このサイトでは、内部統制について色々と紹介しているのですが、特に初心者の方向けにゆるめに解説しています。
内部統制の重要性や具体的な進め方、社会的信用を得ていくためにはどうすればいいのか?
内部統制って難しく聞こえますが、実際のところ結構難しかったりします、、、
私自身も内部統制業務に従事している身ですが、数年経ってやっと理解できたかな?って感じです。
文章をサラッと読んだだけでは、なかなかうまくいきません。
何度も読み返して理解していきましょう。

名前:内部監査員M
某企業の内部監査員。実務4年の初心者。経理の知識は乏しいがリスクマネジメントへの想いは熱い!とにかく現場に足を運んで、コミュニケーションを重視し社内の問題発見に努めている。
内部統制とは?わかりやすく解説
内部統制とは、企業が目標を達成するための手段(制度や手続きなど)のことを指します。
これには、不正行為の防止、情報の信頼性と透明性の確保、ビジネスプロセスの効率性と効果性の向上、法令や規則の遵守等が含まれます。(次項で詳しく解説してます)
内部統制はリスク管理の一部であり、経営者や従業員が企業の目標達成に必要な資源を適切に管理・使用することを確保します。
要するに、企業が健全な経営を実現するための仕組み!ということになります。ここ大事!
内部統制をわかりやすく例えると、それは企業を運営するための「自動車のブレーキとアクセル」のようなものです。「アクセル」の役割は、ビジネスを前進させるための戦略や計画を遂行することです。それに対し「ブレーキ」は内部統制に該当し、これがなければ企業はリスクに見舞われる可能性があります。これらのリスクには、不正行為、誤った情報の提供、法令違反などが含まれます。
内部統制4つの目的
次は、内部統制を1段階詳しく解説してみます。この4つの目的は、内部統制の基本的な考え方となるので必ず覚えましょう。
- 業務の有効性及び効率性
- 財務報告の信頼性
- 事業活動に関わる法令の遵守
- 資産の保全
なんだか難しく見えますが、一つひとつ見ていくと企業の経営に関して当たり前のこと言ってませんか?特に難しいことはないですよね。これら当たり前のことを維持していくのが内部統制なんです。
業務の有効性及び効率性
内部統制の一部としての「業務の有効性と効率性」は、企業の活動が目標に向かって適切に進行しているか、またそれが効率的に行われているかを評価するものです。
「業務の有効性」は、特定の業務やプロセスが予定通りに結果を達成しているかを測る指標です。これは、企業が設定した目標が達成されているか、またはその目標に向かって進行しているかを判断するためのものです。例えば、営業部門では販売目標の達成率、製造部門では生産目標の達成率などが有効性の指標となります。
一方、「業務の効率性」は、特定の結果を達成するためにどれだけのリソース(人員、時間、金融資源など)が必要だったかを評価します。効率性は、同じ成果を達成するために使用されるリソースの量を最小限に抑えることを目指します。例えば、販売部門では販売された商品単位あたりの人件費や、製造部門では製品一つ作るのに必要な時間や材料費などが効率性の指標となります。
内部統制の一環としての「業務の有効性と効率性」は、組織全体がその目標に向かって最善を尽くし、その過程でリソースを最大限に活用することを保証する役割を果たします。
財務報告の信頼性
「財務報告の信頼性」は、内部統制の重要な側面の一つであり、企業の財務情報が真実かつ公正に報告されているかを保証する役割を果たします。
具体的には、以下の点を満たす必要があります。
- 完全性:全ての財務取引が適切に記録され、報告されること。
- 正確性:財務取引が正確に記録され、誤りや不正行為が存在しないこと。
- 適時性:財務情報が迅速に報告され、決定を下すための情報がタイムリーに提供されること。
財務報告の信頼性を確保するためには、適切な内部統制システムが必要です。これには、取引の承認、文書化、記録保持、検証、そして財務情報の分析と解釈のためのシステムと手順が含まれます。
財務報告の信頼性は、投資家、債権者、株主、その他の利害関係者が企業の財務状況、業績、キャッシュフローについて正確な理解を得るために不可欠です。信頼性の高い財務報告は、組織が適切に運営されていることを示し、利害関係者の信頼を獲得します。
