内部統制とは
内部統制の概要を見ていきましょう。
すべての従業員が遵守すべき社内ルールや仕組みのこと
内部統制とは、企業活動において経営者や従業員の行動・業務が正しいルールに則っているか、不正や重大なミスがないかを確認し、統制することです。近年では従業員の不正などが原因で重要な情報が外部に漏れる事故が多くなっているため、内部統制による情報漏えい対策を行うことの重要性が高まっています。
内部統制は基本的に事業活動を行う企業の全従業員が対象です。社内のルールや仕組みを、あらゆる従業員に遵守させます。または、その社内ルール自体を内部統制、ルールを守らせる活動を内部統制管理と呼ぶこともあります。
内部統制における第一の目的は健全な経営の実現です。しかし、適切な経営を行っていることを利害関係者に報告するために、形に残る方法で内部統制の実情を記録する目的もあります。
コーポレート・ガバナンスとの違いは「目的」
内部統制はコーポレート・ガバナンスと混同されることがあります。コーポレート・ガバナンスは日本語に訳すと「企業統制」となるため、同じものだと考えてしまうのも無理はありません。しかし、この2つは目的が異なります。
先述したように、内部統制における最大の目的は健全な経営の実現です。利害関係者への説明などは付随的な目的であって、そのために行うわけではありません。
一方、コーポレート・ガバナンスの目的は利害関係者の利益を最大化することです。内部統制が適切に行われていることも含め、経営が健全だと示して自社の価値向上を目指します。内部統制がその名のとおり内部に重きを置く概念なのに対し、コーポレート・ガバナンスは対外的な価値を重視する考え方とも言えるでしょう。
内部統制における4つの目的
内部統制の目的は金融庁によって定義されています。詳しく見ていきましょう。
1.業務の有効性及び効率性
ここで言う有効性とは、事業活動や業務の目的が達成された程度のことです。また、効率性とは時間や人員などのリソースが合理的に使用される程度のことを言います。これらの向上は安定した経営の実現に欠かせないため、内部統制の目的の1つです。
業務の有効性や効率性は組織全体として把握することもできますが、業務ごとに把握した方が、現状をより正確に捉えられます。したがって、業務ごとにルールや達成すべき目的を設定し、その達成度に基づいて評価・改善を行うのが理想的です。
2. 財務報告の信頼性
財務報告は投資家や銀行が企業の信頼性を判断するための重要な材料です。報告内容が良好であれば外部からの投資などを呼び込める反面、万が一誤りが含まれていれば、企業としての信頼を大きく損ないかねません。
したがって、財務報告の健全化も内部統制の目的の1つとなっています。財務諸表に関連する記録の正確性を確保できるよう、ルールを策定・運用することで内部統制を図ります。
3.事業活動に関わる法令等の遵守
企業や従業員が法令などに背き、罰則を受けるような事態になれば、信頼の喪失はもちろん、企業の存続そのものが危ぶまれます。したがって、内部統制を図り法令などを遵守する体制を構築しなければなりません。
ちなみに、守るべきなのは法令だけではありません。主に以下の3つを遵守しなければならないとされています。
- 法令
- 国内外の法律や規則、条例など
- 基準
- 法令以外で、外部から遵守を求められるもの(会計基準や取引先からの要請など)
- 行動規範
- 社内の就業規則や業界における規範など
4.資産の保全
資産は企業がビジネスを営むうえで欠かせません。利益の元となる存在であり、どれほどの資産を持っているかが、その企業の将来性や信頼性にも大きく影響します。
しかし、資産が多ければ良いというものではありません。不正に取得・処分された資産があれば企業としての信頼は損なわれます。有形の資産はもちろん、知的財産のような無形資産も適切に管理されなければなりません。
そして、適切な管理が行われるには内部統制が必要です。資産が取得されてから処分されるまで、必要な手続きが漏れなく行われるようにルールを策定し、社内で徹底します。
内部統制における6つの基本的要素
続いて、内部統制における6つの基本的な要素を解説します。
1.統制環境
統制環境とは、組織内における内部統制への意識のことです。内部統制に対する誠実性や倫理観、戦略や方針などと言い換えることもできます。
