不正リスクと内部統制の強化 ~改訂J-SOXを踏まえて~ ブックマークが追加されました
ナレッジ
不正リスクと内部統制の強化 ~改訂J-SOXを踏まえて~
クライシスマネジメントメールマガジン 第70号
2023年4月、約15年ぶりに内部統制報告制度(以下、J-SOX)が改訂されました。本稿では、改訂の概要とともに、改訂ポイントの1つである不正リスクに焦点を当て、改訂J-SOXを踏まえた内部統制強化のポイントについて解説します。
I. J-SOX改訂の背景と流れ
約15年前に導入されたJ-SOXは、財務報告の信頼性の向上に一定の効果をもたらしたものの、以下の懸念や課題が生じていた。
- 内部統制報告制度の実効性に関する懸念
- 経営者による評価の範囲外から開示すべき重要な不備が明らかとなったケースが散見される
- 内部統制報告書が訂正される際、十分な理由の開示がなされていないケースが散見される
- 国際的な内部統制の枠組みの改訂への対応
- COSO(トレッドウェイ委員会支援組織委員会)報告書の改訂を反映していない
このような状況を踏まえ、2021年11月、金融庁による「会計監査の在り方に関する懇談会(令和3事務年度)」において内部統制の実効性向上にむけた議論の進展が必要であるとされ、J‐SOX改訂に向けた審議と検討が開始された。その後、2022年12月の改訂公開草案の公表を経て、2023年4月に「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準(以下、内部統制基準等)」が改訂された。
II. 主な改訂ポイント
内部統制基準等は、1.内部統制の基本的枠組み、2.財務報告に係る内部統制の評価および報告(内部統制の有効性に関する経営者による評価の基準)、3.財務報告に係る内部統制の監査(内部統制の有効性に関する監査の基準)の3つの項目から構成され、各項目における改訂ポイントは<図表1>のとおりである。
企業会計審議会 2023.4.7 「財務報告に係る内部統制の評価および監査の基準並びに財務報告に係る内部統制の評価および監査に関する実施基準の改訂について(意見書)」より抜粋・要約
参照URL:https://www.fsa.go.jp/news/r4/sonota/20230407/20230407.html
内部統制の実効性をより高めるために重視すべき領域である『不正リスク・ガバナンス・評価範囲・IT』といった項目を中心に改訂が行われた。本稿では改訂ポイントのうち、特に『不正リスク』に焦点を当て、『不正リスクを考慮することの重要性が明示され、不正リスクへの対応強化が求められたこと』の具体的な内容を解説する。
不正リスクは、その他の改訂ポイントへの対応を検討する際にも重要な要素の1つになるだろう。具体的には、1.⑤ガバナンスとの関係 や 2.①評価範囲の決定 を検討する際、不正リスクの評価結果は重要な要素となる。今般の改訂では、約15年前のJ-SOX導入時よりもさらに専門的なナレッジを結集させて取り組む必要がある。
III. 不正リスクの識別・評価・対応
不正リスクに焦点を当てた内部統制強化ポイントを解説する前に、不正リスクの検討方法について触れておきたい。
1. 『不正』とは
『不正』とは、不当または違法な利益を得る目的で意図的に行われる行為であり、①資産の不正流用、②不正な報告、③汚職の3つに大別される。中長期的に増加傾向にあったこれらの不正は、2020年以降のコロナ禍で一時、発覚しづらい状況となっていたが、2023年に入り再び増加に転じている。①資産の不正流用に区分される「現金の横領」や③汚職に区分される「キックバック」の増加が足元で目立つほか、②不正な報告に区分される「架空売上」、「売上の過大計上や前倒し計上」、「原価の付け替え」といった会計不正も徐々に増えてきている。このような不正を予防し、発見するためには、不正リスクを十分に検討しておく必要がある。
2. 不正リスクの識別
不正リスクの検討にける最初のステップは、企業の内部環境、外部環境および内部統制を理解したうえで、不正リスクに繋がる事業や状況がないかどうか、つまり不正リスク要因を識別することである。その際、不正のトライアングル(動機・機会・正当化)に当てはめた分析が有用となる。また、この不正トライアングルにあてはめた分析結果を使用し、より具体的な不正リスクシナリオ(不正手口の仮説)を構築することで、可能な限り不正リスクを洗い出すことが望ましい。シナリオの構築にあたっては、『誰が・誰と・なぜ・いつ・どこで・誰に・どのように・何をしたか』をベースに当てはめていくとわかりやすいだろう。この不正リスクシナリオが具体的であればあるほど、不正リスクへの対応策が立てやすくなる。
3. 不正リスクの評価
不正リスクが識別できたら、当該不正リスクを評価する必要がある。まずは、固有リスクを網羅的に洗い出していく。固有リスクとは、リスクを低減させる内部統制が存在しない場合に発生するリスクを指す。〔定量的および定性的な影響度〕と〔発生可能性〕の2軸から、リスクの高低を評価していく。つぎに、この〔固有リスクレベル〕と〔内部統制の脆弱性〕の2軸から、残存リスクの高低を評価する。残存リスクは、リスクを低減させる内部統制を実施後も、なお残るリスクのことである。これら2つの〔固有リスクレベル〕と〔残存リスクレベル〕を網羅的にマッピングし、リスクレベルが高いものを特定していく。実務上、識別された全てのリスクに対して万遍なく対応することは困難なため、重要性の高い不正リスクから優先的に対応すること、つまり適切なリスクの絞り込み(リスクアプローチ)が重要といえる。
4. 不正リスクへの対応
