「内部統制の全社的統制、何から手をつければいいんだろう…」「42項目もあるチェックリスト、どうやって評価すればいいの?」そんな悩みを抱えていませんか?企業の健全な経営に不可欠な内部統制ですが、特に「全社的統制」はその基盤となる重要な要素です。しかし、その項目は多岐にわたり、どこから手をつけていいか分からなくなることも少なくありません。本記事では、金融庁の実施基準で示されている42項目のチェックリストを分かりやすく解説し、具体的な評価方法から不備があった場合の改善策まで、あなたの疑問や不安を解消します。
内部統制と全社的統制の基本を理解しよう
企業の健全な成長と社会的信頼の獲得のために不可欠な「内部統制」。その中でも特に基盤となるのが「全社的統制」です。この章では、内部統制の基本的な考え方から、全社的統制の重要性までを分かりやすく解説します。まずは、この基本をしっかりと押さえることが、効果的な内部統制構築の第一歩となります。
本章では、以下の点について詳しく見ていきましょう。
- そもそも内部統制とは?4つの目的と6つの基本的要素
- 全社的統制とは?内部統制における重要な位置づけ
- なぜ全社的統制が重要なのか?
そもそも内部統制とは?4つの目的と6つの基本的要素
内部統制とは、企業が事業活動を健全かつ効率的に運営するための社内ルールや仕組みのことです。 これは、経営者が主体となって整備・運用するもので、企業の不正や誤りを防ぎ、信頼性を高める上で非常に重要な役割を担います。 金融庁の定義によると、内部統制には以下の4つの目的があります。
- 業務の有効性及び効率性: 事業活動の目的を達成するため、無駄なく効果的に業務を進めること。
- 報告の信頼性: 財務情報だけでなく、非財務情報も含めた報告の信頼性を確保すること。 2023年の改訂で「財務報告の信頼性」から範囲が拡大されました。
- 事業活動に関わる法令等の遵守: 法律や規則、社内規程などを守り、コンプライアンスを徹底すること。
- 資産の保全: 会社の資産(有形・無形)を適切に取得、使用、処分し、守ること。
そして、これらの4つの目的を達成するために、内部統制は以下の「6つの基本的要素」から構成されています。 これらは互いに関連し合っており、一体となって機能することで内部統制の目的が達成されます。
- 統制環境: 企業の風土や文化を決定づける最も基本的な要素。経営者の意識や倫理観が大きく影響します。
- リスクの評価と対応: 目的達成を阻害するリスクを識別・分析し、適切な対応策を講じること。
- 統制活動: 経営者の命令や指示が適切に実行されるための方針や手続き。権限の分担や職務分掌などが含まれます。
- 情報と伝達: 必要な情報が識別・把握され、組織内外の関係者に正しく伝えられる仕組み。
- モニタリング: 内部統制が有効に機能しているかを継続的に評価し、改善するプロセス。内部監査などがこれにあたります。
- ITへの対応: 業務や情報システムに不可欠なITに対し、適切に対応し統制を効かせること。
これらの要素を組織の業務プロセスに組み込むことで、企業は持続的な成長と信頼性の向上を目指すことができるのです。
全社的統制とは?内部統制における重要な位置づけ
全社的統制とは、その名の通り、会社全体に影響を及ぼす内部統制のことです。 英語では「Entity Level Control(ELC)」とも呼ばれます。 これは、特定の業務プロセスに限定されず、企業全体の組織運営の基盤となるルールや仕組みを指します。 具体的には、経営理念や倫理規程、取締役会の機能、組織構造、内部監査制度、人事評価制度などが含まれます。
内部統制は、大きく分けて以下の階層で考えられます。
- 全社的統制 (ELC): 会社全体の基盤となる統制。
- 業務プロセス統制 (PLC): 販売、購買、経理など、個別の業務フローにおける統制。
- IT統制: 情報システムに関する統制。IT全社的統制、IT全般統制、IT業務処理統制に分かれます。
この中で、全社的統制は、他のすべての統制の土台となる最も重要な位置づけにあります。 たとえるなら、家を建てる際の基礎工事のようなものです。基礎がしっかりしていなければ、その上にどんな立派な柱(業務プロセス統制)や壁(IT統制)を建てても、建物全体が不安定になってしまいます。同様に、全社的統制が有効に機能していなければ、個別の業務プロセスでいくら厳密なルールを設けても、組織全体としての統制は効きにくくなるのです。 そのため、J-SOX(内部統制報告制度)対応においても、まず全社的統制の評価から着手するのが基本となります。
なぜ全社的統制が重要なのか?
