内部統制報告制度の改訂及び実効性に関する懸念への対応～会社と監査人との「リスクトーク」及び全社的な内部統制の見直しに基づく評価範囲の決定、内部統制報告書の記載、ガバナンスの役割の考察～

1. 不正リスク及び全社的な内部統制の評価の高度化と評価範囲への反映

（1）不正リスクを含むリスク評価

改訂実施基準Ⅰ2（2）①では「リスクの評価の対象となるリスクには、不正に関するリスクも含まれる。」ことが明確化され、「不正に関するリスクの評価においては、不正に関する、動機とプレッシャー、機会、姿勢と正当化について考慮することが重要である。また、リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直すことが重要である。」という内容が盛り込まれた。また、経営者による内部統制の無視又は無効化の対策の例示が追加されている。この背景としては、意見書の一によれば、2013年に改訂された米国のCOSO報告書（以下「COSO2013」という）において「不正に関するリスクへの対応の強調」を行っていることに加え、金融庁の企業会計審議会内部統制部会における説明資料（第22回 2022年10月13日 事務局資料（内部統制報告制度について））によれば、我が国において「内部統制に起因する会計不正事例は、近年も発生しているⁱ」ことが挙げられる。しかしながら、不正リスクをどのように評価するかについて、追加的な記述は実施基準、Q&A、事例集を通じて見当たらないことから、上場企業においてどのように不正リスクを評価し、さらに識別した不正リスクに対するリスク対応を実施するのかが課題となる（課題①）。

当監査法人では、不正のトライアングルと不正シナリオの構築に基づいて、事業拠点ごとに不正リスク評価を実施し、「財務諸表監査における不正（監査基準報告書240）」の付録に示された不正リスク要因等を参照しながら検討する様式を参考に、上場企業と当監査法人の間で不正リスクを含むリスクに関する協議（リスクトーク）の実施を提案している。さらに、リスクトークにより識別したリスクや内部統制上の要検討事項について、評価範囲の決定に関する上場企業と監査人の協議や、内部統制の文書化等へ反映するために、検討様式を参考にすることを提案している。意見書二（2）①では、評価範囲に関する監査人との協議について、「監査人による指導的機能の発揮の一環として、当該協議を、内部統制の評価の計画段階及び状況の変化等があった場合において、必要に応じ、実施することが適切であることを明確化した」とされており、評価範囲の決定はリスクの識別と評価、全社的な内部統制を含む内部統制の理解が前提となることから、これらを含めて協議し、監査人が指導的機能を発揮することが意図されている。
 

（2）全社的な内部統制の評価と評価範囲の決定における「良好でない項目」の判断

重要な事業拠点の決定に関して、従来は「全社的な内部統制の評価が良好であれば、例えば、連結ベースの売上高等の一定割合を概ね2／3程度」とされていたところが、改訂実施基準Ⅱ2（2）①注2では「全社的な内部統制のうち、良好でない項目がある場合には、それに関連する事業拠点を評価範囲に含める必要がある。」という点が追加され、対応が強化されている。内基報94項では、「良好でない項目がある場合には、その評価結果を踏まえ、これに関連する事業拠点を重要な事業拠点として選定する方法や、当該良好でない項目の影響を受ける事業拠点の業務プロセスを追加する方法などが考えられる」という対応が示されている。「良好でない項目がある」という判断は、金融庁の意見書の改訂に係るパブリックコメントへの考え方の中で、「全社的な内部統制は、企業の置かれた環境や事業の特性等により異なるため、これが良好でないことを一概に示すことは困難ですが、全社的な内部統制に良好でない項目がある場合には、全社的な内部統制に不備がありうると考えられます。」とされており、必ずしも不備の有無だけで判断されるものではなく、質的な判断が必要とされるものと考えられる。このため、全社的な内部統制を「良好でない」と評価することについて、慎重な検討と判断が必要となり、かつ評価範囲に含めるかどうかの判断に直接的に影響することとなったため、その重要性が増しているものと考えられる。

