企業には理念やビジョンといった事業活動の目的があり、そのゴールへと到達するためには、いかに組織を効率的に運営していくかが問われます。そこで重要となるのが、経営体制や社内ルールを整備する「内部統制」です。本記事では、内部統制の概要について詳しく解説するとともに、重要なポイントやおすすめのソリューションをご紹介します。
内部統制とは
「内部統制」とは、企業理念や経営ビジョンの実現を目的として、組織内のルールや仕組みを整備する施策を指します。企業とは、製品やサービスの開発・販売を通じて社会に価値を提供し、その対価として利益を得て発展する組織です。そして、企業が発展し続けるためには、経営陣から従業員に至るまで、組織に関わるすべての人間が理念やビジョンを共有し、同じ方向に進む必要があります。組織内の全従業員が守るべきルールや仕組みを策定し、遵守する体制を整備するのが、内部統制の役割です。
金融庁が定義する内部統制の目的
金融庁では内部統制の枠組みを明確に定義しており、以下の4つを目指すべき目的に掲げています。
金融庁が定義する内部統制における4つの目的
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
「業務の有効性及び効率性」は、効率的かつ効果的な業務プロセスを確立し、事業活動における生産性を高めることが目的です。「財務報告の信頼性」は透明性のある経営体制の構築を指し、「事業活動に関わる法令等の遵守」は法令・ルールを遵守するコンプライアンスの確立を目的とします。そして「資産の保全」は、有形資産・無形資産の運用における仕組みを整備し保全するための施策です。
これら4つの目的は、独立して存在するものではなく、それぞれが密接に関わり合っています。どれか1つにリソースを集中するのではなく、それぞれの目的を実現するために、組織内のルールや仕組みを整備・運用していかなくてはなりません。事業活動の目的達成へ向けて内部統制を整備するとともに、さまざまなリスクを分析・評価し、いかにしてルールや仕組みを遵守する体制を構築するかが重要な課題となるでしょう。
GRCが注目される
内部統制を整備するうえで注目を集めているのが、「GRC」と呼ばれる概念です。これは、企業自身が経営体制を統制する「Governance」、リスク管理を意味する「Risk」、法令やルールを遵守する「Compliance」の3要素を複合的かつ効率的にマネジメントする手法を指します。そして、これら3つの要素を全社的に管理し、経営上におけるさまざまなリスクを軽減することがGRCの目的です。
GRC
- Governance(企業自身による経営体制の統制)
- Risk(事業活動におけるリスク管理)
- Compliance(法令やルールの遵守)
近年、市場のグローバル化やM&Aの増加といった社会的背景も相まって、GRCは非常に大きな注目を集めています。たとえば、海外現地法人の設立や経営統合が実施される際は、データやファイルの統廃合における厳格なルールと、明確なセキュリティポリシーが不可欠です。そして、あらゆるリスクを想定したデータの運用・管理における仕組みを構築し、それを遵守する環境を整備しなくてはなりません。
こうしたルールや仕組みを欠いては、さまざまなデータやファイルが散在してしまい、セキュリティや業務効率の大幅な低下を招きます。このような事態を防ぐためには、ガバナンス・リスク・コンプライアンスに基づき、データの運用体制を統制しなくてはなりません。つまりGRCは、企業の内部統制を整備するうえで指標となる概念といえます。
内部統制の6つのポイント
先述したように、金融庁では「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関わる法令等の遵守」「資産の保全」の4つを内部統制の目的として掲げています。そして、これら4つの目的を達成するために不可欠な6要素として、「統制環境」「リスク評価・対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」を挙げています。ここからは、内部統制の整備に欠かせない6つのポイントについて、順番に解説していきます。
統制環境
「統制環境」とは、策定された社内ルールを遵守するための環境づくりを指します。どれだけ優れた仕組みやルールを策定しても、従業員にそれを遵守する意識や姿勢がなければ意味を成しません。また、企業は経営者の意向が強く反映される組織のため、トップの意識や姿勢はより重要です。内部統制を機能させるためには、組織に関わるすべての人間がルールや仕組みを遵守するよう、社風を育てる必要があるでしょう。