全社的統制が重要である理由は、それが企業全体の方向性を決定づけ、組織風土を醸成するからです。 経営者の誠実さや倫理観、法令遵守に対する姿勢といった「統制環境」が不十分であれば、従業員のコンプライアンス意識も低下し、不正やミスの温床となりかねません。 逆に、経営トップが明確なビジョンと高い倫理観を示し、それが組織全体に浸透していれば、従業員一人ひとりが自律的に行動し、健全な企業文化が育まれます。
また、全社的統制は、個別の業務プロセス統制やIT統制の有効性を左右するという点でも極めて重要です。 例えば、全社的にリスク管理の意識が低ければ、各業務部門でリスクを洗い出す活動は形骸化してしまうでしょう。職務分掌の原則が全社レベルで徹底されていなければ、特定の個人に権限が集中し、不正の機会を与えてしまうかもしれません。
このように、全社的統制は、単なるルール作りにとどまらず、企業の価値観そのものを形成し、すべての統制活動の基盤として機能します。 したがって、企業の持続的な成長と信頼性の確保のためには、まずこの全社的統制を適切に整備し、有効に運用していくことが不可欠なのです。
【決定版】全社的統制42項目のチェックリスト
企業の内部統制の根幹をなす「全社的統制」。その有効性を評価するために、金融庁の「財務報告に係る内部統制の評価及び監査に関する実施基準」では、具体的な評価項目の例が示されています。これが通称「42項目チェックリスト」と呼ばれるものです。この章では、その42項目の全体像を、内部統制の6つの基本的要素に沿って詳しく解説します。自社の体制と照らし合わせながら、どこに強みがあり、どこに課題があるのかを確認していきましょう。
本章の構成は以下の通りです。
- チェックリストの根拠(金融庁の実施基準)
- 6つの基本的要素別チェックリスト一覧
チェックリストの根拠(金融庁の実施基準)
ここで紹介する42項目のチェックリストは、個人の見解や特定のコンサルティング会社が独自に作成したものではありません。これは、金融庁が公表している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中に「財務報告に係る全社的な内部統制に関する評価項目の例」として示されているものです。
この実施基準は、上場企業などが金融商品取引法に基づき内部統制報告書を作成する際の具体的な指針となるものです。 つまり、この42項目は、日本の企業が内部統制を評価する上での公的なベンチマークと言えます。
ただし、金融庁も明記している通り、これらはあくまで「例」であり、企業の規模や特性、事業内容などに応じて、項目を追加したり、修正したりすることが認められています。 すべての企業がこの42項目を画一的に適用する必要はありません。自社の実態に合わせて、このチェックリストをカスタマイズし、より効果的な評価ツールとして活用することが重要です。
6つの基本的要素別チェックリスト一覧
それでは、金融庁の実施基準に示されている42の評価項目を、内部統制の6つの基本的要素に分類して見ていきましょう。 各項目が、自社においてどのような規程や体制に対応しているかを確認しながら読み進めてみてください。
統制環境(16項目)
統制環境は、組織の気風を決定し、統制に対する組織内の全ての者の意識に影響を与える基盤です。 ここでの不備は、他の統制の有効性に大きな影響を及ぼす可能性があります。
| No. | 評価項目 |
|---|---|
| 1 | 経営者は、信頼性のある財務報告を重視し、内部統制の役割を含め、財務報告の基本方針を明確に示しているか。 |
| 2 | 適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。 |
| 3 | 経営者は、適切な会計処理の原則を選択し、会計上の見積り等を決定する際の客観的な実施過程を保持しているか。 |
| 4 | 取締役会及び監査役等は、財務報告とその内部統制に関し経営者を適切に監督・監視する責任を理解し、実行しているか。 |
| 5 | 監査役等は内部監査人及び監査人と適切な連携を図っているか。 |
