内部統制とはどういう意味で、どのように使われる言葉かを解説しています。混同されやすい言葉である「コンプライアンス」や「ガバナンス」などとの違いや、内部統制を行うことのメリット、内部統制が機能しない場合のデメリット、内部統制を強化するにはどのようにしたらよいかを紹介しています。内部統制について調べている方は参考にしてください。
目次
- 内部統制とは
- ガバナンスとの違い
- コンプライアンスとの違い
- J-SOXとの違い
- 内部統制の整備が必要・求められている企業
- 上場企業
- 会社法上の大会社(取締役設置会社)
- IPOを目指す企業
- 内部統制の4つの目的・メリット
- 業務の有効性および効率性
- 報告の信頼性
- 事業活動に関わる法令等の順守
- 資産の保全
- 内部統制の6つの基本的要素
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
- 内部統制の3点セットとは
- 内部統制の構築手順
- 基本的計画および方針の決定
- 内部統制の整備状況の把握
- 内部統制の評価・報告
- 把握した不備への対応および是正
- まとめ
すべて表示
内部統制とは
内部統制は、企業(経営者)が事業活動を有効かつ効率的に達成するため、組織内部で適用されるルールや業務プロセスなどの仕組みです。組織内部の不正を防ぐための仕組みでもあります。
ルールを整備し、ルールを有効に働かせるための体制を構築することで、不祥事を未然に防ぎ、ヒト・モノ・カネなどの資産を効率的に運用できます。
混同しやすい言葉としては、「ガバナンス」「コンプライアンス」「J-SOX」などがあります。
ガバナンスとの違い
内部統制と非常によく似た言葉が「ガバナンス」です。一般的に「コーポレート・ガバナンス」や「企業統治」と呼ばれることもあります。ガバナンスは、組織を健全に運営するために必要な規律を指します。
ガバナンスに則り、しかるべき管理体制の下で健全な組織運営を行うことで、企業は、ステークホルダーを始めとした利害関係者の利益を守ることができます。
内部統制が、主に経営者が従業員の不正の取り締まりや業務の適切性などを管理するのに対し、ガバナンスは、株主や取締役会が、経営者を監督し、不正や暴走を防ぐための仕組みです。
東京証券取引所が、上場会社がガバナンスを構築する上で従うべき原則として定めた「コーポレートガバナンス・コード」では、「取締役会は、適時かつ正確な情報開示が行われるよう監督を行うとともに、内部統制やリスク管理体制を適切に整備すべきである」と規定しています。このことから、内部統制が、コーポレートガバナンスを構築するための取り組みの一つであることが分かります。
出典:東京証券取引所「コーポレートガバナンス・コード ~~会社の持続的な成長と中長期的な企業価値の向上のために~」
コンプライアンスとの違い
コンプライアンスとは、「法令順守」のことです。一般的には、法令だけでなく、就業規則や企業倫理、社内ルールまで、企業が健全であるために守るべき規範を広く含みます。
企業が社会的な信用を得たり、従業員のモチベーションを向上させたりするためには、コンプライアンス違反が起こらないよう徹底した社内体制を構築する必要があります。逆に、コンプライアンス違反が起きれば、信用の低下や取引先の流出、業績の低下に直結します。
コンプライアンスを徹底するためには、社内ルールを運用する仕組みである内部統制が必須だといえるでしょう。
J-SOXとの違い
「J-SOX」とは、財務報告の信頼性確保を目的にした、内部統制の報告制度です。米国において会計処理の不祥事を規制する法律「SOX法」の日本版として定められました。
上場企業とその連結子会社は、金融商品取引法に基づき、財務報告に係る内部統制を整備・運用した上で内部統制の有効性を評価し、外部へ報告しなければなりません。報告書を提出しなかったり、虚偽の記載をしたりすると、5年以下の拘禁刑または500万円以下の罰金が科されます。
J-SOXは、内部統制のなかでも、特に財務報告の信頼性を確保するための法的制度といえるでしょう。
内部統制の整備が必要・求められている企業
内部統制は、企業の信用や業務の効率性に関わるため、企業規模にかかわらず、取り組むべきテーマといえます。
ただ、その中でも、一定以上の規模を持つ企業に対しては、内部統制の整備と運用が、法律によって義務付けられています。
また、将来的にIPOを目指す企業についても、上場に際しては内部統制の構築が条件とされますので、実質的に義務付けられているといっていいでしょう。内部統制の整備が求められる企業について、説明します。
上場企業
