日本公認会計士協会、「財務報告に係る内部統制の監査」の公開草案を公表

本公開草案は、2023年4月7日に改訂された「財務報告に係る内部統制の評価及び監査の基準」及び「財務報告に係る内部統制の評価及び監査の実施基準」（以下、両者を合わせて「内部統制基準・実施基準」という。）に対応するために、日本公認会計士協会が公表したものです。

内部統制基準・実施基準の改訂は、以下の内部統制報告制度をめぐる状況の変化を踏まえて実施されており、本公開草案においても、これらを踏まえて改正が検討されています。

• 2008年の内部統制報告制度導入以降、財務報告の信頼性向上に一定の効果があったとされる一方で、内部統制報告制度の実効性に関する懸念も指摘されていること
• 米国のCOSO（トレッドウェイ委員会支援組織委員会）の内部統制の基本的枠組みに関する報告書（以下「COSO報告書」）において、経済社会の構造変化やリスクの複雑化に伴う内部統制上の課題に対処するための改訂が2013年5月に実施されたが、日本の内部統制報告制度ではこれに対応する改訂が行われていなかったこと

本公開草案は、2024年4月1日以後開始する連結会計年度及び事業年度における内部統制監査から適用することが提案されており、コメント期限は2023年6月23日となっています。

「6.内部統制監査における監査手続と財務諸表監査における内部統制に対する監査手続の関係」において、内部統制の整備及び運用状況の評価の妥当性の検討に当たり、不正リスクや経営者による内部統制の無視又は無効化のリスクが適切に考慮されているかどうかに留意することが追記されています（第37項）。

この改正は、内部統制基準・実施基準の「I.内部統制の基本的枠組み」で定められている内部統制の基本的要素のうち、「リスクの評価と対応」に関して、不正リスクを考慮することの重要性や考慮すべき事項が明示されたことを踏まえたものです。

「8.財務諸表監査の結果が内部統制監査へ及ぼす影響」において、監査人が財務諸表監査の過程で、経営者による内部統制の評価範囲外から内部統制の不備を識別した場合、内部統制の評価範囲及び評価に及ぼす影響を十分に考慮し、必要に応じて経営者と協議することが追記されています（第42項）。

この改正は、内部統制基準・実施基準の「III.財務報告に係る内部統制の監査」において、上記事項が明記されたことを踏まえたものです。

「1.評価範囲の検討」及び「3.業務プロセスに係る内部統制の評価範囲の検討」の記載内容の全体的な見直しが実施されています。主な改正内容は以下のとおりです。

• 重要な事業拠点の評価範囲の妥当性の検討に当たり、財務諸表監査において入手している監査証拠も活用することが適切であること、また、長期間にわたり評価範囲外とされた事業拠点や業務プロセスを評価範囲に含める必要性の有無を考慮することを追記（第75項）
• 監査人は指導的機能の発揮の一環として、経営者との協議を必要に応じて実施することが適切であることを追記（第76項）
• 重要な事業拠点の選定指標の例示に総資産及び税引前当期純利益を追加するとともに（第91項）、重要な事業拠点の選定方法に係る参考例を追加（付録7）
• 企業の事業目的に大きく関わる勘定科目に関して、「売上、売掛金及び棚卸資産」はあくまで例示であることを明確化（第99項）
• 個別に評価対象に追加する業務プロセスの選定における留意事項を追記（第106-2項、第107項）
  

これらの改正は、主に内部統制基準・実施基準の「II.財務報告に係る内部統制の評価及び報告」において、経営者による内部統制の評価範囲の決定に当たり、財務報告の信頼性に及ぼす影響の重要性を適切に考慮すべきということを改めて強調するため、評価範囲の検討における留意点が明確化されたことを踏まえたものです。

また、同じく内部統制基準・実施基準の「II.財務報告に係る内部統制の評価及び報告」において、評価範囲外から開示すべき重要な不備が識別された場合には、当該開示すべき重要な不備が識別された時点を含む会計期間の評価範囲に含めることが適切であることが明確化されたことを踏まえ、監査人はこの点を考慮することに留意する旨が追加されています（第75-3項）。

「2.全社的な内部統制の評価の検討」において、経営者が採用する評価項目の妥当性の検討に当たり、内部統制基準・実施基準の「I.内部統制の基本的枠組み」の内容についても、企業の置かれた環境や事業の特性等に応じて適切に反映されているかについて考慮することが追記されています（第124-2項）。

この改正は、内部統制基準・実施基準の「I.内部統制の基本的枠組み」が改訂されたことを踏まえ、監査人による全社的な内部統制の評価の検討においても当該内容を考慮することを明確化したものです。

また、内部統制を無視又は無効化ならしめる行為に対する、組織内の全社的又は業務プロセスにおける適切な内部統制の例示が示されるとともに、当該行為が経営者以外の業務プロセスの責任者によってなされる可能性もあることが追記されています（第126-2項）。

「1.ITに係る全般統制の位置付け」において、情報の信頼性や情報システムに係るセキュリティの確保が重要であることが追記されました（第181-2項）。

この改正は、内部統制基準・実施基準の「I.内部統制の基本的枠組み」で定められている内部統制の基本的要素のうち、「情報と伝達」に関して、情報の信頼性の確保におけるシステムが有効に機能することの重要性が記載されたこと、また、「ITへの対応」に関して、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティ確保の重要性について記載されたことを踏まえたものです。

また、内部統制基準・実施基準の「II. 財務報告に係る内部統制の評価及び報告」において、ITに係る全般統制の評価を一定の頻度で実施することについては、IT環境の変化を踏まえて慎重に判断し、必要に応じて監査人と協議して行うべきであり、特定の年数を機械的に適用すべきものではないことに留意する旨の記載が追加されたことを受け、「2.ITに係る全般統制の評価の検討」における記載が追記されています（第183項）。

内部統制基準・実施基準の「II.財務報告に係る内部統制の評価及び報告」において、内部統制報告書に経営者による内部統制の評価範囲の決定に利用した指標等の判断事由等を記載することが適切とされたことを受けて、「3.内部統制報告書に重要な虚偽表示がないということの意味」の改正が実施されています（第257項）。