内部統制とは、会社の適正さを高く維持するために行う内部管理業務のことですです。。取締役会・経営者その他の構成員によって実行され、業務・報告およびコンプライアンスといった目的の達成にむけて合理的な担保をするための整備された手続きともいえます。
会社によっては内部統制が形骸化していたり、現実に機能していない場合があります。それは会社の不祥事につながり、会社の経営に大きな悪影響を及ぼすリスクがあります。経営者の身ではなく、管理職、社員それぞれが弁護士や金融庁、公認会計士などに相談しながら、具体的にどのような重要性があるのか、どんな点をどのように進めれ理解してば良いのかおくべきことです。
Contents
1. 内部統制とは?
内部統制というと、社内の統制が取れていないために必要となる作業というネガティブなイメージを持つ人もいるかもしれませんねは少なくありません。
しかし内部統制は、決してネガティブな目的や背景によって行うものではありません。英語でInternal Controlと表記される内部統制は、企業内における業務遂行において、適正さを確保するためのシステムを構築するというもので、企業が健全に成長するために不可欠です。
1-1.内部統制の確立には、具体的にはどんなこと作業をするのか?
実際に企業が内部統制の対策を実施するする際には、具体的にどのような作業がされるで分類されるのでしょうか。以下にまとめてみます。
1つ目
組織の形態や構造を見直して、必要な部分を修正するということが作業があります。部門や部署の構造を見直して、レポートするラインを変更したり、新部署を設立したり、複数の部署を統合するなど合併するなど、組織改革がありえ該当します。
組織の再編成やレポートライン変更による構造の見直しは、多くの企業が行う内部統制の見直しにおいてよく見られる取り組みと言えます。
2つ目
社内規定や社則を見直したり、業務マニュアルを見直して整備するという作業があります。この点に関しては、内部統制として最初に取り組む企業が多い傾向にあります。しかし、必ずしもこうしたルールやマニュアルを形だけ見直すだけでは、期待するような現実の結果アウトプットを得られない可能性があると思いますため、注意が必要です。レポーティングラインは現実にはどう言ったものがよいのか、また、組織の在り方はどのようなものが効率的でありかつ適正であるのかそういった点を検討してから、規則やマニュアルの変更が必要です。
それには、現場で働くスタッフの声を反映することが、失敗しない内部統制へつながります。つまり、内部統制を見直すには現場の意見を詳細に取り入れることが早道なのです。絵に描いた餅のマニュアルには意味がありません。これは経営陣・管理職がよく頭に入れておくべきことです。
3つ目
社内における教育システムを見直して内部統制の重要性を浸透させることです。、また、内部統制の観点も含めて、定期的に社員を適切に評価したり、改善するためのシステム作りも必要ですがあげられます。
4つ目
内部統制に関する質問や相談の窓口を設けるということ点があります。 窓口を設けることによって、現場の社員からのSOSとかフィードバックが可能となり、会社と従業員との意思疎通が容易となるとともに、問題を経営陣が早くかつ深刻になる前に把握することが可能となります。
1-2. 内部統制とコンプライアンスの違い
コンプライアンス(法令順守)と内部統制の違いが判らないという声を聴くことが有りますので説明しますが、は、内部統制が目指す目的の一つが法令順守となります。内部統制という会社内の広い仕組み・工夫枠組みの中に、コンプライアンスという要素が存在していると考えることもできます。しかし、法令を守るだけが内部統制ではないのです。と、わかりやすいかもしれません。
コンプライアンスに欠けている企業では、会社が組織ぐるみで行う不正に、従業員が巻き込まれたり、刑事事件に発展するなど、会社にも従業員にも不利益が生じてしまうリスクがあります。こういった不祥事は株主の利益という点でもう点でも大きなマイナスですし、会社の存亡にかかわることもあります。
コンプライアンスを維持することは、内部統制を行う上では最上位の目的であるといえます。とても大切です。中小企業では、内部統制への取り組みの足掛かりとして、まずはコンプライアンスからに取り組むこともあるでしょう。企業もたくさんあります。
1-3. 内部統制とガバナンスの違い
内部統制とガバナンスのは、区別となるとかなり説明がをつけることが難しくなりますね。実際に同じ意味で使う人は少なくありません。
しかし、厳密には、ガバナンスは会社の在り方を「株主の利益」という観点から考える作業であるのに対して、内部統制とは会社の適正さを「会社及び従業員」の観点から考える作業という違いがあると言えるように思われります。ただし、視点は違っても実際の仕組み・ひとのすることという点ではに行う作業については、重複する部分が多いのが実情です。そのため、同じものだと考える人もが多いのです。
2. 内部統制の目的とは?
