コーポレートガバナンス体制の維持のためには、「内部統制」というワードは極めて重要なものになります。
上場を目指す企業には、「有効な内部統制を確立しなければならない」「内部統制を構築するのは取締役の責務である」「有効な内部統制を確立するためには内部監査部門は必須だ」などという言葉が使われることはよく聞くことかと思います。
それでは、「内部統制」とは何か、今回はこの点についてわかりやすく解説していきたいと思います。
目次
■ 内部統制とは
「内部統制」とは、教科書的には以下のように説明されます。
内部統制:
企業が事業活動を健全かつ効率的に運営することを目的とした組織内部の仕組み
具体的には、取締役をはじめとする役員や従業員、取締役会や監査役会などの各組織、社内管理体制を正常に機能させることを目的として設けられた仕組みそのものとその働きのこと
■ 実生活にある内部統制
上記のような内部統制の説明では、素っ気なく、難しく感じるかもしれません。
内部統制の目的には、事業活動を健全かつ効率的に運営するため、会社内部で不正が起こらないようにすることがあります。一方で、身近にある内部統制の例を端緒として、説明していきたいと思います。
(1)身近な内部統制の例
① 飲食店の食券自動券売機
飲食店を運営していく上で、不正が起こりやすいのは、代金の受け払いの場面かと思います。
伝票を書いて履歴を残すことで対応を行うことも考えられます。一方で、伝票作成には手間がかかりますし、伝票は処分してしまえば証拠は残らず、現金を懐にしまうことができてしまいます。
お客さんに食券を自動券売機で購入してもらえば、自動券売機からの代金の回収さえ、適切に人を配置し、気を付ければよいことになります。これで、現金に関する不正は事前に防止することが可能になります。
② スーパーやコンビニ、ファーストフード店でのレジ
スーパーやコンビニで買い物をして代金を支払うときに、店員さんがレジで商品のバーコードを読み込んで計算します。
これはバーコードを読み込みPOS(Point Of Sales)システムに情報を入力していく作業になります。POSでは自動的に読み込んで計算されるためレジ担当がお金を隠したりしにくくなります。
さらに最近では、レジ担当はバーコードを読み込むだけでお金がお客さんが機械に入金する場合や、さらにお客さんが購入する製品の自らバーコードを当てて機械で計算させ、お金を機械に払い込むということも行われています。
こうしたものは、スーパーやコンビニ内部の人が扱った商品や受け取ったお金を不正に流用することを防止するために構築していったという点で見ていますと、この仕組み自身が内部統制に該当します。
また、ファーストフード店で1万円を渡すことになるとき、「レジの人が1万円入ります」と声がけをすることを聞いたことがあるかと思います。こうした作業も大きな金額がレジに入るとレジ金の間違いが起こりやすいこと、1万円を手にした店員さんが不正を働かないことを周知することという意味合いがあります。こうした一連の作業もまた、内部統制にあたります。
③ 飲業務の分担
市役所で住民票、また法務局へ行き登記簿謄本を入手する時。その書類を準備する部署と、できあがった書類を渡す部署が分かれているという場面に遭遇します。できあがった書類をもらうとき料金を支払いますが、こちらも内部統制にあたります。
書類を準備する部署でそのまま支払いを行うと、準備する部署で扱う書類の数を改ざんすることができてしまいます。このような場合は各部署でお金を扱うので、不正が発生しやすくなります。
書類を扱う部署は書類を扱い、お金を扱う部署はお金を扱うだけにしておけば、書類と金額の操作を行うことに意味がないため、業務分担することで不正の防止になります。
④ 頻繁な転勤や長期休暇の強制所得
同じ職場に長くいることになると、職場内の共謀や取引先との共謀が発生しやすくなり、不正が働きやすくなります。
そのため、転勤命令を、その1~2週間前に出して、不正を隠す余裕を持たせないようにすることがあります。また長期休暇を強制的にとらせることで別の人が該当者の業務を担当させることでおかしな操作をできなくするということもあります。
(2)予防的内部統制と発見的内部統制
① 予防的内部統制とは?
