ノウハウ 内部統制とは?構築方法とコーポレートガバナンスやリスクマネジメントとの違いなど分かりやすく解説
内部統制とは?構築方法とコーポレートガバナンスやリスクマネジメントとの違いなど分かりやすく解説
組織運営における内部統制の意味や目的、重要性をご存知でしょうか。
内部統制と似た概念にコーポレートガバナンスやリスク管理(リスクマネジメント)がありますが、それぞれどのように関係しているのでしょうか。
内部統制とはどのようなもので、どのように構築するのか本記事で紹介します。
内部統制が機能しているか調査し、改善に取り組みながら体制の整備に活かすために内部統制評価という評価も実施されます。内部統制評価の進め方と、評価業務効率化のポイントと注意点もまとめました。
内部統制とは?コーポレートガバナンスとの違い
組織が自身の目標を達成するために、どのように組織全体を管理し、リスクをコントロールするかについての考え方やシステムのことを「内部統制」と言います。
その詳しい意味と目的、内部統制と似た概念のコーポレートガバナンスとの違いについて見ていきます。
①内部統制の意味
内部統制は、組織全体を管理し、経営者が会社を効率的かつ健全に運営するための仕組みのことを指します。しかし、具体的には何を指すのでしょうか。
内部統制は組織の目標達成を助ける管理システムの一つであり、業務の有効性及び効率性を確保しつつ、組織のリスクを評価し、それに対応するためのシステムを作るというのがその主な役割です。例えば、会社が法律を遵守して運営されているかを確認するシステムや、業務の効率化を図るためのシステムなどが内部統制に含まれます。
内部統制が全ての問題を解決するわけではありませんが、問題が起きたときにそれを早期に発見し、解決するための手助けをしてくれます。
②内部統制の目的
内部統制の主な目的は、組織の目標達成を支えることです。具体的には、法令遵守、業務の効率化、信頼性の高い財務報告の提供、そして不正行為の防止と検出等が目的としてあげられます。
例えば、会社が法律を遵守するためには、法律に関する情報を適切に把握し、それに基づいた行動が取れるようなシステムが必要です。これが内部統制の一部となります。また、業務の効率化を図るためには、業務プロセスを見直し、無駄を省いたり、作業の手順を明確にしたりする必要があります。これも内部統制の一環と言えます。
つまり、内部統制は組織の運営をスムーズにし、問題が起きたときにはそれを早期に発見し解決するための重要なシステムです。
③コーポレートガバナンスとの違い
内部統制とコーポレートガバナンスは、組織運営において重要な要素であり、しばしば関連性があるため混同されがちです。しかし、両者は異なる概念であり、それぞれの目的や機能に違いがあります。
まず、内部統制は、組織が目標を達成するために、リスクを管理し、情報の信頼性を確保し、法令や規制を遵守することを目的としています。内部統制は、組織内の業務プロセスやシステムを適切に管理し、統制活動を実施することで、組織全体の効率や効果を高める役割を担っています。
一方、コーポレートガバナンスは、組織の運営に関する意思決定や監督等、企業活動を規律する仕組みを指します。コーポレートガバナンスの目的は、継続的に会社価値(株主価値)を最大化し、株主やステークホルダーの利益を守ることです。コーポレートガバナンスは、経営陣や取締役会、監査役会などの役員が責任を持ち、適切な意思決定を行い、組織の運営を監督することで実現されます。
つまり、内部統制が組織内の業務プロセスやリスク管理に焦点を当てているのに対し、コーポレートガバナンスは組織全体の運営や経営陣の責任に注目しています。また、内部統制は組織の効率や効果を向上させることが目的であるのに対して、コーポレートガバナンスは継続的に会社価値(株主価値)を最大化し、ステークホルダーの利益を守ることを目指しています。
両者は異なる概念であるものの、内部統制が適切に機能することで、コーポレートガバナンスの質も向上することが期待されます。つまり、内部統制とコーポレートガバナンスは、組織の健全な運営を支えるために互いに関連し、補完し合う存在なのです。
【関連記事】ガバナンス強化とは?強固にするメリット・方法と事例をご紹介
内部統制の重要性
ここまで見てきたように、内部統制は組織がスムーズかつ効率的に運営されるために欠かせない要素です。そして、内部統制の重要性は、法令遵守の確保、経営効率の向上、不正行為の防止と検出において具体的に示されます。
重要性1.法令遵守(コンプライアンス)の確保
内部統制は、組織が常に法律と規範を遵守するための重要なツールです。組織が違法行為を犯すリスクは、罰金、訴訟、評判の損失など、様々な形で組織に悪影響を及ぼします。内部統制によって法令遵守を確保することで、これらのリスクを減らし、組織の信頼性と透明性を高めることができます。
