「内部統制という言葉をよく聞くが、具体的に何をすればいいのか分からない」「自社が対象企業なのか、どのように構築を進めればよいのか知りたい」と悩んでいませんか。内部統制とは、企業の事業目的を達成し、不祥事を防ぐために組織内部で構築・運用されるルールや仕組みのことです。本記事では、内部統制の基礎知識から、目的や構成要素、J-SOX(内部統制報告制度)への対応、具体的な構築手順までをわかりやすく解説します。
この記事で分かること
- 内部統制の基本的な定義と4つの目的・6つの構成要素
- 金融商品取引法や会社法など関連する法律と対象企業
- 内部統制を構築・運用するための具体的な4つのステップ
- 内部統制報告書の作成方法と重要なポイント
- コーポレートガバナンスや内部監査との違い
この記事を読むことで、自社に必要な内部統制の全体像を把握し、効率的かつ適切な体制構築に向けた具体的なアクションを踏み出せるようになります。
内部統制とは?基礎知識と重要性
「内部統制」と聞くと、何か難しいルールや手続きをイメージされるかもしれません。しかし、その本質は企業が自らの目標を達成し、持続的に成長していくために不可欠な社内の仕組みのことです。健全な企業活動は、従業員一人ひとりの日々の業務の積み重ねによって成り立っています。内部統制は、その業務が効率的かつ適正に行われるための羅針盤であり、組織全体を守る防波堤の役割を果たします。
この記事の冒頭となる本章では、まず内部統制の基本的な定義とその重要性について解説し、なぜ現代の企業経営においてこれほどまでに内部統制が求められているのか、その社会的背景を掘り下げていきます。
内部統制の定義
内部統制の定義について、金融庁は「財務報告に係る内部統制の評価及び監査の基準」の中で、4つの目的と6つの基本的要素から構成されるプロセスであると示しています。噛み砕いて言えば、企業の健全な経営目標の達成を支えるための、組織内部のルールや仕組みであり、経営者から従業員まで、組織内のすべての人によって遂行されるものです。
では、なぜこの内部統制が重要なのでしょうか。その理由は、企業を取り巻く様々なリスクから組織を守り、持続的な成長を促す基盤となるからです。具体的には、以下のような点が挙げられます。
- 不祥事の防止:粉飾決算や情報漏洩、資産の不正利用といった企業価値を大きく損なう不正行為やミスを未然に防ぎます。
- 業務の効率化:業務プロセスが可視化・標準化されることで、無駄な手続きが削減され、生産性の向上が期待できます。
- 社会的信用の獲得:適切な内部統制が整備・運用されていることは、株主や投資家、取引先といったステークホルダーからの信頼を高める上で極めて重要です。
- 法令遵守(コンプライアンス)の徹底:事業活動に関わる法律や規則を遵守する体制を構築し、法的リスクを低減します。
これらの効果は相互に関連しあっており、内部統制の強化は、単なる「守り」の施策ではなく、企業価値向上に直結する「攻め」の経営戦略であると言えます。
なぜ内部統制が求められるのか?社会的背景と現代の課題
内部統制がこれほどまでに重要視されるようになった背景には、国内外で発生した大規模な企業不祥事が大きく影響しています。
2000年代初頭、米国で発覚したエンロン社の巨額粉飾決算事件やワールドコム社の不正会計事件は、多くの投資家に甚大な被害を与え、市場の信頼を大きく揺るがしました。これらの事件を契機に、米国では2002年に企業の財務報告における内部統制の有効性を経営者が評価し、外部監査人による監査を受けることを義務付けた「SOX法(サーベンス・オクスリー法)」が成立しました。
日本においても、西武鉄道の有価証券報告書虚偽記載事件や、カネボウ、ライブドアの粉飾決算事件などが相次いで発生し、社会問題となりました。このような状況を受け、投資家保護と資本市場の信頼性確保を目的として、金融商品取引法の中に内部統制報告制度、通称「J-SOX」が導入され、2008年4月1日から適用されています。これにより、上場企業は事業年度ごとに内部統制報告書を提出することが義務付けられました。
さらに、現代においては下表のとおり、環境変化も内部統制の重要性を一層高めています。
| 現代的な背景 | 内部統制が求められる理由 |
|---|---|
| グローバル化と経営の複雑化 | 海外子会社での不正会計や管理体制の不備といったリスクが増大しており、グループ全体での統一されたガバナンス体制の構築が不可欠です。 |
| DXの進展とITリスクの増大 | 業務のITへの依存度が高まる一方で、サイバー攻撃や情報漏洩のリスクも深刻化しています。IT統制の整備は喫緊の課題です。 |
| ESG経営への関心の高まり | 投資家が企業の非財務情報(環境・社会・ガバナンス)を重視する傾向が強まっています。内部統制は、この「G(ガバナンス)」の中核をなす要素であり、企業の持続可能性を示す重要な指標となっています。 |
このように、内部統制は過去の教訓から生まれた制度であると同時に、変化し続ける現代社会において企業が健全に成長を続けるために不可欠な経営の根幹と言えるのです。
内部統制を構成する「4つの目的」と「6つの基本的要素」
企業の健全な成長を支える内部統制は、一体どのような全体像で成り立っているのでしょうか。一見複雑に感じるかもしれませんが、その構造は金融庁が公表する財務報告に係る内部統制の評価及び監査の基準で示されている「4つの目的」と「6つの基本的要素」を理解することで、明確に捉えることができます。
