経団連 IAASB公開草案 国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」へのコメント (2023.12.01)

こんにちは、丸山満彦です。

2023.08.02にIAASBが国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」の公開草案を公表し、2023.12.01まで、意見募集をしていましたが、日本経団連がコメントをしたようですね。。。

 

● 日本経済団体連合会

・2023.12.01 IAASB公開草案 国際サステナビリティ保証基準 (ISSA) 5000「サステナビリティ保証業務の一般的要求事項」へのコメント

 

IAASBの意見募集

● IAASB

・2023.08.02 IAASB LAUNCHES PUBLIC CONSULTATION ON LANDMARK PROPOSED GLOBAL SUSTAINABILITY ASSURANCE STANDARD

・UNDERSTANDING INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000

・2023.08.02 PROPOSED INTERNATIONAL STANDARD ON SUSTAINABILITY ASSURANCE 5000, GENERAL REQUIREMENTS FOR SUSTAINABILITY ASSURANCE ENGAGEMENTS

 

日本公認会計士協会による翻訳

● 日本会計士協会

・2023.09.21 国際サステナビリティ保証基準（ISSA）5000 「サステナビリティ保証業務の一般的要求事項」（公開草案）の翻訳の公表について

 

経団連のコメントを読んでいて、保証業務というか、監査についての社会的理解を深める必要性を感じます。。。

基本的にこの保証基準は、監査人のための行為規範ですね。。。もちろん、監査人がこの基準に従うので、会社側もその影響をうけないわけではないのですが。。。会社の人が従うべき内容ではないですね。。。

 

経団連が特に重要と認識した３つのポイントは、

---

① 高度な内部統制システムの構築なくして保証が受けられないような制度設計にすべきではない点（質問13）、

② サステナビリティ情報は財務情報に比しより長期的な将来予測を伴う事が多く、見積情報と実績情報の乖離も相対的に大きくなる傾向がある。この点を基準等で明記すべき点（質問16）、

③ 見積情報と実績情報の乖離が相対的に大きくなる傾向があるため、誤謬と不正を区別する判断指標をより明確にすべき点（質問19）。

---

となっています。。。

 

質問13は

---

事業体の内部統制システムの理解

1. 限定的保証業務及び合理的保証業務における事業体の内部統制システムの理解について、ED-5000の差異のあるアプローチに同意しますか。同意しない場合、より明確に差別化するために、何を提案しますか。またその理由は何ですか。

（説明文書　セクション1-F　第 75項から第81項参照）

事業体の内部統制システムの理解

75. ED-5000 第 102L 項及び第 102R 項は、実施するリスク手続の一環として、サステナビリティ事項及びサステナビリティ情報の作成に関連する、事業体の内部統制システムの構成要素を理解することを業務実施者に求めている。この理解は、業務実施者が発生する可能性のある虚偽表示の種類、及び（限定的保証業務における）重要な虚偽表示が生じる可能性の高い開示情報に影響する要因、又は（合理的保証業務における）開示情報の重要な虚偽表示リスクに影響する要因を識別する際に役立つ。

76. ED-5000 の A313 項で説明されているとおり、事業体の内部統制システムの運用形態の水準は、事業体の規模及び複雑性、サステナビリティ事項及び適用される規準の種類及び複雑性により異なる。

77. IAASB は、内部統制システムに関して求められる理解の内容と範囲、及び限定的保証業務と合理的保証業務の間でその理解がどのように異なるのかについて詳細な議論を行った。IAASB は、サステナビリティ情報に関連する内部統制システムは、様々な発展段階にある可能性があることに留意した。さらに、業務実施者は合理的保証業務において内部統制の運用状況の有効性のテストを実施する可能性が高いため、内部統制システムをより深く理解することが必要な場合があることにも留意した。

78. 内部統制システムの理解及び内部統制の運用状況の有効性のテストに関連する要求事項の策定に当たり、IAASB は、明確性、適切な範囲及び適用の柔軟性の重要性を考慮した。また、IAASBは、ISAE 3000（改訂）及び ISAE 3410 の現行の要求事項を基礎とすることと、事業体及び事
業体環境並びに事業体の内部統制システムの理解に関する IAASB の最新の考え方が表れているISA 315（2019 年改訂）の概念及び要求事項を適合させることの均衡を図るよう努めた。

79. 内部統制システムに関する業務実施者のリスク手続に関連する ED-5000 の主な要求事項には、以下が含まれる。

限定的保証(L)  合理的保証(R)

 特定の構成要素（統制環境、事業体のリスク評価プロセスの結果、及び情報システムと伝達）を理解すること（第 102L 項）
 全ての構成要素を理解すること（第 102R項）

