EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
昨年4月に15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「内部統制基準」)が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか?
不正等による重要な虚偽記載をなくす内部統制制度の趣旨に照らせば、「リスクの評価と対応」において不正リスクを考慮することや内部統制の無効化リスクへの対応は重要なポイントであると考えますが、不正リスク等への対応状況は、企業によってさまざまであるようにも見受けられます。
EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していきます。第4回となる今回は、企業グループとしての不正リスク対応という観点から、子会社に対する不正リスクモニタリングについて解説していきます。
前回の第3回で解説したとおり、子会社における不正リスクとしては、子会社の従業員による会計不正のみならず子会社経営者による内部統制の無効化で行われる粉飾も想定する必要があるため、子会社での自浄作用が働かないことを前提として、親会社等による発見的統制の実施について紹介しました。しかし、特に子会社が多い場合には、全ての子会社に対してこの発見的統制を実施することは実務上困難であることが想定されることから、合理的な手法により段階的に対象子会社を絞り込んで対応することが必要と考えられます。
このとき、合理的な手法としては、図のとおり定性的分析と定量的分析による絞り込みが考えられます。
ここで留意が必要なのは、これらの子会社モニタリングにおける定性的分析と、不正リスク評価やJ-SOXにおける業務プロセスの評価範囲の決定における定性的分析との整理です。すなわち、「統制活動」の一環として実施するものと、「リスクの評価と対応」の一環として実施するものやJ-SOXの評価範囲を決定する際に実施するものとは、似て異なるものとなります。
したがって、これらはそれぞれ異なる内部統制の構成要素であり、別の立場から実施されることになることから、それぞれが異なる部門で実施することが考えられますが、各部門が連携してこれらを実施することも十分に考えられます。その場合、特定部門が実施したものをそのまま利用するのではなく、各部門の立場から批判的に検討を実施し、一定のけん制を効かせることが重要となるでしょう。
なお、定量的分析は、実際に各子会社の月次業績が親会社にレポートされないと実施できないため、事前に実施することは困難であることから、おのずと「統制活動」の一環として実施されることが考えられますが、今回の基準改訂においては、「リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直す」ことが求められている(実施基準Ⅰ2.(2)①)*ことから、「統制活動」を担当する部署は「リスクの評価と対応」やJ-SOXでの経営者による評価を担当する部門とも連携して、適時適切に対応を図ることが望まれます。
* 出典:金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」(2024年5月31日アクセス)
定性的分析としては、以下の様な過去の不正事例等から想定される不正リスクが高い要素をチェックリスト化し、これらの要素の有無を考慮してリスクが相対的に高い子会社を絞り込んでいく方法が考えられます。
など
一般に、組織風土に問題がある会社は不正を起こしやすい組織と考えられ、経営者の姿勢と並んで内部統制においても統制環境として最も重要な要素といえます。不正を行うのは最終的には個人であり、個人のインテグリティ(誠実性)が機能する限り、不正に手を染めることは無いと考えられます。しかしながら、個人のインテグリティに悪い影響を与えかねない組織風土の存在は、いつしか個人のインテグリティを揺るがし、不正に手を染める可能性は相対的に高くなります。したがって、そのようなインテグリティに悪い影響を与えかねない組織風土の存在は、不正リスクを考慮する上で、重要な要素となると考えます。
多くの日系企業では、既にエンゲージメントサーベイや満足度調査、意識調査といった名前で従業員サーベイを実施しています。その目的は会社によってさまざまですが、その結果を基に、どの子会社がコンプライアンス上課題を抱えているのか、また、従業員のインセンティブに悪い影響を与え得るのかが把握できれば、それを定性的評価に反映することも1つの方法となると考えます。
定性的分析は、不正リスクにつながる要素の有無から絞り込むアプローチでしたが、実際の財務数値の変動から異常値を検出して不正リスクの高い子会社を絞り込んでいくアプローチが定量的分析です。
子会社の数が多く、グループ全体で同一の会計システムやデータ体系になっていない場合、全ての子会社の取引データを分析することは実務上難しいので、入手しやすい財務データを分析して、リスクの高いと思われる子会社を絞り込むことが必要となってきます。そこで有用と考えられるのが、連結パッケージデータです。
四半期や月次で本社が入手している各社の連結パッケージデータは、貸借対照表や損益計算書、場合によってはキャッシュフロー計算書まで含まれており、新たに子会社からデータ提供を求める必要がありません。また、一定の形式に沿ってデータが入力されているため、データも扱いやすい状況となっており、この情報の活用は実務的な対応といえます。
