改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと　第5回：内部監査部門の見直し及びリスクの評価と対応を推進する体制整備

1. はじめに

昨年4月、15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」（以下、「内部統制基準」）が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか？

不正等による重要な虚偽記載をなくす内部統制制度の趣旨に照らせば、「リスクの評価と対応」において不正リスクを考慮することや内部統制の無効化リスクへの対応が重要なポイントであると考えますが、不正リスク等への対応状況は、企業によってさまざまであるようにも見受けられます。

EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していきます。

国内企業においては、J-SOXの独立評価を内部監査部門が行うことが多いですが、今回の基準改訂を踏まえた全社統制の変化にどう対応するのかが、ポイントとなります。また、独立評価を担っている関係で、リスク評価や内部統制の整備の在り方の検討やモニタリングの役割まで担ってしまっている企業も多いのではないでしょうか。これは、これまでの第2回から第4回にかけて紹介してきた、不正リスク評価の継続的な実施や、グループ管理の観点から行う全社的な内部統制としての子会社に対するモニタリングを、グループのどの部門が担っていくのかを検討する上で深く関係する課題であるといえます。改訂内部統制基準対応における内部監査部門の課題とその対応の観点から、第5回となる今回は、内部監査部門の見直し及び不正リスクの評価と対応を推進する体制整備について解説していきます。

2. 独立評価の運用上の課題

本改訂基準の適用に伴い、不正リスク対応という観点から、不正リスクの評価やグループ管理としての全社統制という概念が導入され、全社統制自体が複雑化しています。そのような中で、全社統制の整備・運用状況をどのように評価するかが、今後問題になってくることが想定されます。不正リスク評価や子会社の異常検知といったグループ管理としての全社統制の運用の妥当性をどのように評価するのかについては、規程の存在があるから大丈夫というわけにはいかないでしょう。これは、独立評価を行う上で、その内容の是非を判断できるような体制・人的スキルの向上が必要であることを意味します。

3. 自己モニタリングの問題

リスク評価とリスク対応をともに内部監査部門が担っている場合、経営者の独立評価を行う部署と同一となるため、自己モニタリングになってしまう恐れがあります。

すなわち、内部監査部門が内部監査の一環として不正リスクの発見統制等のリスク対応を担い、他の部門ではそのようなリスク対応が行われなかった場合、内部監査部門がその限定されたリソースの範囲でしかリスク対応をしなかったとしても、そのリスク対応の十分性に関して指摘する部門は存在しません。そのため、仮に不正リスクに対する対応が不十分であったとしても、その状況が放置される可能性が高くなります。これは実際の不正事例においても、第三者委員会等の不正調査でそのような指摘がなされているところです。

改訂基準においても、3線モデルが新たに紹介され、「第1線を業務部門内での日常的モニタリングを通じたリスク管理、第2線をリスク管理部門などによる部門横断的なリスク管理、そして第3線を内部監査部門による独立的評価として、組織内の権限と責任を明確化しつつ、これらの機能を取締役会又は監査役等による監督・監視と適切に連携させることが重要である」^※1とされています（実施基準Ⅰ5．）。

上記を踏まえると、第3線の内部監査部門は、「リスクの評価や対応」、「統制活動」といった役割は担うべきではなく、第1線や第2線の活動を批判的に評価し、取締役会等に改善を進言する役割を担う必要があります。

なお、コーポレートガバナンスコード補充原則4-3④においても、「内部統制や先を見越した全社的リスク管理体制の整備は、適切なコンプライアンスの確保とリスクテイクの裏付けとなり得るものであり、取締役会はグループ全体を含めたこれらの体制を適切に構築し、内部監査部門を活用しつつ、その運用状況を監督すべきである」^※2と記載されており、コーポレートガバナンスコードで規定するように内部監査部門を活用した運用状況の監督をするのであれば、内部監査部門とは別の部門が不正リスク評価を行っている体制（いわゆる3線モデル）が前提となると考えます。

