10月13日に開催された企業会計審議会内部統制部会(再開後の第1回)の議事録が公開されました。
(会議資料などはこちらから→当サイトの関連記事)
この回は,討議というよりは、事務局説明の後、各委員の意見を聴くということで終わったようです。
以下、論点になりそうな意見や気になった意見を引用します。
まず、事務局説明から。
「論点としては大きく3つございます。まず、経営者による内部統制の構築・評価に関して基本的枠組みと評価範囲、そして、監査、さらに訂正時の対応をお示ししております。」
「評価範囲についてでございますけれども、主な論点としては、やはり重要な虚偽表示の発生可能性とその程度を勘案して、リスクベースで範囲とか対象を決定することが重要でございますけれども、この観点から、評価範囲の選定基準の定量的な例示をどう取り扱うかという点があると考えております。」
(監査に関して)「経営者によるリスクベースの内部統制評価を促していく観点から、例えば経営者と監査人の早期の緊密な協議を促すことや、内部統制報告書の中で、監査人が評価対象とすべきであると判断する領域が経営者の内部統制の評価にどのように評価されたのか明らかにするなど、経営者と監査人との議論の促進・透明性の向上を図ることが考えられます。」
「訂正内部統制報告書で評価結果が変更される場合には、例えば事案の第三者委員会報告書の記載も参考に背景・理由を明記いただくことが論点かと考えております。」
以下、委員の意見より。重複する意見の場合は、省略していることがあります。
「...企業グループ全体としての内部統制の構築が必要であるということであって、内部統制の基本的枠組みに「コーポレートガバナンス/リスクマネジメント/内部統制」の関係を織り込むことが必要であると考えております。」(成田委員)(会計士)
「...内部統制報告書においても企業のITプロセス及びITの全般統制について記載したほうがよいのではないかと考えております。」(同上)
「経営者の評価範囲外で開示すべき重要な不備が検出される場合が一定程度あるということで、私としてはリスクベースで評価範囲を決定したほうがよいと考えております。その場合には、内部統制報告書において、全社的な内部統制及び重要な事業拠点、また、事業の目的に大きく関わる勘定科目について企業はどのように決定したか、こちらを記載するほうがよろしいかと考えております。なお、評価範囲外となりました子会社やプロセスについては、重要性に応じてローテーションで評価対象としてはどうか、そして、その内容を内部統制報告書に開示してはどうかと考えております。」(同上)
「監査人による内部統制評価としては、ダイレクト・レポーティングに変更して、監査人が財務諸表監査における内部統制の整備・運用状況の検討結果を基礎として、全体として内部統制に対する監査意見を表明する制度に私は変更したほうがよいのではないかと考えております。」(同上)
「訂正内部統制報告書の中で、当初「有効」とした内部統制を「有効でない」と訂正した際の判断理由を開示させることには賛成でございます。なお、その場合には、開示すべき重要な不備の是正措置への対応について、監査人の評価を追加したらどうかと考えております。」(同上)
「非財務情報については重要性が増しておりますので、有価証券報告書に気候変動に関する記載が義務化された場合、こちらについては内部統制報告制度の対象にしてもよいと考えております。その場合でございますが、作成プロセスについてどうする、どう考えるかと、そういうところからスタートすることはどうかと考えております。」(同上)
「今後は、財務情報のみならず、非財務情報に関しても内部統制の範囲として評価していくべきなのではないか」(引頭委員)
「内部統制監査において、いわゆる監査対象会社に対して、一律の数値基準による監査を進めているだけで十分なのか、という疑問が生じてまいります。内部統制監査においても、リスク・アプローチの要素を従来以上に取り入れることが重要なのではないかと思っております。」(同上)
