ISO 14065は、環境情報の妥当性確認および検証を行う第三者機関に対する国際規格です。もとは温室効果ガス(GHG)に特化していましたが、2020年版では環境ラベルやカーボンフットプリント、グリーンボンドなど、環境情報全般を対象とする包括的な規格へと拡張されました。ISO/IEC 17029との統合やガバナンス強化により、検証の信頼性も向上。企業の環境報告の信ぴょう性を高め、ESG評価や資金調達にも貢献します。最後は、ISO 14065:2020が果たす信頼性ある環境情報開示の役割について解説します。
1. ISO 14065とは
ISO 14065は、環境情報の妥当性確認および検証を行う第三者機関に対する一般原則と要求事項を定めた国際規格である。もともとは温室効果ガス(GHG)の排出量報告等の信頼性を担保するために策定され、2007年に初版が発行された。2013年版(第2版)まではGHGの排出量に関する主張(GHGアサーション)の検証・妥当性確認に特化した内容で、GHG検証機関の認定基準として世界各国で利用されてきました。例えば、EUの排出量取引制度(EU ETS)では2012年版(ISO 14065:2012)が調和規格として採用され、各国認定機関がGHG検証者をISO 14065に基づき認定している経緯があります。
こうした背景から、ISO 14065は従来、気候変動対策におけるGHG排出量の報告・検証の信頼性確保に重要な役割を果たしてきた。しかし近年、企業の環境への取り組みはGHG以外にも拡大し、環境フットプリント(例:カーボンフットプリント、水フットプリント)や環境ラベル(エコラベル、環境製品宣言)、サステナビリティ報告などGHG以外の環境情報の開示・利用が飛躍的に増えています。こうした環境情報についても、そのデータの正確性・信頼性を確保することが求められるようになりました。ISO 14065はそのニーズに応えるべく、環境情報全般の検証/妥当性確認を担う機関に適用できる包括的な基準へと発展している。特に2020年版(第3版)では、この規格の対象範囲と内容が大幅に見直され、従来のGHG分野を超えて環境情報全般を扱うものとなった。
2. 財務報告からサステナビリティ報告へ
企業における財務報告の信頼性確保には長年、内部統制システムの整備が不可欠であり、エンロン等の不正会計事件を契機に2002年に米国で制定されたサーベンス・オクスリー法(SOX法)では、財務報告に係る内部統制(ICFR)の評価と監査が義務付けられました。SOX法の下、COSO(トレッドウェイ委員会支援組織委員会)の「内部統制の統合的フレームワーク」(1992年版)がICFR評価の適切な基準として採用され、事実上すべての上場企業がCOSOフレームワークを用いてICFRを構築・報告することとなりました。
内部統制の重要性
COSOフレームワークは2013年に改訂され、報告目的から「財務」の文言を削除し、内部・外部の財務・非財務報告全般に適用範囲を拡大しました。すなわち、従来財務情報中心であった内部統制の考え方が、企業の社会的責任・サステナビリティ報告など非財務情報にも適用できるように設計し直されたのです。これにより、財務報告で培われた厳格な内部統制プロセスをサステナビリティ情報にも応用し、信頼性を高める道が開かれました。
もっとも、サステナビリティ報告分野での内部統制整備はまだ発展途上にあります。COSOが2023年に公表したガイダンスでも、多くの組織はESG指標ごとに個別の統制や社内検証手続きを講じているものの、サステナブルビジネス情報全般に有効かつ統合された内部統制システムを構築している企業は少ないと指摘されています。
しかし近年、気候変動やESGリスクに関する開示について、限定的保証ではなく合理的保証(監査レベルの保証)の実現を期待する声が政策立案者や投資家から高まっており、各組織も信頼性確保に向けて「学習と発展の途上」にあります。この課題に対する有効なアプローチとして、COSOフレームワークを土台に内部統制 over サステナビリティ報告(ICSR)を整備する動きが加速しています。
