改訂点を示します。
図表1:「内部統制の基本的枠組み」の主な改訂点
| No | 改訂点 | 内容 |
| ① | 報告の信頼性 |
|
| ➁ | 内部統制の基本的要素 |
|
| ③ | 経営者による内部統制の無効化 |
|
| ④ | 内部統制に関係を有する者の役割と責任 |
|
| ⑤ | 内部統制とガバナンス及び全組織的なリスク管理 |
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
①「報告の信頼性」について、J-SOXはあくまで「財務報告の信頼性」の確保が目的とあることから、直近での改訂への対応は不要と考えられます。しかし、改訂では非財務情報の開示に関するJ-SOXでの取り扱いは、中長期的な課題とされました。そのため、ESGやサステナビリティに関する開示の信頼性確保のための内部統制に関して、中長期的には検討を行う余地がある点について留意が必要です。
②「内部統制の基本的要素」については、「リスクの評価と対応」「情報と伝達」「ITへの対応」の3つに対して改訂されています。それぞれ「不正に関するリスクの考慮」「大量のデータを扱う状況でのシステムの有効性」「クラウドやリモートアクセスの技術の活用に伴うサイバーセキュリティへの対応」等に関する重要性が記載されました。
③「経営者による内部統制の無効化」については、経営者による内部統制の無効化への対応について記載されています。適切な経営理念の設計や、職務分掌、取締役会による監督、内部監査人による取締役会および監査役等への報告経路を設けること等、経営者による内部統制の無効化への対策が示されています。
④「内部統制に関係を有する者の役割と責任」については、経営者による内部統制の無効化を取締役会や監査役等の立場でも留意すること等が記載されました。
⑤「内部統制とガバナンス及び全組織的なリスク管理」における、ガバナンス、全組織的なリスク管理、内部統制の関係性を図表2に示します。図表2には、内部統制は全組織的なリスク管理(ERM)に不可欠な一部分であり、全組織的なリスク管理はガバナンスの一部分であるという関係性が示されています。
今回の改訂において、ガバナンスと全組織的なリスク管理、そして内部統制の関係性を改めて示すとともに、それらの体制整備の考え方として3線モデルが例示されました。3線モデルにおいては、第1線を業務部門内での日常的モニタリングを通じたリスク管理、第2線をリスク管理部門等による部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会または監査役等による監督・監視と適切に連携させることが重要であるとされています。
次に、「財務報告に係る内部統制の評価及び報告」に関する主な改訂点を図表3に示します。
図表3:「財務報告に係る内部統制の評価及び報告」の主な改訂点
| No | 改訂点 | 内容 |
| ① | 経営者による内部統制の評価範囲の決定 |
|
| ➁ | ITを利用した内部統制の評価 |
|
| ③ | 財務報告に係る内部統制の報告 |
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
①「経営者による内部統制の評価範囲の決定」について、評価範囲外の事業または業務プロセスにおいて開示すべき重要な不備が識別された場合には、当該事業拠点または業務プロセスについて、当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切であると記載されました。また、評価範囲の決定にあたり、例示されている「売上高等のおおむね3分の2」や「売上、売掛金及び棚卸資産の3勘定」を機械的に適用すべきでない旨が記載されました。加えて、評価範囲の決定前後で当該範囲を決定した方法およびその根拠について、必要に応じて、監査人との協議を行っておくことが適切と明示されました。
②「ITを利用した内部統制の評価」について、評価頻度に特定の年数を機械的に適用するのではなく、IT環境の変化を踏まえて評価するように明確化されました。
③「財務報告に係る内部統制の報告」について、内部統制報告書に記載されるべき事項が明示されました。追加して明示された事項を図表4にまとめます。最も重要なポイントは「評価の範囲、評価時点及び評価手続き」における、「決定の判断事由等」を記載することが適切であるとされたことです。現状、多くの企業では重要な事業拠点の選定において使用した指標とその一定割合や選定した勘定科目を内部統制報告書に記載している場合が多いと考えられますが、企業ごとの環境を加味した判断理由の記載まで行われていない場合もあるかと思われます。その場合は根拠の記載が求められる可能性があります。また、前年度に開示すべき重要な不備の報告をした場合は、その是正状況についても報告が求められます。
図表4:明示された内部統制報告書に記載されるべき事項
| No | 改訂点 | 内容 |
| ① | 評価の範囲、評価時点及び評価手続き | 以下の事項について、決定の判断事由を含めて記載することが適切である
|
| ➁ | 付記事項 | 前年度に開示すべき重要な不備を報告した場合、当該開示すべき重要な不備に対する是正状況 |
出所:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
3 適用時期
基準および実施基準は、2024年4月1日以後に開始する事業年度における財務報告に係る内部統制の評価および監査から適用されます(3月決算会社であれば2025年3月期、12月決算会社であれば2025年12月期)。
適用時期を考えると、改訂された「内部統制の基本的枠組み」「財務報告に係る内部統制の評価及び報告」に対して、どのように対応すべきか検討をする時期にあると思われます。次の論考「改訂J-SOXへの対応ポイントの解説」では各種テーマに対する対応のポイントについて解説します。
※1 金融商品取引法に基づく内部統制報告制度のことで、財務報告に係る内部統制を経営者自ら評価し、結果を開示することが求められる。米国のSOX法にちなんで日本版SOX(J-SOX)と呼ばれる。
※2 The Committee of Sponsoring Organizations of the Treadway Commission
※3 2013年5月、米国のCOSOの内部統制の基本的枠組みに関する報告書が、経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するために改訂された。
執筆者
PwCあらた有限責任監査法人
シニアマネージャー
白髭 英一
PwCあらた有限責任監査法人
シニアアソシエイト
平井 雄二