事業活動に関わる法令の遵守
「事業活動に関わる法令の遵守」は、企業がその運営と業務に関連するすべての法律、規制、基準を順守することを指します。この項目は、内部統制の重要な部分であり、適切な遵守がなされないと企業は罰金、制裁、評判の損傷、さらには営業停止に至るリスクに直面します。
企業の業務は多岐にわたり、それぞれの業務は異なる法律や規制に従う必要があります。例えば、財務部門は税法や会計基準に従い、人事部門は労働法や労働安全規定に従う、製造部門は環境法や製品安全規定に従うといった具体的な法律や規制が存在します。
企業はこれらの法律や規制を遵守するために、内部統制システムを整備します。これには、適切な方針や手順の設定、定期的な教育と訓練、遵守状況の監視と評価、そして法令違反が見つかった場合の適切な対応が含まれます。
「事業活動に関わる法令の遵守」は、企業の社会的責任を果たすための基本的な要素であり、その遵守により企業はリスクを管理し、事業活動を進めていきます。
資産の保全
「資産の保全」は内部統制の重要な目標の一つであり、企業が所有する資産が無駄遣いされたり、不正に使用されたり、損失を受けたりするのを防ぐことを目指します。
資産とは、企業の運営に必要な物的資産(建物、機械、設備など)、金銭的資産(現金、預金、証券など)、知的資産(特許、商標、ノウハウなど)を指します。
資産の保全を確保するための内部統制の一例としては、次のようなものがあります:
- 物的資産:アクセス制限、定期的な保守と点検、盗難防止システムの導入など。
- 金銭的資産:金融取引の承認プロセス、会計監査、経理のセキュリティシステムなど。
- 知的資産:機密情報の管理、知的財産権の保護、社員のNDA(秘密保持契約)の締結など。
内部統制6つの基本要素
内部統制のフレームワークを示すために、しばしばCOSO(Committee of Sponsoring Organizations of the Treadway Commission)モデルが参照されます。COSOフレームワークは、内部統制を以下の5つの相互関連する構成要素で定義しています。
コントロール環境 | 企業の倫理観、経営陣の姿勢、組織構造、人事政策など、企業の文化や環境を示す要素です。 |
リスク評価 | 組織の目標達成を阻害する可能性があるリスクを特定し、評価し、管理するプロセスです。 |
コントロール活動 | ポリシーや手続き等、リスクを適切なレベルに管理するための活動です。 |
情報とコミュニケーション | 組織内外で必要な情報が適切に生成、収集、伝達され、全員がその責任を理解できるようにする要素です。 |
監視活動 | 内部統制システムが期待通りに機能しているかを評価するプロセス、及び改善を促すフィードバックシステムです。 |
ITへの対応 |
それぞれの構成要素は相互に関連しており、全体として有効な内部統制を形成します。一方で、これらの構成要素のどれかが不十分だと、内部統制の有効性が損なわれる可能性があります。
コントロール環境
これは組織全体の価値観、経営陣のリーダーシップ、企業文化、そして組織の全体的な倫理観やインテグリティの水準を指します。コントロール環境は組織の全ての層に影響を与え、その他の内部統制活動の効果を大きく左右します。
要するに、内部統制に対しての考え方ということです。
- 経営陣のトーン
- 企業文化
- 明確な役割と責任
- 人材管理
- 構造と委任
これらが会社に浸透していれば、内部統制を進めることが容易となります。
リスク評価
リスク評価は内部統制の一部で、組織が目標達成に対する内部外部からのリスクを識別し、評価するプロセスです。
リスクの大きさと発生確率を考慮し、適切な管理策を設定します。
リスク評価は環境によって変化していきます。
よって、定期的な見直しが必要となり、状況に応じて変化させていか無ければなりません。
コントロール活動
コントロール活動は、特定のリスクが組織の目標達成にネガティブな影響を及ぼすのを防ぐため、またはリスクが発生した場合の影響を最小限に抑えるために設計されます。
