改訂内部統制基準適用を契機に、不正リスク対応の観点から今企業がすべきこと　第2回：重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備

1. はじめに

昨年4月、15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」（以下、「内部統制基準」）が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか？

内部統制基準は、経営者による内部統制の評価範囲外での重要な不備の発生や、十分な理由の開示なく内部統制の有効性の評価の訂正が繰り返されるなど、制度の実効性に懸念が生じたこと及び、日本の内部統制報告制度では、国際的な内部統制の枠組みの変化が反映されていなかったことを踏まえて改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、内部統制の基本的枠組みの改訂により、不正リスクの考慮や内部統制の無効化リスクへの対応が必要となりました。しかし、不正リスク等への対応状況は、企業によってさまざまであるようにも見受けられます。

EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していきます。第2回となる今回は、重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備について解説していきます。

2. 重要な不正リスクの特定と現状評価

今回の基準改訂では、内部統制の基本的な枠組みの変更の1つとして、「リスクの評価と対応」において不正に関するリスクについても考慮することが明示されるとともに、内部統制の無効化についてもより踏み込んだ記載がなされ、これらの対応が必要である旨が改めて明確化されました。

内部統制基準は「リスクの評価と対応」の中で不正リスクを対象としていることから、全ての不正リスクに対応することは求められておらず、企業ごとにどの不正リスクに対して重点的に対応すべきか特定していく必要があります。適切な不正リスク評価を行うためには、自社で起きた過去の不正事例だけでなく同業他社の不正事例を収集・分析するとともに、ビジネス環境の変化を加味しつつ、不正のトライアングル分析等を実施して、適切な不正リスクシナリオを設定することが重要となります。

また、不正は意図的な行為であり、取引先との共謀や証憑の改ざん、隠蔽（いんぺい）行為を伴うことが多く、性善説を前提とした統制活動ではその予防・発見には限界があるため、既存の内部統制の十分性については慎重な検討が求められます。

さらに、評価の結果、残存リスクがある場合、どのようにこれを低減していくのかについても検討が必要です。

このように、不正リスクへの対応においては、対応すべき不正リスクをリスク評価によって特定するだけでなく、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められます。会社として対応すべき不正リスクの把握と対応策の検討に係る合理性を説明するためには非常に多くのことを整理し実施する必要がありますが、下記の図のような不正リスク評価プロセスを実施することが有用と考えます。

3. 継続的な評価体制の整備

今回の改訂では、基準において「内部統制、ガバナンス及び全組織的なリスク管理は、組織及び組織を取り巻く環境に対応して運用されていく中で、常に見直される」^※1旨が新設の項目で明記されるとともに、「リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直すことが重要である」^※2とされ、リスク評価の結果、内部統制等が常に更新されることが求められています。このリスク評価と対応のプロセスがないと、一度検討した内部統制のデザインは更新されず、内部統制の形骸化につながりかねません。自社を取り巻く環境の変化や、同業他社における新たな不正手口を踏まえ、不正リスクへの対応という観点から、常に自社の内部統制を見直し、更新していくことが重要となります。

※1、2　出典：金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」（2024年5月31日アクセス）

4. 次回予告

子会社を含む企業グループの観点から改めて不正リスクに対応するには、子会社経営者による無効化リスクや子会社の不正リスク評価についても適切に対応する必要があります。この点を踏まえて、次回第3回は、「グループ管理としての全社的な内部統制の見直し」について解説予定です。

【共同執筆者】

乾 可矢子
（EY Japan Forensic & Integrity Services　シニアマネージャー）