内部統制とは？DX時代に知っておきたい基礎情報

内部統制とは、企業が適切に事業を進めるために体系づけられた社内ルールのことです。その取り組みによって業務プロセスや社員のモチベーションが保たれ、改善され、財務健全化と共に企業としての信用向上に貢献します。ここでは、内部統制の定義や構成要素、構築時のポイントなどについて、具体的な内容に触れつつ解説します。

内部統制とは

「内部統制」とは、企業が掲げる経営目標を達成するために、すべての従業員が守るべきルールや仕組みといった社内の体制を指します。内部統制を構築するとも言われます。これは後述するように、金融庁が公表する「財務報告に係る内部統制の評価及び監査の基準」にて定義されています。

そのため、企業は内部統制を定めるうえでそれに準じている必要があり、社内ルールだからといって企業側が好き勝手に決めてよいものではありません。また、きちんと機能しているかどうか、取締役や監査役などあらゆる角度から常にチェックする必要があります。

コーポレートガバナンスとの違い

内部統制と混同されがちな概念として、コーポレートガバナンス（ガバナンス）が挙げられます。ガバナンスとは簡単にいえば、健全な企業経営を可能にする管理体制のことです。「不正や不祥事を防げる組織にする」という大枠の目的については内部統制とガバナンスは共通しており、内部統制はガバナンスの一環であると考えられます。

ただし、両者では管理ないし統制の対象として「誰」を考えているのかという点に顕著な違いがあります。というのも、内部統制が基本的に経営者による「従業員」の不正防止に焦点を置かれているのに対し、ガバナンスでは「経営者」自身の不正防止も重視されているのです。

以前の記事でもガバナンスの基本的な意味や、コンプライアンスとの関係、ガバナンス強化の仕方などについて解説しています。ガバナンスについて詳細を知りたい方は、ぜひ以下の記事もご一読下さい。

内部統制の目的

内部統制は事業を適正に保つための体制です。金融庁は「財務報告に係る内部統制の評価及び監査の基準」において、達成すべき4つの目的を提示しています。その目的について、詳しく確認していきましょう。

1.業務の効率性を高める

まずは、効率性の向上です。企業活動を行ううえで、無駄なコストは事業を悪化させる一因になり得ます。経営目標にスムーズに到達するためにも、業務をより効率的に進めることが欠かせません。

また、顧客情報をデータベース化し、煩雑な処理を削減することもポイントです。そうしたデータベース化と併せて、製品情報も迅速に共有する体制を整えることで、企業としての動きを効率化させましょう。

2.財務報告に信頼性を持たせる

「財務関連情報」とは、損益計算書や財政状態計算書など社内の財務に関する報告を指します。こうした情報が不確かであったり、虚偽の申告が行われたりするような状況だと、経営に支障が出るだけでなく、銀行や投資家たちの信頼を得られません。銀行や投資家から資金を集めるためにも、財務報告の信頼性は欠かせないのです。

3.事業活動に関わる法令の遵守

当然のことですが、経営活動を行ううえでも法律は遵守しなければなりません。利益のみを追求して法律違反をしてしまうと、法的な責任を取ることになるだけでなく、社会的な信用も大きく損ねてしまいます。そのため、万が一にも法に触れることをしないよう、しっかりと内部統制で法令の遵守をしていくことが求められます。

また、法令から外れていないからといって、あまりに倫理感を逸脱した行いをすることも、社会的な信用の失墜につながります。法令といったビジネスルールを守ることはもちろんのこと、社会的規範や倫理といったビジネスマナーを守ることも常に意識しておくことが大切です。

4.資産の保全

資本金という言葉があるように、企業は資産を元手として経営活動を行います。この資産が危うくなれば、やがて企業としての活動が立ち行かなくなってしまいます。そのため、資産を適切に管理し、横領といった不正行為防止はもちろんのこと、無駄なく効率的に活用することが会社運営において不可欠です。

内部統制の整備に欠かせない6つの基本的要素

内部統制は4つの目的を軸としていることがわかりました。ここからは、これらの目的を達成するために、必要とされる要素について確認していきましょう。

統制環境

「統制環境」とは、内部統制の遵守を社内全体で意識し、以下5つの基本的要素の基盤となることを指します。平たくいうと、内部統制を遵守するための環境や組織、文化づくりです。

