「内部統制」とは、不正や情報漏洩を未然に防ぎ、健全な企業運営を行うために欠かせないルール・仕組みのことです。ここでは、内部統制の概要と目的、内部統制を行うためのポイント、ニューノーマルに適した監査の仕組みを解説します。
内部統制とは
企業における「内部統制」とは、「会社法」と「金融商品取引法(J-SOX法)」という2つの法律で定められている経営者含めすべての従業員が遵守すべきルール・仕組みを指します。会社内部の不正や情報漏洩を防止し、会社の健全性や適正さを保つことが目的です。内部統制の概要は、金融庁が公表している「財務報告に係る内部統制の評価及び監査の基準」で定められています。
内部統制が義務となる企業は、会社法第362条5項、金融商品取引法第24条・会社法2条6項で定められており、上場企業とその連結子会社および会社法上の大会社(資本金5億円以上または負債200億円以上を満たす、取締役会がある株式会社)が該当します。
参照:会社法
参照:金融商品取引法
上記を満たさない会社は、法律上は内部統制実行の義務はありません。ただし、内部統制を行うメリットは非常に大きいため、自主的に整備、推進している会社も多く存在します。いずれの場合も、会社側が規則を定めるだけでは不十分です。定めた規則を全社横断的に運用・評価し、継続的に改善していかなければ、内部統制は瞬く間に形骸化してしまうため、取締役が適正に管理していく必要があります。また、外部監査役や外部取締役の意見も聞き入れる必要があるでしょう。
コーポレートガバナンスとの違い
内部統制としばしば混同されるものに「コーポレートガバナンス」があります。「企業内部から不正・不祥事を防ぐ」という目的は同じですが、全く異なるものです。
1980年~90年代頃、日本では企業の不祥事や経営悪化が相次いでいました。そのため、アメリカから「経営者が株主利益の最大化を図っているかを監視する仕組み」を輸入し、日本でも導入することになりました。これが日本におけるコーポレートガバナンスの始まりとされています。
東京証券取引所がコーポレートガバナンスの原則を取りまとめた「コーポレートガバナンス・コード」によると、コーポレートガバナンスは次のように定義されています。
「会社が、株主をはじめ顧客・従業員・地域社会等の立場を踏まえたうえで、透明・公正かつ迅速・果断な意思決定を行うための仕組み」
引用元:コーポレートガバナンス・コード ~会社の持続的な成長と中長期的な企業価値の向上のために~
コーポレートガバナンスは「ステークホルダーの利益を最大化するために、社会全体へ会社の立ち位置を示し、長期的・持続的に企業価値向上をめざす取り組み」です。対象の中心となるのは、経営判断を行う経営者です。一方で、内部統制は会社や利害関係者に向けたルール・仕組みであり、対象者は経営者を含む全従業員です。
内部統制の目的
金融庁は「財務報告に係る内部統制の評価及び監査の基準」において、達成すべき4つの目的を提示しています。その目的について、詳しく確認していきましょう。
参照元:財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)
業務の効率性を高める
まずは、業務効率の向上です。企業活動を行う上で、無駄なコストは事業を悪化させる一因になります。経営目標にスムーズに到達するためにも、業務をより効率的に進めることは欠かせません。
たとえば、顧客情報をデータベース化し、煩雑な処理を削減することもポイントです。さらに製品情報を迅速に共有する体制を整えることで、企業としての動きを効率化させます。
財務関連情報に信頼性を持たせる
「財務関連情報」とは、会社の財務について報告する損益計算書や財政状態計算書などを指します。このような情報がわかりづらく、正確性を欠いたり、虚偽の申告が行われると、経営に支障をきたすだけでなく銀行や投資家、株主からの信頼も得られません。資金を集めるためにも、財務報告の信頼性向上が必要です。
事業活動に関わる法令の遵守
当然のことですが、経営活動を行う上で法律は遵守しなければなりません。利益のみを追求して法律違反をしてしまうと、法的な責任を取ることになるだけでなく、社会的な信用も大きく損ねます。そのため、万が一にも法に触れることをしないよう、しっかりと内部統制で法令の遵守を厳格化する必要があります。