【関連記事】コンプライアンスの違反事例と、強化のためにできる対策とは
重要性2. 経営効率の向上
内部統制は経営の効率化にも寄与します。組織の業績は効率的なプロセスと直結しており、内部統制は業務フローをスムーズにし、無駄な作業を排除することで、組織のパフォーマンスを最大化します。例えば、業務の手順を明確にし、無駄な作業を省くことで、業務の効率化を図ることができます。
重要性3.不正行為の防止と検出
内部統制は組織内の不正行為を未然に防ぐ重要な手段です。内部統制の強化により、組織は不正行為を早期に発見し、適切な対策を講じることができます。また、不正行為の防止策を明確にすることで、組織内部の倫理規範を強化し、組織文化を健全に保つことも可能になります。このように、内部統制により不正行為への対応を強化することは、組織の長期的な成功にとって重要な要素となります。
内部統制の6つの要素
内部統制には大きく分けて6つの要素があり、それぞれが相互に関連し合いながら組織の内部統制を支えています。組織の具体的な状況に応じてこれらの要素を適切に組み合わせ、効果的な内部統制を実現することが必要です。以下に、それぞれの要素について詳しく説明します。
要素1. 統制環境
統制環境は、組織の内部統制の基盤となる要素です。企業の指導者は、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与えるため、統制環境を整備し、内部統制の重要性を認識し、文化と倫理の促進に取り組む必要があります。また、組織の構造や責任分担、人事制度なども統制環境に含まれます。
要素2. リスクの評価と対応
リスクの評価と対応は、組織が直面するリスクを識別し、適切な対策を講じるプロセスです。企業はリスクの重要性を評価し、適切な管理策を策定することで、リスクの発生や悪影響を最小限に抑えることができます。
要素3. 統制活動
統制活動は、経営者の命令及び指示が適切に実行されることを確保するための企業内の各部門やプロセスにおける具体的な統制手段や手続きのことを指します。例えば、企業内の業務プロセスにおける監査や確認手続き、承認プロセスなどが統制活動の一部です。統制活動は、企業の運営において内部統制の効果を実現するために欠かせない要素です。
要素4. 情報と伝達
情報と伝達は、企業内での情報の収集、共有、伝達のプロセスです。適切な情報の共有と伝達は、意思決定の質を向上させ、企業内でのコミュニケーションを円滑にします。内部統制では、企業内で必要な情報が適切に共有され、関係者が必要な情報にアクセスできるようになっていることが重要です。
要素5. モニタリング
モニタリングは、内部統制の継続的な評価と監視を行うプロセスです。企業は定期的に内部統制の有効性を評価し、必要な改善策を講じることで、統制の効果を維持・向上させることが求められます。モニタリングには、内部監査や経営層による評価などが含まれます。
要素6. IT対応
IT対応は、情報技術を活用した内部統制の確立と維持を意味します。現代の企業においては、情報システムが業務プロセスやデータの管理に重要な役割を果たしています。IT対応では、情報システムのセキュリティや運用管理、データの保護などが重要な要素となります。例えば、契約業務の管理と効率化を行えるクラウド型サービスを導入することにより、契約業務の効率化を実現する、といった取り組みが行われます。
内部統制とリスク管理の関係
内部統制もリスク管理(リスクマネジメント)も、リスクをコントロールする点では共通です。
ところが、リスクをコントロールする範囲と、何をリスクと見なすかは異なります。
内部統制は、会社内のリスクをコントロールすることが求められます。例えば社内で使うシステムのトラブル、会計処理のミス、内部情報の流出などのコントロールです。
リスク管理は、社内に加えて社外のリスクコントロールも求められます。例えば市場の変化や自然災害によって企業が被る損害なども対象です。
コントロールすべきリスクの範囲が違うということは、何をリスクと見なすのかも異なります。
内部統制の想定するリスクは、リスクを起こさないためのルールを徹底したり、発生した後の対応を定めておくことで最小限にできるだろうリスクを指します。「確実性の高いリスク」とも呼ばれるものです。
リスク管理ではいつ・どのようなリスクが出現するか分からないものもリスクとします。想定外のことが起こることから備えは難しく、不確実性の高さをうかがえます。
内部統制を機能させる先にリスク管理があると言えるでしょう。
COSOトレッドウェイ委員会支援組織委員会
米国トレッドウェイ委員会支援組織委員会(呼称はCOSO)は、2004年に企業のリスクマネジメントについてまとめたフレームワークを公表しました。
