EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
昨年4月、15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「内部統制基準」)が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか?
内部統制基準は、経営者による内部統制の評価範囲外での重要な不備の発生や、十分な理由の開示なく内部統制の有効性の評価の訂正が繰り返されるなど、制度の実効性に懸念が生じたこと及び、日本の内部統制報告制度では、国際的な内部統制の枠組みの変化が反映されていなかったことを踏まえて改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、内部統制の基本的枠組みの改訂により、不正リスクの考慮や内部統制の無効化リスクへの対応が必要となりました。しかし、不正リスク等への対応状況は、企業によってさまざまであるようにも見受けられます。
EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していきます。第2回となる今回は、重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備について解説していきます。
今回の基準改訂では、内部統制の基本的な枠組みの変更の1つとして、「リスクの評価と対応」において不正に関するリスクについても考慮することが明示されるとともに、内部統制の無効化についてもより踏み込んだ記載がなされ、これらの対応が必要である旨が改めて明確化されました。
内部統制基準は「リスクの評価と対応」の中で不正リスクを対象としていることから、全ての不正リスクに対応することは求められておらず、企業ごとにどの不正リスクに対して重点的に対応すべきか特定していく必要があります。適切な不正リスク評価を行うためには、自社で起きた過去の不正事例だけでなく同業他社の不正事例を収集・分析するとともに、ビジネス環境の変化を加味しつつ、不正のトライアングル分析等を実施して、適切な不正リスクシナリオを設定することが重要となります。
また、不正は意図的な行為であり、取引先との共謀や証憑の改ざん、隠蔽(いんぺい)行為を伴うことが多く、性善説を前提とした統制活動ではその予防・発見には限界があるため、既存の内部統制の十分性については慎重な検討が求められます。
さらに、評価の結果、残存リスクがある場合、どのようにこれを低減していくのかについても検討が必要です。
このように、不正リスクへの対応においては、対応すべき不正リスクをリスク評価によって特定するだけでなく、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められます。会社として対応すべき不正リスクの把握と対応策の検討に係る合理性を説明するためには非常に多くのことを整理し実施する必要がありますが、下記の図のような不正リスク評価プロセスを実施することが有用と考えます。
*1 監訳:八田進二・神林比洋雄・橋本尚/訳:日本内部統制研究学会・不正リスク研究会『決定版COSO不正リスク管理ガイド』(日本公認会計士協会出版局、2017年)を基にEY作成)
*2 不正リスク管理の原則2の不正リスク評価は、当該不正リスク評価プロセスとなる。
今回の改訂では、基準において「内部統制、ガバナンス及び全組織的なリスク管理は、組織及び組織を取り巻く環境に対応して運用されていく中で、常に見直される」※1旨が新設の項目で明記されるとともに、「リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直すことが重要である」※2とされ、リスク評価の結果、内部統制等が常に更新されることが求められています。このリスク評価と対応のプロセスがないと、一度検討した内部統制のデザインは更新されず、内部統制の形骸化につながりかねません。自社を取り巻く環境の変化や、同業他社における新たな不正手口を踏まえ、不正リスクへの対応という観点から、常に自社の内部統制を見直し、更新していくことが重要となります。
※1、2 出典:金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」(2024年5月31日アクセス)
子会社を含む企業グループの観点から改めて不正リスクに対応するには、子会社経営者による無効化リスクや子会社の不正リスク評価についても適切に対応する必要があります。この点を踏まえて、次回第3回は、「グループ管理としての全社的な内部統制の見直し」について解説予定です。
EY Forensicsは、ビッグ4で唯一、監査法人に所属しており、監査人としての視点を生かして、内部統制基準の改訂に伴う不正リスク評価及び対応支援を行っています。実際の不正事案に基づく豊富な知見と実務経験を有し、また、内部統制監査の経験を有する公認会計士・公認不正検査士・当局出身者・ITのプロフェッショナル等が連携し、内部統制の現状評価から改善策の実行支援まで一貫したスピーディーで柔軟なサポートの提供が可能です。
【共同執筆者】
乾 可矢子
(EY Japan Forensic & Integrity Services シニアマネージャー)
EYの関連サービス
2023年4月、15年ぶりに内部統制基準が改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、これに伴う内部統制の基本的枠組みの変更により、不正リスクや経営者等による内部統制の無効化リスクへの対応も考慮することが必要となりました。
続きを読むEYが提供する「連結会計クイックアナリティクス」は、本社で取得可能な連結会計システムのデータに対して、EYの会計監査・不正対策等の知見に基づく分析を行うことで、短期間で子会社の財務数値の異常な傾向の有無を検出し、内部統制制度の見直しに合わせた子会社リスク評価をご支援します。
続きを読む内部統制基準への対応においては、不正リスク評価プロセスを実施することが有用と考えます。また、内部統制の形骸化を防ぐため、常に自社の内部統制を見直し、更新していくことも重要です。次回以降も、実務の参考となる情報をお届けします。
デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応
内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。筆者は第三者委員会等による外部不正調査において、企業の不正・不祥事の原因の1つとして内部統制上の課題を多く目の当たりにしてきました。また、日本企業に共通する不正対策上の課題も感じているところです。それらの経験も踏まえ、今回の内部統制基準の改訂を契機としてどのような不正リスク対応を企業は行うべきかを論考します。(企業会計2023年7月号)
内部統制報告制度の改訂第3回:不正リスク対応から見た内部統制基準改訂とその対応
15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。
関連・イベントセミナー
内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~
【EY Japan】内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。
【EY・TMI共催】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-
近年の不正・不祥事の動向を見ると、会計不正のみならず品質不正や情報漏えいの件数も増加しており、企業の経営上の問題(業務停止や決算遅延など)に発展したケースもあります。また、EYグローバルインテグリティレポートによれば、経営者に対する従業員の信頼が薄れているとの傾向が見られます。このような状況下で、いかに不正・不祥事リスクに適切に対応し、インテグリティに対する経営者の本気度を示すかは、従業員をはじめ多くのステークホルダーにとって重要であると考えます。 以上の問題意識から、本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。