また、周知文書は、会員である監査人の実務の参考として、以下の点を示している。

これらの点は、経営者側の内部統制評価にも参考となるものと考えられ、上場企業にとっては、全社的な内部統制の評価方法に関して、どのように42項目に基づく評価項目を見直し、事業拠点の目線及び企業集団の目線により「良好でない」かどうかを適切に評価していくことが課題となる（課題②）。

当監査法人では、上場企業向け勉強会において事業拠点における不正リスクの評価との関係を考慮しながら（図1）全社的な内部統制の評価を見直すことを強調しており、COSO2013の原則や着眼点、2018年に公表された「内部統制報告制度の運用の実効性の確保に係る研究文書（財務報告内部統制監査基準報告書第1号研究文書第1号）」ⁱⁱⁱで示された提言内容、及びITへの対応については経済産業省の「サイバーセキュリティ経営ガイドライン」の内容等を踏まえて、全社的な内部統制の評価項目を見直すための検討様式を参考とすることにより、良好でない項目を適切に識別し、評価範囲の検討様式に反映していくことを提案している。

2. 評価範囲の決定と内部統制報告書の見直し

（1）評価範囲の決定と内部統制報告書への反映

1．の課題①及び②で示した点以外にも、実施基準には評価範囲の決定に関する記載や例示が追加されているため、適切に検討していく必要がある。また、内部統制報告書における「評価の範囲、評価時点及び評価手続」の記載に関しては、評価範囲の決定の検討内容を踏まえて、個別に追加された事業拠点又は業務プロセスや各項目の決定事由を記載することとされている。なお、Q&Aにおいて「12．内部統制報告書の記載内容」における例示が削除されているが、「これは必ずしもすべての現行の開示実務を否定するものではない。内部統制報告書の記載内容については、関係法令等に従い、投資家と企業との建設的な対話に資する開示がなされることが期待される」とされており、その対応が課題となる（課題③）。

当監査法人は、上場企業向け勉強会において、評価範囲の検討様式を参考に、評価範囲を決定していくとともに、内部統制報告書の記載内容の検討にあたっては、評価範囲の検討内容と整合性をとりながら、内部統制報告書の検討様式を参考にして対応を進めることを提案している。また、評価範囲を決定した後に、統制上の要点（キー・コントロール）を選定し、それが不正や内部統制の無効化を含む虚偽記載の発生するリスクを十分に低減しているかどうかを評価することが重要であることから、過去に選定した統制上の要点が実態に合わない、若しくは不足又は過剰となっていないか、あるいはITの利用の進展と情報の信頼性に対するリスク評価が適切であり対応する内部統制が整備運用されているか等を見直すために、検討様式を参考に対応を進めることを併せて提案している。

なお、内基報89-2項において、改正された「グループ監査における特別な考慮事項」（監査基準報告書600）の適用を踏まえ、財務諸表監査における「監査の作業を実施する構成単位」と内部統制監査における「重要な事業拠点」は、「重要な虚偽表示リスクを潜在的に有するという点では共通するため、両者の評価対象の決定手法は異なるものの、監査人は一体監査の効果的かつ効率的な実施の観点から、両者の関係には留意が必要となる。」とされていることから、監査人にとっては、評価範囲に関する企業との協議においての留意が必要である。
 

（2）訂正内部統制報告書の記載

意見書三において「事後的に内部統制の有効性の評価が訂正される際には、訂正の理由が十分開示されることが重要であり、訂正内部統制報告書において、具体的な訂正の経緯や理由等の開示を求めるために、関係法令について所要の整備を行うことが適当である。」とされていた点については、内部統制府令及びガイドラインの改正により対応され、併せて「訂正報告書に記載している開示すべき重要な不備に関し、訂正の対象となる内部統制報告書における『評価の範囲、基準日及び評価手続に関する事項』が適切であったかどうか、当該開示すべき重要な不備が当該評価の範囲とされていたかどうかを記載する」（ガイドライン11の2-3）こととされた。なお、2024年4月1日以後に提出される訂正内部統制報告書については、内部統制府令案の段階で存在していた経過措置は削除され、例外なく全て拡充された開示が必要となる。

