内部統制は、業務に誤りや不正が生じないようにする仕組みです
内部統制を一言で表すなら、会社の経営をより良くするための仕組みということになります。会社の経営者は、業務を効率的に行い、法律を遵守し、会社の財産を守り、それを株主をはじめとする社会に報告する義務を負っていますが、そのような経営者の義務を果たすための仕組みなのです。
具体的には、「社員が横領を行なわないように、チェック体制を整える」、「会議の議事録は、きちんと紙に残しておく」など、業務に誤りや不正が生じないようにする仕組み全体を指しています。
内部統制とは?
企業が法令を遵守し、有効で効率的な業務活動を行ない、信頼できる財務報告を行えるような仕組みを社内に作り上げるプロセスです。
COSOフレームワーク
内部統制を実施するにあたり、ガイドとすべき世界標準となっている枠組みで、それまでバラバラに解釈されていた概念を整理し、定義を明確にしました。
COSO ERM
2003年、トレッドウェイ委員会は、リスクマネジメントに関する世界的な関心の高まりを背景に、新しいCOSOフレームワークの公開草案を公表しました。
会社法と金融商品取引法
会社法ではコンプライアンスの推進を主眼としているのに対し、金融商品取引法では財務報告の開示の適正さの確保に向けられているという違いがあります。
コーポレートガバナンスとの関係
内部統制が有効に機能しているかどうかは、取締役会、社外取締役、監査役などが、取締役として行うべき行為を適切に監視できるかどうか、つまりコーポレートガバナンスの問題になります。
コンプライアンスとの関係
コンプライアンスは、「法令順守」と訳されることもありますが、近年は法律だけでなく、社内ルールや企業倫理、健全な慣行などをふまえた活動を企業にもとめたものと広く考えられるようになっています。
ISOマネジメントシステムとの関係
「トップダウン型のアプローチを採用」、「プロセスを可視化する」、「PDCAサイクルに基づいて、目的を達成する」という構築・運用手法が共通しています。
公認内部監査人(CIA)
取締役や従業員などが不正な業務処理を行っていないかどうかを、監視・助言を行います。
公認情報システム監査人(CISA)
企業の情報システムにおけるシステム監査、セキュリティ、コントロール(管理)分野の国際資格です。SOX法の導入により有資格者のニーズが急増しています。
内部統制の4つの目的
目指すべきことは以下の4つですが、それらは、経営者が事業を継続的に安定成長させるために意識すべきことと一致しています。
業務の有効性及び効率性
業務の有効性とは事業活動や業務の目的が達成された程度をいい、業務の効率性とは組織が目的を達しようとする際に、時間、人員、コスト等の資源が合理的に使用される程度をいいます。
財務報告の信頼性
企業が公表する財務諸表及び財務諸表に重要な影響を及ぼす可能性がある情報の信頼性が確保することを目的としています。
事業活動に関する法令等の遵守
経営者が関与あるいは関知していなくても、その企業のなかの一部の組織やたった一人の従業員が法令違反を起こせば、その責任は企業ひいては経営者に問われることになります。
資産の保全
資産の保全が適切になされていないと、投資が無駄になったり、不必要な負債を背負うなど、資産価値の目減りや競争力の低下を招く可能性があります。
内部統制の6つの基本的要素
以下の6つの基本的要素から構成されており、これらを整備・運用することで上記の4つの目的を実現させます。
統制環境
統制環境とは一言でいうと、目的を達成しようという企業全体の雰囲気や社風のことです。
リスクの評価と対応
経営者は、経営目標を達成するために、これらのリスクを洗い出し、評価するとともに、リスクを低減させるための適切な処理をとることが求められます。
統制活動
企業活動が、経営者の指示や命令によって適切に実行されるための方針や手続きのことをいいます。
情報と伝達
情報は企業にとって「ヒト、モノ、カネ」と並んで非常に重要な価値を持っていますが、内部統制においても、情報とそれを伝達する手段は重要な要素となっています。
モニタリング
内部統制の仕組みは一度完成してしまえば、それでおしまいというものではなく、有効的に機能しているかを継続的に評価するプロセスが必要となります。これをモニタリングといいます。
ITへの対応
ITへの対応は、「IT環境への対応」と「ITの利用及び統制」という2つのタイプに分けることができます。
内部統制が機能しない4つの状況
「限界」が存在し、いくらシステムが十分に整備され、意図したとおりに運用したとしても誤りが生じる可能性はゼロではないのです。
担当者の不注意や判断ミス、共謀
