「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」の改訂について

1 ．改訂の経緯

財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準（以下、それぞれ基準、実施基準という）はわが国の内部統制報告制度（いわゆるJ-Sox制度）の基本となる基準であり、2008年の制度導入から14年、前回の2011年3月の改訂からも10年超が経過している。

この間、国際的には、社会や情報利用者のニーズの変化を受けて、内部統制・リスクマネジメントの分野における議論に進展が見られた。また、内部統制報告制度については、企業の経営管理・ガバナンスの向上に一定の効果はあったものの、実効性への懸念の声も聞こえるようになっている。これらの状況を受けて、2021年11月に金融庁が公表した「会計監査の在り方に関する懇談会（令和3事務年度）論点整理」において、「国際的な内部統制・リスクマネジメントの議論の進展も踏まえながら、必要に応じて、内部統制の実効性向上に向けた議論を進めることが必要である。」と記載されたことが出発点となり、2022年10月から内部統制部会が3回開催され、12月に基準及び実施基準の公開草案が公表された。

2．改訂の主たる論点

1．に記載した経緯から、改訂議論のテーマを大きく分類すると、

　（1）　国際的な内部統制・リスクマネジメントの議論の進展の反映

　（2）　内部統制報告制度の実効性を向上させるための取り組み

の2つに分類することが出来ると考えられる。以下、これらの区分ごとに主要なテーマについてその内容と公開草案における取扱いについて解説する。

（1）国際的な内部統制・リスクマネジメントの議論の進展の反映

改訂の議論において国際的な議論の潮流として参照されたのは主として金融機関規制並びに米国及び英国における議論の動向である。主な論点としては以下のようなものが挙げられる。

①　内部統制の目的の変化（「財務報告」から「報告」の信頼性へ）

②　ガバナンスや全組織的なリスク管理との関係の明示

まず、①については、社会的要請の変化に対応して企業が発信する情報が多様化し、特に近年はサステナビリティ情報を始めとする非財務情報に注目が集まっている。これらの情報についても、その作成過程には当然内部統制が存在することから、従来、内部統制の目的の一つとして挙げられていた「財務報告」の信頼性の確保を、財務情報のみならず非財務情報をも含んだ「報告」の信頼性の確保に拡張するという議論である。

公開草案においても、この論点が取り込まれており、具体的には、基準のⅠ.1．に示されている内部統制の6つの基本要素において「報告の信頼性とは、組織内及び組織の外部への報告（非財務情報を含む。）の信頼性を確保することをいう。」とされた（同時に企業の外部への報告のみならず、企業内部での報告についても適用される概念であることについても明らかにした）。一方で金融商品取引法における内部統制報告制度で取り扱う範囲は、あくまでも「報告」の中に含まれる「財務報告」の信頼性の確保が目的であるとされ、この内部統制の目的の変化が内部統制報告制度の対象範囲を直接拡張することはないことが明らかにされている。

次に、②については、内部統制は組織の持続的な成長のために必要不可欠なものであるが、組織及び組織を取り巻く環境に対応して常に見直しが必要なダイナミックなものであることを改めて明らかにし、そのためにもガバナンスや全組織的なリスク管理と一体運用することの有用性を説いている。

公開草案では、「ガバナンス^＊1」「全組織的なリスク管理^＊2」の定義を基準Ⅰ．5．において明らかにしたうえで、実施基準のⅠ．5．では一体運用の具体的な例として「３線モデル^＊3」や「リスク選好^＊4」概念などが紹介されている。

（2）内部統制報告制度の実効性を向上させるための取り組み

内部統制報告制度についての実効性に関する懸念の声には多様なものを含むが、今般の改訂議論において中心的議題であったのは経営者による内部統制の評価範囲の決定の論点であったと言えるので、まずその点から説明したい。

①　経営者による業務プロセスに係る評価範囲の決定

内部統制報告制度についての実効性に関する懸念の声のうち代表的なものは、依然として開示すべき重要な不備が毎年一定数認められること、中でも特に経営者による評価範囲の外から開示すべき重要な不備が発見されるケースが認められること、企業が「開示すべき重要な不備はない」と開示した後に、「開示すべき重要な不備が存在した」旨の訂正内部統制報告書を提出するケースが一定数存在すること^＊5に関するものである。それらの原因の一つとして、経営者による内部統制の評価範囲の決定が実施基準に示されている数値基準^＊6の例示に依存しすぎているのではないか、という指摘がなされ、これへの対応を含めて議論が行われた。

この点については、委員の意見も多様^＊7であり、審議会において最も検討に時間がかけられた論点である。数値基準は内部統制報告制度導入当初に円滑な導入を図るための実務的な措置として導入したものである経緯も踏まえて、制度定着と上記の懸念も勘案し、これを撤廃すべきだという主張がある一方で、制度としての一定の実行レベルの確保に寄与している点や、現行基準等においても、数値基準は一つの例示に過ぎず、企業自身が自らのリスクを勘案して評価範囲を決定しているので、改訂の必要性を強く感じないという主張もなされた。