 業務実施者が内部統制の運用状況の有効性をテストすることにより証拠を入手することを計画している場合には、内部統制（及び関連する IT 全般統制）を理解することを求める条件付き要求事項（第107L 項）
 業務実施者が内部統制の運用状況の有効性をテストすることにより証拠を入手することを計画している内部統制、関連する IT 全般統制、及び開示情報のアサーション・レベルの重要な虚偽表示リスクを識別及び評価し、評価したリスクに対応する追加手続を立案するために業務実施者が必要と判断したその他の統制を理解すること（第 107R 項）

 業務実施者がテストを計画している内部統制を理解し、デザイン及び業務への適用を評価すること（第 108L 項）
 業務実施者がテストを計画している内部統制を理解し、デザイン及び業務への適用を評価すること（第 108R 項）

 内部統制の構成要素の理解に基づき、一つ又は複数の内部統制の不備が識別されたかどうかを検討すること（第 109L 項）
 内部統制の構成要素の理解に基づき、一つ又は複数の内部統制の不備が識別されたかどうかを判断すること（第 109R 項）

80. IAASB は、ED-5000 第 102L 項に基づき求められる理解が、内部統制システムの全ての構成要素に及ぶべきかどうかについて議論した。IAASB は、第 102L 項に記載されている三つの構成要素は ISAE 3410 の対応する要求事項に整合しており、これらの三つの構成要素に重点を置くことで限定的保証業務の業務が区別されるため、これらの構成要素が適切であると結論付けた。

81. ED-5000 第 119 項から第 125 項は、内部統制の運用評価手続を扱っている。これらの要求事項は、限定的保証業務と合理的保証業務の両方に適用されるが、限定的保証業務に関しては、内部統制の運用状況の有効性をテストすることにより証拠を入手するかどうかに関する第 107L項の業務実施者の決定に基づく条件付きの要求事項である。第 123R 項は、合理的保証業務のみに適用され、ISA 330 第 15 項の要求事項に基づく。9

9 ISA330「評価されたリスクへの監査人の対応」

---

 

書いている内容として、特におかしな内容ではないように思います。。。財務諸表監査の基準との違いも感じませんし。。。

 

これに対して、経団連のコメント

---

① 高度な内部統制システムの構築なくして保証が受けられないような制度設計にすべきではない点（質問13）、

質問13：事業体の内部統制システムの理解

＜Neither agree/disagree, but see comments below＞

• 限定的保証でも「内部統制の構成要素」を一定程度理解することが求められているが、財務情報に比べ、サステナビリティ情報を取扱う部門は広範囲にわたり、その内容も多岐にわたることから、これが実務的に機能するのか疑問がある。

• 102L項や102R項では、業務実施者に「事業体の内部統制システムの構成要素を理解」することを求めているが、内部統制システムに関しては、高度に構築していないと保証が受けられないような制度設計にするべきではなく、また、企業グループとして情報収集が出来るのであれば、企業に高度な内部統制システムの整備を求めるべきでもない。ED-5000では、A155-2項、A313項など関連する適用指針が提案されているが現状の記載だけだと、あたかも企業側に一定水準以上の内部統制システム（ITを含む）の整備を求めているかのような誤解を与えかねない。「企業に高度な内部統制システムの整備を求める趣旨がない」旨を、ガイダンス等で明確に記載すべきである。

• サステナビリティ情報の開示を巡っては、各国の開示規制や様々な開示イニシアティブが錯綜しており、企業側としては、現時点で将来を見越した包括的な内部統制システムを作り上げることは難しい。開示プラクティスが発展途上にあり、開示情報の定義変更や追加が事後的に発生する可能性も踏まえて、マニュアル処理も含めて柔軟に対応している企業も多いのが現実である。

• 保証を取得する時点で、高度な内部統制システムを構築していることが望ましいものの、法令改正などにより近い将来に変更が予想されるのであれば、段階的に内部統制システムを構築していくことが長期的には合理的であることがあり得る。開示情報の正確性及び網羅性を確保できることが大前提であるが、内部統制システムの整備については、外部環境に依存する面があることも踏まえて、業務実施者が長い時間軸で事業体の取り組みを評価するよう、業務の受嘱段階における理解の規定である70項(a)やA162項、あるいは102L項や102R項に追記するのが望ましい。

---

 

 

おそらく高度な内部統制？が構築されていなくても保証がうけられないことはないとは思いますが、内部統制が十分でなければ、開示内容が誤っている可能性が高くなるので、監査人としては、実証的テストを十分にしなければならないし、そのための十分な監査コストをはらわないということであれば、監査業務を引き受けない、ということになるので、普通は、内部統制が十分でないと判断されれば、監査業務を締結しないと思います。もし、締結してからそれに気づいたら、内部統制の改善をもとめるか、改善がされない場合は、監査契約を破棄することも考えられるように思います。。。

 

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.25 日本公認会計士協会 IAASB公開草案 国際サステナビリティ保証基準（ISSA）5000「「サステナビリティ保証業務の一般的要求事項」

・2023.06.15 IFAC サステナビリティ報告書の保証 (2023.05.31)