金融商品取引法第24条では、有価証券報告書の提出が必要な上場企業に対して、内部統制報告書の提出義務を定めています。
報告書は、主に以下の5つの項目から成り立ちます。
- 財務報告に係る内部統制の基本的枠組みに関する事項
- 評価の範囲、基準日及び評価手続に関する事項
- 評価結果に関する事項
- 付記事項
- 特記事項
上場企業は、内部統制に関する自社の取り組みを評価し、それを報告書にまとめて提出しなければなりません。
2000年代前半に、期限切れ牛乳の販売による食中毒事件、自動車会社のリコール隠し、食肉業者によるBSE牛の偽装など、企業の信頼性を脅かす事件が多発したことから、内部統制を厳格化すべきとの声が高まり、上場企業の内部統制報告書の提出が義務付けられました。
会社法上の大会社(取締役設置会社)
会社法第362条では、会社法上の大会社に対し、内部統制を整備することを義務付けています。
また、会社法第2条によれば、会社法上の大会社とは、以下のいずれかに該当する企業を指します。
- 最終事業年度に係る貸借対照表の資本金が5億円以上
- 負債額が200億円以上
そして、会社法における内部統制とは、主に以下の5つを指します。
- 取締役の職務の執行に係る情報の保存および管理に関する体制
- 損失の危険の管理に関する規程その他の体制
- 取締役の職務の執行が効率的に行われることを確保するための体制
- 使用人の職務の執行が法令および定款に適合することを確保するため体制
- 当該株式会社、その親会社および子会社から成る企業集団における業務の適正を確保するための体制
条件に当てはまる企業は、子会社や関連会社にいたるまで、社内ルールや倫理規範や、法令などに照らして、業務遂行できる体制の確保を図るよう努めなければなりません。
なお、金融商品取引法に定める法的義務との違いとして、金融商品取引法では企業を義務者としているのに対し、会社法では取締役会を義務者としている点があります。
出典:e-Gov「会社法 第三百六十二条5」
出典:e-Gov「会社法 第二条六」
出典:e-Gov「会社法施行規則 第百条」
IPOを目指す企業
将来的に上場を目指す企業は、内部統制の整備が必須です。上場したばかりの企業は、上場から3年間、監査法人による監査を免除されます。しかし、その場合であっても、内部統制報告書の提出については免れることができません。
そもそも、上場審査において求められる確認事項や作成書類は、内部統制を整備する上で必要となるプロセスと多くの点で共通しています。
つまり、上場準備をするということは、すなわち内部統制を整備することとイコールといえます。
内部統制の4つの目的・メリット
金融庁は、企業が内部統制を行う目的として、以下の4点を挙げています。
- 業務の有効性および効率性
- 報告の信頼性
- 事業活動に関わる法令等の順守
- 資産の保全
これらは、企業が内部統制を整備することで得られるメリットと言い換えることもできるでしょう。
それぞれの項目について、解説します。
業務の有効性および効率性
内部統制の目的の一つとして、業務の有効性と効率性を高めることが挙げられます。
社内ルールを整備し、情報伝達や意思統一がスムーズになれば、ヒト・モノ・カネといった経営資源を、無駄なく有効に活用できます。
内部統制の目的は、事業活動における目的を有効かつ効率的に達成することです。「会社の業務を無駄なく、正確に実施できる」ということが、内部統制のメリットといえます。
報告の信頼性
報告の信頼性確保も、内部統制の目的の一つです。例えば、有価証券報告書に記載された数値が信頼できなければ、投資家をはじめとする利害関係者に対して、損害を与えてしまう可能性が否定できません。財務情報や経営戦略など、経営に大きな影響を与える可能性のある情報について、信頼性を確保するのは、内部統制の目的の一つです。
なお、2023年4月に、金融庁は「財務報告に係る内部統制の評価及び監査の基準」を改訂し、それまで「財務報告の信頼性」であったところを「報告の信頼性」に改めました。
経営戦略やサステナビリティへの取り組みなど、非財務情報の重要性が高まる中で、財務情報だけでなく、非財務情報も含めて社内外に正確に発信することが、企業の信用力の向上につながるでしょう。
出典:金融庁「「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について」
事業活動に関わる法令等の順守
事業活動に関わる法令や、規範順守の促進も、内部統制の目的です。労働基準法や独占禁止法、会社法、金融商品取引法など、数ある法律をきちんと守らなければ、罰金や行政処分、株価下落によって損失につながりかねません。
