企業会計審議会第22回内部統制部会 議事録

１．日時：令和４年10月13日（木曜日）15時00分～17時00分

２．場所：オンライン開催　※一部、中央合同庁舎第７号館 13階 共用第１特別会議室

 
【橋本内部統制部会長】
　定刻になりましたので、これより企業会計審議会第22回内部統制部会を開催いたします。皆様には、御多忙の中、御参加いただき、誠にありがとうございます。
　本日の会議でございますが、新型コロナウイルス感染症対策の観点から、企業会計審議会議事規則第１条第２項に則り、オンライン開催とさせていただきます。
　本日は、冒頭のみカメラ撮影を行う予定でございますので、よろしくお願いいたします。
　それではまず、会議の公開についてお諮りいたします。企業会計審議会議事規則第４条第１項に則り、内部統制部会の審議について公開することとしたいと思いますが、よろしいでしょうか。

（「異議なし」の声あり）

【橋本内部統制部会長】
　御了解をいただきましたので、本日の会議の模様はウェブ上でライブ中継させていただきます。なお、会議の議事録を作成し、金融庁のウェブサイトで公開させていただく予定ですので、よろしくお願いいたします。
　それでは、事務局より、オンライン会議の開催に当たっての留意事項をお知らせいたします。

【齊藤開示業務室長】
　事務局の企業開示課開示業務室長の齊藤でございます。
　オンライン開催に関して、２点注意事項がございます。まず、御発言されない間は、恐縮ですが、マイクをミュートの設定にしていただきますようお願いいたします。御発言されるときには、マイクをオンにしてミュート解除で御発言いただき、御発言が終わられましたら、またミュートにしていただくということでお願いいたします。また、支障のない範囲で構いませんが、会議中はお顔が見られるようにカメラの設定をオンにしていただきますようお願いいたします。
　第２点目として、発言を御希望される際ですが、チャット機能を使って、全員宛てに発言希望である旨とお名前を共に入れてお送りください。お名前については協会名などの組織名でも結構ですので、御入力ください。それをこちらで確認させていただいた上で、部会長から指名させていただきたいと思います。なお、御発言に際しては、念のため、御自身のお名前を名乗っていただいた上で御発言いただければ幸いです。

【橋本内部統制部会長】
　次に、事務局から、内部統制部会のメンバーの御紹介をお願いします。

【齊藤開示業務室長】
　内部統制部会のメンバーの皆様の御紹介として、私のほうから皆様のお名前を、早口で恐縮ですけれども、読み上げのみさせていただきたいと思います。五十音順で参ります。
　引頭麻実様、
　岡田譲治様、
　小畑良晴様、
　柿﨑環様は本日途中参加の御予定です。
　金子裕子様、
　熊谷五郎様、
　後藤敏文様、
　堺咲子様、
　佐々木啓吾様は本日御欠席でございます。
　髙畑伸様、
　成田礼子様、
　藤本貴子様、
　堀江正之様、
　町田祥弘様、
　松本祥尚様、
　水口啓子様、
　弥永真生様、
　山口利昭様、
　吉野太郎様です。
　最後に、渡辺諭幹事です。
　事務局につきましては、お手元の配席図をもって御紹介に代えさせていただきます。

【橋本内部統制部会長】
　ありがとうございます。
　それでは、恐縮ですが、カメラ撮影はここまでとさせていただきますので、御退室をお願いいたします。

（カメラ退室）

 【橋本内部統制部会長】
　それでは、審議に入りたいと思います。御案内のとおり、９月29日に開催されました企業会計審議会総会におきまして、内部統制を巡る動向についての審議が行われました。その中で、内部統制報告制度について、内部統制部会において審議を行うこととされました。こうした経緯の下、今後本部会で内部統制報告制度について御議論を行っていただければと思っております。
　まず、内部統制報告制度について事務局から説明いただいた後に、御質問、御意見をお伺いしたいと思います。それでは、事務局から説明をお願いいたします。

【齊藤開示業務室長】
　橋本部会長、ありがとうございます。それでは、内部統制報告制度に関して、お手元の資料１に沿って御説明をさせていただきます。時間の関係で飛ばし飛ばしの御説明になりますことを御容赦ください。
　まず、おめくりいただきまして、３ページ目になります。こちらは国際的な議論の進展からお話しさせていただきます。前半、こちらのお話、それから、後半、論点のお話という資料の説明になります。
　内部統制に関するフレームワークについてでございますけれども、経済社会の急激な構造変化などに伴う課題に対処するため、国際的にはＥＲＭやガバナンスとの連携を強調した改訂が行われております。また、日本の内部統制報告制度が参考にしたアメリカのＣＯＳＯの内部統制フレームワークについても改訂されておりまして、非財務報告の包含、又は内部統制に関する原則や着眼点の明示、さらに、ガバナンスに関する概念、進展するテクノロジーとの関連性、不正防止に対する検討なども強調されております。一方で日本では、これらについて内部統制報告制度に関する基準等にはまだ反映されていないという状況でございます。
　次のページ４でございますが、こちらは内部統制報告制度導入の背景・経緯になっております。
　次に、５ページ目に参ります。こちらが内部統制報告書の提出状況の推移になりまして、開示すべき重要な不備があり、内部統制が「有効でない」とした者の推移を棒グラフにしております。下の濃い青色の部分は当初提出された内部統制報告書において「有効でない」としている者数、上の薄い青は今年６月末までに訂正内部統制報告書の提出によって当初「有効」であったものを後日「有効でない」に評価を改めたケースとなります。これらの数字に関しては、特に近年の数字については、追加で訂正内部統制報告書の提出において、過年度修正によって数字が増加する可能性がございます。この棒グラフを見ますと、内部統制に開示すべき重要な不備が存在すると開示したケースは全体として引き続き一定数が見られますし、また、当初「有効」でしたが、後日不適切な会計処理が発覚し、訂正有価証券報告書等の提出を契機として「有効でない」に訂正されるケースが大きな割合を占める年度が見受けられます。
　この資料については、同様のものを９月29日の企業会計審議会総会で御説明申し上げましたけれども、数値に集計の誤りがございました。具体的には2017年から2021年の訂正内部統制報告書の件数について、修正前後で2017年から2020年の件数が増えております。2021年の件数が減っております。この修正によって資料についての事務局による御説明内容が変わるものではございませんが、資料に誤りがございました。誠に申し訳ございませんでした。
　次に、６ページ目の資料について御説明申し上げます。こちらは2021年７月から2022年６月に提出されました内部統制報告書と訂正内部統制報告書における開示すべき重要な不備の原因を事務局で仕分けしたものでございます。近年において内部統制が有効でなかった事例の原因としては、コンプライアンス意識の欠如、モニタリング体制の不備、また、牽制機能の無効化、子会社等の管理体制の不備が見られております。
　これらの不備の原因に関連した近年の事例を７ページ、次のページでございますが、御紹介しております。コンプライアンス意識の欠如、内部統制の無効化、海外子会社における管理体制の不備など、このような事例が見受けられております。
　ページ８に参ります。内部統制報告制度に関して国際的な議論の進展と現状、これまでの御説明などを踏まえて、基準・実施基準などの改正を含めて、こちらの内部統制部会で御議論いただくということをまとめさせていただいたものでございます。
　９ページ目以降は主な論点となります。
　ページ10に参ります。基準・実施基準などの見直しの論点について、企業会計審議会総会を含む関係者の方との議論や、日本ガバナンス研究学会研究部会報告での御提言なども参考にまとめさせていただいております。学会様の提言については、事務局参考資料にもまとめさせていただきました。論点としては大きく３つございます。まず、経営者による内部統制の構築・評価に関して基本的枠組みと評価範囲、そして、監査、さらに訂正時の対応をお示ししております。それぞれの論点について次のページ以降で御説明申し上げます。
　ページ12でございますけれども、こちらは基本的枠組みに関連して、ＣＯＳＯの基本概念の一覧をお示ししております。特に不正対応に関連する原則８については、企業会計審議会総会でメンバーの方々からこの点は重要であるという御指摘を特に頂いたこともあり、着眼点をお示ししております。
　次のページ13でございます。こちらは、ガバナンスや監査役の重要性についても企業会計審議会総会でメンバーの方々から御指摘いただいたこともあって、コーポレートガバナンス・コードの改訂において、内部統制に関連して盛り込まれたという点を御紹介しております。この改訂についても、事務局の参考資料でも概要を紹介しております。
　ページ15に参ります。こちら、評価範囲についてでございますけれども、主な論点としては、やはり重要な虚偽表示の発生可能性とその程度を勘案して、リスクベースで範囲とか対象を決定することが重要でございますけれども、この観点から、評価範囲の選定基準の定量的な例示をどう取り扱うかという点があると考えております。この関連で、経営者による評価範囲の外で開示すべき重要な不備がどの程度出ているのかということを監査法人様にお聞きしたところ、直近数年の訂正内部統制報告書のうち、経営者による評価範囲の外からこのような不備が認識されたものが２～３割程度とのことでした。その原因の一つとして、評価範囲について、選定基準の定量的な例示への過度な依存が指摘されております。この定量的な例示についてはメリット・デメリットがあると認識しております。
　次のページ17は監査に関してでございまして、日本の制度については、効率性と実効性のバランスを取って機能していると考えております。一方で、経営者によるリスクベースの内部統制評価を促していく観点から、例えば経営者と監査人の早期の緊密な協議を促すことや、内部統制報告書の中で、監査人が評価対象とすべきであると判断する領域が経営者の内部統制の評価にどのように評価されたのか明らかにするなど、経営者と監査人との議論の促進・透明性の向上を図ることが考えられます。
　次に、ページ19に参ります。現行の訂正内部統制報告書についての記載でございますけれども、こちら、記載が形式化されており、不正内容の把握に必要な情報が不十分との御指摘も頂いております。内部統制報告書における内部統制評価は、経営者によって適切に実施されたものであり、安易な変更は想定されていないということも踏まえまして、訂正内部統制報告書で評価結果が変更される場合には、例えば事案の第三者委員会報告書の記載も参考に背景・理由を明記いただくことが論点かと考えております。
　最後に、21ページ目においては、御議論いただきたい事項として、各論点のポイントやそのほかに検討すべき点がないかということを改めてお示ししているところでございます。
　事務局からの説明は以上でございます。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。
　それでは、これまでの御説明も踏まえまして、我が国における内部統制報告制度に関する課題や今後議論すべき論点について、幅広い観点から御質問、御意見をお願いいたします。チャット機能を使って、発言希望である旨を送ってください。よろしくお願いいたします。
　水口委員、お願いします。