これらは内部統制という大きな仕組みを動かすための車の両輪であり、両方が揃って初めて適切に機能します。ここでは、その目的と要素を一つひとつ詳しく解説していきます。
内部統制が目指す4つの目的
内部統制は、達成すべき4つの目的が明確に定められています。これらの目的はそれぞれ独立しているように見えますが、実際には相互に深く関連し合っており、どれか一つが欠けても企業の健全な運営は成り立ちません。例えば、法令を遵守していなければ財務報告の信頼性は揺らぎ、業務の効率性も最終的には損なわれてしまいます。
内部統制が目指す4つの目的は下表のとおりです。
| 目的 | 概要 |
|---|---|
| 業務の有効性及び効率性 | 事業活動の目的を達成するため、ヒト・モノ・カネ・情報といった経営資源を無駄なく活用し、業務の効果と効率を高めること。 |
| 財務報告の信頼性 | 株主や投資家、取引先などの利害関係者が適切な判断を下せるよう、財務諸表や開示情報に虚偽や誤りがない状態を確保すること。 |
| 事業活動に関わる法令等の遵守 | 会社法や金融商品取引法、各種業法、社会規範などを守り、コンプライアンスを徹底すること。 |
| 資産の保全 | 現金や商品などの有形資産、顧客情報や知的財産などの無形資産を、不正な取得、使用、処分から守ること。 |
業務の有効性及び効率性
一つ目の目的は、事業活動における「業務の有効性及び効率性」の向上です。これは、企業が目標を達成するために、時間、人材、コストなどの資源を最大限に活用し、無駄をなくすことを目指します。
具体的には、以下のような取り組みが挙げられます。
- 業務プロセスの見直しによるリードタイムの短縮
- RPA(Robotic Process Automation)の導入による定型業務の自動化
- 従業員のスキルアップ研修による生産性向上
これらの取り組みにより、企業は競争力を高め、持続的な成長を実現できます。
財務報告の信頼性
二つ目の目的は、「財務報告の信頼性」の確保です。これは、企業の財務状況や経営成績を示す財務諸表(貸借対照表や損益計算書など)が、事実に基づいて正確に作成され、投資家や金融機関などのステークホルダーに適切に開示されることを保証するものです。
粉飾決算や不適切な会計処理は、投資家の判断を誤らせ、市場全体の信頼を損なう深刻な問題です。J-SOX(内部統制報告制度)が特にこの目的を重視していることからも、その重要性がわかります。
事業活動に関わる法令等の遵守
三つ目の目的は、「事業活動に関わる法令等の遵守」、すなわちコンプライアンスの徹底です。企業活動は、会社法、金融商品取引法、労働法、個人情報保護法など、様々な法律や規制のもとで行われます。
これらの法令を遵守することは、企業の社会的責任であり、信頼の基盤です。例えば、製造業における品質管理基準の遵守や、小売業における景品表示法の遵守などがこれにあたります。コンプライアンス違反は、行政処分や罰金だけでなく、企業のブランドイメージを大きく傷つけ、事業継続を困難にする可能性があります。
資産の保全
四つ目の目的は、「資産の保全」です。企業が保有する資産には、現金、預金、有価証券、棚卸資産といった有形資産だけでなく、知的財産権(特許権、著作権など)や顧客情報、技術ノウハウといった無形資産も含まれます。
これらを盗難、横領、不正使用、情報漏洩といった様々なリスクから守ることが、この目的の核心です。具体例としては、在庫管理システムによる実地棚卸の徹底、機密情報へのアクセス制限、従業員による資産の不正利用を防ぐための職務分掌などが挙げられます。
内部統制を機能させる6つの基本的要素
4つの目的を達成するためには、それらを支える具体的な仕組みが必要です。それが「6つの基本的要素」です。これらは、内部統制を機能させるための部品のようなものであり、一つでも欠けるとシステム全体がうまく作動しません。経営者は、これらの要素を自社の業務プロセスに適切に組み込み、運用していく責任があります。
統制環境
「統制環境」とは、組織の気風を決定し、従業員一人ひとりの内部統制に対する意識に影響を与える基盤のことです。他の5つの要素すべてに影響を及ぼす、最も重要な要素とされています。
例えば、経営者が誠実性や高い倫理観を示し、コンプライアンスを重視する姿勢を明確に打ち出すことは、従業員の行動規範となり、組織全体の健全な文化を醸成します。具体的には、企業理念や行動規範の策定と周知、取締役会や監査役による適切な監督機能、明確な組織構造と権限・職責の規定などが含まれます。
リスクの評価と対応
「リスクの評価と対応」とは、組織の目標達成を阻害する内外の要因(リスク)を識別・分析・評価し、そのリスクに対して適切な対応策を選択する一連のプロセスを指します。
市場の需要変動、競合他社の出現、技術革新、法改正、自然災害、さらには不正や人為的ミスなど、企業を取り巻くリスクは多岐にわたります。これらのリスクの発生可能性や影響度を評価し、「回避」「低減」「移転」「受容」といった対応方針を決定します。近年の改訂では、不正リスクへの対応の重要性が特に強調されています。
統制活動
「統制活動」とは、経営者の指示が適切に実行されることを確保するための方針や手続きのことです。これは、リスクへの対応策を具体的な業務プロセスに落とし込んだものと言えます。
最も分かりやすい例が「職務分掌」です。例えば、取引の承認者と実行者、記録者をそれぞれ別の担当者にすることで、相互牽制が働き、不正や誤謬の発生を防ぎます。その他にも、稟議規定に基づく承認手続き、予算と実績の比較分析、定期的な実地棚卸などが統制活動にあたります。