3. ガバナンスの役割

（1）ガバナンス及び全組織的なリスク管理とは

基準Ⅰ5において、ガバナンスとは「組織が、顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組み」とされており、コーポレートガバナンス・コードにおけるコーポレートガバナンスの定義とほぼ同一である。コーポレートガバナンス・コードの原案（2015年公表）は「『日本再興戦略改訂2014』に基づき我が国の成長戦略の一環として策定」とされており、コーポレートガバナンスを「意思決定を行うための仕組み^iv」としたうえで、「攻めのガバナンス」の実現を目指し、「会社におけるリスクの回避・抑制や不祥事の防止といった側面を過度に強調するのではなく、むしろ健全な企業家精神の発揮を促し、会社の持続的な成長と中長期的な企業価値の向上を図ることに主眼」が置かれている。一方で、COSO全社的リスクマネジメント（以下「COSO-ERM」という）では、第1章において「ガバナンスは最も広い概念を形成する。一般的に、ガバナンスは、ステークホルダー、取締役会及び経営者の間での役割、権限、責任の割当てを意味する。」とされているが、全社的なリスクマネジメントの構成要素としての「ガバナンスとカルチャー」も存在しており、そこでのガバナンスは監視や業務構造の確立の役割等を指している。また、「監査役等とのコミュニケーション」（監査基準報告書260）の9項（2）において、ガバナンスは、「企業の戦略的方向性と説明責任を果たしているかどうかを監視する責任を有する者又は組織」の役割と定義されており、監視する責任を有する者は我が国においては、監査役会、監査等委員会、監査委員会等が該当するとされていることから、監視の機能としての定義となっている^v。

全社的リスクマネジメントは、COSO-ERMの第2章において「組織が価値を創造し、維持し、及び実現する過程において、リスクを管理するために依拠する、戦略策定ならびにパフォーマンスと統合されたカルチャー、能力、実務」と定義されており、リスクを管理するリソースや行為を含む体系のことを指していると考えられる。一方基準Ⅰ5では、全組織的なリスク管理は、「適切なリスクとリターンのバランスの下、全組織のリスクを経営戦略と一体で統合的に管理すること」と定義されており、リスク管理の行為に焦点を当てている。ただし、実施基準Ⅰ2（2）①ではリスクの評価に関し「組織に負の影響、すなわち損失を与えるリスクのみを指し、組織に正の影響、すなわち利益をもたらす可能性は、ここにいうリスクには含まない。」とされている。また、一般的に財務報告に関する内部統制やリスク管理については、会計基準や法令規則への遵守が最優先となると考えられ、リターンの考え方は含まれていないと考えられる。

このように、ガバナンス及び全組織的なリスク管理について様々な定義がある中で、「意思決定を行うための仕組み」である「攻めのガバナンス」に関して、内部統制を「ガバナンスや全組織的なリスク管理と一体的に整備及び運用」すること及び「組織及び組織を取り巻く環境に対応して運用されていく中で、常に見直される」（基準Ⅰ5）ことについて、どのように対応していくかが課題となる（課題④）。

一つの考え方として、企業構成員の役割や業務に応じて、基準、実施基準以外にも参考になる枠組みを確認し、参考にしながら一体的な整備及び運用並びに監視を行うことが考えられる。例えば、経営者は、コーポレートガバナンス・コードの趣旨を踏まえて、構築したガバナンス（意思決定の仕組み）の下で、過度にリスク回避的となることなく、健全なリスクテイクによる戦略の策定を行う。COSO-ERMを参考に、全組織的なリスク管理を適切に整備し、事業環境を分析し、リスク評価、リスク選好の定義を行い、戦略を支える事業目標を検討する。このような活動を監査役会、監査等委員会、監査委員会等は、COSO-ERMを参考にリスク監視を行い、パフォーマンスのレビューを行うことに加え、監査基準報告書260を参考に、戦略的方向性及び説明責任の遂行の観点からの監視を行っていくことが考えられる。
 