【水口委員】
　ありがとうございます。水口です。私のほうからは４つの意見です。
　まず１点目、内部統制とＥＲＭ（全社的リスク管理）についてです。ＥＲＭ（全社的リスク管理）の多くのプロセスは、内部統制活動によって効果が高まる関係にあって、リスクベースの戦略策定に基づく事業計画の実行可能性と内部統制の関係性は強いと考えております。企業を取り巻く事業環境の変化が激しく、複雑となって、事業リスクの特性が目まぐるしく変わる中で、事業リスクの特性を勘案してリスクを敢えて取ることで、価値を創出する、リターンを生んでいくというリスクと、抑制すべきリスクを特定した上で、企業が明確な戦略策定プロセスを経て、様々な事業分野から成る企業グループ全体の事業ポートフォリオに関する整合的で明確な戦略を策定し、具体性のある計画を有するということの重要性は増してきていると考えております。
　将来を見据えた様々なシナリオも視野に入れた、十分な検証に裏付けられた事業計画の策定、業績予想と具体的な財務・事業目標、目標の達成手段などからなる、明確な戦略策定プロセスが整備されて、この整備されたプロセスの実効的なＰＤＣＡサイクルの体制を有していることが企業の事業展開にとても重要だと考えております。経営陣が事業運営に伴うリスクの複雑な相互関係とか、リスク対リターン、選択肢のトレードオフや環境・社会の観点も含めた事業リスクと財務リスクの相互作用なども認識する包括的な方針を有することで、リスク管理を核とした経営管理体制が実効性を発揮し得ると考えております。こうした枠組みの中で重要な要素として挙げられるものは、内部統制の重要な要素でもあると考えております。こうした重要な要素を企業がどのように位置付け、取り扱っているのかといったことが俯瞰できるような開示には大変関心があるところです。
　２点目は、内部統制の評価範囲の選定についてです。先ほどの繰り返しになりますけれども、新しく変化するビジネス事業モデルとか、テクノロジーの活用の増大及びテクノロジーへの依存度の高まりなど、また、さらにＭ＆Ａを伴うグローバル化なども背景に、内部統制システムをビジネス、業務及び規制環境における変化にタイムリーに適用できるようにすることは肝要であると考えております。こうした急速な企業を取り巻く環境の変化を踏まえると、有効な内部統制システムの在り方については、硬直的・形式的な方針及び手続の遵守ということに焦点を当てるのではなく、各企業のリスク領域の特定を伴うリスクベースのアプローチを用いることが妥当であると考えております。経営者及び取締役会は十分な統制の水準を決定するために、リスクベースの判断を行使することに期待しております。
　３点目ですが、内部統制と監査の在り方についてです。企業を取り巻く環境の変化が著しい中で、経営者は変化するリスクに対する感度を高めて、的確な判断をすることが重要だと考えております。こうした環境変化を踏まえた内部統制については、ＰＤＣＡを伴うリスクベースのアプローチを基軸として実効性のある体制の整備に期待しておりますし、こうした観点からも経営者による内部統制報告書に注目しております。監査人は、リスクベースも踏まえた財務諸表監査業務の一環として、内部統制がいかに機能しているかということを見ていると認識しております。従前から監査法人が特定した各企業のリスク領域について、経営陣との対話を実施しているものと認識しておりますし、こうした対話が実効性のある内部統制の在り方についての考察の深化につながることに期待したいと思っております。
　最後になりますが、４点目、訂正内部統制報告書についてです。現行の訂正内部統制報告書の記載では、不正内容の把握に必要な情報が十分ではないという指摘があるというのはそうだと思います。一方で、先ほど事務局からも御説明がありましたが、第三者委員会の報告書などで記載されている発覚の経緯などに関わる説明を含めて具体的な内容、訂正に至った理由などは、内部統制に係る課題を理解するのに有用だと考えております。訂正内部統制報告書に、当初「有効」とした内部統制を「有効でない」と訂正した際の判断事由などを、例えば第三者委員会による調査の概要などを参照先として訂正内部統制報告書に記載することなども、費用対効果も高い選択肢として考察に値するのではないかと考えております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。様々な観点からの御意見として承ります。
　続いて、成田委員、お願いいたします。

【成田委員】
　成田でございます。2020年11月の日本内部統制研究学会において、「内部統制報告制度導入後10年が経過した実務上の課題」の部会長をさせていただきました。本日は、私が所属する監査法人としての意見ではなく、個人の意見である旨あらかじめ申し添えさせていただきます。私からは５点申し上げたいと思います。
　１点目が、内部統制の基本的枠組みでございますが、内部統制報告書の訂正事例においては、親会社のコントロールが十分でないということで海外子会社で不正が発覚して、有価証券報告書の財務諸表で訂正しなければならなくなって、関連してその原因である内部統制の不備によって内部統制報告書を訂正しなければならない事例が比較的多く見受けられます。このことは企業グループ全体としての内部統制の構築が必要であるということであって、内部統制の基本的枠組みに「コーポレートガバナンス/リスクマネジメント/内部統制」の関係を織り込むことが必要であると考えております。次にＩＴの関係ですが、ＩＴの利用及び統制の在り方については、監査基準委員会報告書315の改訂がされましたので、内部統制報告書においても企業のＩＴプロセス及びＩＴの全般統制について記載したほうがよいのではないかと考えております。経営者による内部統制の無効化に対する対応ですが、こちらについては内部統制の基本的枠組みに入れてもよいのですが、課徴金の強化のほうが実効性が高いと考えております。
　２番目が、経営者による内部統制の評価範囲でございますが、全社的な内部統制については、例えば売上高の全体の95％に入らない連結子会社等は評価範囲から除外していますし、また、重要な事業拠点についても、例えば売上高の３分の２程度に入らない事業拠点は評価範囲から外しているという場合が多く、プラスで評価範囲に入れる会社は多くありません。したがって、経営者の評価範囲外で開示すべき重要な不備が検出される場合が一定程度あるということで、私としてはリスクベースで評価範囲を決定したほうがよいと考えております。その場合には、内部統制報告書において、全社的な内部統制及び重要な事業拠点、また、事業の目的に大きく関わる勘定科目について企業はどのように決定したか、こちらを記載するほうがよろしいかと考えております。なお、評価範囲外となりました子会社やプロセスについては、重要性に応じてローテーションで評価対象としてはどうか、そして、その内容を内部統制報告書に開示してはどうかと考えております。
　３番目ですが、監査人による内部統制評価でございます。事務局の資料によると、経営者と監査人との協議についてどう考えるかということでございましたが、ダイレクト・レポーティングについて述べたいと思います。経営者によるリスクベースの内部統制を促していく場合であったとしても、経営者による内部統制報告書に対して監査人が意見を述べる場合には、経営者が開示すべき重要な不備を自ら発見して、期末日現在において是正されない場合には、内部統制が「有効でない」旨が内部統制報告書に記載されます。その場合は監査人の内部統制監査報告書は適正意見が表明されます。そういうことで、やはり読者としては混乱するのではないかということで、監査人による内部統制評価としては、ダイレクト・レポーティングに変更して、監査人が財務諸表監査における内部統制の整備・運用状況の検討結果を基礎として、全体として内部統制に対する監査意見を表明する制度に私は変更したほうがよいのではないかと考えております。
　なお、この場合でございますが、デメリットとしては、現在の実務では、業務プロセスの評価は会社のサンプリングを利用する実務が多くなっております。ダイレクト・レポーティングの場合はサンプリングの利用もしないということで、コストは増加すると思われます。また、現在の実務では、全社統制については、会社が評価したものを監査人が評価するということでございますが、ダイレクト・レポーティングの場合には監査人が別に確認することになるので、こちらに対してもコストが増加するものと思っております。なお、監査人の評価がダイレクト・レポーティングになった場合に、経営者による内部統制評価がなくなるのではないかという懸念する声があるとお聞きしましたが、私としてはダイレクト・レポーティングになったとしても、経営者による内部統制は残すべきだと考えております。
　４点目でございます。内部統制報告書の訂正時の対応でございますが、訂正内部統制報告書の中で、当初「有効」とした内部統制を「有効でない」と訂正した際の判断理由を開示させることには賛成でございます。なお、その場合には、開示すべき重要な不備の是正措置への対応について、監査人の評価を追加したらどうかと考えております。
　その他でございます。その他については、非財務情報についての内部統制でございます。非財務情報については重要性が増しておりますので、有価証券報告書に気候変動に関する記載が義務化された場合、こちらについては内部統制報告制度の対象にしてもよいと考えております。その場合でございますが、作成プロセスについてどうする、どう考えるかと、そういうところからスタートすることはどうかと考えております。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。御意見、御提言として承ります。
　続いて、引頭委員、お願いいたします。

【引頭委員】
　ありがとうございます。３点申し上げたいと思います。
　まず１点目は、さきほど事務局からＣＯＳＯの2013年改訂のフレームワークについてご説明いただきました。改訂において、内部統制の目的の一つを財務報告という表現から非財務報告も含めた報告として再定義したということでした。御案内のとおり、先ほど成田委員も気候変動に触れられていましたが、そうした様々な非財務情報は投資家にとって非常に重要になっており、また、それに対するアシュアランスも始まろうとしております。そう考えますと、アシュアランス対象となるものに関しては内部統制が根底にあると考えるのが筋だろうと思われます。今後は、財務情報のみならず、非財務情報に関しても内部統制の範囲として評価していくべきなのではないか、というのが１点目でございます。
　２点目でございます。先ほど事務局からも御説明がありましたが、企業を取り巻く経営環境は本当に大きく変化しております。これは企業によってその変化に対するインパクトが様々であることはいうまでもございません。会社法により、経営者には内部統制を構築する義務が課せられていますが、当然ながら経営者はそれぞれの会社が置かれている環境にあった形で、内部統制を構築していく必要があるということでもあります。つまり、各企業が自社の様子、環境を正しく分析して、リスク・アプローチの考え方に基づいて内部統制を構築していくことが求められているということだと思います。そう考えますと、内部統制監査において、いわゆる監査対象会社に対して、一律の数値基準による監査を進めているだけで十分なのか、という疑問が生じてまいります。内部統制監査においても、リスク・アプローチの要素を従来以上に取り入れることが重要なのではないかと思っております。繰り返しになりますが、リスク・アプローチの考え方をもっと前面に押し出すべきではないか、ということでございます。
　ここで１点だけ付け加えさせていただきますと、現在の数値基準を全て否定しているわけではありません。会社によっては数値基準の視点からきっちりやるほうがいいという会社もあるかもしれません。現在株式市場には4,000社近くの企業が上場しているわけですから、その企業に応じた形で考えるべきだという意見でございます。
　３点目になります。これは主に資本市場とのエンゲージメントという観点からのポイントでございます。今回参加させていただくに当たり、改めて、経営者が提出する内部統制報告書、そして監査人が提出する内部統制に対する監査報告書、について数社見てみました。大変残念ながら、両方の報告書共に、ボイラープレート的といいますか、それぞれ同じような記載が見受けられました。つまりこの２つの報告書から内部統制の実態を読み解くのは、ステークホルダーにとっては大変難しい、という現実があると思います。
　現在、監査報告書でＫＡＭ、Key Audit Mattersの記載がスタートいたしました。内部統制監査報告書に関しましても、先ほど申し上げたリスク・アプローチの観点から、こうしたところに着目した、こうしたことが監査人としては大事だと思った、といったような内容について、ＫＡＭに似たような記載も考えられるのではないかと思った次第です。ですが、それをもし実現するとすれば、当然ながら、経営者が記載する内部統制報告書、この記載ぶりについても変えないと全くかみ合わないことになってしまうかと思います。
　ただ、残念ながら内部統制報告書というのはこの部会の範囲外ということについては、よく理解しております。ですが、あえて申し上げると、やはり経営者も内部統制報告書にリスク・アプローチの観点を取り入れた記載ぶりにしていただき、それに対して監査人ときちんとエンゲージメントを行い、その内容に関して、全部ではなくても、大変重要だと思った項目に対して資本市場に対して開示していただくことで、資本市場も当該企業とのエンゲージメントができるようになるのではないでしょうか。この提案について反対意見もあると思いますが、こうした開示を通じて、内部統制そのものをブラッシュアップしていくような流れを、経営者、監査人、そして、それを見る資本市場の三者で共に作っていくことが重要ではないかと思った次第です。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　続いて、髙畑委員、お願いいたします。

