JSOX効率化に焦点をおいた不正対策内部統制整理

Ⅰ．はじめに
Ⅱ．前提
Ⅲ．（改訂部分を中心とした）あるべきベースの対応
Ⅳ．効率的な不正対策内部統制
Ⅴ．おわりに
Ⅵ．参考文献

Ⅰ．はじめに

本記事は、Blanknote氏が立ち上げられた「会計系Advent Calendar  2023」の12月13日用に作成されたものです。
先人達のレベルが高すぎて、ビクビクしておりますが、かるーくお読みいただけますと幸いです。
ぁ、監査法人の先生方、石を投げないでください(>_<)

こんばんは、Xでお世話になっております。Kazuと申します。
少し前までBig4にて監査をして、その後、上場企業に所属して会社の側に立って、主に内部統制絡みの業務をしております。
監査法人時代は、そこまで内部統制監査にガッツリ前のめりで取り組んでいたというよりは、法人メソドロジーに則って粛々と、計画・手続実施をしていたところ、
今回、J-SOX基準が改定されたこともあり、「基準ベース」にて、真剣に検討することにいたしました。
ある程度検討した後に、Xで「3行でまとめる2024改訂JSOX」をつぶやいたところ、「不正リスク対応も重要な改訂では？」とツッコミを頂いたので、染みついた法人メソドロジーから離れ、学習しなおしてみました。

「結局、大事な統制って何よ？」という方は、「Ⅳ．効率的な不正対策内部統制」までスキップして下さい。

さて、日本において、2008年4月1日以降開始事業年度から、財務報告に係る内部統制の経営者による評価と公認会計士等による監査（以下「内部統制報告制度」という。）が導入されてから、15年余りが経過しましたが、誤謬や不正等の発生件数は依然として高くなっています。
また、この間に当初の日本の内部統制報告制度のベースとなっている、米国COSOの内部統制の基本的枠組みに関する報告書が改訂される等の動きがあったのに対して、日本の内部統制報告制度は改訂が行われてきませんでした。
この状況を踏まえ、2023年4月7日に、企業会計審議会から「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（意見書）」（以下、改訂J-SOX基準という）が公表されました（2024年4月1日以降開始事業年度で適用）。

改訂J-SOX基準における改訂要素はいくつかありますが、そのうち、不正リスクの検討としては、以下の2点が追加されています。（追加文まま）

1点目は、Ⅰ.2.(2)リスクの評価と対応①リスクの評価』において
「（前略）リスクの評価の対象となるリスクには、不正に関するリスクも含まれる。不正に関するリスクの検討においては、様々な不正及び違法行為の結果発生し得る不適切な報告、資産の流用及び汚職について検討が必要である。不正に関するリスクの評価においては、不正に関する、動機とプレッシャー、機会、姿勢と正当化について考慮することが重要である。（後略）」という部分。

2点目は、Ⅰ．３．内部統制の限界』において、
「（前略）しかし、経営者が、組織内に適切な全社的又は業務プロセスレベルに係る内部統制を構築していれば、複数のものが当該事実に関与することから、経営者によるこうした行為の実行は相当程度、困難なものになり、結果として、経営者自らの行動にも相応の抑止的な効果をもたらすことが期待できる。適切な経営理念等に基づく運用に対する取締役会による監督、監査役等による監査及び内部監査人による取締役会及び監査役等への直接的な報告に係る体制等の整備及び運用も経営者による内部統制の無視又は無効化への対策となると考えられる。また、経営者以外の内部統制における業務プロセスに責任を有する者が、内部統制を無視又は無効ならしめることもある」という部分が追加されています。

とはいえ、以下Ⅲ.でも書きますが、改訂前のJ-SOX基準においても、「不正又は誤謬の～」という文言は多用されており、不正に関する要素が今回全く新たに追加された、というわけでもありません。

