.png?width=1400&fit=cover&quality=60&format=auto)
内部統制システムとは
内部統制システムとは、健全で法令順守の企業活動を実現するための仕組みです。適切なシステムを構築することで、不正の防止や法的リスクの軽減を図れます。具体的には、法令遵守(コンプライアンス)、財務報告の信頼性確保、業務の有効性・効率性の向上、資産の保全などを目的として、経営者主導のもと、従業員全員が取り組むべき体制を指します。
これにより、経営の透明性や信頼性が高まり、企業価値の向上に繋がります。特に大企業や上場企業においては、法律によってその整備と運用が義務付けられています。
以下の記事では、内部統制の定義や4つの目的と6つの基本的要素について詳しく解説しています。理解を深めたい方はぜひ併せて確認してみてください。
<関連記事>
内部統制とは?構築する目的や基本的要素、社内における関係者について解説
内部統制システムに関わる法的な位置づけ
内部統制システムの整備・運用は、企業の社会的責任という側面だけでなく、法的な義務も伴います。特に会社法と金融商品取引法(J-SOX法)が重要です。
会社法が求める内部統制とは
会社法における内部統制は、業務の適正さの確保を中心とした内容です。会社法では、取締役会設置会社である「大会社」(資本金5億円以上または負債総額200億円以上の株式会社)に対し、業務の適正を確保する体制(内部統制システム)の基本方針決定と事業報告での開示を義務付けています。
これは取締役の善管注意義務の一環として、適切なリスク管理やコンプライアンス体制の構築・運用を求めるものです。(会社法第362条関連)
<関連記事>
内部統制システムの構築が義務付けられている会社は?定義や構築するメリットについて解説
金融商品取引法(通称J-SOX法)での内部統制の義務
金融商品取引法では、有価証券報告の義務を負う有価証券の発行企業(上場企業)に対して、財務報告の信頼性を確保するための内部統制について、経営者自らが評価した「内部統制報告書」の提出を義務付けています。
内部統制報告書は投資家保護と適正な財務情報開示を担保するものであり、監査法人や公認会計による監査証明を受けたうえで、提出しなければなりません。監査時には、定められた基準に沿ったチェックがおこなわれるため、基準を満たした内部統制システムの構築が必要です。
金融商品取引法の内部統制で違反があった場合、法人には5億円以下の罰金が科せられる場合があります。
以下の記事では、内部統制報告書について詳しく解説しています。理解を深めたい方はぜひ併せて確認してみてください。
<関連記事>【サンプルあり】内部統制報告書とは?作成すべき会社や作成・提出のポイントを解説
具体例で学ぶ内部統制システム構築・運用の6ステップ
それでは、実際に内部統制システムを構築し、効果的に運用していくための具体的なステップを、実務で役立つ具体例を交えながら解説します。
- 企業の方針と全社的統制目標の設定
- 業務プロセスと潜在リスクの網羅的な可視化
- リスクへの対応策(統制活動)の設計と決定
- 分野別ルールの明文化と全従業員への周知徹底
- 運用状況の継続的なモニタリングと記録
- 評価・分析に基づく改善サイクルの確立 (PDCA)
ステップ1:企業の方針と全社目標の設定
まずは内部統制構築の方向性を定めるため、経営理念やビジョンを再確認し、全社的な基本方針と統制目標を明確にします。
会社法では大会社(資本金5億円以上または負債総額200億円以上の株式会社)に対して基本方針策定とその開示を義務付けています。該当する場合には、法律に従って基本方針の策定もおこないましょう。
内部統制システムの基本方針の具体例
以下に各社が公開している内部統制システムの基本方針の具体例を整理しています。
- 日本電気株式会社:内部統制システムに関する基本方針: コーポレート・ガバナンス | NEC
- 伊藤忠商事株式会社:内部統制システムに関する基本方針及びその運用状況|伊藤忠商事株式会社
- 日本電信電話株式会社:内部統制システムの整備に関する基本方針 | 会社案内 | NTT
- 株式会社資生堂:内部統制システムの基本方針 | コーポレートガバナンス | 投資家情報 | 資生堂 企業情報
- SCSK株式会社:内部統制システムの整備の基本方針 | SCSK株式会社
また以下の記事では内部統制システムの基本方針の作成方法と記入項目について詳しく解説しています。必要に応じて確認してください。
<関連記事>内部統制システム構築の完全ガイド! 4つの目的と6つの要素・注意点を徹底解説
ステップ2:業務プロセスと潜在リスクの網羅的な可視化
次に、組織内の業務に潜むリスクを洗い出し、評価します。各業務フローを詳細に把握・文書化した上で、内部統制の4つの目的を阻害しうるリスクを識別します。
業務プロセル別潜在リスクの具体例
例えば以下のような例が挙げられます。
- 費精算における潜在リスク:不正申請、承認不備、証憑紛失
- 調達業務における潜在リスク:不正な取引先選定、相見積もり不足、契約書管理の不備
- 情報管理における潜在リスク:機密情報の持ち出し・誤送信、アクセス権限の管理漏れ
