内部統制とは?

内部統制・IT統制

最近よく見かけるのが、セキュリティに関する企業のトラブルです。とくに、情報漏洩はIT社会の浸透とともに増えています。

最近だと、三井住友銀行(SMBC)が2021年1月29日にソースコードをGitHubに流出してたことを発表しました。原因はさまざまありますが、その一つとして社内の内部統制がうまく機能してなかったことがあげられます。

こうした社内の不祥事を抑制するために必要なのが「内部統制」です。
内部統制は、社内の事業を健全におこなうために必要不可欠です。

しかし
「内部統制は知っているけど、詳しい内容まではわからない」
「内部統制とガバナンスってどう違うの?」
という方も多いのではないでしょうか。

当記事では、内部統制の概要とガバナンスとの違いを解説します。今回を機に、社内の仕組みを見直してみてはいかがでしょうか。
 
 

内部統制の概要

 
金融庁では、内部統制を以下のように定義しています。

「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関
わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得
るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、
統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及び
IT(情報技術)への対応の6つの基本的要素から構成される。 」
※出典:金融庁「財務報告に係る内部統制の評価及び監査の基準」


内部統制は、企業が健全に事業をおこなうために必要な仕組みです。内部統制により、企業内のさまざまなルールや仕組みが定義されています。

たとえば、企業内のビジネスツールとして「Google Workspace(旧:GSuite)」を利用しているとしましょう。Google Workspaceとは、Googleが提供しているビジネスツールです。企業では、企業用のGoogleアカウントを一人ひとり作成して運用しています。

自宅のパソコンからGoogleアカウントにログインする場合、企業によってはプライベートのパソコンからのログインを防いでいるケースがあります。なぜなら、企業のアカウントでログイン後、自宅のパソコンに機密情報をダウンロードされる恐れがあるからです。

内部統制は、こうした行動を抑制するためにも仕組みやルールが定義されています。
 
 

内部統制の目的

 
内部統制の目的
 
内部統制には、 4つの目的があります。

・業務の有効性及び効率性
・財務報告の信用性
・事業活動等に関わる法令等の遵守
・資産の保全

それぞれについて解説します。
 

業務の有効性及び効率性


それぞれの言葉については、下記の通りです。

・業務・・・企業の目的を達成するために必要な活動のこと
・有効性・・・事業活動や業務の目的が達成された程度
・効率性・・・組織が目的を達成しようとする際に、時間、人員、コスト等の組織内外の資源が合理的に使用される程度

まとめると、企業の目標を達成するためには「日々の業務を効率的にこなしていきましょう」ということです。場合によっては、組織としてだけではなく、個人としての取り組みも求められます。なぜなら、個人ごとに取り組んだとしても、結果的には組織としての活動に収束されるからです。

たとえば、日々こなす業務をシステム導入で効率化された場合、個人の作業負荷は減ります。作業負荷が減ったことで、他の業務をこなす時間が増えるため、企業の人員削減にもつながるのです。

こうした、日々の業務を効率的にこなすことで、企業の目標を達成につながります。
 

財務報告の信用性


財務報告の信用性とは、財務諸表に重要な影響を及ぼす情報の信頼性を確保することです。

財務報告の信用性を保つことで、企業に対する信頼性の維持や向上につながります。

たとえば、毎年企業が発表する決算書に虚偽の内容が含まれていたら、企業の信頼性が低下し、企業イメージも大きく下がってしまいます。
 

事業活動等に関わる法令等の遵守


事業活動等に関わる法令等の遵守とは、日々の業務をするときに法令を守りましょうということです。なぜなら、法令を守らずに業務をおこなった場合、社会的な罰則を受けるのはもちろん、企業としての存続も危うくなってしまいます。

たとえば、日々の業務で詐欺にあたる行為をおこなったとしましょう。当然ながら本人は詐欺容疑で逮捕され、同じくその企業のイメージも大きく下がります。

事業活動における法令の遵守は必須事項です。
 

資産の保全


資産の保全とは、企業内での資産の取得、使用、処分を適切な手続きや承認のもとで運用していくことです。

たとえば、企業で使用されるパソコンやオフィス用品などは、企業内で定められたプロセスにしたがって購入をしなければなりません。処分する場合にも、対象の資産がなくなることを情報として残さなければならないのです。

