「内部統制」という言葉はビジネスシーンにおいてよく見聞きしますが、具体的にどのような取り組みを指すのかまでは理解が曖昧な方も多いのではないでしょうか。そこで本記事では、内部統制の意味や目的・メリットについて、ガバナンスやコンプライアンス、J-SOXとの関係も踏まえつつ解説します。具体的な実施手順や役立つITツールの紹介もするので、内部統制に取り組みたいと考えている方は、ぜひご参考にしてください。
内部統制とは?
内部統制とは、企業が事業活動を行う際に遵守する社内のルールや仕組みを指します。例えば、「機密情報の社外持ち出し禁止」というルールを設定したり、関係者以外はそのデータを閲覧できないようにシステム面でアクセス制限をかけたりするのも内部統制の一種です。
内部統制は、非正規雇用も含めてすべての従業員が遵守しなければいけません。それぞれの立場の従業員が社内管理体制内において適切に機能することで、内部統制は相乗的に高い指揮・監督機能を発揮できます。
内部統制と内部監査の違い
内部統制が「遵守すべき社内のルールや仕組み」を指すのに対して、「その内部統制が有効に働いているか組織内部の人間がチェックすること」が内部監査です。つまり、内部監査は内部統制の仕組みの一部を指します。内部監査の目的は、業務の妥当性や有効性をチェックすることを通して、企業の問題点やリスクを早期発見し、未然に防ぐことです。
内部監査が組織内部の人間が行う監査なのに対し、外部の独立した機関が行う「外部監査」もあります。外部監査は、財務諸表や内部統制報告書などの内容が適正であるかを確認する目的で行われるものであり、経営改善のために実施される内部監査とは目的が異なります。
内部統制と、コンプライアンス、ガバナンスとの違い
内部統制と関係の深い概念としては、コンプライアンスやガバナンスも挙げられます。
コンプライアンスとは、日本語で「法令遵守」を意味する言葉です。しかし、現代では法律だけではなく、社内の規則や企業倫理、社会規範などを守ることも含む幅広い概念として扱われています。ひとたび重大なコンプライアンス違反を犯せば、これまで築き上げてきた社会的信用は一瞬で失われます。そのため、社内教育や行動規範の策定、相談窓口の設置などの具体的な施策を通してコンプライアンスを徹底することは、企業が社会的信用を維持・向上するための重要な課題です。
ガバナンスは「企業統治」を意味し、企業経営の統制と監視機能を強化する取り組みを指します。これはすべてのステークホルダーの利益を守るためのもので、リスクマネジメントもその一環です。ガバナンスの強化は、コンプライアンスの実現にも直結します。つまり、ガバナンスとは企業がコンプライアンスを守りつつ持続可能な成長を遂げるための管理体制を構築する理念です。
内部統制は、コンプライアンスやガバナンスを達成するための一手段として位置づけられます。前述の通り、コンプライアンスはガバナンスの中に含まれています。そして、ガバナンスの目的である「企業経営の統制と監視機能を強化する」ために内部統制を構築・整備するという関係です。
内部統制が必要な企業
内部統制は原則としてどの企業も取り組んだ方がよいものですが、特に必要とされる企業の条件としては、
- 上場している企業・上場を検討している企業
- 取締役会を設置している大企業
- 組織改善を行いたい企業
が挙げられます。
上場している企業・上場を検討している企業
上場企業は金融商品取引法第24条に基づき、内部統制報告書の提出が必須です。内部統制報告書とは簡単に言うと、有価証券報告書の適正さを担保するだけの信頼できる組織体制が整備されていることを示す書類を指します。
金融商品取引法における内部統制は、財務報告の信頼性を確保することに焦点が当てられています。ただし、財務的な信頼性を維持・向上するためには、ミスや不正を防ぐルールや業務体系の整備、情報の透明性の確保、監査の実施など、さまざまな目的に通じる取り組みが必要です。
上場を検討している企業においても、上場準備段階から内部統制の整備が求められます。これは、上場審査の対象項目に内部統制が含まれていることや、上場後には内部統制報告書の提出が必要となることが理由です。
参照元:e-Gov|金融商品取引法
取締役会を設置している大企業
取締役会を設置している大会社も、内部統制を整備しなければいけません。これは会社法第362条に基づいて、取締役会に課せられている義務です。会社法での内部統制は、取締役の職務や株式会社およびグループ会社の業務が法令や定款に従った適正なものであることを確保するための体制を指し、先述した金融商品取引法の定義とは異なります。なお、ここでいう大会社とは5億円以上の資本金、あるいは200億円以上の負債を有する株式会社を意味します。