Ⅱ．前提

J-SOX基準の対象としては、いろいろな規模業種の会社があります。シングルセグメントなど商流が限られていれば、比較的不正リスクも特定しやすい部分がありますので、今回は逆に、以下のような会社を想定しています。
『多様な業種のサービスを提供しており、グループ全体として、リスクポイントが分散しているため、広く注意喚起をする必要がある。
現状、経営者評価としては、不正リスクについては、誤謬と明確には区別なく内部統制を敷いていることから、RCM上は、不正リスク対応の内部統制を明確には特定せずに、実施している。』

Ⅲ．（改訂部分を中心とした）あるべきベースの対応

まずは、改訂J-SOX基準や、関連する監査基準委員会報告（以下、「監基報」）を通読し、「不正」や、「内部統制」に関する部分をピックアップし、評価や監査を実施する主体や制度ごとにまとめてみました。

(1)経営者（会社側）にJ-SOX基準上求められる事項

まずは、ダイレクトレポーティングを採用していない日本において基礎となる、経営者（会社側）の評価としては、「J-SOX基準」の「評価の基準」部分が該当します。このうち、「不正対応」について、整理してみます。

【改訂論点関連】
改訂J-SOX基準上、上述、Ⅰ.にある全般的な事項として追加された結果、経営者評価項目として明示的には、以下の内容が追加されたのみです。
・取締役会による監督
・監査役等による監査
・内部監査人による取締役会及び監査役等への直接的な報告体制構築

【従来】
一方で、従前の「内部統制実施基準」においても、以下のような不正に関する対応は要請されています。
・全社統制の中で、リスクの定義には、盗難や会計処理の誤謬や不正行為の発生などが含まれること（実施基準２．(2)Ⅰ）。
・統制活動や情報の伝達の一環として、不正を加味すること。
・内部統制の限界の中で、適切な内部統制を整備することで、複数の担当者の共謀による不正を相当程度困難にすること（実施基準３．）
・業務プロセスに係る内部統制の整備において、「内部統制は、不正又は誤謬を防止又は適時に発見できるように適切に実施されているか」（実施基準Ⅱ．３．（３））

このように、J-SOX基準の改訂前から、不正の実施を相当程度困難にするために、不正を想定した内部統制を意識することが求められていることが分かり、
改訂J-SOX基準単体としては、不正リスクはそれほど大きなインパクトはないと考えられます。

(2)監査人にJ-SOX基準上求められる事項

経営者側に求められるJ-SOX基準上の要請は、(1)の通りですが、一方で、経営者による内部統制の評価結果を監査する、監査人側の実務の指針として、従来から「財務報告に係る内部統制の監査に関する実務上の取扱い」があります。（旧　監査・保証実務委員会報告第82号）

【改訂論点関連】
旧82号委員会報告は、財務報告内部統制監査基準報告書第１号「財務報告に係る内部統制の監査」（以下、「改訂内基報1」）として、2023年7月28日に改訂され、監査人に主として、以下の2点で追加的な留意点を示しています。

・内部統制の基本的枠組みにおいては、リスクの評価と対応においては不正リスクを考慮する必要がある。監査人は、全社的な内部統制の整備及び運用評価の妥当性の検討にあたり、経営者による全社的な内部統制の整備及び運用状況の評価の妥当性に当たり、経営者による全社統制の内部統制の評価において、不正リスクによる経営者による内部統制の無視や無効化のリスクが考慮されているか、適時に見直されているかに留意する（37項.(1)全社的な内部統制①内部統制監査　の　「さらに」以下）

・経営者による評価範囲の決定方針を理解する際に、経営者が不正リスクを含むリスク評価をどのように反映しているかについて留意する。（Ⅶ．１．評価範囲の検討 75-2項）

上述、（１）経営者向けの改訂点では、大きく振れられてはいませんでしたが、評価範囲の決定方針について、不正リスクの反映を留意するように、監査法人側には求められています。