（2）一体的に整備運用し監視の対象となる内部統制とは

実務上、内部統制や全組織的なリスク管理は、損失を与えるリスクに対処する目的のみで整備運用されているわけではなく、利益をもたらす可能性への対処も含めて一体で整備運用されている場合や、J-SOXの評価及び監査の対象とする財務報告に係る内部統制だけでなく、それ以外の目的にも対応する内部統制を整備運用している場合が多いと考えられる。例えば、経営者が従業員に経営理念を語りかける（統制環境）ことは、健全な商売による正当な利潤の確保と、企業倫理の向上を図り信頼性のある財務報告の基礎となる。リスク管理活動は、財務報告の虚偽記載リスクを管理する目的だけでなく、リスクテイクの妥当性や事業遂行上の阻害要因を網羅的に分析し対応策を検討する目的がある。セキュリティの強化された統合業務処理ソフトウェアの導入（情報と伝達）は、マンパワーコストを削減し納期を短縮して収益を確保するという目的と、ヒューマンエラーや改ざんの可能性を低減させ情報の信頼性を確保する目的がある。部下の営業日誌を上司が点検するという内部統制（統制活動）は、営業上管理上の問題や会計処理が必要な事象が発生していないかを点検する目的と、顧客との商談の機会を逃さないように点検する目的がある。したがって、業務監査の視点では、個々の内部統制には複合的な目的があることを踏まえ、それぞれの目的を達成しているのかという観点に加え、一体的に見て有機的に機能しているのかについての観点で実施していくことが考えられる。その際留意すべき点としては、内部統制に携わる構成員が内部統制の目的を十分に理解し遂行するための能力の評価及び教育の実施状況や、内部統制の目的を無効化するような機会、誘因、正当化（不正のトライアングル）が挙げられる。

財務報告に係る内部統制を評価する目的では、財務報告の範囲内で上記の視点に留意していくことが考えられる。その際に、例えば、貸倒引当金の算定や注記開示の妥当性を確保する目的も含め3線モデル^vi等が有用と判断し、財務報告に係る内部統制として利用している場合のように、ガバナンスや全組織的なリスク管理が財務報告に係る内部統制に組み込まれている場合については、意見書の改訂に係るパブリックコメントへの考え方において、「財務報告に係る内部統制に関する部分であれば、金融商品取引法上の内部統制報告制度の対象になるものと考えられます。」とされているので、留意が必要である。
 

（3）不備及び「良好でない」評価に関するガバナンスの関わり

不備の識別・評価については、今回の基準等の改訂の対象にはなっていない。しかし、近年引き続き、過年度決算に要訂正事項が発見された会社や会計不正があった会社などについて、全社的な内部統制の不備や決算・財務報告プロセスの不備があったとして、内部統制報告書を訂正し開示すべき重要な不備を公表している事案が発生している。開示すべき不備として多く指摘されているガバナンスの欠如や会計処理能力の問題は、その不正・誤謬が発生した時点において問題があったというよりは、過去から誤りや手順の違反が存在していたにもかかわらず、適切な対応がとられていなかった、あるいは不備の根本原因の検討が不十分なまま、内部統制の是正が表面的なものに留まっていたものが見受けられる。

COSO2013では原則17「不備の評価と伝達」とその適用方法において、「組織は、適時に内部統制の不備を評価し、必要に応じて、それを適時に上級経営者及び取締役会を含む、是正措置を講じる責任を負うものに対して伝達する。」「報告を受けるものは報告された不備に対し是正措置を講じる又は監督する立場にある。」とされている。当該原則を参考に、財務報告の監視責任を果たすために、近年の内部統制報告書の訂正事案の発生状況を踏まえ、報告を受けた不備や全社的な内部統制が「良好でない」状況について、その根本原因の検討が十分され表面的な是正策に留まっていないかの監視を強化していくことが課題であると考える（課題⑤）。

当監査法人では、上場企業向け勉強会において、ガバナンス及び全社的なリスク管理の理解を深めるための解説をしており、必要に応じて専門家を利用する体制としている。また、COSO2013の原則17の適用方法及び不備の検討様式を参考にした、不備の識別、集計、評価と開示すべき重要な不備の判定の方法の見直しを提案している。