会社の適正さを維持するための内部統制には、どのような目的があるのでしょうか?内部統制のフレームワークを理解する上では、1990年代に提唱された「COSOフレームワーク」を参考にするのがおすすめですのでご紹介します。
COSOとは、「Committee of Sponsoring Organizations of the Treadway Commission」の略、トレッドウェイ委員会組織委員会をいうもののことです。COSOは、ビジネスの倫理観を高めて、内部統制の実施や企業統治などを目的とした委員会でした。1980年代頃、企業破綻が相次いだ時期に、内部統制を定義して構築することが課題となりCOSO委員会が1985年に結成されました。
COSOフレームワークは、内部統制のフレームワークで、世界標準となっています。COSOフレームワークでは内部統制を、業務の効率性・有効性を達成し、財務諸表の信頼性を高め、関連法規を遵守すると定義し、内部統制を「統制環境」「リスク評価」「統制活動」「情報と伝達」「モニタリング」の5つに分け、評価基準としています。日本でも、金融監査マニュアル等に使われ、その影響力は甚大です。COSOフレームワークは有名であるので、COSOフレームワークをCOSOと呼ぶ場合もあります。
1992年9月、『内部統制:統合的枠組み(英語: Internal control: integrated framework』という報告書(COSOレポート)が発行され、1994年に微修正を加えて再発表されています。この『内部統制-統合的枠組み』で、重要な概念が提唱されました。
まず、内部統制はあくまで「プロセス」であって、目的達成の手段であるということです。そして、内部統制は「人」によって行われ、単にポリシーやマニュアルというような形態のものに関するのではなく、あらゆる階層の人々に関するものであるということです。内部統制は、管理や命令の絶対的な安全性ということではなく「合理的な安全性」の提供のみが可能であるということです。
そして、内部統制の目的は三つに整理できます。
2-1.有効性と効率性
内部統制を頭に入れるすることで、会社と従業員は、業務を遂行する上での効率を考えて作業ができるようになります。ヒトとモノ、そして時間を考えながら、コストを削減するための効率性や、業務遂行の有効性に対する意識が高まるのですでしょう。
2-2. 財務の信頼性
会社の適正さが高まることは、企業の財務報告に対する信頼度が高まることでもあります。これは、その会社へ投資している株主にとっては大きな安心感と信頼の向上となります。
さらに、企業の財務報告の信頼性が高まることによって、取引先からの信頼度や、社会からの信頼度も高まります。その結果、従業員はその会社で働くことを誇りだと感じるようになり、より優秀な人材を確保しやすくなるというプラスのサイクルへと突入できるのですます。
2-3.コンプライアンスの順守
内部統制によって、コンプライアンスの意識が高まりますと、。その結果、会社や社会、そして従業員へ与える損失を最小限に抑えられるというプラスの効果が期待できます。
2-4. 会社の資産管理
上記に三つに加えて、内部統制を行うことでによって、従業員や会社の信頼性や価値観が向上し、会社の資産を管理しやすくなります。資産管理の質が向上することは、会社にとっては利益拡大につながりますし、株主からの信頼も高まるでしょう。
3. 内部統制の要素(プロセス)
内部統制には、いくつかのプロセスがあります。社内環境によっては、特定のプロセスに力を入れたり時間をかけなければいけませんが、一つのプロセスのみを実行したりリピートするのではなく、すべてのプロセスを一連のフローとして実行することで、よりよりアウトプットを得ることが可能です。
3-1. 内部統制を行う環境の整備
内部統制を行う際には、社内に内部統制に備えた環境が必要不可欠です。これは、会社と従業員においてがどちらも、ルールを守ろうという気持ちが共有できあり、よりよいよりより労働環境へと改善したいという前向きな気持ちを持っていることが重要をです表しています。ルールの重要性を理解していない人ばかりの職場で内部統制を実行しようとしても、残念ながら徒労に終わってしまうリスクは高いでしょう。そうならないためには、まずは、従業員が一丸となって内部統制に取り組めるようなモチベーションを高めたり、意志の共有を図ることがとても大切です。