「内部統制、ERMとガバナンスとの関係については、攻めと守りの両面からサステナブル経営を推進するためにも重要であることは自明の理ですので、ここの記述の明確化については賛成いたします。2点目、ITの統制については、制度導入時から格段にリスクが上がっているのはセキュリティの観点ですので、このセキュリティの記述について、実施基準の中で増やすべきだと思っております。3点目、経営者による内部統制の無効化については、社外取締役や監査役による監視、内部監査部による監査による、経営者に対する牽制機能が重要だということを実施基準においてもっと強調し、自覚を持っていただけるようにすべきだと思っております。4点目、内部監査機能についてですが、上場時に求められる独立した内部監査部署が上場後に変更したり、専担者を置かなくなっていたりとかということで、内部監査部署が軽視・弱体化されることがないように、内部監査機能のさらなる強化・活用、ここが大切だと思っております。」(髙畑委員)
「将来的な、中期的な課題を2点お話ししたいと思います。1点目は、会社法と金融商品取引法が将来統合した際ですけれども、実効性の向上と業務効率化の観点から、全社的な内部統制については、内部統制の4つの目的をカバーして、会社法による評価と統合して、総合的に判断できるようにするというのがよいと思っています。2点目ですが、中期的には、気候変動対応などの非財務情報については社会的な要請が強いこと、また、炭素税を含め財務への影響が大きいことから、表示の適切性などの観点から、個別の第三者評価ではなく、J-SOXの評価範囲に含めることを検討したいと考えております。」(同上)
「1番目の内部統制の基本的な枠組みに関しましては、目的を財務報告目的からより幅広く報告目的に変えることについては賛成でございます。2つ目の内部統制の無効化につきましては、経営者による内部統制の無効化を企業自体が指摘するのは難しい面があると思いますが、そこでは内部統制を支えるガバナンス体制が非常に大きな役割を示してくると思いますので、内部統制と全社的なリスクマネジメント、さらにガバナンスに関して基準の中で概念的な整理をしていただくことが非常に重要ではないかと思います。」(金子委員)(会計士)
「例えば内部統制報告書提出状況の推移というようなグラフの中には、開示すべき重要な不備が存在すると開示したケースは引き続き一定数見られるという記載があります。...しかしながら、きちんと発見して、報告をしたということに対して、必ずしも非難しないという受け止め方もあるのではないかと思います。内部統制については、不備があることに気付く、隠さず報告することが健全であり、重要であるという理解が進むような基準にしていただけるとありがたいと思っております。」(同上)
「監査人による内部統制監査につきましては、経営者と監査人との間のコミュニケーションが重要であるのは当然のことと考えますし、経営者による内部統制評価がリスクベースになれば、コミュケーションが活発にならざるを得ないと思います。さらに、内部統制について社外取締役や監査役等の関心がより高まれば、社外取締役・監査役と監査人とのコミュニケーションも活発になっていくと思いますので、基本的枠組みの整理、内部統制報告書における開示の充実と監査は一体として繋がっていくものと考えております。」(同上)
「検討を進めるに当たっては、実務への影響を踏まえて、関係者のコンセンサスを得られるよう、十分な議論をお願いしたいと考えております。」(藤本委員)(会計士協会役員)
「内部統制の基本的枠組みでございますが、この見直しについては、近年の内部統制に関する議論の進展を鑑み、検討することも有用と考えております。なお、具体的な内容としてここでITが取り上げられておりますが、3点ほど述べさせていただきます。一つは、ITの利用及び統制の在り方についてです。先ほど来コメントがございましたが、企業の業務におけるITの技術の状況もかなり進展をしていると認識しておりまして、内部統制の検証に当たって考慮すべき内容がないかどうか、いま一度検討が必要だと考えております。2つ目は、会計上の見積りや、将来開示が見込まれる非財務情報の内部統制との関連についてです。特に非財務情報については、定性情報も含まれるということから、開示に至るプロセスが重要であると考えており、その検証も必要であると考えております。3つ目は、会計上の不正を防止・発見する内部統制の整備・運用についてです。内部統制の実効性確保の観点から、不正への対応は欠かせないと考えております。」(同上)