情報と伝達
「情報と伝達」は、組織が事業を遂行する上で必要な情報が識別・把握され、関係者に正確かつ迅速に伝達される仕組みを確保することを意味します。
情報は、組織の意思決定や業務遂行の生命線です。現場で発生したシステム障害の情報が速やかに経営層に伝わらなければ、適切な経営判断は下せません。この要素には、会計システムから生成される財務情報だけでなく、市場動向や顧客からのフィードバックといった非財務情報も含まれます。また、内部通報制度のように、不正や法令違反に関する情報が適切に伝達されるルートを確保することも重要です。
モニタリング(監視活動)
「モニタリング」とは、構築された内部統制が、意図した通りに有効に機能しているかを継続的に評価し、必要に応じて是正するプロセスです。モニタリングには、以下の2種類があります。
- 日常業務の中で行われる「日常的モニタリング」
- 業務から独立した視点で行われる「独立的評価」
前者の例としては、上司による部下の業務レビューや、システムによる自動的なエラーチェックが挙げられます。後者の代表例は、内部監査部門による定期的な内部監査です。これらの活動を通じて、内部統制の不備を早期に発見し、改善につなげることができます。
IT(情報技術)への対応
現代の企業活動においてITは不可欠であり、内部統制においても「ITへの対応」は極めて重要な要素です。これは、ITを有効に活用すること(ITの利用)と、ITに伴うリスクを適切に管理すること(ITの統制)の両側面を含みます。
例えば、会計システムやERP(統合基幹業務システム)を導入して業務を自動化・標準化することは「ITの利用」にあたります。一方で、システムへの不正アクセスを防ぐためのID・パスワード管理や、サイバー攻撃に備えたセキュリティ対策、データのバックアップなどは「ITの統制」の具体例です。
内部統制に関わる法律と対象企業
内部統制の整備は、企業の持続的な成長と社会的な信頼を得るために不可欠ですが、その要件は法律によって定められています。特に「会社法」と「金融商品取引法」という2つの法律が大きく関わってきます。一見すると同じように思えるかもしれませんが、それぞれの法律が求める内部統制には明確な違いがあります。ここでは、どのような企業が対象となるのか、そして日本版SOX法(J-SOX)とは何か、法律による違いはどこにあるのかを、一つひとつ丁寧に解説していきます。
内部統制の整備が義務付けられる企業
内部統制の整備義務は、すべての上場企業、そして「大会社」に該当する非上場企業に課せられています。なぜなら、これらの企業は社会的な影響力が大きく、株主や債権者をはじめとする多くの利害関係者を保護する必要性が高いためです。それぞれの根拠となる法律と対象企業を具体的に見ていきましょう。
もちろん、これらに該当しない中小企業であっても、内部統制を整備することは、業務の効率化、リスク管理の強化、企業の信頼性向上に繋がり、将来的な成長や上場を見据える上で非常に重要です。
J-SOX(内部統制報告制度)とは
J-SOX(ジェイソックス)とは、金融商品取引法に基づいて、上場企業に財務報告の信頼性を確保するための体制(内部統制)の構築と、その有効性を評価した「内部統制報告書」の提出を義務付ける制度のことです。2000年代初頭に米国で大規模な粉飾決算事件が相次いだことを受け、投資家保護を目的に「SOX法(サーベンス・オクスリー法)」が制定されました。J-SOXは、その日本版と位置づけられており、「日本版SOX法」とも呼ばれます。
この制度の核心は、企業が自らの手で財務報告プロセスの健全性を証明し、外部の監査法人によるチェックを受ける点にあります。具体的には、以下の対応が求められます。
- 経営者による評価:経営者が、自社の財務報告に係る内部統制が有効に機能しているかを評価します。
- 内部統制報告書の提出:評価結果を「内部統制報告書」としてまとめ、事業年度ごとに有価証券報告書とあわせて内閣総理大臣(金融庁)へ提出します。
- 監査法人による監査:提出された内部統制報告書が適正であるかについて、公認会計士または監査法人による監査証明を受ける必要があります。
J-SOXは、米国のSOX法を参考にしつつも、企業の負担を考慮していくつかの特徴があります。例えば、経営者自身が評価した結果を監査人がチェックする方式を採っており、監査人が直接評価を行う米国よりも効率的な仕組みとなっています。この制度により、財務報告の信頼性が担保され、投資家が安心して投資判断を行える市場環境の維持に繋がっています。
会社法と金融商品取引法における内部統制の違い
会社法と金融商品取引法(J-SOX)は、どちらも内部統制について定めていますが、その目的や対象範囲、求められる義務の内容には大きな違いがあります。では、具体的に何が違うのでしょうか?両者の違いを理解することは、自社に必要な内部統制を正しく整備する上で非常に重要です。
主な違いを下表のとおりまとめました。
| 項目 | 会社法に基づく内部統制 | 金融商品取引法に基づく内部統制(J-SOX) |
|---|---|---|
| 主な目的 | 業務の適正性の確保(株主・債権者保護、健全な企業経営) | 財務報告の信頼性の確保(投資家保護) |
| 対象企業 | 大会社である取締役会設置会社 | すべての上場企業 |
| 対象範囲 | 業務全般(財務報告、法令遵守、資産保全など広範) | 財務報告に係るプロセスに限定 |
