内部統制とは、事業活動において健全で効率的な運営を行うために必要な取り組みです。この記事では、内部統制における目的と基本的要素を通して「内部統制とは何か」を解説し、内部統制に必要なツール、内部統制報告書に記載する内容や、内部統制を効率化するシステムなどについて詳しく紹介します。
内部統制における4つの目的と6つの要素
そもそも内部統制とは何を意味するのでしょうか。金融庁の企業会計審議会が2019年に公表した「財務報告に係る内部統制の評価及び監査の基準」(以下、金融庁資料)において示されている「4つの目的」および「6つの要素」を通して、内部統制について解説します。
内部統制と4つの目的
そもそも内部統制とは、組織の事業活動において、「健全かつ効率的な運営」を行うために必要となる取り組みのことです。内部統制により不祥事を防止し、業務の効率化や安全な資産管理を図ります。
金融庁資料では、内部統制を以下の4項目を目的として遂行されるプロセスであると定義しています。
- 「業務の有効性および効率性」:事業の目的達成のために業務の有効性や効率性を高める
- 「財務報告の信頼性」:財務諸表など財務情報における信頼性を確保する
- 「事業活動における法令等の遵守」:事業活動に関わる法令などにおける規範の遵守を促進する
- 「資産の保全」:資産の取得や使用、処分が正当な手続き・承認のもとに行われるように保全を図る
経営者は、これらの目的を達成するために、次の項目で示す6つの基本的要素が組み込まれたプロセスを整備・運用することが求められています。
内部統制を構成する6つの要素
同じ金融庁資料において、内部統制の基本的要素を「内部統制の目的を達成するために必要とされる構成部分」「有効性の判断の規準」とした上で、以下の6項目を挙げています。
- 「統制環境」:内部統制に対する意識に影響を与え、他の基本的要素に影響を及ぼす基盤
- 「リスクの評価と対応」:目標達成に影響を与えるリスクの識別や評価、適切な対応を行う一連のプロセス
- 「統制活動」:経営者の命令や指示が適切に実行されるための方針・手続き
- 「情報と伝達」:必要な情報が関係者に速やかに正しく伝わる手段の確保
- 「モニタリング」:内部統制が有効に機能しているかを継続して評価するプロセス
- 「ITへの対応」:IT環境への対応や適切な利用、統制を行い、他の基本的要素を有効に機能させること
これらは内部統制を構成する要素であることから、経営者をはじめ、組織の誰もが達成に向けて取り組んでいくことが重要です。
内部統制の実施基準とシステム
内部統制を実施するにあたっては、実施基準やそのシステムを理解しておくことが重要です。ここでは、内部統制が必要な企業や実施基準、内部統制と組織の関わりについて解説します。
内部統制が必要な企業とJ-SOXとは
取締役会を設置する大会社や上場企業に対しては、それぞれ会社法第362条5項および金融商品取引法24条おいて内部統制の整備が義務づけられています。特に上場企業では、内部統制報告書の提出義務が定められており、この制度は俗に「J-SOX」と呼ばれています。
J-SOXは、上場企業の財務報告における信頼性の確保を目的として導入された制度です。そのため、経営者は内部統制を正しく機能させる必要があります。
内部統制には実施基準がある
内部統制の「基準」および「実施基準」は、金融庁・企業会計審議会内部統制部会が2005年12月に発表した「財務報告に係る内部統制の評価及び監査の基準のあり方について」において示されました。その中身は、内部統制の概念や内部統制評価に対する進め方、監査方法についてです。この内容を基にして、内部統制の評価や監査が行われます。この基準および実施基準は、2019年に改訂についての意見書が出されており、前述の金融庁資料はこの意見書の中に含まれています。
内部統制と組織の関わり
内部統制は経営者だけが担うものではありません。企業に関わる全ての人物が関わり、それぞれの役割を持ちます。
まず経営者は、内部統制における責任者であり、内部統制の整備・運用、最終的な評価、報告を実施することが求められます。次に取締役会は、内部統制の整備・運用におけるモニタリングを行います。内部監査人は、内部統制の整備・運用を検討・評価し、必要に応じて改善を促します。監査役または監査委員会は、独立した立場から内部統制の整備・運用をモニタリングします。そして従業員は、内部統制の方針を理解した上で遂行、遵守することが求められます。
内部統制に使用する3点セットについて
適切な内部統制が実施されているかを把握するためには、ツールの利用が欠かせません。ここでは、必要となる3点セットとその作成方法を解説します。また、内部統制報告書を作成するにあたって参考となるひな形を紹介します。
内部統制に使用する3点セットとは?
内部統制に必要な3点セットとは、業務の流れを図式化した「フローチャート」、業務内容やシステム、実施者についてまとめた「業務記述書」、業務上のリスクやリスクコントロールの実施を確認する「リスクコントロールマトリックス」のことです。この3点セットは、業務におけるリスクを把握し、そのリスクに対する統制が行われているかを確認するために必要となるツールです。法律で作成が義務付けられているわけではありませんが、作成することであらゆる業務や業務の流れが可視化され、内部統制を把握しやすくなるというメリットがあります。
内部統制の3点セットの作成方法
内部統制に必要となる3点セットの作成には、まず業務プロセスの評価範囲を決定する事が必要です。業務記述書とフローチャートは、業務マニュアルや帳簿などの資料を用意し、実際に業務を行う担当者にヒアリングして完成させましょう。また、「誰が・何を・どのように」を明確にすることで、後の修正も行いやすくなります。この業務記述書とフローチャートの完成度により、リスクコントロールマトリックスがスムーズに作成できるかが決まります。
リスクコントロールマトリックスは、想定されるリスクとそのコントロールが一目ですぐ理解できるように作成することが重要です。業務内容ごとにリスクを判別して評価を行い、内部統制によってどのようにリスクが低減されるかを記載します。
内部統制の報告書の記載内容
上場企業に提出が義務づけられている内部統制報告書を作成する際は、金融庁が公開しているひな形が参考になります。報告書には「提出日」「会社名」「代表者の役職氏名」などのほか、以下の5項目について記載します。
- 財務報告に係る内部統制の基本的枠組みに関する事項
- 評価の範囲、基準日および評価手続きに関する事項
- 評価結果に関する事項
- 付記事項(内部統制の有効性の評価に重要な影響を及ぼす後発事象など)
- 特記事項(財務報告に係る内部統制の評価について特記すべき事項がある場合)
参照元:「内部統制報告書」
SAP社が提供するGRCソリューションで内部統制を
企業の事業活動に潜む情報漏えいやコンプライアンス違反、自然災害、労働災害、急激な需要変化による利益低迷などのリスクを回避するためには、効率化されたリスクマネジメントを行うことが重要です。SAP社が提供するGRCソリューションは、企業におけるリスク管理、コンプライアンス管理、内部監査、インシデント管理などを、横断的に管理できます。事業活動におけるリスクの分析・評価に特化した「SAP Risk Management」や、プロセス制御情報の管理などを行う「SAP Process Control」、内部統制の整備に長けた「SAP Audit Management」といったソリューションにより、企業の内部統制を含むリスク・コンプライアンス管理の効率化が実現します。
まとめ
内部統制は、4つの目的および6つの要素、実施基準や組織との関わりなどを理解して整備する必要があります。また、フローチャートと業務記述書、リスクコントロールマトリックスの3点セットを作成することで、適切な内部統制が行われているかを把握することが可能です。企業の内部統制を含めたリスク・コンプライアンスの管理にはGRCソリューションの導入も効果的です。
- カテゴリ: GRC