審議会での議論を踏まえて、公開草案においては、以下のような対応が図られている。

　（ア）評価範囲の決定に当たっては、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを改めて強調

　（イ）数値基準については、実施基準の本文ではなく注書きに移すとともに、例示であることを改めて強調し、機械的に適用すべきでないことを明示

　（ウ）評価範囲の決定に当たって、決定方法とその根拠等について評価範囲の決定前後及び必要に応じて監査人と協議することが適切であると明示（監査人の指導的機能）

　（エ）内部統制報告書において、評価範囲の決定方法と根拠等について、決定の判断事由を含めて記載することが適切であると明示

　（オ）公開草案本文（いわゆる、前文）において、数値基準の例示記載の段階的な削除を含む取扱いに関して今後検討を行うと明示

つまり、実施基準においては、数値基準に関する記載自体は残ったが、その位置づけは例示であることがより強調され、財務報告の信頼性に及ぼす影響を適切に考慮するという原則的立場が相対的に強調されることになり（（ア）（イ））、将来の検討の方向性が書き込まれた（（オ））。これは、内部統制部会で表明された様々な意見を最大限に取り込んだ結果とみることもできる。さらに、内部統制報告書で企業の評価範囲の決定に関する情報の開示を強化し（（エ））、監査人との協議によっても改訂の趣旨の適切な実現を図る（（ウ））という全体像と理解できる。

②　評価範囲以外の論点

実効性を高めるという観点では、評価範囲に関する議論以外にも、公開草案において以下のような手当がなされている。

　（ア）不正に関するリスクの考慮及び経営者や業務プロセスの責任者による内部統制の無効化に関する説明を導入

　（イ）監査役等及び内部監査人といった内部統制に関係を有する者の役割と責任について明示

　（ウ）ITについて、技術的に変化が速いことやサイバーリスクの高まりなどを受けて、特有のリスクについて適切な対応を適時に行っていくことが重要であると明示

　（エ）訂正内部統制報告書において、具体的な訂正の経緯や理由等の開示を求める方向性を明示（関係法令についての所要の整備を行うことが適当と記載）

　　このうち（ア）については、監査人にとっては、財務諸表監査の過程を通じてなじみのある概念であったが、内部統制報告制度で明示されたことにより、経営者や監査役等との協議においても共通の視点を構築しやすくなる効果が考えられる。また、（イ）については、コーポレートガバナンス・コードとの関係性も踏まえ、内部統制報告制度の実効性を保つためには関係する人的資源の質量両面での向上、関係性の強化が不可欠であるとの意見を反映したものである。（ウ）のITについては内部統制報告制度創設当初から、わが国独自の記載を行っている領域であるが、企業のIT利用が一段と進んだ状況を踏まえて、非IT分野と比してより一層状況の変化に対応していくことの重要性、裏返せば従前のやり方をそのまま踏襲することのリスクを強調するために規定されたものである。（エ）については、現行制度では訂正内部統制報告書に当初の内部統制報告書では不備を報告できなかった理由等についての記載が求められておらず、そのため十分な情報が利用者に提供されていないという指摘に対応したものである。

3．中長期的な検討課題

今回の改訂議論は、検討期間が3か月と短かったことやその実行に法令等の改正を必要とするものもあることから、検討のテーマに挙がったもののうち以下のものは中長期的な検討課題として、公開草案本文に記載されている。これらについてはいずれ検討が行われることが明示されたと考えれば、わが国の内部統制報告制度の将来を考えるうえで、記載された意義は少なくないものと考える。

中長期的な検討課題とされたもの

● サステナビリティ等の非財務情報の内部統制報告制度における取扱いについては、当該情報の開示等に係る国内外における議論を踏まえて検討すべきではないか。

● ダイレクト・レポーティング（直接報告業務）を採用すべきかについては、内部統制監査の在り方を踏まえ、検討すべきではないか。

● 内部統制監査報告書の開示の充実に関し、例えば、内部統制に関する「監査上の主要な検討事項」を採用すべきかについては、内部統制報告書における開示の進展を踏まえ検討すべきではないか。

● 訂正内部統制報告書について、現在監査を求めていないが、監査人による関与の在り方について検討すべきではないか。

● 経営者の責任の明確化や経営者による内部統制無効化への対応等のため、課徴金を含めた罰則規定の見直しをすべきではないか。

● 会社法に内部統制の構築義務を規定する等、会社法と調整していくべきであり、将来的に会社法と金融商品取引法の内部統制を統合し、内部統制の4つの目的をカバーして総合判断できるようにすべきではないか。

