内部統制報告制度の改訂　第2回：評価範囲の決定　～リスクの識別・評価から内部統制報告書における記載まで～

15年ぶりに改訂が公表された内部統制報告制度のうち、経営者による内部統制の評価範囲の決定において求められたリスクアプローチの観点につき、リスクの識別・評価から評価範囲の決定、内部統制報告書における記載まで一連の流れとして紹介します。

要点

• 経営者による内部統制の評価範囲選定に関する規定の改訂概要について
• どのように企業及び企業環境に影響を及ぼすリスクを識別・評価し、評価範囲を決定していくのか
• 内部統制報告書において記載が求められた決定の判断事由等の記載事項についての考察

Ⅰ はじめに

本稿では、2023年4月に改訂された内部統制報告制度のうち経営者による内部統制の評価範囲の決定において求められている事項を中心に説明します。評価範囲の決定については、金額基準や例示項目等による機械的な判断ではなく、財務報告に対する質的影響並びにその発生可能性を考慮することや、企業及び企業環境の変化において発生又は変化するリスクの考慮が求められるなど、リスクアプローチを強調する改訂となっています。また、内部統制報告書においては、評価範囲決定の方法だけでなく、その根拠の記載が必要になり、より具体的な説明が求められることとなります。財務報告に重要な影響を及ぼすリスクをどのように識別するか、また、識別したリスクをどのように分析・評価して経営者の評価範囲に組み込んでいくか、その根拠をどのように内部統制報告書において記載していくかについて説明していきます。

なお、本稿における意見に係る部分については、執筆者の私見に基づくものであることをお断りします。

Ⅱ リスクの識別・評価と経営者の評価範囲の決定

1. 評価範囲に関する主な改訂概要

経営者が内部統制の評価範囲を決定するに当たっては、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことを強調する形で、評価範囲に関する規定が改訂されています。主な改訂点は以下になります。

• 長期間にわたり評価範囲外としてきた特定の事業拠点や業務プロセスについて、評価範囲に含めることの必要性の有無を考慮
• 開示すべき重要な不備が識別された場合には、少なくとも当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切
• 全社的な内部統制のうち、良好でない項目がある場合には、それに関連する事業拠点及び業務プロセスを評価範囲に含めることが必要
• 評価対象とする事業拠点や業務プロセスを選定する際には、金額基準等の機械的な判断ではなく、財務報告に対する金額的及び質的影響並びにその発生可能性を考慮
• 留意すべきリスクについて、リスクが発生又は変化する可能性がある状況の例示
• 監査人との適時な協議の強調
  

評価範囲を検討するに当たって、これらの事項が適切に考慮できているかを見直す必要があります。

2. リスクをどのように識別・評価し、評価範囲を決定するか

評価対象とする事業拠点や業務プロセスを選定する際には、金額基準等による機械的な判断ではなく、財務報告に対する金額的及び質的影響並びにその発生可能性を考慮することが強調されました。また、個別に評価対象に追加する業務プロセスを選定する際の留意事項に、リスクが発生又は変化する可能性がある状況として以下の9つの例が示されました。

• 規制環境や経営環境の変化による競争力の変化
• 新規雇用者
• 情報システムの重要な変更
• 事業の大幅で急速な拡大
• 生産プロセス及び情報システムへの新技術の導入
• 新たなビジネスモデルや新規事業の採用又は新製品の販売開始
• リストラクチャリング
• 海外事業の拡大又は買収
• 新しい会計基準の適用や会計基準の改訂

改訂後は、基本的枠組みの「リスクの評価と対応」において、リスクの見直しについて言及されているように、内部統制報告制度においても、期中に財務報告に重要な影響を及ぼす可能性のある状況の変化があれば、適切に評価範囲を見直す必要があり、そのためには以下の点が重要となります。

(1) 企業環境の変化によって生じるリスクの変化をどのように識別するのか
(2) 識別したリスクの業務及び財務報告への影響をどのように評価するのか

(1) 企業環境の変化によって生じるリスクの変化をどのように識別するのか

リスクが発生又は変化する可能性のある状況として例示されたような企業内外の環境の変化を適時、適切に識別し、財務報告に影響を与えるリスクとなり得るものは何なのかを検討する必要があります。

具体的に、企業内外のリスク要因を識別する手段として、例えば、①社内のリスク管理部門などが取り纏めているリスク事象を収集することや、②各部・各社などから自部門・自社内の状況変化に係る定期的な報告を収集すること、③経営会議・取締役会資料や各種委員会資料を閲覧すること、④財務部門から会計制度・規制動向の報告を取り纏めること等が考えられます。

(2) 識別したリスクの業務及び財務報告への影響をどのように評価するのか

企業環境の変化によって生じるリスクの変化に係る情報を識別した上で、財務報告に与える影響をどのように評価するのかについては、これまで内部統制報告制度対応としてリスク評価や評価範囲の検討を担っていた部門において、①前述（1）で示したような方法によりリスクの変化を識別した上で、②財務報告に与える影響の金額的及び質的重要性や虚偽表示の発生可能性の観点から評価し、③重要性の高いものについては、評価範囲に加えていくなどといった仕組みを導入することが考えられます。

例えば、ある業務プロセスにAIやRPA等のテクノロジーを新たに導入した場合に、財務報告に関連する業務プロセスに影響したり、財務報告に関連する情報の生成過程に影響する場合には、財務報告に与える影響の金額的重要性や虚偽表示の発生可能性を評価し、その重要性が高いと判断した場合に評価範囲に加えることが考えられます。