例えば、不正行為を防止するためのアクセス制御や認証システム、財務報告の誤りを防ぐための内部監査プロセス、リスクを管理するためのポリシーや手順の設定などがあります。
情報と伝達
情報と伝達は、組織の目標達成をサポートし、内部統制の他の要素(リスク評価、コントロール活動、監視活動)と緊密に連携します。
具体的には、情報をどのような方法を用いて効率的に伝達するのか?情報の取り扱いのリスクも含めたマネジメントが必要となってきます。
監視活動
監視活動は内部統制の重要な要素で、組織の内部統制が適切に設計され、運用されているかを評価する役割を果たします。
これには、定期的なレビューや監査、異常や例外の報告、そしてその結果を基にした改善措置の実施が含まれます。
内部統制部門がメインで実行する活動です。
ITへの対応
ITは内部統制の重要な要素で、情報の正確性と可用性、また組織全体の効率と効果を高めます。
IT統制は、データ保護、アクセス制御、システム開発ライフサイクル、災害復旧等、情報システムの適切な運用と保守を確保するために重要です。
内部統制の設置が求められる企業
原則、どのような会社にとっても内部統制的な機能は必要です。しかし、実際のところは、上場企業と取締役会を設置している大企業が対象となります。金融商品取引法第24条と会社法によって定められており、それぞれ解説していきます。
上場企業
日本では、金融商品取引法に基づき、上場企業は内部統制の設置が義務付けられています。
具体的には、企業の財務報告の信頼性を確保するための内部統制についての報告書を作成し、それを外部の監査法人によって監査を受けることが求められています。
これを「内部統制報告制度」と呼びます。
内部統制報告制度は、企業の経営陣が、自己の責任で内部統制の適切性を評価し、その結果を報告書として公表するものです。
そして、その報告書は独立した監査法人によって監査され、その結果も一緒に公表されます。
この制度は、投資家の保護と企業の透明性を高めることを目的としています。
内部統制報告制度の設置により、企業の内部統制についての情報が公になり、投資家はその情報を基に投資判断をすることが可能となります。
また、企業自身も内部統制の重要性を再認識し、それを強化する機会を得ることができます。
取締役会設置の大企業
日本の会社法(会社法第362条5項)、大企業(取締役会を設置する企業)に対しても内部統制に関する要件が設けられています。
これらの企業は、経営の透明性と効率性を確保するために、一定の内部統制システムを設置し、適切に運用することが要求されます。
具体的には、取締役会を設置する企業では、取締役は内部統制システムの整備を行い、経営の効率性と有効性、財務報告の信頼性、法令の遵守、資産の保全といった目的を達成するための制度を作成・実行しなければなりません。
この制度は、組織全体に対するリスク管理、情報の提供と通信、監督プロセスなど、企業活動全体にわたる一連の活動を含むもので、社員の行動指針を示す役割も果たします。
したがって、内部統制システムの設置と適切な運用は、企業の経営効率性と経済的成果を高め、投資家、クレジット機関、取引先、従業員などのステークホルダーに対する信頼を維持する上で重要となります。
内部統制で失敗した具体例
2005年、K社において粉飾決算の事実が明らかになりました。1996年から2004年までの9期にわたり、K社は債務超過の状態にあり、不適切な会計処理による粉飾の総額は驚くべき2,150億円に達していました。これは、企業の利益操作としては過去最大の粉飾総額でした。この事態を受けて、K社は2005年6月に株式上場を廃止し、2007年6月の定時株主総会で解散を決定しました。K社の監査を担当していた4名の公認会計士が逮捕され、そのうち3名が刑事罰を受けました。監査を行っていた監査法人は、2カ月間の業務停止命令を受け、その後信用を回復することなく2007年7月に解散しました。
過去にあった一つの大きな経済スキャンダルの一つに、一部の上級経営陣が巨額の損失を隠蔽しようとしたことにより起こった事件があります。
2011年、同社は莫大な投資損失を出してしまいましたが、経営陣はこれを公表せずに、さまざまな会計トリックを用いて巧妙にこれを隠蔽。
具体的には、損失を抱えた資産を特殊目的事業体(SPV)に移転し、その後、過大評価された価格で資産を買い戻すという手法が用いられた。
