はじめに
筆者は会社員時代に、複数の上場会社に対して内部統制構築及び評価のコンサルティングを行っていました。その時の経験を踏まえて内部統制構築及び評価のポイントを説明したいと思います。
ただ、内部統制と一口に言っても、会社法の内部統制と金融商品取引法(J-SOX)の2種類があります。筆者が今回コラムに投稿するのは、後者の金融商品取引法(J-SOX)対応になります。
二つの内部統制とその違い
まず最初にこの2種類の内部統制の違いをざっくり説明すると、
◆会社法の内部統制の対象となるのは「大会社」と言われている、資本金5億円以上または負債総額200億円以上の会社です。取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するため、ガバナンスを中心とした業務全般の体制整備を目的としています。
◆金融商品取引法の対象となるのは上場企業及びその連結子会社になります。これは財務報告書の信頼性確保のためのもので、最終的に外部監査人による監査を受ける必要があります。実施すべき事項として、「全社的内部統制」、「決算財務報告プロセス」、「IT全般統制」、「その他業務プロセス」を構築することと、毎年評価することが求められています。
金融商品取引法の内部統制とは
ここから、金融商品取引法の内部統制(以下、内部統制)について説明します。
内部統制は、4つの目的と6つの基本的要素から構成されています。
◆4つの目的
①業務の有効性及び効率性
②財務報告の信頼性
③法令の順守
④資産の保全
になります。
◆6つの基本的要素
①統制環境
②リスクの評価と対応
③統制活動
④情報と伝達
⑤モニタリング
⑥ITへの対応
になります。
内部統制とは、4つの目的が達成されるとの合理的な保証を得るために、全従業員が6つの基本的要素を遂行することを言います。
※4つの目的が達成されないリスクを一定水準以下に抑えるという意味での「合理的な保証」を得ることができるように内部統制は構築されます
そのため、「全社的内部統制」、「決算財務報告プロセス」、「IT全般統制」、「その他業務プロセス」を構築し、毎年評価することが求められています。
※これらについてはこの後のコラムで詳細を説明します
4つの目的とは
「全社的内部統制」の目的は、先の ① 業務の有効性及び効率性 ② 財務報告の信頼性 ③ 法令の順守 ④ 資産の保全 の4つですが、順に説明します
① 業務の有効性及び効率性
業務の有効性及び効率性とは、企業がその事業活動の目標を達成するためのプロセスや活動が適切に行われ(有効性)、時間、人員、コスト等の組織内外の資源が無駄なく最適に使用されることを確保すること(効率性)を意味します。
② 財務報告の信頼性
財務報告の信頼性とは、企業が提供する財務情報が正確であり、利害関係者がその情報に基づいて適切な意思決定を行えることを確保することを意味します。そして、財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保することを言います。そのため、財務諸表の正確性や適時性、適法性などが求められます。
③ 法令の順守
法令の順守(コンプライアンス)とは、企業がその業務を遂行する際に関連する法令、規則、ガイドライン、および社内規程を遵守することを確保するプロセスを指します。法令順守は企業の信頼性と持続可能性を支える重要な要素であり、その実現には組織全体での取り組みが必要です。そのため、従業員への教育・訓練の実施、社内通報制度の整備、モニタリングと監査、リスク管理等を組み合わせて実施する必要があります。
④ 資産の保全
資産の保全とは、企業の資産の取得、使用及び処分が正当な手続き及び承認のもと適切に管理され、不正や誤用から保護されることを確保するプロセスを指します。資産には現金や有価証券、在庫、固定資産、知的財産などが含まれます。そのため、正確な資産の識別と評価、物理的およびデジタルな保護、内部統制の強化、明確な手続きとポリシー、従業員の教育と訓練、そして継続的な改善を通じて、企業は資産の保全を確保する必要があります。
