企業経営において、健全かつ効率的な組織運営を行うための基盤となるのが「内部統制システム」です。コーポレートガバナンスの強化が叫ばれる昨今、多くの企業でその整備が進められていますが、具体的にどのような体制を構築すべきか、法令上の要件を正確に把握できているでしょうか。
特に「会社法」が求める内部統制と、「金融商品取引法(いわゆるJ-SOX)」が求める内部統制は、目的や対象範囲が異なります。これらを混同したままでは、過剰な管理コストが発生したり、逆に法的な義務を果たせていなかったりするリスクがあります。大会社においては取締役会での決議が義務付けられており、コンプライアンス遵守や損失危機の管理体制を含めた「業務の適正を確保するための体制」を整備することは、経営陣の善管注意義務を果たす上でも不可欠です。
この記事で分かること
本記事では、内部統制システムの定義や会社法における位置づけ、決定すべき基本方針の内容についてわかりやすく解説します。また、複雑化する業務プロセスやグループ管理において、手作業による統制の限界を克服し、確実なガバナンスと業務効率化を両立させるための結論として、ERP(統合基幹業務システム)を活用したIT統制の重要性についても触れていきます。
企業経営において「内部統制システム」という言葉を耳にする機会は多いですが、これが単なるITシステムやソフトウェアを指すものではないことは、経営層や部門責任者の皆様であればご存じのことかと思います。しかし、その法的な定義や具体的な要件となると、解釈が難しい部分も少なくありません。
本章では、会社法が求める内部統制システムの定義と、類似する概念である金融商品取引法(J-SOX)との違い、そしてコーポレートガバナンス・コードとの関係性について解説します。
会社法における内部統制システムとは、一言で言えば「株式会社の業務の適正を確保するために必要な体制」のことです。会社法第362条第4項第6号において、取締役会設置会社は「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務の適正を確保するために必要なものとして法務省令で定める体制」の整備を決定しなければならないと規定されています。
ここで重要なのは、法律が求めているのは特定の管理ツールの導入ではなく、組織全体として不正を防ぎ、業務を効率的かつ適正に運営するための仕組み(体制)づくりであるという点です。
具体的には、会社法施行規則第100条により、以下のような体制の整備が求められています。
これらは、企業が健全に成長し続けるための基盤となるものです。特に中堅規模以上の企業においては、経営者の目が届かない範囲が広がるため、人手に頼った管理ではなく、ルールとプロセスに基づいた組織的な統制が不可欠となります。
「内部統制」という言葉が使われる際、会社法に基づくものと、金融商品取引法に基づくもの(いわゆるJ-SOX)が混同されることがよくあります。両者は密接に関連していますが、その目的や対象範囲には明確な違いがあります。
会社法の内部統制システムが「会社全体の業務の適正化」を目的とし、すべてのステークホルダー(株主、債権者、従業員など)を保護対象としているのに対し、金融商品取引法の内部統制報告制度は、主に「財務報告の信頼性確保」を目的とし、投資家保護に主眼を置いています。
両者の主な違いを整理すると以下のようになります。
| 比較項目 | 会社法(内部統制システム) | 金融商品取引法(J-SOX) |
|---|---|---|
| 目的 | 業務の適正性の確保 (効率性、法令遵守、資産保全など広範) |
財務報告の信頼性の確保 (投資家保護) |
| 対象企業 | すべての大会社(資本金5億円以上または負債200億円以上)および監査等委員会設置会社など | すべての上場企業 |
| 監査の有無 | 会計監査人による監査対象ではない (監査役等の監査対象) |
公認会計士または監査法人による監査が必須 |
| 報告義務 | 事業報告での開示 | 内部統制報告書の提出 |
経営層としては、これらを別個のものとして捉えるのではなく、会社法が求める広い意味でのガバナンス体制の中に、財務報告の信頼性を担保するJ-SOXの仕組みが包含されていると理解するのが適切です。特にERPなどの基幹システムを導入・刷新する際は、業務の効率化(会社法)とデータの正確性(金商法)の両面を同時に満たす設計が求められます。
東京証券取引所が定めるコーポレートガバナンス・コードにおいても、内部統制システムは重要な位置を占めています。コーポレートガバナンス・コードは、企業が持続的な成長と中長期的な企業価値の向上を図るための指針であり、内部統制はそのための「守りの基盤」として機能します。