これにより、損失は一時的に会計上から消え、バランスシートは健全に見えた。しかし、2011年、新たにCEOに就任した外国人経営者が、これらの不審な取引を発見し問題を提起。
その後、彼は突如として解任されましたが、この出来事はメディアの注目を集め、調査が深まるにつれて会計不正が明らかになる。
結果的に、この会社は多額の罰金を支払うこととなり、経営陣の多くが辞職または解任された。
このスキャンダルは、内部統制の重要性や、企業の透明性と誠実性の必要性を世界中に強く印象づける事例となった。
内部統制を推進【使い方】について
内部統制に必要な3点セット
- 業務記述書
- プロセスフロー
- RCM表(リスクコントロールマトリクス)
業務記述書とは、企業の特定の業務やプロセスについて詳細に記述した文書のことを指します。これには、業務の目的、業務を行うための具体的な手順、関連する役職や部門、必要なリソース、業務の開始と終了の条件などが含まれます。業務記述書は、業務の標準化、新入社員の教育、業務の改善や効率化、そして内部統制の確立と評価に役立ちます。
標準書や手順書とも言います。まずは業務記述書の有無を確認し、無ければ作成するところからスタートです。既に存在している場合は、手順に問題がないか確認していく必要があります。
プロセスフローとは、特定の業務やプロセスがどのように進行するかを視覚的に表現したものです。これは通常、フローチャートやダイアグラムの形で示され、各ステップや決定点、フローの方向などが明確に示されます。
簡単に言うと、業務記述書をフロー図として表し、業務の流れを視界化するためのツールです。流れに問題がないか?どこにリスクが存在するか一目で確認することができます。
リスクコントロールマトリクス(Risk Control Matrix: RCM)は、特定の業務プロセスまたは目標に関連するリスクを特定、評価し、それに対するコントロール活動を明確化するためのツールです。
RCMは、通常、以下の要素を含む表形式で表示されます:
- リスクの説明:各リスクがどのような状況を指すのか具体的に説明します。
- リスクの影響:そのリスクが実際に発生した場合の潜在的な影響を評価します。
- リスクの発生可能性:そのリスクが現実に発生する可能性を評価します。
- コントロール活動:そのリスクを軽減または管理するための具体的な行動や手続きを列挙します。
- コントロール活動の効果:各コントロール活動がそのリスクをどの程度軽減するかを評価します。
RCMを作成し、定期的に更新することで、組織はリスクと対策を体系的に管理することができ、内部統制の有効性を向上させることができます。また、RCMは監査人や経営陣に対して、組織がリスクをどのように理解し、それに対してどのような対策を講じているかを明確に伝える手段ともなります。
5つの構成要素の『リスク評価』に使用するツールとなります。

各部署の責任者が主導となって動く
部署の責任者は、その部署が直面する可能性のあるリスクを理解し、適切な内部統制の設定と実行を監督する役割を果たします。
具体的には、各部署の業務プロセスや業績目標に関連するリスクを特定し、それらのリスクに対する適切なコントロール手段を実施し、またそれらの効果を評価する必要があります。
さらに、部署の責任者は、部署内のスタッフに対してリスクと内部統制についての教育と訓練を提供し、リスク意識の醸成とコントロール活動の理解を深める役割も担います。
内部統制推進活動とリスクコントロールは、企業の全体的な運営に大きく影響します。
それ故、各部署の責任者が主導となってこれらの活動を進めることは、企業のリスク管理の向上、業務の効率性と効果性の確保、そして最終的には企業価値の向上に直結する重要な任務と言えるでしょう。
まとめ
内部統制の基礎的な部分について解説してきました。
わかりやすく説明したつもりですが、全く経験がない方にとっては理解するまで時間がかかるかもしれません。
内部統制というのは、各部署を牽制していく仕事ですが、まずは自身で取り組んでみると理解しやすいかもしれません。
よくわからなくなってきたという場合は、基礎を読み返して内部統制の考え方を体に染みつけてください。