| 義務の内容 | 内部統制システムの基本方針を取締役会で決定・開示 | 内部統制報告書の作成・提出、および外部監査 |
| 外部監査 | 不要 | 必須(公認会計士または監査法人による監査) |
| 罰則 | 直接的な罰則はないが、取締役の善管注意義務違反として損害賠償責任を問われる可能性がある | 刑事罰(懲役や罰金)が科される可能性がある |
このように、会社法が企業自身の健全な運営という「守りの側面」を重視するのに対し、金融商品取引法(J-SOX)は、市場や投資家からの信頼獲得という「社会的な責任」に重きを置いています。J-SOXが財務報告に特化して深掘りするのに対し、会社法の内部統制はより広く企業活動全般をカバーするイメージです。自社がどちらの法律の対象となるのか、あるいは両方の対象となるのかを正確に把握し、それぞれの要求事項を満たす体制を構築することが求められます。
内部統制の構築・運用に向けた4つのステップ
内部統制の目的や構成要素を理解した上で、次に取り組むべきは、その構築と運用です。定められたステップに沿って進めることで、着実に有効な内部統制を整備できます。ここでは、金融庁の示す実施基準にも準拠した、実践的な4つのステップを解説します。
評価範囲の決定
内部統制の構築・運用における最初のステップは、評価の対象となる範囲を明確に定めることです。企業のすべての事業活動を網羅的に評価するのは、多大な時間とコストを要し、現実的ではないからです。そのため、財務報告の信頼性に与える影響の大きさなどを考慮し、重要な事業拠点や業務プロセスを効率的かつ効果的に選定する必要があります。
評価範囲の選定は、一般的に以下の流れで行います。
- 全社的な内部統制の評価:特定の業務プロセスだけでなく、会社全体に影響を及ぼす統制(統制環境、リスクの評価など)が有効に機能しているかを評価します。これが良好であれば、その後の業務プロセスの評価範囲を限定することが可能になります。
- 評価対象とする事業拠点の選定:売上高などの財務的な指標を用いて、全社売上の一定割合(例えば、3分の2程度)に達するまでの事業拠点を選定します。
- 重要な業務プロセスの識別:選定した事業拠点において、財務報告の信頼性に重要な影響を及ぼす勘定科目に至る業務プロセス(例:売上、売掛金、棚卸資産など)を評価対象として識別します。
内部統制の文書化「3点セット」の作成
評価範囲が決定したら、次はその業務プロセスを可視化する文書化のフェーズに移ります。ここで中心となるのが、「フローチャート」「業務記述書」「リスクコントロールマトリックス(RCM)」の3点セットです。これらの文書を作成することで、業務の実態を客観的に把握し、潜在的なリスクとそれに対する統制活動(コントロール)を網羅的に洗い出すことが可能になります。
フローチャート
フローチャートは、業務の開始から終了までの一連の流れを、定められた記号を用いて視覚的に表現した図です。これにより、業務の全体像や各ステップの関連性、担当部署、システム間の連携などを直感的に理解できます。
作成にあたっては、以下の点を意識すると良いでしょう。
- JIS(日本産業規格)などで定められた標準的な記号を使用し、誰が見ても理解できるようにする。
- 「処理」「判断」「書類」「データの流れ」などを明確に区別する。
- 担当部署やシステムごとにスイムレーン(区分)を設け、責任の所在を明らかにする。
業務記述書
業務記述書は、フローチャートの内容を補完し、各業務プロセスの詳細を文章で具体的に記述する文書です。フローチャートが業務の「骨格」だとすれば、業務記述書は「肉付け」の役割を果たします。
具体的には、5W1H(いつ、どこで、誰が、何を、なぜ、どのように)を明確にしながら、業務の手順、担当者の役割、使用する帳票やシステム、承認ルールなどを詳細に記載します。
リスクコントロールマトリックス(RCM)
リスクコントロールマトリックス(RCM)は、内部統制の文書化における最も重要な成果物の一つです。これは、業務プロセスに潜むリスクと、そのリスクを低減するための統制活動(コントロール)を一覧表形式で対応付けたものです。RCMを作成することで、統制の網羅性や有効性を客観的に評価できます。
RCMは一般的に下表のとおりの項目で構成されます。表形式で整理することで、リスクとコントロールの関係性が一目でわかります。
| 業務プロセス | リスクの内容 | コントロールの内容 | コントロールの分類 | 関連するアサーション |
|---|---|---|---|---|
| 受注管理 | 架空の売上が計上されるリスク | 受注時に上長が承認し、承認記録を残す | 予防的コントロール | 実在性 |
| 請求処理 | 請求漏れや誤った金額での請求が発生するリスク | 出荷実績データと請求データをシステムで自動照合し、不一致リストを出力して担当者が確認する | 発見的コントロール | 網羅性、正確性 |
| 在庫管理 | 棚卸資産の数量が不正確になるリスク | 毎月、実地棚卸を行い、在庫管理システムのデータと照合・調整する | 発見的コントロール | 実在性、網羅性 |
内部統制の運用状況の評価とテスト
3点セットによって内部統制の設計が完了したら、次のステップは「その統制が設計通りに、かつ継続的に運用されているか」を評価することです。これを「運用状況の評価」または「運用テスト」と呼びます。設計が優れていても、現場でルールが守られていなければ内部統制は機能しません。