具体的には、補充原則4-3④において「内部統制システムやリスク管理体制の構築」が取締役会の責務として明記されています。ここでは、単に法令違反を防ぐだけでなく、適切なリスクテイクを支える環境整備としての側面も強調されています。
内部統制システムが適切に運用されている企業では、経営数値がタイムリーかつ正確に把握できるため、経営判断のスピードと質が向上します。逆に、システムが分断されデータが散在している状態では、ガバナンスの実効性を確保することは困難です。つまり、内部統制システムの整備は、法令対応という義務を超えて、企業の競争力を高めるための戦略的な取り組みであると言えます。
企業経営において、不祥事の防止や業務の効率化を図るための仕組み作りは欠かせません。会社法では、株式会社が業務の適正を確保するための体制、すなわち「内部統制システム」を整備することを求めています。この章では、会社法において具体的にどのような義務が課されているのか、その対象範囲や決定すべき事項について解説します。
会社法において、すべての企業に対して一律に内部統制システムの構築が義務付けられているわけではありません。法的に構築義務が明記されているのは「大会社」および「監査等委員会設置会社」「指名委員会等設置会社」です。
ここでいう「大会社」とは、会社法第2条第6号において明確に定義されています。具体的には、最終事業年度に係る貸借対照表において、以下のいずれかの要件を満たす株式会社を指します。
| 区分 | 要件 |
|---|---|
| 資本金要件 | 資本金として計上した額が5億円以上 |
| 負債要件 | 負債の部に計上した額の合計額が200億円以上 |
これらに該当する大会社であって、かつ取締役会を設置している会社は、取締役会の決議によって内部統制システムの整備に関する基本方針を決定しなければなりません。これは、規模の大きな企業ほど社会的な影響力が大きく、より厳格なガバナンス体制が求められるためです。
なお、中小規模の会社であっても、取締役の善管注意義務の一環として、会社の規模や特性に応じた適切な内部統制システムを構築することが望ましいと解釈されています。
内部統制システムの整備は、取締役会が決定すべき専決事項の一つです。会社法第362条第4項第6号では、取締役会が「取締役の職務の執行が法令及び定款に適合することを確保するための体制その他株式会社の業務並びにその清算人の業務の適正を確保するために必要なものとして法務省令で定める体制の整備」を決定しなければならないと定めています。
具体的に整備すべき体制の内容は、会社法施行規則第100条に詳細が規定されています。これには、情報の保存管理体制や損失の危険管理に関する体制などが含まれます。
重要な点は、取締役が内部統制システムの構築・運用を怠った場合、善管注意義務違反として法的責任を問われる可能性があるということです。取締役は、単に不正を行わないだけでなく、会社全体として不正が起きないような仕組み、あるいは業務が非効率にならないような仕組みを構築し、それが機能しているかを監視する義務を負っています。
現代の企業経営において、これらの体制を人手のみで完璧に維持することは困難です。そのため、ERPなどの基幹システムを活用し、業務プロセスの中に統制活動を組み込むことが、取締役の義務を履行する上でも極めて有効な手段となります。
会社法が求める内部統制システムは、自社単独の管理にとどまりません。会社法施行規則では、「当該株式会社及びその子会社から成る企業集団における業務の適正を確保するための体制」の整備も求めています。
これは、子会社での不祥事や業績悪化が親会社の経営に重大な影響を及ぼすリスクがあるためです。具体的には、以下のような体制を整備することが求められます。
多くの中堅企業において、本社はERPで管理されていても、子会社や関連会社は個別の会計ソフトやExcelで管理されているケースが散見されます。しかし、グループ全体でのガバナンスを強化し、法的な要請に応えるためには、データの統合管理が可能なシステム基盤の整備が不可欠です。
グループ会社間の取引や債権債務の状況をリアルタイムに把握できる環境を整えることは、不正会計の防止だけでなく、経営判断の迅速化にも寄与します。
会社法において大会社および監査等委員会設置会社などに義務付けられている内部統制システムの整備ですが、その核心となるのが「内部統制システムの基本方針」の策定です。この基本方針は、企業が業務の適正を確保するためにどのような体制を構築・運用するかを具体的に示したものであり、取締役会での決議を経て決定されます。