参照元:e-Gov|会社法
組織改善を行いたい企業
上記の条件に当てはまらない企業には内部統制の報告義務はありません。しかし、内部統制を構築・運用することで、企業の信頼性向上や組織の強化といった多くのメリットを享受できます。内部統制は、経営の透明性を高め、不正行為の防止やリスク管理の強化を図る上で不可欠です。そのため、上記の条件に該当しなくても、組織改善を行いたい企業は内部統制の導入を積極的に進めることをおすすめします。
内部統制の4つの目的
内部統制を理解する上で欠かせないのが、内部統制の目的を知ることです。金融庁の定義に従うと、内部統制の目的は以下の4つがあります。
- 業務の有効性及び効率性
- 報告の信頼性
- 事業活動に係る法令等の遵守
- 資産の保全
1. 業務の有効性及び効率性
業務の有効性及び効率性とは、企業が持つ経営資源(時間、人、モノ、コスト)を最大限に活用し、無駄を排除することを指します。内部統制を強化することで、業務プロセスの非効率性やリスクを軽減し、迅速な情報共有を促進可能です。これにより、企業のリソースが合理的に配分され、業務効率や生産性が向上します。結果として、経営目標に向けた事業活動をより効果的に行えるようになります。
2. 報告の信頼性
企業の財務情報やその他の重要な報告書の信頼性を確保することも内部統制の目的です。元々は「財務報告の信頼性」と定義されていましたが、2023年4月に「報告の信頼性」へと改訂され、より広範な領域での信頼性が求められるようになりました。不正確な報告や虚偽の報告をすることは、法律に抵触するだけでなく、投資家などの利害関係者に損害を与え、自社の社会的信用を損なう原因になります。そのため、内部統制の一環として、報告の正確性と信頼性を確保することは非常に重要です。
参照元:金融庁|財務報告に係る内部統制の評価及び監査の基準(抄) 新旧対照表
3. 事業活動に係る法令等の遵守
内部統制の目的の中でも特に重視すべきなのが、この「事業活動に係る法令等の遵守」です。近年では企業の不祥事が相次ぎ、各方面でコンプライアンスの強化が叫ばれています。コンプライアンス強化によって企業価値と社会的信用を維持・向上することは、現代社会を生きる企業にとって重要な経営課題のひとつです。そして、コンプライアンス強化を実施するための重要な手段として内部統制があります。
4. 資産の保全
事業活動の源泉となる資産は、正当な手段で取得・運用されることが必要です。ここでの資産とは、現金や設備、商品などの有形資産だけでなく、人材や知的財産、顧客情報などの無形資産も含まれます。これらの資産が不正に利用されるリスクを最小限に抑え、資産の取得・運用・処分が正当な手続きと承認のもとで行われるようにするのも内部統制の目的です。
以上が内部統制の4つの目的です。各目的は相互に関係しているので、ある目的に取り組むことが他の目的の達成につながることもあります。
内部統制を構成する6つの要素
次に、先に挙げた内部統制の4つの目的を達成するために必要な6つの要素について解説します。その6つの要素とは以下の通りです。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
1. 統制環境
統制環境とは、組織全体が内部統制の重要さをしっかり認識している状態を指します。ここでは組織のもつ誠実さや倫理観、企業理念、経営方針などが問われます。強力な内部統制を実現するには、社内ルールの策定やその徹底した遵守によって初めて健全な事業運営が可能になることを、経営者やすべての従業員が認識することが不可欠です。どれほどシステムや手続きを整備しても、統制環境が整っていなければ高い効果は期待できません。そのため、統制環境は内部統制を実現するための基盤として位置づけられます。
2. リスクの評価と対応
リスクの評価と対応は、内部統制における4つの目的の達成を阻害するリスクについて調査・分析し、排除することを指します。内部統制を実現するには、自社に存在するリスクを認識し、回避・低減・移転・受容などの対応策を講じることが必要です。例えば、情報漏洩を防ぐには、どのような原因によって情報漏洩が起こるのかを分析し、社内教育を行ったり、セキュリティソフトを導入したりといった対応を行うことが求められます。このように、内部統制はリスクマネジメントの要素を含みます。