3-2. リスクの評価と適切な対応
内部統制の目的は、社内で規定されているルールを尊重し、従業員と会社が遵守できるような企業内の体制づくりです。内部統制を実行する中では、阻害するリスク因子があらゆるところに存在している可能性もあります。実際には、様々な対策を実行する前に、どのようなリスクが存在するかを事前に洗い出したうえで、それぞれに対する対応策を準備しておく必要がありますしておきましょう。事前に準備しておくことによって、万が一そうしたリスク要因が勃発しても、慌てず冷静に、マニュアルに沿って正しく対処できます。これは、内部統制におけるリスクヘッジとして、とても重要なプロセスです。
3-3. 具体的な統制活動
内部統制の環境を整備してリスクヘッジを行ったら、いよいよ実際に内部統制を実行することになりますしましょう。具体的な計画に基づいて、実際の業務の中に内部統制のプロセスを組み込むことで、従業員は職務を適正に遂行しやすくなります。
例えば、従業員による横領に対する内部統制なら、会社の資金を使用する際の決済手続きや決済手段を明確にしたうえで、定期的に報告したりチェックするプロセスを設けることで、がリスクを未然に回避できますする対策となります。その上では、実際に決済できる権限者を制限したり、口座を確認して報告するフローの頻度や方法についても、きちんと設定することが大切ですをおすすめします。
3-4. 情報の迅速な伝達
企業経営において内部統制を実行する上では、予期せぬトラブルが発生することがあります。その際には、現場だけで何とか解決しようとするのではなく、経営者まで情報を伝達できる方法を確保したいものです。風通しを良くすることによって、社内でどのような問題が存在するのかを明らかにできますし、より良い対応策が見つかります。実際の現場で何が起こっているかを知ることは、会社を経営する経営者にとってはとても重要な情報収集手段なのです。
3-5. モニタリングによるで現状把握
内部統制には、モニタリングという手段もあります。実際に内部統制を実行している段階で上司や経営者が現場をモニタリングするだけでなく、突発的に抜き打ち検査や内部監査を行うという方法もおすすめです。抜き打ち監査を行うことで、従業員が内部統制を意識していないときにも業務が適正に遂行されているかどうかがわかります。
3-6. ITへの対応も大切な内部統制
上記5つに加えて、WebサイトやECサイト、SNSを利用してマーケティングを行う企業は現在では、少なくありませんし、業務において多様なソフトウェアが用いられています。
今日では、つまり、企業活動の基盤はITで構成され、ITによって運営されているといえます。
企業活動は、事前に設置された内部統制によって常に制御されてなければならないので、IT経済社会である現代では、企業活動に不可欠な内部統制の多くは、ITに依存して実行されています。このような内部統制を、特にIT統制といっています。 ITに依存する内部統制の有効性を評価するために、内部統制が依存するITそのものを評価することも必要となっています。
4. 内部統制と法律との関係
内部統制は、すべての会社において法律によって必ず行わなければいけない義務というわけではありません。
しかし、会社が事業を運営する上では、多くの法律と日常的に関わりを持っています。そのため、法律によって義務付けられている作業ではないものの、法律を遵守する上では義務だと考えても間違いではないでしょう。
日本の会社法には、2006年に金融商品取引法の中で内部統制という制度が追加されておりますので、ました。どのようなフレームワークやガイドラインに沿って内部統制を行うべきかは、同法で法律によって規定されています。
4-1. 金融商品取引法で定義されている内部統制(日本版SOX)
日本の会社法施行規則第100条第1項には、日本版SOX法として知られている内部統制への記載があります。ここには、細かく具体的な作業内容を規定しているわけではありません。なく、基本方針を決定しなければいけないという点と、業務報告書を作成したうえで開示しなければいけないという2点のみが、会社の義務と定義されています。