単なる形式的な文書作成にとどまらず、実効性のあるガバナンス体制を築くための設計図として機能させることが重要です。ここでは、基本方針に盛り込むべき主要な決定内容と、その策定プロセスについて解説します。
内部統制システムの中でも特に重要視されるのが、取締役および使用人の職務の執行が法令および定款に適合することを確保するための体制、いわゆるコンプライアンス体制の構築です。企業活動において法令違反が発生すれば、社会的信用の失墜や巨額の損害賠償につながるリスクがあるため、予防的な仕組み作りが求められます。
具体的には、以下のような施策を基本方針として定め、組織全体に浸透させることが必要です。
特に、不正や誤謬(ごびゅう)を防ぐためには、業務プロセスそのものに統制機能を組み込むことが効果的です。例えば、決裁権限の明確化や職務分掌の徹底を行い、特定の個人に権限が集中しないようにする牽制機能を持たせることが挙げられます。こうした体制を明文化し、日々の業務フローの中で確実に運用される状態を目指します。
企業経営には様々なリスクが伴いますが、それらを適切に管理・コントロールするための体制(リスクマネジメント体制)も基本方針の重要な構成要素です。会社法では「損失の危険の管理に関する規程その他の体制」として、リスクの洗い出しから評価、対応策の実行までのプロセスを整備することを求めています。
想定されるリスクは多岐にわたるため、リスクの性質に応じた管理体制を構築することが望まれます。一般的なリスク分類と管理の方向性は以下の通りです。
| リスクの分類 | 主な内容 | 管理体制の例 |
|---|---|---|
| 事業リスク | 市場環境の変化、競合の動向、技術革新など | 経営会議での定期的なモニタリング、事業計画の見直しルールの策定 |
| 財務・経理リスク | 為替変動、資金繰り悪化、財務報告の虚偽記載など | 財務規定の整備、正確な会計データを適時に把握できる基盤の構築 |
| 法務・コンプライアンスリスク | 法令違反、契約不履行、訴訟など | 法務部門による契約審査、顧問弁護士との連携体制 |
| 災害・ITリスク | 自然災害、サイバー攻撃、システム障害など | BCP(事業継続計画)の策定、情報セキュリティ対策の強化 |
近年では、ビジネスのデジタル化に伴い、データの消失や漏洩といったITリスクへの対応重要度が増しています。基本方針においては、これらのリスクを網羅的に把握し、発生時の報告ルートや対策本部設置などの危機管理体制を定めておく必要があります。
内部統制システムの基本方針は、一度作成して終わりではありません。環境の変化に応じて見直しを行い、継続的に改善していくプロセス(PDCAサイクル)が求められます。策定から開示までの一般的な流れは以下のようになります。
会社法では、基本方針の決定内容だけでなく、その「運用状況の概要」についても事業報告での開示が義務付けられています。つまり、方針を決めたものの実態が伴っていない場合、その事実が株主の目に触れることになります。したがって、実効性のある運用が可能で、かつ現場の業務負荷を過度に高めない現実的な仕組みを構築することが、経営層には求められます。
また、内部統制システムが有効に機能しているかどうかを監査役や会計監査人がチェックすることになるため、証跡(ログ)の確保や文書化も欠かせません。こうした運用状況のモニタリングを効率化し、正確な開示を行うためには、人手による管理から脱却し、統合されたシステム基盤を活用することが推奨されます。
現代の企業経営において、内部統制システムの構築と運用は、単なる法令順守(コンプライアンス)の枠を超え、業務の効率化や財務報告の信頼性を確保するための重要な基盤となっています。特に、事業規模が拡大し、取引量や従業員数が増加する中堅企業においては、人手や紙ベースのアナログな管理手法のみで内部統制を機能させることは事実上不可能です。
会社法や金融商品取引法(J-SOX)が求める水準を満たしつつ、実効性のある内部統制システムを運用するためには、ITの活用が不可欠です。本章では、内部統制におけるITの位置づけと、手作業による管理のリスク、そしてIT統制の具体的な中身について解説します。
金融庁の企業会計審議会が公表している「財務報告に係る内部統制の評価及び監査の基準」において、内部統制は以下の6つの基本的要素から構成されると定義されています。
