2024年1月24日
内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応
情報センサー2024年1月 特別企画

内部統制報告制度の改訂 第3回:不正リスク対応から見た内部統制基準改訂とその対応

執筆者
EY 新日本有限責任監査法人

グローバルな経済社会の円滑な発展に貢献する監査法人

Ernst & Young ShinNihon LLC.

荒張 健

EY Japan Forensic&Integrity Services Leader

EY Japan Forensicsのリーダー。組織が誠実性のアジェンダを設定し、リスクを予測し最小化することを支援。

2024年1月24日

15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。

本稿の執筆者

EY新日本有限責任監査法人 Forensics事業部 公認会計士 荒張 健

太田昭和監査法人(現EY新日本有限責任監査法人)に1993年4月に入所後、パートナーとして上場企業、公的機関等に対する会計監査業務、アドバイザリー業務に従事。現在、不正調査、不正対策、コンプライアンスの専門部門であるForensic & Integrity ServicesのJapan Leader、Forensics事業部長を務め、第三者委員会等の委員・補助者として数多くの不正調査やデータアナリティクスを活用した不正対策支援業務に従事。

要点
  • 15年ぶりの内部統制基準改訂において、基本的枠組みの改訂により、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要
  • 最近の不正事例の傾向を見ても、さまざまな関与者による不正が起こっており、各社においてどの関与者による不正リスクが重要となるかの検討が必要
  • まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められる

Ⅰ 企業は今回の内部統制基準改訂をどう捉えるべきか

昨年4月に、15年ぶりに財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準(以下、内部統制基準)が改訂されました。これは、不正等により内部統制の有効性の評価の訂正が繰り返されたことや、国際的な内部統制の枠組みの変化が反映されていなかったことを踏まえたものとなっています。

さて、世の中では、今回の内部統制基準の改訂による影響は大きくないと思っている方がいらっしゃるようですが、それは大きな誤解と言えます。

2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、内部統制の基本的枠組みの改訂により、不正リスクの考慮や内部統制の無効化リスクへの対応が必要となりました。評価範囲の話が注目されがちですが、不正等による重要な虚偽記載をなくす内部統制制度の趣旨に照らせば、不正リスク等に十分対応できているかも併せて検討する必要があると考えます。

不正対応の難しさは、不正が意図的な行為で、取引先との共謀や証憑の改ざん、隠蔽(いんぺい)行為を伴うことから、性善説に基づく対応では限界がある点にあり、リスクの評価と対応について抜本的な見直しが必要となることも考えられ、これらの改訂は、企業の内部統制の実務に大きな影響をもたらすことが想定されます。

全ての不正を防ぐのは不可能ですが、内部統制基準は「リスク評価の実施とリスクに応じた対応」を求めており、発生可能性と影響度を考慮して重要であると評価した対応すべき不正リスクに対して予防・発見が期待されていると考えます。

また、経営者等による内部統制の無視・無効化リスク(以下、無効化リスク)も内部統制の限界ではなく、その対応についての例示が追記され、「複層的な手段を講じて防ぎなさい」というニュアンスとなっています。

Ⅱ 会計不正の傾向と求められる不正リスク対応

1. 直近5年間における会計不正の傾向

過去5年間(2018年1月~2022年12月末)で大手・準大手の監査法人が監査人を務める会社で会計不正に係る外部調査の結果を公表している事例108件を当法人にて分析したところ、<表1>のとおり、不正の関与者という視点では、親会社・子会社にかかわらず経営者・役員が関与した不正は約半数の割合となりました。

また、経営者・役員以外による不正では、親会社と子会社を比べると、親会社は「業務プロセス責任者」と「その他従業員」の関与件数は近似している一方で、子会社の方では、圧倒的に「その他従業員」が関与した件数が多いという結果となりました。

表1 過去5年間(2018年1月~2022年12月)における会計不正事例

表1 過去5年間(2018年1月~2022年12月)における会計不正事例

このように、最近の会計不正事例の傾向を見ても、経営者から一般従業員までさまざまな関与者による不正が起こっており、各社においてどの関与者による不正リスクが重要となるか検討が必要であることがうかがえます。


2. 関与者別の不正への対応

(1) 経営者・役員による内部統制の無効化リスクへの対応

不正対応においては、まず経営トップの姿勢・方針が全ての始まりと言えます。「業績よりもコンプライアンス重視であることの基本的な価値観の共有」をいかに全役職員に浸透させていくかが重要ですが、そのためには、不正リスク対応について役割と責任を明確にした上で組織的に行動する仕組み、例えば、不正リスク評価と対応を執行側の担当役員が責任をもって実行するなど、不正リスク対応に係る責任体制も明確にし、経営執行全体で取り組んでいくというような仕組みが重要と考えます。