※1　出典：金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」（2024年5月31日アクセス）

※2　出典：株式会社東京証券取引所「コーポレート・ガバナンスコード～会社の持続的な成長と中長期的な企業価値の向上のために～」、www.jpx.co.jp/equities/listing/cg/tvdivq0000008jdy-att/nlsgeu000005lnul.pdf（2024年5月31日アクセス）

4. 改訂内部統制基準における内部監査人に関する記載

本改訂基準では、内部統制の基本的枠組みの改訂の1つとして、「内部統制に関係を有する者の役割と責任」における内部監査人の記述に以下のポイント^※3が追記されました。

• 内部監査人は、熟達した専門的能力と専門職としての正当な注意をもって職責を全うすることが求められる。
• 内部監査の有効性を高めるために、経営者は、内部監査人から適時かつ適切に報告を受けることができる体制を確保することが重要であると同時に、内部監査人は、取締役会及び監査役等への報告経路を確保するとともに、必要に応じて、取締役会及び監査役等から指示を受けることが適切である。

このうち、1つ目のポイントは、先述の「独立評価を行う上で、その内容の是非を判断できるような体制・人的スキルの向上が必要」という点や、3線モデルの役割を適切に果たすために内部統制やリスク管理に係る一定の知見が求められることとも整合します。また、2つ目のポイントは、内部統制の無効化に対する組織内の全社的または業務プロセスにおける適切な内部統制の例示の1つとしても挙げられている「内部監査人による取締役会および監査役等への直接的な報告に係る体制等の整備および運用」とも整合するものです。これは、従来、内部監査が経営者直下の組織として経営者に内部監査の結果を報告していた頃とは一線を画する内容となっており、改善が求められる企業も少なくないかもしれません。経営者不正を意識した改訂でもあることから、企業の真摯（しんし）な対応が求められるものと考えます。

※3　出典：金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」（2024年5月31日アクセス）

5. 企業に求められる不正リスクを含むリスクの評価と対応を推進する体制の整備

第2回から第4回にかけて、「重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備」、「グループ管理としての全社的な内部統制の見直し」、「子会社に対する不正リスクモニタリング」について解説してきました。そして、今回の第5回では、これらの役割を内部監査部門が担ってしまっている場合における自己モニタリングの問題についても紹介しました。

以上を踏まえ、不正リスクを含むリスク評価を継続的に実施し、リスクへの対応を適時に見直すことができる体制となっているか、また、グループ管理としての全社的な内部統制が子会社に対する不正リスクモニタリングの方法論を含めて十分なものか、改めて現状を評価する必要があるのはないでしょうか。もし不十分であるならば、経営者はそのような体制を整備し、その責任を負う役員を選任することで、不正リスクを含むリスク管理に組織として対応することを明確にすべきと考えます。これが、ひいては経営者の不正リスクに対する姿勢を役職員に明確化することにもつながるのではないでしょうか。

6. おわりに

5回にわたり、内部統制基準の改訂について解説してまいりましたが、改めて、今回の改訂は不正リスク対応という観点から多くの日本企業にとって大きな転機となり得る重大な影響を及ぼすものといえるのではないでしょうか。

改訂された基準では具体的な記載が少なく、企業に判断を委ねているが故に、この大きな変革の必要性に気が付いていない企業は多いかもしれませんが、改訂の趣旨や追加された規定を素直に解釈すれば、実務的には難しいことが要求されていることは明らかです。そして、それらの点は、いずれも長年にわたって、日本企業において棚上げされてきた課題でもあるといえます。

今回のこれらの解説が、皆さまの改訂基準の理解を深めることに役立ち、少しでも日本企業の不正リスク対応強化の良い機会につながっていくことを願っております。

【共同執筆者】

乾 可矢子
（EY Japan Forensic & Integrity Services　シニアマネージャー）