「経営者責任の明確化という観点では、内部統制に限った話ではございませんけれども、有価証券報告書における代表者確認書の記載の充実化や、例えば米国の宣誓書なども参考にして議論していくという価値もあると考えております。」(同上)
(評価範囲について)「数値基準があるということではございますが、いま一度、リスクベースで評価の対象となる内部統制を決定するということをより強調してはどうかと考えております。...実務上のガイダンスを提供することで、円滑かつ効果的な制度運用が期待できるのではないかと考えております。」(同上)
「監査人による内部統制監査でございます。経営者によるリスクベースでの内部統制評価を促していく観点としては、これまで会社と監査人との間では、KAMの適用によって、リスクの識別においては企業の経営者や監査役等と監査人との間の協議が行われているという実務がございますので、さらにそれを発展するような形で議論の促進を図ることに賛同いたします。また、透明性の向上に当たっては、内部統制報告書の記載内容を充実化するということが有用であると考えております。」(同上)
「内部統制報告書の訂正時の対応でございますが、「有効でない」と訂正した場合の判断事由を開示することについては賛同いたします。訂正時の対応として、訂正内部統制報告書の記載を充実化することで企業の説明責任が明確化されるのではないか、例えば評価結果が異なる背景や理由等を記載することは有用ではないかと考えております。」(同上)
「非財務情報あるいは将来的に財務情報となり得る未財務情報、こういったものも対象にしていくことが望ましいのではないかと考えます。それから、基準等の中でガバナンス、ERM、内部統制の関係を説明することは必要であると考えます。経営者による内部統制の無効化を防ぐために、統治・監督機関である取締役会や監査役会等が果たすべき役割、すなわち、ガバナンス体制の強化と充実について明確に示すことが重要であると考えます。さらに、内部監査部門のデュアルレポーティングは、経営者による内部統制の無効化への牽制効果が期待でき、また、内部監査部門と社外取締役の連携強化も内部統制のモニタリングの効果を高めることが期待できるため、この辺りも基準等に盛り込んではどうかと考えます。」(堺委員)
「年度末に予定されております金融商品取引法の改正では、有価証券報告書の記載事項に「サステナビリティ情報」の記載欄が新設されるということはもう御案内の通りかと思います。その記載欄においては、一般的に「ガバナンス、リスク管理、戦略、指針・目標」、この4つの項目の開示が予定されておりますが、これはまさに非財務情報ということになります。したがって、有価証券報告書に記載されるこれらの内容の信頼性を確保するという意味で金融商品取引法内部統制が対応すべきという要請はもう待ったなしなのだろうと思います。」(柿﨑委員)
「東証規則の一部であるガバナンス・コードにおいて要求されている内部統制、当然これは、東証に提出するコーポレートガバナンス報告書の中に記載していくことになるのですが、これも金融商品取引法内部統制が対応していくべき事柄なのかという点が問題になります。...いずれにせよ、金融商品取引法内部統制とガバナンス・コードで要求される内部統制との整合性は取っていかなければいけないのかなと思いました。」(同上)
「金融商品取引法内部統制、リスク管理体制、コーポレートガバナンスの関係性について、事務局のほうでもどういうふうにこれらを考えていくのかという御指摘がありましたけれども、ここを一度整理していく必要があるのではないかなと思います。」(同上)