統制環境は後述するほかの要素に先立つ存在です。仮にほかの要素が適切に満たされていても、内部統制に対する意識が甘いのでは十全な状態とは言えません。反対に、統制環境が良好であれば、ほかの要素に不備があっても改善されるのは時間の問題です。
統制環境の重要性がよくわかるのがセキュリティトラブルです。たとえば、近年スマートフォンの置き忘れやパスワードをメモした紙の紛失などにより、情報が外部流出する危険性が話題になっています。これらは社内の管理体制よりも、意識に起因する問題です。
どれほど企業が厳重なルールや仕組みを作っても、統制環境が悪いのでは意味がありません。内部統制を図るには、まず初めに組織内における意識の共有を徹底しましょう。
2.リスクの評価と対応
ここで言うリスクとは、組織目的の達成を阻害する要因のことです。企業が健全な経営を維持するには、常にリスクのことを考えておかなけばなりません。どのようなリスクがどの程度の確率で生じるのか、その際のリカバリーはどうすれば良いかなどを考慮する必要があります。
そして、リスクの大きさや確率に応じて適切な備えをしなければなりません。たとえば、自然災害はいつ起きるか分からないうえ、一度の被害が甚大です。したがって、日頃から災害対策訓練を行うなどの備えをしておく必要があります。このように、リスクを評価し対応措置を行うのも内部統制の1要素です。
3.統制活動
企業の経営層が従業員に指示を出しても、従業員がそれに従わず不正を働く可能性があります。このような状態を解消し、経営層の指示が円滑に伝わる環境を構築することを統制活動と言います。
たとえば、資産の管理を例に考えてみましょう。先述したように、内部統制の目的の1つには資産の管理があります。不正な資産の取得や処分があってはいけません。
しかし、資産の取得から処分までを1人の担当者がすべて担っている状態ではどうでしょうか。その従業員が不正を働いても、誰も見破れません。
そこで有効なのが役割の分担です。1つの資産について、取得から処分までの流れをいくつかに分断し、担当者を変えれば不正を働きにくくなります。また、業務手順をマニュアルなどで明確にし、そのとおりに遂行されているか定期的にチェックする制度を構築するのも有効でしょう。このように、不正の可能性を摘み取る活動が統制活動です。
4.情報と伝達
情報の速やかな伝達は、あらゆる組織にとって重要な要素です。職務の遂行に必要な情報は瞬時に担当者に伝えられ、正しく理解されたうえで活用されなければなりません。そのための万全な環境を構築するのも内部統制の要素の1つです。
情報の伝達を適切に行うべきなのは、社内に限ったことではありません。株主や監督機関など、外部の関係者に対する報告や開示なども最適化すべき情報伝達です。特に不正や誤謬などに関する重大な情報は迅速に伝えられなければなりません。
ちなみに、「情報と伝達」は内部統制のほかの要素を相互に結び付け、全体の運用を実現する肝要な要素です。リスクへの対応や統制活動などは、いずれも円滑な情報共有体制があってこそ成り立ちます。
5.モニタリング(監視活動)
内部統制は、一度良好な状態を実現して終わるわけではありません。実現した状態を維持し、継続的な改善を目指す必要があります。
そのためには、内部統制が正しく運用されていることを監視する体制も必要です。したがって、モニタリング(監視活動)も内部統制の1要素とされています。
内部統制におけるモニタリングは、主に以下の2種類に分類されます。
- 日常的モニタリング
- 日常的に遂行される業務の中で、担当者が行うモニタリングです。たとえば、会計担当者は会計書類に誤りを見つけ次第、対処しなければなりません。
- 独立的評価
- 業務の担当者ではなく、第三者が監視・評価することです。経営者や取締役会、監査役、内部監査部門などによって行われます。
このほか、内部通報制度などもモニタリング活動の1つと言えます。
6.IT(情報技術)の利用
ITシステムは今やあらゆる組織にとって不可欠な存在となりました。業務を効率化できるのはもちろん、これまで解説してきた内部統制のほかの要素を機能させるうえでも重要な存在です。
しかし、ITシステムは使い方を誤ったり故障したりすると、ビジネスに甚大な悪影響を及ぼします。したがって、ITシステムの適切かつ安定した利用を実現するのも、内部統制を構成する要素の1つです。組織としてITシステムの利用に関して方針や戦略を定め、それが適切に守られるようにルールや仕組みを構築する必要があります。