これらの事例は、自身で1度は経験があるかと思いますが、立派な内部統制に該当し、組織が健全に働くために組織内に置く仕組みにあたります。いずれの事例も不正が事前に発生しないようにするためのものであり「予防的内部統制」と呼ばれております。
② 発見的内部統制とは?
また、通常の会社であれば、従業員がなんらかの経費を使った場合に、その業務の内容が必要なものか、金額が妥当なものか上長が承認する仕組みがあります。
こうした仕組みは、上司がチェックさえきちんとすれば、すぐに発見できるようにするものであるので、「発見的内部統制」と呼ばれます。取締役会や監査役の監査、内部監査もすでに会社内で行われたことを検証するための仕組みという点では「発見的内部統制」に該当することになります。
組織は、「予防的内部統制」と「発見的内部統制」の組み合わせで内部統制が構成され、運営されることになります。一方で、独立性のある第三者に該当する監査法人・監査法人による会計監査、社長直下の内部監査組織により行われる内部監査、経営の立場から独立の立場にある監査役による監査などは、組織から一定の距離を保って監査することとなります。
これらによって、組織内が「予防的内部統制」と「発見的内部統制」をうまく組み合わせて運営されているのか確認することができます。
■ 企業が内部統制を置く目的
上記のように実生活に存在している内部統制ですが、これらを置く目的は、以下の4つから成り立つと言われております。
(1)事業活動に関わる法令等の遵守
まず一つは「コンプライアンス」と言われる部分になります。会社が守るべき法律・規則に従っていないと会社の信用問題に発展し、会社としての存在意義が問われることになります。
レジの内部統制を見ても、金銭と商品のやり取りをごまかすようなお店は、誰も使いたいとは思わないでしょう。当然のように金銭とそれに見合った商品の授受が行われてこそ、店舗は存続していくことになります。
(2)資産の保全
現金、商品等の資産が安心して効率的に使用されてこその会社の成長です。その資産を横領・不正のために利用しては会社の成長を図れません。
(3)財務報告の信頼性
事業の活動を数字として集約しているのが財務諸表です。その財務諸表を適正に作成されていないと会社の活動自体が正しい方向に進んでいるのか判断できません。
(4)事業活動の効率的な遂行
(1)~(3)の目的を達成できるのであれば、会社としてもっとも効率的な事業活動を行うことできるようになります。
■ 企業に内部統制を置くために必要なこと
(1)内部統制構築のフロー
上の(1)~(4)で説明した内部統制の目的が達成されないと、会社と指摘の基盤は危ういと言えるでしょう。このため会社内ではなんらかの内部統制は設けられているものです。
ただ、内部統制が不十分で脆弱な所があると、そこが不正の温床となる可能性が高く、会社として不正が発覚した時にはすでに手遅れということになりかねません。
そこで、効果的かつ効率的な内部統制を会社組織内に構築していくには、以下の対応が必要になります。
【内部統制 構築のフロー】
① 事業目的を明確にする
↓
② 目的達成を阻害するリスク要因の識別・抽出
↓
③ リスク要因を防止するため組織構築・手続の策定
↓
④ その実行と情報の伝達
↓
⑤ 結果の評価
なお、こうした手順を経て⑤の結果を受けて、内部統制が不十分、過剰な場合は③に戻りますし、全体的にみて事業目的と沿わない内部統制であるならば①②まで戻って見直すことになります。
(2)内部統制の基本的な構成要素
ここで、①の事業目的を明確にするということは、企業組織の基盤となる考え方・文化・方針・組織構造を明確にすること、つまり「統制環境」を明確にすることです。また、②は、企業が抱えるリスクについて、「識別」「分析」「評価」「対応」を行う一連のプロセスを意味し、「リスクの評価と対応」ということができます。
③は、経営者の命令・指示が適切に実行されるようにするために定められる、社内の方針や手続を意味しており、「統制活動」といいます。④は、企業内外及び関係者相互での情報伝達を適切に行うための、情報の「識別」「把握」「処理」「伝達」を内容とする一連のプロセスを指し、「情報と伝達」のことを指し、⑤は、内部統制が有効に機能していることを継続的に評価するプロセスを意味し、「モニタリング」といいます。
