EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
2024年4月1日以後開始事業年度から改訂後の内部統制報告制度が適用となりました。改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきことについて、実務の参考となる情報をお届けします。
要点
- 15年ぶりの内部統制基準改訂において、基本的枠組みの改訂により、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要
- 最近の不正事例の傾向を見ても、さまざまな関与者による不正が起こっており、各社においてどの関与者による不正リスクが重要となるかの検討が必要
- 改訂内部統制基準の適用を契機に、不正リスク対応の観点から、課題が無いかどうか改めて確認することが必要
1. はじめに
昨年4月、15年ぶりに「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準」(以下、「内部統制基準」)が改訂され、2024年4月1日以後開始する事業年度から適用が始まりましたが、対応状況はいかがでしょうか?
改訂後の内部統制基準では、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、内部統制の基本的枠組みの改訂により、不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応が必要となりました。これは、過去、不正等により内部統制の有効性の評価の訂正が繰り返されたことや、国際的な内部統制の枠組みの変化が反映されていなかったことを踏まえたものとなっています。評価範囲の話が注目されがちですが、不正等による重要な虚偽記載をなくす内部統制報告制度の趣旨に照らせば、不正リスク等に十分対応できているかも合わせて検討する必要があります。
不正リスク対応の難しさは、不正が意図的な行為で取引先との共謀や証憑の改ざん、隠蔽(いんぺい)行為を伴うことから、性善説に基づく対応では限界がある点にあります。そのため、リスクの評価と対応について抜本的な見直しが必要となることも考えられ、これらの改訂は、企業の内部統制の実務に大きな影響をもたらすことが想定されます。世の中では、今回の内部統制基準の改訂による影響は大きくないという見方もあるようですが、この点だけを見ても、それは大きな誤解と言えると考えます。
全ての不正を防ぐのは不可能ですが、内部統制基準は「リスク評価の実施とリスクに応じた対応」を求めており、発生可能性と影響度を考慮して重要であると評価した不正リスクへの対応が期待されていると考えます。また、経営者等による内部統制の無視・無効化リスク(以下、「無効化リスク」)も内部統制の限界ではなく、その対応についての例示が追記され、「複層的な手段を講じて防ぎなさい」というニュアンスとなっています。
EY Forensicsでは、「改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと」と題し、テーマごとに解説していく予定です。
|
テーマ(現時点の予定のため予告なく変更となる可能性があります) |
||
|---|---|---|
|
||
|
||
|
||
|
||
|
||
第1回は、内部統制基準の改訂を踏まえた会計不正の傾向と求められる不正リスク対応について解説していきます。
2. 過去5年間における会計不正の傾向
過去5年間(2018年1月~2022年12月末)で大手・準大手の監査法人が監査人を務める会社で会計不正に係る外部調査の結果を公表している事例108件を当法人にて分析したところ、不正の関与者という視点では、親会社・子会社にかかわらず経営者・役員が関与した不正は約半数の割合となっています。
また、経営者・役員以外による不正では、親会社と子会社を比べると、親会社は「業務プロセス責任者」と「その他従業員」の関与件数は近似している一方で、子会社の方では、圧倒的に「その他従業員」が関与した件数が多いという結果となっています。
このように、会計不正事例の傾向を見ても、経営者から一般従業員までさまざまな関与者による不正が起こっており、各社においてどの関与者による不正リスクが重要となるか検討が必要であることが伺えます。
3. 関与者別の不正への対応
(1)経営者・役員による内部統制の無効化リスクへの対応