3. 限定的保証から合理的保証へ
サステナビリティ情報の第三者保証には、「限定的保証」と「合理的保証」の2水準があります。
保証水準向上と内部統制の発展プロセス
限定的保証が「確認した事項について不適合がなかった」と結論する(ネガティブ形式の結論)ものに対し、合理的保証は「対象すべてを検証し、基準を満たしていると確認した」と結論する(ポジティブ形式の結論)点で異なります。後者の合理的保証の方が要求される証拠の量・範囲が多く、より高い保証水準ですが、その分コストや体制整備のハードルも上がります。
保証水準について
現状では限定的保証が主流であり、IFAC調査では保証業務の約97%が限定的保証との報告もあります。しかし投資家などステークホルダーは財務情報同等の信頼性を非財務情報にも求め始めており、将来的には合理的保証への移行が志向されています。こうした動向を踏まえ、各国の規制も段階的アプローチを採りつつあります。
例えばEUの企業サステナビリティ報告指令(CSRD)ではまず限定的保証を義務化し、2028年までに合理的保証基準の採用を検討する計画です。米国SECの気候関連開示案でも、適用初期は限定的保証を要求しつつ2年後を目途に合理的保証へ移行する提案となっています。日本でも今後の開示制度に保証を組み込む際、まず限定的保証から導入し、追って合理的保証に引き上げることが想定されています。
この移行期に重要なのが、企業側の内部統制システムの成熟度です。保証水準を高めるには、それを支えるデータ収集・集計・チェック体制の高度化が不可欠であり、導入時期も情報開示制度の成熟度を踏まえ慎重に進めるべきとの指摘があります。したがって、企業は初期段階では限定的保証に耐えうる内部統制を整備し、その運用を通じて改善を重ねることで、最終的に合理的保証にも対応できる統制レベルへ高めていく段階的プロセスを踏むことが推奨されます。
第三者保証の現状(グローバル上位企業調査より)
参考:https://jicpa.or.jp/about/activity/activities/assurance_aup/non_fi_assurance/
青棒は何らかのESG情報を報告している企業の割合(98%、日本99%)、オレンジ枠はそのうち保証を受けている企業の割合(69%、日本82%)、下段の数字は限定的保証の割合(82%、日本94%)を示します。現時点では約7割の企業がサステナビリティ情報の保証を受けており、その大半(8割超)が限定的保証に留まっています。今後は合理的保証へのシフトが見込まれ、保証水準引き上げのため内部統制の一層の強化が課題となる可能性が高いです。
段階的アプローチの実践例
COSOのICSRガイダンスでは仮想企業の事例が紹介されています。ある大手企業は、2000年代後半から毎年詳細なESG報告書を発行し内部統制を整備してきました。直近では温室効果ガス排出量、多様性・従業員安全など主要KPIについて外部監査人による限定的保証を受けるところまで進展しています。同社はまず2019年にGHG排出量の一部4指標で限定的保証を取得し、その経験を踏まえ翌年には保証範囲をScope1,2,3の計105データポイントに拡大しました。この過程で内部監査部門を活用し、外部保証を想定した内部統制の見直し・ギャップ分析・改善のモニタリングを実施することで、保証対応力を段階的に向上させました。加えて、プロセスオーナーから取締役会に至るまで組織内コミュニケーションを強化し(COSO原則16)、内部統制の強化によって各部門の責任遂行能力も高まる「副次的効果」も得られています。
現在この企業は、内部統制の課題ギャップ解消やデータシステムの強靭化、トランザクションレベルでのデータ検証、エビデンス書類の裏付け確認など、財務報告の監査に匹敵する水準の統制活動を整備することで合理的保証の取得を目指し、監査人と同様の視点で内部監査を組み込む「3ラインモデル」に移行する取り組みを継続しています。このように限定的保証で得られたフィードバックを内部統制強化に活かし、保証範囲と水準を段階的に引き上げていくことが、実務的に有効なステップであると示唆されます。