リスク評価・対応
「リスク評価・対応」は、事業活動において障害となるリスクマネジメントを実施するフェーズです。企業経営にはさまざまなリスクが存在します。たとえば、市場ニーズの急激な変化やそれに伴う売上高の減少、情報漏洩インシデントや顧客企業の倒産、あるいは労働災害や自然災害など、事業活動を行ううえでこれらのリスクは付き物です。そのため、潜在的・顕在的リスクをあらゆる角度から想定し、分析・評価によって発見された危険性を最小限に抑える施策を講じることが重要です。
統制活動
「統制活動」とは経営者の指示や命令、あるいは整備されたルールや仕組みが、確実に実行されるための方針や手続きを指します。つまり、先述した統制環境を整備するための具体的な取り組みを実行することです。たとえば、職務分掌を規定したり、ITシステムへのアクセス権限を設定したりするなど、内部統制を実現するために必要となる具体的な施策を実施していきます。
情報と伝達
「情報と伝達」は、具体的なルールや仕組みを組織全体で共有するプロセスを指します。内部統制を整備するためには、必要な情報を正確かつ確実に伝える手段が必要です。そのため、いかにして部門を横断した情報共有を実現するかがカギとなるでしょう。また、内部統制の文脈では、自社で定めた方針やルールに関して、社内はもちろん社外にも適切に伝える仕組みの整備が重要です。
モニタリング
「モニタリング」とは、内部統制が機能しているかを監査するプロセスです。内部統制の仕組みは一度作成して終わりではなく、構築したルールが正常に機能しているかを継続的に評価し、適宜改善していく必要があります。そこで実施されるのがモニタリングです。このプロセスでは、日常業務の過程で行われる「日常的モニタリング」と、取締役や監査部門が行う「独立評価」という2つの手法によって、内部統制の有効性を確認します。
ITへの対応
「ITへの対応」は、事業活動の目的を達成するために必要な戦略を定め、実施における組織内外のIT環境を整備するプロセスです。そしてIT環境への対応や、ITシステムの活用に関するルールを整備し統制します。
とくに、企業の基幹業務を統合管理するERPシステムの内部統制は、優先的に取り組むべき課題のひとつです。ERPシステムには顧客情報や人事情報などの機密データが管理されているため、GRCに基づく内部統制の整備が欠かせません。よって、ITにおける内部統制を整備するためには、GRCを最適化するソリューションの導入が必要でしょう。
SAPのGRCソリューションで自社のガバナンス強化
内部統制を整備するためには、さまざまな手続きやルールの構築が必要であり、決して簡単に実現できるものではありません。そこでおすすめしたいのが、SAP社が提供するGRCソリューションの導入です。SAP社はERPシステムのリーディングカンパニーであり、自社の統合基幹システムに同社のソリューションを利用している企業も多いでしょう。
SAP社のGRCソリューションは、リスク対応・データ保護・国際取引管理・アクセスガバナンスといった分野を強化し、企業の透明性と安全性の確保に寄与します。たとえば、ビッグデータ分析やAI技術を活用して不正取引を事前予測したり、マルウェアや不正アクセスといったサイバー攻撃を自動検知したりできるなど、コーポレートガバナンスの包括的な支援が可能です。SAP社のGRCソリューションに関する詳しい情報を知りたい方は、下記URLをご覧ください。
参考:SAP|ガバナンス、リスク、コンプライアンス (GRC) とサイバーセキュリティ
まとめ
企業が健全な成長と発展を通して社会貢献するためには、整備された内部統制が不可欠です。内部統制の整備は煩雑な手続きが多く、ルールを遵守する仕組みも必要なため、一朝一夕で実現できるものではありません。しかし中長期的な視点で見れば、事業活動の透明性や安全性を確保し、業務効率と生産性の向上につながるはずです。
自社の内部統制を最適化するためにも、SAP社のGRCソリューションの導入を検討してみてはいかがでしょうか。その際は、併せてリアルテックジャパン株式会社が提供する導入支援サービスの利用をおすすめします。SAP関連のソフトウェアプロバイダとして、さまざまなサービスを提供している企業です。
- カテゴリ: GRC
- キーワード:GRC