社外取締役の間で、自ら経営者・役員による不正を発見することは難しいと考える人は多いようですので、取締役会が、前述のような不正リスク対応について組織的に行動する仕組みの整備・運用について監督するということが重要になると考えます。

さらに、内部監査が誰のレポートラインになっていて、どこまでカバーしているかが重要です。実施基準でも追記されていますが、取締役会に対しても監査結果がレポートされるような仕組みが必要となります。

(2) 業務プロセス責任者による内部統制の無効化リスクへの対応

業務プロセス責任者による内部統制の無効化においては、単独で行っている場合と部下を巻き込んでいる場合があります。

部下を巻き込んでいる場合には、当該部下による内部通報が期待されますが、従業員の心理として匿名性の確保への不安が大きく、必ずしも内部通報が常に有効に機能するとは限りませんので、当該部門から独立したところからの発見的統制活動の実施が有効ではないかと考えます。

発見的統制活動としては、不正リスクシナリオに基づくデータ分析を活用し、異常値を検出してフォローすることが考えられます。会社のデータの整備状況にもよりますが、網羅的に取引を検討でき、かつ、異常値の検出がしやすいという点で、有効な方法と言えます。どのような不正リスクを想定するか、業種・ビジネスフローの特性を踏まえて検討することに加え、自社で過去に起きた不正、同業他社で発生した不正手口にも留意すべきと考えます。

一方、実例を見てみると、職務分掌が不十分な拠点で一人の従業員による多額の資金横領といった事例も数多く発生しています。まさに起こるべくして起きているケースとも言え、改めて職務分掌が不十分な拠点を洗い出す必要性を感じさせる事例と言えます。

(3) その他従業員による不正への対応

過去事例を見ると、その他従業員においても、売上の過大計上や資産の不正流用が多く見られます。

売上の過大計上は、売上の期間帰属を操作することにより前倒し計上を行う不正のほか、書類等を偽造して架空の売上を計上するというタイプの不正が典型的です。また、資産の不正流用については、会社の預金口座から不正に送金を行って資金を横領するタイプのほか、取引先と共謀し架空・水増し発注させ、その代金を着服するタイプの不正が多いです。ビジネスや業務フローの特性等から、取引先との共謀や証憑の改ざん、隠蔽行為のしやすさ等も考慮し、リスクが高い場合には注意が必要となります。

組織の広範囲にわたって架空仕入や原価付け替えが常態化し、対応が不十分な場合には、実際に発生した不正に伴う虚偽記載の金額に重要性が無くとも、潜在的に重要な虚偽記載の発生を防止又は発見できない可能性の程度によって、内部統制の開示すべき重要な不備として判定されるので、留意が必要です。

今回の基準改訂を契機として、そのような不正リスクに対する内部統制の脆弱(ぜいじゃく)性が放置されていないか、不正のトライアングルや共謀・改ざん・隠蔽などのしやすさ等を考慮しながら、既存の統制活動の有効性を評価の上、変更・追加を検討するとともに、場合によっては業務フロー自体を見直した方がよいと考えます。

(4) 子会社における不正リスク対応

子会社の経営者主導で不正が行われる場合、そもそも子会社で整備している統制活動が無効化されることが多く、その場合に自浄作用は期待できません。したがって、当該子会社の外部、例えば親会社管理部門や地域統括会社などから財務状況の異常値を検出するなど発見的統制活動を実施して、子会社の経営者に対して「あなたは見られてますよ」という状況を作らないと、対応は難しいと言えます。

また、従業員も当該無効化に関与させられている場合もあるので、彼らが「これはおかしいだろう」と思った時に問題提起できるような仕組みが必要です。これがまさに内部通報制度ということになるかと思いますが、仕組みを作ったから終わりではなく、実際に内部通報の実効性を高めるために、従業員から、制度の理解と通報の秘匿性の担保・実態解明の実施に係る信頼を得ないといけないでしょう。わが国においては、公益通報者保護法対応で国内での整備は進んでいると思われますが、海外での通報が機能するかどうかは、しっかり確認する必要があります。