【髙畑委員】
　御指名いただきました髙畑です。金融庁の事務局の方には、会議資料を分かりやすく作成いただきまして感謝いたします。
　私のバックグラウンドですけれども、アメリカ人のＣＥＯの下でＵＳ－ＳＯＸのボランタリー導入、Ｊ－ＳＯＸ制度導入時の社内対応、リスク管理全般、ＥＲＭやリスクアペタイトの社内導入などを経まして、今、サステナビリティ推進を担当しております。現在、日本ガバナンス研究学会、日本証券アナリスト協会、日本内部監査協会に所属しているという立ち位置でございます。
　さて、資料21ページの議論いただきたい事項に沿って、法令改正せずに、実施基準を見直すことにより内部統制の実効性をいかに向上させるかという観点から意見を述べたいと思います。
　１番目、内部統制の基本的枠組みについては４点。１つ目、内部統制、ＥＲＭとガバナンスとの関係については、攻めと守りの両面からサステナブル経営を推進するためにも重要であることは自明の理ですので、ここの記述の明確化については賛成いたします。２点目、ＩＴの統制については、制度導入時から格段にリスクが上がっているのはセキュリティの観点ですので、このセキュリティの記述について、実施基準の中で増やすべきだと思っております。３点目、経営者による内部統制の無効化については、社外取締役や監査役による監視、内部監査部による監査による、経営者に対する牽制機能が重要だということを実施基準においてもっと強調し、自覚を持っていただけるようにすべきだと思っております。４点目、内部監査機能についてですが、上場時に求められる独立した内部監査部署が上場後に変更したり、専担者を置かなくなっていたりとかということで、内部監査部署が軽視・弱体化されることがないように、内部監査機能のさらなる強化・活用、ここが大切だと思っております。
　２番目の経営者による内部統制の評価範囲についてですが、経営者がリスクに応じて内部統制の評価範囲を適切に決定するためには、既に発言がありましたが、リスク・アプローチ、リスクベースの考え方を徹底するべきだと考えています。実施基準によると、全社的な内部統制の評価は原則として全ての事業拠点、ただし、財務報告に対する影響の重要性が僅少である事業拠点に係るものについては、その重要性に勘案して評価対象としないことを妨げるものではない、とあります。
　そのとおりに運用されているのであれば、評価範囲対象外からの不備事象は軽微なものにとどまるはずですが、しかし、先ほど、開示すべき重要な不備が海外拠点など評価範囲外から２～３割発見されたとの報告がありました。これは、評価範囲の決定において、売上高や利益など顕在化した金額的な重要性を重視し、潜在的な大きなリスクを過小評価した結果であると考えています。したがって、財務諸表に係る定量評価に加え、潜在的な最大損失額と発生可能性を勘案したリスクベースの考え方に基づき、経営者が評価範囲を決定することが大切だと考えているところであります。また、リスクベースの考え方は企業の間で理解に濃淡があると思っておりますので、教育的効果の観点からも、実施基準にはリスクベースで考える際のヒントになるポイント多く記載したほうがよいと考えています。
　３番目、監査人による内部統制監査についてですが、実施基準において、監査人により経営者が決定した評価範囲が適切でないと判断された場合、経営者が新たな評価範囲について評価し直す必要が生じる、となっています。したがって、監査人と経営者は、リスクベースの考え方を基に、監査人は忖度、躊躇せずに早期に、早期にというのは評価し直す時間が持てる早い時期に、緊密に評価範囲が適正かどうか協議を行うことが本来の適正な運用であると思います。
　４番目、内部統制報告書の訂正時の対応についてです。訂正内部報告書の中で、内部統制を「有効でない」と訂正した際の判断事由の開示については、アカウンタビリティの観点から、たくさん記載するということではなくて、記載内容を充実させる必要はあると思っております。
　５番目、その他については、将来的な、中期的な課題を２点お話ししたいと思います。１点目は、会社法と金融商品取引法が将来統合した際ですけれども、実効性の向上と業務効率化の観点から、全社的な内部統制については、内部統制の４つの目的をカバーして、会社法による評価と統合して、総合的に判断できるようにするというのがよいと思っています。２点目ですが、中期的には、気候変動対応などの非財務情報については社会的な要請が強いこと、また、炭素税を含め財務への影響が大きいことから、表示の適切性などの観点から、個別の第三者評価ではなく、Ｊ－ＳＯＸの評価範囲に含めることを検討したいと考えております。
　以上になります。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。続いて、金子委員、お願いいたします。

【金子委員】
　金子です。ありがとうございます。皆さんからの御意見と重複するところもございますが、議論いただきたい論点に沿いまして、幾つか意見を申し上げたいと思います。
　１番目の内部統制の基本的な枠組みに関しましては、目的を財務報告目的からより幅広く報告目的に変えることについては賛成でございます。２つ目の内部統制の無効化につきましては、経営者による内部統制の無効化を企業自体が指摘するのは難しい面があると思いますが、そこでは内部統制を支えるガバナンス体制が非常に大きな役割を示してくると思いますので、内部統制と全社的なリスクマネジメント、さらにガバナンスに関して基準の中で概念的な整理をしていただくことが非常に重要ではないかと思います。
　この議事に先立ちまして、吉野委員のコメントを拝見いたしましたけれども、実務的にはこうした理解が十分ではないというご指摘はごもっともと思いますので、こうした点が明らかになるような記述にしていただきたいと思います。また、ガバナンス体制の中心となる取締役会と監査役会が十分に機能を発揮できるような情報の提供は非常に重要であると思います。経営者自身がリスクをどう分析し、評価をし、その理解に基づいて内部統制を構築しているのかをしっかりと社内で議論をしていただくとともに、外部公表資料である内部統制報告書に記載をすることによって、社内における議論や認識もより深まっていくと思います。
　それから、開示すべき重要な不備の定義が、現在は、財務報告に重要な虚偽表示をもたらす可能性が高く、その重要性は財務諸表監査における重要性と同水準ですので、非常に重要性が高いものとなっています。その一方で経営者は、自らが作成する財務報告については適正であるということを宣誓していることから、不備の開示を表明することは、非常に重要性の高い不備があるのに財務報告は適正という主張ができるのかという、ある種の矛盾をはらんでいるとも言えます。したがって、内部統制に不備があってはならないという思考が生まれがちであり、内部統制の評価も監査も、不備がないことを確認するという形骸化の要因になっているのではないかと感じております。
　内部統制というのは、リスクを許容可能な水準に抑える、そのために整備・運用しているわけですので、完全なものとして作っているわけではありません。特に現在のように環境変化が激しく、海外を含めＭ＆Ａが非常に多く行われている中では、小さな不備や中程度の不備が生じるのはやむを得ない状況であると考えられます。むしろ不備に気づき発見をして、それを隠さずに社内においても報告し、改善をするプロセスがあるということが非常に重要です。不備をゼロにするというよりは、発見、改善できるプロセスがあるということを評価すべきではないかと思います。
　今回の資料を拝見いたしましたときに、例えば内部統制報告書提出状況の推移というようなグラフの中には、開示すべき重要な不備が存在すると開示したケースは引き続き一定数見られるという記載があります。確かに重要な不備があって期末までに改善できなかったということは残念なことではあります。しかしながら、きちんと発見して、報告をしたということに対して、必ずしも非難しないという受け止め方もあるのではないかと思います。内部統制については、不備があることに気付く、隠さず報告することが健全であり、重要であるという理解が進むような基準にしていただけるとありがたいと思っております。
　それから、論点の２つ目ですけれども、経営者による内部統制の評価範囲につきましては、リスク・アプローチで決めるべきであると考えます。各社の状況は様々ですので、企業自身が、リスクはどこにあり、それゆえに、この内部統制を構築し、そして、評価範囲はどの範囲に決めたのかをリスクベースで決定することが重要であり、これによって内部統制報告書の開示内容の充実にも繋がると考えます。こうした点を自分の言葉で説明することが、経営者の内部統制に対する姿勢や力量を示すということになります。これは財務諸表利用者にとって有益なのはもちろんですけれども、社内の内部監査部門あるいは社外取締役や監査役等の議論や認識を深めるという観点からも、非常に有益であると考えております。
　それから、監査人による内部統制監査につきましては、経営者と監査人との間のコミュニケーションが重要であるのは当然のことと考えますし、経営者による内部統制評価がリスクベースになれば、コミュケーションが活発にならざるを得ないと思います。さらに、内部統制について社外取締役や監査役等の関心がより高まれば、社外取締役・監査役と監査人とのコミュニケーションも活発になっていくと思いますので、基本的枠組みの整理、内部統制報告書における開示の充実と監査は一体として繋がっていくものと考えております。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。続きまして、藤本委員、お願いいたします。

【藤本委員】
　日本会計士協会の藤本でございます。発言の機会を頂きまして、ありがとうございます。私からも、皆様御意見ございましたが、御議論いただきたい事項に沿ってコメントをさせていただきたいと思います。
　まず全般的な内容としまして、内部統制の実効性向上に向けた検討を行うことには賛同いたします。なお、検討を進めるに当たっては、実務への影響を踏まえて、関係者のコンセンサスを得られるよう、十分な議論をお願いしたいと考えております。
　続いて、内部統制の基本的枠組みでございますが、この見直しについては、近年の内部統制に関する議論の進展を鑑み、検討することも有用と考えております。なお、具体的な内容としてここでＩＴが取り上げられておりますが、３点ほど述べさせていただきます。一つは、ＩＴの利用及び統制の在り方についてです。先ほど来コメントがございましたが、企業の業務におけるＩＴの技術の状況もかなり進展をしていると認識しておりまして、内部統制の検証に当たって考慮すべき内容がないかどうか、いま一度検討が必要だと考えております。２つ目は、会計上の見積りや、将来開示が見込まれる非財務情報の内部統制との関連についてです。特に非財務情報については、定性情報も含まれるということから、開示に至るプロセスが重要であると考えており、その検証も必要であると考えております。３つ目は、会計上の不正を防止・発見する内部統制の整備・運用についてです。内部統制の実効性確保の観点から、不正への対応は欠かせないと考えております。
　経営者による内部統制の無効化に対応した内部統制基準の見直しについてですが、やはりこの無効化は、それが行われた場合の影響が非常に大きいと思います。そもそも経営者は内部統制を構築する責任があると認識しておりますので、経営者による内部統制無効化に対応した内部統制基準を見直すということには十分意義があると考えております。なお、経営者責任の明確化という観点では、内部統制に限った話ではございませんけれども、有価証券報告書における代表者確認書の記載の充実化や、例えば米国の宣誓書なども参考にして議論していくという価値もあると考えております。
　続いて、経営者による内部統制の評価範囲についてでございます。こちらについては、画一的な運用がなされているとの御指摘があるということでございます。数値基準があるということではございますが、いま一度、リスクベースで評価の対象となる内部統制を決定するということをより強調してはどうかと考えております。評価範囲の決定に当たっては、全社統制の考え方も重要であり、それも踏まえた上で重要な虚偽記載・虚偽表示の発生可能性、その程度を勘案することが考えられます。なお、リスクベースで評価をするといっても、実務的にどのように対応すべきか、何らかガイドラインが必要だと考えておりまして、内部統制報告制度に関するＱ＆Ａを活用し、経営者評価について、リスクの識別と、勘定科目の金額、対象拠点の範囲との関係などについて実務上のガイダンスを提供することで、円滑かつ効果的な制度運用が期待できるのではないかと考えております。
　続いて、監査人による内部統制監査でございます。経営者によるリスクベースでの内部統制評価を促していく観点としては、これまで会社と監査人との間では、ＫＡＭの適用によって、リスクの識別においては企業の経営者や監査役等と監査人との間の協議が行われているという実務がございますので、さらにそれを発展するような形で議論の促進を図ることに賛同いたします。また、透明性の向上に当たっては、内部統制報告書の記載内容を充実化するということが有用であると考えております。現在、記載内容は定型的な内容が多いと思いますが、リスクベースをより強調した評価とした場合には、投資家等への情報提供の観点から、経営者のリスクの認識に基づく内部統制の評価範囲等の記載を充実することが有意義であると考えております。現在、有価証券報告書におきましてもリスクやガバナンスの記載が充実化されておりますので、その流れとも整合的であると考えております。
　続いて、内部統制報告書の訂正時の対応でございますが、「有効でない」と訂正した場合の判断事由を開示することについては賛同いたします。訂正時の対応として、訂正内部統制報告書の記載を充実化することで企業の説明責任が明確化されるのではないか、例えば評価結果が異なる背景や理由等を記載することは有用ではないかと考えております。
　最後、その他として１点でございますが、現在、内部統制基準・実施基準などの適用に当たっては罰則規定が特にございませんが、経営者の責任の明確化という観点からは、諸外国とも比較した上で、罰則の言及について中長期的なテーマとしてでも検討すべきではないかと考えております。
　私からは以上でございます。ありがとうございます。

