昨日の2022年12月15日、金融庁のウェブサイトに、内部統制基準等の公開草案がリリースされましたね。
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(公開草案)」
直近の内部統制部会が2022年12月8日に開催されたため、ちょうど一週間後に公開草案がリリースされました。結論からいえば、そのときの部会で配布された資料からは大きな変更はありません。
しかし、配布資料と公開草案との新旧対照表が提供されないため、審議の状況を追っている人にとっては、どこが変更されたかについて自分で調べなければなりません。
そこで、変更点について新旧対照表の形で共有しますね。もっとも、こんな情報は、監査法人で内部統制監査のメソッドやツールを開発している方にしか需要がないかもしれないと思いつつ。ちなみに、変更箇所は【隅付き括弧】で示しています。
前文
| 配布資料 | 公開草案 |
| 一 経 緯 | |
| 内部統制の目的の一つである「財務報告」の「報告」【への拡張】(非財務報告と内部報告を含む)、 | 内部統制の目的の一つである「財務報告」の「報告」(非財務報告と内部報告を含む【。】)【への拡張】、 |
| 三 内部統制報告書の訂正時の対応 | |
| 訂正内部統制報告書において、具体的な訂正の経緯や理由の開示を求めるために、 | 訂正内部統制報告書において、具体的な訂正の経緯や理由【等】の開示を求めるために、 |
「一 経 緯」では、カッコ書きの位置が変更されているだけです。特段の論点はありません。
また、「三 内部統制報告書の訂正時の対応」では、訂正内部統制報告書における訂正に関する具体的な開示について変更が加えられました。配布資料では「経緯や理由」と限定列挙されていたところ、公開草案では「経緯や理由等」と「等」の文字が追加されました。おそらくは、これら以外の事項も含めた実務に期待したのでしょう。
財務報告に係る内部統制の評価及び監査の基準
変更された点はありません。
財務報告に係る内部統制の評価及び監査に関する実施基準
Ⅰ.内部統制の基本的枠組み
| 配布資料 | 公開草案 |
| (6)IT (情報技術)への対応 | |
| クラウドやリモートアクセス等の様々な技術を活用するに【あ】たっては、 | クラウドやリモートアクセス等の様々な技術を活用するに【当】たっては、 |
| 3.内部統制の限界 | |
| 監査役等による監査【及び】内部監査人による取締役会及び監査役等への直接的な報告に係る体制等の整備も経営者による内部統制の無視ないし無効化【のための】対策となると考えられる。 | 監査役等による監査【並びに】内部監査人による取締役会及び監査役等への直接的な報告に係る体制等の整備も経営者による内部統制の無視ないし無効化【への】対策となると考えられる。 |
| 5.内部統制とガバナンス及び全組織的なリスク管理 | |
| 適切な資本配分や収益最大化を含むリスク選好の考え方 | 適切な資本【・資源】配分や収益最大化を含むリスク選好の考え方 |
変更された4箇所のうち、実質的な変更は後半の2箇所です。いずれも、直近の内部統制部会で委員から指摘があった箇所です。
まず、経営者による内部統制の無効化に関する記述です。配布資料では、経営者が内部統制を無効化することを目的としているかのような記載となっていました。もちろん、そんな意図はないため、単純なミスです。
次に、リスク選考の考え方に関する記述です。配布資料では「適切な資源配分」とのみ記述されていました。これが金融機関向けの表現であることから、金融機関以外の企業も範囲に含まれることを明確にするために、「資源配分」も追加されました。
Ⅱ.財務報告に係る内部統制の評価及び報告
| 配布資料 | 公開草案 |
| b.ITに係る業務処理統制の評価 | |
| また、電子記録【は】変更の痕跡が残り難【く】、内部統制の無効化が生じてもその発見が遅れることがある点についても留意することが重要である。 | また、電子記録【について】変更の痕跡が残り難【い場合には】、内部統制の無効化が生じてもその発見が遅れることがある点についても留意することが重要である。 |
こちらも、直近の内部統制部会で委員から指摘があった箇所です。配布資料では、電子記録というものが、変更の痕跡が残りにくいような性質であるかのような記述でした。もちろん、電子記録のすべてがそうした性質を有しているものではないため、正確な記述へと修正されています。
なお、内部統制部会での質疑応答において、事務局サイドは、この部分の記述がJICPAの文書に基づいていることを何度か繰り返していました。どの文献なのかが気になったため調べたところ、監査基準報告書315実務ガイダンス第1号「ITの利用の理解並びにITの利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A(実務ガイダンス)」に次の記載を見つけました。
さらに、紙の記録に比べて電子記録は変更の痕跡が残り難く、ITアプリケーションのプログラムによる処理内容の検証が難しいことで、内部統制の無効化が生じてもその発見が遅れることもあります。
「Q2 不正リスクや関連手続を検討する場合、自動化された情報処理統制の無効化のリスクと留意点は何でしょうか。」のA2
ここの記述もそのうち見直されるのかもしれませんね。
Ⅲ.財務報告に係る内部統制の監査
変更された点はありません。
改正内容のインパクト
以上のとおり、今回の公開草案は、直近の内部統制部会における配布資料から大きく変更されていません。審議の状況を追っている方は、安心して、配布資料からの検討を続けられます。
ただし、気をつけたいのは、これが改正内容ではないこと。資料間の整合性をお伝えしたのであって、どのような改正になったかまでは解説していません。
今回の内部統制報告制度の改正内容は、一見すると、「足元の実務に大きな影響を直接及ぼさない」との印象を受けるかもしれません。しかし、リスクベースの内部統制評価が明確になっています。また、そうした評価にシフトしていく必要に迫られる企業もあるでしょう。
とはいえ、事業環境やリスクが大きく変化しないような事業年度も十分に想定できます。そんなときには、どうすれば良いのか。
ここで、海外のKAM(監査上の主要な検討事項)における説明の仕方にヒントがあると考えています。もちろん、それは財務諸表監査の手法でもあります。詳しくは、また、別の機会にでも。
P.S.
ボクの初めての単著は、内部統制報告制度が導入されたときの解説本でした。それは、2007年3月に発売された『内部統制のしくみはこうつくる』(日本実業出版社)です。
また、2012年3月発売の『すらすら在庫管理』(中央経済社)も、売上・仕入・製造・在庫計上に関する業務プロセスとその内部統制を説明しています。
さらに、2015年3月に発売になった共著『会計不正~平時における監査役の対応』(LABO)でも、ボクが担当している箇所は基本的に業務プロセスに着目した不正リスクとその内部統制について解説しています。
こうして振り返ると、自分の実務のベースのひとつに、内部統制があることを実感しますね。