既に経理部や内部監査部にて連結パッケージデータから子会社の財務諸表分析を行っている企業はあると思われ、利益率や債権回転期間、棚卸資産回転期間といった財務指標を含めた分析を行っている企業も多いと思われますが、多くの企業では、前年同期比較か前四半期(前月)との比較を行っているにとどまり、中長期の推移分析を行っているケースはまだ少ないのではないでしょうか。
また、不正のシナリオに応じて、売上、販管費、売上総利益率、棚卸資産、その他資産や各種財務指標が同時にどの様に変動するかに着目して異常値を捉えないと、異常値の検出は難しいと考えられます。
もっとも、概括的な分析にとどまるため、不正による異常値がこれで必ず検出されるかというと、その答えはノーであり、よほど大きな額の不正でないと、異常値として浮き上がってこないというのもまた現実です。したがって、定量的分析には限界も多く、定性的な分析と合わせて実施する必要があり、取引データレベルの分析を行う対象子会社の選定の1ステップでしかない点に留意が必要です。
実務的には、グループ全体での不正リスク評価を実施し、重要な不正リスクが認識され定性的な分析を合わせて要モニタリング対象となる子会社については、取引データ分析による異常検知を継続的なモニタリングとして導入しつつ、他の子会社に対しては概括的に定量的分析を行い、異常が認められる子会社を追加的な取引データ分析の対象とするなど、いろいろな手法を組み合わせた対応が効果的であると考えます。
国内企業においては、内部統制の整備・運用評価を内部監査部門が実施していることが多いように見受けられます。この点を踏まえて、次回第5回は、「内部監査部門における見直し」と題し、改訂内部統制基準対応における内部監査部門の課題とその対応について解説予定です。
EY Forensicsは、ビッグ4で唯一、監査法人に所属しており、監査人としての視点を生かして、内部統制基準の改訂に伴う不正リスク評価及び対応支援を行っています。実際の不正事案に基づく豊富な知見と実務経験を有し、また、内部統制監査の経験を有する公認会計士・公認不正検査士・当局出身者・ITのプロフェッショナル等が連携し、内部統制の現状評価から改善策の実行支援まで一貫したスピーディーで柔軟なサポートの提供が可能です。
【共同執筆者】
乾 可矢子
(EY Japan Forensic & Integrity Services シニアマネージャー)
EYの関連サービス
2023年4月、15年ぶりに内部統制基準が改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、これに伴う内部統制の基本的枠組みの変更により、不正リスクや経営者等による内部統制の無効化リスクへの対応も考慮することが必要となりました。
続きを読むEYが提供する「連結会計クイックアナリティクス」は、本社で取得可能な連結会計システムのデータに対して、EYの会計監査・不正対策等の知見に基づく分析を行うことで、短期間で子会社の財務数値の異常な傾向の有無を検出し、内部統制制度の見直しに合わせた子会社リスク評価をご支援します。
続きを読む改訂内部統制基準では、子会社も含めた不正リスク対応が求められます。親会社等による発見的統制の実施を行うにあたり、子会社が多い場合には、定性的分析や定量的分析などの合理的な手法で対象子会社を絞り込むことが考えられます。次回以降も、実務の参考となる情報をお届けします。
デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応
内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。筆者は第三者委員会等による外部不正調査において、企業の不正・不祥事の原因の1つとして内部統制上の課題を多く目の当たりにしてきました。また、日本企業に共通する不正対策上の課題も感じているところです。それらの経験も踏まえ、今回の内部統制基準の改訂を契機としてどのような不正リスク対応を企業は行うべきかを論考します。(企業会計2023年7月号)
内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応
15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。
関連イベント・セミナー
内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~
【EY Japan】内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。
【EY・TMI共催】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-
近年の不正・不祥事の動向を見ると、会計不正のみならず品質不正や情報漏えいの件数も増加しており、企業の経営上の問題(業務停止や決算遅延など)に発展したケースもあります。また、EYグローバルインテグリティレポートによれば、経営者に対する従業員の信頼が薄れているとの傾向が見られます。このような状況下で、いかに不正・不祥事リスクに適切に対応し、インテグリティに対する経営者の本気度を示すかは、従業員をはじめ多くのステークホルダーにとって重要であると考えます。 以上の問題意識から、本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。