ISSA5000の概要とその対応の要諦 サステナビリティ情報の制度開示を支える国際保証基準

本稿では、ISSA5000の概要および特徴、限定的保証と合理的保証のそれぞれに求められる対応について解説しています。

本稿では、ISSA5000の概要および特徴、限定的保証と合理的保証のそれぞれに求められる対応について解説しています。

2024年9月、国際監査・保証基準審議会(International Auditing and Assurance Standards Board:IAASB )は、国際サステナビリティ保証基準5000( International Standard on Sustainability Assurance 5000:ISSA5000)を承認しました。2024年12月に、公益監視委員会(Public Interest Oversight Board:PIOB)が承認し、公表される予定です( 2024年12月1日時点)。

ISSA5000は、あらゆるサステナビリティ関連の主題、情報、開示に適合するように設計されています。また、公認会計士・監査法人だけでなく、その他のすべての保証業務実施者が適用可能な基準として開発されており、現在議論が進められている制度開示においても広く利用される保証基準になることが想定されます。

企業にとってISSA5000を理解することは、サステナビリティ情報の第三者保証を受けるにあたり必要な対応を理解するうえで有用となります。

本稿では、ISSA5000の概要および特徴、限定的保証と合理的保証のそれぞれに求められる対応について解説しています。

なお、本文中の意見に関する部分については、筆者の私見であることをあらかじめお断りいたします。

Ⅰ.概要と経緯

近年、EUの企業サステナビリティ報告指令(CSRD)、米国証券取引委員会(SEC) の気候関連開示規則、わが国におけるIFRS®サステナビリティ開示基準を踏まえたサステナビリティ基準委員会(SSBJ)による国内開示基準の議論など、サステナビリティ情報開示規制の動きが急速に進んでいます。同時に、企業によって報告されるサステナビリティ情報の信頼性を担保する観点から、保証の義務化およびサステナビリティ情報に特化した保証基準策定のニーズが高まっています。

このような背景のもと、国際監査・保証基準審議会(IAASB)は、2021年12月からサステナビリティ情報の保証に関する情報収集および調査活動を開始し、2022年9月にサステナビリティ情報に関する包括的な保証基準を開発するためのプロジェクト提案を承認しました。その後、2023年8 月の公開草案の公表、コメント募集を経て、2024 年9月にISSA5000がIAASBにより承認されました。これに付随して、2025 年1月の最終化を目指して、現在適用ガイダンスが開発されています。

Ⅱ.ISSA5000の特徴

1. ISSA5000の適用

① すべてのサステナビリティ情報に関する保証業務に適用

本基準は、すべてのサステナビリティ情報に関する保証業務を対象とします(1項、8項。以下、指定のない場合、項番はISSA5000 IAASB Approvedのものである)。

サステナビリティ情報に関する保証業務において、対象とするトピック(気候、労働慣行、生物多様性など)は多岐にわたります。また、保証の範囲も企業が報告するサステナビリティ情報の全体に及ぶ場合もあれば、一部のみに限定される場合もありますが、これらはすべて本基準の対象となります(2項、5項)。

加えて、保証は保証対象の情報に対して付与される保証の水準の違いにより合理的保証と限定的保証に区分され、本基準はその両方に対応しています(9項)。ここで、合理的保証とは、保証業務実施者が保証業務リスク( 重要な虚偽の表示を看過して誤った意見を形成するリスク)を許容可能な低い水準まで減少させる保証のことを指します。

一方、限定的保証は、合理的保証と比較して許容する保証業務リスクが高い( つまり、保証の水準が相対的に低い)保証を指します( 18項)。両者は保証の水準が異なることから、実施する手続きの種類、時期および範囲が異なります(9項)。合理的保証または限定的保証のいずれが必要とされるかは、企業が準拠するサステナビリティ開示基準の要求事項によります。たとえば、CSRDでは、制度開始当初は限定的保証が求められますが、将来的に合理的保証への移行が検討されています。