4. 国際的フレームワークの活用と実務上のアプローチ
内部統制の整備にあたっては、COSOフレームワークが引き続き有用な指針となります。
COSOフレームワーク
本フレームワークは2013年版は内部統制の5つの基本構成要素(統制環境・リスク評価・統制活動・情報と伝達・監視活動)と17の原則を提示しており、これはサステナビリティ情報にも適用可能です。企業はまず自社のサステナビリティ指標や開示プロセスをCOSOの17原則に照らして評価し、どの原則にギャップがあるか診断するとよいでしょう。
実際、前述の企業事例でもCOSOフレームワークに基づくギャップ分析により「ESGデータの完全性(漏れや誤りがないか)」に焦点を当てる必要性が明らかになり、社内の様々な部門から提供されるESGデータに統制の考え方を浸透させるきっかけとなりました。さらに、ESG情報に特有の見積りや将来予測を含む項目についても、合理的な算定根拠を定義・文書化する仕組みを整備し(COSO原則10)、財務報告での経験を活かしてドキュメンテーションを改善するなど、既存の管理会計・財務統制の知見が活用されています。
このように、財務報告で培った統制手法や社内体制をベースに非財務情報領域を強化することは、効率的かつ効果的なアプローチです。
内部統制強化
実際に、多くの企業ではCFO配下の財務チームがもつ統制・ガバナンスのスキルと、環境・安全等の専門知識をもつサステナビリティ担当者を結集させることで、従来の財務報告と一体的にサステナビリティ情報の内部統制基盤を構築し始めています。この時、何から手を付けるべきかについては、まず自社のデータを洗い出し(データインベントリの作成)、現在どのような統制で管理されているか、抜け落ちや信頼性の課題は何か、といった現状評価から着手すると良いでしょう。重要なデータの発生源や責任者、報告への使われ方、長期的な保管方法と潜在的なリスクを洗い出し、プロセス全体を可視化することで、将来目指すべき統制水準とのギャップが明確になります。
内部統制強化に向けた実務では、経営トップの関与と統治も重要です。取締役会や経営陣がサステナビリティ情報の信頼性確保にコミットし、進捗をモニタリングする体制(たとえば監査委員会等による統制の監督)を整えることで、組織全体に「トーン・アット・ザ・トップ」(健全な統制文化)が醸成されます。加えて、内部監査部門の独立した視点からの評価も活用すべきです。内部監査人は、サステナビリティ報告プロセス上のリスク評価や統制設計を検証し、改善提言を行うことで、外部監査人による保証取得の事前準備を支援できます。この「3つの防衛線」を機能させ、業務担当(1線)・リスク管理部門(2線)・内部監査(3線)がそれぞれの役割で統制に関与する体制は、サステナビリティ分野でも有効なガバナンスモデルです。
5. まとめ
以上のように、内部統制の強化プロセスは一朝一夕に完了するものではありません。しかし、財務報告の世界で数十年かけて確立してきた統制基盤をレバレッジし、段階的にサステナビリティ情報の統制レベルを引き上げていくことで、より短期間で高水準の信頼性を実現することが可能です。最終的には、内部統制の充実により企業の意思決定や業務プロセスそのものが改善し、ひいては持続的価値創造に資するという付随的なメリットも得られるでしょう。財務・非財務の統合報告時代において、内部統制は企業価値とステークホルダー信頼の基盤であり、その整備・発展に継続的に取り組むことが企業のサステナビリティ推進室に求められています。
引用
金融庁 事務局資料 「内部統制を巡る動向」
https://www.fsa.go.jp/singi/singi_kigyou/siryou/kaikei/20220929/1-2.pdf
Protiviti: 改訂COSO内部統制の原則に関わるサーベイレポート
https://www.protiviti.com/sites/default/files/2022-09/coso_survey_2013.pdf