不正リスク評価の結果に基づき、重要性が高いと評価されたリスクから優先的に、リスクへの対応手続を実施する。まずは、不正リスク評価により把握したリスクレベルに応じて、どのような課題、どのような改善点があるかを洗い出し、整理していく。つぎに、〔個々のリスクレベル〕と〔発生可能性〕の2軸から、不正リスクの特徴を『受容・移転・低減・回避』の4つにマッピングする。これら4つの分類に応じて、具体的な対応策を決定していくことになる。例えば、『低減』にマッピングされた不正リスクについては、リスクレベルとリスクの発生可能性を低減させるための対応策が必要となる。最後に、リスク対応策を実行し、その有効性を測定していく。改善が必要な場合は、追加の対応策を検討することになる。対応策の実行結果については、継続的にモニタリングを実施することが重要である。モニタリングの結果、リスクの変化が判明した場合は、その都度不正リスクを再評価する必要がある。このように、継続的にモニタリングを実施しながら、常に改善を図っていかなければならない。
IV. 不正リスクを低減する内部統制強化のポイント
上記Ⅲ.を踏まえ、改訂J-SOXにおいて求められる『不正リスクへの対応強化』に係る3つの改訂ポイントとその対応について解説したい。
改訂ポイント①:不正リスク評価と対応の強化
今般の改訂において、『不正リスクの検討とともに、リスクの変化に応じてリスクを適時に見直すことが重要』である点が改めて記載された。この機会に、不正リスクの所在と不正リスクへの対応策を今一度見直すことが肝要である。不正リスクの洗い出しや課題の整理をするにあたっては、外部の専門家を交えたディスカッションや勉強会の開催が有用だろう。
不正リスクの検討方法については上記Ⅲ.で述べたとおりであるが、不正リスクを識別する際、不正のトライアングルや不正リスクシナリオを考慮した具体的かつ網羅的な検討が重要となる点を強調しておきたい。また、経営者による内部統制の無効化に係るリスク評価については、後述のガバナンス強化(改訂ポイント③参照)のなかで一体的に検討する必要がある点に留意されたい。
改訂ポイント②:リスクアプローチに基づく評価範囲の決定
今般の改訂において、『内部統制の評価範囲を、定量的な基準のみを以って機械的に決定すべきでない』点が改めて記載された。つまり、相対的に売上が低い拠点であっても、不正リスク評価の結果、リスクレベルが高いと判断された場合は評価範囲に含めなければならないということである。評価範囲は経営者がリスクベースで決定し、その判断根拠の合理性を検討しなければならないが、リスクレベルの高い対象を見逃さないことが重要となる。
また、評価範囲の決定に関しては、内部統制報告書への記載にも留意されたい。改訂J-SOXでは、評価範囲の決定方法だけでなく、重要な事業拠点の選定時に利用した指標等の判断事由についても記載することが適切とされた。適切に開示するためには、評価範囲の決定に係る判断事由が十分に記載できるレベルで検討され、整理されている必要がある。
改訂ポイント③:ガバナンス強化
今般の改訂において、『内部統制とガバナンス・全組織的なリスク管理は、一体的に整備および運用されることが重要』である点が加筆された。内部統制の評価結果を見直すとともに、取締役会等のガバナンスの役割を明確にして、それぞれの機能を一体的に強化していく必要がある。また、不正リスクの評価結果を踏まえたうえで、ガバナンス等の課題と強化策を立案し、実行する必要がある。内部統制とガバナンス等については、組織を取り巻く環境に対応していくなかで、常に見直されることが肝要である。
内部統制とガバナンス等の一体的整備にあたっては、〔3線モデル〕の考え方が有用となる。具体的には、第1線を事業部、第2線をリスク管理部門、第3線を内部監査部門として、組織内の権限と責任を明確にしつつ、統治機関である取締役会等による監督および監視と適切に連携させていくことが重要となる。また、リスク管理体制の整備については、組織のビジネスモデルや個別性を踏まえて、事業計画達成のために進んで受け入れるリスクの種類と総量を設定する〔リスク選好〕の考え方が有用となる。
V. おわりに
約15年ぶりのJ-SOX改訂を受けて、不正リスクを低減させる内部統制の構築および強化のために、不正リスクの再評価と不正リスクへの対応策の見直しが必要となった。これにあたり、内部統制に関する各種文書の改訂、各業務プロセスオーナーへの展開や認識の擦り合わせなど、改訂のための様々な対応が必要となるだろう。そのなかで最も重要なのは、今般の見直しに係る対応をJ-SOX改訂に伴う一時的な取り組みとしないことである。市場の変動、システムの導入・更新、M&A、新規事業の開始、法令・規制の強化など、企業を取り巻く環境は刻々と変化し続けている。これらの変化を適時に捉え、不正リスクの再評価と不正リスクへの対応策の見直しを継続的に実施し、改善を図り続けていくことが望まれる。
※本文中の意見や見解に関わる部分は私見であることをお断りします。
執筆者
デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック & クライシスマネジメントサービス
種村 彩未 (ヴァイスプレジデント)
(2024.2.14)
※上記の社名・役職・内容等は、掲載日時点のものとなります。
不正・危機対応に関するナレッジやレポートなど、ビジネスに役立つ情報を発信しています。
不正・危機対応の最新記事・サービス紹介は以下からお進みください。
>> フォレンジック&クライシスマネジメント:トップページ <<
その他の記事
改訂J-SOXを踏まえた不正ガバナンス強化支援
J-SOXの新基準で求められる内部統制・リスク管理高度化への対応を不正リスクマネジメントの専門家がサポートします