また、法令から外れていないからといって、あまりに企業倫理を逸脱した行いをすることも、社会的な信用の失墜につながります。法令はもちろんのこと、社会的規範や倫理も常に意識しておくことが求められます。
資産を適切に管理、活用する
企業は資産を元手として経営活動を行います。この資産が危うくなれば、やがて企業としての活動が立ち行かなくなってしまいます。そのため、資産を適切に管理し、無駄なく効率的に活用することは、会社運営において不可欠なことです。
内部統制の整備に欠かせない6つの基本的要素
内部統制は4つの目的を軸としています。これらの目的を達成するために、必要とされる6つの要素について解説します。
統制環境
「統制環境」とは、内部統制の遵守を社内全体で意識し、6つの基本的要素の基盤となることを指します。つまり、内部統制を実現するための環境作りです。
しかし、これらの要素がきちんと4つの目的に沿って構築されていても、社員が内部統制を遵守する意識が根付かず、「面倒だからやらなくてもいい」とアクションを怠るようでは意味がありません。今後無駄にならないようにしっかりとした内部統制を構築するためには、まずは基盤作りが重要です。
リスクの評価と対応
ここでいう「リスク」とは、目的達成までの障害となり得る要因のことです。まずは、どういった障害(リスク)が潜んでいるのかを把握・分析したうえで、評価を行います。
そして、見つかったリスクに対して低減策や回避策を取るか、受容するかなどの対応方法を選択します。こうした一連のプロセスをきちんと整備することが、リスク評価と対応における基本的要素となります。
統制活動
企業は、生産や販売、資産管理、人事管理などさまざまな活動を行います。こうした活動が経営者の指示通りにきちんと機能するよう定められた方針や手続きを「統制活動」といいます。経営層からの指示を従業員たちへ適切に伝える組織づくりということです。
統制活動の例としては、「経営者が社員たちに適切な権限と裁量権を与えること」が挙げられます。誰に・何の権限を与えるかは、企業の統制に深く関わってきます。
情報と伝達
「情報と伝達」は、社内での情報伝達が適切に行われ、お互いにきちんとその内容を把握できるまでのプロセスを指します。情報をただ単に伝達すればよいというわけではなく、各自が必要な情報を適切に理解・判断し、信頼性を確認することこそが大切です。
「どのような情報の扱いが、どのようなリスクにつながるのか」。これを各自がきちんと理解できている状態を維持するように企業は努めなくてはなりません。
また、情報の伝達は会社内部だけでなく、営業先や取引先など外部にも的確に行う必要があります。内部伝達も外部伝達も、どちらも適切に情報を伝えるためのプロセスを確保しておかなければなりません。
モニタリング
完成した内部統制がきちんと機能しているかどうか、常にモニタリングする必要があります。内部統制がいい加減に済まされないよう監視し、都度、評価や是正が行われなければなりません。
モニタリングは、日常業務の過程で行われる「日常的モニタリング」と、日常業務とは別に経営者や取締役、監査役によって行われる「独立評価」の2つに分けられます。日常的モニタリングのみだと、気心の知れた社員同士でつい監視の目が緩んでしまうことも考えられます。そうした事態を防ぐために、定期的に経営者や取締役といった立場の人間が、独立評価という形でチェックを行うことが求められます。
ITへの対応
経営目標を目指すうえで、IT技術を適切に活用できているかどうかもチェックの対象となります。昨今は、ITに関連する企業でなくとも、会計や経理、販売、社内管理などあらゆる部分でITシステムに頼っています。
こうしたシステムを利用していながら理解が不十分だったり、専門知識を持った担当者が不在だったりすると、大きな損失につながるトラブルが起こりかねません。
ITへの対応には、2つの側面が求められます。「IT環境への対応」と「ITの利用及び統制」です。前者は、「経営活動で効率的にIT技術を使っているかどうか」を重視します。後者は、「内部統制や他の基本的な要素を機能させるために、ITを活用しているかどうか」がポイントとなります。
内部統制報告制度(J-SOX法)とは?
