内部統制の転職・求人ガイド > 内部統制 > 内部統制を構成する6つの基本的要素

内部統制を構成する6つの基本的要素

「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」という6つの基本的要素から構成されており、経営者は、これらを整備・運用することで内部統制の目的を実現させます。

職階や役割分担で重視する項目が変わる

統制環境

統制環境とは一言でいうと、内部統制の目的を達成しようという企業全体の雰囲気や社風のことです。基本的要素はほかにも、「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」がありますが、この「統制環境」はもっとも基礎的な部分であるといえます。

西武鉄道事件(有価証券報告書の虚偽記載)、カネボウ事件(粉飾決算)などの事例を見ると、粉飾を行なう企業はほぼ間違いなくこの部分に脆弱性を抱えていると言えるでしょう。つまり、リスク評価の方法やモニタリング手法が優れていたとしても、利用する側に意識が備わっていなければ意味がありません。何よりも運用する経営者や従業員が、自分たちで決めたルールを守ろうという意識を持つことが大切なのです。

企業はトップダウン、つまり経営者の意向が従業員に伝達される形で業務が営まれるわけですから、経営者の意識はより重要となってきます。経営者がルールを守る気がなければ、従業員がいくら努力したところで、内部統制システムが機能するはずがありません。

では、統制環境は、企業のどのような側面を見ることで把握できるのでしょうか? 実施基準によると、「誠実性及び倫理観」「経営者の意向及び姿勢」「経営方針及び経営戦略」「取締役会及び監査役は又は監査委員会の有する機能」「組織構造及び慣行」「権限及び職責」「人的資源に対する方針と管理」が例示されています。

リスク評価と対応

企業は事業活動を行なう中で、大小さまざまなリスクに囲まれています。例えば、「地震などの災害で工場の稼動がストップする」、「取引先が倒産して売上金が回収できない」、「社員が持ち出したPCから顧客の個人情報が漏洩する」、また最近では「急激な円高による経常利益の大幅な減少」などもリスクと言えます。経営者は、経営目標を達成するために、これらのリスクを洗い出し、評価するとともに、低減させるための適切な処理をとることが求められます。

リスクは会社の業種や業態、規模によって異なります。例えば上記の円高の例は、輸出も輸入も関係ない教育産業では問題にならないでしょう。まず、自社がどのようなリスクの内容と発生原因と抱えているのかを全社レベルで行なう必要があります(リスクの識別)。

リスクは経営目標の達成を阻害する事象の全てを指しますが、顕在化する確率の高いものから低いものまで、またその影響が重大なものから軽微なものまで、様々なレベルがあります。企業としては、そのランキング付けを行い、重大なものからその対応策を検討しなければなりません(リスクの評価)。

具体的な対応策を考えるうえでは、リスクの発生原因や内容に応じて、1.そのまま受け入れるのか(受容)、2.避けて通るのか(回避)、3.その影響を減らすのか(低減)、4.保険会社などを利用して移転させてしまうのか(移転)という4つの方法を検討します。

このような洗い出しから、対応策までの一連のプロセスは、内部統制の重要な要素であり、経営判断が要求されます。したがって、経営陣が率先して、トップダウンで進めていく必要があります。

統制活動

企業の活動は、販売・購買、資産管理、給与・人事管理、財務管理、決済手続きなど多岐にわたります。「統制活動」とはこれらの企業活動が、経営者の指示や命令によって適切に実行されるための方針や手続きのことをいいます。

重要となるのは、統制活動は「リスクの評価と対応」の方針に従ったものでなければならない、という点です。リスク評価を適切に行っていなければ、何を重点的に統制すべきか不明瞭ですし、リスクが存在していない業務に対しても統制活動を行なって非効率化をまねく可能性も出てきます。つまり、統制活動とリスク評価と対応は一体となって機能する要素だといえます。統制活動を導入するにあたっては、以下の4つのポイントを考慮する必要があります。

1.職務の分掌を明確にする
例を挙げると、製造部門と購買部門の役割を明確にし、それぞれ分けて担当するということです。こうすることで業務が効率化し、責任の押し付け合いに陥ることを回避することができます。

2.内部牽制を機能させる
内部けん制とは、会社や組織の内部で不正や誤りを発見し、防止するための仕組みのことで、1の「職務の分掌」も、この内部けん制を機能させるための一つの手段です。例えば、発注行為が単独の部署や担当者で完結できないように、別の部署や担当者がその妥当性について検証することがそれにあたります。2006年の公益通報者保護法の施行に伴って、内部通報制度(コンプライアンスホットライン)を導入する会社が増えていますが、これも内部けん制を目的としたものです。

3.継続的に記録し、その記録を一定期間保管する
過去の事実関係や意思決定の過程、各担当者の責任の所在を明確にするために欠かせません。

4.実地検査を行う
現金や在庫商品のような資産について、定期的に現金や在庫の実物を数えることによって、帳簿上の金額や数量と、会社が現に保有している金額や実物の数量とが合致しているかを、調べることです。担当者による着服などの不正は、定期的な実地検査を行うことで、未然に防ぐことができます。

情報と伝達

IT化が著しい現代社会では、情報は企業にとって「ヒト、モノ、カネ」と並んで非常に重要な価値を持っていますが、内部統制においても、情報とそれを伝達する手段は重要な要素となっています。