「日本の内部統制報告制度の基本的枠組みの背景になっているアメリカのCOSOのフレームワークもこの11年の間に改訂されています。先程、御紹介がありましたが、特に内部統制の目的のうち、「報告」の目的が変わっています。日本の場合は、財務報告に係る内部統制というときの評価の範囲が、単に財務諸表だけではないので、既にCOSOの2013年版の「報告」目的の趣旨を取り込んでいるという見方もできるのかもしれません。ただ、日本の内部統制の基本的枠組みにおいて財務報告の範囲が広いとしても、やはり財務数値に関係があるところに限られるわけで、その内部統制目的だけでは、今後のサステナビリティ報告には対応できません。それから、財務報告、非財務報告というだけではなくて、報告目的の拡大というのは内部報告も含んでいるので、例えば、COSOの2013年のフレームワークでは、内部監査の充実というのが非常に強く言われていて、例えば、スリーラインモデルの考え方だとか、あるいは、経営者だけではなく監査役等に対する報告の必要性を強調するダブル・レポーティング・ラインの枠組みとか、そういったことも含まれていますので、今般の改訂においては、内部統制の「報告」目的のところは拡充しておいたほうがいいのではないかなと思います。」(町田委員)
「2011年に、制度の効率化を図るという目的で、評価作業のローテーションなどが色々入りましたけれども、そのときから指摘されていることとしては、財務諸表監査で評価する内部統制の範囲と内部統制報告制度で評価する範囲が大きく乖離してしまっているのではないか、ということです。特に、ローテーションを入れたことによって、IT全般統制に関する評価のところは、内部統制報告制度では隔年評価になっていても、財務諸表監査では結局毎年見ないわけにはいかないという指摘もありました。本日、日本公認会計士協会からは財務諸表監査で評価する内部統制の範囲との異同についての指摘がありませんでしたけれども、そういったフィードバックを頂いて、せめて財務諸表監査の評価範囲と整合が取れるような形で評価範囲を決めておくことが必要ではないかと考えています。」(同上)
「訂正報告のところですが、例えば、訂正報告について、一説には、内部統制監査を義務付けたらどうかとかいう声があるようですけれども、監査をペナルティーのように位置付けてほしくないです。私は監査が専門なので、そのように思っております。何より、内部統制の評価はそのときどきの評価結果ですので、訂正報告で公表された内部統制の評価結果について、後から監査をつけたから何かよいことが起きるかというと、そういうことではないんだろうと思います。」(同上)
「ダイレクト・レポーティング、特に財務諸表監査の中に内部統制の評価を盛り込むことについては、それ自体、私は賛成です。ただ、法制度を変えない、法律規定を変えないという前提での制度改訂では、ダイレクト・レポーティングを入れるというのはなかなか難しいかなと考えています。」(同上)
「内部統制基準、実施基準の中で内部統制とERMやガバナンスとの連携に関する記述を明確化すべきかという点ですがこれを具体的にどう明確化するかは今後の検討だと思いますが、私は明確化することに賛成であります。」(岡田委員)
「内部統制報告書の訂正時の対応についてでありますが、当該事項を内部統制報告範囲に含めなかった理由等を訂正報告書に含めるということには賛成であります。今後のリスク評価などに生かして不備を改善するという経営者によるコミットメントの表明を求めたいと思います。
この内部統制報告書の訂正の具体的な中身は分からないんですが、恐らくは会計上の不祥事があったということが主な原因ではないかと思いますが、不祥事を見ますと、例えば、国内で経営者による業績プレッシャーで不祥事が起こっているケースが多いのではないでしょうか。こんな会社が何で上場できて、内部統制報告書が不備なしというふうに報告されているのかと驚くようなケースがあるわけです。...