「内部統制報告制度(J-SOX法)」とは、金融商品取引法によって定められた規定です。この規定にしたがって、上場企業の経営者は社内の内部統制を評価し、「内部統制報告書」という形で金融庁に提出する義務があります。経営者は、内部統制がきちんと正しく機能しているかどうかをチェックし、その評価を報告書にまとめなければなりません。さらに、この報告書は公認会計士または監査法人の監査も受ける必要があります。また、報告書や関連文書は5年間保存する必要があるため、適切な文書管理が求められます。
内部統制に関わる役職とその役割
内部統制は、あらゆる目的や基本的要素を軸として、厳密に定められています。こうした制度を決めていくうえで、どのような人たちが関わっているのかを解説します。
経営者
まず挙げられるのが、企業の経営者です。経営者はその立場上、企業活動におけるすべての責任を持っています。それは日常における業務のみでなく、内部統制の運用についても同じです。経営者は、内部統制が正しく機能するよう整備・運用を行ったうえで、代表者として内部統制の報告を行う義務があります。
取締役会
内部統制の運用を行う立場にある経営者とは異なり、取締役会は内部統制の基本方針の決定を行う形で関わります。取締役会は、経営者の業務を監視する立場の人間です。そのため内部統制においては、その運用に直接的に関わることはありませんが、きちんと機能しているかどうかを監視する責任を経営者と同様に有しています。
監査役・監査委員会
監査役は、取締役や執行役の職務を監査する立場の人間です。独立した立場から内部統制の運用の監査・検証を行います。
内部監査人
監査役とは別に、組織内部から内部統制の整備や運用状況の検討・評価を行います。監査役と大きく異なる役割として、必要に応じて業務改善を社内から促すこともあります。
このように、独立した立場(監査役)と社内の立場(内部監査人)という2つの視点から、徹底した監査を行います。
組織内の従業員
内部統制は、企業のすべての従業員が遵守すべき制度です。1人でも従わなければ、内部統制の運用に不備が生じる可能性があります。従業員一人ひとりが、自らの業務遂行を通して、内部統制の整備や運用に関わっています。それぞれの役職に応じた義務と権限に基づき、「内部統制についても責任を持ち、しっかりと運用していく」という意識が重要です。
内部統制構築のポイント
内部統制を進めるためのポイントを解説します。
内部統制の基本方針を決める
まずは、内部統制の基本方針を決めていきます。現場レベルの細かいルールなどは、ここで策定した基本方針に則って整備することになります。そのため、場当たり的に決めるのは避けなければいけません。内部統制が機能するかしないかに関わる根幹の部分であるため、会社法によって取締役会で決議することが定められています。
また、経営者は企業理念、経営方針、行動指針、コンプライアンス基準を決定します。全社・部署・業務といった単位ごとに責任者を任命し、評価範囲や管理体制などを整えることも求められています。
問題が起きた時の対処法を決めておく
内部統制を強化しても、すべての問題を予防できるとは限りません。したがって、リスクを判定・識別する評価の仕組みや、問題が発生した場合の対処法まで、事前にしっかりと決めておくことが大切です。そのために、リスク評価の基準をしっかりと検討し、ケースに応じて適切な責任者を関与させる体制を整えましょう。
内部統制のレベルを継続的に向上させる
内部統制の仕組みは、構築して終わりではありません。継続的にPDCAのサイクルを回し、統制レベルを高めていく必要があります。コロナ禍のような劇的な社会変化に対応するのは当然ですが、平時であっても適宜仕組みを見直さなければ、いずれ現状にそぐわなくなり、内部統制の仕組みそのものが形骸化してしまいます。
そのため、定期的に各段階の主要なリスクを評価・分析し、未経験のリスクか否かも踏まえながら、適切な対応方針を検討しましょう。そして、改善点の検証も行います。監査委員からの指摘も反映させる必要があります。
ニューノーマルに求められる「内部統制DX」とその対策
ニューノーマルで環境や働き方が変わった時代に企業が適応するためには、タイムリーに情報を得続けることが欠かせません。そのために有効な「内部統制DX」について解説します。