つまり、この①~⑤に「ITへの対応」を加えると、内部統制の基本的構成要素となり、会社が、有効な内部統制を構築していくために必要なものとなります。
この内部統制の構成要素の内容を「財務報告に係る内部統制の評価及び監査の基準」(金融庁が定めた実施基準)に当てはめると下記のようになります。
| 内部統制とその構成要素 | |
|---|---|
| 統制環境 |
誠実性、倫理観 経営者の意向、姿勢 経営方針、経営戦略 取締役会、監査役、監査役会、監査等委員会、監査委員会の有する機能 組織構造、慣行 権限、職責 人的資源に対する方針と管理 |
| リスクの評価と対応 |
識別→企業の組織目標の達成を阻害する要因を、リスクとして把握する。 分析→組織全体の目標に関わる全社的なリスクと、職能や活動単位ごとの目標に関わる業務別のリスクに分類したうえで、リスクの大きさ・発生可能性・頻度などを分析する。 評価→企業の組織目標に対して、リスクが与える影響を評価する。 対応→評価されたリスクについて、回避・低減・移転・受容などの選択肢から、適切な対応を選択する。 |
| 統制活動 |
権限や職責の付与 職務の分掌 社内規程やマニュアルの整備 内部けん制 業務記録の維持 実地検査等の物理的な資産管理 など |
| 情報と伝達 |
識別→各構成員が適時かつ適切に、職務の遂行に必要な情報を識別(認識)する。 把握→情報の内容や、信頼性の程度を十分に把握する。 処理→情報を利用可能な形式に整えて記録・保管・利用する。 伝達→組織目標や内部統制の目的を達成するため、必要な情報を知る必要がある者に伝達する。さらに、外部への情報伝達も適時かつ適切に行う。 |
■ コーポレートガバナンスと内部統制
こうした内部統制がコーポレートガバナンスとどのような関係にあるのでしょうか。
(1)経済産業省が規定するコーポレート・ガバナンスと内部統制の定義
少し古いのですが、2005年8月31日に経済産業省経済産業政策局企業行動課から公表された「コーポレートガバナンス及びリスク管理・ 内部統制に関する開示・評価の枠組について -構築及び開示のための指針-」にその詳細な説明をみることができます。
コーポレートガバナンスと内部統制を以下のように定義しております。
コーポレートガバナンス:「企業経営を規律するための仕組」であり、企業経営を担うのは企業経営者であるので、基本的には、企業経営者(代表取締役社長といった経営トップのみならず経営を執行する経営陣を指す)をどのように規律するか、という問題
内部統制:「企業経営者の経営戦略や事業目的等を組織として機能させ達成していくための仕組」であり、また、企業がその業務を適正かつ効率的に遂行するために、社内に構築され運用されるプロセス
コーポレートガバナンスと内部統制の全体図について下記のように図示されます。
コーポレートガバナンス及びリスク管理・内部統制に関する指針の全体図
出処:コーポレートガバナンス及びリスク管理・ 内部統制に関する開示・評価の枠組について -構築及び開示のための指針-企業行動の開示・評価に関する研究会
経済産業省~リスク管理・内部統制に関する研究会報告書によると「企業を取り巻くリスクに対応し、企業価値を維持・向上する観点からはリスクマネジメントと内部統制は多くの共通する部分を有しており、両者を一体としてとらえ、機能させていくことが必要」としています。
(2)リスクマネジメントと一体となって機能する内部統制
リスクマネジメントと一体となって機能する内部統制は、下記のような図でまとめております。
図1 リスクマネジメントと一体となって機能する内部統制の全体図
出処:コーポレートガバナンス及びリスク管理・ 内部統制に関する開示・評価の枠組について -構築及び開示のための指針-企業行動の開示・評価に関する研究会
上記の図では内部統制の構成は、『企業全体で共有され、企業構成員が業務執行する際には、「健全な内部統制環境」及び「円滑な情報伝達」が基盤となります。このような内部統制の基盤の下で、経営管理プロセス及び事業活動に組み込まれた形で、経営者層、管理者層、担当者層の各層で個別に PDCA サイクルを実施し、かつ各層間でコントロールとモニタリングを行う。
その上で、このような統制機能全般を独立して監査するための監視機能(内部監査)を構築することが必要』としています。
■ フローチャート作成による内部統制の改善
(1)「全社的な内部統制」と「業務プロセスに係る内部統制」とは?