第三者委員会の記述例が参照されていますけれど、そもそも第三者委員会が正常に機能しているかどうかも分からないところがありますから、このような例示に従うのでなく、企業が自ら内部統制体制を見直して、改善報告書を出す、その結果が翌年の内部統制報告書に反映されるというふうな考え方は取れないのかと思います。」(同上)
「基本的枠組みの中で、内部統制、ERM、ガバナンスとの連携に関する記述を明確化することについては、賛成でございます。...しかしながら、金融機関や総合商社以外の事業会社では、内部統制・ERMとガバナンスとの関係が実務上あまり認識されてないのではないかと私は感じております。どういうことかと申しますと、事業会社では内部統制とリスクマネジメントは、本来業務の個々の管理プロセスと結びつけて考えている場合が多く、ガバナンスのように経営全体と結びつけて広く考えるニーズが少ないのではないか思われます。また、ERMの理解が進んでいない場合も見られます。その結果、内部統制・ERMはガバナンスとは別物と考えられがちなのが現状だと思われます。」(吉野委員)
「必要な対応といたしましては、第1に、経営者が内部監査部門へのリソース配分を充実するようにテコ入れする、後押しに動くように、内部統制報告基準・実施基準等で内部監査部門の重要性を強調する、もしくは、内部監査部門の強化を枠組みに入れるといった制度的な後押しが内部監査部門への質的な面での人的リソース配分の充実に必要だと考えております。第2に、社外取締役が内部監査部門に対する経営者の認識を高めるように、取締役会で内部監査部門の重要性を強調すること。そして、同部門の質的な面での人的リソースの充実度合いの現状について質問して、不十分な場合には改善するように指摘することが必要だと考えております。」(同上)
「実務は円滑に、かつ安定的に遂行されているという認識がございまして、特段何か変えなければいけないという切実な問題というところはあまり認識をしていないということで、大きな制度の変更ということは、あまり必要性を感じていないとこういうことでございまして、色々これまでの議論もありますけれども、それぞれ既存の制度の趣旨をより徹底していくというところが中心なのかなというふうに思っております。」(小畑委員)(経団連)
「この内部統制、この報告制度に関して、この枠組み、基準の中身としましては、ERMのリスクと財務報告の内部統制におけるリスクというのはリスクの観点が全く違うということで、同一のフレームワークで全て語り尽くすというのは、なかなか無理があるのかなというふうに思っております。」(同上)
「内部統制の評価の範囲という論点でございますけれども、これについては、これまでの数値基準というのに過度に依存するということは確かに問題があるというふうに感じておりますが、一方で、数値基準があることによって安定的な実務が遂行されていると、そういうプラスの面もあるということもよく踏まえてお考えいただければというふうに思っております。」(同上)
「既に、非財務情報などを含めて内部統制を考えていくべきだという御指摘があり、たしかに、これは極めて重要なことです。しかし、それ以前に検討を要する点があるように思われます。すなわち、現在の内部統制報告書制度は、あくまでも財務報告に係る内部統制について存在しているということはなかなか変えられないとしても、既に柿﨑委員が御指摘されていたところと重なりますけれども、現在、金融審議会ディスクロージャーワーキング・グループでは、四半期決算短信をもって第1・第3四半期報告書を廃止するという方向が検討されているということを承知しております。この動きが、よく考えてみますと、定期的な開示から臨時的な開示と申しますか、そのときそのとき重要な事項を開示させるという方向に金融商品取引法が動いているということを意味するのであれば、財務報告の中に臨時報告書の一部は当然含まれていると考えることができますので、この点との関係での財務報告に係る内部統制の実効性も高めなければならない部分として意識してよいのではないかと感じております。」(弥永委員)
「1番目の基本的枠組みのところなんですけれども、ERMとかガバナンスと内部統制の関係について、特にERMと、その後の2013年COSOを導入するというお話になると、小畑委員からもあったんですけれども、リスクの概念がそれぞれ現行制度とは違ってきます。現行の金融商品取引法の24条の4の4で公表、提出されている内部統制報告書は、あくまでも財務報告に係る内部統制報告書ですので、ERMや新しいCOSOのように4つの目的というふうには考えていません。従いまして、それらの4つの目的から、報告にしろ財務報告にしろ特定の目的に関する部分だけを取り上げる必要性が出てくるという点に注意が必要であろうと思います。...本来議論すべき内部統制というのは、全社統制というお話も出ていましたが、4つの目的を考慮に入れたリスク評価とリスク管理が検討されるべきなんですけれども、今回の内部統制報告制度に限ってしまうと、財務報告に係るリスクの部分のみに限定した議論になるということを押さえるべきだと思います。」(松本委員)
