Definition
CSDDDの条文を最初に読んだとき、正直、自分のクライアントの何を監査することになるのか掴めなかった。サプライチェーン全体での人権・環境影響の把握。大手の被監査会社の多くが、自社の直接子会社の話と勘違いして準備を始める。実際は第二層、第三層のサプライヤーまで遡る話である。
主要ポイント
> - CSDDDは2027年から大企業(従業員1,000名超、売上€450M超)に段階適用開始。2029年に対象範囲が拡大される予定 > - 監査人はCSDDDに関連する経営者の主張(開示、リスク評価、対応策)を独立した証拠と突き合わせて検証する > - 「デューディリジェンス」は単なる監視プロセスではなく、実際のリスク軽減措置が機能しているかの検証を含む
仕組み
CSDDDの本丸は、企業が「リスクを知っている」だけでは足りず、「リスクに対応している」ことを実証する点にある。監基報315改訂版が重要な虚偽表示リスクの識別を要求するのと同じ構造で、CSDDD適用下の被監査会社は、サプライチェーンのどこに人権リスク(強制労働、児童労働、給与・労働時間、団結の自由など)および環境リスク(温室効果ガス排出、水利用、土壌汚染など)が存在するかを系統的に洗い出さなければならない。
CSDDDで要求されるプロセスは4段階。第1段階は「リスク特定」。既知の産業リスク、地政学的リスク、サプライヤー情報に基づき、どこにリスクが存在しうるかをマッピングする。第2段階は「リスク評価」。特定されたリスクの深刻度と発生可能性をスコアリング。第3段階は「軽減策の実施」。リスク低減のための具体的措置(サプライヤー監査、契約条項の追加、第三者認証の取得など)を実装する。第4段階は「監視と報告」。軽減策が有効に機能しているかを定期的に検証し、結果を記録・開示する継続的サイクル。
監査人サイドの論点は、経営者がこの4段階を実際に実行したこと、および結果として特定されたリスクが財務諸表の開示に適切に反映されていることの検証。たとえば、重大な人権リスクが検出されながら財務諸表のリスク要因に記載されていない場合、その理由(リスク軽減に成功した、または重要性が低いと判断された)を評価する。
適用例:イタリア・テキスタイル企業での実装
事例企業: アルマ・テッシリ S.p.A.(イタリア、ミラノ近郊、従業員1,200名、売上€58百万、2024年IFRS報告)
背景: アルマは高級テキスタイルメーカー。生産工程の大部分はイタリア国内だが、原綿調達はインド、パキスタン、トルコから、二次加工はバングラデシュの提携工場に依存している。CSDDD適用開始(2027年1月)に向けて、2024年中にパイロット・デューディリジェンスプログラムを開始することを決定。
ステップ1:リスク特定 経営陣はサプライチェーン全体を第1次サプライヤー(原綿)、第2次(紡績)、第3次(染色・仕上げ)に分類。各段階について既知のリスク(農業部門における児童労働、綿花栽培地域における過度な農薬使用、バングラデシュの労働安全基準の不備)をリストアップ。 監査調書記載:デューディリジェンス委員会の議事録(2024年5月)、サプライチェーンマップ(リスク色分け図)、業界レポート(国際労働機関ILOの綿花産業調査)
ステップ2:リスク評価 各リスクについて「発生可能性」(低/中/高)と「潜在的悪影響」(軽微/重大/極度)をスコアリング。原綿調達地における強制労働リスクは「発生可能性:中、悪影響:極度」と評価。バングラデシュ工場における団結の自由制限は「発生可能性:高、悪影響:重大」と評価。 監査調書記載:リスク評価マトリックス、評価根拠(複数サプライヤーへのアンケート結果、NGO報告書)
ステップ3:軽減策の実装 原綿調達リスクに対して、国際的な綿花認証(Better Cotton Initiative)をサプライヤーに要求する条項を調達契約に追加。バングラデシュ工場に対しては、独立した労働監査(3年ごと)を実施する条件でパートナーシップを継続。監視費用は€180,000(年間)。 監査調書記載:改正調達契約(2024年6月版)、監査人の外部選定プロセス(RFP、評価シート)、最初の監査報告書(テスト対象)
