はじめに
前論考「J-SOX基準等改訂ポイントの解説」では、改訂ポイントの内容について解説しましたが、本稿ではJ-SOX改訂への対応ポイントについて見ていきます。対応ポイントを大きく以下の4つに分類し、以降詳しく解説します。
- 不正リスクへの対応
- ITに関する対応
- 経営者による内部統制の無効化への対応
- 評価範囲の決定に関する対応
なお、文中の意見に係る記載は筆者の私見であり、PwCあらた有限責任監査法人および所属部門の正式見解ではないことをお断りします。
1 不正リスクへの対応
今回の改訂では、2013年のCOSO報告書の改訂内容の1つである「不正に関するリスクへの対応の強調」が反映されました。リスクの評価において、さまざまな不正および違法行為の結果発生し得る不適切な報告、資産の流用および汚職について検討が必要であるとされています。その際には、不正に関する「動機とプレッシャー」「機会」「姿勢と正当化」について考慮することが重要であり、また、リスクの変化に応じてリスクを再評価し、リスクへの対応を随時に見直すことが重要であるとされています。
この「動機とプレッシャー」「機会」「姿勢と正当化」の3つは不正のトライアングルを構成する要因であり、不正のトライアングルとは、3つの要因が揃ったときに不正が発生するという理論です(図表1)。
図表1:不正のトライアングル
| 要因 | 説明・例 |
| 動機とプレッシャー |
|
| 機会 |
|
| 姿勢と正当化 |
|
出典:ドナルド・クレッシーの「不正のトライアングル」理論をもとにPwC作成
また、日本公認会計士協会は2023年8月4日に「財務報告内部統制監査基準報告書第1号『財務報告に係る内部統制の監査』の改正」を公表しており、不正リスクに関する評価が適時的に見直され、全社的な内部統制や業務プロセス、決算・財務報告プロセスにおいて適切に考慮されているかについて、監査手続きにおいて留意するよう求めています※1。
上記を踏まえると、今回の改訂を機に、不正のトライアングルの観点から、自社の財務報告に係る不正リスクと関連する統制について再確認してみることが有用です。そのために、不正リスク要因や、それに基づく不正リスク/不正リスクへの対応の確認ポイントを関連する部門等に共有し、財務報告に係る不正に関するリスクや統制についてセルフチェックを行うといった対策が考えられます。その際の具体的な確認ポイントの例を図表2に示します。
また、不正のトライアングルの観点からの不正リスク要因について、日本公認会計士協会が例示している監査基準報告書240「財務諸表監査における不正」の付録1「不正リスク要因の例示」も参考になります。
図表2:不正リスクの考慮と対応に関する確認ポイントの例
| No | 不正リスク要因 | 確認項目 | 確認ポイント |
| ① | 姿勢と正当化 | 経営者メッセージ |
|
| ➁ | 姿勢と正当化 | 規程類の整備・運用状況 |
|
| ③ | 姿勢と正当化 | 内部通報制度 |
|
| ④ | 動機とプレッシャー | 人事評価制度 |
|
| ⑤ | 機会 姿勢と正当化 |
リスク管理部門やコンプライアンス部門の取り組み |
|
| ⑥ | 機会 | 流用が発生しやすい資産に対する統制 |
|
| ⑦ | 機会 | 売上計上プロセスにおける内部統制 |
|
| ⑧ | 機会 | 人事ローテーション |
|
出典: PwC作成
2 ITに関する対応
今回の改訂では、ITに関して「内部統制の基本的枠組み」および「財務報告に係る内部統制の評価及び報告」に記載がありました。その背景としては、ITが最も変化が激しく適宜かつ適切なリスク評価と対応が必要なためと考えられます。改訂の内容と対応ポイントの例を図表3に示します。
ITの委託業務に係る統制の重要性や情報システムに係るセキュリティの確保の重要性が改めて示されたため、IT部門と連携し、これらに対する自社の内部統制の状況を再確認することが有用です。
また、IT部門が新規で外部委託を検討する際には、受託会社の内部統制に係る保証報告書の有無等、委託先の統制状況等が確認できるかをあらかじめ検討するために、IT部門と事前に連携することも重要であると考えます。
ITに関しては今後も状況の変化が大きいと考えられることから、J-SOX実務担当者の立場からは、ITの導入状況や変化等を捉えて評価を随時アップデートしていくことが肝要です。
図表3:ITに関する対応における対応ポイントの例
| No | 改訂点 | 改訂の分類 | 改訂内容 | 対応ポイント | |
| 内部統制の基本的枠組み | 財務報告に係る内部統制の評価及び報告 | ||||