② すべての保証業務実施者に適用

本基準は、公認会計士または監査法人に限らず、ISSA5000に基づき保証業務を実施するすべての保証業務実施者に適用できるよう開発されています。一方で、多様なバックグラウンドを有する保証業務実施者に対して、少なくとも国際会計士倫理基準審議会( IESBA )の倫理規程およびISQM-1( 監査事務所の品質マネジメント)に相当する規程の遵守を要求することで( 6項)、高品質な保証業務の提供が担保される仕組みになっています。

③ ISAE3000( 改訂)、ISAE3410の今後の取扱い

従来、サステナビリティ情報の保証業務は、国際監査・保証基準審議会の国際保証業務基準3000(ISAE3000)(改訂)「過去財務情報の監査又はレビュー以外の保証業務」および国際保証業務基準3410(ISAE3410)「温室効果ガスに対する保証業務」に準拠して実施されてきましたが、ISSA5000は包括的な基準であり(11項)、ISSA5000 発効後は本基準のみを適用してサステナビリティ情報の保証業務を実施することになります。

また、ISSA5000 の発効後、ISAE3000(改訂)はサステナビリティ情報以外の保証業務が準拠すべき基準として引続き存続する一方、ISAE3410 は廃止される見込みです。

④ ISSA5000の対象外となる事項

上述のとおり、ISSA5000 はすべてのサステナビリティ情報の保証業務に適用されます。しかし、IAS第37号「気候関連のコミットメント」のように、財務報告の枠組みに従って企業の財務諸表に含めることが要求されるサステナビリティ情報については、他の財務情報と同様に国際監査基準に準拠して監査されることとなります(12項)。

2. 重要性

① 定性的な重要性と定量的な重要性

ISAE3000( 改訂)では保証業務の手続きの種類、時期および範囲を決定する場合や主題情報( =サステナビリティ情報) に重要な虚偽表示があるかどうかの判断を行う場合、重要性を考慮することが要求されています。

一方、ISSA5000では定性的な開示情報の重要性の考慮と、定量的な開示情報の重要性の決定が要求されます( 97項)。これは、定性的な情報と定量的な情報に分けて、重要性を検討することが求められているということです。なお、定性的な開示における重要性の考慮事項の例には、図表1に示す項目があります(A302項)。

② ダブル・マテリアリティとの関係

CSRDのように、サステナビリティ情報の報告の枠組み、または基準が財務的重要性とインパクトの重要性、すなわちダブル・マテリアリティを要求する場合についてもISSA5000 を適用した保証が可能 です。

保証業務実施者は手続きを計画・実施し、特定された虚偽表示が重要であるかどうかを判断するために重要性を検討または決定しますが、その際に財務的重要性とインパクトの重要性の両方の観点を考慮することが要求されています(98項)。

図表1 定性的な開示における重要性の考慮事項の例

・サステナビリティ課題によって影響を受ける人数、企業数およびその深刻度
・ 潜在的な虚偽表示が目標達成に対する経営者のインセンティブやプレッシャーに影響を及ぼすか否か、また、法規制遵守に影響を及ぼすか否か
・ 適用される規準にインパクトに関するデューデリジェンスの概念が含まれている場合、当該インパクトの性質および程度

出典:A302項より一部抜粋し、KPMG作成

3. 合理的保証と限定的保証の相違点

① 内部統制の理解

ISAE3000( 改訂)では、保証業務実施者は、業務に関連する主題情報の作成を対象とする内部統制を考慮することが求められていますが( ISAE3000( 改訂)、47L、47R項)、ISSA5000では合理的保証業務または限定的保証業務の別に、図表2 に示すように、より具体的な手続きを要求しています。

保証業務実施者には、内部統制の構成要素( 統制環境、リスク評価、モニタリング、統制活動、情報システムとコミュニケーション、内部統制のデザインと業務への適用)の理解が要求され、企業には、サステナビリティ情報に係る内部統制の文書化などの対応が必要になると考えられます( 112項~118項)。

