内部統制の転職・求人ガイド > 内部統制 > 内部統制とは、信頼できる財務報告を行える仕組みを作り上げるプロセス

内部統制とは、信頼できる財務報告を行える仕組みを作り上げるプロセス

内部統制は英語の「Internal Control」の訳語で、会計の分野で用いられていた概念です。「Internal」とは、企業の内部に限定しているという意味で、つまり、経営者、取締役、内部監査人、従業員などが該当します。「Control」とは、ばらばらになっているものを一つにまとめて統制するという意味です。

財務報告の信頼性を確保する

統制を実施するためには、あらかじめ設定された目的が必要となります。目的という一つの方向に向かって進むために、命令、指令、規制、管理が必要となります。つまり、「内部統制」とは、目的を達成するために、企業の経営者、取締役会、従業員、業務プロセス、資産など、「企業全体を管理する方法」と言い換えることができます。

本家アメリカで生まれた代表的なフレームワークであるCOSOフレームワークでは「業務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関する法令等の遵守」という目的達成に関して合理的保証を提供することを意図した、事業体の取締役会、経営者及びその他の構成員によって遂行されるプロセス」と定義されています。簡潔にいうと企業が法令を遵守し、有効で効率的な業務活動を行ない、信頼できる財務報告を行えるような仕組みを社内に作り上げるプロセスとなります。

内部統制は、アメリカの株式市場に対する信頼を失墜させた「エンロン事件」「ワールドコム事件」という2大不正事件を契機とし、企業のコンプライアンスが問題になる中で、世界的に重視されるようになりました。その結果、日本では金融商品取引法が国会で改正されて、公認会計士の監査における内部統制のチェックが強化され、会計士自身も責任を負うことが明確化されました。

この法律はアメリカのSOX法に因んで日本版SOX法(J-SOX)と呼ばれ、2008年4月1日から本格施行されています。これらの制度対応は、経営者や従業員も聖人ではなく、善悪の狭間を往復する生身の人間であるという認識に基づいています。

COSOフレームワークは、内部統制の世界基準とされる枠組みです

1980年代、アメリカでは不正な財務報告の発覚に端を発する企業の破綻が相次いでおり、深刻な社会問題となっていました。その対策としてトレッドウェイ委員会が設置されました。トレッドウェイ委員会では、不正な財務報告を防止するためには、内部統制が重要であると考えました。

そこで、委員会を支援する目的で組織されたトレッドウェイ委員会支援組織委員会(COSO)において、その概念等について整理、検討することになったのです。こうして、1992年に発表されたのが、内部統制を実施するにあたり、ガイドとすべき世界標準となっている枠組み「COSOフレームワーク」です。

この枠組みのなかでは、内部統制は「業務の有効性及び効率性、財務報告の信頼性、関連法規の遵守 という3つの目的の達成に関して合理的な保証を提供することを意図した、事業体の取締役、経営者及びその他の構成員によって遂行されるプロセス」と定義されています。

また、構成要素として「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング」の5つを挙げており、これらの構成要素が相互に関連しながら内部統制の目的を達成していくとしています。

日本で公表された「財務報告に係る内部統制の評価及び監査の基準」では、このCOSOフレームワークを踏襲していることが明記されています。そして、ITの組織への浸透状況を考慮して、上記の5つの構成要素に加えて、6番目の構成要素として「ITへの対応」を追加しています。

COSOのフレームワークは、1992年に米国で発表された「内部統制 統合的な枠組み」と呼ばれるレポートの中で明らかにされ、それ以来、世界の多くの国に採用され世界標準となりました。

そして2003年、トレッドウェイ委員会は、リスクマネジメントに関する世界的な関心の高まりを背景に、新しいCOSOフレームワークの公開草案を公表しました(COSO Enterprise Risk Management Framework. 略してCOSO ERM)。

ERMとは「全社的なリスク管理」のことで、事業戦略の立案にリスク管理のプロセスが適用されることから新フレームワークに採用されました。つまり、事業戦略に影響を与えるリスクを事前に認識して、総合的にリスク管理を行うことで企業の目標に役立てようとするものです。

この新しいフレームワークでは、内部統制の目的に「戦略」を追加、また基本要素として、「目標の設定」「リスクの特定」「リスクへの対応」が追加されており、内部統制の強化が指向されています。

新たに「戦略」が目的に追加されたということは、企業にとって内部統制は、単なる経営管理の一領域ではなく、経営戦略に組み込まれるべきものであるということを意味しています。

会社法と金融商品取引法で内部統制システムの構築が定められています

内部統制のルールを定めている法令は2つあります。ひとつは、2006年5月に施行された「会社法」で、システムの構築を促す規定が置かれています。もうひとつは、2006年6月に制定された金融商品取引法で、経営者が構築した内部統制について評価し、報告する制度が設けられています。

両者の相違点としては、まず対象とする範囲が違います。内部統制は「業務の有効性及び効率性」「財務報告の信頼性」「事業活動に関する法令等の遵守」「資産の保全」を目的としていますが、会社法ではこの4つの目的が全て対象となっています。一方、金融商品取引法は「財務報告に係る内部統制」のみを対象としています。

つまり、会社法がコンプライアンスの推進を主眼としているのに対し、金融商品取引法では財務報告の開示の適正さの確保に向けられています。

次に、対象としている会社の範囲が異なります。会社法が全ての会社に適用されるのに対し、金融商品取引法は上場会社等が対象となっています。また、法の規制する範囲は、会社法が全ての領域に及ぶのに対し、金融商品取引法では財務報告の信頼性に関わる領域が中心となります。