【橋本内部統制部会長】
　ありがとうございました。続きまして、堺委員、お願いいたします。

【堺委員】
　発言の機会を頂き、ありがとうございます。
　まず内部統制の基本的枠組みですが、2013年版のＣＯＳＯで報告目的が財務を取ったものに変わっております。非財務情報あるいは将来的に財務情報となり得る未財務情報、こういったものも対象にしていくことが望ましいのではないかと考えます。それから、基準等の中でガバナンス、ＥＲＭ、内部統制の関係を説明することは必要であると考えます。経営者による内部統制の無効化を防ぐために、統治・監督機関である取締役会や監査役会等が果たすべき役割、すなわち、ガバナンス体制の強化と充実について明確に示すことが重要であると考えます。さらに、内部監査部門のデュアルレポーティングは、経営者による内部統制の無効化への牽制効果が期待でき、また、内部監査部門と社外取締役の連携強化も内部統制のモニタリングの効果を高めることが期待できるため、この辺りも基準等に盛り込んではどうかと考えます。
　経営者による内部統制の評価範囲についてですが、皆様からもお話がございましたとおり、数値基準を廃止して、リスクベースで範囲の決定をすることが望ましいと考えるため、基準の見直しに賛成いたします。リスク・アプローチで評価するための範囲を決定するのは経営者の役割ですが、実務的には内部監査部門が評価範囲の決定に大きく関わってくることになると思われます。この役割をきちんと果たすためには、内部監査部門の拡充が不可欠と考えますので、基準等で強調していただければいいと思います。
　それから、監査人による内部統制監査についてですが、アメリカのダイレクト・レポーティングのように外部監査人が細かいプロセスベースのコントロールについて再度評価をするということではなくて、むしろ外部監査人の方には統制環境の評価をしていただきたいなと考えております。プロセスベースのコントロールは、会社の経営者が内部統制の報告をするために評価するという、そういうやり方で構わないとは思いますが、統制環境の評価というのは、一段視座を変えたところから評価することに非常に意味があるのではないかと考えております。
　それから、内部統制報告書の訂正時の対応ですが、当初「有効」とした内部統制を「有効でない」とした場合、訂正に至る経緯、判断事由を開示させることは必要であると考えますし、また、「有効でない」内部統制を「有効」にするために講じた措置も開示すべきだと考えております。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。続きまして、柿﨑委員、お願いいたします。

【柿﨑委員】
　柿﨑でございます。私からは、少し視点の違った形で申し上げます。私の専門は、会社法、金融商品取引法ですので、金融商品取引法、会社法、それから東証規則の一部であるガバナンス・コードで要求されている内部統制について、これらの整合性をどのように取っていくのか、それを内部統制の実施基準の中にいかに織り込んでいくのかという視点からお話をしたいと思います。３点、４点ぐらいあります。
　１つ目は、年度末に予定されております金融商品取引法の改正では、有価証券報告書の記載事項に「サステナビリティ情報」の記載欄が新設されるということはもう御案内の通りかと思います。その記載欄においては、一般的に「ガバナンス、リスク管理、戦略、指針・目標」、この４つの項目の開示が予定されておりますが、これはまさに非財務情報ということになります。したがって、有価証券報告書に記載されるこれらの内容の信頼性を確保するという意味で金融商品取引法内部統制が対応すべきという要請はもう待ったなしなのだろうと思います。
　実際、現在の内部統制の実施基準におきましても、財務報告に係る内部統制の対象は、財務諸表だけではなくて、「財務諸表の信頼性に重要な影響を及ぼす開示項目等」とされていますので、現在の内部統制実施基準においても、非財務情報は金融商品取引法内部統制の対象であるということになりますので、その点を改めて明確化する必要はあっても、大きな変更は、実は必要ないのではと考えております。つまり、一定の非財務情報というのは、既に金融商品取引法内部統制の対象の範囲内であり、その中で列挙されている「事業上のリスク」や「コーポレートガバナンスの状況等」と並んで、有価証券報告書の記載事項の改正に合わせて、「サステナビリティ情報」という項目を追加すれば足りるのかなと思います。
　２つ目が、東証規則の一部であるガバナンス・コードにおいて要求されている内部統制、当然これは、東証に提出するコーポレートガバナンス報告書の中に記載していくことになるのですが、これも金融商品取引法内部統制が対応していくべき事柄なのかという点が問題になります。この点、内部統制の実施基準において、財務報告に係る内部統制というのは、決して金融商品取引法や会社法などのハードローの法令違反リスクに限って対応しているということではなくて、ソフトローに該当する、例えば自主規制機関の規則、まさに東証規則ですけれども、この規則も予め実施基準の対象範囲に記載されています。
　それを前提としますと、まさに東証規則に基づくコーポレートガバナンス報告書、この中の記載事項で「内部統制システムに関する項目」が設けられていて、「構築したシステムが設計したとおり運用され成果を上げているかを検証できる仕組みになっているかどうか」の説明に加え、「経営面への貢献等」についての記載も求められております。この経営面の貢献というのは、今御議論あったように、ある意味プラスのリスク評価という、稼ぐガバナンスという言い方をされる方もいますが、そういったところを支える内部統制も、恐らくこのコーポレートガバナンス報告書の中で期待されている内部統制の在り方なんだろうと思います。それについても金融商品取引法内部統制が対応していくということになれば、今のお話の議論も、現状の規制を抜本的に改めることなく対応できるのではないかと考えておりますが、いずれにせよ、金融商品取引法内部統制とガバナンス・コードで要求される内部統制との整合性は取っていかなければいけないのかなと思いました。
　３点目もそれに関連することです。リスクの考え方をどういうふうに実施基準の中に落とし込んでいくのかということです。御案内のとおり、イギリスでは、内部統制とリスク管理体制の整備は一体的に論じられておりますが、わが国でも、コーポレートガバナンス報告書において、「リスク管理体制の整備状況」の記載が求められています。
　その中でどういうことを書けと言われているかというと、「様々なリスクの発生に対する未然防止手続」、それから、「発生した際の対処方法などを定めた社内体制の整備」、そして、「リスクアペタイトに関する方針」です。この方針の策定があれば、その概要を書けというふうに示されています。この点は、既に御案内のあったＥＲＭの内容を踏まえた書きぶりになっております。
　ですから、そういったところも金融商品取引法内部統制がキャッチアップしていかなければいけない時期に来ているのだろうなと思います。したがって、金融商品取引法内部統制、リスク管理体制、コーポレートガバナンスの関係性について、事務局のほうでもどういうふうにこれらを考えていくのかという御指摘がありましたけれども、ここを一度整理していく必要があるのではないかなと思います。
　４点目ですけれども、これは今までと違った視点のお話です。今年６月に公表された金融庁の「ディスクロージャーワーキング・グループ報告」でも指摘がありましたが、最近、適時開示項目について、十分に適時開示が行われていない、企業の適時開示体制はどうなっているんだという指摘です。最近のコロナ禍やウクライナ情勢の中で、それに影響を受ける企業がたくさんあったにもかかわらず、適時開示情報が十分に出てきていない。それを支えるには適時開示体制の整備が必要なんですけれども、その部分がどうも宙に浮いているのではないかという懸念があります。そもそも金融商品取引法内部統制というのは、資本市場に対してリアルタイムで開示される情報の重要度が高まっている時代において、そういった適時開示情報に対しても、その開示の信頼性を保証していく役割を担っているのだろうと思います。それについても監査を受けるかどうかは別ですけれども、企業の方たちはその適時開示体制をきちんと構築していかなければいけない責務があると思います。
　その点についても、できれば今回の改訂で検討していただきたいというふうに考えております。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、町田委員、お願いいたします。