例えば、以下の5要素をきちんと4つの目的に沿って組み立てていたとしても、社員に内部統制を遵守するという意識が根付いておらず、「面倒だからしなくていいだろう」と肝心のアクションの部分をおろそかにされては意味がありません。今後、綿密に組み立てていく内部統制が無駄に終わらないよう、まずは基盤をしっかり整えることが非常に重要となります。

リスクの評価と対応

ここでいう「リスク」とは、目的達成の阻害要因のことです。まずは、どういった障害が潜んでいるのかを把握・分析したうえで、評価を行います。

そして、見つかったリスクに対して低減措置を講じるのか、あるいは回避するのか受容するのかなど、どのような対応をしていくべきか選択します。こうした一連のプロセスをきちんと整備することが、リスクにおける基本的要素のひとつとなるのです。

統制活動

企業は経営していくうえで、生産や販売、資産管理、人事管理などさまざまな活動を行います。こうした活動が経営者の指示通りにきちんと機能するように定められた方針や手続きを「統制活動」といいます。平たくいうと、経営層からの命令を従業員たちへ適切に伝える仕組みづくりということです。

統制活動の例として、「経営者が社員たちに適切な権限と裁量権を与えること」などが挙げられます。誰に、どういった権限を与えるかは、企業の統制にも深く関わってきます。

情報と伝達

「情報と伝達」はその名の通り、社内での情報伝達が適切に行われ、お互いにきちんとその内容を把握できるまでのプロセスを指します。当然、情報をただ単に伝達すればよいというわけではなく、各自がそれぞれに必要な情報を適切に理解、判断し、信頼性を確認することこそが大切です。

「どのような情報の扱いがどのようなリスクにつながるのか」。これを各自がきちんと理解できている状態を維持するように企業は努めなくてはなりません。

また、情報の伝達は会社内部だけでなく、営業先や取引先など外部にも的確に行う必要があります。内部伝達も外部伝達も、どちらも必要な情報を必要な人に伝えるためのプロセスを確保しておかなければなりません。

社内での情報伝達に必要な統制を確保するための方法については、以下の関連記事もご覧ください。

モニタリング

完成した内部統制がきちんと機能しているかどうか、常にモニタリングする必要があります。内部統制がいい加減に済まされないよう監視し、その都度評価や是正が必要なら是正しなければなりません。

モニタリングは、日常業務に組み込んで行われる「日常的モニタリング」と、日常業務とは別に経営者や取締役や監査役によって行われる「独立評価」の2つに分けられます。前者のみだと、気心の知れた社員同士で、つい監視の目が互いに緩んでしまうことも考えられます。そうした事態を防ぐために、定期的に経営者や取締役といった立場の人間が、独立評価という形でチェックを行うことが重要となります。

ITへの対応

経営目標を目指すうえで、IT技術を適切に活用できているかどうかもチェックの対象となります。ITに関連する企業でなくとも、DXが進む現在では従来以上に会計や経理、販売、社内管理などあらゆる部分でITシステムに頼っています。国もIT推進には力をいれており、2022年に電帳法の改正が行われたことはご存知の方も多いと思います。

そのため、こうしたシステムを利用しつつも、理解が不十分だったり専門知識を持った担当者が不在だったりすると、大きな損失やコンプライアンス違反につながるトラブルが起こりかねません。

ITへの対応では、「IT環境への対応」と「ITの利用及び統制」という2つの側面が求められます。前者は「経営活動において、効率的にIT技術を取り入れているかどうか」が、後者は「内部統制のほかの基本的要素を機能させるために、ITを活用しているかどうか」がそれぞれポイントとなります。

ITに関する内部統制については以下の関連記事も参考にしてください。

内部統制と上場準備との関係

上場を検討している企業にとって、内部統制の整備は上場準備を兼ねるものでもあります。というのも、ガバナンスや内部統制が適切に構築されていることも上場審査の評価項目に含まれているからです。

実際、上場準備に際して行う会計制度の整備項目や引き受け審査の確認項目は、内部統制を評価する際の確認事項にほとんど合致しています。したがって、内部統制を構築する際には、上場企業に要求されている内部統制基準に基づいて整備を進めることで、上場審査の確認項目もクリアしやすくなるのです。上場を考えている場合は、上場準備と並行して内部統制の構築が必須となります。