不注意や判断ミスの発生をダブルチェックなので減少させる機能を備えていますが、その行為を行なうのが人間である以上、ミスが発生する可能性をゼロにすることはできません。
組織内外の環境の変化や非定型的な取引
構築された時点での業務プロセスに基づいて設計されていますので、システムの構築後にITインフラに大規模な変更が生じた場合や企業環境に変化が生じた場合には、内部統制の有効性が期待できないことがあります。
効果に比べてコストが極端に上回る
コストが得られる効果を極端に上回ると判断される場合には、その導入を断念するかもしれないというのが限界となります。
経営者による不正
重大な法令違反が見つかった場合、直ちに経営者に伝達がなされることになりますが、経営者はその立場ゆえに、これを握りつぶしたりすることも可能なのです。
連結ベースによる評価
評価の範囲は、企業単体ではなく「連結ベース」で行なうことが求められています。
評価範囲の決定
評価範囲は、経営者の主観で決めることはできません。あくまでも合理的な判断が求められます。
評価の方法
経営者としては、まず、連結ベース(全社レベル)での財務報告全体に重要な影響を及ぼす内部統制の評価を行う必要があります。例えば、全社的な会計方針及び財務方針、組織の構築及び運用等に関する経営判断、経営レベルにおける意思決定プロセスがそれにあたります。
「不備」と「重要な欠陥」
何らかの問題がある場合を「不備」といいます。不備のうち財務報告に重要な影響を及ぼす可能性が高いものを「重要な欠陥」として識別しています。
内部統制報告書の作成
経営者が記載する項目は定められています。これは企業によって記載内容が異なると、投資家が判断を行ううえで必要な項目が抜け落ちる可能性があるためです。
作成例(サンプル)
書き方を一例として掲載しています。整備及び運用に関する事項と評価の範囲、評価時点及び評価手続、そして結果を記載する必要があります。
文書化3点セット
業務フロー図、業務記述書、リスクコントロールマトリックス(RCM)と一般に呼ばれているものです。
内部統制監査の目的
独立した第三者である監査法人が、「内部統制報告書」で報告されている内容の妥当性を証明し、意見するということです。
内部統制監査の実施
「監査計画の策定」→「評価範囲の妥当性の検討」→「全社的な評価の検討」→「業務プロセスに係る評価の検討」→「重要な欠陥等の報告と是正」→「監査報告」の手順で実施していきます。
内部統制監査報告書の作成
投資家が企業間を比較して適正な判断ができるように、報告書に記載される項目は予め定められています。
受注管理
適切に管理されていないと「在庫がない状態で注文を受ける」「与信限度を超えた注文を受ける」「注文商品の種類や数量、納期を取り違える」などのリスクが生じます。
発注管理
支払いにつながる業務であるため、販売業務と同様に不正やミスが発生しやすい業務といえます。
出荷管理
適切になされていないと、「注文と異なる商品を出荷してしまう」「出荷先を取り違える」「納期に間に合わない」など、得意先から信用を失うリスクが生じます。
入金管理
適切に管理されていないと「請求書が発行されず、代金が回収できない」「得意先が入金を行わない」など企業の資金繰りに悪影響を及ぼすようなリスクが生じてしまいます。
支払管理
支払管理業務とは、仕入先からの請求に基づいて、仕入先に代金の支払を行う業務です。現金を扱う業務のため不正やミスが起こりやすいとされています。
在庫管理
効果的・効率的に整備されていなければ、在庫不足による販売機会の損失、保管状態の悪化による品質低下、過剰在庫による財政状態の悪化をはじめ、盗難や横領などが発生する可能性があります。
経営者の役割と責任
経営者は、組織の全ての活動について最終的な責任を有しています。その責任の範囲は広く、事業の遂行、統廃合、業務の効率化、法令順守の徹底などと多岐にわたります。
取締役会の役割と責任
経営者の職務執行に関する監督機関でもある取締役会は、経営者を選定及び解職する権限も有しています。
監査役の役割と責任
取締役及び執行役の職務の執行に対して監査を行なう権限を持っています。
内部監査人の役割と責任
モニタリングを担います。モニタリングには日常的モニタリングと独立的評価がありますが、内部監査は独立的評価に該当します。
内部通報システム
法務部や内部監査部または会社の顧問弁護士の事務所に通報専門の窓口や回線を設けて、社員が匿名で、社内の法令・倫理違反といった事実を通報することができる制度です。
公益通報者保護法
内部通報または告発した社員に対して不利益な取り扱いを禁止し、内部通報・告発した労働者を保護する目的で2006年4月に施行されました。