3. 統制活動
統制活動は、経営者の命令や指示に実行性をもたせるための行為や仕組みのことです。具体例としては、職責や権限の付与、職務の分掌、社内のルールやマニュアルの整備などが挙げられます。例えば、大きな支出を要する場合に社内稟議を通すのは、従業員個人が資金を不正に使いこむのを防止するための統制活動に当たります。日常業務で行われる社内手続きの多くは、この統制活動に該当します。これにより、経営者の方針に基づき、業務が適切に遂行される体制を確保可能です。
4. 情報と伝達
情報と伝達は、内部統制や業務遂行などに必要な情報がしっかり管理され、必要なタイミングで必要な関係者に届くようにすることを指します。関係者の誤解が生じないように正確に情報が伝達されること、そしてその情報を必要とするすべての関係者へ漏れなく共有されることが重要です。ここでいう関係者とは、従業員など社内の人間だけでなく、投資家や監督機関など外部の関係者も含まれます。適切かつ効率的に情報の伝達を行うには、メールやチャットツールなどのコミュニケーションツールを活用することも重要です。
5. モニタリング
モニタリングとは、内部統制が有効に働いているか監視することです。その方法は、大まかに「日常的モニタリング」と「独立的評価」の2つに分類されます。日常的モニタリングとは、内部統制の有効性を日々の業務の中でチェックすることを指します。他方で、経営者や取締役会、監査役、内部監査などが定期的に行うチェックが独立的評価です。これらのモニタリングを通して、内部統制の実態を常に監視し、評価や見直しができる体制を確保できます。
6. ITへの対応
ITへの対応とは、事業活動に欠かせないITを正しく導入・整備することを指します。迅速な情報伝達、履歴(ログ)の調査、各種手順(作業・承認・調査など)のマニュアル化など、内部統制の有効性を確保するにはIT活用が欠かせません。逆に言えば、IT環境が不適切な状態だと、システム障害による業務の停止や情報漏洩などの重大なリスクを常に抱えることになります。そのため、内部統制を維持・強化するには、IT環境の整備とサイバーセキュリティ対策が不可欠です。
内部統制におけるそれぞれの役割
先に述べたように、内部統制を正しく実施するためには、経営者を含め関係者全員がそれぞれの役割を理解し、その役割に応じた適切な行動を取ることが肝要です。以下では、内部統制の実施において、関係者がそれぞれどのような役割を担うのかを解説します。
経営者
経営者は企業の最高責任者として、取締役会が決定した基本方針に基づいて内部統制を整備・運用する役割を担います。その具体的手段として、組織を通じて内部統制の整備及び運用(モニタリング)を実施します。
取締役会
取締役会の役割は、内部統制の整備・運用にかかわる基本方針を決定することです。取締役会には、経営者が行う内部統制の整備・運用に対する監督責任もあります。
監査役または監査委員会
監査役または監査委員会の役割は、独立した立場から取締役や執行役の職務執行を監査することです。その一環として、内部統制の整備・運用状況を監視、検証します。
内部監査人
内部監査人の役割は、内部統制の整備・運用状況をモニタリングすることです。内部統制をより効果的に機能させるために、現状に問題がないか評価検討し、必要に応じて改善を提起します。
その他の従業員
内部統制は職階や正規/非正規問わず、すべての従業員が意識しなければいけません。したがって、上記以外の従業員も、自らの業務や権限・責任の範囲内で有効な内部統制の整備・運用に尽力する責任と役割を担っています。
内部統制に注力するメリット
「内部統制に取り組むのは時間も労力もかかりそう」と感じた方もいるかもしれません。そういった場合でも、内部統制に注力するメリットを知れば、その重要性を理解できるでしょう。それでは、内部統制に取り組むことで、企業や従業員にとって具体的にどのような影響があるのでしょうか。主なメリットとしては、
- 企業価値の向上や信頼性の確保
- 企業の持続的な成長
- 財務強化
の3つが挙げられます。
企業価値の向上や信頼性の確保
内部統制を強化し、企業統制が取れていることで、対外的な信頼を向上させることが可能です。企業統制が取れていないと、内部での不正や不祥事発生のリスクが高まり、万が一問題が発生してしまった際には取り返しのつかない事態になりかねません。また、対外的な信頼を得られると、優良企業としての認知度が高まり、企業価値が向上します。企業価値の向上や信頼性の確保は、取引にも好影響を与え、企業の中長期的な発展や競争力の確立なども期待できます。