ただ、直接的な目的は異なっているものの、内部統制によってコーポレート・ガバナンスの実効性確保を図っているという点、最終的に経営者が内部統制に関する責任を負わなければならないという点は、双方の法律に共通しています。

コーポレートガバナンスは内部統制を支える仕組みです

コーポレートガバナンスとは、企業としての使命を達成し、企業を維持・存続させるために「効率的で健全な、透明性の高い企業運営」を行うための仕組みのことです。

内部統制で業務の流れを制御していても、経営者を監督する立場の取締役がうまく機能していないと意味がありません。内部統制が本当の意味で有効に機能しているかどうかは、取締役会、社外取締役、監査役などが、取締役として行うべき行為を適切に監視できるかどうか、つまりコーポレートガバナンスの問題になります。

コーポレートガバナンスは、1.取締役(経営者)の能動的な役割、2.監視・チェック機能、3.説明責任と経営責任の3つの機能に区分することができます。

取締役(経営者)の能動的な役割
経営者は、ステークホルダーとのかかわりを念頭において経営理念や経営方針を明確にし、その理念や方針を達成するための戦略の基盤となる指針を示すという能動的な役割があります。さらに、意思決定の仕組みや内部統制システムに関する適格な方針を決定します。

監視・チェック機能
会社が目的や理念に沿って運営されているかどうかを監視・チェックする機能です。具体的には、会社法上、最高の意思決定機関である「株主総会」、経営執行機関としての「取締役会」、監視機能としての「監査役」の3つの機関が持っています。

説明責任と経営責任
説明責任とは、会社がその目的や理念に沿って透明性のある経営が行われていることを、経営者自らの言葉で適格に説明し、ステークホルダーへ必要な情報を積極的に行うことです。経営責任は、上記2つの機能不全の結果、会社に損害がもたらされた場合、取締役(経営者)が経営責任をとる(とらせる)仕組みを構築し機能させることが必要です。

日本では、ガバナンスの強化策として社外取締役を任命して経営者を監視したり、執行役員制度を導入して経営の執行と監督を分離する手法がよく使われています。その手法を追求した形態として、2003年にアメリカ型の「委員会等設置会社」が制度化されました。これは、監査役を置かない代わりに社外取締役を中心とした指名・監査・報酬の三つの委員会を設置して経営を厳しくチェックする仕組みで、ソニーやオリックスなどが採用しています。

経営者が率先してコンプライアンス浸透を図ることが重要

コンプライアンスは、「法令順守」と訳されることもありますが、近年は法律だけでなく、社内ルールや企業倫理、健全な慣行などをふまえた活動を企業にもとめたものと広く考えられるようになっています。

経営者が業務運営を適正に行えるようにする仕組みが、内部統制であり、取締役、特に大きな権限を持つ経営者が不祥事や判断ミスを起こさないように監視・助言する機能が、コーポレートガバナンスです。したがって、内部統制とコーポレートガバナンスが有効に働けば、よい経営ができるはずです。

しかし、この2つは、あくまでも会社運営のための仕組み・ルールでしかないので、それを運用する人間が仕組み・ルールを乱用、もしくは無視したら、これらの仕組みやルールは全く機能しないという根本的な弱点があります。したがって、ここにコンプライアンスが加わらないと経営は安定しないのです。

要は、内部統制、コーポレートガバナンス、コンプライアンスの3つがバランスよく機能することが必要であり、内部統制とコーポレートガバナンスが業務の流れで一貫して機能し、コンプライアンスが加わることによって、企業経営はよりよい方向に向かうのです。

コンプライアンスを構築するためには、「行動指針」を策定し、社員が共通の意識を持つための指針とすることが必要です。マニュアルを作成し、研修を行い、周知徹底を図ることで、法令遵守と倫理観を持った行動ができるようにしていきます。

また、経営者が率先して社内での浸透を図っていくことが重要です。経営者自らや企業体質においてコンプライアンスの意識が欠如していると、従業員を企業不祥事に巻き込んでしまうことになります。

ISOマネジメントシステムへの取り組みは、内部統制の強化にもなります

内部統制とISOマネジメントシステムは、「トップダウン型のアプローチを採用」、「プロセスを可視化する」、「PDCAサイクルに基づいて、目的を達成する」という構築・運用手法が共通しています。

内部統制の目的の一つである「事業活動に関する法令等の遵守」は、JISQ15001のフレームワークを活用することにより強化していくことが可能です。また、リスクアセスメント及びセキュリティ対策では、ISO27001の導入によりさらなる情報セキュリティの強化が図れます。さらに、ISO27001とISO20000の取得により、「ITへの対応」における「IT統制」が、対外的に証明されます。

ISOは認証取得後に更新審査が必要となるため、常に内部統制が維持され、成長していくという利点もあります。このように、ISOへの取り組みは、日本版SOX法で求められている内部統制と同様の取り組みと言うことができます。

内部統制とは、信頼できる財務報告を行える仕組みを作り上げるプロセス:関連ページ

内部統制を構成する6つの基本的要素
「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」という6つの基本的 […]
内部統制の4つの目的
経営者が目指すべきことは以下の4つですが、それらは、「資金を無駄なく有効に使う」、「透明性のある経営」、「法令 […]
内部統制の評価は、連結ベースで行います
日本版SOX法における財務報告に関する内部統制の評価の範囲は、企業単体ではなく「連結ベース」で行なうことが求め […]
内部統制は決して完璧ではなく、そこには限界が存在します
内部統制システムは一度構築してしまえば、企業不祥事や粉飾決算が生じることはないという「絶対的」なものではなく、 […]