| 6 | 経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。 |
| 7 | 経営者は、企業内の個々の職能(生産、販売、情報、会計等)及び活動単位に対して、適切な役割分担を定めているか。 |
| 8 | 経営者は、信頼性のある財務報告の作成を支えるのに必要な能力を識別し、所要の能力を有する人材を確保・配置しているか。 |
| 9 | 信頼性のある財務報告の作成に必要とされる能力の内容は、定期的に見直され、常に適切なものとなっているか。 |
| 10 | 責任の割当てと権限の委任が全ての従業員に対して明確になされているか。 |
| 11 | 従業員等に対する権限と責任の委任は、無制限ではなく、適切な範囲に限定されているか。 |
| 12 | 経営者は、従業員等に職務の遂行に必要となる手段や訓練等を提供し、従業員等の能力を引き出すことを支援しているか。 |
| 13 | 従業員等の勤務評価は、公平で適切なものとなっているか。 |
| 14 | 経営者は、信頼性のある財務報告の作成に関する情報を、適切に、内部監査人、監査役等に報告しているか。 |
| 15 | 経営者は、内部統制の重要性及びその役割・責任を組織内の全ての者に適切に伝達しているか。 |
| 16 | 経営者は、法令等の違反行為を発見した場合の報告の仕組みを整備し、組織内の全ての者に周知徹底しているか。 |
リスクの評価と対応(7項目)
企業の目的達成を阻害する要因(リスク)を識別、分析、評価し、そのリスクへの適切な対応を行うプロセスです。
| No. | 評価項目 |
|---|---|
| 17 | 信頼性のある財務報告の作成のため、適切な階層の経営者、管理者を関与させる有効なリスク評価の仕組みが存在しているか。 |
| 18 | リスクを識別する作業において、企業の内外の諸要因及び当該要因が信頼性のある財務報告の作成に及ぼす影響が適切に考慮されているか。 |
| 19 | 経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。 |
| 20 | 経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。 |
| 21 | リスクを分析する際に、発生可能性と影響度の両面から分析する手法が用いられているか。 |
| 22 | リスクに対する対応策を選択する際に、リスクの性質に応じて、回避、低減、受容等の対応が適切に選択されているか。 |
| 23 | リスクの評価と対応が、組織全体として一貫した方法で行われるよう、適切に管理されているか。 |
統制活動(3項目)
経営者の方針や指示が、組織全体で適切に実行されることを確保するための方針と手続きです。
| No. | 評価項目 |
|---|---|
| 24 | 信頼性のある財務報告の作成に対するリスクに対処して、これを十分に軽減する統制活動を確保するための方針と手続を定めているか。 |
| 25 | 経営者は、信頼性のある財務報告の作成に関し、職務の分掌を明確化し、権限や職責を担当者に適切に分担させているか。 |
| 26 | 全社的な職務規程や、個々の業務手順を適切に作成しているか。 |
情報と伝達(8項目)
必要な情報が識別・把握・処理され、組織内外の関係者に、適時かつ適切に伝達されることを確保する仕組みです。
| No. | 評価項目 |
|---|---|
| 27 | 信頼性のある財務報告の作成のために必要な情報は、組織内外から、適時かつ適切に収集、処理及び伝達されているか。 |
| 28 | 経営者は、会計処理や財務報告に係る情報が、適時かつ適切に、担当者に伝達される体制を確保しているか。 |
| 29 | 経営者、取締役会、監査役等及びその他の関係者の間で、情報が適切に伝達・共有されているか。 |
| 30 | 内部統制に関する情報が、組織内の全ての者に正しく伝達され、理解されているか。 |
| 31 | 従業員等からの情報が、経営者やその他の管理者等に適切に伝達される仕組みが確保されているか。 |
| 32 | 顧客、取引先、株主等の外部の関係者との間で、情報が効果的に伝達される仕組みが確保されているか。 |
