内部統制

内部統制とは、適正で効率的に業務が遂行され、かつその報告が関係者に対して適切に行われるように企業自ら取り組むこと. Internal Control.

内部統制の概要
内部統制とは、企業の業務において違法行為や不正、ミスなどが発生しないように、基準や手続きを定めそれに基づいて業務実行の管理・監視を行い、業務の実行結果に関する情報を保証することである. 内部統制は、適切に業務を設定・実行するための業務処理統制と、その業務処理統制が有効に機能する環境を保証するための全般統制に分類でき、これらは取締役会や経営者、従業員すべてによって遂行されるものである.

アメリカでは、エンロン事件やワールドコム事件によってますますその重要性が強調され、SOX法が制定され厳しい基準が設けられた. 日本でも、J-SOXによって厳格な内部統制の実施が求められている. 従来、内部統制は財務報告の適正性を確保するために語られていたが、近年ではより広い範囲が対象となり、ガバナンスとしての役割を強めている.

COSOによって提唱された内部統制のフレームワーク（COSOフレームワーク）が内部統制に関する様々なモデルや基準に取り入れられており、事実上の世界標準になっている. 従って、内部統制の実施に関してもそれに従うことが好ましい.

内部統制の要素
内部統制を実施するにはどのようなことをすればよいのかについての大まかな指針が内部統制の要素である. COSOフレームワークによって、内部統制の要素として「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」の5つが挙げられ、日本では金融庁が発表した「 財務報告に係る内部統制の評価及び監査に関する実施基準」において、さらに「ITへの対応」を付け加えた6つを内部統制の要素としている.

統制環境
統制環境とは、組織の気風を決定するもの. 統制に対する組織内のすべての者の意識に影響を与え、他の要素の基礎をなす. 例えば、組織構造や慣行、経営方針など.

リスクの評価と対応
リスクの評価とは、企業が活動していくにあたり、目標の達成を阻害する要因をリスクとして分析・評価し、その結果に見合った対応をとること. 例えば、購買業務への内部監査の頻度を高めるなど.

統制活動
統制活動とは、手続きや方針定め経営者の命令や指示が適切に実行されるような環境を築くこと. 例えば、業務フロー図で業務の「文書化」を行い、権限の分離を明確にするなど.

情報と伝達
情報と伝達とは、必要な情報が組織内外に正しく伝えられることを確保すること. 例えば、直属の上司を通さずにさらに上の上司へ直接不正を通報できるなど.

モニタリング
モニタリングとは、内部統制が有効に機能していることを継続的に評価すること. 例えば、内部監査部門を設置し、定期的にサンプルをとり監査を行うなど.

ITへの対応
ITへの対応とは、予め定められた適切な手続きや方針にそって業務においてITを使用すること. 例えば、ＩＴを使って行われた財務関連のデータ更新に関して更新履歴や元のデータを記録するなど.

内部統制の目的
なぜ内部統制を行うのかについて、COSOフレームワークによって「業務の有効性・効率性」「財務報告の信頼性」「法令遵守」の3つが挙げられており、日本では金融庁が発表した「 財務報告に係る内部統制の評価及び監査に関する実施基準」においてさらに「資産の保全」を付け加え4つになっている.

業務の有効性・効率性
企業がより少ないインプットから多くのアウトプットをうみだすような有効かつ効率的に活動できるようにする.

財務報告の信頼性
開示する財務諸表内の情報について、その信頼性を保証する.

法令遵守
関連法令や基準を順守し、適切に業務を行う.

資産の保全
企業資産の取得や使用、処分を正当な手続きのもとで適切に行い、資産の保全を図る.

内部統制に関する法制とその対応
日本でも、SOX法の内容を踏襲するかたちで内部統制に関連する法令の整備が行われた. 具体的には、会社法と金融商品取引法である.

内容
会社法によって、これまで判例によって認められてきた内部統制システムの整備義務が法律としてはっきり明示された. 会社法でいう内部統制システムの整備とは、内部統制の構築に関する基本方針であり、これは取締役会で決定される. さらに、決定した概要を「事業報告」に記載し、かつその事業報告は監査役の監査を受ける必要がある.

