はじめに
前論考「改訂J-SOXへの対応ポイントの解説」では、対応ポイントを中心に説明しましたが、ここからは「不正リスクへの対応」と「評価範囲の決定に関する対応」について、評価手続の実施時や評価範囲の決定時のより具体的な観点について解説します。なお、文中の意見に係る記載は筆者の私見であり、PwCあらた有限責任監査法人および所属部門の正式見解ではないことをお断りします。
1 不正リスクへの対応の観点
「不正リスクへの対応」について評価手続きの実施時におけるより具体的な観点を解説しますが、前論考で述べた確認ポイントと重なる部分もあります。「不正リスクの考慮と対応に関する確認ポイントの例」については、前論考の図表2を参照してください。
全社的な内部統制や業務プロセスに係る内部統制の評価手続きにおいて、どのようにして不正リスクを考慮していくのがよいでしょうか。全社的な内部統制と業務プロセスのそれぞれについて、不正リスクの考慮例を説明します。
全社的な内部統制の評価のために、「財務報告に係る内部統制の評価及び監査の実施基準」に例示されている全社的な内部統制に係る42の評価項目※1をベースにしたチェックリストを用いている企業が多いかと思いますが、このチェックリストを見直し、不正リスク対応の観点を含めることが有効だと考えられます。長年チェックリストの内容は変わっていないという企業にとっては、硬直化したチェックリストを見直す良いきっかけになるかもしれません。図表1に不正リスクに対する全社的な内部統制の評価項目と確認時の観点例を示します。
図表1:不正リスクに対する全社的な内部統制の評価項目と確認時の観点例
| 内部統制の基本的要素 | No | 評価項目 | 不正のトライアングル | 確認時の観点 | ||
| 動機とプレッシャー | 機会 | 姿勢と正当化 | ||||
| 統制環境 | ① | 適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか | - | - | 〇 |
|
| ➁ | 経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか | - | - | 〇 |
|
|
| ③ | 経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に対して、適切な役割分担を定めているか | - | 〇 | - |
|
|
| ④ | 責任の割り当てと権限の委任が全ての従業員に対して明確になされているか | - | 〇 | - |
|
|
| ⑤ | 従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか | - | 〇 | - |
|
|
| ⑥ | 従業員等の勤務評価は、公平で適切なものとなっているか | 〇 | - | - |
|
|
| リスクの評価と対応 | ⑦ | 経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか | 〇 | 〇 | 〇 |
|
| 統制活動 | ⑧ | 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか | - | 〇 | - |
|
| 情報と伝達 | ⑨ | 内部通報の仕組み等、通常の報告経路から独立した伝達経路が利用できるように設定されているか | - | - | 〇 |
|
| ⑩ | 内部統制に関する企業外部からの情報を適切に利用し、経営者、取締役会、監査役等に適切に伝達する仕組みとなっているか | - | - | 〇 |
|
|
| モニタリング | ⑪ | 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか | - | - | 〇 |
|
| ⑫ | モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者ならびに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか | - | - | 〇 |
|
|
| ⑬ | 内部統制に係る開示すべき重要な不備等に関する情報は、経営者、取締役会、監査役等に適切に伝達されているか | - | - | 〇 |
|
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
次に、業務プロセスに係る内部統制の評価時の不正リスク対応の観点例を紹介します。全社的な内部統制の評価では、「動機とプレッシャー」「姿勢と正当化」の観点が中心でしたが、業務プロセスに係る内部統制の評価においては、業務プロセスに係る内部統制が、不正の「機会」を排除できているかどうかという観点が重要です。請求業務を行う従業員と入金の照合作業を行う従業員が分かれているか、売上計上を行う従業員と承認者が分かれているか等、1人で業務が完結できないようになっているか等の観点で自社の業務プロセスに係る内部統制を再確認してみることが有用です。
特に、全社的な内部統制の評価において、「動機とプレッシャー」や「姿勢と正当化」に関するリスクが高いと評価された事業拠点の業務プロセスに対しては、より慎重な評価が必要になってくると考えられます。