「なかでも特に私が強調したいのは、内部統制報告制度2011年の改訂から既に10年以上が経過して内部統制報告が形骸化している最大の原因は、評価範囲の決定基準としての連結範囲、つまり連結の3分の2の売上高まで足し算するというの例示規定にあります。内部統制報告制度の導入時には円滑な導入という観点から必要な例示だったかもしれませんが、その当初の目的は達成できましたので廃止という形で運用していただければと思います。」(同上)
「先ほど弥永委員からも御発言がありましたけれども、J-SOXはソフトローではないですね。金融商品取引法にある制度であって、違反があれば、たとえば内部統制報告書の虚偽記載があれば、刑事罰もありますし、それから民事賠償責任の特別規則もあるわけなんですよね。ではなぜ訂正したのか。なぜ経営者は、不祥事が明らかになったら、これを訂正したのかと。その訂正の理由というのは理屈として誰でも知りたいと思うのです。ですから、そういったところの理由の開示ということについては、1つ、ぜひとも今回改訂をしていただきたいと思っております。」(山口委員)
「内部統制基準等、実施基準を含めまして見直すに当たっては、監査役等、あるいは取締役会、独立取締役と内部統制の関係というのを、あるいは外部監査人、内部監査人も含めまして、この連携について再整理して、しっかり基準に書き込んでいくということが必要なんじゃないかなというふうに思っております。」(熊谷委員)
「経営者と監査人間の内部統制評価に関する議論というのを内部統制報告書に書き込むということは意味があるというふうに思うんですけれども、一方で、この重大な不備(material weakness)には至らないものの、何らかの不備(significant deficiencies)が認められるような場合もあると思うんです。
こういった場合に、内部統制報告書よりは、有価証券報告書におけます経営者による非財務情報、リスク情報、ガバナンス情報の開示、あるいは、監査人によるKAMにおいて開示していただいたほうが利用者にとっては利用しやすいんじゃないかなというふうに思っております。」(同上)
(内部統制報告書の訂正時の対応について)「利用者としましては、不正会計発覚以前に、なぜ不正会計が進行中であったにもかかわらず、当初有効であると判断された、その内部統制のどこに不備があったかということが知りたいですし、それの対応ということも知りたいなというふうに考えております。」(同上)
「1つ目は、内部統制と、ERM、ガバナンスの関係。これに関しましては、ちょっと気を付けなければいけないのは、色々な考え方がありますので、明確に記述することが難しい。だけれども、一般的な連携の必要性については言及する必要があるだろうというふうに思います。
2つ目は、サステナビリティをはじめとした非財務情報の作成・開示に係る内部統制です。現在、気候変動対応だけを想定しがちですが、これから、人的資本ですとか色々な情報開示が進む可能性があるということ、それから、サステナビリティ対応については、個社の対応にかなり大きなばらつきがあるので、非財務への拡大については前向きな対応はもちろん必要ですけれども、やはり慎重な検討が必要ではないかというふうに思います。
3つ目は、ITの問題ですけれども、まずはクラウド環境でのITの利用とか統制、それから、コロナ禍で問題となりました情報の安全な電子保存とか外部からのシステムへの安全なアクセス、さらには、サイバー攻撃によって決算が組めないといったような情報も見聞きしておりますので、外部からの侵入対策、こういった点について、基準の中で、かなり踏み込んだ記述があってもいいのではないかと思います。」(堀江委員)
「訂正時の対応でございますけれども、弥永先生からも訂正に関する御指摘がございましたが、基準の中で、訂正の際の記載項目は独立した規定として設ける必要があるかと思います。ただ、この訂正報告に対して監査証明を求めるかどうかということについては、財務諸表の数値の訂正とは性質が異なっているので、どういった内容を保証するのかということを含めて、慎重な検討が必要ではないかというふうに考えております。」(同上)
金融庁の内部統制基準は、日本版の内部統制フレームワークだと考えれば、そこに、ガバナンスや非財務情報など、新しい要素を加えるのはよいことなのでしょう。しかし、会社による評価や、監査人による監査の範囲まで、今の段階で、拡大するのは、無理があるでしょう。
内部統制監査についていえば、制度導入時には、統合監査とか一体監査だとかいわれていて、財務諸表監査と一体として実施することが強調されていたと思います。監査する対象も、財務情報(財務諸表+α)に関係する部分に限定されています。その点は、変えるべきではないでしょう。