- 統制活動における潜在リスク:ルール未整備や形骸化、実施記録の未保存
識別したリスクの発生可能性と影響度を評価し、重要度を判断。この評価に基づき、リスクへの対応方針(回避、低減など)を決定します。担当者ヒアリングに加え、過去事例や他社事例も参考に多角的にリスクを洗い出すことが重要です。
ステップ3:リスクへの対応策(統制活動)の設計と決定
評価したリスクに対し、具体的な統制活動を設計・導入します。まず既存の統制が有効か評価し、不十分なら新たな統制を設計します。
たとえば以下のような対応策が挙げられます。
経費精算リスク対応策の具体例
- システムによる上限設定
- 経理による証憑突合
- 職務分掌の徹底
調達業務リスク対応策の具体例
- 取引先選定ルールの明確化・承認プロセスの導入
- 相見積もり取得のルール化・証憑保存
- 契約書の電子管理システム導入
情報管理リスク対応策の具体例
- 機密情報の暗号化・持ち出し制限
- メール送信時の誤送信防止ツール活用
- アクセス権限の定期的な棚卸し
統制活動リスク対応策の具体例
- 社内ルール・マニュアルの整備と周知
- 統制実施状況の記録・エビデンス管理
- 内部監査による定期的な統制活動の検証
リスク特性に応じた適切な統制を選択し、実務とのバランスを取ることがポイントです。IT活用も効率性と正確性向上に繋がります。
ステップ4:分野別ルールの明文化と全従業員への周知徹底
設計した統制活動を具体的な社内規程やマニュアルとして明文化し、全従業員に周知・教育します。企業方針に基づき、各部門・業務のルールや手順、責任体制を規程(経費規程など)やマニュアルに具体的に記述します。平易な表現を心がけ、必要なら図も活用した方がいいでしょう。
研修や説明会、eラーニングで周知し、イントラネット等でいつでも参照可能にします。ルールに関する問い合わせ窓口設置も有効です。「なぜこのルールが必要か」という目的理解を促し、遵守意識を高めることがポイントです。
内部統制システムの周知・浸透実務の具体例
- 各部門・業務ごとにルールや手順、責任体制を規程やマニュアルに具体的に記述する
- ルール浸透のために研修や説明会、eラーニングを実施する
- ルールに関する問い合わせ窓口を設置
ステップ5:運用状況の継続的なモニタリングと記録
整備した内部統制システムが設計通り運用され、有効に機能しているかを継続的に監視・検証し、記録します。モニタリングには、通常の業務プロセスに組み込まれる日常的モニタリング(上長の業務確認、システムのログ記録など)と、内部監査部門などが独立した視点で行う独立的評価(サンプリングテストなど)があります。
統制活動の実施証拠(承認印、ログ等)は適切に保管します。問題点が発見された場合は速やかに責任者に報告し対応する体制が重要です。記録不備は統制不備と見なされるため徹底管理が求められます。
内部監査部門によるサンプリングテストの実施方法
内部監査部門によるサンプリングテストは、すべての取引やプロセスを網羅的に調査するのではなく、統計的手法やリスクベースの考え方に基づいて、一定の基準でサンプルを抽出し、その適切性やルール遵守状況を確認する手法です。
限られたリソースで効率的に統制の有効性や不備を発見できる点が特長です。不適切な事例が見つかった場合は、全体への影響を評価し、追加調査や是正措置が検討されます。
例えば経費精算業務を対象としたサンプリングテストは以下の手順で実施されます。
- テストの目的を決める
例)経費精算ルールが守られているかを確認したい。 - サンプルの範囲と件数を決める
対象期間(例:過去3ヶ月)や対象部門を決める。
抽出件数は全体の〇%。 - サンプルを抽出する
評価対象の全体を漏れなく反映する母集団からランダム抽出 - 証憑・記録を確認する
領収書や申請書、承認記録などの整合性をチェック。 - 結果を整理・報告する
不備があれば改善提案をまとめ、関係部署にフィードバック。
ステップ6:評価・分析に基づく改善サイクルの確立 (PDCA)
モニタリング結果や内外の環境変化を踏まえ、内部統制システムの有効性を定期的に評価・分析し、継続的改善(PDCAサイクル)を行います。少なくとも年1回、整備状況(ルールや体制が適切か)と運用状況(ルール通り実行されているか)の両面から評価します。
「内部統制3点セット」で内部統制システムの整備状況を評価
整備状況の評価をおこなうときは、「内部統制3点セット」の活用が有効です。「3点セット」とは、業務記述書・フローチャート・リスクコントロールマトリックス(RCM)のことで、以下のように活用します。
「3点セット」を活用し、問題点の根本原因を分析。「なぜ起きたか」を深掘りし、具体的な改善策(ルール見直し等)を立案・実施します。改善効果を再度モニタリングし評価することも重要です。内部統制は常に変化に対応し改善を続ける「生き物」と理解することがポイントです。
以下の記事では、リスクコントロールマトリックス(RCM)を起点に、内部統制の3点セットのサンプルを紹介しています。理解を深めたい方はぜひ併せて確認してみてください。
<関連記事>【サンプルあり】RCM(リスクコントロールマトリクス)とは? 作成手順も紹介!
