J-SOX改正の解説記事まとめ（その１）～「会計・監査ジャーナル」2023年7月号～

2023年4月に「財務報告に係る内部統制の評価及び監査の基準」、「財務報告に係る内部統制の評価及び監査に関する実施基準」が改正されました。

それに係る解説記事が「会計・監査ジャーナル」2023年7月号に掲載されておりましたので、読んでみました。

尚、結構なボリュームになりそうなので、3回に分けることにします。

背景・経緯

• 経営者による内部統制の評価範囲の外で開示すべき重要な不備が明らかになる事例や内部統制の有効性の評価が訂正される際に十分な理由の開示がない事例が見受けられた。

• 2013年5月に米国のcosoの内部統制の基本的枠組みに関する報告書（「coso報告書」）が以下のように改訂されたことへの対応。

• 内部統制の目的の一つである「財務報告」の「報告」（非財務報告と内部報告を含む）への拡張

• 不正に関するリスクへの対応の強調

• 内部統制とガバナンスや全組織的なリスク管理との関連性の明確化他

主な改正点とその考え方

• 経営者が内部統制の評価範囲を検討する際に適切なリスクアプローチを徹底する

• その評価範囲の決定の考え方について開示を促す

報告の信頼性

• 内部統制の目的の一つである「財務報告の信頼性」を「報告の信頼性」に見直した。

• 「報告の信頼性」を「組織内及び組織の外部への報告（非財務情報を含む）の信頼性を確保すること」と定義付けた。

• 「報告の信頼性」には「財務報告の信頼性」が含まれることを明確化した。

• 金商法上の内部統制報告制度は、あくまで「財務報告の信頼性」の確保が目的であることを内部統制基準等の前文において強調している。

内部統制の基本的要素

• 「リスクの評価と対応」について、「リスクの評価の対象となるリスクには、不正に関するリスクも含まれる」こととした。

• 「不正に関するリスクの評価においては、不正に関する、動機とプレッシャー、機会、姿勢と正当化について考慮すること」や「リスクの変化に応じてリスクを再評価し、リスクへの対応を適時に見直すこと」の重要性を明確にした。

• 「情報と伝達」について、「大量の情報を扱い、業務が高度に自動化されたシステムに依存している状況においては、情報の信頼性が重要である」ことを明確にした。

• 「情報の処理プロセスにおいてシステムが有効に機能していること」が求められることを明確にした。

• 「ITへの対応」については、ITに関する業務の全て又は一部を外部組織に委託するケースもあることを踏まえ、「ITの委託業務にかかる統制の重要性が増していること」や、「クラウドやリモートアクセス等の様々な技術を活用するにあたっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティの確保が重要であること」を明確にした。

経営者による内部統制の無効化

• 当該行為に対する組織内の全社的または業務プロセスにおける適切な内部統制の例を新たに記載した。

• 経営者以外の業務プロセスの責任者が内部統制を無視または無効ならしめることがあることも明確にした。

内部統制に関係を有する者の役割と責任

• 「取締役会は、内部統制の整備及び運用に関して、経営者が不当な目的のために内部統制を無視または無効ならしめる場合があることに留意する必要があること」を明確にした。

• 監査役等については、取締役会と同様の留意点を明確にするとともに、「監査役等は、その役割・責務を実効的に果たすために、内部監査人や監査人等と連携し、能動的に情報を入手することが重要であること」も明確にした。

• 「内部監査人は、熟達した専門的能力と専門職としての正当な注意を持って職責を全うすることが求められること」を明確にした。

• 「内部監査人は、取締役会及び監査役等への報告経路を確保するとともに、必要に応じて、取締役会及び監査役等から指示を受けることが適切であること」を新たに規定した。

• 内部統制とガバナンス及び全組織的なリスク管理

• 内部統制とガバナンス及び全組織的なリスク管理は一体的に整備及び運用されることの重要性を明確にするとともに、３線モデルやリスク選好の概念を例示した。