運用テストには、主に以下のような手法があります。
- ウォークスルー:特定の取引を1件選び、発生から会計処理、財務諸表に記録されるまでの一連の流れを追跡します。これにより、プロセスの全体像と統制の実施状況を実際に確認できます。
- サンプリングテスト:評価対象期間中の取引全体から、無作為に一定数のサンプルを抽出し、それぞれの取引で統制が適切に実施されているかを検証します。
- 問い合わせ・観察:業務担当者へのヒアリングや、実際の業務の様子を観察することで、統制が日常業務に組み込まれているかを確認します。
不備の是正と改善活動
内部統制の評価・テストの結果、統制が有効に機能していない箇所、すなわち「不備」が発見されることがあります。最後のステップは、発見された不備を分析し、是正措置を講じ、内部統制の仕組みを継続的に改善していくことです。不備を放置することは、不正や誤謬のリスクを高めるだけでなく、内部統制報告書において「重要な欠陥」として開示しなければならない可能性もあります。
不備の是正プロセスは、以下の流れで進めます。
- 不備の内容と原因の特定:なぜその不備が発生したのか、根本的な原因(例:マニュアルの不備、担当者の知識不足、システム上の制約など)を突き止めます。
- 是正措置の策定と実行:特定した原因を取り除くための具体的な改善策(例:業務プロセスの変更、マニュアルの改訂、従業員研修の実施、システムの改修など)を計画し、実行します。
- 是正措置の評価:改善策を実施した後、再度テストを行い、不備が確かに是正され、統制が有効に機能していることを確認します。
このように、内部統制は一度構築して終わりではなく、評価と改善のPDCAサイクルを回し続けることで、その有効性を維持・向上させていくことが不可欠です。なお、内部統制の評価と監査に関する詳細な基準については、金融庁が公表している「財務報告に係る内部統制の評価及び監査の基準」も参考にしてください。
内部統制報告書の作成と注意点
内部統制報告書は、企業の財務報告の信頼性を経営者自らが評価し、その結果を外部へ表明するための重要な書類です。金融商品取引法に基づき、上場企業など特定の企業には事業年度ごとの提出が義務付けられています。これは、投資家保護の観点から企業の透明性を高め、健全な資本市場を維持することを目的としています。一見すると作成が難しく感じるかもしれませんが、その構成とポイントを理解すれば、スムーズに進めることが可能です。この章では、報告書の具体的な記載事項から、作成時の注意点までを詳しく解説します。
内部統制報告書の主な記載事項
では、具体的にどのような項目を記載する必要があるのでしょうか。内部統制報告書は、金融庁が公表しているひな形に沿って作成するのが一般的です。主な記載事項は次の5つの項目に整理されます。下表のとおり、それぞれの内容を理解し、適切に情報を記載することが求められます。
| 記載項目 | 主な記載内容 |
|---|---|
| 1. 財務報告に係る内部統制の基本的枠組みに関する事項 | 経営者(代表者および最高財務責任者)が内部統制の整備・運用に責任を持つこと、評価にあたり準拠した基準(例:財務報告に係る内部統制の評価及び監査の基準)の名称、そして内部統制には限界があり、虚偽記載を完全に防止・発見できない可能性があることを記載します。 |
| 2. 評価の範囲、基準日及び評価手続に関する事項 | いつの時点(基準日)で評価したか、どのような手続きで評価したかの概要、そして評価の対象範囲(全社的な内部統制、決算・財務報告プロセス、重要な事業拠点など)とその決定方法について具体的に記載します。重要な事業拠点を選定する際に利用した指標などの判断事由も記載する必要があります。 |
| 3. 評価結果に関する事項 | 評価の結果、財務報告に係る内部統制が有効であったかどうかを結論として明確に表明します。もし「開示すべき重要な不備」があった場合は、その内容と是正方針も記載する必要があります。 |
| 4. 付記事項 | 評価の基準日後、報告書の提出日までに、内部統制の有効性の評価に重要な影響を及ぼす事象(後発事象)が発生した場合や、基準日時点であった重要な不備を期末後に是正した場合などに、その内容を記載します。前年度に開示すべき重要な不備があった場合の是正状況もここに記載します。該当する事項がなければその旨を記載します。 |
| 5. 特記事項 | その他、内部統制の評価に関して特に付け加えておくべき事項がある場合に記載します。通常、該当事項がなければ「該当事項はありません」と記載します。 |
詳細な様式については、金融庁が公開している内部統制報告書に係る様式を参考にすると良いでしょう。
報告書作成における重要なポイント
内部統制報告書を作成する上で、特に注意すべき点は何でしょうか。ここでは、信頼性の高い報告書を作成するための3つの重要なポイントを解説します。
客観的な証拠に基づく評価の実施
内部統制の評価は、担当者の主観ではなく、客観的な証拠に基づいて行わなければなりません。例えば、「承認手続きが適切に行われている」と評価するためには、承認印が押された稟議書や、システム上の承認ログといった証拠書類を保管しておく必要があります。評価の過程で作成した「3点セット(フローチャート、業務記述書、リスクコントロールマトリックス)」なども、評価の根拠を示す重要な資料となります。監査法人による内部統制監査でもこれらの証拠が検証されるため、整理して保管しておくことが不可欠です。
