ISSA 5000は、ESGを含むサステナビリティ情報の保証業務を統一し、合理的保証と限定的保証を規定する初の国際基準です。本基準では、企業のデータ収集や集計、経営層レビューに至るまでの内部統制が信頼性確保の鍵となり、保証人はその妥当性を厳格に検証します。これにより、保証取得だけでなく社内プロセスの改善も促進され、長期的な価値創造にも寄与します。本記事では、ISSA 5000の内部統制構築のポイントと実務への影響について解説します。
1. サステナビリティ保証基準ISSA 5000の登場と内部統制の役割
企業のサステナビリティ開示に対する信頼性確保の需要が高まる中、国際監査・保証基準審議会(IAASB)は2024年に「国際サステナビリティ保証基準5000」(ISSA 5000)を承認しました。これは、ESG情報の保証業務に特化した世界初の包括的基準であり、従来の保証基準(ISAE 3000等)を土台にしつつ、気候・人権・多様性など多岐にわたるサステナビリティ情報を対象に原則ベースで適用できるよう設計されています。
ISSA 5000の狙い
財務諸表監査と同等の厳格さを非財務情報の保証にももたらし、世界中でばらばらだったESG保証のアプローチを統一することで、ステークホルダーが信頼できる持続可能性情報の提供を促進することにあります。実際、本基準では合理的保証(監査レベル)と限定的保証(レビュー水準)の双方に対応した要求事項をスケーラブルに規定し(保証手続きの強弱を明示)、開示内容のマテリアリティ評価やリスクアプローチの強化、専門的懐疑心の徹底などが盛り込まれています。加えて、サプライチェーンなど第三者から取得する証拠への対応指針や、将来見通し情報(目標や計画)の保証手続きの具体化など、サステナビリティ保証特有の課題にも言及されています。
内部統制の重要性
ISSA 5000において特に強調されるのが、組織の「内部統制」の重要性です。保証人は、被保証主体である企業の業務プロセスや内部統制を深く理解した上で保証計画を立案することが求められます。これは限定的保証であっても同様で、ISSA 5000の下では保証プロバイダーは従来以上に企業の内部統制を詳細に理解・評価し、重要な虚偽表示リスクを特定することになります。KPMGの分析によれば、ISSA 5000の適用により保証人は企業のプロセスや情報の網羅性・完全性に対してプロフェッショナルなチャレンジ(厳格な検証)を行うようになるとされます。つまり、従来以上に「この開示項目はすべての重要な要素を含んでいるか」「データ収集プロセスに抜け漏れはないか」といった点を問い質されるということです。結果として、企業側から見れば、内部統制こそが保証業務の土台であり、信頼性の高いサステナビリティ報告を実現するには、保証人に耐えうる統制システムを構築・運用しておくことが不可欠となります。
2. サステナビリティ情報の収集から開示まで
ISSA 5000の視点を踏まえ、企業はサステナビリティ情報のライフサイクル全体(データ収集→集計・分析→報告書作成→開示)にわたり統制を行き渡らせる必要があります。それぞれの段階で重要となる統制ポイントを整理すると、以下のようになります。
データ収集・記録
まず、温室効果ガス排出量や労働安全指標など生データの収集段階では、データの完全性・正確性を担保する統制が求められます。具体的には、各担当部署・拠点で計測されるESGデータについて明確な定義と測定手順を設け、担当者に訓練を施すこと、収集した原始データに改ざん防止や二重チェックの仕組みを組み込むこと、などが挙げられます。例えば、温室効果ガスデータであれば計量機器の公正やデータ入力のダブルチェック、労働災害件数であれば共通のカウント基準の徹底といった具合です。また、データの網羅性(必要な範囲を漏れなくカバーしているか)も重要な統制ポイントです。組織全体のどの部門・施設からどのESGデータを集める必要があるかを洗い出し、データインベントリ(項目リスト)と収集マップを策定することは、内部統制の第一歩となります。これにより、抜け落ちているデータ領域や未整備の統制箇所を特定しやすくなります。
データ集計・分析
集められた生データを集計・計算し指標値を算出する段階では、Excelなど手作業による処理が多い場合にリスクが高まります。ヒューマンエラーや恣意的な操作を防ぐために、可能な限りITシステムの導入や自動化を進めることが推奨されます。実際、欧州企業への調査では74%がサステナビリティ報告に未だスプレッドシートを使用しており、これがデータ品質向上の妨げと指摘されています。統制手法としては、集計表・計算シートのロック機能や変更履歴の管理、計算結果の検証プロセス(二人以上によるレビュー)を設けること、異常値や外れ値を検出する分析的レビューを行うことなどが考えられます。また、GHGプロトコルなど計算基準に則っているか、計算に用いた係数や仮定が最新かつ妥当か(例:排出係数、為替レートなど)をチェックする体制も必要でしょう。内部統制上、職務の適切な分離(データ入力者と検証者を分ける等)も重要な原則で、ミスや不正の早期発見につながります。