【町田委員】
　ありがとうございます。
申し上げたいことは色々ありますけれども、まずは、制度の見直しを2011年以来着手しようということについては、賛成いたします。ただ、できれば11年という時間を置かずに、もう少し頻度をあげて見直すことができれば、良いのではないかと思います。皆さんの御意見をここまで伺っていると、これまで変えておかなければいけなかったことが山積みになっているようなそんな印象もありますので、定期的に見直しをしていくということができればいいのではないかなというふうにも思っております。
　その上で、先ほど、内部統制研究学会、現在ではガバナンス研究学会と名前を変えましたけれども、その内部統制報告制度の導入から10年のときの見直しの議論の御紹介がありました。今日は特にそのことに言及される方はありませんでしたけれども、その議論では主に内部統制報告制度が形骸化しているという認識が強く指摘されていたように思います。
　つまり、大企業にとっては、内部統制報告制度はもはや法令対応でやっているに過ぎず、内部統制報告を行ったからといって何か自分たちの企業にとって効果があるようには思えないというような印象を持つ方が多く、逆に、中小の規模の企業では、上場会社であっても、まだまだコスト負担が重い、作業負担が重い、そういう受け止めが多くあって、一体この制度をどうしたらいいんだろうという問題意識があったと理解しています。ですから、そうした制度の形骸化への対応という観点を見失わずに考えていく必要があるんじゃないかなと思っております。
　その上で、幾つか申し上げておきたい点があります。１つには、まず、日本の内部統制報告制度の基本的枠組みの背景になっているアメリカのＣＯＳＯのフレームワークもこの11年の間に改訂されています。先程、御紹介がありましたが、特に内部統制の目的のうち、「報告」の目的が変わっています。日本の場合は、財務報告に係る内部統制というときの評価の範囲が、単に財務諸表だけではないので、既にＣＯＳＯの2013年版の「報告」目的の趣旨を取り込んでいるという見方もできるのかもしれません。ただ、日本の内部統制の基本的枠組みにおいて財務報告の範囲が広いとしても、やはり財務数値に関係があるところに限られるわけで、その内部統制目的だけでは、今後のサステナビリティ報告には対応できません。それから、財務報告、非財務報告というだけではなくて、報告目的の拡大というのは内部報告も含んでいるので、例えば、ＣＯＳＯの2013年のフレームワークでは、内部監査の充実というのが非常に強く言われていて、例えば、スリーラインモデルの考え方だとか、あるいは、経営者だけではなく監査役等に対する報告の必要性を強調するダブル・レポーティング・ラインの枠組みとか、そういったことも含まれていますので、今般の改訂においては、内部統制の「報告」目的のところは拡充しておいたほうがいいのではないかなと思います。
　また、先ほど事務局資料でも御紹介がありましたけれども、ＣＯＳＯの2013年版フレームワークで原則８として挙げられている不正への対応の問題です。不正については、監査人が見つけるのではなくて、そもそも企業の経営者が対応し、取締役会が監督するものだということをベースに、内部統制において不正に対してどう取り組むかを盛り込む必要がある。この点については、我が国にも東証の不祥事予防のプリンシプルなどがありますけれども、やはり今日の内部統制の在り方を考えると、不正に対してどう取り組むかということを入れる必要があると思います。
　ただ、ＣＯＳＯのフレームワークは原則とフォーカスポイントという形で規定されていて、わが国の基本的枠組みとは規定の仕方が違いますので、もしも日本でこれを取り入れるとすると、全社的な内部統制の評価項目例のところを加筆したり、それに伴う内容を別途補足していくような形になるのではないかと思っています。
　また、リスクマネジメントの御紹介もありました。実は日本の内部統制の基本的枠組みにある基本的要素の「リスクの評価と対応」のところは、ＥＲＭの考え方を一部取り入れている内容になっています。ですから、ここをもう少し拡充して、先ほどリスクアペタイトの話もありましたけれども、企業のリスクに対する取組み、あるいは、リスクマネジメント・パネルといったものを企業で設置するケースなども踏まえて、そういったことを取り入れていくことが考えられるのかなと考えています。
　また、内部統制評価の部分ですけれども、確かに、これまでの数値基準を例えば撤廃するというのは分かりやすいんですけれども、それを単純に一気にやってしまうと、評価範囲が一気に拡大してしまったり、あるいは、監査人の側が、この制度が最初に入ったときのように、企業側にここも評価してほしい、これも評価範囲に入れてほしいということで評価範囲を拡充していくことも考えられます。この点については、実は、以前、研究上の調査を実施したところ、内部統制報告制度において、企業側において最も負担感が大きいのは、あるいは、一番やりたくないのは何なのかというと、運用評価の作業、いわゆるサンプリングを企業側でやるのが大変だという声が非常に強くて、逆に、例えば、整備状況について、全社的な評価やＩＴ評価の部分については、これは当然やるべきことだという回答が多いという結果でした。そうすると、整備状況と運用状況で少し対応を変えていくということも考えられるのかなと思います。
　また、2011年に、制度の効率化を図るという目的で、評価作業のローテーションなどが色々入りましたけれども、そのときから指摘されていることとしては、財務諸表監査で評価する内部統制の範囲と内部統制報告制度で評価する範囲が大きく乖離してしまっているのではないか、ということです。特に、ローテーションを入れたことによって、ＩＴ全般統制に関する評価のところは、内部統制報告制度では隔年評価になっていても、財務諸表監査では結局毎年見ないわけにはいかないという指摘もありました。本日、日本公認会計士協会からは財務諸表監査で評価する内部統制の範囲との異同についての指摘がありませんでしたけれども、そういったフィードバックを頂いて、せめて財務諸表監査の評価範囲と整合が取れるような形で評価範囲を決めておくことが必要ではないかと考えています。
　次に、今、共有画面に提示されている監査人による内部統制監査のところですけれども、事務局資料には「緊密な協議」と書いてあります。2008年に内部統制報告制度が導入されたときには、「監査人との協議」という文言が評価基準に入ったことにさえ非常に多くの反対意見があったことからすると、隔世の感を感じています。ただし、やはり経営者による評価と監査人による検討の間には一定の線引きは必要だと思っております。それは、独立性を厳格に規定する、墨守する必要があるという意味ではなくて、あくまでも経営者が内部統制評価を行うんだということと、監査人は監査人で内部統制監査を行うんだというところをうまく峻別するという意味です。監査人の側の意見を経営者の内部統制報告書に入れるというのはおかしな話です。そうではなくて、あくまで監査人の側から情報提供を行うという枠組みを設け、経営者がそれを取り入れてどう判断するか、その経営者の判断の結果を書くんだというところの線引きだけはしっかりしておく必要があると考えています。
　それと、同じ資料の４番のところ、訂正報告のところですが、例えば、訂正報告について、一説には、内部統制監査を義務付けたらどうかとかいう声があるようですけれども、監査をペナルティーのように位置付けてほしくないです。私は監査が専門なので、そのように思っております。何より、内部統制の評価はそのときどきの評価結果ですので、訂正報告で公表された内部統制の評価結果について、後から監査をつけたから何かよいことが起きるかというと、そういうことではないんだろうと思います。ですから、もしペナルティ的なことを考えるというのであれば、将来に向けての対応をとるのが良いと思います。例えば、訂正報告を出した会社については、翌年は少なくとも訂正報告に関わる部分、ないし、その会社の内部統制の全てについて、評価範囲の絞り込みを認めないとか、あるいは、例えば、子会社で問題があったとすれば、その後数年間にわたってその範囲については評価範囲を絞り込まずに、継続的な報告を独立項目として内部統制報告書に記載することを求めるということも考えられると思います。訂正報告が出た場合には、後々その部分がどうなったのかをフォローした内容まで報告書として示されるというのが、前向きな対応なのではないかと思っています。
　事務局資料で説明があったように、訂正内部統制報告書で第三者委員会報告書の内容を記載するなどというふうにすると、第三者委員会報告書が出るまで訂正内部統制報告書が出ないといったような、最近、財務報告の領域で問題になっているような事例が起きてくるおそれも想起されますので、そこについてはどうなのかなというふうに思っています。
　以前から議論があるように、きちんと内部統制の評価作業をして、重要な不備を適切に開示している企業にはメリットが与えられて、そうでなくて、モラルハザードを起こしているような、評価をきちんと行わないで、後から問題があったら報告すればよいというような会社に対しては、ペナルティーとは言いませんけれども、何かそれを思いとどまるような追加的な負荷がかかるような形が考えられないかなと思います。ただし、日本ではアメリカでやっているような「量刑ガイドライン」によって罰則を軽減するという措置はなかなか導入できないということのようですので、そうであれば、先に述べたような評価範囲の拡大とか、訂正報告後、数年間のフォローアップの報告とか、そのような案をとってはどうかと考えているところであります。
　最後に、ダイレクト・レポーティングの話ですけれども、ダイレクト・レポーティング、特に財務諸表監査の中に内部統制の評価を盛り込むことについては、それ自体、私は賛成です。ただ、法制度を変えない、法律規定を変えないという前提での制度改訂では、ダイレクト・レポーティングを入れるというのはなかなか難しいかなと考えています。
　ダイレクト・レポーティングというのは、経営者が内部統制を評価して、一方監査人も独自に監査で内部統制を評価して、そして、その２つの報告書がそれぞれに出されて、それを利用者が、利用者のところで併せて読んで、両方に相違がなければ、経営者の評価結果報告は適正だというふうに判断するという枠組みです。この点、日本では、金融商品取引法の193条の２の第２項において、公認会計士又は監査法人による監査証明業務として内部統制監査が義務付けられていますので、利用者のところで経営者による評価結果と監査人による評価結果に相違がないかどうかを確認させるというのは、監査証明に該当しないのではないかなと考えています。
　また、ダイレクト・レポーティングというと、報告形式のことばかりに目が行きがちですが、評価の点でも大きな変更が必要になります。監査人に内部統制の評価範囲を自由に決めさせるとなると、経営者の評価範囲の絞り込みとは離れて監査人が評価範囲を決めることになります。ダイレクト・レポーティングにおいては、監査人が、評価範囲を自由度を持って評価する、内部統制が有効かどうかということについて評価するということなので、大きな制度改正を行う覚悟が要ると思います。
　その意味では、最初に申し上げましたように、制度改革は10年といった間隔で行うのではなく、一歩一歩進めていけたらいいんじゃないかなと思っております。評価の在り方をどういう形で改訂するかについては、今後の議論かとは思いますけれども、ただダイレクト・レポーティングにすれば全て解決するという簡単な問題ではないのではないかなというふうに思っているところです。
　私からは以上です。

【橋本内部統制部会長】
　ありがとうございました。町田委員は2011年当時の改訂のときも内部統制部会のメンバーでありまして、それまでずっと内部統制部会、今日まで眠っていましたけれども、貴重な御指摘ありがとうございました。また、実効性の確保に向けた具体的な提言も幾つか伺えたと感じております。
　それでは、続きまして、お待たせしました。岡田委員、お願いいたします。

【岡田委員】
　岡田です。ありがとうございます。
　それでは、私からは、事務局より提示された幾つかの論点についてコメントをしたいと思います。
　まず、
第１番目は、内部統制基準、実施基準の中で内部統制とＥＲＭやガバナンスとの連携に関する記述を明確化すべきかという点ですがこれを具体的にどう明確化するかは今後の検討だと思いますが、私は明確化することに賛成であります。
　経営者が全社的な視点でリスク評価を行って、その結果を取締役会に報告して、リスク評価の妥当性、リスクの見落としがないかなどの議論を徹底的に行うというプロセスを明確化するということが重要だと考えております。そのようなプロセスを経て、リスクの高いテーマを選定して内部監査を実施して、内部統制体制を構築する必要があるのではないかと思います。
　２点目は、内部統制の基本的枠組みですが、私は、リスク評価の際に重要なのは統制環境だと思います。現場で行われましたセルフアセスメントがきちんと経営者による評価に反映されていなければならないと思います。
　そのためには、社内で自由に意見交換ができる環境なのか、トップが内部統制の重要性を分かりやすい言葉で発信しているか、不正が発生しやすい環境になっていないか、あるいはなっていると現場が感じたときに自由濶達な議論ができる雰囲気があるか、そういった下の声が通る環境であるか。結局は、トップが透明性高い改善策を説明するということができているか。こういう意味での統制環境が大変重要だと思います。
　３点目は、経営者による内部統制の無効化リスクについて。ただいま申し上げました統制環境が整備されて、ガバナンス体制の整った取締役会や監査役等が監視・監督すれば、経営者による内部統制の無視も一定程度発見できるのではないかと考えますが、逆に、社外取締役が機能を発揮しないなど、企業のガバナンスに不備があると、通常のリスク評価でトップによる内部統制の無効化を防ぐのは至難の業であると言わざるを得ないと思います。その意味で、コーポレートガバナンス体制の一層の充実が求められていると思います。
　４点目は、評価範囲の選定基準の定量的な例示の見直しでありますが、効率化のために定量的なガイダンスの必要性を私は否定しませんが、それだけでは思考停止になってしまうおそれがあります。また、個々の企業で指標あるいは定量基準を採用することはあり得ると考えます。これは個々の企業に任せてもよいのではないかと思いますが、その定量基準に合理性があるか否か、こういう面は監査人にもよく見ていただきたいと思います。
　５点目は、内部統制に関する監査の在り方。ダイレクト・レポーティングが話題に上りましたが、内部統制報告書で経営者と監査人の議論について明らかにすることには賛成であります。議論の論点と結論に至った経緯が示されれば、不祥事などが発生した際に、問題点が明確になるだろうというふうに思います。ただし、監査法人の現状の人的リソースを考慮しますと、監査法人によるダイレクト・レポーティングというのはちょっと無理があると危惧いたします。
　最後に、内部統制報告書の訂正時の対応についてでありますが、当該事項を内部統制報告範囲に含めなかった理由等を訂正報告書に含めるということには賛成であります。今後のリスク評価などに生かして不備を改善するという経営者によるコミットメントの表明を求めたいと思います。
　この内部統制報告書の訂正の具体的な中身は分からないんですが、恐らくは会計上の不祥事があったということが主な原因ではないかと思いますが、不祥事を見ますと、例えば、国内で経営者による業績プレッシャーで不祥事が起こっているケースが多いのではないでしょうか。こんな会社が何で上場できて、内部統制報告書が不備なしというふうに報告されているのかと驚くようなケースがあるわけです。
　日本取引所では、非常に悪質な場合には、こういう会社を特設注意市場銘柄に指定して、１年をかけて改善計画書を出させ、その改善の進捗をウォッチしていくという体制になっています。ですから、その中身にもよりますけれども、訂正報告書を出しました、これで終わり、翌年は不備ありませんで済むとは思えないのです。済まないのであれば、その翌年も同じように、今度は改善をどういうふうにしたか、内部統制体制をどうやって整えたか、もっと具体的な記述を要するのではないでしょうか。
　第三者委員会の記述例が参照されていますけれど、そもそも第三者委員会が正常に機能しているかどうかも分からないところがありますから、このような例示に従うのでなく、企業が自ら内部統制体制を見直して、改善報告書を出す、その結果が翌年の内部統制報告書に反映されるというふうな考え方は取れないのかと思います。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、後藤委員、お願いいたします。

