内部統制報告制度の改訂　第1回：内部統制報告制度の改訂概要

内部統制報告制度が、制度導入以来、およそ15年ぶりに大きく改訂され、2024年4月1日以後開始する事業年度から適用されることとなりました。改訂の背景には内部統制報告制度の実効性に対する懸念や、内部統制の基本的枠組みが時代の変化に対応しきれなくなったことが挙げられています。本稿では、改訂の概要について解説していきます。

なお、本稿における意見に係る部分については、執筆者の私見に基づくものであることをお断りします。

Ⅰ 内部統制報告制度改訂の背景

改訂の経緯や趣旨を理解しておくことが改訂内容に適切に対応する上で不可欠であることから、はじめに改訂の背景をみていきます。

「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」には、制度改訂の経緯が記載されています。

経緯の1つ目として、『経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らかになる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が一定程度見受けられており、経営者が内部統制の評価範囲の検討に当たって財務報告の信頼性に及ぼす影響の重要性を適切に考慮していないのではないか等の内部統制報告制度の実効性に関する懸念が指摘されている』との記載があります^※１。この懸念に対応すべく、経営者が内部統制の評価範囲を決定するに当たっては、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを改めて強調する形として、評価範囲に関する改訂がされています。

経緯の2つ目として、国際的な内部統制の枠組みが経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するために改訂されていることを受け、日本でも内部統制の基本的枠組みの見直しの必要性の議論がなされ、改訂に至ったことが記載されています。

このように、今回の改訂は社会の期待を反映したものになっていますので、上場会社も監査人も社会の期待に応えるために、改訂の背景を理解した上で改訂後の内部統制報告制度に適切に対応していく必要があります。

次の章から改訂の概要をみていきますが、上記1つ目の経緯に応える改訂はⅢに、上記2つ目の経緯に応える改訂はⅡに概ね相当します。

Ⅱ 内部統制の基本的枠組みの改訂

「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」（以下、基準及び実施基準）はそれぞれ3部構成となっており、Ⅰ部が内部統制の基本的枠組み、Ⅱ部が経営者の評価、Ⅲ部が監査人の監査となっています。

内部統制の基本的な枠組みは、内部統制の4つの目的と6つの基本的要素とされており、今般の改訂では、内部統制の目的の1つである「財務報告の信頼性」が「報告の信頼性」と改訂されたほか、4つの基本的要素に改訂が施されています。

1.  内部統制の「目的」の改訂

内部統制の目的は、「業務の有効性及び効率性」、「財務報告の信頼性」、「法令等の遵守」、「資産保全」とされてきましたが、サステナビリティ等の非財務情報に係る開示の進展や重要性の高まりを受けて、「財務報告の信頼性」が「報告の信頼性」と改訂されました。

ただし、金融商品取引法は改正されていないため、内部統制報告書が対象とする内部統制は従前どおり「財務報告に係る内部統制」となります。

2. 基本的要素の改訂

6つの基本的要素とは、「統制環境」、「リスクの評価と対応」、「統制活動」、「情報と伝達」、「モニタリング」及び「ITへの対応」を指します。内部統制報告制度においては、全社的な内部統制と称し、原則全ての事業拠点で評価が求められています。

今回、「リスクの評価と対応」、「情報と伝達」、「モニタリング」、「ITへの対応」に改訂が施されました。

全社的な内部統制の評価実務において、実施基準Ⅱにある『財務報告に係る全社的な内部統制に関する評価の例』を参照している企業は多いと思います。今回の改訂では、当該例に対する修正がなかったことから、基本的要素が改訂されても、全社的な内部統制の評価には影響しない、と考えている企業があるかもしれません。しかしながら、上場会社の内部統制報告書において、「財務報告に係る内部統制を整備及び運用する際に準拠した一般に公正妥当と認められる内部統制の枠組み」として当該基準及び実施基準の基本的枠組みを記載している企業が大半です。というのも、内部統制府令において、一般に公正妥当と認められる内部統制の枠組みは、当該基準及び実施基準の内部統制の基本的枠組みと定められているためです。したがって、基本的枠組みが改訂された場合には、企業は改訂後の基本的枠組みに準拠して内部統制を整備運用することが必要となり、内部統制報告制度においては、改訂後の基本的枠組みに準拠して内部統制が適切に整備運用されているかという視点での評価が必要となります。

(1) リスクの評価と対応

リスクの評価と対応では、評価対象となるリスクに不正に関するリスクが含まれることが明記されました。これにより、企業は財務報告の信頼性に及ぼす影響の重要性を考慮する上で、不正に関するリスクも念頭におくこととなります。不正に関するリスクを検討する際には、不正の要因となる「動機とプレッシャー」、「機会」、「姿勢と正当化」について考慮することが重要とされており、企業は、今後、これらの不正の要因も考慮して評価範囲を決定していくことになります。