図表2 限定的保証業務および合理的保証業務で保証業務実施者が内部統制について理解すべきこと

  限定的保証(L) 合理的保証(R)
内部統制の構成要素 112~115、118項について質問により理解( 111L項) 112~115、117項について質問およびその他の手続きの実施により理解( 111R項)
統制環境 サステナビリティ事項およびサステナビリティ情報の作成に関連する統制環境( 112L項) 左記( 112L)事項、その際に以下の評価
・誠実で倫理的な企業文化の構築と維持
・他の構成要素への適切な基盤の提供
・統制環境で識別された不備( 112R項)
リスク評価プロセス リスク評価プロセスの結果( 113L項) 左記( 113L)事項、以下を含む
・リスクの特定、重要性の評価と対応
・リスク評価プロセスの結果の理解
・リスク評価プロセスが適切かどうか( 113R項)
モニタリング 内部統制システムをモニタリングするプロセスの結果( 114L項) 左記( 114L)事項および以下の評価
・モニタリングプロセスおよびその結果
・モニタリングプロセスの適切性( 114R項)
情報システムとコミュニケーション

以下のプロセスを含む情報システムとコミュニケーション

・サステナビリティ情報の特定
・外部からの情報についてサステナビリティ情報への組込み
・見積りや将来予測情報に関するメトリクス、仮定、データの基準への適合性の特定( 115項)

統制活動 保証業務実施者が運用状況の有効性をテストするコントロール、関連するITアプリケーション、IT環境およびIT全般統制の特定( 117R項)
内部統制のデザインと業務への適用 保証業務実施者が内部統制の運用上の有効性をテストする場合、理解が必要( 118L項) 117R項で特定された各コントロールについてデザインの有効性と業務への適用状況の理解のため、質問および手続きの実施( 118R項)

出典:ISSA5000を基にKPMG作成

② リスク対応手続きの実施

保証業務実施者は、企業のサステナビリティ情報に関連する内部統制の理解および評価を踏まえて、証拠を得るために図表3のようなリスク対応手続きを実施します。

ISAE3410と同様に、限定的保証は開示レベル( たとえば、温室効果ガス排出量が適切に集計・開示されないリスク)で、合理的保証はより詳細にアサーションレベル( たとえば、温室効果ガス排出量が網羅的に集計されないリスク、正確に集計されないリスク)で、それぞれ重要な虚偽表示リスクの評価および対応をすることが求められます。

なお、ISSA5000では、合理的保証、限定的保証ともに不正および法令違反についての手続きの明確化が図られています。保証業務実施者の過去の経験にかかわらず、不正による重要な虚偽表示が存在する可能性を認識し、保証業務の全過程を通じて職業的懐疑心を保持すること(64 項)、保証業務手続きから法令違反に気付く可能性があることに注意すること(65 項)、不正または違法行為を識別した場合、規制当局への報告の必要性およびその場合の責任の所在の明確化を求めています(66A項)。