【従来】
念のために、内基報1について、従来からある規定を確認すると、以下のような規定がなされています。

・（例えば、売上、売掛金、棚卸資産などの）企業の事業目的に大きく関わる勘定科目の選定について、不正リスクの程度を勘案する（100項）
・（例えば、架空売上や、減損損失の計上漏れなどの）特別な検討を必要とするリスクを有する勘定科目に関連するプロセスは、その性格から、通常、経営者による内部統制の評価対象に含まれるべきであると考えられるが、経営者が内部統制の評価対象に含めていない場合は、評価対象にしないことに合理的な理由があるかどうかを慎重に検討しなければならない（特別な検討を必要とするリスクについては、監基報315第11項(10)参照）。（112項）
・監査人は不正等を発見した場合には、経営者等に報告し適切な対応を求めるとともに、内部統制の有効性に及ぼす影響の程度を検討する（223項ほか）
・勘定科目の金額が多額の場合、リスクが高い場合、引当金等の監査人の専門判断が必要な程度が高い場合には、内部監査人等の証跡や評価をそのまま使える程度が下がる（230項）

(3)監査法人側の財務諸表監査上の対応

最後に、会社側からはあまり馴染みがありませんが、監査法人が従うべき公認会計士・監査法人による財務諸表監査の実務指針として、監査基準委員会報告（以下、「監基報」）や、2013年に公表された「監査における不正リスク対応基準」などもあり、これらの要請も踏まえて、監査法人は経営者（会社側）に内部統制の評価を求めます。

たとえば、不正リスク対応基準においては、以下のように定められています。
『監査人は、特別な検討を必要とするリスクがあると判断した場合には、それが財務諸表における重要な虚偽の表示をもたらしていないかを確かめるための実証手続を実施し、また、必要に応じて、内部統制の整備状況を調査し、その運用状況の評価手続を実施しなければならない。（不正対応基準三3）』

この、特検リスク対応の内部統制の整備・運用評価の必要性に関するジャッジは、監査法人側が行うことから、経営者（会社側）としては、
監査法人のリスク評価の結果に従って、内部統制の整備及び運用状況の評価は、基本的には監査法人から要求されるもの、と考えておく方がよいです。

また、内基報1以外にも、代表的な監基報（2023.1.12Ver）のうち、不正リスクにからむ内部統制の記載をピックアップしてみました。

監基報240「財務諸表監査における不正」
・監査人は、企業の内部統制システムを理解するためのリスク評価手続を実施する際には、不正による重要な虚偽表示リスクを識別するために、不正リスクに関する経営者の評価や、経営者が識別したか注意を払っている特定の不正リスクなどを質問する（15項以下）

・監査人が不正による重要な虚偽表示リスクであると評価したリスクを、特別な検討を必要とするリスクとして取り扱い、対応する内部統制のデザインを評価し、業務への適用（整備評価）を判断しなければならない（26項）

監基報315「重要な虚偽表示リスクの識別と評価」
・監査手続を実施するにあたり内部統制に依拠する場合は、内部統制の運用評価も必要。（1項）
・以下のデザイン評価と業務適用の判断が必要①（不正リスクを含めた）特検リスク、②仕訳入力、など（25項（4）A139項、A140項）

監基報610「内部監査人等の利用」
・特別な検討を必要とするリスクを含め、監査人が評価したアサーション・レベルの重要な虚偽表示リスクが高い場合、内部監査人等の利用できる範囲（＝経営者が抽出したサンプルや、その評価結果）は縮小され、監査人の自らが作業を実施する範囲（＝監査人自ら抽出するサンプルや、評価）が拡大します。（14項、A20-22項）

（4）(1)～(3)を統括した経営者に求められる対応

上述、3側面の要素を勘案すると、(1)として経営者評価として、直接に求められる不正対応の内部統制への要求事項は少ないものの、(2)や(3)の監査人向けの要求事項を反映した結果、以下のような追加的な負担が発生する可能性があります。

・経営者（会社側）が、不正リスクがあり、その対応をしていると考えている業務プロセスの内部統制について、多めに運用評価をしたうえで、さらに、監査人から別の独自サンプルを依頼される。（監査法人のメソドロジー次第では、追加的なサンプル件数や、IPEの検証が求められる場合があるため）

