SSBJの基準整備が進むにつれ、サステナビリティ情報開示は大きな転換点を迎えています。
これまで多くの企業において、ESG情報の開示は「取り組みをどう見せるか」という、広報・IR寄りの活動として扱われることもありました。しかし、SSBJが求める世界観はそれとは根本的に異なります。それは、サステナビリティ情報を財務情報と同等の水準で、第三者が検証可能な情報として担保すること、すなわち「保証(監査)に耐えうる情報生成」です。
「SSBJ対応を任されたものの、何から手を付ければいいか分からない」
「財務決算並みのタイムラインを求められ、現場のマンパワーが限界を迎えている」
そんな実務担当者や推進責任者の方に向けて、本記事でお伝えしたいのは、サステナビリティ開示の本質は単なる「業務改善」ではなく「統制アーキテクチャの設計」であるということです。
グローバルスタンダードであるCOSOのICSR(サステナビリティ報告に係る内部統制)の思想も交えながら 、現場のマンパワーだけに頼らない仕組みづくりのポイントを解説します 。
SSBJが突きつける「同時開示」と「再現可能性」の壁
サステナビリティ開示は、本質的に「プロセス依存型の情報」です。さらにSSBJ対応において実務を最も追い詰めるのは、有価証券報告書における財務諸表との「同時開示」という極めてタイトなタイムラインです。
実務では、工場・拠点・子会社・外部委託先など、極めて多層的なデータ発生源が存在し、そこから集約・変換・補正・算定というプロセスを経て最終的な開示値が作られています。財務のように「月次決算」の仕組みが定着していないサステナビリティ領域において、このタイムラインを現場のマンパワーだけで完遂するのは困難と言わざるを得ません。
そして、重要なのは「最終数値の整合性」だけではありません。こうしたタイトなスケジュールの中で「誰がいつやっても、同じ根拠から同じ数値をミスなく再現できるか(再現可能性)」をシステムと業務フローの双方で担保すること。この「短期間での完遂」と「品質の保証」という2つの難題を乗り越えるためには、CFO組織が持つ財務の専門性と内部監査の知見を統合した、部門横断的な統制アーキテクチャの構築が不可欠となっています。
監査において課題となりうる「情報収集」のブラックボックス
内部統制を構築する上で、最初に致命的なエラーが顕在化するのは、データの「収集フェーズ」であると考えます。実務の現場を覗くと、多くの企業で次のような光景が繰り広げられています。
- 海外子会社からメールで送られてくるExcelファイルのフォーマットが、現地の判断で勝手に書き換えられている
- 環境担当者のデスクトップにしか存在しない、誰も中身を解読できない「マクロ」の存在
- データの提出責任者が明文化されておらず、前任者の記憶と古いメールの履歴を頼りに数値を埋めている
この状態の本当のリスクは、ツールの未整備ではなく、「入力段階で既にバラつき(エラー)が組み込まれている」という構造的問題にあると考えます。監査人がチェックするのは、単に「数字が合っているか」ではなく、そのデータに漏れがないか(網羅性)、計算ロジックが正しいか(正確性)という内部統制上のエビデンスです。SSBJ対応において最初に取り組むべきは、「収集プロセスの標準化(誰が・いつ・何のデータを・どの承認経路で出すか)」という、監査の拠り所となるルール設計(コントロールポイントの設定)なのだと考えます。
Excel運用の限界は、効率ではなく「エビデンス(不保持)」にある
次に問題となるのが「算定プロセス」です。特にGHG排出量(Scope 1〜3)などの指標は、排出係数の更新や対象境界の変更など、前提条件が毎年のように変わる構造を持っています。
ここで実務担当者を悩ませるのは、計算式の複雑さそのものよりも、「その変更が管理されていないこと」です。
「どの係数が、いつ、誰の承認によって変更されたのか」「過去のデータを開示当時のロジックで再現できるか」。これらが証明できない場合、企業は監査人に対して「正しいかどうか」を説明できないのではなく、「そもそも同じ数値を再現できない」という統制上の欠陥を露呈することになります。
従来の内部統制が業務ルールや押印などの「運用ルール」で回っていた一方で、サステナビリティ領域では、もはやそれだけでは不十分であると考えます。サステナビリティの内部統制はデータ入力時のエラーチェック(バリデーション機能)、アクセス権限の制限、変更履歴(ログ)の自動保存、といった「システム設計(IT統制)」に埋め込むことが求められます。そして、これらをシステム的に担保できないことこそが、Excelベースの運用がリスクを孕んでいる理由になっていると考えます。
企業が今取り組むべきこと
上記を踏まえ、SSBJ対応を見据えた内部統制設計において、企業が今取り組むべきことは、いきなりすべてのScope(範囲)を網羅しようとせず、まずは主要な1指標(例えば、拠点の電力消費量やScope 1・2など、比較的データが追いやすいもの)をパイロット(実験)対象として選び、現場のデータ発生源から本社の開示に至るまでの「データ流動図(業務フロー図)」を徹底的に可視化することです。
- データの発生源: メーターの直読みか、検針票PDFか、それともビル按分計算か
- 受け渡しの経路: 誰が、どのタイミングで、どんな媒体(メール、Excel)で本社へ送るのか
- 承認のエビデンス: 最終集計値に至るまでに、誰が「データの正当性」をチェックし、その証跡をどこに残すのか
このフロー図を引くと、データがブラックボックス化している「統制の空白地帯(=リスク)」が必ず浮き彫りになります。J-SOXでいう「リスク・コントロール・マトリクス(RCM)」を、サステナ領域でどう設計するか。このリスクの識別と、それに対するコントロールポイント(CP)の設定が必要です。
任意開示が中心であったこれまでのフェーズでは、現場の環境担当者が個々の判断でExcelを運用し、数値を入力していくやり方が一つの「正解」とされてきました。しかし、SSBJの導入によって「財務諸表との同時開示」や「監査法人による保証」が不可欠となるこれからの時代、サステナビリティ部門の努力だけでは対応しきれません。今後は、経理・財務や内部監査の専門的な知見を融合させた、システム的な統制(IT統制)の構築が極めて重要になります。
さいごに
私たちサステナブル・ラボが提供する「TERRAST by uniqus」は、単なる「ESG情報集計ツールの提供」にとどまりません。
- 現状の業務フローを可視化し、監査上のリスクを洗い出す
- 不確実なデータや複雑なマスタ境界を整理する
- そして、現場の入力エラーを構造的に防ぐ
これらを、サステナビリティの専門知見とシステム開発力の双方から、一気通貫でご支援しています。
「自社のデータ構造が複雑すぎて、何から手を付けるべきか分からない」「監査法人の保証に耐えうるScope 3のロードマップを描きたい」 そんなお悩みをお持ちの開示担当者や、推進責任者の方は、ぜひ一度、当社にご相談ください。
————————
次回(後編)予告:器を整えたら、次は「中身」の設計へ
今回は、データを安全かつ迅速に運ぶための「器(プロセス統制)」について解説しました。しかし、どれほど強固な器を作っても、中を流れるデータ自体の定義がバラバラであれば、監査に耐えることはできません。 次回は、SSBJ対応の成否を分けるもう一つの重要テーマ「データガバナンス」の実務論点に迫ります。
参考文献
- サステナビリティ開示ユニバーサル基準「サステナビリティ開示基準の適用」 / テーマ別基準第1号「一般開示基準」(SSBJ)
- 金融審議会「サステナビリティ情報の開示と保証のあり方に関するワーキング・グループ」報告書(金融庁)