| 33 | 情報システムに関する方針や計画が明確に示され、組織内の全ての者に周知されているか。 |
| 34 | 情報伝達の仕組みは、不正や誤謬の発見と是正に資するものとなっているか。 |
モニタリング(内部監査)(5項目)
内部統制が有効に機能していることを継続的に評価するプロセスです。日常的モニタリングと独立的評価(内部監査など)があります。
| No. | 評価項目 |
|---|---|
| 35 | 経営者は、全社的な内部統制の有効性を、適時に評価するための仕組みを設けているか。 |
| 36 | 内部監査部門は、全社的な内部統制の整備及び運用状況を監視し、その有効性を評価しているか。 |
| 37 | 内部統制の不備が発見された場合に、当該不備が、適切な階層の管理者に報告され、適時に是正される仕組みが設けられているか。 |
| 38 | 経営者は、内部統制の評価結果を、取締役会及び監査役等に報告しているか。 |
| 39 | 内部統制の不備に関する外部からの指摘(例えば、監査人からの指摘)について、経営者は、適切に検討し、必要な対応を行っているか。 |
ITへの対応(3項目)
組織の目的を達成するために、業務に組み込まれたIT環境に対し、有効かつ効率的に対応していくことです。
| No. | 評価項目 |
|---|---|
| 40 | 経営者は、ITに関する適切な戦略、計画等を定めているか。 |
| 41 | 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。 |
| 42 | 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。 |
チェックリストを活用した全社的統制の評価方法
42項目のチェックリストを手に入れたら、次はいよいよ自社の状況を評価する段階です。しかし、ただ単に「できている」「できていない」とチェックするだけでは不十分です。評価を形骸化させず、実効性のあるものにするためには、正しい手順と客観的な視点が求められます。この章では、チェックリストを効果的に活用し、自社の全社的統制を的確に評価するための具体的な方法を解説します。
ここでは、以下の3つのステップに沿って評価の進め方を学びます。
- 評価の進め方(計画→評価→記録→報告)
- 具体的な評価のポイント(文書の閲覧、質問、観察など)
- 評価結果の文書化と不備の識別
評価の進め方(計画→評価→記録→報告)
全社的統制の評価は、場当たり的に行うのではなく、計画的に進めることが重要です。一般的には、以下の4つのフェーズで進められます。
- 計画 (Plan): まず、評価の全体像を設計します。
- 評価範囲の決定: 原則として連結ベースの全社が対象ですが、財務報告への影響が僅少な拠点は除外できる場合があります。
- 評価チームの編成: 評価対象の業務から独立した、客観性のあるメンバーでチームを組成します。経理部門や内部監査室が中心となることが多いですが、専門知識を持つ人材の確保が重要です。
- スケジュールの策定: 評価の開始から報告書の作成まで、具体的なスケジュールを立てます。
- 評価 (Do): 計画に基づき、実際の評価作業を行います。
- チェックリストの各項目について、整備状況(ルールが整っているか)と運用状況(ルール通りに運用されているか)の2つの観点から評価します。
- 具体的な評価手続については、次の「具体的な評価のポイント」で詳しく解説します。
- 記録 (Check): 評価の過程と結果を客観的な証拠として記録します。
- 文書化: 誰が、いつ、何を、どのように評価し、その結果どうであったかを詳細に記録します。これは後の監査対応でも重要な資料となります。
- 不備の識別: 評価の結果、有効に機能していないと判断された項目を「不備」として識別します。
- 報告 (Act): 評価結果を取りまとめ、経営者や取締役会、監査役等に報告します。
- 評価報告書の作成: 評価の概要、発見された不備の内容、その重要性の判断、改善策などをまとめた報告書を作成します。