内部統制を行うメリット・デメリット
目的や要素を確認したことで、内部統制の負担の大きさが気になった人も多いのではないでしょうか。そこで、内部統制の必要性を考えるために、メリットとデメリットを紹介します。
まず、メリットは以下のとおりです。
- 業務の可視化
- 内部統制を図ると必然的に業務が可視化します。結果的に非効率な業務やハイリスクな要素が浮き彫りになり、健全で効率的な業務が実現します。
- 財務状況の可視化
- 内部統制の目的には財務報告の信頼性確保や資産の保全があります。これらを徹底すれば財務状況が可視化し、経営分析に活かせます。
- 社会的信頼の向上
- 内部統制の副産物的なメリットとして、社会的信頼の向上が期待できます。
デメリットは以下のとおりです。
- 経営負担の増大
- ルールの策定からその浸透、環境の整備、継続的な改善など、内部統制の実施には多くの負担が伴います。
- 現場からの反発
- 現場でも負担は増大するため、反発の声が上がる可能性があります。
内部統制に大きく寄与する「ログ管理」とは
内部統制の1要素にモニタリングがあることはすでに解説しました。しかし、日々の業務を常に監視するのは容易ではありません。だからといって、監視していなければせっかく定めたルールが守られているのか分かりません。
そこで役立つのがログ管理システムです。ログとはパソコンなどに記録される行動履歴であり、ログ管理システムはその名のとおりログを管理するITシステムを言います。
これを使えば、どの従業員がいつ何のためにITシステムを用いて何をしたのか、常に管理可能です。怪しい行動が見られたときには通知したり、問題発生時には履歴を遡って原因究明に役立てたりできます。また、「常に監視されている」という意識により、従業員にルールの遵守を促す効果もあるでしょう。
内部統制においてログ管理を行うポイント
最後に、内部統制においてログ管理を行うポイントを3つ紹介します。
1.ログ管理の対象を明らかにする
ログ管理で収集するログは、業務プロセスのアプリケーションのログとIT全般統制のログに大別されます。
前者は使用している業務アプリケーションから出力されるため分かりやすいでしょう。一方、後者には様々なシステムのアクセスログや権限の変更ログ、バージョンアップのログなどが含まれ、これらも適切に管理する必要があります。
2.取得するログの内容を明らかにする
内部統制にはログが役立ちますが、ログならば何でも良いわけではありません。有用なのは、以下の4W1Hを含むログです。
- What
- 処理の対象が何か
- Who
- 処理の実行者が誰か
- When
- 処理の時間はいつか
- Where
- 処理の実行場所はどこか
- How
- 処理内容はどのようにしたか
収集したログにこの4W1Hの情報が含まれていれば、信頼できる情報として価値があり、内部統制に有効活用できます。ログ管理システムを導入する際には、上記の4W1Hを取得できるか確認しましょう。
3.ログの信頼性を証明する
ログは従業員の不審な行動を見破る手がかりとなります。しかし、ログ自体が改ざんされていたのでは意味がありません。したがって、ログの信頼性を証明するのもログ管理の重要な要素と言えます。
しかし、社内にITに詳しい人がいて、その人がログの改ざんを行ったのであれば見破るのは困難です。また、ログに限らず、改ざんされた証明はできても改ざんされていないことの証明は非常に難しいとされています。
この問題への対策として有効なのが、リアルタイムにログを収集し、別の場所に保存するログ管理システムです。ある時点におけるログのコピーを別途保管しておくことで、原本のログが改ざんされても後で検出できます。このほかにも改ざん防止機能を備えたログ管理システムは多くあるため、有効活用しましょう。
内部統制管理を行い、事業を適切に運営しよう!
内部統制管理とは、健全な経営を実現するために内部統制を図り、その状態を維持する活動のことです。以下の確保を目的とします。
- ■業務の効率性・有効性
- ■財務報告の信頼性
- ■法令などの遵守
- ■資産の保全
内部統制を図れば、業務や財務状況が可視化し、優れた経営を追究できます。ただし、人件費を始めとして多くの負担を要する点には注意が必要です。
以上を踏まえて適切に内部統制を行いましょう。