後述しますが、上場企業においては、経営者が財務報告に関する内部統制の有効性を評価した「内部統制報告書」の提出が義務化されており、連結対象となる子会社などは非上場であったとしても、親会社が上場している限り内部統制の対象となっています。内部統制は外部の指示で行うものではなく、あくまで社内側で取り決め、整備の責任を持つ必要があるものです。経営理念のような大規模なものから、決済ルールのような日常業務に関することまで、様々な取り決めが内部統制の対象となり、内部統制が正常に機能することで、健全で効率的のよい事業活動を行うことができ、不正を防ぐことにもつながるのです。よって、非上場企業にとっても、内部統制を意識してルール化することが、健全に企業が発展するために重要なことといえます。
この内部統制として義務付けられはしていても、ている部分に関しては、行政の国による監査などは一切ありません。その理由は、会社ごとにどのような内部統制が必要かという点は異なるからです。内部統制は、会社の業務が適正に遂行されることを目標としており、具体的にどのような方法や対策がその会社にとってベストかは、会社の在り方、社風、や企業文化によっても変わります。そのため法律では、会社にある程度のフレキシビリティを残したざっくりとした定義のみにとどまっています。
4-2.SOX法とは?
それでは、従来のSOX法とは、具体的にどのような法律なのでしょうか。これはアメリカに存在するInvestor Protectionと呼ばれる法律で、もともとは投資家の利益を保護するために規定されたものでましすた。この点においては、本来の内部統制はどちらかといえば株主目線のガバナンスに近いものだと考えられます。
このSOX法では、有価証券の報告書において虚偽の報告をしないことを目的としています。しかし、会社の内情に精通している専門家でない限り、有価証券の報告書の中から虚偽を見つけることは難しいものです。そのため、報告書の中から虚偽のデータがあるかどうかを探すのではなく、報告書を作成するまでのプロセスを見直して、報告書が適正に作成される体制やシステムを作ろうというのが、内部統制の始まりでした。
4-3.内部統制の報告義務
日本の会社法で定められている内部統制は、上述のとおり具体的な内容や項目までは定義されていません。しかし、内部統制という義務は存在しており、会社はこの法律にのっとって内部統制報告書を、金融庁に提出することが義務付けられています。ただし、この報告書の提出に関しては、外部機関である監査法人に監査を受けたうえで、有価証券の報告書と合わせて金融庁に提出するというプロセスがあります。
金融庁の報告は、日本に存在するすべての会社に義務付けられているというわけではありません。会社の規模によっては、内部統制そのものが義務づけられていないケースもあります。
ここで注意しなければいけないのは、内部統制に関する義務を定義している法律には、会社法と金融商品取引法という2つの法律があるという点です。それぞれが異なる定義をしており、どちらの法律にも該当する会社がある一方で、どちらかの法律でのみ該当する会社、そしてどちらの法律にも該当しない会社もあります。このうち、金融庁への報告が義務づけられているのは、会社法もしくは金融商品取引法のどちらか、もしくは両方に該当する会社です。どちらにも該当しない会社は、内部統制の法律的な報告義務はないということになります。
4-4. 内部統制の報告義務のある企業とは?
会社法では、会社法における会社規模が、資本金5億円以上、負債の合計が200億円以上の会社の場合には、内部統制報告書の提出義務があると定義しています。また、会社が委員会型の場合にも、報告義務があります。
一方、金融商品取引法によって報告書の提出が義務付けられているのは、株式市場へ上場している企業が対象となります。上場する市場は特に特定されておらず、東証1部だけでなく2部も含まれますし、ジャスダックやマザーズ、大証やヘラクレスなども含まれています。
上場している企業は、会社の規模や資本金の金額などに関係なく、すべて金融庁への報告義務が生じます。この点は注意しましょう。上場していない企業の場合には、報告義務という点では免除となりますが、もしも上場した場合には、そのタイミングで報告義務が発生することになります。それに、内部統制は金融庁へ報告するために行うものではなく、会社の業務を適正に遂行できることを目的として行う作業です。そのため、いつどのタイミングで金融庁へ報告しなければいけなくなった場合でも困らないように、そして長期的な会社の適正度向上のために、普段から内部統制を意識した経営管理をしたいものです。
4-5.報告義務を怠るとどうなる?