- 改善活動へ: 報告された不備については、次の章で解説する改善ステップへと繋げていきます。
このP-D-C-Aサイクルを回していくことで、継続的に内部統制を改善し、その有効性を高めていくことができます。
具体的な評価のポイント(文書の閲覧、質問、観察など)
チェックリストの項目を評価する際には、客観的な証拠(監査証拠)に基づいて判断する必要があります。思い込みや推測で評価してはいけません。実施基準では、具体的な評価手続として以下のようなものが挙げられています。
- 文書の閲覧・記録の検証:社内規程やマニュアル(倫理規程、職務権限規程、経理規程など)が整備されているかを確認します。 また、取締役会議事録や稟議書、報告書などの記録を閲覧し、規程通りに運用されているかを検証します。 例えば、「取締役会が経営者を適切に監督しているか」を評価する場合、議事録を読んで活発な質疑応答が行われているか、重要な意思決定が適切になされているかを確認します。
- 関係者への質問:担当者や管理者に直接ヒアリングを行い、業務内容や統制の運用状況について確認します。 例えば、「法令違反の報告ルートが周知されているか」を評価する場合、複数の従業員に「もし不正を発見したら、誰にどのように報告しますか?」と質問し、理解度を確認します。質問は一人だけでなく、複数の階層や部署の担当者に行うことで、より客観的な評価が可能になります。
- 業務の観察:実際の業務の現場に立ち会い、手続きがルール通りに行われているかを直接目で見て確認します。 例えば、「職務分掌が適切に行われているか」を評価する場合、申請者と承認者が別人であることを実際の業務フローの中で確認します。
- 再実施:評価者自身が、統制活動の一部を実際にやってみることで、その有効性を確かめる方法です。
これらの手続を単独で行うのではなく、複数の手続を組み合わせて多角的に評価することが、評価の信頼性を高める上で非常に重要です。例えば、規程を閲覧するだけでなく、担当者に質問し、実際の業務を観察することで、ルールが形骸化していないかを確かめることができます。
評価結果の文書化と不備の識別
評価のプロセスと結果は、後から誰が見ても分かるように、客観的かつ網羅的に文書化する必要があります。 これは、経営者が内部統制の有効性を最終的に判断するための基礎資料となるだけでなく、監査法人による内部統制監査に対応するための重要な証拠(エビデンス)にもなります。
文書化すべき主な内容は以下の通りです。
- 評価したチェックリスト項目
- 実施した評価手続(例:〇〇規程の閲覧、経理部長への質問)
- 評価の実施日と実施者
- 評価の結果(有効か、不備があるか)
- 評価の根拠(なぜそのように判断したかの理由、入手した証拠書類など)
そして、評価の結果、チェックリストの項目が「期待される機能を果たしていない」と判断された場合、それは「不備」として識別されます。不備には、設計上の不備(そもそもルールが不十分)と運用上の不備(ルールはあるが守られていない)の2種類があります。
例えば、「倫理規程は存在するが、従業員への研修が一度も行われておらず、内容を誰も知らない」という状況は運用上の不備に該当します。識別された不備は、次のステップである「重要性の判断」と「改善活動」へと繋げられていきます。
全社的統制の不備を改善するための具体的なステップ
評価の結果、全社的統制に「不備」が発見された場合、それを放置しておくわけにはいきません。不備は、企業の信頼性を損ない、重大なリスクにつながる可能性があります。しかし、焦る必要はありません。重要なのは、発見された不備を冷静に分析し、計画的に改善していくことです。この章では、不備を改善するための具体的なステップを解説します。適切な対応をとることで、企業の統制レベルをさらに高めることができます。
改善プロセスは、主に以下の3つのステップで構成されます。
- 不備の重要性を判断する基準
- 改善計画の策定と実行
- 改善後の再評価とモニタリング
不備の重要性を判断する基準
発見されたすべての不備が、直ちに企業の財務報告に重大な影響を与えるわけではありません。そのため、まずはその不備がどの程度の重要性を持つのかを判断する必要があります。この重要性の判断によって、改善の優先順位や対応方法が変わってきます。
