改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと　第4回：子会社に対する不正リスクモニタリング

1. はじめに

昨年4月に15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」（以下、「内部統制基準」）が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか？

不正等による重要な虚偽記載をなくす内部統制制度の趣旨に照らせば、「リスクの評価と対応」において不正リスクを考慮することや内部統制の無効化リスクへの対応は重要なポイントであると考えますが、不正リスク等への対応状況は、企業によってさまざまであるようにも見受けられます。

EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していきます。第4回となる今回は、企業グループとしての不正リスク対応という観点から、子会社に対する不正リスクモニタリングについて解説していきます。

2. 統制活動としての子会社モニタリングとリスク評価

前回の第3回で解説したとおり、子会社における不正リスクとしては、子会社の従業員による会計不正のみならず子会社経営者による内部統制の無効化で行われる粉飾も想定する必要があるため、子会社での自浄作用が働かないことを前提として、親会社等による発見的統制の実施について紹介しました。しかし、特に子会社が多い場合には、全ての子会社に対してこの発見的統制を実施することは実務上困難であることが想定されることから、合理的な手法により段階的に対象子会社を絞り込んで対応することが必要と考えられます。

このとき、合理的な手法としては、図のとおり定性的分析と定量的分析による絞り込みが考えられます。

ここで留意が必要なのは、これらの子会社モニタリングにおける定性的分析と、不正リスク評価やJ-SOXにおける業務プロセスの評価範囲の決定における定性的分析との整理です。すなわち、「統制活動」の一環として実施するものと、「リスクの評価と対応」の一環として実施するものやJ-SOXの評価範囲を決定する際に実施するものとは、似て異なるものとなります。

したがって、これらはそれぞれ異なる内部統制の構成要素であり、別の立場から実施されることになることから、それぞれが異なる部門で実施することが考えられますが、各部門が連携してこれらを実施することも十分に考えられます。その場合、特定部門が実施したものをそのまま利用するのではなく、各部門の立場から批判的に検討を実施し、一定のけん制を効かせることが重要となるでしょう。

なお、定量的分析は、実際に各子会社の月次業績が親会社にレポートされないと実施できないため、事前に実施することは困難であることから、おのずと「統制活動」の一環として実施されることが考えられますが、今回の基準改訂においては、「リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直す」ことが求められている（実施基準Ⅰ2．（2）①）^＊ことから、「統制活動」を担当する部署は「リスクの評価と対応」やJ-SOXでの経営者による評価を担当する部門とも連携して、適時適切に対応を図ることが望まれます。

＊ 出典：金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」（2024年5月31日アクセス）

3. チェックリストによる定性的分析

定性的分析としては、以下の様な過去の不正事例等から想定される不正リスクが高い要素をチェックリスト化し、これらの要素の有無を考慮してリスクが相対的に高い子会社を絞り込んでいく方法が考えられます。

【不正リスクが高い要素の例】

(1) 目が行き届きにくい

• ノンコア事業
• M&A直後の買収先、新規・異業種事業
• 海外におけるJV（ジョイントベンチャー）
• 聖域化されている事業・子会社
• 遠隔地にあって目が行き届きにくい国内外子会社
• 不十分な内部監査の実施

(2) 脆弱（ぜいじゃく）な内部管理体制等

• 不十分な職務分掌・管理リソースの不足（ビジネスの急成長を含む）
• 脆弱な会計システムとマニュアル作業の存在
• 管理者・従業員のローテーションの不足
• インテグリティに悪い影響を与えかねない組織風土の存在

(3) 不正へのインセンティブの存在やその他の要因

• マーケット・ビジネス環境の大きな変化による業績悪化
• 組織・部門の存続が厳しい等、コンプライアンスがトレードオフされかねない状況
• 過度なインセンティブ報酬・給与制度の存在
• リスク勘定の存在（多額の現金取引やデリバティブ取引等の存在）
• 海外におけるローカル会計監査人

など

4. 従業員サーベイによる定性的分析

一般に、組織風土に問題がある会社は不正を起こしやすい組織と考えられ、経営者の姿勢と並んで内部統制においても統制環境として最も重要な要素といえます。不正を行うのは最終的には個人であり、個人のインテグリティ（誠実性）が機能する限り、不正に手を染めることは無いと考えられます。しかしながら、個人のインテグリティに悪い影響を与えかねない組織風土の存在は、いつしか個人のインテグリティを揺るがし、不正に手を染める可能性は相対的に高くなります。したがって、そのようなインテグリティに悪い影響を与えかねない組織風土の存在は、不正リスクを考慮する上で、重要な要素となると考えます。

多くの日系企業では、既にエンゲージメントサーベイや満足度調査、意識調査といった名前で従業員サーベイを実施しています。その目的は会社によってさまざまですが、その結果を基に、どの子会社がコンプライアンス上課題を抱えているのか、また、従業員のインセンティブに悪い影響を与え得るのかが把握できれば、それを定性的評価に反映することも1つの方法となると考えます。

5. 定量的分析

定性的分析は、不正リスクにつながる要素の有無から絞り込むアプローチでしたが、実際の財務数値の変動から異常値を検出して不正リスクの高い子会社を絞り込んでいくアプローチが定量的分析です。

子会社の数が多く、グループ全体で同一の会計システムやデータ体系になっていない場合、全ての子会社の取引データを分析することは実務上難しいので、入手しやすい財務データを分析して、リスクの高いと思われる子会社を絞り込むことが必要となってきます。そこで有用と考えられるのが、連結パッケージデータです。

四半期や月次で本社が入手している各社の連結パッケージデータは、貸借対照表や損益計算書、場合によってはキャッシュフロー計算書まで含まれており、新たに子会社からデータ提供を求める必要がありません。また、一定の形式に沿ってデータが入力されているため、データも扱いやすい状況となっており、この情報の活用は実務的な対応といえます。

既に経理部や内部監査部にて連結パッケージデータから子会社の財務諸表分析を行っている企業はあると思われ、利益率や債権回転期間、棚卸資産回転期間といった財務指標を含めた分析を行っている企業も多いと思われますが、多くの企業では、前年同期比較か前四半期（前月）との比較を行っているにとどまり、中長期の推移分析を行っているケースはまだ少ないのではないでしょうか。

また、不正のシナリオに応じて、売上、販管費、売上総利益率、棚卸資産、その他資産や各種財務指標が同時にどの様に変動するかに着目して異常値を捉えないと、異常値の検出は難しいと考えられます。

もっとも、概括的な分析にとどまるため、不正による異常値がこれで必ず検出されるかというと、その答えはノーであり、よほど大きな額の不正でないと、異常値として浮き上がってこないというのもまた現実です。したがって、定量的分析には限界も多く、定性的な分析と合わせて実施する必要があり、取引データレベルの分析を行う対象子会社の選定の1ステップでしかない点に留意が必要です。

実務的には、グループ全体での不正リスク評価を実施し、重要な不正リスクが認識され定性的な分析を合わせて要モニタリング対象となる子会社については、取引データ分析による異常検知を継続的なモニタリングとして導入しつつ、他の子会社に対しては概括的に定量的分析を行い、異常が認められる子会社を追加的な取引データ分析の対象とするなど、いろいろな手法を組み合わせた対応が効果的であると考えます。

6. 次回予告

国内企業においては、内部統制の整備・運用評価を内部監査部門が実施していることが多いように見受けられます。この点を踏まえて、次回第5回は、「内部監査部門における見直し」と題し、改訂内部統制基準対応における内部監査部門の課題とその対応について解説予定です。

【共同執筆者】

乾 可矢子
（EY Japan Forensic & Integrity Services　シニアマネージャー）