また、当該事項がサステナビリティ情報に与える影響を評価し、適切に対応することも求めています(129項)。

図表3 限定的保証業務および合理的保証業務のリスク対応手続きの主な違い

限定的保証(L) 限定的保証(L) 合理的保証(R)
重要な虚偽表示リスクの特定と
評価
開示レベル アサーションレベル
見積り、将来予測情報

規準の要求事項への対応

  • 情報の作成方法の適切性、一貫性の検討
左記の対応に加え、以下から1つ以上実施
 
  • 情報の作成方法のテスト
  • 推定値または許容範囲の設定し企業の推定値を評価
  • 報告日までに発生した事象から証拠を入手
不正、違法行為

行為の性質と発生した状況の理解

  • サステナビリティ情報に与える影響を評価するため追加情報の入手

マネジメント、ガバナンス責任者との協議

  • 不正行為またはコンプラ違反の影響を評価し、適切な措置

出典:ISSA5000を参考にKPMG作成

③ 保証報告書の様式

保証報告書は、限定的保証業務か合理的保証業務かにより、結論の記載が異なります( 図表4参照)。

限定的保証業務における手続きの種類、時期および範囲は、合理的保証業務に比べて限定されています。そのため、限定的保証業務の結論は消極的形式( 実施した手続きおよび入手した証拠に基づいて、情報に重要な虚偽表示があると業務実施者に信じさせる事項が認められたかどうかを記載する形式)で表明します。一方、合理的保証業務の場合は積極的形式( 適合する規準によってサステナビリティ情報を測定または評価した結果に対する保証業務実施者の意見を伝達する形式) で表明します。

また、ISSA5000 では限定的保証業務の保証報告書において「実施した手続きの要約」という表題を設けたうえで、実施した手続きの種類、時期および範囲を十分に記載することを求めています(187 項(1))。なお、財務報告に対する監査報告書のように、監査上の主要な検討事項(KAM)に相当する事項の記載は、現時点においては求められていません。また、その他の情報( 保証対象以外の企業の報告事項)については、保証業務実施者が保証業務で得た知識と実質的に矛盾がないか、またはその他の重要な虚偽の記載がないかどうかを検討した旨が記載され ます。

図表4 保証報告書の結論の例

限定的保証報告書 合理的保証報告書

(a) 準拠性の枠組みに基づく場合
保証業務実施者が実施した手続きおよび入手した証拠に基づき、サステナビリティ情報が、[規準名]に準拠して作成されていないと信じさせる事項がすべての重要な点において認められなかった。

(b) 適正表示の枠組みに基づく場合
保証業務実施者が実施した手続きおよび入手した証拠に基づき、サステナビリティ情報が、[ 規準名]に準拠して適正に表示していないと信じさせる事項がすべての重要な点において認められなかった(A545L)。

(a) 準拠性の枠組みに基づく場合
保証業務実施者は、サステナビリティ情報が、すべての重要な点において、[規準名]に準拠して作成されているものと認める。

(b) 適正表示の枠組みに基づく場合
保証業務実施者は、サステナビリティ情報は、[ 規準名]に準拠してすべての重要な点において適正に表示しているものと認める(A546R)。

出典:ISSA5000をもとにKPMGが作成

Ⅲ .ISSA5000の適用時期とCSRD、SSBJとの関係

ISSA5000は、2026 年12 月15日以後開始する期間のサステナビリティ情報に対する保証業務、または2026年12月15日以後の特定の時点において報告されるサステナビリティ情報に対する保証業務から適用されます。また、早期適用も認められています(15項)。

ISSA5000 はさまざまな開示フレームワークに対応可能な基準であり、策定にあたっては金融庁、欧州監査監督機関委員会(CEAOB)やSECのほか、各国・地域の規制当局と連携をとって進められてい ます。

CSRDは、2026年10月までにISSA5000 とは別の保証基準を採択する予定ですが、その内容にISSA5000が大きな影響を与えることが想定されます。したがって、ISSA5000 はCSRDの適用者にとっても有用な情報を与える基準となっていると考えられます。

日本でも、金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」において、サステナビリティ開示の制度化と保証について議論が進められているところです。

2024 年3月には、SSBJが、IFRSサステナビリティ開示基準を基に国内のサステナビリティ開示基準の公開草案を公表しています。今後IFRS S1号・S2号に相当する日本基準でのサステナビリティ開示が制度化され、ISSA5000を適用した保証が義務付けられることが想定されます。

保証基準の要求事項は、保証業務実施者が実施しなければならない事項であると同時に、企業の立場からは保証を受けるために準備が必要な事項でもあります。

特に、サステナビリティ情報に関する内部統制については、多くの日本企業にとってプロセスの構築から体制を整える必要がある領域です。企業の規模や事業の複雑性を勘案しながら前もって進める必要があります。

関連リンク