【後藤委員】
　後藤でございます。御発言の機会を頂きまして、ありがとうございます。
　私のほうからは、事務局が作成してくださった資料に基づきながら述べたいと思います。資料５ページに内部統制報告書提出状況の推移というグラフをつくっていただいてありますが、その中で、事後的に内部統制報告書を訂正したというケースがかなりあります。2008年度から2021年度までの合計で780～790ぐらいあるんですけれども、これはかなり事例として多いんだなという印象がございます。
　次の６ページに、開示すべき重要な不備の原因というのも、これも事務局が分析してくださっていますけれども、コンプライアンス意識の欠如とか、モニタリングの体制不備とか、役員への権限集中等による牽制機能の無効化等々原因を分析されています。統制環境等の全社的な内部統制のレベルで色々とやらなきゃいけない部分が多いのかなという印象を受けます。
　現状、全社的な内部統制をどう評価しているかというと、実施基準の中に全社的な内部統制に関する評価項目の例というのがございまして、42ぐらいあったと思うんですけれども、それらを参考にしながら、評価の観点みたいなのを各社それぞれつくって、チェックリスト的にそれを評価していく、運用状況を評価していくといったようなことをやっているのかなと思います。
　今の評価項目の例を見ていますと、例えば、コンプライアンス意識の欠如に対応して、「統制環境」をレベルアップしていかなければならないような項目が具体的にどうなのかなとか、あるいは、「リスクの評価と対応」の部分で、経営者による無効化に対して、どのようにそれを抑えるといった観点からの評価項目はどうなのかなとか色々考えますと、現状のものをレベルアップしていくことが必要ではないかと思います。
　そういう意味で言いますと、事務局がつくってくださいました、資料12ページの改訂ＣＯＳＯ内部統制フレームワークにおける基本概念とか主な着眼点、こういったものは確かに参考になるなという印象を受けたところでございます。
　それから、もう一つ、評価範囲の話ですが、これも資料の15ページを見ますと、経営者の評価範囲外で開示すべき重要な不備が検出された企業は、大手監査法人へのヒアリングから２割～３割程度あったということなんですが、２割～３割というのは、かなり大きな数字という印象です。評価範囲の外で色々と起きてしまっているということからすると、ここには数値基準の全社統制の95％とか業務処理統制の３分の２とか、そこまでやれば取りあえずいいのではないかみたいなことで、安易に流れている部分は確かにあるのかなという印象を受けます。
　そうしますと、ほかの委員の皆様もおっしゃっていますけれども、リスクベースできちっと評価すべき範囲はきちっと評価する、ということはやっぱり必要なのかなという印象を持ちました。それをどこまでかというのは、難しい話があろうかと思いますけれども、少なくとも２～３割も評価範囲から漏れているところから発見されるというのは、これはかなり由々しき事態ではないかなという印象を持ちました。
　残りの御議論いただきたい事項で３番、４番ですけれども、経営者と監査人の緊密な協議と議論を明らかにする。こういったものは確かに必要だと思いますので、賛成いたしますし、訂正報告書の中で判断基準をきちっと開示せよと、こういったことも必要だろうなということで、賛成したいと思います。
　以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、吉野委員、お願いいたします。

【吉野委員】
　吉野でございます。
　私は企業の実務家の観点から発言させていただきますので、皆様の視点とは若干違うところもあるかと思われますが、よろしくお願いいたします。また、これから申し上げることは、私が前に在籍していた会社、あるいは現在在籍している会社の見解、もしくは状況ではなく、あくまでも個人的な見解でございます。
　論点の１番目でございます内部統制の基本的枠組みについて申し上げます。基本的枠組みの中で、内部統制、ＥＲＭ、ガバナンスとの連携に関する記述を明確化することについては、賛成でございます。ただ、これはなかなか現実にはできてないのが実態でありまして、企業は、もちろんガバナンスは経営上の重要事項と考えています。また、投資家もガバナンスが企業価値と結びついていると考えており、投資判断を考慮する際の要素と捉えています。
　しかしながら、金融機関や総合商社以外の事業会社では、内部統制・ＥＲＭとガバナンスとの関係が実務上あまり認識されてないのではないかと私は感じております。どういうことかと申しますと、事業会社では内部統制とリスクマネジメントは、本来業務の個々の管理プロセスと結びつけて考えている場合が多く、ガバナンスのように経営全体と結びつけて広く考えるニーズが少ないのではないか思われます。また、ＥＲＭの理解が進んでいない場合も見られます。その結果、内部統制・ＥＲＭはガバナンスとは別物と考えられがちなのが現状だと思われます。
　他方、投資家は、内部統制・ＥＲＭは企業価値を構成する重要な要素であることは概念的には理解しています。しかし、ＥＲＭ・内部統制がガバナンスを通して企業価値とどう結びついているかが理解しにくいため、投資評価に落とし込むところまで行きついていないのが現状だと思われます。
　余談ですが過去に、ムーディーズとスタンダード＆プアーズのヒアリングを受けたときに、「内部統制・ＥＲＭをどう評価してくれますか」と質問したところ、「不祥事が起きれば、もちろん見ます。しかし、平時に内部統制・ＥＲＭが良好でも、格付に反映することはありません」と言われたことがありました。このことから当時、内部統制・ＥＲＭは企業価値、投資評価と結びつけて考えられることが少ないのではないかと感じました。
　このようなことにより、事業会社は、内部統制・ＥＲＭは、投資家対応面でのニーズが少ないと受け止めて、内部統制・ＥＲＭをガバナンスと結べて広く考えるニーズが少ないのではないかと思われます。
　必要な対応といたしましては、事業会社と投資家の双方が内部統制・ＥＲＭとガバナンスとの結びつきを認識し、理解できるように、良好な内部統制・ＥＲＭが良好なガバナンスにつながることを示す事例や例示を提供することが、この三者の連携を強める有効な方法だと考えられます。また、内部統制基準・実施基準等でガバナンスとの結びつきを意識した内部統制・ＥＲＭについての記述の開示を促すといった制度的な後押しも有効な方法だと考えられます。
　私が配付させていただきましたポンチ絵に示しておりますとおり、内部統制・ＥＲＭとガバナンスとの結び付きが分断されているところに問題がありますので、そこを結び付けることが必要だと思います。内部統制・ＥＲＭとガバナンスとの結び付きが明確に認識されれば、内部統制・ＥＲＭとガバナンスとの連携に関する開示が進んでいくと考えております。
　論点の２番目でございます経営者による内部統制の評価範囲について申し上げます。リスクに応じた評価範囲の決定を促すことについても、賛成でございます。これは皆さんおっしゃっているとおりです。しかし、実際には、リスクに応じた評価範囲の決定を行うためには、評価範囲の決定を行う者が、適切にリスクを評価する能力を有していることが必要でございます。
　そのためには、評価を行う者の質的な面での人的リソースが充実していることが必要だと考えています。具体的には、コミュニケーション能力、モチベーション、柔軟性、論理的思考能力、及び、リスク評価や監査のスキル・専門性などです。
　他方、内部統制の評価は、内部監査部門が担当する場合が多いため、多くの方々が必要とおっしゃっているリスクベースでの評価範囲の決定が行われる度合いは、内部監査部門の質的な面での人的リソースの充実度合いに左右されるのではないかと思われます。なお、リソースは量よりも質の方が重要と思われます。しかし、質的な面でのリソースに課題がある内部監査部門も一部ながら見受けられます。そのような場合には、リスクに応じた評価範囲を決定することが難しくなり、示された選定基準の定量的な例示を満たすことが目的となり、それ以上にリスク評価を行う範囲を広げる意識が薄れがちになります。
　先ほどどなたかから、内部統制報告書の記載がボイラープレート的になっているという御発言がありました。内部統制報告書の記載は内部統制を評価した部門、多くの場合、内部監査部門が記載しているのが現状です。したがいまして、内部監査部門の人的な面でのリソースの充実度合いに課題がある場合には、内部統制報告書の記載にも課題が出てくるように思われます。
　ところで、経営者の内部監査部門に対する認識の高低により、内部監査部門の体制、特に質的な面での人的リソースの充実度合いに大きな差が生じます。経営者は概念的には内部監査部門の重要性をよく認識していますが、質的な面での人的リソースの配分の面では認識が薄い場合が見られます。
　必要な対応といたしましては、第１に、経営者が内部監査部門へのリソース配分を充実するようにテコ入れする、後押しに動くように、内部統制報告基準・実施基準等で内部監査部門の重要性を強調する、もしくは、内部監査部門の強化を枠組みに入れるといった制度的な後押しが内部監査部門への質的な面での人的リソース配分の充実に必要だと考えております。第２に、社外取締役が内部監査部門に対する経営者の認識を高めるように、取締役会で内部監査部門の重要性を強調すること。そして、同部門の質的な面での人的リソースの充実度合いの現状について質問して、不十分な場合には改善するように指摘することが必要だと考えております。
　なお昨日、都内で拝聴したパネルディスカッションの席上で、日本内部監査協会の伏屋会長が、内部監査部門に優秀な人材が配置され、人材の層が厚くなることが、内部統制の実効性を高めることを通して、我が国全体の資本市場の信用を築く基礎となるとおっしゃっておりました。そういった面でも内部監査部門の質的な面での人的リソースの充実を図ることが必要ではないかと考えております。
　論点の３番目でございます監査人による内部統制監査について申し上げます。経営者と監査人の議論の促進・透明性の向上を図ることについても、賛成でございます。経営者が監査人と評価の議論を活発に行うためには、経営者が持っている内部統制やリスクに関する情報が充実していることが重要だと思われます。経営者は内部統制評価のための情報を内部監査部門からの報告に依存している場合が多いため、活発な議論を行うためには、内部監査部門から報告されるリスク情報が充実していることが必要だと思われます。他方、内部監査部門から経営者に報告されるリスク情報の充実度合いは、先ほど申し上げた内部監査部門の質的な面での人的リソースの充実度合いに依存する度合いが多いのが現状ではないかと思われます。
　必要な対応といたしましては、先ほど申し上げたリスクに応じた評価範囲の決定を促すことと同じです。繰り返しになりますが、第１に、内部統制基準・実施基準等で内部監査部門の重要性を強調する、もしくは、内部監査の強化を枠組みの中に入れるといった制度的な後押しをすることが必要だと考えております。第２に、社外取締役が内部監査部門の重要性を強調して、内部監査部門の質的な面でのリソースの充実を促すことが必要だと考えております。
　以上でございます。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、小畑委員、お願いいたします。