こうしたコーポレートガバナンスに焦点を当てた上での内部統制の位置づけは、上記に説明した通りです。会社として内部統制のどの点を確認していくべきなのでしょうか。
つまり内部統制をどのような切り口で見ていくと、企業価値向上のために、内部統制を改善させていくようなアプローチができるか。この場合、「全社的な内部統制」と「業務プロセスに係る内部統制」というキーワードでアプローチしていくことをお勧めします。
内部統制は「全社的な内部統制」と「業務プロセスに係る内部統制」の2つに大別することができます。この2つは内部統制が以下のように定義づけられます。
「全社的な内部統制」:
内部統制の各基本要素において、対象会社組織全体として内部統制が有効に機能することを可能とするような仕組や体制を指し、全社を一元的に評価対象とする。
「業務プロセスに係る内部統制」:
各基本構成要素のうち、特に、「統制活動」や「ITへの対応」のように、個々の業務プロセスごとの中に組み込まれた内部統制の手続やシステムを指し、財務報告に関連する重要な業務プロセスごとに評価する。
(2)項目ごとの「全社的な内部統制」と「業務プロセスに係る内部統制」の割合
そして、下記は各内部統制の基本要素に占める全社的な内部統制とプロセスに係る内部統制の割合のイメージをさせています。
「全社的な内部統制」と「業務プロセスに係るに内部統制」
出所:実務詳解内部統制の文書化マニュアル(あずさ監査法人編)
第1章 財務報告に係る内部統制の文書化の図表
「全社的な内部統制」と「業務プロセスに係る内部統制」の両者は密接に関係しています。「統制環境」は、全社的な内部統制の割合が高く、「統制活動」は、業務プロセスに係る内部統制の割合が高いと考えられます。
(3)業務を見える化し、内部統制上の見落としや不正をみつける
「統制環境」は、会社の成長に伴い経営者により徐々に確立してきたものです。それに対し、「統制活動」は、各部門や事業部によって業務内容や手続が異なっていることから、業務プロセスに係る内部統制の割合が高いです。したがって、業務プロセスに係る内部統制については、グループ各社、各部署でやり方に違いがあり、その違いに内部統制上の見落としがある可能性が高いかと思います。
そもそも内部統制には、経営者による不正には弱いという限界があり、経営者の意識によって左右されるものではあるので、「全社統制」はある意味経営者の意識次第というところがあります。経営者の意識がきちんとしてさえすれば、業務プロセスに係る内部統制は、その性質上、改善余地が大きいかと思います。
このためには、業務を見える化し、どこにエアポケットがあるのかを把握するということは極めて有効です。
例えば、会社で売上高や売上原価、人件費、経費がどのようなプロセスで発生しているのかを会社・部署ごとにフローチャート化して、会社の業務を可視化させていくとどこに会社の業務的な課題、欠陥が存在するかわかるようになります。また、可視化は会社業務一本化、標準化の効果も期待されます。
このため、内部統制の構築におきましては、業務プロセスに係る内部統制を可視化していくことをお勧めします。