対象

 * 大会社
 * 委員会設置会社

対応
会社法では、内部統制システムの具体的内容やその実施策については規定しておらず、内部統制システムとして構築すべき項目を挙げているにすぎない. 対応に関しては、会社法施行に先立って内部統制の構築が義務づけられていた委員会等設置会社における内部統制システムを参考にすることになる. 具体的には、以下の通り.
 * 1) 取締役の職務執行に係る情報の保存及び管理に関する体制
 * 文書管理規程作成、議事録・稟議書の作成・保存、文書管理の責任者の明示.
 * 1) 損失の危険の管理に関する規程
 * 危機管理規程、各種取引規程、採算規程などの社内規程の作成.
 * 1) 取締役の効率的な職務執行を確保する体制
 * 経営計画の見直し、職務権限規程など.
 * 1) 使用人のコンプライアンスを確保するための体制
 * コンプライアンスマニュアルの作成、内部統制監査部門設置など.
 * 1) 株式会社や企業集団における業務の適正を確保する体制
 * グループ会社管理・監査の既定、および、組織体制の整備など.
 * 1) 監査役の職務補助行う使用人に関する規定
 * 監査役事務局、監査役室等の設置など.
 * 1) 前項の使用人の取締役からの独立性
 * 人事考課・異動などに関する監査役の権限の構築.
 * 1) 取締役及び使用人が監査役に報告をするための体制
 * 監査役への報告、重要会議の実施.
 * 1) その他監査役の監査が実効的に行われることを確保するための体制
 * 内部監査部門・監査法人との定例会議、監査役会による外部アドバイザーの任用などを実施.

内容
金融商品取引法の内部統制報告制度が、企業の財務報告に係る業務に対する内部統制の実施を規定している. この制度がJ-SOXと呼ばれている. 具体的な内容は以下の通り.
 * 財務諸表の作成のプロセスに係る内部統制の整備・構築する.
 * 第三者である監査人（公認会計士・監査法人）による監査を受ける.
 * 財務諸表の作成のプロセスに係る内部統制を経営者が評価し、その結果を『内部統制報告書』として提出する.

対象
ただし、連結子会社や議決権所有率が20％～50％の関連会社（持分法適用会社）が存在する場合は、上場企業はそれらを含めて評価しなければならない.
 * 上場企業

対応
内部統制報告制度導入の指針として以下の3ツール（３点セット）が例示されている. （必須ではない）
 * 「業務記述書（職務記述書）」
 * 「リスクコントロールマトリックス（RCM）」
 * 「業務フロー図（フローチャート）」

具体的な対応手順は以下の通り.
 * 1) 基本的計画及び方針の決定
 * 経営者は、取締役会の決定を踏まえ、全社レベル及び業務プロセスレベルから財務報告に係る内部統制の基本的計画及び方針（範囲・責任者・日程・手順等）を決定する.
 * 1) 内部統制の構築
 * 計画及び方針に従って、全社レベル、業務プロセスレベルで財務報告に係る内部統制を実施する.
 * 1) 内部統制の評価
 * 実施した内部統制が、有効に機能しているか評価する.
 * 1) 不備・欠陥の是正
 * 評価段階で内部統制の不備や欠陥が見つかれば、適切な是正措置を講じる. 内部統制の不備や欠陥について、内部統制報告書の評価日(期末日）までに是正されていれば、内部統制は有効であると評価できる.
 * 1) 監査人（公認会計士・監査法人）による監査
 * 内部統制の実施状況について、監査人の監査を受ける.
 * 1) 内部統制報告書の作成・提出
 * 事業年度毎に内部統制報告書を作成し、内閣総理大臣に提出する. 具体的な内容に関しては、以下の通り.
 * 1) *会社名や代表者名などの会社情報
 * 2) *内部統制の枠組み
 * 3) *評価範囲、評価基準日、評価手続き
 * 4) *評価結果
 * 評価結果は以下の区分と観点から作成される.
 * 財務報告にかかる内部統制は有効.
 * 評価の一部が実施できなかったが、財務報告にかかる内部統制は有効. 実施できなかった評価手続きとその理由.
 * 重要な欠陥があり、財務報告に係る内部統制は有効でない. 重要欠陥の内容と期末日までに是正できなかった理由.
 * 重要な評価手続きが実施できなかったため、財務報告に係る内部統制の評価結果を表明できない. 実施できなかった評価手続きとその理由.
 * 1) *付記事項
 * 2) *特記事項

内部統制実施におけるBPMの活用
内部統制の要素であるモニタリングでは、「誰が、いつ、どの情報に、何をしたのか」「誰が評価・承認を行ったのか」などを監視し、その情報を保存していくことが必要になるが、BPMツールが大きな助けになる. BPM]ツールによって、実行した承認・決済などの業務をログとして記録し、タイムスタンプとともにその内容もデータベースに保存していく. 予め情報の流れを設定し[[BPMツールでその流れを管理することで、情報が不適切に流れることを防ぐことができる. また、プロセス毎に権限を設定することで、不適切な人物の情報へのアクセスが防止できる.

さらに、BPMで作成する業務フロー図は内部統制報告制度における3点セットにも含まれているので、低コストで各種監査や提出書類作成が行える.

J-SOXの場合リスクマネジメントが強調されているが、リアルタイムでモニタリングを行うBAMを導入すれば適切な対応をスムーズに実施できる.

関連記事

 * SOX法
 * J-SOX
 * 内部統制報告制度
 * 内部統制システム
 * 業務処理統制
 * 計算書類
 * 事業報告
 * 全般統制
 * ガバナンス
 * 委員会設置会社
 * RCM
 * IT統制
 * IT業務処理統制