「開示すべき重要な不備」の適切な判断
評価の過程で内部統制の不備が発見された場合、それが「開示すべき重要な不備」に該当するかどうかを慎重に判断する必要があります。「開示すべき重要な不備」とは、財務報告に重要な影響を及ぼす可能性が高い不備を指し、金額的な影響の大きさと質的な影響の大きさの両面から判断されます。
- 金額的重要性:連結売上高や税引前利益の一定割合(例えば5パーセントなど)を超える影響があるか。
- 質的重要性:不正や法令違反に関連するもの、上場廃止基準に抵触する可能性があるものなど。
提出期限の厳守
内部統制報告書は、有価証券報告書とあわせて、事業年度経過後3か月以内に提出することが義務付けられています。提出が遅延すると、法令違反となり罰則の対象となる可能性があるため、計画的なスケジュール管理が極めて重要です。内部統制の評価、文書化、監査法人による監査には相応の時間がかかるため、期末後から慌てて始めるのではなく、期中から準備を進めておくことが成功の鍵となります。
内部統制と関連用語の違い
内部統制への理解を深める上で、しばしば混同されがちな関連用語との違いを明確にすることは非常に重要です。一見すると似ているように感じる「コーポレートガバナンス」「内部監査」「リスクマネジメント」ですが、それぞれ役割や目的が異なります。ここでは、これらの用語と内部統制との関係性を、具体例を交えながら分かりやすく解説します。
コーポレートガバナンスとの違い
内部統制とコーポレートガバナンスの最も大きな違いは、その対象と視点にあります。金融庁が公表する基準などでも示されるように、内部統制が「経営者」が従業員や業務プロセスを適切に管理・監督するための「守りの仕組み」であるのに対し、コーポレートガバナンスは、株主をはじめとするステークホルダーの視点から「経営者」自身を監視・規律し、企業の不正を防ぎ持続的な成長を促すための、より大きな「攻めと守りの枠組み」です。
言い換えれば、内部統制はコーポレートガバナンスという大きな枠組みを支えるための、具体的な手段・プロセスの一部と位置づけられます。健全な企業経営のためには、両者の概念を正しく理解し、連携させて強化していくことが不可欠です。両者の違いは下表のとおりです。
| 項目 | 内部統制 | コーポレートガバナンス |
|---|---|---|
| 主な目的 | 業務の適正化・効率化、財務報告の信頼性確保など、4つの目的達成 | 企業の持続的な成長と中長期的な企業価値の向上 |
| 主な対象 | 従業員および業務プロセス全般 | 経営陣(取締役会など) |
| 誰のための仕組みか | 経営者が組織を適切に運営するための仕組み | 株主をはじめとするステークホルダーの利益を守るための仕組み |
| 具体例 |
|
|
内部監査の役割と関係性
内部監査とは、構築された内部統制が、意図した通りに有効に機能しているかを独立した立場から客観的に評価し、助言・勧告を行う活動のことです。内部統制を構成する6つの基本的要素のうち、「モニタリング(監視活動)」において中心的な役割を担います。
両者の関係は、「仕組み(内部統制)」と「その仕組みをチェックする機能(内部監査)」と考えると分かりやすいでしょう。内部監査は、単に不備を指摘するだけでなく、業務プロセスの改善提案などを通じて、組織全体の価値向上に貢献することも重要な役割です。
例えば、ある製造業の会社では以下のような関係性になります。
- 内部統制の整備:資材の購買は、発注担当者と検収担当者を分け、承認を得なければならないというルールを設ける。
- 内部監査の実施:内部監査部門が、このルールが実際に守られているかを定期的にチェックする。具体的には、発注書と検収報告書をランダムに抽出し、承認印の有無や日付の整合性を確認する。もしルールが守られていない事例が見つかれば、その原因を調査し、再発防止策を経営陣に提言する。
このように、内部監査が機能することで、内部統制の形骸化を防ぎ、その実効性を担保することができます。
リスクマネジメントとの違い
リスクマネジメントと内部統制は、どちらも企業が目標を達成するために障害となる要因(リスク)に対応する活動ですが、その範囲と焦点が異なります。リスクマネジメントは、自然災害、市場の変動、風評被害といった外部要因を含む、企業の存続を脅かすあらゆるリスクを全社的に洗い出し、評価・対応する包括的な活動です。
一方、内部統制は、リスクマネジメントのプロセスの一部、特に識別されたリスクに対する具体的な「対応策」として位置づけられます。内部統制の基本的要素の一つである「リスクの評価と対応」は、まさにリスクマネジメントのプロセスそのものであり、両者が密接に連携していることを示しています。
関係性を整理すると以下のようになります。
- リスクマネジメント:まず、全社的な視点で自社の目標達成を阻害するリスクは何かを網羅的に識別・評価する。(例:サイバー攻撃による情報漏洩リスクが高いと特定)
- 内部統制:次に、特定されたリスクに対して、どのようにコントロールし、低減させるかという具体的な仕組みやルールを構築・運用する。(例:情報漏洩リスクに対応するため、アクセス権限の厳格化、定期的なセキュリティ研修、監視システムの導入といった内部統制を整備する)
つまり、リスクマネジメントが「対処すべきリスクを決める活動」であるのに対し、内部統制は「決められたリスクへの具体的な打ち手」と捉えることができます。効果的なリスクマネジメントを行うためには、その土台となる強固な内部統制の整備が不可欠です。