内部統制の不備は、その影響の度合いに応じて、一般的に以下の3つに分類されます。
- 開示すべき重要な不備:これは最も重要度が高い不備です。財務報告に重要な影響を及ぼす可能性が高く、内部統制報告書で開示しなければならないレベルのものです。 例えば、「取締役会が機能しておらず、経営者の独断で重要な意思決定が行われている」「内部監査部門が存在しない、または機能不全に陥っている」といった、統制環境の根幹に関わるような不備が該当します。
- 重要な不備:「開示すべき重要な不備」には至らないものの、財務報告に重要な影響を及ぼす可能性が依然として存在する不備です。これらも優先的に改善する必要があります。
- 不備:上記以外の、比較的軽微な不備です。重要度は低いものの、放置すれば将来的に大きな問題に発展する可能性もあるため、計画的に是正していくことが望ましいです。
この重要性を判断する際には、質的側面と量的側面の両方から検討します。量的側面とは、誤りが生じた場合の金額的な影響の大きさです。一方、質的側面とは、不正の可能性、経営者の関与の有無、影響範囲の広さなどを考慮します。特に全社的統制の不備は、企業全体に影響を及ぼすため、質的な重要性が高く評価される傾向にあります。
改善計画の策定と実行
不備の重要性を判断したら、次は具体的な改善計画を策定し、実行に移します。計画を立てる際には、以下の点を明確にすることが重要です。
- 改善目標: 不備をどのような状態にすれば「改善された」と見なせるのか、具体的なゴールを設定します。
- 具体的なアクションプラン: 目標を達成するために、誰が、いつまでに、何を行うのかを詳細に定めます。
- 例:規程の改訂、マニュアルの作成、研修の実施、システムの導入、人員の配置転換など。
- 担当部署・担当者: 改善活動の責任者を明確にします。
- 期限: 各アクションプランの完了期限を設定します。特に重要性の高い不備については、迅速な対応が求められます。
例えば、「従業員への倫理規程の周知が不十分」という不備に対しては、以下のような改善計画が考えられます。
改善計画の例
| 改善目標 | 全従業員が倫理規程の内容を理解し、遵守する意識を持つ。 |
|---|---|
| アクションプラン |
|
計画を策定したら、関係部署と連携しながら着実に実行していきます。進捗状況を定期的に確認し、計画通りに進んでいない場合はその原因を分析し、軌道修正を行うことが成功のコツです。
改善後の再評価とモニタリング
改善活動が完了したら、それで終わりではありません。改善策が意図した通りに機能しているかを確認するための再評価が不可欠です。
再評価は、不備を発見した時と同じ方法で行います。文書の閲覧、関係者への質問、業務の観察などを通じて、改善策が定着し、有効に機能していることを客観的な証拠に基づいて確認します。この再評価で有効性が確認できて、初めてその不備は「是正された」と判断されます。
さらに、一度改善した統制が再び形骸化しないように、継続的なモニタリング(監視)の仕組みを構築することも重要です。 日常業務の中でのチェック(日常的モニタリング)や、内部監査部門による定期的なレビュー(独立的評価)などを通じて、内部統制の有効性を維持・向上させていく努力が求められます。 このように、評価、改善、モニタリングのサイクルを回し続けることが、強くしなやかな内部統制体制を築くための鍵となるのです。
効率的に内部統制を整備・運用するためのヒント
内部統制の重要性は理解していても、その整備や運用には多くの時間と労力がかかります。特に、限られたリソースの中でJ-SOX対応を進める企業にとっては、いかに効率化を図るかが大きな課題です。この章では、内部統制の負担を軽減し、より効果的に活動を進めるための具体的なヒントを3つの観点からご紹介します。テクノロジーや専門家の力を借りることで、担当者の負担を減らし、本来注力すべき業務に集中できる環境を整えましょう。
本章で取り上げる効率化のコツは以下の通りです。
- 内部統制ツールの活用