【小畑委員】
　発言の機会を頂戴しまして、誠にありがとうございます。小畑でございます。
　まず、今回のこの見直しの議論に当たりまして感じるところでございますけれども、大企業を中心とした企業としては、実務は円滑に、かつ安定的に遂行されているという認識がございまして、特段何か変えなければいけないという切実な問題というところはあまり認識をしていないということで、大きな制度の変更ということは、あまり必要性を感じていないとこういうことでございまして、色々これまでの議論もありますけれども、それぞれ既存の制度の趣旨をより徹底していくというところが中心なのかなというふうに思っております。
　その一方で、実務的には、チェックリスト化、こうしたことによって結構工数がかかっているという現実もあるということでありますので、先ほど来、議論の中に出てきておりますけれども、リスクベースでの考え方というところはぜひ強調していただいて、業務の効率化というところに資するような制度趣旨の徹底ということを主眼にしていただけるとありがたいというふうに考えております。
　その上で、本日、この資料の21ページで御提示いただいた議題、課題について、若干申し上げたいと思いますけれども、まず、１番目の内部統制の基本的枠組みという部分でございますが、こちらにありますように、内部統制、ＥＲＭ、ガバナンス、これらが一体的に運用されるということがガバナンス全体の高度化ということにつながるということは、これは全くもっともなことでございまして、非常にその点しっかりと説明をしていただくということが重要だと思っております。
　殊、この内部統制、この報告制度に関して、この枠組み、基準の中身としましては、ＥＲＭのリスクと財務報告の内部統制におけるリスクというのはリスクの観点が全く違うということで、同一のフレームワークで全て語り尽くすというのは、なかなか無理があるのかなというふうに思っております。
　また、それと同じく、経営者による内部統制の無効化に対応するという点につきましては、そもそも内部統制自体は経営者による活動でありまして、経営者による無効化というのは内部統制の限界というところに行き着いてしまうのではないか。これを抑止するというためには、コーポレートガバナンスというところの領分になるのかなというふうに思っておりまして、こちらは内部統制で何とかするという話でもないのではないかというふうに感じておるところでございます。
　次に、内部統制の評価の範囲という論点でございますけれども、これについては、これまでの数値基準というのに過度に依存するということは確かに問題があるというふうに感じておりますが、一方で、数値基準があることによって安定的な実務が遂行されていると、そういうプラスの面もあるということもよく踏まえてお考えいただければというふうに思っております。
　既存の内部統制基準においても、監査人が内部統制監査を行う際には、監査基準の一般的事項でありますところの職業的専門家としての正当な注意とか、職業的懐疑心を発揮するとか、公正不偏の態度を取るとか、こういったことはしっかり遵守するようにということは、今の基準の中にも書いてあるということでございますので、この辺はしっかりと監査人側が評価範囲に疑義を持つということをしっかりとやっていただければというふうに思っておりますし、また、同様に現行の内部統制基準において、金額的及び質的影響の重要性の観点から評価の範囲を検討するというふうに書いておりまして、これがまさにリスクベースということを表しているのではないかというふうに思っております。質的影響というところをしっかりと踏まえて、この趣旨を徹底していくということがリスクベースというところの考え方を体現するということになるのではないかと思っております。
　次の論点でありますけれども、監査人による内部統制監査という部分でございます。こちらも先ほども申し上げた評価範囲の決定と非常に深い関連があるというふうに思っておりますけれども、こちらもまた、現行の実施基準において、評価範囲を決定した方法及びその根拠について、必要に応じて監査人と協議を行っておくことが適切であるとしっかり書かれているわけでございまして、ここでもう既に協議とこういうことが書いてあるわけですので、こんな既存の実施基準の趣旨をしっかりと徹底していくということがまずもって必要なのではないかというふうに思うところでございます。
　それから、４つ目の訂正時の対応というところでございますけれども、現状有効であるというのが後に改められるというケースがあるということでありますが、先ほどの19ページのような事例、ちゃんと書いていないという事例というのがここで提示されておりますけれども、訂正報告書が出される事例においては、こういった記述が不足していると考えられる事例が大半なのか、あるいは、多くの事例においては、結構な説明がついているのか、その辺の実情について、もう一段、御説明を事務局から頂戴できるとありがたいと思っております。
　私からは以上でございます。ありがとうございました。
 
【橋本内部統制部会長】
　ありがとうございました。
　この訂正の内容の実情について、事務局から回答をお願いいたします。

【齊藤開示業務室長】
　ありがとうございます。まさに今、小畑委員から実情に応じて実際にこういうような見直しというのが必要なのかという視点からコメントいただきました。ありがとうございます。
　まさに、ここの記載事例、ボイラープレート化している、形式化されていると様々な方から頂いているところであります。実際に記述ぶりというのは若干の違いというのはあろうかと思いますけれども、一般論としては記載ぶりが不十分というご指摘はあろうかと思います。我々としても、実際にどうなのかというところは改めて見てみて、それから、どのような形で記載を十分にしていく対応が必要なのかというところを考える必要があると思っております。ありがとうございます。

【橋本内部統制部会長】
　続きまして、弥永委員、お願いいたします。

【弥永委員】
　弥永でございます。ありがとうございます。
まず、内部統制報告書は、経営者による判断という位置付けですので、本当に訂正内部統制報告書を提出すべき場合なのかどうかということ自体を、どのような場合に提出すべきなのかということをよく考えてみる必要があると思います。財務諸表の場合と違って客観的な事実を書かせているわけでは必ずしもないのではないかという点には留意する必要があると思います。
　もちろん、訂正した理由を記載させるという御提案には、心から賛成します。ただ、経営者と申しますか、会社にとってみますと、内部統制報告書の虚偽記載というのは避けたいというところがあります。そういう発想になると、どうしてもボイラープレート的な記載を招くということなので、どのような場合に虚偽記載の問題になるのかということをより明確にする必要があるのではないかと考えました。
　また、内部統制の評価範囲についてですけれども、これについてもよりリスクベースを意識すべきだという、その方向性は正しいと私も考えております。そこで、例えば、リスクベースで、どのような指標に基づいて、どのようなクライテリアで評価範囲を決定したのかをより具体的に内部統制報告書に記載させるということが必要なのではないでしょうか。もっとも、経営者は、数値基準によらないで、リスクが高いと評価するのかということについて、必ずしも専門家でない可能性がありますので、このような観点からも、監査人との協議が必要なのではないかなという気がいたしました。
　さらに、内部統制報告書の記載を充実していくという局面においては、既に御指摘があったように、内部監査部門など会社内の体制の整備が重要なわけです。これとの関係では、有価証券報告書の記載事項として、コーポレートガバナンスの状況等のところで少なからぬ記載を既に要求しているわけですので、内部統制基準や実施基準との関係だけではなく、企業内容開示府令によって、有価証券報告書にいわゆる非財務情報として記載を求めている、コーポレートガバナンスの状況等の記載の改善という形で行うことができる部分があるのではないかどうかということも考えてもよいのではないかと思います。
　最後に、既に、非財務情報などを含めて内部統制を考えていくべきだという御指摘があり、たしかに、これは極めて重要なことです。しかし、それ以前に検討を要する点があるように思われます。すなわち、現在の内部統制報告書制度は、あくまでも財務報告に係る内部統制について存在しているということはなかなか変えられないとしても、既に柿﨑委員が御指摘されていたところと重なりますけれども、現在、金融審議会ディスクロージャーワーキング・グループでは、四半期決算短信をもって第１・第３四半期報告書を廃止するという方向が検討されているということを承知しております。この動きが、よく考えてみますと、定期的な開示から臨時的な開示と申しますか、そのときそのとき重要な事項を開示させるという方向に金融商品取引法が動いているということを意味するのであれば、財務報告の中に臨時報告書の一部は当然含まれていると考えることができますので、この点との関係での財務報告に係る内部統制の実効性も高めなければならない部分として意識してよいのではないかと感じております。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　それでは、続きまして、松本委員、お願いいたします。

【松本委員】
　橋本先生、ありがとうございます。
　１番目の基本的枠組みのところなんですけれども、ＥＲＭとかガバナンスと内部統制の関係について、特にＥＲＭと、その後の2013年ＣＯＳＯを導入するというお話になると、小畑委員からもあったんですけれども、リスクの概念がそれぞれ現行制度とは違ってきます。現行の金融商品取引法の24条の４の４で公表、提出されている内部統制報告書は、あくまでも財務報告に係る内部統制報告書ですので、ＥＲＭや新しいＣＯＳＯのように４つの目的というふうには考えていません。従いまして、それらの４つの目的から、報告にしろ財務報告にしろ特定の目的に関する部分だけを取り上げる必要性が出てくるという点に注意が必要であろうと思います。
　それに伴い、リスクの概念も必然的に変わってきます。ＣＯＳＯの目的が今４つ、昔は３つですが、３つの目的を達成できなくなる確率がリスクですから、本来リスクも３つあるはずです。４つの目的であれば、リスク概念は４つになります。ところが、24条の４の４は財務報告に係る内部統制ですから、報告に関するリスクのみを取り上げることになります。本来議論すべき内部統制というのは、全社統制というお話も出ていましたが、４つの目的を考慮に入れたリスク評価とリスク管理が検討されるべきなんですけれども、今回の内部統制報告制度に限ってしまうと、財務報告に係るリスクの部分のみに限定した議論になるということを押さえるべきだと思います。
　この結果どうなるかというと、リスク・アプローチを導入する際のスタートは評価範囲の決定ですが、評価範囲の決定で量的基準を排してリスク・アプローチを導入するというのは、非常に耳触りのいい表現なんですけれども、その場合のリスクって何というお話になります。特に、ガバナンスレベルで言えば、４つの目的を達成できなくなる確率という４つのリスクがありますけれども、財務報告に係るリスク・アプローチとなると、４つのうちの１つだけを評価することになりますので、同じリスク・アプローチといっても、財務諸表監査で行っているリスク・アプローチとも違いますし、ＣＯＳＯで言うリスク・アプローチとも異なったリスク・アプローチとして導入する必要が出てくるのではないかというふうな点があります。
　最後です。経営者による内部統制の無効化なんですが、今回の金融庁からの御報告資料の中では、ガバナンスに責任を負うものに関する言及がほとんどありません。経営者の無効化に関しては、ここには岡田委員も後藤委員もおられますから、ぜひ、監査役を含めたガバナンスに責任を負う者の関与をここで書き込んでいただきたいと思います。
　もちろん、会社法上、内部統制を監査する責任、すなわち取締役経営者を含む全社統制及び業務処理統制を監査する責任は監査役にあるわけですから、当然のことながら、内部統制に対して監査役を含むガバナンスに責任を思う者は一定程度責任を負っているはずですので、協議対象として、監査人と経営者だけではなくて、監査人と監査役等と経営者の協議というふうな形で取り入れていただきたいというふうに考えております。
　なかでも特に私が強調したいのは、内部統制報告制度2011年の改訂から既に10年以上が経過して内部統制報告が形骸化している最大の原因は、評価範囲の決定基準としての連結範囲、つまり連結の３分の２の売上高まで足し算するというの例示規定にあります。内部統制報告制度の導入時には円滑な導入という観点から必要な例示だったかもしれませんが、その当初の目的は達成できましたので廃止という形で運用していただければと思います。
　以上です。