社内レビュー・経営層の確認
集計・分析されたサステナビリティ情報は、開示前に複数階層のレビューを経るべきです。まずデータ提供部門の上長による確認、その後サステナビリティ推進室やCSR部門によるクロス集計・ストーリー整合性のチェック、最後に経営層(CSR委員会や監査役会等)への報告と承認というプロセスが一般的です。COSOの内部統制原則でも、経営者によるレビュー統制や取締役会レベルでのモニタリング(監視活動)が重要とされています。レビュー時に着目すべきは、重要な開示事項の抜け漏れ(マテリアリティに照らし網羅されているか)、数値と文章の一貫性(定量データと取り組み事例の記述が矛盾していないか)、前年との差異や業界ベンチマークとの比較(説明が必要な変動がないか)などです。内部監査部門がこの段階で模擬監査を行い、外部保証人の視点で書類や根拠を点検するのも有効でしょう。こうした綿密な内部レビューを経ることで、開示前にリスクの多くを是正でき、第三者保証プロセスも円滑に進みます。
開示・報告書発行
実際の報告書作成と開示に際しては、報告フレームワークや法定開示要件への準拠をチェックする統制が重要です。GRIやSASB基準、またはISSBのIFRS S1・S2などを採用する場合、それぞれの開示項目や指標定義を満たしているかディスクロージャー・チェックリストで検証します。EUのESRSや各国のルールに沿った表示(例えばCSRDでは将来的にESRSに基づく開示 + 保証報告書の付記が必要)に漏れがないかも確認対象です。また、開示するサステナビリティ情報と財務情報との整合性(例:GHG削減目標と設備投資計画との矛盾がないか)も確認する必要があります。
最終的な公開資料は経営トップの署名や監督機関の承認を得てリリースされますが、この時点までに内部統制システムが適切に機能した証跡(レビュー記録、チェックリスト、是正履歴など)を残しておくことも、後日の監査や検証に備える上で重要です。
3. サステナビリティ報告の信頼性確保と監査のポイント
上記のような統制を整備・運用することで、サステナビリティ報告の信頼性は飛躍的に高まります。第三者保証人の監査プロセスにおいても、内部統制が有効に機能していれば、保証人は統制をテストしその結果を活用することで、効率的かつ効果的に保証業務を遂行できます。具体的な監査上のポイントを挙げると、以下の通りです。
マテリアルな項目の網羅性
監査人は企業が特定した重要なサステナビリティ項目(マテリアリティ)の選定プロセスを評価し、不備がないか検証します。内部統制としてステークホルダーの意見収集やリスク評価に基づき網羅的に重要課題を洗い出していれば、監査人から「開示すべきテーマの漏れ」を指摘されるリスクを低減できます。COSO原則6(目的の明確化)や原則7(リスクの識別)は、まさにこの点で機能します。
データの完全性・正確性
監査では、サンプルベースでデータのトレーサビリティ(追跡可能性)がテストされます。元帳やシステムから報告値まで辿れるか、計算ミスがないか、改ざんの形跡はないか等です。内部統制で証拠書類の管理やシステムアクセス権限の制御、承認ワークフローなどが確立していれば、監査人が入手する証拠の信頼性も高まります。
見積りや将来予測情報
温室効果ガス削減目標の達成見込みや、シナリオ分析に基づく将来リスクなど、フォワードルッキングな情報は監査人にとって検証が難しい領域です。ISSA 5000ではこうした情報に対する手続を詳述していますが、企業側でも算定根拠の合理性(仮定やモデルが妥当か)を内部で検討・文書化しておくことが重要です。内部統制として、専門家のレビューやバリデーションを受ける、シナリオの前提を複数検討する、といった工夫が求められます。
サプライチェーン等第三者情報
自社以外から入手したデータ(Scope3排出量、協力会社の人権情報など)は監査人も直接完全には検証できません。そのため、ISSA 5000では他保証人の利用などについて規定しています。企業側では、第三者提供データに対し信頼できる保証報告書を入手する、もしくは契約上データ提供責任を明記する、さらには独自チェック(サンプル訪問やデューデリジェンス)を行うなど、可能な限り信頼性を確保する統制を講じるべきです。
開示の一貫性と透明性
最後に、監査人は保証報告書において、企業の開示プロセスや内部統制状況について所見を述べることがあります。内部統制が不十分であれば追加の但し書きが付く可能性もあります。逆に言えば、強固な内部統制は監査人から見ても保証意見を支える根拠となり、限られた手続きで効率よく保証ができるため、企業と保証人双方にメリットがあります。