企業の持続的な成長
内部統制の取り組みによって企業経営が円滑に進めば、収益力の向上にもつながります。増えた利益を従業員へ還元すれば、モチベーションアップも可能です。そして、従業員の意欲が高まり生産性が上がれば、また収益力の向上につながるという好循環をもたらします。さらに、採用活動を強化できることで優秀な人材を確保し、新規事業への投資など、中長期的な成長を見込んだ強固な組織体制を構築できます。そのため、企業の持続的な成長には、内部統制の取り組みが効果的です。
財務強化
内部統制によって企業価値が高まり、優良企業としての認知度が上がると、金融機関や投資家からの信頼も向上します。それによって、出資や融資を受けやすくなれば、財務力の強化が実現可能です。内部統制により財務状況の可視化もできるので、財務状況を正しく理解したうえで適切な経営判断ができ、財務状態の安定も期待できます。
内部統制構築の流れ
内部統制を効果的に構築するためには、計画的に手順を踏んでいくことが重要です。ここでは、内部統制を構築する際の基本的な流れを解説します。
1. 内部統制の方針・目標を策定する
最初に着手すべきは、内部統制の方針や目標を明確化することです。これらは内部統制の具体的な仕組みを構築するための指針になるため、以降のプロセスにも大きな影響を与えます。
大会社の場合、内部統制を構築する際の基本方針は取締役会で決定されます。大会社は会社法によって基本方針の策定とその開示が義務付けられているので、この法律に基づいて基本方針を策定することが必要です。
経営者は策定した方針を実際に守れるように、全社レベル・部署レベル・業務レベルなど、階層別・領域別に計画を立てます。これらの単位別に責任者を配置し、評価範囲や管理体制、スケジュールなどを決めていく形です。
2. 自社の現状(リスク)を把握する
続いては、現状の事業や業務内容におけるリスクの特定・把握に努めます。各部署や業務単位で、既存の規定や業務フロー、慣習などを調査・リストアップし、現状の内部統制がどうなっているか徹底的に洗い出すことが重要です。
この際には、「業務プロセスをフローチャートで可視化する」「業務記述書で業務内容を詳述する」「リスクコントロールマトリックスで各業務のリスクとその対策を把握する」など、複数の方法を併用するのがおすすめです。このプロセスで自社の目標達成を阻害するリスクとその対策を明確にすることで、内部統制で必要となるルールや仕組みを構築することが可能になります。
3. 策定した統制内容を運用・評価する
策定した統制内容をルール化したら、周知徹底した上で運用を行います。統制内容については、コストや業務負担などとの兼ね合いも考慮することが重要です。内部統制の効率化を図るために、ITツールを活用することも検討しましょう。
内部統制の運用状況は適宜記録し、モニタリングの根拠資料として使用します。モニタリングは、先述した「日常的モニタリング」と「独立的評価」の両方を実施するようにしましょう。分野別に責任者のもとで統制の有用性や効率性を評価し、計画通りに内部統制が機能しているか確認します。
4. 分析・改善を行う
モニタリングで内部統制の運用状況を確認・評価したら、次はそこで発見された問題の原因や解決策を分析し、改善を行います。この評価・改善のサイクルを継続的に繰り返していくことで、内部統制の有効性を維持・向上することが可能です。
ルールや仕組みの追加・修正をしたら、関連資料の変更も忘れないようにしましょう。特に、内部統制報告書の提出が必要な企業は、報告までに問題を解決することが重要です。
5. 上場企業・大企業は報告を行う
上場企業の場合は、内部統制報告書の作成を行うことも必要です。先述のように、上場企業は、金融商品取引法に基づいて、内部統制報告書を提出することが義務付けられています。また、報告の信頼性を確保するために、監査を受けることも必要です。内部統制報告書を作成する上で押さえておきたい内部統制報告制度(J-SOX)の概要については後述します。
内部統制報告制度 (J-SOX) と3点セットについて
上述のように、上場企業は内部統制の構築・報告が義務付けられています。それを定めたのが、内部統制報告制度(J-SOX)です。ここでは、J-SOXの概要と、内部統制報告書のフォーマットとして利用されることの多い3点セットについて解説します。
J-SOXとは