【橋本内部統制部会長】
　ありがとうございました。
　続きまして、山口委員、お願いいたします。

【山口委員】
　山口でございます。よろしくお願いします。
　私は不正調査というものに関わっている者という立場でお話をしたいと思います。今回、基本的枠組みについての見直しということですが、私は一部形骸化している部分はあるけれども、Ｊ－ＳＯＸはかなり企業実務にとっても役に立っているように考えております。
　例えば、ある会社で経理責任者の方が会計不正、横領とか、それから粉飾とかそういうことに関わったケースにおいて、その会社がＪ－ＳＯＸ、例えば、権限分掌とかローテーションとかダブルチェックとか、そういうＪ－ＳＯＸをきちんと審査し実践しているということであれば、件外調査の範囲をどのように限定するか、という議論にも影響するわけです。
　要するに、どこまで件外調査をやって、会計責任者が不正を行う可能性があったのかということについて、Ｊ－ＳＯＸの実践状況を踏まえて東京証券取引所や会計監査人に説明をする。そのことによって、社内調査で済むのか、第三者調査まで行かなければいけないのか、有価証券報告書は延期しなければいけないのか、そのあたりに影響が出ます。そういうところへの影響度というのは、Ｊ－ＳＯＸをきちんと履行したかどうかということは大きな差が出てくるわけで、そういう意味においては、非常に企業実務においてもＪ－ＳＯＸは活躍する場面というのは結構あるのではないか、と思っています。
　その上で、今日お話をする中で、内部統制報告書の訂正時において有効としていた内部統制を有効でないと訂正する実務、これはなかなか、現実に実務の中でも不具合が生じている場面ではないかなと思っております。モラルハザードを来す１つの原因が、先ほどのこのシート番号の５番の表でも出てきますけれども、とりあえず有効としておいて、何か問題が発生したら後で訂正したらいいと、こういうふうな実務が現実には起きていることは間違いないと思うんです。
　先ほど弥永委員からも御発言がありましたけれども、Ｊ－ＳＯＸはソフトローではないですね。金融商品取引法にある制度であって、違反があれば、たとえば内部統制報告書の虚偽記載があれば、刑事罰もありますし、それから民事賠償責任の特別規則もあるわけなんですよね。ではなぜ訂正したのか。なぜ経営者は、不祥事が明らかになったら、これを訂正したのかと。その訂正の理由というのは理屈として誰でも知りたいと思うのです。ですから、そういったところの理由の開示ということについては、１つ、ぜひとも今回改訂をしていただきたいと思っております。
　あと一点、１番目の経営者による内部統制の無効化について、内部統制基準、実施基準等に織り込むべき論点はあるかということですけれども、この内部統制の無効化という言葉が会社法的な意味で言っているのか、金融商品取引法の意味で言っているのか非常に分かりづらいのです。無効化、有効化というのは最終的には評価の問題であって、例えば、経営者が内部統制を無機能化するということはあり得ると思うのですけれども、無効化という言葉というのは、これは最終的に評価の結論を無効化、有効化という言葉で表現すべきところなので、これは言葉を直したほうがいいのではないかなと考えております。
　あと、統制環境ですね。基本的な要素としての統制環境という言葉が出てきますけれども、この言葉とガバナンスとの関係、このあたりも可能であれば、この記述を明確化していけたらなと思っております。
　私からは以上でございます。

【橋本内部統制部会長】
　ありがとうございました。
　それでは、熊谷委員、お願いいたします。

【熊谷委員】
　ありがとうございます。みずほ証券の熊谷と申します。アナリスト協会の企業会計部長を兼務させていただいております。もう本当に時間もないので、極力簡単にお話ししたいと思います。
　まず、内部統制の基本的枠組みでありますけれども、これはＣＯＳＯの2013年に従って改訂していくということで、ＥＲＭ、リスクアペタイトの考え方を入れていくということに関しても全面的に賛成でございます。
　次に、今の無効化のお話でありますけれども、皆様から御指摘のとおり、これはコーポレートガバナンスに関わってくると思うんですけれども、どなたかが御指摘ございましたとおり、この資料を見ておりましても、コーポレートガバナンスの責任者であります監査役等とか、あるいは、独立取締役との内部統制の関係というのがあまり感じられない。デュアルレポーティングというようなことも言われておりましたけれども、内部統制基準等、実施基準を含めまして見直すに当たっては、監査役等、あるいは取締役会、独立取締役と内部統制の関係というのを、あるいは外部監査人、内部監査人も含めまして、この連携について再整理して、しっかり基準に書き込んでいくということが必要なんじゃないかなというふうに思っております。
　それから、経営者による内部統制の評価範囲ということでございますけれども、これも皆様からリスク・アプローチを取ってというようなお話がありましたけれども、今、内部統制報告書を提出しております上場企業を中心としまして、4,000社の経営者ですとか担当者にリスク・アプローチと言っても、なかなか理解されてないんじゃないかなというふうに思いますし、そういった意味では、リスク・アプローチの、あるいは、この開示に当たって重大な不備があるということに関して開示していくことになっております。material weaknessと英語で言うんだと思いますけれども、結局、このマテリアリティの考え方、これについてのガイダンスというものが必要になってくるんじゃないかと思います。
　これは公認会計士協会にお願いするのが筋かなというふうに思っておりますけれども、特にマテアリティーといったときに、これは内部統制ばかりでなくて、会計、財務諸表の作成、あるいは、サステナビリティ基準においても、マテリアリティというのは非常に重要な概念になってきております。そういった意味で、それぞれに内部統制、あるいは財務報告及びサステナビリティ開示において、内部統制に限らず、この重要性というものがどういう概念なのか、特にこのリスク・アプローチとの関係において、重要性というものをどういうふうに考えたらいいのかというガイダンスというのを、大企業はいいと思うんですけれども、非常に数の多い中堅・中小企業向けにもこういうガイダンスの整備というのが必要なんじゃないかなというふうに思っております。
　それから、監査人による内部統制監査でありますけれども、これも皆様から既に色々な形で重要性が御指摘されております。ちょっと観点が違うんですけれども、この内部統制報告書の中でこういった議論を開示するという御提案になっておりますが、この報告チャネルについては、よく考えたほうがいいんじゃないかなというふうに思っております。
　先ほど吉野委員のほうから、格付機関などでも内部統制報告書は問題があったときしか見ないというお話がありましたけれども、恐らく多くの投資家、内部統制報告書はやはり縁遠い。かつ、ボイラープレートでなかなか読む機会がないというふうに思います。ただ、重要な不備があると報告された場合、訂正報告書を含む場合、内部統制報告書というようになってくるのかなというふうに思いますし、そういった場合に、経営者と監査人間の内部統制評価に関する議論というのを内部統制報告書に書き込むということは意味があるというふうに思うんですけれども、一方で、この重大な不備(material weakness)には至らないものの、何らかの不備(significant deficiencies)が認められるような場合もあると思うんです。
　こういった場合に、内部統制報告書よりは、有価証券報告書におけます経営者による非財務情報、リスク情報、ガバナンス情報の開示、あるいは、監査人によるＫＡＭにおいて開示していただいたほうが利用者にとっては利用しやすいんじゃないかなというふうに思っております。
　特に、既に皆様から御指摘ありますけれども、有価証券報告書においても非財務情報、サステナビリティ情報開示の充実ということが検討されているわけでありますが、その際、気候変動に関しまして、ＴＣＦＤの４つの柱と言われるもののうち、特にガバナンスとリスク管理については全社開示させるという方向にあります。気候変動に限らず、ガバナンス、リスク情報の開示というのは今後充実が要求されていくんじゃないかなというふうに思います。そういった意味では、これの開示の場所というのをどこでやるのかということに関しては、よく考える必要があるのかなというふうに思っております。
　内部統制報告書の訂正時の対応でありますけれども、これは皆さんおっしゃるとおり、こういう訂正報告書が提出されました場合に、重大な不備の理由というのも重要だというふうに思います。ただ、単に重大な不備というだけでは、その理由、有効としたのに訂正した判断事由ということだけですと、不正会計が発覚したためというようなことになりかねないなというふうに思っております。利用者としましては、不正会計発覚以前に、なぜ不正会計が進行中であったにもかかわらず、当初有効であると判断された、その内部統制のどこに不備があったかということが知りたいですし、それの対応ということも知りたいなというふうに考えております。
　最後に、その他でありますけれども、これは総会のときにも申し上げたんですが、内部統制が形骸化されているという批判はよく聞くんですけれども、一方で、そういう形骸化を防ぐために、恐らく好事例もあるんじゃないかなというふうに思いますので、そういったものが可能であれば、どういう形でよい内部統制体制が敷かれているのかというような事例の紹介ということも重要じゃないかなというふうに思っております。
　私からは以上でございます。ありがとうございました。

【橋本内部統制部会長】
　ありがとうございました。
　以上で発言を御希望のすべての委員から御意見などを承りましたが、あと、堀江委員から御意見を頂ければ、今日出席の委員全員から伺ったことになりますけれども、堀江委員、いかがでしょうか。

【堀江委員】
　ありがとうございます。
これまでの色々な御意見、御提言を踏まえ、特に補足させていただきたい点についてのみ発言をお許しいただければと思います。
　内部統制の基本的な枠組みについてでございますけれども、本制度が導入されて以降、環境や考え方が大きく変わっている点は、既に委員の方々からも御紹介がありましたとおり３点あろうかと思います。
１つ目は、内部統制と、ＥＲＭ、ガバナンスの関係。これに関しましては、ちょっと気を付けなければいけないのは、色々な考え方がありますので、明確に記述することが難しい。だけれども、一般的な連携の必要性については言及する必要があるだろうというふうに思います。
　２つ目は、サステナビリティをはじめとした非財務情報の作成・開示に係る内部統制です。現在、気候変動対応だけを想定しがちですが、これから、人的資本ですとか色々な情報開示が進む可能性があるということ、それから、サステナビリティ対応については、個社の対応にかなり大きなばらつきがあるので、非財務への拡大については前向きな対応はもちろん必要ですけれども、やはり慎重な検討が必要ではないかというふうに思います。
　３つ目は、ＩＴの問題ですけれども、まずはクラウド環境でのＩＴの利用とか統制、それから、コロナ禍で問題となりました情報の安全な電子保存とか外部からのシステムへの安全なアクセス、さらには、サイバー攻撃によって決算が組めないといったような情報も見聞きしておりますので、外部からの侵入対策、こういった点について、基準の中で、かなり踏み込んだ記述があってもいいのではないかと思います。
　我が国の内部統制基準では、ＩＴへの対応を独立した基本的要素としているということもあって、ここが１つの売りでもございますので、きちっと対応されるとよろしいのではないかと思います。
　それから、最後に１点、訂正時の対応でございますけれども、弥永先生からも訂正に関する御指摘がございましたが、基準の中で、訂正の際の記載項目は独立した規定として設ける必要があるかと思います。ただ、この訂正報告に対して監査証明を求めるかどうかということについては、財務諸表の数値の訂正とは性質が異なっているので、どういった内容を保証するのかということを含めて、慎重な検討が必要ではないかというふうに考えております。
　発言を許していただき、どうもありがとうございました。
　以上でございます。

【橋本内部統制部会長】
　どうもありがとうございました。
　委員の皆さんには、本日、５つの論点に整理して、多数の貴重な御意見をありがとうございました。
　それでは、本日の審議はこれで終了させていただきたいと思います。本日、様々な御意見を頂きありがとうございました。
　それでは、最後に、次回の日程等について、事務局から説明をお願いいたします。

【齊藤開示業務室長】
　本日は、幅広い観点から御意見を頂き、ありがとうございました。これらにつきましては、事務局において整理させていただき、次回以降、各論点についてさらに御議論いただきたいと考えております。
　今後の日程につきましては、改めて事務局から御連絡させていただきます。

【橋本内部統制部会長】
　それでは、これにて本日の内部統制部会を終了いたします。どうもありがとうございました。

以上