・監査人が独自に、不正リスクを特定している、事業拠点を評価の対象に追加されたり、業務プロセスの運用評価のサンプルの依頼をされる。

Ⅳ．効率的な不正対策内部統制

上述、Ⅲ．（４）を検討した結果、J-SOXという枠内で経営者（会社側）として、前のめりに評価を進めすぎると、自社で検討した評価部分に加え、監査人から求められる評価部分についても、評価を実施しなければならなくなります。
ここで、筆者としては、「J-SOX基準」としては、基準で求められる最低限度を対応し、及第点を取得したうえで、
内部統制担当者の業務時間を確保し、J-SOX基準外で対応するべき課題を解決するために時間を使用するべきと考えます。

したがって、不正リスクを特定し、評価をする際には、
『監査法人と協議し、監査法人が監査計画上、指定しているリスクについて不正リスクを特定しているものとして、自社の3点セット上もセットし、監査法人のサンプル数と、自社のサンプル数とを整合させる。』
とすることで、監査対応としては、過大はなく進められると考えます。

そして、それはそれとして、不正対応と大きく銘打たなくとも、例えば以下のような、より実効性の高い内部統制の整備と運用に力を注ぐことが肝要と考えています（明言はしていませんが、実質的に対応している、ともいう。）

例えば、連結全体のおおむね95%以上のカバレッジを占める、全社的な内部統制や、全社的な決算財務報告統制として、特に有効なものを優先的に整備・運用することで、会社側のリソースをより効率的に利用できると考えます。

(1)  全社的な内部統制

①   内部通報制度の有効化
公認不正検査士協会『2022年度版　職業上の不正に関する国民への報告書』によれば、不正の発見は、その発見率の42%が通報によるものであり、これに次ぐ方法の約3倍の発見率となっています。また、その半数以上が、従業員からの通報であることからも、内部通報制度の整備・運用の重要性がわかります。
また、2020年6月に『公益通報者保護法の一部を改正する法律』が公布されており、従業員数300人超の事業者においては、内部通報に適切に対応するために必要な整備など（窓口設定、調査、是正措置など）が義務づけられ、通報者の保護対象も従来の労働者のみであったものが、『退職者（退職後1年以内）や、役員（原則として調査是正の取組を前置）』も追加されるなどの拡充が図られています。
また、改訂内基報1にかっちりと則って、不正リスクを意識して、業務プレセス内部統制について、海外拠点を足すことは、会社にとってかなりの負荷になりますので、まずは、通報制度の実効性確保や、汚職に対する社内教育を以て広い範囲に対応することも一案ではないでしょうか。
一方で、内部通報の実効性については、2023/10/22の日経記事によれば、内部通報があった場合の通報者への返答の目標期限について、海外は4割が1週間以内、あと4割が調査完了時であるのに対して、日本企業は8割弱が期限を設けず、調査完了時まで返答しないこととしています。これでは、社内・社外の通報者が会社に対して疑念を持ち、通報制度の実効性が高まらないとも考えられるため、会社サイドでも迅速な対応を進める体制作りが求められます。

②   取締役会規程の作成、取締役会・監査役会の開催と議事録作成・押印
直近も、某中古車販売会社の調査報告書にて、取締役会・監査役会などが開催されていなかったことが話題となっていました。
中小企業のM&Aにて取得した会社は、従来から、取締役会を開催して物事を決めるという文化がそもそもない会社もありますが、会社法上、取締役会設置会社は、3か月に1回以上取締役会を開催する必要があり（会社法363条）、代表取締役や業務執行取締役の専横に対して、複数の目を入れる体制が必要です。
従って、取締役会規程において、決議事項や開催頻度、「監査役が取締役の不正等を取締役会へ報告する旨」などを定めたうえで、開催された取締役会の議事録の作成を義務付ける必要があります。

(2)  決算・財務報告統制（全社レベル）

①    （決算財務報告に関する部署の）職務分掌表の整備・運用：
決算財務に関する部署における職務分掌において、Ⓐ出納担当とⒷ記帳担当、Ⓒ承認担当の役割について、ⒶとⒷ、ⒷとⒸを兼務させない、ということは基礎中の基礎であるが、人員が不足する部分では難しい。
しかし、小規模子会社において、従業員による資金流用の原因の多くは、これらの業務を分掌できていないことに起因するため、例えば、少なくとも大口の振込についてだけでも、ダブルチェックとするなど、優先的に体制の整備が必要であります。