J-SOXとは、財務報告書の信頼性を確保することを目的に、上場企業へ内部統制報告書の提出を義務付ける制度です。アメリカのSOX法を参考に日本版として導入されたため、J-SOXと呼ばれています。2006年に金融商品取引法が成立した際に規定され、2008年度から適用されています。対象は金融証券取引所に上場しているすべての企業です。関連会社や子会社も含まれます。
J-SOXでは、先述した4つの目的のうち、特に「報告の信頼性」にフォーカスして、6つの要素の視点からその有効性を評価します。評価は経営者が行い、監査法人がその内容を監査する形です。具体的には、「全社的な内部統制(全社統制)」「決算・財務報告プロセスに関する内部統制」「業務プロセスに関する内部統制」「ITを利用した内部統制」の4つの観点から評価が行われます。
3点セットとは
J-SOXの報告書作成において、一般的に使用されるフォーマットが「3点セット」と呼ばれるものです。この3点セットの具体的内容は以下の通りです。
- 業務記述書
業務記述書は、業務内容や実施者、利用システムなど、その業務に関連する情報を詳述した文書を指します。業務の全体像を把握し、管理方針や職務分掌を明確にするために作成される書類です。 - フローチャート
フローチャートは、業務プロセスを図式化したもので、部署や部門ごとの作業の流れを視覚的にわかりやすく示せるのが特徴です。これにより、業務過程の全体像や内部統制上のリスクを把握しやすくなります。 - リスクコントロールマトリックス
リスクコントロールマトリックス(RCM)は、業務上のリスクとそのリスクの管理方法を明確にした表です。各業務のリスクを評価し、それに対する内部統制の対応策を明記します。
これらの3点セットを活用することで、企業は内部統制の実効性を明示し、財務報告の信頼性を確保できます。
内部統制の強化に役立つシステム
内部統制を強化するには、ITシステムの活用が効果的です。ここでは内部統制の強化に役立つ代表的なシステムとして、ワークフローシステムとERPを紹介します。
ワークフローシステム
ワークフローシステムとは、これまで紙でやり取りしていて管理しにくかった業務を定型化・電子化できるシステムです。このワークフローシステムを利用することで、業務内容や進捗状況の可視化、タスクの一括管理、申請や承認ログの記録、改ざんや不正の防止などが実現でき、内部統制を強化できます。
従来のように紙の書類では、入力ミスや改ざんなどが容易でした。ワークフローシステムでは入力を定形化でき、ログも残るため、こういった人為的問題の解決が可能です。また、書類作成を効率化・自動化し、ミスを減らすことが可能になれば、内部監査もスムーズに実施できます。
ERP(企業資源計画)
ERPとは「Enterprise Resources Planning」の略で、企業資源計画を指します。経営に必要な「ヒト・モノ・カネ・情報」等のリソースを一元管理することで、企業全体の状態をリアルタイムで把握できます。データを一元管理できれば、重複処理といったミスの回避や、従業員による情報流出を防げるメリットがあります。
EPRにはさまざまな導入形態があり、「統合型ERP」「コンポーネント型ERP」「アプリケーション型ERP」「業務ソフト型ERP」などが存在します。統合型ERPは、すべての基幹業務をカバーしているオールインワンタイプです。全基幹業務を一元管理したい企業におすすめです。コンポーネント型EPRは、必要な基幹業務だけを統合できるEPRで、必要に応じて追加や拡張が可能です。まずは少しずつ展開していきたいという企業におすすめです。アプリケーション型EPRは、基幹業務以外の機能やアプリもカスタマイズできるので、独自のEPRを使用したい企業に適しています。業務ソフト型EPRは、ひとつの基幹業務に特化して使用でき、低価格での導入が可能です。
まとめ
内部統制とは、組織がコンプライアンスやガバナンスを達成できるように、社内のルールや仕組みを整備することです。強化することで業務効率化や不正・リスクの防止など、さまざまなメリットを企業にもたらすので、法律で義務化されている上場企業や大会社以外の企業も取り組む意義は大いにあります。
内部統制を効率的に構築したい場合は、ワークフローシステムやERPシステムの導入がおすすめです。Oracleでは、企業のバックオフィス業務や財務会計をクラウドで提供する「NetSuite ERP」をはじめ、成長企業を支えるさまざまなERPシステムを提供しています。内部統制の構築に際しては、ぜひ導入をご検討ください。
- カテゴリ:
- ガバナンス/リスク管理