不正対応においては、まず経営トップの姿勢・方針が全ての始まりと言えます。「業績よりもコンプライアンス重視であることの基本的な価値観の共有」をいかに全役職員に浸透させていくかが重要ですが、そのためには、不正リスク対応について役割と責任を明確にした上で組織的に行動する仕組み、例えば、不正リスク評価と対応を執行側の担当役員が責任をもって実行するなど、不正リスク対応に係る責任体制も明確にし、経営執行全体で取り組んでいくというような仕組みが重要と考えます。
また、内部監査が誰のレポートラインになっていて、どこまでカバーしているかが重要です。実施基準でも追記されていますが、取締役会や監査役等に対しても監査結果がレポートされるような仕組みが必要となります。
(2)業務プロセス責任者による内部統制の無効化リスクへの対応
業務プロセス責任者による内部統制の無効化においては、単独で行っている場合と部下を巻き込んでいる場合があります。
部下を巻き込んでいる場合には、当該部下による内部通報が期待されますが、従業員の心理として匿名性の確保への不安が大きく、必ずしも内部通報が常に有効に機能するとは限らないため、当該部門から独立したところからの発見的統制活動の実施が有効ではないかと考えます。
発見的統制活動としては、不正リスクシナリオに基づくデータ分析を活用し異常値を検出してフォローすることが考えられます。会社のデータの整備状況によっては有効なデータ分析自体ができない場合もあるものの、網羅的に取引を検討でき、かつ、多面的な視点から効率的に異常値の検出がしやすいという点で有効な方法と言え、その導入については検討の価値があります。なお、どのような不正リスクを想定するかについては、業種・ビジネスフローの特性を踏まえて検討することに加え、自社で過去起きた不正、同業他社で発生した不正手口にも留意すべきと考えます。
一方、実例を見てみると、部下を巻き込むというよりは、職務分掌が不十分な拠点で1人の従業員による多額の資金横領といった事例も数多く発生しています。まさに起こるべくして起きているケースとも言え、改めて職務分掌が不十分な拠点を洗い出す必要性を感じさせる事例と言えます。
(3)その他従業員による不正への対応
過去事例を見ると、その他従業員においても、売上の過大計上や資産の不正流用が多く見られます。
売上の過大計上は、売上の期間帰属を操作することにより前倒し計上を行う不正のほか、書類等を偽造して架空の売上を計上するというタイプの不正が典型的です。また、資産の不正流用については、会社の預金口座から不正に送金を行って資金を横領するタイプのほか、取引先と共謀し架空・水増し発注させ、その代金を着服するタイプの不正が多いです。ビジネスや業務フローの特性等から、取引先との共謀や証憑の改ざん、隠蔽行為のしやすさ等も考慮し、リスクが高い場合には注意が必要となります。
組織の広範囲にわたって架空仕入や原価付け替えが常態化し、対応が不十分な場合には、実際に発生した不正に伴う虚偽記載の金額に重要性が無くとも、潜在的に重要な虚偽記載の発生を防止又は発見できない可能性の程度によって、内部統制の開示すべき重要な不備として判定されるので、留意が必要です。
今回の基準改訂を契機として、そのような不正リスクに対する内部統制の脆弱(ぜいじゃく)性が放置されていないか、不正のトライアングルや共謀・改ざん・隠蔽などのしやすさ等を考慮しながら、既存の統制活動の有効性を評価の上、変更・追加を検討するとともに、場合によっては業務フロー自体を見直した方がよいと考えます。
(4)子会社の不正リスクへの対応
子会社の経営者主導で不正が行われる場合、そもそも子会社で整備している統制活動が無効化されることが多く、その場合、自浄作用は期待できません。また、グループ子会社に係る内部統制の議論として、子会社の全てについて親会社と同じレベルで内部統制を構築することはリソース等において難しく、どうすれば良いのか悩みを抱えている企業関係者は多いのではないでしょうか。この点については、第3回「グループ管理としての全社的な内部統制の見直し」において、解説予定です。
4. 改訂内部統制基準の適用を契機に、不正リスク対応の観点から今企業がすべきこと
このように、一般的に会計不正は、さまざまな階層の関与者によることが想定されますが、改訂内部統制基準の適用を契機に、不正リスク対応の観点から、次のような課題が無いかどうか改めて確認することが必要ではないでしょうか。
- 自社において不正リスク評価を実施し、対応すべき重要なリスクについて現状の課題を把握の上、適切に対応を行ったことが説明できるかどうか(重要な不正リスクの特定と現状評価並びに継続的な評価体制の整備ができているかどうか)
- 企業グループとしての不正リスク対応という観点から、子会社経営者による無効化リスクや子会社の不正リスク評価ついて適切に対応を行っているかどうか(グループ管理としての全社的な内部統制の見直しができているかどうか)