対策1. 内部監査のリモート化
コロナ禍の影響によるリモートワークやペーパーレスの普及に伴って、従来の働き方を前提にした内部統制では不十分、もしくは合わなくなりつつあります。企業はテレワークやハイブリッドワーク環境下での新たなリスクを加味しながら、監査品質の向上に取り組まなければいけません。
そのために有効なのが、監査プロセスにもDX(デジタルトランスフォーメーション)を取り入れることです。テレワークが定着したことで各業務プロセスのデジタル化も進展しつつある中、同時に監査プロセスのデジタル化も推し進めることが大切です。企業に蓄積されたデータやファイルをいつでも活用できる体制をつくることで、データドリブンで迅速かつ柔軟な意思決定が可能になり、監査品質も向上します。
監査DXを始めるうえでは、各業務プロセスのファイルをクラウドで一元管理することが効果的です。文書や契約書、議事録などだけでなく、顧客データや申請から承認までの履歴も保存・管理することで、従業員は自由にデータを活用することができます。さらに、ログが残るため改ざん防止にもなり、ファイルの信憑性も担保されます。内部統制報告書など法的に保存しなければいけない文書もクラウドのコンテンツ管理機能を使えば適切に保存することができます。適切なアクセス権限設定により情報漏洩リスクも低減されます。
監査プロセスのDXには、「Box Japan」が公開している「リスク・アセスメント・テンプレート」の活用が有効です。各種ドキュメントをクラウド上で一元管理する機能など、リモートワーク環境下で内部監査を効果的に行うための情報が集約されています。
対策2. 情報ガバナンスの構築
内部統制においては、情報ガバナンスの構築も重要です。情報ガバナンスはコーポレートガバナンスを構成する要素のひとつで、ファイル等のコンテンツを戦略的に用いるための全社横断的なルール・指針です。データやファイルを最大限に活用する「攻め」の側面と、データやファイルの活用に伴うリスクの最小化という「守り」の側面の両面を持っています。最終的には、守りを固めることで、安心安全にデータ・コンテンツを活用し、企業成長につなげていきます。
情報ガバナンスを構築するためには、情報のライフサイクルに沿って、収集から保管、分析、活用、保存、戦略的破棄までの各段階に合ったルールを明確にする必要があります。これらのルールに基づき、組織内および業務ごとの分散管理されているコンテンツをクラウド上で一元管理することで、品質基準が守られた安心・安全な情報蓄積が可能になります。情報のサイロ化は生産性低下やビジネスチャンス損失も引き起こします。紙文書から電子文書への移行が進んでいる現代では、コンテンツの一元管理が不可欠です。
働き方が大きく変わった現在は特に、情報ガバナンスの構築を通して、コンテンツの品質を高めることが大切です。そうすることで、データドリブンな経営につながり、情報漏洩に代表されるセキュリティ事故といったリスクも最小限にとどめられます。
まとめ
内部統制は単なる社内ルールではなく、会社法と金融商品取引法(J-SOX法)で定められた、全社横断的に遵守するべきルール・仕組みです。上場企業や大企業には、この内部統制の構築・運用が義務付けられています。該当しなければ法的には内部統制を行う必要はありませんが、メリットは多く自主的に整備する企業も少なくありません。
その上で、ニューノーマルの時代を迎えた近年では、従来の内部統制の仕組みでは不十分になりつつあります。テレワークやペーパーレス化に伴って、コンテンツもクラウドで一元管理することが求められています。そうすることで、情報漏洩などのセキュリティ事故のリスクを最小限に抑えながら、コンテンツを有効活用し、企業成長につなげていけます。
こうした仕組みを整えるには、クラウドでファイルを一元管理でき、文書管理機能も充実しているコンテンツクラウド「Box」がおすすめです。コンテンツのライフサイクルの各段階に合わせた運用ができるため、内部監査のリモート化を後押し、内部監査をよりスムーズに進められ、企業の社会的な信頼度の向上や監査要件および法的要件への対応も可能となります。
