主要ポイント

CSDDDは2027年1月から大企業(従業員1,000名以上)に適用開始。2029年1月から中堅企業(従業員250名以上)に適用拡大予定
監査人はCSDDDに関連する経営者の主張(開示、リスク評価、対応策)を独立した証拠に対して検証する必要がある
「デューディリジェンス」は単なる監視プロセスではなく、実際のリスク軽減措置が機能しているかの検証を含む

仕組み

CSDDDの本質は、企業が単に「リスクを知っている」状態では不十分であり、「リスクに対応している」ことを実証する必要があるという点にある。ISA 315改訂版が重要性のある情報の識別を要求するのと同じ原理で、CSDDD要件下の被監査会社は、サプライチェーンのどこに人権(強制労働、児童労働、給与・労働時間、団結の自由など)および環境リスク(温室効果ガス排出、水利用、土壌汚染など)が存在するかを系統的に特定しなければならない。
CSDDDで求められるプロセスは4段階である。第1段階は「リスク特定」。既知の産業リスク、地政学的リスク、サプライヤー情報に基づいて、どこにリスクが存在する可能性があるかをマッピングする。第2段階は「リスク評価」。特定されたリスクの深刻度と発生可能性を評価する。第3段階は「軽減策の実施」。リスク低減のための具体的措置(サプライヤー監査、契約条項の追加、第三者認証の取得など)を展開する。第4段階は「監視と報告」。軽減策が有効に機能しているか定期的に検証し、結果を記録・開示する。
監査人にとって重要な点は、経営者がこの4段階を実際に実行したこと、および結果として特定されたリスクが財務諸表の開示に適切に反映されていることを検証することである。たとえば、重大な人権リスクが検出されたが、財務諸表のリスク要因に記載されていない場合、その理由(リスク軽減に成功した、または重要性が低いと判断された)を評価する必要がある。

活用例:イタリアン・テキスタイル企業での実装

事例企業: アルマ・テッシリ S.p.A.(イタリア、ミラノ近郊、従業員1,200名、売上€58百万、2024年IFRS報告)
背景: アルマは高級テキスタイルメーカー。生産工程の大部分はイタリア国内だが、原綿調達はインド、パキスタン、トルコから、二次加工はバングラデシュの提携工場に依存している。CSDDD適用開始(2027年1月)に向けて、2024年中にパイロット・デューディリジェンスプログラムを開始することを決定。
ステップ1:リスク特定
経営陣はサプライチェーン全体を第1次サプライヤー(原綿)、第2次(紡績)、第3次(染色・仕上げ)に分類。各段階について既知のリスク(農業部門における児童労働、綿花栽培地域における過度な農薬使用、バングラデシュの労働安全基準の不備)をリストアップ。
監査調書記載:デューディリジェンス委員会の議事録(2024年5月)、サプライチェーンマップ(リスク色分け図)、業界レポート(国際労働機関ILOの綿花産業調査)
ステップ2:リスク評価
各リスクについて「発生可能性」(低/中/高)と「潜在的悪影響」(軽微/重大/極度)をスコアリング。原綿調達地における強制労働リスクは「発生可能性:中、悪影響:極度」と評価。バングラデシュ工場における団結の自由制限は「発生可能性:高、悪影響:重大」と評価。
監査調書記載:リスク評価マトリックス、評価根拠(複数サプライヤーへのアンケート結果、NGO報告書)
ステップ3:軽減策の実装
原綿調達リスクに対して、国際的な綿花認証(Better Cotton Initiative)をサプライヤーに要求する条項を調達契約に追加。バングラデシュ工場に対しては、独立した労働監査(3年ごと)を実施する条件でパートナーシップを継続。監視費用は€180,000(年間)。
監査調書記載:改正調達契約(2024年6月版)、監査人の外部選定プロセス(RFP、評価シート)、最初の監査報告書(テスト対象)
ステップ4:監視と報告
2024年第4四半期に初回労働監査を実施。バングラデシュ工場から「重大な指摘事項なし」報告を受けたが、監査人は独立監査機関の報告書を直接入手して確認。結果をCSDDD準備報告書(非公開、経営陣向け)に集約。2025年の公式CSDDDレポートでは、実施済みリスク特定、評価結果、軽減策の概要を開示予定。
監査調書記載:労働監査報告書(第三者)、監視結果のログ、開示草案のレビュー
結論: アルマのCSDDDプロセスは形式的には完了した。ただし監査人は以下を確認する必要がある:(1) 軽減策が本当に機能しているか(労働監査機関の独立性と専門性の確認)、(2) リスク評価が過度に楽観的ではないか(バングラデシュ工場での「重大な指摘事項なし」は現地の報告ベースのみ)、(3) CSDDDプロセスから発見されたリスクが財務報告書の不確実性・偶発債務の開示に反映されているか。これらは2025年の標準的な実査手続の一部として組み込むことができる。