また、グループ子会社に係る内部統制の議論として、子会社の全てについて親会社と同レベルで内部統制を構築することは難しく、リソースの配置も難しく、どうすれば良いのか悩みを抱えている企業関係者は多いのではないでしょうか。確かに、子会社には規模の小さいものも多くあり、教科書的な内部統制を整備・運用することは、実務上難しいことも多いと思います。これについて、2023年の9月28日に公表された財務報告内部統制監査基準報告書第1号周知文書第1号では、会計監査人の実務において、「連結集団を構成する個々の会社単位で全社的な内部統制を評価することのみではなく、企業集団全体の観点から全社的な内部統制の整備及び運用状況の評価を適切に実施しているかという点に留意する」ことと規定されています。必ずしも子会社単独での内部統制が十分でなくても、親会社からのグループ管理としての一定の統制活動によってリスク対応することも考えられるということです。子会社経営者による内部統制の無効化リスクへの対応として親会社等からの発見的統制活動が重要であるということとも整合することから、今後は、こういった種類の全社的な内部統制が重視されてくるものと考えます。

なお、子会社の経営者や経理責任者の場合、あらゆる会計不正が実行可能となるので、手口の絞り込みは難しくなります。理想的には、全ての子会社の取引データから異常値を検出して、オンサイトで確認することですが、多くの日本企業はグループ全体で同一の会計システムやデータ体系になっていないので、特に子会社が多い場合には、取引レベルの分析を全ての子会社で実施するのは難しいのではないでしょうか。したがって、<図1>のように、段階的かつ合理的に対象子会社を絞り込んで対応することが考えられます。

図1 子会社に対する不正リスクモニタリングのアプローチ

図1 子会社に対する不正リスクモニタリングのアプローチ

Ⅲ 企業が今から対応すべきこととは

このように、一般的に会計不正は、さまざまな階層の関与者によることが想定されますが、内部統制基準はリスク評価と対応の中で不正リスクを対象としていることから、全ての不正リスクに対応することは求められておらず、企業ごとにどの不正リスクに対して重点的に対応すべきか特定していく必要があります。

そこで、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められます。

適切な不正リスク評価を行うためには、自社で起きた過去の不正事例だけでなく同業他社の不正事例を収集・分析するとともに、ビジネス環境の変化を加味しつつ、不正のトライアングル分析等を実施して、適切な不正リスクシナリオを設定することが重要となります。不正は意図的な行為であり、取引先との共謀や証憑の改ざん、隠蔽行為を伴うことが多く、性善説を前提とした統制活動ではその予防・発見には限界がありますので、既存の内部統制の十分性については慎重な検討が求められます。また評価の結果、残存リスクがある場合、どのようにこれを低減していくのかについても、統制活動の変更を含むプロセスの変更やデータ分析等による発見的統制活動を組み合わせた対応が必要となるため、その検討のための時間確保が必要不可欠です。

その上で、不正リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直せるような、組織として継続的かつ総合的な不正リスク管理態勢の構築に向けた課題を整理する必要があると考えます。

そのように考えると、企業に残された時間はあまり多くないかもしれません。まだ不正リスクに係る対応の検討を始めていない企業は、すぐにでも取り掛かっていただき、今回の基準改訂の趣旨に即した対応を図るべきでしょう。

内部統制報告制度の改訂シリーズ  
第1回 公開済 内部統制報告制度の改訂概要 
第2回 公開済 評価範囲の決定 ~リスクの識別・評価から内部統制報告書における記載まで~
今回   不正リスク対応から見た内部統制基準改訂とその対応
第4回 公開済 内部監査人の資質と技能に関する日本企業の現状課題とその解決に向けた方策
第5回 公開済
内部統制の重要性

サマリー

15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。

情報センサー

EYのプロフェッショナルが、国内外の会計、税務、アドバイザリーなど企業の経営や実務に役立つトピックを解説します。

情報センサーの他の記事を見る

関連コンテンツのご紹介

【寄稿記事】デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応

内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。今回の内部統制基準の改訂を契機としてどのような不正リスク対応を企業は行うべきかを論考します。

詳細ページへ

【寄稿記事】「自己改革」で価値観から変える! 会計DXの進化  データアナリティクスを活用した不正リスクモニタリング

会計分野においても、不正リスク対応に係るデータアナリティクス(DA)が、不正調査のみならす、昨今の会計監査や企業の不正リスクモ二タリングにも活かされている。これらの経験を踏まえ、本稿では、企業のDAを活用した不正リスクモ二タリングの実例や導人にあたっての実務上の留意点、今後の展望について論ずる。

詳細ページへ

【イベント・セミナー】内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~

内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。

詳細ページへ

【イベント・セミナー】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-(EY・TMI共催)

本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。

詳細ページへ

この記事について

執筆者
EY 新日本有限責任監査法人

グローバルな経済社会の円滑な発展に貢献する監査法人

Ernst & Young ShinNihon LLC.

荒張 健

EY Japan Forensic&Integrity Services Leader

EY Japan Forensicsのリーダー。組織が誠実性のアジェンダを設定し、リスクを予測し最小化することを支援。

  • Facebook
  • LinkedIn
  • X (formerly Twitter)