(3)  業務プロセス内部統制

業務プロセス内部統制は、現場業務に直結することから個別具体的な不正対応の内部統制は様々考えられますが、より少ない工数で優先的に整備するべき統制という観点で、筆者が特に重要と考えるのは、以下の4つです。

①   新規得意先登録時の審査
一般的な製造業の場合も、取引先の実在性という観点で重要な統制ですが、
例えば、卸売業等の場合など売り先が同業者である場合、循環取引が疑われる場面もあることから、『当該新規得意先との取引の経済合理性』という観点から、取引開始目的を『拡販目的』などの一文で終わらせず、審査担当部署が詳細な内容を確認する姿勢が必要です。
また、与信枠の金額によって、新規登録時の承認権限が異なる場合には、与信枠を拡大する際にも、再度審査を要求する体制も必要です。当初は小さな取引であったものが、徐々に取引額が大きくなり、不明な相手先との取引が増大することを防ぐ目的です。

②   新規仕入先登録時の審査
こちらは、①の新規得意先登録時の審査と同様に、同業者取引における経済合理性の確認や、キックバックや関連当事者取引も勘案し、そもそも振込口座の妥当性（個人の口座、普通預金口座ではないか）などの検証も併せて必要です。

③   売上収益の実在性を確定する統制
漠然とした表記となってしまうが、『何をもって、自部門の収益が実現するか』、ということを念頭に置いた統制は、何はなくとも整備・運用が必要です。
例えば、前受金等の役務提供を伴わない入金や、成果物を伴わない作業進捗のみで売上を計上してしまわないよう、経理部門とも協議して関連する会計基準も踏まえて、キーコントロールを定める必要があります。

④   棚卸資産の実地棚卸
論点山盛りの分野であり、細かいチェックポイントは山ほどあるので、網羅することができませんが、棚卸資産を有する会社の場合、まずは最低限として、その実在性を確かめるべく、実地棚卸に関する規程やルールを定めて定期的に実施、棚卸差異の原因究明と、会計数値への反映させる体制が必要です。

(4)  IT全般統制（ITGC）

こちらも、重要な検討要素は多いですが、あえて少数に限定するのであれば、主として、『経営者による内部統制の無効化（Management Override）』への対応として、アクセスコントロールを固める必要があります。
①   会計システムへのアクセスコントロール：
営業担当者など部外者や経理部以外の社長などの権限外の者がアクセスできないような体制を構築・規程化することで、一義的に経営者や営業担当者など、業績へのプレッシャーを受けているものが、直接会計データを改ざんすることを防ぐ必要があります。

②   会計システムにおけるアクセスログ（誰がいつ入力したのか）
また、事後的に会計データを検証できるようにするために、会計システムへの入力者がどのIDによって、いつ行われたものかを明確化できるように、アクセスログを取れるようにする必要があります。

Ⅴ．おわりに

以上、不正対応の内部統制は数ある中で、よくある不正事例などを勘案し、特に優先して整備・運用するべき統制について記載しました。
子会社往査時のインタビューでの気づきや、新規M&A会社への内部統制導入に際して、導入を検討するべき内部統制は業種業態によって相違するものの、共通項的な部分も存在することから、より効果の高い分野から優先的に取り組むようにしたいと考えます。

Ⅵ．参考文献

内基報1「財務報告に係る内部統制の監査」比較版、概要資料　2023/7/28
「実践　不正リスク対応ハンドブック」EY新日本有限責任監査法人 中央経済社
これですべてがわかる内部統制の実務　第5版_箱田順哉ほか_中央経済社

日本経済新聞2023/10/22 「日本企業、内部通報に反応鈍く　アジア太平洋地域調査」日本企業、内部通報に反応鈍く　アジア太平洋地域調査 - 日本経済新聞 (nikkei.com)

公認不正検査士協会「2022年度版　職業上の不正に関する国民への報告書」『2022年度版　職業上の不正に関する国民への報告書』を公表しました – ACFE JAPAN | 一般社団法人 日本公認不正検査士協会