2016年には新しいフレームワークが公表されています。事業を取り巻く環境変化と共に、企業がコントロールを求められるリスクも多様化・複雑化が進んだためです。
2004年に公表されたフレームワークは、リスクマネジメントのあり方がはじめて整理されたフレームワークです。自社に影響を及ぼす可能性のある事象を洗い出す仕組みを構築し、リスクをコントロールすることで事業の目標達成をサポートするための方法です。アメリカ以外でも導入されました。
COSOが1992年に公表した「内部統制の統合的フレームワーク」を発展させたもので、内部統制整備の対応にリスクマネジメントで意識すべき目的と構成要素を追加したものになっています。
新しいフレームワークでは戦略・事業目標設定時に以下の3つのリスクが存在するとしています。
- 戦略実行時のリスク
- 戦略と企業理念が乖離するリスク
- 想定しているリスクが外部環境の変化などで実態と乖離するリスク
上記のうち1つでも考慮されていないと戦略実現の可能性が下がり、企業の成長を妨げることが懸念されます。
経営者自身が3つのリスクを考慮するためのプロセスを構築することと、戦略立案の段階でどのようなリスクがあるか把握し、戦略実施後も定期的なモニタリングを行うことを求めます。
また、3つのリスクを対処して戦略や事業目標の実現に向けて必須とする5つの原則と23の要素が示されます。
原則と要素の一部をまとめました。
- リスクガバナンスと文化
- 取締役による監査の実施
- 優秀な人材の採用・育成・定着 など
- リスクと戦略や事業目標の設定
- 想定するリスクの定義
- 代替戦略案の評価
- パフォーマンスの許容範囲の定義 など
- 戦略実行時のリスク
- 戦略を実施する際のリスクの特定
- リスクの重要度・優先度の評価と決定
- リスクの対処法の立案 など
- リスク情報・コミュニケーション・レポーティング
- 情報システムの活用 など
- 全社的リスクマネジメントパフォーマンスのモニタリング
- 重要な変化や全社的リスクマネジメントのモニタリング
金融庁と東京証券取引所がまとめた「コーポレートガバナンス・コード」と新しいフレームワークのリスクへの対応方法は考え方が似ています。日本では、コーポレートガバナンス強化にも活用できる可能性があります。
リスクマネジメントの手順
- リスクの特定
- リスクの分析
- リスクの評価
- リスクへの対応
- リスクの監視
リスクの特定
まずはプロジェクトや事業活動に潜むリスクを洗い出します。
リスクの分析
潜在的なリスクが発生する可能性、発生した時の影響を整理します。
リスクの評価
対処すべきリスクの優先度が分かるよう、発生頻度の高さや影響を基にリスクに優先順位をつけます。
リスクへの対応
リスクの要因をなくす・減らす方法や、発生した時の影響を最小限にする方法などリスクごとに対応策を考え、実行します。優先度の高いものから対応しましょう。
リスクの監視
リスク管理が上手く機能しているか定期的なチェックが大切です。新たなリスクを発見したら、分析と評価、対応策の立案を経て施策を実施します。
内部統制の構築方法
内部統制を構築するには、具体的な方法やステップが存在します。具体的な構築方法としては、適切な組織の方針と目標の設定、リスク管理体制の整備、統制活動の実施と評価、情報共有とコミュニケーションの確立、そして定期的な監査と改善が必要となります。
以下で、これらのポイントを詳しく見ていきましょう。
方法1.組織の方針と目標の設定
まず、内部統制を構築するためには、組織の方針と目標を明確に設定することが重要です。方針と目標は組織の行動の指針となり、内部統制の具体的な活動を決定する基盤となります。例えば、組織がリスク管理に重きを置くと決定した場合、それに基づいて具体的なリスク管理の手順や責任者を設定することができます。
方法2.リスク管理体制の整備
次に、リスク管理体制の整備が必要です。リスク管理体制とは、リスクの特定、評価、対策の実施とその効果の評価、改善のための活動を組織全体で行うための体制を指します。具体的には、リスク管理の責任者を設定し、リスク管理に関するルールを策定し、それを組織全体に周知徹底することが求められます。
【関連記事】リスクマネジメントとは?基本的な戦略と手法を分かりやすく解説
方法3.統制活動の実施と評価
統制活動の実施と評価も重要なステップです。統制活動とは、内部統制の目的を達成するために具体的に行われる活動を指します。これらの活動を適切に実施し、その効果を評価することで、内部統制の有効性を確認し、必要な改善を行うことができます。
方法4.適切な情報共有とコミュニケーションの確立