- 親会社が子会社のモニタリングを適切に行っているかどうか
- 日本企業においては内部統制の整備・運用評価を内部監査部門が実施していることが多いように見受けられるが、運用上の課題が無いか(内部監査部門における見直し)
次回以降、上記のそれぞれの課題等について、解説していきます。
「内部統制基準の改訂に伴う不正リスク評価及び対応支援」をダウンロード
「連結会計クイックアナリティクス」をダウンロード
EY Forensicsは、ビッグ4で唯一、監査法人に所属しており、監査人としての視点を生かして、内部統制基準の改訂に伴う不正リスク評価及び対応支援を行っています。実際の不正事案に基づく豊富な知見と実務経験を有し、また、内部統制監査の経験を有する公認会計士・公認不正検査士・当局出身者・ITのプロフェッショナル等が連携し、内部統制の現状評価から改善策の実行支援まで一貫したスピーディーで柔軟なサポートの提供が可能です。
【共同執筆者】
乾 可矢子
(EY Japan Forensic & Integrity Services シニアマネージャー)
EYの関連サービス
-
2023年4月、15年ぶりに内部統制基準が改訂され、2024年4月1日以後開始する事業年度から、経営者の評価範囲の決定においてリスクアプローチの徹底が求められるとともに、これに伴う内部統制の基本的枠組みの変更により、不正リスクや経営者等による内部統制の無効化リスクへの対応も考慮することが必要となりました。
続きを読む -
EYが提供する「連結会計クイックアナリティクス」は、本社で取得可能な連結会計システムのデータに対して、EYの会計監査・不正対策等の知見に基づく分析を行うことで、短期間で子会社の財務数値の異常な傾向の有無を検出し、内部統制制度の見直しに合わせた子会社リスク評価をご支援します。
続きを読む
サマリー
2024年4月1日以後開始事業年度から改訂後の内部統制報告制度が適用となりました。最近の不正事例の傾向を見ても、さまざまな関与者による不正が起こっており、改訂内部統制基準の適用を契機に、改めて、不正リスク対応の観点から課題が無いかどうかを確認することが必要です。次回以降も、実務の参考となる情報をお届けします。
関連コンテンツのご紹介
デジタル化・コロナでより巧妙に 会計不正にどう立ち向かうか 内部統制基準改訂で見直す不正リスク対応
内部統制基準が改訂され、不正リスクの考慮や経営者等による無効化への対応、評価範囲の見直しが求められることとなりました。筆者は第三者委員会等による外部不正調査において、企業の不正・不祥事の原因の1つとして内部統制上の課題を多く目の当たりにしてきました。また、日本企業に共通する不正対策上の課題も感じているところです。それらの経験も踏まえ、今回の内部統制基準の改訂を契機としてどのような不正リスク対応を企業は行うべきかを論考します。(企業会計2023年7月号)
内部統制報告制度の改訂第3回:不正リスク対応から見た内部統制基準改訂とその対応
15年ぶりの内部統制基準改訂において、不正リスクや内部統制の無効化リスクへの対応も考慮することが必要となっています。喫緊の対応として、まず不正リスク評価を行って対応すべき不正リスクを特定し、既存の統制活動で対応が十分かを評価し、不足があれば追加の対応を検討することが求められています。
関連イベント・セミナー
内部統制基準改訂に係る実務 ~不正リスクや経営者等による内部統制無効化リスクへの対応~
【EY Japan】内部統制基準の改訂で不正リスクの考慮や経営者等による内部統制の無効化リスクへの対応の必要性が明確化されました。本セミナーでは、企業が実務対応を進める上で想定される課題やそれらに対する具体的なソリューションを紹介します。
【EY・TMI共催】「あなたの会社は、不正リスクに本気で向き合っていますか?」-不正・不祥事に対するリスク管理体制の実態とその解決策-
近年の不正・不祥事の動向を見ると、会計不正のみならず品質不正や情報漏えいの件数も増加しており、企業の経営上の問題(業務停止や決算遅延など)に発展したケースもあります。また、EYグローバルインテグリティレポートによれば、経営者に対する従業員の信頼が薄れているとの傾向が見られます。このような状況下で、いかに不正・不祥事リスクに適切に対応し、インテグリティに対する経営者の本気度を示すかは、従業員をはじめ多くのステークホルダーにとって重要であると考えます。 以上の問題意識から、本ウェビナーでは、企業の不正・不祥事に対するリスク管理体制の実態や体制強化のポイントについて、実務的な視点も踏まえ議論します。