内部統制を強化・効率化するためのポイント
内部統制は一度構築すれば終わりというわけではありません。企業の成長や事業環境の変化に対応し、継続的に見直しを行うことで、その実効性を高めていく必要があります。しかし、「運用が形骸化している」「評価作業の負担が大きい」といった課題を抱える企業は少なくありません。では、どのようにすれば内部統制を強化し、同時に効率化も実現できるのでしょうか。
本章では、組織的な取り組みとITツールの活用の両面から、内部統制を強化・効率化するための具体的な方法を解説します。
組織全体で取り組む体制づくり
内部統制の実効性を高めるためには、特定の部署や担当者任せにするのではなく、組織全体で取り組む文化を醸成することが不可欠です。形骸化を防ぎ、全従業員が当事者意識を持って取り組むための重要なポイントを解説します。
経営トップによる強いコミットメント
内部統制の強化において最も重要なのは、経営トップの強い意志とリーダーシップです。経営者が内部統制の重要性を理解し、その方針を社内外に明確に発信することで、従業員の意識も高まります。例えば、定期的な社内報や全体朝礼の場で、コンプライアンスに関するメッセージを発信するなど、トップダウンでの継続的な情報発信が、統制環境の基盤を強固なものにします。
金融庁が公表している財務報告に係る内部統制の評価及び監査の基準においても、経営者は内部統制の整備および運用に最終的な責任を有することが明記されています。経営陣自らが率先して規範を示すことが、組織全体のガバナンス向上に直結します。
従業員への継続的な教育と意識付け
従業員一人ひとりが内部統制の目的と自身の役割を正しく理解しなければ、ルールは形骸化してしまいます。そのため、全従業員を対象とした継続的な教育が欠かせません。具体的には、以下のような取り組みが有効です。
- eラーニングの導入:全従業員が時間や場所を選ばずに学習できる環境を提供します。理解度テストを組み合わせることで、知識の定着を図れます。
- ケーススタディ研修:過去に他社で起きた不正事例などを基に、自社に潜むリスクをディスカッション形式で考えさせます。これにより、従業員は内部統制を自分ごととして捉えることができます。
- 定期的な情報提供:社内ポータルサイトやメールマガジンを通じて、法令改正の情報や社内で発生したヒヤリハット事例などを共有し、継続的に注意喚起を行います。
こうした取り組みを通じて、従業員のモチベーション向上と働きやすい職場環境の実現にも繋がります。
PDCAサイクルによる継続的な改善
内部統制は、事業内容の変化や新たなリスクの出現に対応するため、継続的に評価と改善を繰り返すPDCAサイクルを回す仕組みが重要です。具体的には、内部監査部門が中心となり、定期的に各部門の業務プロセスをモニタリングし、発見された不備や課題を経営層や関連部署にフィードバックします。そして、改善策を立案・実行し、その効果を次回の監査で検証するというループを確立することが、実効性のある内部統制を維持するための鍵となります。
ITシステム導入による効率化
手作業による内部統制の管理は、工数がかかるだけでなく、ヒューマンエラーや情報の属人化といったリスクを伴います。そこで有効なのが、ERP(統合基幹業務システム)やGRC(ガバナンス・リスク・コンプライアンス)ツールをはじめとする内部統制システムの活用です。システムを活用することで、業務の効率化と統制レベルの向上を両立できます。
業務プロセスの自動化と標準化
システム導入の大きなメリットは、これまで手作業で行っていた業務を自動化・標準化できる点です。これにより、担当者の負担を大幅に軽減し、業務の正確性を向上させます。手作業での管理とシステムによる解決策の違いは、下表のとおりです。
| 課題(手作業での管理) | システムによる解決策 |
|---|---|
| 申請・承認プロセスが紙ベースで時間がかかり、進捗が不透明。 | ワークフローシステムにより申請・承認プロセスを電子化。進捗状況が可視化され、決裁スピードが向上する。 |
| アクセス権限の管理が煩雑で、不要な権限が付与されたままになるリスクがある。 | ID管理システムと連携し、入退社や異動に応じたアクセス権限の付与・削除を自動化。職務分掌のチェックも自動で行う。 |
| 手作業でのデータ入力や転記が多く、ミスが発生しやすい。 | 会計システムや販売管理システムと連携し、データの自動取り込みや突合チェックを行い、入力ミスや改ざんを防止する。 |
モニタリングの強化とリアルタイム性
システムを活用することで、継続的なモニタリングを効率的かつ効果的に実施できます。例えば、システムログを常時監視し、深夜の重要データへのアクセスや、権限のないユーザーによる操作といった異常な兆候をリアルタイムで検知し、管理者にアラートを通知することが可能です。これにより、不正やミスの早期発見・是正が実現します。
文書化(3点セット)作成の効率化
内部統制の評価に欠かせない「フローチャート」「業務記述書」「リスクコントロールマトリックス(RCM)」の3点セット作成も、システムを使えば大幅に効率化できます。多くの支援ツールには文書化支援機能が搭載されており、テンプレートの活用や過去バージョンの流用、更新箇所の一元管理などが可能です。これにより、文書作成・更新にかかる工数を削減し、常に最新の状態を維持することが容易になります。
内部統制に関するよくある質問
内部統制はなぜ必要なのですか?