金融庁への報告義務を怠ると、会社には法的にどのようなペナルティが課せられるのでしょうか?
会社法で定義されている義務範囲に該当する会社の場合には、法的なペナルティは特に定義されていません。しかし、法的な処分がないから報告義務を遂行しなくてもよいというわけではありません。大和銀行事件からも分かるように、内部統制の報告義務に違反することは、会社の経営者としてはマイナスです。会社が社会的信用を損なう原因にもなりますし、社員からの信用という点でも失墜するでしょう。また、内部統制そのものを怠った場合には、会社法第960条で規定されている取締役の特別背任罪に問われる可能性があります。
金融商品取引法で報告義務があると定義されている上場企業が報告義務を怠った場合には、法人と経営者個人に対して法的なペナルティが課せられます。法人に対しては5億円以下の罰金刑となる可能性があり、経営者個人に対しては5年以下の懲役もしくは500万円以下の罰金刑となるリスクがあります。
4-6. 内部統制と社会からの信用
個人事業や家族経営の中小企業の場合には、もしかしたら社内において内部統制に関するルールやコンプライアンスなどは規定されていないかもしれません。しかし他人を雇用する規模の企業なら、中小企業でもコンプライアンスや内部統制を遂行する必要があるでしょう。
従業員の立場になれば、内部統制の重要性は容易に理解できます。社則がなく職務規定が不明瞭な職場では、具体的にどのような線引きで職務を遂行したらよいか分かりづらいでしょう。また、コンプライアンスに違反する経験をしても、窓口がなければどこへ相談したらよいかわからず、会社に対する不満が募ってしまいます。それに、ルールが不明瞭な会社は社会からの信用という点でも、マイナス材料となってしまうのではないでしょうか。
内部統制は、会社の規模に関係なく、また上場しているかどうかに関係なく、すべての会社において自発的に遂行したい活動と言えます。
5. 内部統制の限界
内部統制への取り組みは、会社と従業員の両側面から適正に職務を遂行する上でとても大きな役割があります。正しい方法で定期的に内部統制を行えば、従業員と会社、そして社会が良好な関係を築くことができるでしょう。
しかし残念ながら、内部統制を遂行すれば必ずしもすべての会社が抱える問題が100%解消できるというわけではありません。内部統制の限界も存在しています。どのような場合に、内部統制は限界に直面するのでしょうか。
5-1. 経営者の悪意
内部統制には、会社の経営者、そして働く従業員、すべての関係者が一丸となって、同じ目的のために遂行して初めて有効となります。もしも経営者が不当な目的や違法な目的で内部統制を無視していると、残念ながらほかの従業員がいくら真摯に取り組んでも、内部統制は限界に直面するでしょう。
5-2.誤った判断
内部統制が有効なのは、会社及び従業員が共通の理解とモチベーションをもって取り組む時のみです。内部統制のプロセスにおいて担当者が誤った判断をしたり、複数の担当者が悪事を隠蔽しようと画策すると、残念ながら内部統制は徒労に終わることでしょう。
5-3. 環境の変化や突発的な要因
内部統制を実行する際には、事前に内部統制の有効性を高めるための環境を整備したり、想定されるリスクを洗い出して対応策などリスクヘッジを行います。そうした準備を経て内部統制を遂行するわけですが、その途中で突発的な環境の変化や取引などが発生した場合には、当初の計画から脱線してしまう可能性が考えられます。
5-4. コスト面のリスク
内部統制で具体的にどんな対策をとるかによっては、その環境を整備したり運用する上でコストが発生します。コストの規模によっては、理想的な環境を整備することができずに、内部統制が机上の空論としてとん挫してしまうリスクが考えられます。
6. 内部統制に関する質問がある場合はどこへ?