6つの基本的要素とは
「全社的内部統制」は、上記の4つの目的を達成するため、先の ① 統制環境 ② リスクの評価と対応 ③ 統制活動 ④ 情報と伝達 ⑤ モニタリング ⑥ ITへの対応 の6つの基本的要素の状況を確認する作業になります。
次に、この6つの基本的要素について説明します。
① 統制環境
統制環境とは、企業や組織が業務を正しく行うための「基盤」や「土台」と言えます。具体的には、経営者や管理職が従業員に対して、どのように正しい行動を促し、企業の目標を達成するための雰囲気や文化を作り出すかの仕組みに関係します。組織は効率的かつ効果的に目標を達成し、不正やミスを防ぐため、経営者の姿勢や組織構造、権限と責任の明確化、方針と手続きの設定、人材の採用と育成、評価とフィードバック、リスク認識と対応など、様々な要素が組み合わさって形成されます。
また、統制環境を整備するには、経営陣が率先して取り組むことが大切です。経営者が統制環境の重要性を理解し、社員に徹底することで、会社全体に内部統制に対する意識が浸透し、より効果的な内部統制システムを構築することができます。
② リスクの評価と対応
リスクの評価と対応とは、企業活動には様々なリスクが潜んでおり、それらを放置すれば、大きな損失を招きかねません。そのような組織が直面する可能性のあるリスクを事前に特定し、それに対する適切な対策を講じることで、組織の業務の安定性と継続性を確保するプロセスです。
リスクの評価と対応は、「リスクの識別」、「リスクの分類」、「リスクの分析と評価」、「リスクへの対応」の4段階で実施します。
※参考として、当コラムの「リスクアセスメント実施していますか:有効性の高いリスクアセスメントのやり方を理解しよう!」をご覧ください
③ 統制活動
統制活動とは、組織がリスクの評価と対応を受け、リスクを管理し、目標を達成するために実行する具体的な手続きや活動を指します。これには、承認プロセスや職務の分離、物理的な制限や管理、定期的なレビュー、情報処理の統制、業績評価とフィードバックなどが含まれます。組織では統制活動が適切に機能することで、リスクが低減し、誤りや不正を防ぎながら、効率的に業務を遂行することができます。
④ 情報と伝達
情報と伝達とは、組織が適切な情報を収集し、正確に処理し、必要な人々にタイムリーに伝える仕組みを指します。これにより、迅速な意思決定やリスクの早期発見、組織全体の調整が可能となります。情報が適切に管理され、共有されることで、組織の効率性と信頼性が向上し、目標達成に向けた活動が円滑に進むようになります。
この情報と伝達は、上から下への伝達だけではなく、下から上、さらには横同士の伝達も含んでいます。なお、収集、処理した情報が不正アクセスや盗難から防止するため、適切に保管・管理することの必要性は説明するまでもありません。
⑤ モニタリング
モニタリングとは、組織の健全な運営と目標達成に不可欠な要素で、内部統制の仕組みが有効に機能しているかを定期的に確認し、改善するためのプロセスです。これにより、組織は業務の透明性と信頼性を高め、不正やミスを早期に発見し、迅速に対処することができます。
モニタリングの構成要素として、日常の監視活動、独立した評価、フィードバックと改善、継続的な監視などから構成されます。
⑥ ITへの対応
ITへの対応とは、組織が情報の正確性や信頼性を確保し、不正やリスクを低減させ、業務の効率化と効果的な運営をするため、情報技術を適切に利用し、管理するための一連の取り組みを指します。適切なIT対応が行われることで、組織は変化する環境にも柔軟に対応し、持続的な成長を実現することが可能となります。
ITへの対応の構成要素として、ITガバナンスの確立や各種セキュリティ対策(アクセス管理、データの完全性やシステムの可用性の確保)、従業員へのIT教育などがあります。
組織は、4つの目的が達成されるとの合理的な保証を得るために、経営者は率先して全従業員に上記の6つの基本的要素を遂行するよう指示・指導します。