また、今回の改訂では、リスクの変化についても加筆されています。リスクは、時の経過や状況の変化に応じて変容する性質を有するため、リスクの変容に注意を払い、適時にリスクを再評価し、再評価したリスクへの対応を行うことが重要とされています。内部統制報告制度の評価範囲の決定においても、リスクは変化するものであることを前提に適切な評価範囲の決定と見直しが期待されています。

(2) 情報と伝達

情報と伝達については、情報の信頼性が強調されました。基準及び実施基準が策定された15年前と比べると、ビジネス及びビジネスを取り巻く環境は変化しており、大量の情報を扱い、業務が高度に自動化されたシステムに依存している状況も増えてきています。そうした状況においては、情報の信頼性が重要となることが強調されました。

(3) モニタリング

モニタリングについては、内部監査人が識別した問題点について、取締役会や監査役等とも共有し、適切に対応することが求められています。内部監査は経営者直轄の組織としている企業も多いと思いますが、内部監査人が識別した問題点について、適時に経営者に報告する仕組みを確保するとともに、問題点に対し経営者が適切な対応をしているかをガバナンスが監視していくことの重要性を確認する改訂となっています。

(4) IT（情報技術）への対応

ITへの対応については、昨今、ITリソースを自社で保有せず、外部の専門会社に委託する事例も増えてきていることから、ITの委託業務に係る重要性について強調されています。また、クラウドやリモートアクセスなどのさまざまな技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保の重要性も強調されました。

(5) その他の主な改訂点

ここでは、その他の主な改訂点として2点取り上げたいと思います。

1点目は、内部統制の限界の1つとされる内部統制の無視又は無効化リスクについてです。今回の改訂で、内部統制の無視又は無効化のリスクを低減する対策例が追記されています。改訂後の基準では、全社的な内部統制や業務プロセスレベルの内部統制を適切に整備運用していれば、内部統制の無視又は無効化のためには社内に複数の共犯が必要となるため、たとえ経営者であっても内部統制の無視又は無効化は相当程度困難なものとなり、経営者の不正に対する抑止的な効果も期待できるとされています。内部統制の無視又は無効化は、特定の1つの効果的な内部統制があれば防止や発見ができるといった単純なものではないため、適切な経営者の理念等に基づく社内の制度、適切な職務分掌、組織全体を含めた経営者の内部統制の整備及び運用に対するガバナンス体制、内部監査、内部通報といった要素が複合的に重なりあって抑止又は発見していくことになります。

2点目は、内部監査について、内部監査人として熟達した専門的能力と専門職としての正当な注意が求められる点が追記されました。熟達した専門的能力には、監査や被監査対象業務に関する知識、リスクの識別に関する知識、リスクへの対応の適切性を判断する知識が含まれると考えます。経営者は、連結グループ全体の業務の適正を確保することを目的とした体制の整備運用に責任を負っていますが（会社法第362条第4項第6号）、自ら業務の適正が確保できているかを確認することは困難であることから経営者の直属として内部監査を設けていることが多いです。内部監査は経営者自身の職責を支援する位置づけであることから、課題を適切に指摘し、時には改善案を適切に提案できるような熟達した専門的能力を有した人材を確保することが重要と考えます。内部監査については、本シリーズ4回目で取り扱います。

Ⅲ 評価範囲の決定に関する改訂

経営者が内部統制の評価範囲を決定するにあたって、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを改めて強調するため、評価範囲の検討における留意点が明確化されました。詳細については本シリーズ2回目で取り扱いますので、ここでは骨子のみ記載します。

(1) 評価範囲の決定に関する判断事由

今回の改訂では、評価範囲の決定において、数値基準を機械的に適用することなく、財務報告に対する影響の重要性を考慮した上で評価範囲を決定していくことが明示的に求められ、内部統制報告書においても、評価範囲を決定した判断事由を含めて記載することが求められています。なお、金融庁から出ている内部統制に関するQ&Aが改正されており、内部統制報告書の記載例が削除されました。これは、評価範囲を決定した判断事由として、各企業の状況に応じた判断を含めて記載することが期待されての改正となっています。

(2) 評価範囲の適時な見直し

評価範囲については、評価の計画段階において監査人と協議することが適切とされていましたが、今回の改訂では、監査人との協議は経営者による評価の計画段階に限定されないと記載されました。評価の計画段階で把握した事象や状況が変化した場合、あるいは評価の過程で新たな事実を発見した場合には、評価範囲を再検討し、監査人と協議することが適切とされています。リスクは、時の経過や状況の変化に応じて変容する性質を有するため、企業は、リスクを適時に評価する仕組みを構築し、そこで把握した財務報告に係るリスクについては、内部統制報告制度の下で関連する内部統制評価をしていく、といった一連の流れができると効率的で効果的と考えられますが、まずは、企業グループとして、財務報告に重要な影響を及ぼす可能性のある状況の変化や新たに生じた事象や取引を適時に把握できる仕組みとなっているかにつき確認しておく必要があると思います。

なお、情報センサーでは、今後も内部統制報告制度の改訂に関連し、以下のテーマを掲載していきます。