4. おわりに

J-SOXの改訂対応と実効性に関する懸念への対応について、不正リスク、全社的な内部統制、評価範囲の決定と「ガバナンス」の役割を中心に考察を行い、5つの課題を挙げるとともに、会社と監査人との「リスクトーク」の実施を始めとした当監査法人の取組みを説明した。J-SOXの改訂内容はこれだけではなく、情報の信頼性やITへの対応（サイバーリスク、ITに係る業務処理統制の評価等）があり、さらに改訂内容ではないが、J-SOXの実効性に関する懸念に対する内部統制の高度化の論点があるが、本稿には記載しきれなかった。

本稿で見たように今般のJ-SOX改訂において考慮すべき点は多く、2007年に設定された基準及び実施基準に対し長らく本格的な改正が行われておらず、その間企業の国際化、IT利用の進展を含む事業環境や事業内容の変化があり、財務報告についても、国際財務報告基準の適用、コンバージェンスの進展を含む会計基準の改正、記述情報の充実を含め、会計処理や注記項目の内容や複雑度は飛躍的に増大している。コーポレートガバナンス・コードやCOSOの改正など内部統制のあり方も進化している一方で、企業不祥事による開示すべき重要な不備も引き続き発生している状況である。このため、企業におけるJ-SOX上の過去の取扱いが現状に適合しなくなっている可能性は十分考えられる。また、「報告」に関する論点やガバナンス及び全組織的なリスク管理など、財務報告を超えた諸概念が示され、今後のサステナビリティ報告viiや企業経営における内部統制のあり方を考える機会であるとも考えられる。内部統制の見直しに対し、主体的に情報収集を行い、批判的に情報を評価し、企業内部又は監査人との間で活発な協議を行うことが重要であり、ガバナンスの監視の対象としても重要であると考える。

以上

（参考文献）

八田進二、箱田順哉監訳「COSO　内部統制の統合的フレームワーク　フレームワーク篇」（日本公認会計士協会出版局、2014年）

八田進二、箱田順哉監訳「COSO　内部統制の統合的フレームワーク　外部財務報告篇」（日本公認会計士協会出版局、2014年）

一般社団法人日本内部監査協会等監訳「COSO全社的リスクマネジメント　戦略およびパフォーマンスとの統合」（同文舘出版、2018年）

i　協会より、経営研究調査会研究資料第10号として、「上場会社等における会計不正の動向（2023年版）」が公表されており、同様の研究資料は毎年公表されている。2023年3月期では34社が会計不正を公表しており、件数は減少していない。

ii　グループの内部統制システムの内容としては、監査基準報告書600第30項（3）、A96～A105項及び付録2が参考になる。

iii　内部統制の不備に起因する不適正な開示例が少なからず見受けられ、「会計監査の在り方に関する懇談会」から内部統制に関する課題の指摘を受けたことを踏まえ、協会において、内部統制報告書における開示すべき重要な不備の事例分析を糸口に、J-SOXの運用状況に関する留意点を抽出し、J-SOXの実効性を確保するための提言として、2018年に公表した研究文書である。

iv　組織における意思決定モデルとして、カーネギー・モデル、漸進段階的意思決定モデル、ゴミ箱モデル等がある。また組織における意思決定における問題点として、グループシンク（集団浅慮）及びグループシフト（集団傾向）がある。

v　「内部監査の専門職的実施の国際基準」（2017年改訂）では、ガバナンスは、「取締役会が、組織体の目標達成に向けて、組織体の活動について、情報を提供し、指揮し、管理し、および監視するために、プロセスと組織構造を併用して実施すること」とされている。また「監査役監査基準」及び「内部統制システムに係る監査の実施基準」では、ガバナンスの定義に関しての記載はない。

vi　「3線モデルにおいては、第1線を業務部門内での日常的モニタリングを通じたリスク管理、第2線をリスク管理部門などによる部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会又は監査役等による監督・監視と適切に連携させることが重要である。」とされている（実施基準Ⅰ5）。3線モデルの詳細は内部監査人協会「IIAの3ラインモデルー3つのディフェンスラインの改訂」を参照されたい。

vii　2023年3月に、COSOはサステナビリティ報告に関わる内部統制構築のための補足ガイダンス（Internal Control over Sustainability Reporting, ICSR）を公表している。