| ① | 内部統制の基本的要素「情報と伝達」 | 〇 | ー | 大量の情報を扱う状況等において、情報の信頼性の確保におけるシステムが有効に機能することの重要性を記載 |
|
| ➁ | 内部統制の基本的要素「ITへの対応」 | 〇 | ー | ITの委託業務に係る統制の重要性が増していること、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保が重要であることを記載 |
|
| ③ | ITを利用した内部統制の評価 | ー | 〇 | ITを利用した内部統制の評価について留意すべき事項を記載。この評価に関して、一定の頻度で実施することについては、経営者は、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議して行うべきであり、特定の年数を機械的に適用すべきものではないことを明確化 |
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
3 経営者による内部統制の無効化への対応
これまでの基準では、経営者による内部統制の無効化は「内部統制の限界」として言及があったものの、経営者による無効化に対する責任の所在の記載はなく、対策に関する記載も多くありませんでした。
今回の改訂では、取締役会や監査役等は、経営者が不当な目的のために内部統制を無視または無効ならしめる場合があることに留意する必要があると明記されています。
加えて、適切な経営理念等に基づく社内の制度の設計・運用、適切な職務の分掌、組織全体を含めた経営者の内部統制の整備および運用に対する取締役会による監督、監査役等による監査および内部監査人による取締役会および監査役等への直接的な報告に係る体制等の整備および運用も、経営者による内部統制の無視または無効化への対策となるという記載があります。
また、改正された財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」でも、不正リスク同様に経営者による内部統制の無効化のリスクについて、評価が適時的に見直され、全社的な内部統制や業務プロセス、決算・財務報告プロセスにおいて適切に考慮されているかどうか、監査手続きにおいて留意すべきと記載されています。
上記を踏まえると、今回の改訂において示された、経営者による内部統制の無視または無効化への対策等の観点から、自社における経営者による内部統制の無効化のリスクとそのリスクへの対応状況を再確認することが有用であると考えられます。確認ポイントの例を図表4に示します。
図表4:経営者による内部統制の無効化リスクへの対応に関する確認ポイントの例
| No | 確認項目 | 確認ポイント |
| ① | 適切な経営理念等に基づく社内の制度の設計・運用 |
|
| ➁ | 適切な職務の分掌 |
|
| ③ | 取締役会および監査役等の役割 |
|
| ④ | 内部監査人から取締役会、監査役等への報告経路 |
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
4 評価範囲の決定に関する対応
内部統制の評価範囲の決定に関する改訂の背景としては、経営者が評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の懸念が指摘されていた点が大きいと考えられます。改訂点については前論考の図表3、図表4を参照してください。
改訂のポイントを踏まえ、J-SOX実務担当者の立場での対応ポイントの例を図表5に示します。
図表5:評価範囲の決定に関する対応における対応ポイントの例
| No | プロセス | 対応ポイント |
| ① | 重要な事業拠点を選定する際の指標の決定 |
|
| ➁ | 重要な事業拠点の決定 |
|
| ③ | 「企業の事業目的に大きく係る勘定科目」の決定 |
|
| ④ | 評価対象とする業務プロセスの識別 |
|
| ⑤ | 評価対象外としてきた事業拠点/業務プロセスの検討 |
|
| ⑥ | 個別に評価対象に追加する業務プロセスの検討 |
|
| ⑦ | その他 |
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
※1 「財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の改正」(公開草案)のⅣ節「財務諸表監査と内部統制監査との関係」の「6. 内部統制監査における監査手続と財務諸表監査における内部統制に対する監査手続の関係」を参照。
執筆者
PwCあらた有限責任監査法人
シニアマネージャー
白髭 英一
PwCあらた有限責任監査法人
シニアアソシエイト
平井 雄二