Ⅲ 内部統制報告書における記載

1. 内部統制報告書に関する主な改訂概要

内部統制報告書において以下の事項につき、決定の判断事由を含めて記載することが適切であることが明記されました。

(1) 重要な事業拠点の選定において利用した指標とその一定割合
(2) 評価対象とする業務プロセスの識別において企業の事業目的に大きく関わるものとして選定した勘定科目
(3) 個別に評価対象に追加した事業拠点及び業務プロセス

重要な事業拠点を選定する指標、比率や企業の事業目的に大きく関わる勘定科目について、今後はその判断根拠を内部統制報告書へ記載していく必要があります。特に、（3）の個別に評価対象に追加した事業拠点及び業務プロセスについては、企業及び企業を取り巻く環境が変化する中で、財務諸表に重要な影響を及ぼすリスクは何かを判断した上で評価範囲を選定し、選定の判断事由を含めて内部統制報告書に記載することになります。新技術の導入や海外企業の買収等といった企業の財務報告や財務報告の作成プロセスに影響すると想定される情報を企業が公表した場合や、マーケット参加者が把握している規制動向がある場合には、企業が評価範囲の決定において財務報告に及ぼす影響を適切に考慮しているかが外部からも分かりやすいため、特に留意が必要です。

2. 内部統制報告書における記載事項の検討

(1) 重要な事業拠点の選定において利用した指標とその一定割合

重要な事業拠点の選定に利用する指標について、例えば、一般的な製造業を営む連結グループであり、各事業拠点において生産から販売まで一括して行っているような場合には、事業拠点の重要性を判断する指標として売上高が適切と判断することがあるものと考えられます。一方で、生産と販売の拠点を分けていて、売上高のみでは事業拠点の重要性を判断できない場合には、売上原価や税前当期純損益などの指標を追加的に用いることが適切と判断することがあるものと考えられます。

また、重要な事業拠点の選定に利用する比率については、全社的な内部統制が良好である場合には、引き続き3分の2基準が適切と判断することがあると考えられます。

一方で、売上高の3分の2を選定指標とした場合に、重要な事業拠点の選定対象から外れる拠点の中に、事業目的遂行上重要と考えられる拠点がある場合には、3分の2を機械的に適用することなく当該拠点を追加することが適切と判断することがあるものと考えられます。

このように、企業の置かれた環境や事業の特性から、何をもって事業拠点における事業規模や経営成績の重要性を判断するかについて整理し、用いる指標や比率を検討した上で、さらには、選定指標から外れた事業拠点において追加で評価範囲に含めるべき事業拠点がないかについて検討し、これらの検討内容を内部統制報告書上で記載していくことが適切であるものと考えられます。

(2) 評価対象とする業務プロセスの識別において企業の事業目的に大きく関わるものとして選定した勘定科目

企業の事業目的に大きく関わる勘定科目として一般的な事業会社においては、売上、売掛金、及び棚卸資産の3勘定を選定しているケースが多いかと考えられますが、例えば、複数の事業を営む連結グループであれば、全ての事業に対して画一的な勘定科目を使用するのではなく、事業毎に事業の目的に大きく関わる勘定科目を選定することが適切と判断することがあるものと考えられます。

このように、個別の業種、自社の置かれた環境や事業の特性等に応じてどのように判断したのかを整理し、選定する勘定科目を検討した上で、その検討内容を内部統制報告書上で記載していくことが適切であるものと考えられます。

(3) 個別に評価対象に追加した事業拠点及び業務プロセス

重要な事業拠点及びそれ以外の事業拠点について、財務報告への影響を勘案して、重要性の大きい業務プロセスについては個別に評価対象に加える必要があります。個別に評価対象に追加する事業拠点及び業務プロセスの重要性を判断するアプローチとして、事業の特性や勘定科目の性質等から評価対象に追加を検討するものと、当期の状況変化に対応して評価範囲に追加を検討するものがあると考えられます。これまで経験のない新たな事業や、ある国の特定の商慣習の下で営む事業や、同業他社で不正が報告された事業と類似する事業や、人員が十分でない子会社や、会計慣行が成熟していない事業といった、自社の事業の特性に照らしてリスクの高いと考えられる事業を追加することが考えられます。また、勘定科目の性質から評価対象に追加するものとしては、見積りや経営者の予測を伴い、虚偽記載の発生可能性が高い勘定科目としてのれんや貸倒引当金等を追加することが考えられます。

事業の特性や勘定科目の性質等から評価対象に追加する場合には、財務報告への影響を踏まえて選定理由を内部統制報告書に記載することが期待され、また、当期の状況変化に対応して評価範囲に追加した事業拠点や業務プロセスについては、その状況変化の内容と財務報告に及ぼす影響について内部統制報告書に記載することが期待されていると考えます。

Ⅳ おわりに

ここまで説明してきた通り、内部統制の評価範囲を決定するに当たって、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきことが改めて強調されている改訂となっています。経営者の評価範囲の拡大をいたずらに求めるものでもなく、場合によっては、これまで形式的に評価範囲に含めていた拠点や業務プロセスのうち、リスクが低いと考えられるものを評価範囲から外す余地もあるものと考えられます。そのため、今回の改訂を機に、企業グループを取り巻く環境や事業の特性を理解できているか、環境の変化やリスクの変化を適時に把握できているか、把握したリスクの評価が適切に実施されているか、といった観点から経営者の評価範囲を決定するプロセスの構築が必要であると考えられます。

内部統制報告制度の改訂シリーズ