以上のように、ISSA 5000時代の保証業務では、監査人は企業の内部統制システムを厳しく精査し、不備があれば指摘・追加手続きにつなげます。したがって企業は、「監査人に指摘される前に自ら統制を整えておく」というプロアクティブな姿勢で準備することが肝要です。その際には、早い段階から保証人と対話し、自社のプロセスや統制の妥当性についてフィードバックを得ることも有効でしょう。
4. ISSA 5000の実務適用における企業事例と内部統制フレームワーク
では、具体的に企業はISSA 5000時代に向けてどのように内部統制構築を進めればよいでしょうか。
先進事例
ユニリーバは、10年以上にわたりサステナビリティKPIの第三者保証を受けている先進企業の一つです。同社は「持続可能なビジネスのために正確で堅牢なデータが必要であり、第三者保証は報告の厳格さを担保する重要な手段」と位置づけ、取締役会の監査委員会が毎年保証計画を承認しています。具体的には、国際基準ISAE 3000およびGHG排出のISAE 3410に則り、主要な環境パフォーマンス指標(GHG排出量・水・廃棄物など)や労働安全指標について保証機関から限定的保証を取得しています。
ユニリーバでは、これら保証範囲の指標を「自社の主要な環境側面(エネルギー使用、水使用、廃棄物、GHG等)に対応するもの」として選定し、データ収集プロセスを全社で統一するとともに、報告の基準書(Basis of Preparation)を公表して透明性を確保しています。また、保証範囲外の指標も含め包括的に内部統制を強化することで、保証付き項目以外でも同程度の信頼性を目指す姿勢を示しています。ユニリーバのように、ボードレベルでのコミットメントと明確な内部統制方針の下、第三者保証を戦略的に活用している企業は、今後ISSA 5000の求める水準への適合もスムーズに進められるでしょう。
日本の保証取得率
他の事例として、日本企業でも自主的に保証を受ける動きが着実に広がっています。時価総額上位の国内企業100社中、実に82%が何らかのサステナビリティ情報について第三者保証を受けており、そのほとんどが限定的保証ですが、既に一部では合理的保証並みの詳細な検証を求める声もあります。こうした企業では、保証対象をまず温室効果ガスや労働安全など定量データに絞りつつ、年々範囲を拡大したり保証レベルを引き上げたりする傾向が見られます。また、保証人からの指摘事項を内部統制改善にフィードバックし、翌年の報告プロセスに反映するサイクルを構築しているケースもあります。まさに「保証を起点とした内部統制PDCA」が回り始めているのです。
企業がISSA 5000基準を実務に適用する際は、まず自社の既存の統制枠組み(例えばCOSOやISO管理システム)とISSA 5000の要求事項をマッピングし、不足する点を洗い出すことが考えられます。特にISSA 5000は品質管理(ISQM 1)や倫理規程(IESBAコード)の遵守も保証提供者に要求しており、企業側もそれに見合う内部コンプライアンス体制やデータガバナンスを整える必要があります。また、監査人との協働だけでなく、社内のCFO部門(財務)とCSO部門(サステナビリティ)との連携も不可欠です。
財務報告とサステナビリティ報告のプロセスを可能な限り統合・同期させ、両部門の知見を共有することで、効率性と精度向上の相乗効果が期待できます。実務上は、クロスファンクショナルなESG情報委員会等を設置し、経理・環境・人事・ITなど各部署の代表者が定期的に集まり内部統制の現状と改善策を議論する場を設けると良いでしょう。こうした横断的ガバナンスは、ISSA 5000が強調する「組織全体へのインパクト」にも合致し、社内意識の統一にも貢献します。
5. ISSA 5000まとめ
最後に、ISSA 5000は2026年12月以降の期間に適用可能となる見込みですが、その遵守はゴールではなくスタートです。基準に適合した保証業務を受けることは、投資家や社会からの信頼を得る手段であると同時に、企業経営に有益なフィードバックをもたらします。内部統制を磨き上げ、信頼性の高いサステナビリティ情報を継続的に発信できる企業は、資本市場やステークホルダーとの建設的対話をリードし、長期的な価値創造につなげることができるでしょう。そのためにも、企業のサステナビリティ推進室の担当者は本稿で述べたような内部統制構築のポイントを押さえ、自社の状況に合わせて計画的に実践していくことが望まれます。ISSA 5000という新たな国際基準をチャンスと捉え、内部統制を強化することで、自社のサステナビリティ報告に対する「信頼と自信」を着実に築いていきましょう。
引用
日本公認会計士協会: 国際サステナビリティ保証基準5000「サステナビリティ保証業務の一般的要求事項」公開草案https://ifacweb.blob.core.windows.net/publicfiles/2023-09/JP_Exposure-Draft_International-Standard-Sustainability-5000_0.pdf