● 代表者による確認書において、内部統制に関する記載の充実を図ることを検討すべきではないか。

● 定期的な開示から臨時的な開示に金融商品取引法が動いているのであれば、臨時報告書についても内部統制を意識すべきではないか

4．実務への影響についての考察

最後にこれまで説明した内容に関して、いくつか考察を行ってみたい。

まず評価範囲の論点の実務に対する影響は、会社の規模やグループ展開の状況、また、現在の内部統制報告制度への取り組み状況によっても異なるため一概には言えないが、その決定に関する情報開示の強化が定められているので、企業は改めて自社の評価範囲について、財務報告の信頼性に及ぼす影響の重要性の観点から十分なアカウンタビリティを果たせるのかということを検討することが重要であると考える。将来的に削除される方向性での議論が進む可能性も考慮し、数値基準の例示が残っている今のうちから財務報告の信頼性に及ぼす影響の重要性の観点から評価範囲を決定するとはどういうことか、そのプロセスはどのように考えればよいか、外部へも十分説明可能かといった視点で、検討を行っていくことが重要であり、監査人ともそのような協議を行っていくことが有用であると考える。この点については、現行の基準等においても本質的には同様な規定は存在するため、「大きな変更はない」と考えてしまえばそのようにも考えられるが、一方で、改訂を機に改めて内部統制報告制度の目的に立ち戻って内部統制報告書における具体的な記述のことも考えたうえで、検討しなおしてみることが本改訂の趣旨にも合致するものと考える。

また、2．（1）や2．（2）②で説明した論点については、その多くが基準及び実施基準において「内部統制の基本的枠組み」のセクションに記載されている。当該セクションは、財務報告に係る内部統制に限定されず、広く内部統制の定義や関連する概念について説明している。その中には内部統制の非財務報告への拡張の議論（2．（1）①）など、金融商品取引法における内部統制報告制度には直接関係しないと明示されているものも含まれている^＊8が、内部統制部会での議論においても、当該セクションは内部統制報告制度における実務上の基準ではないが、その前提に該当する部分であることが述べられている^＊9。「財務報告に係る内部統制の評価及び報告」並びに「財務報告に係る内部統制の監査」のセクションにおいて具体的に取り上げられている記述が少ないため、実務においてどのように適用していくべきかについて不明確な部分もあるが、不正や経営者による内部統制の無効化、監査役等や内部監査人の役割と責任など重要な概念を含むため、経営者や監査役等と監査人の議論等を通じて実務上の検討に反映していくことが、内部統制報告制度の実効性向上に寄与するものと考える。

基準及び実施基準の適用に当たって必要となる内部統制監査の実務の指針については、今後、日本公認会計士協会から財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の改正等によって示されることになると考えられるので、当該改正の動向について引き続き留意が必要である。

また、公開草案で提案されている適用時期は2024年4月1日以後開始する事業年度であるが、このタイミングでは2023年1月に公表された改正監査基準報告書600「グループ監査における特別な考慮事項」も適用になる。こちらの改正は、連結財務諸表監査において対応手続を実施するリスクや勘定科目、構成単位の決定に重要な影響を及ぼす可能性があると考えられるため、企業と監査人は両方の改訂（改正）の影響を考慮の上、協議を進めていく必要があると考えられる。

以上

＊1　基準の公開草案における定義は、組織が、顧客・従業員・地域社会等の立場を踏まえた上で、透明・公正かつ迅速・果断な意思決定を行うための仕組み、となっている。

＊2　基準の公開草案における定義は、適切なリスクとリターンのバランスの下、全組織のリスクを経営戦略と一体で統合的に管理すること、となっている。

＊3　実施基準の公開草案では、3線モデルにおいては、第1線を業務部門内での日常的モニタリングを通じたリスク管理、第2線をリスク管理部門などによる部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会又は監査役等による監督と適切に連携させることが重要である、としている。

＊4　実施基準の公開草案における定義は、組織のビジネスモデルの個別性を踏まえたうえで、事業計画達成のために進んで受け入れるべきリスクの種類と総量、となっている。

＊5　企業会計審議会第22回内部統制部会 資料1 P6「内部統制報告書提出状況の推移」参照

＊6　評価対象とする重要な事業拠点や業務プロセスを選定する指標について、実施基準で例示されている「売上高等の概ね2/3」や「売上、売掛金及び棚卸資産の3勘定」のことを指す。

＊7　企業会計審議会第23回内部統制部会 資料 P15「第22回内部統制部会の議論と内部統制報告制度の見直しの方向性（案）②」参照

＊8　公開草案本文 二（1）①報告の信頼性 参照

＊9　企業会計審議会第23回内部統制部会 議事録 小畑委員の質問に対する齊藤開示業務室長の発言 参照