ステップ4:監視と報告 2024年第4四半期に初回労働監査を実施。バングラデシュ工場から「重大な指摘事項なし」報告を受けたが、監査人は独立監査機関の報告書を直接入手して確認。結果をCSDDD準備報告書(非公開、経営陣向け)に集約。2025年の公式CSDDDレポートでは、実施済みリスク特定、評価結果、軽減策の概要を開示予定。 監査調書記載:労働監査報告書(第三者)、監視結果のログ、開示草案のレビュー
監査チームの所感: アルマのCSDDDプロセスは形式的には完了している。ただし監査人サイドで詰めるべき論点が残る。(1) 軽減策が現実に機能しているか(労働監査機関の独立性と専門性の確認)、(2) リスク評価が過度に楽観的ではないか(バングラデシュ工場での「重大な指摘事項なし」は現地の報告ベースのみで、第三者検証なし)、(3) CSDDDプロセスから発見されたリスクが財務報告書の不確実性・偶発債務の開示に反映されているか。これらは2025年の標準的な実査手続に組み込む。現場の実務感覚では、サプライチェーンの第三層まで遡るDDの検証は不可能に近い領域もある。ここは時間予算の確保が最も難しい論点となる。
査察者と実務者が見落としやすい点
- Tier 1(規制指摘): EU各国がCSDDD施行を準備中だが、2024年の段階では企業報告に対する正式な検査は開始されていない。ただし国際的な持続可能性報告に関する検査では、デューディリジェンスプロセスの形式性(リスクを特定したが軽減措置が未実装、または軽減策の有効性が検証されていない)が繰り返し指摘されている。
- Tier 2(基準準拠の実装誤り): 多くの企業がデューディリジェンスを「リスク調査」として実施し、「軽減と監視」を軽視する傾向がある。CSDDDは単なる情報収集プロセスではなく、実際のリスク軽減措置の実装と検証を必須としている。経験上、監査人が詰めるべき論点は、経営者が軽減策の有効性について何を知っていて、何を知らないかの線引き。「監査機関から報告書を受け取った」だけでは、軽減策の有効性を検証したことにならない。
- Tier 3(実務ギャップ): デューディリジェンスは年1回の点検ではなく、継続プロセスとして設計される。しかし多くの企業が、規制要件への対応として初年度に形式的なプロセスを構築した後、日常的な更新を怠る。監査人は、経営者が新しい地域への事業拡大、新規サプライヤーの追加、業界の新しいリスク情報(NGOレポート、メディア報道など)に基づいてリスク評価を実際に更新しているかを検証する。
サステナビリティ報告基準との関連
CSDDDと他の報告基準の関係整理は監査人サイドの初期論点。CSRD(企業サステナビリティ報告指令)はEU域内の報告要件を定める。CSDDDはその下位レベルで「どのようにしてそのリスクを特定したのか」という根拠を求める。CSDDDのリスク評価結果がCSRD報告書の「ダブルマテリアリティ」(企業から社会への影響と社会から企業への影響)の評価に直結する構造。ESRS(欧州サステナビリティ報告基準)はCSRD報告の標準として採用されつつあり、ESRS E1(気候変動)、E2(汚染)、E3(水・海洋資源)、S1(従業員)、S2(労働力)の各標準がCSDDDで特定すべきリスク領域に対応する。
監査人がCSRD/ESRS報告を監査または検証する場面では、その報告に含まれるリスク情報がCSDDDプロセスの出力と整合しているかの確認が、財務報告の信頼性を補強する手段となる。
関連用語
- ダブルマテリアリティ: サステナビリティリスクが企業の財務状況に与える影響と、企業活動が環境・社会に与える影響の両方を評価する概念。CSDDDは後者に重点を置く。
- CSRD(企業サステナビリティ報告指令): CSDDDを含む大規模なEUサステナビリティ報告規制パッケージ。企業に対し、特定のサステナビリティ開示を義務付ける。
- ESRS(欧州サステナビリティ報告基準): CSRD報告に使用する標準化された開示体系。環境、社会、ガバナンスの各領域で詳細な開示を要求。
- 限定的保証: 監査人がサステナビリティ報告書に対して提供することが多い保証の水準。財務監査の「合理的保証」より証拠要件が低い。CSDDDプロセスの検証にも適用される。
- サプライチェーン・デューディリジェンス: 製品・サービスの製造から最終顧客への到達までの全段階における人権・環境リスクを評価するプロセス。CSDDDの中核。
- 確約(Commitment): デューディリジェンスの結果に基づいて企業が公開した、リスク軽減に関する宣言。CSDDDレポートに含められる。
---