なお、2023年9月28日に日本公認会計士協会が公表した「「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月)等を受けた内部統制監査上の留意事項に関する周知文書」によれば、「監査人は、改訂後の内部統制の基本的枠組みに準拠して、経営者が内部統制の整備及び運用並びに評価を行っているかについて留意する。特に、全社的な内部統制の評価に当たっては、内部統制の基本的な要素ごとに例示されている42項目が広く実務に利用されているが、監査人は、これらの評価項目が今回の改訂を踏まえ、必要に応じて、適切に見直しが行われているかについて確認することが重要である。」とされています。もし「財務報告に係る内部統制の評価及び監査の実施基準」に例示されている全社的な内部統制に係る42の評価項目をベースにしたチェックリストを用いており、長らくそのチェックリストの見直しを行っていなければ、今回の改訂を踏まえた見直しを行うことが有用であると考えられます。
2 重要な事業拠点の選定方法に係る参考例と選定方法の観点
前論考にも掲載しましたが、評価範囲の決定に関する対応のポイントの例を図表2に示します。
図表2の①「重要な事業拠点を選定する際の指標の決定」については、財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の付録7「重要な事業拠点の選定方法に係る参考例」が参考になります。付録7の内容をまとめたものが図表3です。
図表2:評価範囲の決定に関する対応における対応ポイントの例
| No | プロセス | 対応ポイント |
| ① | 重要な事業拠点を選定する際の指標の決定 |
|
| ➁ | 重要な事業拠点の決定 |
|
| ③ | 「企業の事業目的に大きく係る勘定科目」の決定 |
|
| ④ | 評価対象とする業務プロセスの識別 |
|
| ⑤ | 評価対象外としてきた事業拠点/業務プロセスの検討 |
|
| ⑥ | 個別に評価対象に追加する業務プロセスの検討 |
|
| ⑦ | その他 |
|
出典:企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(2023年4月7日)をもとにPwC作成
なお、この付録7には、重要な事業拠点の選定根拠の記載もあり、重要な事業拠点の選定の文書化の参考にもなると思われます。
また、図表2の⑥「個別に評価対象に追加する業務プロセスの検討」において留意すべき「リスクが発生又は変化する可能性がある状況」が新たに例示されました。例示に該当する状況がある場合には、関連する業務プロセスを個別に評価対象に追加すべきかどうか検討する必要があります。
ただし、ここで示されているのは「リスクが発生又は変化する可能性がある状況」であって、ここで示された状況にある事業拠点等の業務プロセスを必ず評価対象にしなければならないということではありません。個別に評価対象に追加する業務プロセスは、あくまで、重要な虚偽記載が発生する可能性が高い業務プロセスです。例えば、新しく買収した海外子会社は、どんな会社であっても重要な虚偽記載が発生する可能性が高いのでしょうか。新たに例示された「リスクが発生又は変化する可能性がある状況」に該当する場合、そこに含まれる業務プロセスが重要な虚偽記載が発生する可能性の高いものであるのかを丁寧に評価することが重要です。
3 おわりに
今回の改訂で新規に追加された項目や例示が多数ありますが、変化する環境や各社の状況に合わせてリスクを把握し、リスクに対応する内部統制を整備・運用し、それらが機能しているかを定期的に評価していくという基本(または「基本的な対応」など)に変更はありません。
しかし、変化する状況に対応し続けていくことは一筋縄ではいかないことを、J-SOX実務担当者の皆さんであれば骨身に染みていると思います。
今回、「内部統制の基本的枠組み」において内部監査人の責務については、「熟達した専門的能力と専門職としての正当な注意をもって職責を全うすること」が追記されています。確かに、評価を行う側が知識や能力のアップデートを行うことはそのとおりですが、それだけではなく、今回の改訂では外部監査人との協議や、取締役会や監査役等の責任等も追記されており、さまざまな社内、社外のリソースを使って内部統制の実効性を高めることの必要性が示されています。
内部統制は全社で取り組むべき課題であり、J-SOX実務担当者は旗振り役となりつつ、外部、内部の力を上手に借りて全社として内部統制を構築していく必要があります。今回の改訂を、自社の内部統制や内部統制評価の再確認のきっかけに、そして、社内外の関係者とリスクや内部統制について会話するきっかけとして、うまく利用していくとよいと考えられます。本稿が、少しでも、改訂J-SOXの理解や改訂への対応の参考になれば幸いです。
※1 企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)の「参考1 財務報告に係る全社的な内部統制に関する評価項目の例」(96~98ページ)を参照。
執筆者
PwCあらた有限責任監査法人
シニアマネージャー
白髭 英一
PwCあらた有限責任監査法人
シニアアソシエイト
平井 雄二