内部統制に取り組もうと考えているけれど、不安があったり分からないことが多すぎてどこから実行すべきか分からないという企業は少なくありません。そうした企業の不安を解消するための窓口が、行政にって設置されていることはご存じでしょうか?
6-1. 最初の窓口は金融庁
金融庁では、企業からの内部統制に関する問い合わせの窓口を設けています。金融庁は内部統制を取り仕切る公的機関でもあるため、わからない点はここに質問することがのがより確実でしょう。質問は、金融庁の営業時間内なら電話で対応していますが、営業時間外や電話がつながりにくいときには、EメールやFaxでも対応しています。また、郵送で質問や相談をすることも可能です。郵送で相談する際には、金融庁からの連絡やアドバイスを受けるための連絡先として、電話やメールアドレスなどを明記することをおすすめします。
6-2. 公認会計士に相談する
金融庁へ内部統制の報告書を提出する際には、まずは監査法人から監査を受けなければいけません。そのため、内部統制に関する窓口として、監査法人や公認会計士も選択肢の一つとなります。すべての監査法人や公認会計士が内部統制の相談に対応できるわけではありませんが、個別に対応している財務関係に強い事務所なら、対応してくれることが多いです。
なお、監査法人や公認会計士を取りまとめる公的機関の日本公認会計士協会でも、相談や質問を受け付けています。電話でもOKですし、営業時間外ならEメールやFax、また郵送でも対応しています。
6-3. 弁護士に相談する
内部統制について、弁護士に相談するという方法も可能アリです。弁護士はそれぞれ専門分野が異なるため、もしも相談先を選ぶなら、企業の法務や財務に強い弁護士を探すことをおすすめします。
7. 失敗しない内部統制のコツ
内部統制を失敗することなく最大の効果を得るためには、いくつかのコツを抑えておきましょう。
7-1. 業務内容とリスクをフローチャートにする
失敗しない内部統制を遂行している会社の多くは、それぞれの部門や部署ごとに業務内容を言語化してまとめたうえで、リスクコントロールのマトリックスを作成しています。業務内容の言語化については、担当者ごとに職務遂行の手順や使用するシステムについて、できるだけ詳細を洗い出します。言語化することによってフローを把握しやすくなるほか、問題点を見つけやすくなるでしょう。
そのうえで、現実に現在抱えている問題点を抽出し、今後想定される間違いや不正などのリスクを洗い出していきます。そのうえで、各リスクごとに運用状況や今後の対策方法を具体的にマトリックスやフローチャートとしてまとめましょう。そうすることによって、適正な職務とは、何をどのように遂行することなのかを把握しやすくなります。
7-2. 明確なルールを決める
内部統制で失敗しないためには、従業員が同じ情報を正しく共有することがとても大切です。こうすることによってルールを皆が同じように理解できますし、勘違いや不正によるミスが起こりづらくなるでしょう。
ルールを設定する際には、漠然とした抽象的なものではなく、4W1H(Who、What、When、Where、How)を明確にして具体的なルールにまとめるのが得策です。例えば、会社で物品を購入する際には、発注作業は各部署ではなく発注部署が行うというルールを定めれば、各部署が自由に外部発注する事態にストップできます。また、発注においては、発注を希望する部署が5社以上から見積もりを取ることを条件として定めることで、特定の業者との癒着を予防できます。そのほかにも、実際に発注する担当者の任期は最大で何年までと決めることで、発注業務におけるクリーン性を維持しやすくなるでしょう。
7-3. やりっぱなしではなく評価する
内部統制を遂行しても、100%が大成功を収めるわけではありません。中には、効果を実感できなかったり、それなりに効果はあったけれど問題点を解決できなかったり、アウトプットは様々です。内部統制は、定期的に行うことによって少しずつ効果が出やすくなりますし、会社の適切性や従業員のモチベーション向上につながります。少しでも効果を高めるためには、内部統制後には評価を行い、どんな点が改善できて、どの点が不十分イマであイチだったのか、そして次回への課題なども洗い出すと良いでしょう。
