EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
昨年4月に15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「内部統制基準」)が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか?
不正等による重要な虚偽記載をなくす内部統制制度の趣旨に照らせば、「リスクの評価と対応」において不正リスクを考慮することや内部統制の無効化リスクへの対応は重要なポイントであると考えますが、不正リスク等への対応状況は、企業によってさまざまであるようにも見受けられます。
EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していきます。第3回となる今回は、企業グループとしての不正リスク対応という観点から、グループ管理としての全社的な内部統制の見直しについて解説していきます。
第1回にて掲載した会計不正事例の傾向においては、親会社と子会社とで不正が発生する頻度に有意な差は見られず、子会社だから不正が起こる頻度が低いというわけではありません。また、子会社の不正事例における関与者別の分析においては、子会社の従業員による会計不正のみならず子会社経営者による内部統制の無効化で行われる粉飾も想定しなければならないことが分かります。子会社の経営者や経理責任者の場合、内部統制を無効化できる立場にあるため、あらゆる会計不正が実行可能となるので、不正の手口の絞り込みは難しくなります。このような子会社の不正リスクに対応するには、グループガバナンスの一環としてグループ管理規程及びポリシーマニュアル等の整備・強化といった全社的な内部統制の整備・運用が重要であることは言うまでもありません。しかし、子会社の経営者主導で不正が行われる場合、そもそも子会社で整備している統制活動が無効化されることが多く、その場合には自浄作用は期待できません。したがって、当該子会社の外部、例えば親会社管理部門や地域統括会社などから財務状況の異常値を検出するなどの発見的統制により、子会社の経営者に対して「あなたは見られていますよ」という状況を作らないと、対応は難しいと言えます。
また、従業員も当該内部統制の無効化に関与させられている場合もあるので、彼らが「これはおかしいだろう」と思った時に問題提起できるような仕組みが必要です。これがまさに内部通報制度ということになるかと思いますが、仕組みを作ったから終わりではなく、実際に内部通報の実効性を高めるために、従業員から、制度の理解と通報の秘匿性の担保・実態解明の実施に係る信頼を得なければなりません。わが国においては、公益通報者保護法対応で国内での整備は進んでいると思われますが、海外での通報が機能するかどうかは、しっかり確認する必要があります。
さらに、グループ子会社に係る内部統制の議論として挙げられるのが、規模の小さい子会社への対応です。子会社といっても規模はさまざまであり、それらの全てについて親会社と同レベルで内部統制を構築することはリソースの観点からも難しく、どうすれば良いのか悩みを抱えている企業関係者は多いと思われます。これについて、2023年の9月28日に公表された財務報告内部統制監査基準報告書第1号周知文書第1号では、会計監査人の実務において、「連結集団を構成する個々の会社単位で全社的な内部統制を評価することのみではなく、企業集団全体の観点から全社的な内部統制の整備及び運用状況の評価を適切に実施しているかという点にも留意する」*ことと規定されています。必ずしも子会社単独での内部統制が十分でなくても、親会社からのグループ管理としての一定の統制活動によってリスク対応することも考えられるということです。子会社経営者による内部統制の無効化リスクへの対応として親会社等からの発見的統制が重要であるということとも整合することから、今後は、こういった種類の全社的な内部統制が重視されてくるものと考えます。
* 日本公認会計士協会、財務報告内部統制監査基準報告書第1号周知文書第1号「『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)』(2023 年4月)等を受けた内部統制監査上の留意事項に関する周知文書」、jicpa.or.jp/specialized_field/files/2-24-nkh1s_1-2-20230928.pdf(2024年5月31日アクセス)
企業グループとしての不正リスク対応という観点から、親会社等による発見的統制を整備・運用を検討するにしても、子会社が多い場合、全ての子会社に対して実施することは難しいと感じる企業が多いと思われます。この点を踏まえて、次回第4回は、「子会社に対する不正リスクモニタリング」について解説予定です。
EY Forensicsは、ビッグ4で唯一、監査法人に所属しており、監査人としての視点を生かして、内部統制基準の改訂に伴う不正リスク評価及び対応支援を行っています。実際の不正事案に基づく豊富な知見と実務経験を有し、また、内部統制監査の経験を有する公認会計士・公認不正検査士・当局出身者・ITのプロフェッショナル等が連携し、内部統制の現状評価から改善策の実行支援まで一貫したスピーディーで柔軟なサポートの提供が可能です。
【共同執筆者】
乾 可矢子
(EY Japan Forensic & Integrity Services シニアマネージャー)
EYの関連サービス
2023年4月、15年ぶりに内部統制基準が改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、これに伴う内部統制の基本的枠組みの変更により、不正リスクや経営者等による内部統制の無効化リスクへの対応も考慮することが必要となりました。
続きを読むEYが提供する「連結会計クイックアナリティクス」は、本社で取得可能な連結会計システムのデータに対して、EYの会計監査・不正対策等の知見に基づく分析を行うことで、短期間で子会社の財務数値の異常な傾向の有無を検出し、内部統制制度の見直しに合わせた子会社リスク評価をご支援します。
続きを読む改訂内部統制基準への対応においては、子会社の経営者による内部統制の無効化、実効的な内部通報制度の構築、規模の小さい子会社への対応など、グループ管理としての全社的な内部統制を改めて見直す必要があります。次回以降も、実務の参考となる情報をお届けします。
デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応
内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。筆者は第三者委員会等による外部不正調査において、企業の不正・不祥事の原因の1つとして内部統制上の課題を多く目の当たりにしてきました。また、日本企業に共通する不正対策上の課題も感じているところです。それらの経験も踏まえ、今回の内部統制基準の改訂を契機としてどのような不正リスク対応を企業は行うべきかを論考します。(企業会計2023年7月号)
内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応
15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。
関連イベント・セミナー
内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~
【EY Japan】内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。
【EY・TMI共催】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-
近年の不正・不祥事の動向を見ると、会計不正のみならず品質不正や情報漏えいの件数も増加しており、企業の経営上の問題(業務停止や決算遅延など)に発展したケースもあります。また、EYグローバルインテグリティレポートによれば、経営者に対する従業員の信頼が薄れているとの傾向が見られます。このような状況下で、いかに不正・不祥事リスクに適切に対応し、インテグリティに対する経営者の本気度を示すかは、従業員をはじめ多くのステークホルダーにとって重要であると考えます。 以上の問題意識から、本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。