- 専門家(コンサルタントや監査法人)への相談
- 社内研修の実施と意識向上
内部統制ツールの活用
内部統制の文書化(3点セットの作成)、評価、不備の管理といった一連の作業は、手作業で行うと膨大な工数がかかります。そこで有効なのが、内部統制支援ツールやGRC(ガバナンス・リスク・コンプライアンス)ツールの活用です。
これらのツールを導入することで、以下のようなメリットが期待できます。
- 文書化の効率化: フローチャートやリスクコントロールマトリックス(RCM)などを効率的に作成・更新できる機能があります。 Microsoft Visioと連携するツールなども存在します。
- 評価作業の効率化: 評価手続きの進捗管理や証拠書類の紐付け、評価結果の集計などをシステム上で行えるため、作業がスムーズになります。
- 情報の一元管理: 規程、3点セット、評価調書、監査証拠といった関連情報を一元的に管理できるため、情報の検索性が向上し、監査対応も楽になります。
- 進捗の可視化: ダッシュボード機能などで、評価の進捗状況や不備の改善状況をリアルタイムに把握できます。
また、ERP(統合基幹業務システム)やワークフローシステムなども、内部統制の効率化に大きく貢献します。 例えば、ワークフローシステムで申請・承認のプロセスを電子化すれば、承認履歴が自動で記録され、職務分掌の徹底や牽制機能の確保が容易になります。 自社の課題や予算に合わせて、適切なツールの導入を検討してみましょう。
専門家(コンサルタントや監査法人)への相談
内部統制、特にJ-SOX対応には高度な専門知識が求められます。社内に十分な知見を持つ人材がいない場合、自社だけで対応しようとすると、多くの時間を費やした結果、不適切な評価を行ってしまうリスクがあります。
そのような場合は、外部の専門家の力を借りることも有効な選択肢です。 内部統制コンサルティング会社や監査法人などは、豊富な知識と経験を持っています。
専門家に相談するメリットは以下の通りです。
- 専門的な知識の獲得: 最新の基準や他社事例に基づいた、的確なアドバイスを受けられます。
- 客観的な視点: 社内の人間だけでは気づきにくい問題点や課題を、第三者の視点から指摘してもらえます。
- リソースの確保: 文書化や評価作業の一部をアウトソースすることで、社内担当者の負担を大幅に軽減し、コア業務に専念できます。
- 監査法人との円滑なコミュニケーション: 監査法人が求める水準を理解しているため、監査対応をスムーズに進めるための支援が期待できます。
もちろん費用はかかりますが、時間と労力、そして手戻りのリスクを考慮すると、結果的にコストパフォーマンスが高くなるケースも少なくありません。 特に、IPO準備企業や初めてJ-SOX対応を行う企業にとっては、心強いパートナーとなるでしょう。
社内研修の実施と意識向上
どんなに優れたルールやシステムを構築しても、それを使う従業員の意識が低ければ、内部統制は形骸化してしまいます。内部統制を真に有効なものにするためには、全従業員がその重要性を理解し、当事者意識を持つことが不可欠です。
そのために最も効果的な方法が、定期的な社内研修の実施です。研修を通じて、以下の点を全社に浸透させましょう。
- 内部統制の目的と重要性: なぜ内部統制が必要なのか、自分たちの業務とどう関わっているのかを理解してもらう。
- 具体的なルールや手続き: 倫理規程や職務権限規程など、守るべきルールを具体的に解説する。
- 不正やミスの事例共有: 他社や自社で発生した事例を共有し、リスクを身近なものとして感じてもらう。
- 報告・相談のルート: 問題を発見した際に、どこに報告・相談すればよいのかを明確に周知する。
研修は、一度きりではなく、新入社員研修や階層別研修などに組み込み、継続的に実施することが重要です。また、経営トップが自らの言葉で内部統制の重要性を繰り返し発信することも、従業員の意識向上に大きな効果があります。 結局のところ、内部統制は「人」が運用するものです。全社一丸となって取り組む文化を醸成することが、最も効率的で効果的な内部統制の実現につながるのです。
よくある質問
全社的統制の評価は誰が行うのですか?