内部統制は、企業の不正や業務上のミスを防ぎ、事業活動を健全かつ効率的に運営するために不可欠です。具体的には、金融庁が公表する財務報告に係る内部統制の評価及び監査の基準において、以下の4つの目的を達成することが求められています。
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令等の遵守
- 資産の保全
これらの目的を達成することで、企業の社会的信用を維持し、持続的な成長を支える基盤となります。
中小企業や非上場企業にも内部統制は必要ですか?
はい、必要です。金融商品取引法(J-SOX)で報告書の提出が義務付けられているのは上場企業などですが、会社法では大会社(資本金5億円以上または負債総額200億円以上)などの特定の株式会社に内部統制システムの整備が義務付けられています。また、法的義務の有無にかかわらず、組織の成長に伴うリスクを管理し、健全な経営を行うために、すべての企業にとって内部統制の構築は重要です。
下表のとおり、法律によって対象企業や目的が異なります。
| 法律名 | 主な対象企業 | 主な目的 |
|---|---|---|
| 金融商品取引法 | 上場企業 | 財務報告の信頼性確保(投資家保護) |
| 会社法 | 大会社(取締役会設置会社など) | 業務の適正性の確保(株主や債権者の保護) |
J-SOXとは何ですか?簡単に教えてください。
J-SOXとは、金融商品取引法に基づいて、上場企業などに義務付けられた内部統制報告制度のことです。企業の財務報告が適正であることを保証するために、経営者が自社の内部統制を評価し、その結果を内部統制報告書として公表する制度を指します。外部の監査法人による監査も必須となり、投資家が安心して取引できる市場環境を維持するための重要な仕組みです。
内部統制の構築は、何から始めればよいのでしょうか?
まずは、自社の業務プロセスを可視化することから始めます。具体的には、内部統制の評価に必要となる3点セットを作成し、業務の流れの中にどのようなリスクが潜んでいるのか、そしてそのリスクに対してどのような対策が講じられているのかを明確にすることが第一歩となります。
- フローチャート:業務の開始から終了までの流れを図式化したもの
- 業務記述書:業務の手順や担当者の役割を文章で詳細にまとめたもの
- リスクコントロールマトリックス:業務に潜むリスクと対応策を一覧表にしたもの
内部統制とコーポレートガバナンスの違いは何ですか?
コーポレートガバナンスが企業の不正を防ぎ、競争力を高めるための経営監視の仕組み全体を指すのに対し、内部統制はその仕組みを適切に運用するための具体的な手段やプロセスを指します。つまり、内部統制は、コーポレートガバナンスを機能させるための重要な構成要素の一つという関係性になります。
内部統制ができていないと、どのようなリスクがありますか?
内部統制が不十分な場合、従業員による不正行為や情報漏洩、会計処理の誤りといった様々なリスクが高まります。これらの問題が発生すると、経済的な損失だけでなく、企業の社会的信用の失墜につながります。上場企業の場合は、株価の下落や、最悪の場合には上場廃止に至る可能性もあります。そのため、定期的な内部監査などを通じて、体制の見直しを図ることが重要です。
内部統制に関するよくある質問
内部統制はすべての企業に義務付けられていますか?
上場企業などに義務付けられていますが、非上場企業でも導入が推奨されます。
内部統制とコンプライアンスの違いは何ですか?
コンプライアンスは法令遵守を指し、内部統制はそれを達成するための仕組みです。
内部統制の3点セットとは何ですか?
フローチャート、業務記述書、リスクコントロールマトリックスの3つです。
J-SOXとは何ですか?
日本の金融商品取引法に基づく内部統制報告制度のことです。
内部統制の評価は誰が行いますか?
経営者が自ら評価を行い、監査法人がその結果に対して監査を実施します。
まとめ
内部統制は、企業の健全な運営と社会的信用の向上に不可欠な基盤です。4つの目的を達成するため、6つの基本的要素を組織全体で適切に構築・運用することが重要です。
当社はSAPのスペシャリストとして、豊富な知見と実績をもとに、最適なソリューションをご提案します。SAPに関するご相談やお見積りのご依頼は、ぜひお気軽にリアルテックジャパンにお問い合わせください。