例えば、営業担当者は単に商品を販売するだけというわけにはいきません。受注を受けた際に、顧客名、商品名、納期、販売単価という必要な情報を収集しなければなりません。これらの情報がなければ、顧客に商品を出荷することできず、つまり業務の有効性を阻害することになります。また、これらの情報がなければ、会計上の売り上げ処理もできないため、適切な財務報告ができなくなります。

情報の伝達では、会社組織の下から上への正確な情報がありのままに伝わっているかどうかが重要です。大手自動車メーカーによるブレーキ部分の欠陥隠しが問題となったことは記憶に新しいところですが、製造や販売の現場における声が、経営陣まで届いていなかったという問題点が、しばしば指摘されています。必要な情報が、適時に組織内の適切なものに伝えられるように、また不正などの問題が経営陣に届く前に握りつぶされてしまうというリスクを回避することが重要です。

この手段として、上司を通さずに直接、法務部や内部監査部に不正の通報を行う「内部通報制度」を導入する企業も増えていますが、有効に機能している例はまだ少ないとされています。

また、企業にとって有益な情報は内部だけではなく外部からももたらされます。顧客や取引先から苦情や意見はサービスを向上させる上でも、業務を改善するうえでも大変重要です。逆にこれらの情報の取り扱いを誤ると、企業は結果として大きなダメージを受けることになります。そのため、企業は外部からの情報に対しても適時かつ適切に把握し、関係部署に迅速に伝達するプロセスを整備する必要があります。

モニタリング

内部統制の仕組みは一度完成してしまえば、それでおしまいというものではなく、有効的に機能しているかを継続的に評価するプロセスが必要となります。これを「モニタリング」といいます。

モニタリングには、日常業務の過程で、その業務に関わっている担当者やその管理責任者によって行なわれる「日常的モニタリング」と、その業務に関わっていない社内、もしくは社外の人によってより定期的なチェックを受ける「独立的評価」の2つのタイプがあります。

例えば、営業部長が部下の営業担当者の業務日報を毎日チェックするのは、「日常的モニタリング」に該当し、通常業務の一環としてリアルタイムに行なわれるので、何か問題があったときにその場で迅速な対応ができるというメリットがあります。

逆に、その業務の担当者や上司がチェックするということは、身内同士のようなもので、どうしても評価が甘くなったりするという欠点があります。そこで、より客観的な立場でこうした欠点を補おうというのが、経営者、取締役会、監査役、内部監査などによる独立的評価なのです。内部監査を例にとると、社内の監査部門が、資料の閲覧や質問を行なうことで企業内部における内部統制の有効性を確認することです。

ITへの対応

販売システム、購買システム、会計システムなど、どんな企業であれITは日常業務のなかに組み込まれ、必要不可欠なものとなっています。そのことはつまり、ITに関する内部統制を適切に構築し、それを維持することが現代企業に求められているともいえます。

業務内容や情報システムに取り入れられているITが高度であればあるほど、「ITへの対応」の重要性も増してきます。そのことは、2005年に相次いで発生した東京証券取引所のシステム障害や金融機関のATMでのスキミング、ウイルスによる顧客情報の大量流出などの例を見ても明らかでしょう。

内部統制におけるITへの対応は、「IT環境への対応」と「ITの利用及び統制」という2つのタイプに分けることができます。IT環境とは、「組織が活動するうえで必然的に関わる内外のITの利用状況」と定義されており、以下の点に考慮しなければなりません。

  • 社会及び市場におけるITの浸透度
  • 組織が行なう取引等におけるITの利用状況
  • 組織が選択的に依拠している情報システムの状況
  • ITを利用した情報システムの安定度
  • 外部委託の状況

ITの利用及び統制は、他の基本的要素の有効性を確保するために、ITを有効に利用しているかという「ITの利用」と、業務で利用されているITを適切に管理しているかという「IT統制」を意味しています。

「ITの利用」は、統制環境やリスクの評価と対応、統制活動、情報と伝達、モニタリングを有効かつ効率的に実施することを目的に、ITを利用することをいいます。具体的にはERPパッケージの導入や社内ネットワークの整備、グループウェア、ワークフローシステムの導入などが挙げられます。

「IT統制」はさらに、ハードウェアやネットワークの運用管理、ソフトウェアの開発、変更、運用ならびに保守など、社内の共通のITサービスをコントロールする「IT全般統制」と、入力情報の正確性、エラーデータの修正と再処理の機能が確保されているか、システムの利用に関する認証などのアクセス管理が成されているかなど、ここのアプリケーション・システムにおいて、承認された取引が全て正確に処理され、記録されることを確保する「IT業務処理統制」に分けられます。

内部統制を構成する6つの基本的要素:関連ページ

内部統制とは、信頼できる財務報告を行える仕組みを作り上げるプロセス
内部統制は英語の「Internal Control」の訳語で、会計の分野で用いられていた概念です。「Inter […]
内部統制の4つの目的
経営者が目指すべきことは以下の4つですが、それらは、「資金を無駄なく有効に使う」、「透明性のある経営」、「法令 […]
内部統制の評価は、連結ベースで行います
日本版SOX法における財務報告に関する内部統制の評価の範囲は、企業単体ではなく「連結ベース」で行なうことが求め […]
内部統制は決して完璧ではなく、そこには限界が存在します
内部統制システムは一度構築してしまえば、企業不祥事や粉飾決算が生じることはないという「絶対的」なものではなく、 […]