全社的統制の評価の最終的な責任は経営者にあります。 しかし、経営者が全ての評価を直接行うことは現実的ではないため、通常は経営者の指揮のもと、内部統制の担当部署(例:経理部、経営企画部など)や内部監査室が中心となって評価を実施します。 重要なのは、評価を行う担当者や部署が、評価対象となる業務から独立しており、客観性を保てることです。
42項目全てに対応しなければならないのですか?
いいえ、必ずしも42項目全てに画一的に対応する必要はありません。金融庁が示している42項目はあくまで「評価項目の例」です。 企業の規模、業種、組織構造などの特性に応じて、これらの項目を参考にしつつ、自社の実態に合わせて評価項目を追加、修正、あるいは省略することが認められています。 大切なのは、自社のリスクを網羅的に評価できる、実効性のあるチェックリストを作成することです。
IT全社的統制とは具体的に何ですか?
IT全社的統制とは、企業全体のIT活用に関する方針や体制を整備・運用することです。 これは、個別のシステム開発や運用(IT全般統制)の前提となる、より上位の統制です。 具体的には、以下のような項目が含まれます。
- IT戦略や中長期計画の策定
- 情報セキュリティポリシーの策定と周知
- ITに関する投資判断のプロセス
- IT人材の育成計画
経営層がITの重要性を理解し、全社的な視点でITガバナンスを効かせることが求められます。
内部統制とコーポレートガバナンスの違いは何ですか?
内部統制とコーポレートガバナンスは密接に関連していますが、対象とする範囲と視点が異なります。
- コーポレートガバナンス: 「企業の所有者である株主」の視点から、経営者を監視・規律する仕組みです。株主総会、取締役会、監査役会などがその主要な機関です。目的は、企業の不正を防ぎ、持続的な企業価値の向上を促すことです。
- 内部統制: 「経営者」が、株主から委託された事業を適正かつ効率的に運営するために、社内に構築・運用する仕組みやプロセスです。 コーポレートガバナンスを実現するための、より具体的な手段の一つと位置づけることができます。
つまり、コーポレートガバナンスという大きな傘の下に、その目的を達成するための具体的な仕組みとして内部統制が存在する、という関係性になります。
J-SOXとは何ですか?
J-SOX(ジェイソックス)とは、金融商品取引法で定められた内部統制報告制度の通称です。 上場企業は、事業年度ごとに、自社の財務報告に係る内部統制が有効であったかどうかを経営者自らが評価し、「内部統制報告書」として提出することが義務付けられています。 さらに、その報告書の内容が適正であるかについて、公認会計士または監査法人による監査(内部統制監査)を受ける必要もあります。 この制度は、企業の財務報告の信頼性を確保し、投資家を保護することを目的としています。
まとめ
- 内部統制は企業の健全な運営のための社内ルールや仕組みです。
- 内部統制には「4つの目的」と「6つの基本的要素」があります。
- 全社的統制は、内部統制全体の基盤となる最も重要な統制です。
- 42項目のチェックリストは金融庁の実施基準が根拠です。
- チェックリストは「統制環境」など6つの要素で構成されます。
- 評価は「計画→評価→記録→報告」のサイクルで進めます。
- 評価手続には文書閲覧、質問、観察などがあります。
- 評価結果は客観的な証拠に基づき詳細に文書化します。
- 発見された不備は重要性を判断し、改善計画を立てます。
- 改善後は再評価と継続的なモニタリングが不可欠です。
- 内部統制ツールは文書化や評価の効率を大幅に向上させます。
- ERPやワークフローシステムも内部統制強化に有効です。
- 専門家(コンサルタント等)の活用は有効な選択肢です。
- 全従業員の意識向上のための継続的な社内研修が重要です。
- 経営トップからのメッセージ発信が組織風土を醸成します。