資産の保全を適切に実施できない場合、組織の財産や社会的信用に大きな損害を与えてしまいます。
 
 

内部統制の要素

 
内部統制の要素
 
内部統制には、4つの目的を達成するために必要な6つの要素があります。

・統制環境
・リスクの評価と対応
・統制活動
・情報と伝達
・モニタリング
・ITへの対応

それぞれの要素について解説していきましょう。
 

統制環境


統制環境とは、企業内で内部統制を遵守していくために必要な環境のことです。統制環境が整っていない場合、内部の仕組みを定義したとしても、遵守されないため内部統制が正常に機能しません。

内部統制を正常に機能させるためにも、統制環境の要素は重要です。
 

リスクの評価と対応


リスクの評価と対応は、企業の目標達成が妨害される要因をリスクとし、リスクの分析と対応をすることです。

日々おこなう業務には、さまざまなリスクが存在しています。たとえば、パソコンを使っているのであれば、企業内の情報漏洩です。

情報漏洩が発覚すれば、企業には大きなダメージを与えてしまいます。情報漏洩を起こさないためにも、セキュリティ面の強化を図っていく必要があるのです。

リスクの評価と対応をすることで、企業の大きな損害につながる行動を抑制できます。
 

統制活動


統制活動は、経営者の指示を社内で実行されるために定められる方針のことです。 統制活動には、従業員の権限や職務上の責任の付与、適切な業務分担も含まれます。定められた方針は業務のプロセスに組み込み、全従業員が遂行しなければなりません。

たとえば、企業内では担当業務に応じてさまざまな部署があると思います。適切な部署に業務を分担することで、別の部署とお互いに監視の目を働かせられるのです。
 

情報と伝達


情報と伝達は、業務上で必要な情報を関係者相互に適切なタイミングで伝えられることです。また、情報が伝わるだけではなく、受け手が正しく理解し、組織内の全員に共有される必要があります。
 

モニタリング


モニタリングとは、内部統制が正しく機能しているかを継続的に評価するプロセスです。モニタリングは、日々の業務に組み込まれている「日常的モニタリング」のほか、業務外を評価する「独立的評価」があります。

独立的評価は、 経営者/内部監査部門などが、日常的モニタリングでは発見できない経営上の問題を定期的に評価することです。
 

ITへの対応


ITへの対応は、企業の目標を達成するためにも、ITを導入して適切に運用していくことです。内部統制を正しく機能させるには、ITの導入が不可欠です。

日々の業務においても、ITの導入によって業務の正確性や効率性の向上につながります。

たとえば、企業で新しいパソコンを導入したとしましょう。IT導入をしていない場合、使用者の情報を一つひとつ手入力で設定しなければなりません。手作業の設定は、台数が多くなるほど時間がかかるのはもちろん、手作業によるミスも多くなってしまいます。

そこで、IT導入により手作業だった部分を自動化することで、設定時間の短縮と正確性向上につながります。

こうした業務の正確性向上や効率化は、企業の目標達成に欠かせないものです。
 
 

内部統制とガバナンスの違い

 
内部統制とガバナンスの違い
 
内部統制は「経営者のためにある仕組み」であるのに対し、ガバナンスは「経営者を律するための仕組み」です。

内部統制は、企業が不正をしないように従業員を律するためにあります。しかし、内部統制だけでは経営者自身の律するのが難しいとされています。

そこで、ガバナンスによって経営者を律する仕組みがあるのです。ガバナンスについては、以下の記事で詳しく解説しているので、ぜひ参考にしてください。

ガバナンスとは? コーポレートガバナンスの概要や派生概念について
 
 

内部統制のステークホルダー

 
内部統制のステークホルダー
 
ステークホルダーとは、企業が事業をおこなう場合に関係のある利害関係者のことです。

内部統制におけるステークホルダーは、経営者や従業員だけではなく、企業の取引先やサービスの利用者まで幅広く存在しています。

多くのステークホルダーに不利益を与えないためにも、内部統制を適切に機能させるのは重要です。

一覧を見る>

内部統制・IT統制の事例紹介

一覧を見る>

最近の活動・コラム