情報共有とコミュニケーションも内部統制の重要な要素です。組織内で適切な情報が共有され、必要なコミュニケーションが取れるようにすることで、組織全体としての統制活動の効率と効果を高めることができます。具体的には、情報共有のためのツールの利用や、定期的なミーティングの開催、意思決定過程の透明化などが挙げられます。
方法5.定期的な監査と改善
最後に、内部統制を構築した後も、その運用を定期的に監査し、必要な改善を行うことが重要です。監査によって、内部統制の運用状況を客観的に把握し、問題点や改善点を明確にすることができます。そして、それを元に改善活動を行うことで、内部統制の有効性を維持・向上させることが可能です。
内部統制を評価するプロセス
- 内部統制の評価範囲の決定
- 全社的な内部統制評価
- 決算・財務報告に関する内部統制評価
- その他の業務プロセスに関する内部統制評価
- 不備への対応の検討
- 内部統制評価の結果と改善策を経営陣や関係者に報告
財務報告に影響を与える業務・プロセスなど、重要度の高い業務については重点的な調査が必要です。業務やプロセスに関するリスクも評価し、リスクの高い領域もまた詳細な調査の対象です。
評価の基準や方法も最初に決定します。
内部統制評価はJ-SOX3点セットを作成しながら進めることが推奨されます。
3点セットのリスクコントロールマトリックスは、業務プロセスの不備の対処法を検討する際にも役立ちます。
内部統制評価の最後に、評価の結果と改善策を経営陣や関係者へ報告することも忘れないようにしましょう。加えて、内閣総理大臣と監査法人に内部統制報告書の提出が義務づけられています。原則、事業年度の末日から3ヶ月以内の提出が必要です。
内部統制評価効率化のポイント
リスクの高さで評価項目を変えたり、評価業務をスムーズに進められる工夫をすることが大切です。ITツールも評価業務の効率化に有効です。
リスクの高低で評価項目などを変える
全ての業務・プロセスについて共通の項目数を評価するのは大変です。そこで、リスクの高い領域に重点を置くことで、評価の業務効率化を見込めます。
リスクが低い業務・プロセスに関しては、簡略化された評価とすることで、重大な業務・プロセスに注力した評価が可能です。
評価業務のシステム化を目指す
内部統制評価を行う前に評価基準や方法を決定しますが、基準や進め方や方法をマニュアルのような文書でまとめておくことで、評価業務の一貫性が保たれます。進め方などが明確なおかげで、効率的に評価を行いやすいです。
業務プロセスの無駄、例えば一体化できる工程が統一されていないために評価対象が増えることなどを防ぐため、業務プロセス自体の見直しも重要です。
ITツールの活用
ワークフロー管理システムやデータ分析ツールなどは、評価の客観的な根拠となり得ます。判断に迷いにくくなり、効率的に評価しやすくなるでしょう。
内部統制評価効率化の注意事項
評価の効率化を図っても、リスクや不備を見落とさないことは忘れてはなりません。
統一された評価基準と手順もポイントです。
リスクや不備を見落とさないようにする
評価を効率的に進めることばかり意識し過ぎると、リスクの高い業務・プロセスの評価を誤る可能性があります。業務プロセスの不備を見落とすことも懸念されます。
評価時点では小さな不備でも、将来的に大きな問題に発展するかもしれません。故に、不備と思われるものは報告を忘れないようにすることが欠かせません。
評価基準・手順の周知徹底
基準や手順を整備しても、定めた通りに活用されなければ部署や拠点でバラつきが生じることが予想されます。
担当者に効率的かつ一貫した評価を行うために基準と手順が整備されていることを説明した上で、流れなどを共有することが求められます。
まとめ
内部統制は、組織の法令遵守、経営効率の向上、そして不正行為の防止と検出など、組織運営において極めて重要な役割を果たします。そのためには、明確な組織の方針と目標の設定、適切なリスク管理体制の整備、統制活動の実施と評価、情報共有とコミュニケーションの確立、そして定期的な監査と改善など、多面的なアプローチが求められます。これらの取り組みを通じて、内部統制は組織全体の成長と発展に寄与します。それぞれの組織が自らの特性や課題を理解し、適切な内部統制を構築することで、持続可能で信頼性の高い組織運営が可能となります。
内部統制が機能することでリスクマネジメントも機能します。企業のリスク管理にも欠かせない内部統制は、リスクをコントロールできる体制かどうか評価され、評価と改善を繰り返しながら整備する必要があります。
内部統制評価が効率的に行われることが、内部統制のスムーズな改善につながります。
以上のことから、内部統制は組織運営における不可欠な要素であると言えます。効率的な内部統制評価も活用しながら、組織の成功と持続的な成長を目指すなら、ぜひとも効果的な内部統制の構築と運用に取り組みましょう。