内部統制構築のポイント

内部統制を構築するためには、どのような点に注意して取り組みを進めればよいのでしょうか。以下では、内部統制を効果的に構築するためのポイントを解説します。

内部統制の基本方針を決める

最初のポイントは、内部統制の基本方針を決定することです。ここでいう基本方針とは、自社の経営方針や行動指針、そして遵守すべき法令やコンプライアンス基準などです。会社法では、こうした内部統制の基本方針の決定は取締役会で行うこととされています。

内部統制の整備は会社法で大企業に義務づけられており、満たすべき要件も各法令によって定められています。したがって、基本方針を策定する際には、まずは会社法の要件と照らし合わせながら、作業を進めるのがおすすめです。法令順守を基本としながら、それに付け加える形で、自社に存在する既存の規定や慣行などを追記していけばよいでしょう。

また、内部統制は全社的にすみずみまで目が行き届くようにしなければなりません。このため、全社単位・部署単位・業務単位というように、各階層に責任者を任命し、統制の評価項目や管理体制などについて確認を徹底するようにしましょう。

問題が起きた時の対処法を決めておく

いくら内部統制を強化しても、すべての問題を予防できるとは限りません。したがって、問題が起きた時の対処法を事前に決めておくことも大切です。

問題への対処の流れとしては、「問題のリスク判定→問題への対処法の決定」という形になります。というのも、その問題のリスクを特定しないことには、どれほどのコストや緊急性を持って対処しなければならないのかもわからないからです。

このため、事前に問題への対応策を策定する際にも、リスク判定の基準から考えていくことをおすすめします。このように問題への対処法を事前に決めておくことで、いざ問題が起きた時も迅速な対応が可能となるでしょう。

PDCAサイクルを回す

内部統制は一度構築したらそれで終わりではありません。というのも、企業の組織体系や業務内容、あるいは社会環境の変化や法規制の改正などに伴って、構築した内部統制が十分に機能しなくなる可能性もあるからです。この観点からも、内部統制の運用においてはPDCAサイクルを回しながら継続的に効果の計測および改善を行っていくことが大切です。

内部統制に関するPDCAサイクルでは、まずは策定した統制内容をルール化し、全社的に周知徹底した後で運用を開始し、事前に設定したKPIに照らして有用性や効率性を評価します。そして、そこで判明した課題や不備について対応策を検討・実施し、また次の評価プロセスへとつなげていきましょう。

内部統制のレベルを向上させる

内部統制のレベルを継続的に引き上げていくことも大切です。上記のPDCAサイクルとも関係することですが、内部統制は永久的なものではなく、現状にそぐわなければ柔軟に修正・改善していくべきものです。

PDCAサイクルを回していき、既存の内部統制が組織内に浸透したことが実感できた頃には、これまでは見逃されていた不備や新たなリスクに気づき、それに対処できるだけの余力も醸成されていることでしょう。そこでまたそうした不備やリスクを丁寧に解消していくことで、内部統制レベルはより向上し、不正やトラブルが起きにくい企業へと成長できます。

内部統制報告制度（J-SOX）とは？

内部統制報告制度（J-SOX）とは、上場企業の経営者が、社内の内部統制に対する評価を「内部統制報告書」という形で、金融庁に提出する制度のことです。経営者は、内部統制がきちんと正しく機能しているかどうかをチェックし、その評価を報告書にまとめる義務があるのです。加えてこの内部統制報告書は、公認会計士または監査法人の監査を受ける必要もあります。

まとめ

内部統制は単なる社内ルールに終始するものではなく、金融庁が提示した厳密な基準のもとに定められるものです。特に上場企業においては、それがきちんと機能しているかどうかを報告することも義務づけられています。

この仕組みをより効率的に整えたい場合は、よりITの活用、特に内部統制を支える基盤システムの導入をおすすめします。業務にファイルやデータは必ず存在することを意識している企業は多くありませんが、内部統制やガバナンス、コンプライアンスの観点から見ると、それら業務コンテンツの管理が内部統制構築への近道と感じてもらえることでしょう。

コンテンツクラウドを活用すれば、内部監査において恒常的に発生する膨大で煩雑な紙資料をベースとしたやり取りも電子化でき、そのプロセスもデジタル化するため効率化できます。また、リモート監査で事務所にこもって監査をする必要すらなくなります。その他、改正電帳法への対応やインボイス制度にもこういった業務コンテンツの管理基盤が整っていると、スムーズに対応することができます。