査察者と実務者が見落としやすい点

  • Tier 1(規制指摘): EU各国がCSDDD施行を準備中だが、2024年の段階では企業報告に対する正式な査察が開始されていない。ただし国際的な持続可能性報告に関する査察では、デューディリジェンスプロセスの形式性(リスクを特定したが軽減措置が未実装、または軽減策の有効性が検証されていない)が繰り返し指摘されている。
  • Tier 2(基準準拠の実装誤り): 多くの企業がデューディリジェンスを「リスク調査」として実施し、「軽減と監視」を軽視する傾向がある。CSDDDは単なる情報収集プロセスではなく、実際のリスク軽減措置の実装と検証を必須としている。監査人が確認すべき点は、経営者が軽減策の有効性について何を知っているか、および知らないかである。「監査機関から報告書を受け取った」は、軽減策の有効性を検証したことにはならない。
  • Tier 3(実務ギャップ): デューディリジェンスは年1回の点検ではなく、継続的なプロセスとして設計される必要がある。しかし多くの企業は、規制要件への対応として初年度に形式的なプロセスを構築した後、日常的な更新を怠る傾向がある。監査人は、経営者が新しい地域への事業拡大、新規サプライヤーの追加、業界の新しいリスク情報(NGOレポート、メディア報道など)に基づいてリスク評価を実際に更新しているかを検証する必要がある。
  • Tier 4(財務報告との接続漏れ): CSDDD第22条は、特定されたリスクが財務的影響を有する場合、偶発債務(IAS 37.14)や引当金として認識すべきかを検討するよう求めている。たとえば、サプライヤーの人権侵害に起因する訴訟リスクや制裁金の可能性がある場合、デューディリジェンス報告書と財務諸表の注記の間に整合性がなければならない。この接続が欠落すると、ISA 720に基づくその他の記載内容との不整合が生じる。

サステナビリティ報告基準との関連

CSDDDと他の報告基準の関係を理解することは、監査人にとって重要である。CSRD(企業サステナビリティ報告指令)はEU域内の報告要件を定める。CSDDDはその下位レベルで「どのようにしてそのリスクを特定したのか」という根拠を求める。つまり、CSDDDのリスク評価結果がCSRD報告書の「ダブルマテリアリティ」(企業から社会への影響と社会から企業への影響)の評価に直結する。同時に、ESRS(欧州サステナビリティ報告基準)はCSRD報告の標準として採用されつつあり、ESRS E1(気候変動)、E2(汚染)、E3(水・海洋資源)、S1(従業員)、S2(労働力)の各標準がCSDDDで特定されるべきリスク領域に対応している。
監査人がCSRD/ESRS報告を監査または検証する際、その報告に含まれるリスク情報がCSDDDプロセスの出力と整合しているかを確認することは、財務報告の信頼性を高める手段となる。

関連用語

  • ダブルマテリアリティ: サステナビリティリスクが企業の財務状況に与える影響と、企業活動が環境・社会に与える影響の両方を評価する概念。CSDDDは後者に重点を置く。
  • CSRD(企業サステナビリティ報告指令): CSDDDを含む大規模なEUサステナビリティ報告規制パッケージ。企業に対し、特定のサステナビリティ開示を義務付ける。
  • ESRS(欧州サステナビリティ報告基準): CSRD報告に使用する標準化フレームワーク。環境、社会、ガバナンスの各領域で詳細な開示を要求。
  • 限定的保証: 監査人がサステナビリティ報告書に対して提供することが多い保証の水準。財務監査の「合理的保証」より証拠要件が低い。CSDDDプロセスの検証にも適用される。
  • サプライチェーン・デューディリジェンス: 製品・サービスの製造から最終顧客への到達までの全段階における人権・環境リスクを評価するプロセス。CSDDDの中核。
  • 確約(Commitment): デューディリジェンスの結果に基づいて企業が公開した、リスク軽減に関する宣言。CSDDDレポートに含められる。

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。