特に、近年では、企業のモラルや法令順守に対する社会の目が厳しくなっていることを踏まえ、健全な事業活動を行うと同時に、適切なモラルを維持するためにも、内部統制の重要性が高まっています。
資産の保全
企業が事業活動を行う上での「元手」となる資産は、流出したり、不正に利用されたりしないよう、適切に運用・管理されなければなりません。万が一、従業員など内部者による横領などが起きれば、企業に重大な悪影響を及ぼします。
また、ここでいう資産とは、お金や不動産だけにとどまりません。顧客データや知的財産、人的資源も、企業にとっては重要な経営資源となります。これらの資産を効率的かつ適切に管理・運用できれば、事業運営にとって良い影響をもたらします。
内部統制の6つの基本的要素
内部統制を整備するためには、具体的に、どのような取り組みを行えばよいのでしょうか。
金融庁は、内部統制を構成する基本的な要素として、以下の6つを挙げています。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
これらは、内部統制の有効性を評価する際の、判断基準でもあります。それぞれの取り組みについて、解説します。
統制環境
いかに厳格な社内ルールを策定したところで、それが順守されなければ意味がありません。
統制環境とは、企業の社風、従業員の意識などを指し、あらゆる内部統制を順守するための基盤だといえます。
統制環境には、例えば、以下のようなものが挙げられます。
- 組織の誠実性および倫理観
- 経営者の意向および姿勢
- 経営方針および経営戦略
- 取締役会、監査役、監査役会、監査等委員会、監査委員会の有する機能
- 組織構造および慣行
- 権限および職責
- 人的資源に対する方針と管理
統制環境は、事業活動の基盤となるものであり、経営者や従業員が企業のルールや仕組みを守ろうとする意識がなければ事業活動は成り立ちません。
内部統制を進める上では、まず統制環境の整備が大切です。
リスクの評価と対応
あらゆる事業活動にはリスクがあり、リスクをゼロにすることはできません。かといって、リスクを恐れるだけでは、事業の成長は望めません。リスクの評価と対応とは、事業目標を達成できない要因をリスクとして識別・分析・評価し、適切な対応を行う一連の過程を指します。
リスクの評価では、企業内外で発生するリスクを「企業全体のリスク」と「業務別のリスク」に分類します。リスクの大きさや発生可能性や頻度などに分類し、最後に企業目標への影響を評価します。
次に、分析したリスク評価に基づいて、適切な対応を検討・選択します。リスクを適切に評価するだけでなく、リスクへの対応をその都度選択し、解決に導くことが重要です。
リスクの例としては、有効性・効率性が低い業務手順や、予算の見積り不足などが挙げられます。
統制活動
統制活動とは、経営者の命令や指示が適切に実行されるために定める、方針や手続きを指します。統制活動は、権限および職責の付与、職務の分担など、広範囲にわたります。
また、職務を分担することで、二重チェックによって不正を防止したりミスを減らしたりする内部牽制の効果が働きます。
例えば、長年にわたって財務を一任されていた経理部長による横領などは、この統制活動の不備によるものといえるでしょう。統制活動の実効性を確保するためには、方針や手続きを業務プロセスに組み込み、全従業員が正しく遂行することが必要です。
情報と伝達
内部統制を整備するためには、必要な情報が識別・把握・処理され、関係者全員に正しく伝達される体制が必要です。従業員が業務を遂行する上で、情報は重要であり、伝達はもちろん、情報が正しく理解され、必要とするすべての人に共有されなければなりません。
また、社内にとどまらず、社外関係者を含むすべてのステークホルダーに対して、情報が正しく伝達され、理解されることが重要です。
さらに、顧客など、外部から重要な情報が提供されることもあるため、外部からの情報を適時適切に識別・把握・処理するプロセスを整備することも求められます。
モニタリング
モニタリングとは、内部統制が有効に機能していることを評価するプロセスです。
内部統制に関するルールや仕組みは、一度作って終わりではなく、継続的に監視し、その効果を評価し、改良していく必要があります。モニタリングによって、内部統制は、監視・評価され、是正されます。
大きく分けて、業務上にある日常的モニタリングと、独立した視点から実施される独立的評価があり、日常的モニタリングは帳簿と在庫の照合や棚卸作業など、独立的評価は企業内監査が挙げられます。