サンプリングテストで内部統制システムの運用状況を評価
一方の運用状況の評価では、構築した内部統制システムが実際の業務で適切に運用され、効果的に機能しているかをチェックします。前章で紹介したサンプリングテストの実施は有効的です。評価の過程で不備が発見された場合は、その原因を詳しく分析し、必要に応じて統制プロセスの見直しや改善策を講じることが求められます。
内部統制システムを効果的に運用するための実践ポイント
内部統制システムを構築しても、それが形骸化してしまっては意味がありません。実効性のある運用にはいくつかの重要な実践ポイントがあります。
経営層の強いコミットメントとリーダーシップ
経営層が率先して内部統制の理念を発信し、必要なリソース(人員、予算、時間)を配分することで、組織全体の意識が高まります。トップの姿勢が、内部統制文化の醸成に不可欠です。
関係者の役割と責任の明確化
誰が何に対して責任を持つのかを明確にすることが重要です。取締役会、監査役、内部監査部門、各業務部門の責任者及び担当者など、それぞれの役割と責任範囲を規程等で定め、共有することで、当事者意識を持った行動が促されます。
継続的な教育・研修による意識の醸成
従業員一人ひとりが「なぜ内部統制が必要なのか」「自分たちの業務とどう関わるのか」を理解しなければ、ルールは守られません。定期的な研修(eラーニング含む)、OJT、事例共有などを通じて、内部統制の重要性と具体的な行動規範を浸透させることが不可欠です。
ITツールの有効活用
経費精算システム、ワークフローシステム、契約書管理システム、アクセス管理ツールなどのITツールは、統制活動の効率化、記録の自動化、不正の早期発見などに大きく貢献します。自社の規模や業務内容に合わせて適切なツールを選定・活用しましょう。
定期的な見直しと柔軟な対応
ビジネス環境や法規制は常に変化します。一度構築した内部統制システムも、定期的にその有効性を評価し、必要に応じて見直しを行う柔軟性が求められます。外部環境の変化だけでなく、社内の組織変更や新規事業の開始なども見直しのきっかけとなります。
内部統制のリスク管理を加速する「LegalOn Cloud」
LegalOn Cloudは、AIテクノロジーと弁護士の専門知識を融合し、内部統制強化とリスク管理レベルの向上を支援するAI法務プラットフォームです。弁護士監修のAIが契約書のリスクを自動で洗い出し、見落としや属人化を防止。必要な機能だけを柔軟に導入できるため、無駄なコストを抑えながら、効率的に統制強化を実現できます。法務部門だけでなく、経営企画や管理部門にも最適なソリューションです。.png?width=1400&fit=cover&quality=60&format=auto)
まとめ|実効性のある内部統制システムで企業の持続的成長を実現する
内部統制システムは、単に法令遵守のためだけの仕組みではなく、企業の不正やミスを防ぎ、業務効率を高め、経営の透明性と信頼性を向上させることで、企業の持続的な成長を支える経営基盤そのものです。
本記事で解説した構築・運用の6ステップを参考に、自社の実情に合った実効性のある内部統制システムの構築・運用を目指してください。そのためには、経営層のリーダーシップのもと、全従業員が一丸となって取り組み、PDCAサイクルを回し続けることが何よりも重要です。