重要なのは、モニタリングによって内部統制上の問題を発見して終わるのではなく、問題の程度に応じて適切な者に報告し、改善につなげる仕組みを整備することです。
ITへの対応
内部統制を考える上で、近年、特に重要性を増しているのが、ITへの対応です。
情報の伝達、業務の効率性アップなど、内部統制の目的を達成するためには、IT技術の活用が必要不可欠です。かといって、導入したIT技術にシステムトラブルなどが生じると、企業に大きな損害を与えかねません。
ITへの対応においては、導入したIT技術を適切に管理運用できているかに加えて、IT技術によって内部統制の他の基本的要素を機能させられているかが、重要なポイントとなります。
内部統制の3点セットとは
内部統制を整備するに当たっては、以下の3つの資料を作成することが一般的です。
これらの資料を用いて、自社の内部統制の状況を把握し、改善につなげていくのが内部統制の流れとなります。
| 業務記述書 | 業務プロセスや遂行者を明文化した書類 |
|---|---|
| フローチャート | 業務フローを視覚的に理解できる表 |
| リスクコントロール マトリックス(RCM) | 業務上で発生し得るリスクごとに、内部統制によってどうコントロールしているかをまとめた書類 |
内部統制の3点セットの作成は、法律で定められた義務ではありません。
しかし、業務の概要や手順、遂行者、システムなどを資料にまとめ、整理・可視化することで、内部統制の構築という目的を達成しやすくなります。
そのため、多くの会社では、内部統制にあたって3点セットを作成しています。
内部統制の構築手順
内部統制の構築および運用は、主に以下のプロセスに沿って、トップダウンで行います。
- 基本的計画および方針の決定
- 内部統制の整備状況の把握
- 内部統制の評価・報告
- 把握した不備への対応および是正
ここでは、内部統制の構築を具体的にどのように進めていくか解説します。
基本的計画および方針の決定
まず、経営者は、内部統制の基本方針に関する取締役会の決定に基づいて、内部統制を実施するための基本的計画および方針を決定します。
経営者が定めるべき、基本的計画および方針の内容としては、以下が挙げられます。
- 構築すべき内部統制の方針・原則、範囲、水準
- 内部統制の構築を担う責任者及およ全社的な管理体制
- 内部統制構築の手順および日程
- 内部統制構築に従事する人員、編成、教育・訓練の方法
内部統制の整備状況の把握
次に、既存の内部統制に関する規程、慣行、遵守状況など、全社的な内部統制の整備状況を把握して記録します。その際に、明文化されてはいないものの、暗黙裡に実施されている社内の決まり事がある場合には、それを明文化します。
重要な業務プロセスについては、個別に内部統制の整備状況を把握し、記録・保存します。取引の流れ、会計処理の過程を整理し、理解した上で、虚偽記載の発生リスクを識別し、業務の中に組み込まれた内部統制によって、十分に低減できるものになっているかをチェックしましょう。
内部統制の評価・報告
一定以上の規模を持つ大企業は、金融商品取引法やJ-SOX法によって、内部統制報告書の提出が義務付けられています。
また、作成した報告書は、公認会計士または監査法人による確認が必要です。
内部統制の評価・報告は、以下の流れで行います。
- 全社的な内部統制の評価
- 決算・財務報告に係る内部統制の評価
- その他の業務プロセスに係る内部統制の評価
- 内部統制の報告
最初に全社、次に内部統制の中でも重要な領域である決算・財務報告について、内部統制を評価します。
次に、決算・財務報告以外で、重要な事業拠点における、企業全体に大きく関わる業務プロセスを選定します。評価範囲については、必要に応じて監査人と協議しましょう。範囲が確定したら、それぞれのプロセスについて、リスクと低減策を評価します。
全ての評価が完了したら、経営者は、評価内容を内部統制報告書にまとめます。これを監査人が確認し、内部統制監査を行った上で、提出するという流れです。
把握した不備への対応および是正
調査の結果、把握した不備に対しては、適切に対応して是正する必要があります。
リスクの内容や金額的な重要性によって、とるべき対応は変わりますので、以下のような観点からリスクを評価し、適切な対応策を講じましょう。
- 不備の影響が及ぶ範囲の検討
- 影響の発生可能性の検討
- 不備の質的・金額的重要性の判断
まとめ
内部統制の構築は原則としてトップダウンで行いますが、実効性を持たせるためには従業員一人ひとりの意識の向上も不可欠です。
内部統制を適切に整備できれば、不正を防げるだけでなく、自社の信用の向上や、事業の成長も期待できるでしょう。