ここで特筆すべきは、「ITへの対応」が独立した要素として挙げられている点です。これは、業務プロセスがITシステムに大きく依存している現代において、ITが適切に管理されていなければ、他の要素(統制活動や情報の伝達など)も有効に機能しないことを意味しています。
例えば、会計処理や在庫管理がシステム化されている場合、そのシステムが誤った計算を行ったり、不正なアクセスによってデータが改ざんされたりすれば、どれほど立派な社内規定が存在しても内部統制は無効化されてしまいます。経営層は、ITシステムが事業目的の達成に不可欠な要素であることを認識し、適切な方針を定める必要があります。
多くの成長企業では、部門ごとに最適化された個別のシステム(販売管理システム、在庫管理システム、会計システムなど)がバラバラに導入されていたり、重要な業務がいまだにExcelなどの表計算ソフトによる手作業(バケツリレー方式)で行われていたりするケースが散見されます。
このような「データの分断」や「手作業への依存」は、内部統制の観点から以下のような深刻なリスクを招きます。
| 管理項目 | 手作業・個別システムのリスク | 統合型ITシステム(ERP等)の効果 |
|---|---|---|
| データの整合性 | システム間の転記ミスや二重入力が発生しやすく、数値が不一致になる。 | データが一元管理され、整合性が自動的に保たれる。 |
| 業務の効率性 | データの加工や照合作業に膨大な時間がかかり、決算早期化を阻害する。 | データ連携が自動化され、業務プロセスが大幅に短縮される。 |
| 不正のリスク | Excelなどは修正履歴が残りにくく、担当者による改ざんが容易。 | 誰がいつ何を処理したかログが残り、権限のない操作を防止できる。 |
| 経営の可視性 | 全社の状況を把握するために、各部署からの報告集計を待つ必要がある。 | リアルタイムで全社の経営数値が可視化され、迅速な意思決定が可能。 |
特に、Excelによる管理は属人化しやすく、「その担当者しか計算ロジックが分からない」というブラックボックス化を招きます。これは、担当者の退職時に業務が停止するリスクや、意図的な不正が見過ごされるリスクに直結します。内部統制システムを強化するためには、こうした手作業を極力排除し、信頼性の高いIT基盤へと移行することが求められます。
内部統制システムにおいてITを活用する際、その統制活動は大きく「IT全般統制(ITGC)」と「IT業務処理統制(ITAC)」の2つに分類されます。これらは車の両輪のような関係であり、双方が機能して初めてITによる統制が有効となります。
IT全般統制とは、アプリケーションシステムが安全かつ継続的に稼働するための「環境」や「基盤」に対する統制のことです。複数の業務システムに共通して影響を及ぼす管理活動を指します。
IT業務処理統制とは、業務プロセスの中に組み込まれた、個々のアプリケーションシステムにおける統制のことです。入力されたデータが正確に処理され、出力されることを保証するための仕組みです。
手作業が多い環境では、これらのチェックを目視や承認印で行う必要があり、ヒューマンエラーやチェック漏れが避けられません。一方、ERP(統合基幹業務システム)などの統合型システムを導入すれば、これらの業務処理統制の多くをシステム機能として自動化・標準化することが可能となり、内部統制の実効性を飛躍的に高めることができます。
会社法が求める内部統制システムを構築・運用するうえで、ITの活用はもはや避けて通れません。特に、企業の基幹業務を統合的に管理するERP(Enterprise Resource Planning)システムは、内部統制の実効性を高めると同時に、業務効率化を実現するための強力な基盤となります。
多くの企業では、部門ごとに異なるシステムやExcelファイルが乱立し、データの整合性を取るために膨大な手作業が発生しています。このような環境は非効率であるだけでなく、人為的なミスや不正のリスクを常に抱えています。ERPを導入し、業務プロセスとデータを統合することは、経営の透明性を高め、強固なガバナンス体制を築くための近道と言えるでしょう。
内部統制において最も重要視される要素の一つが、財務報告の信頼性です。会計システム、販売管理システム、在庫管理システムなどが分断されている環境では、システム間のデータ転記や集計作業においてミスが発生しやすく、データの整合性を証明することが困難になります。
ERPの最大の特徴は、すべての業務データが「統合データベース」で一元管理されている点にあります。例えば、販売部門で受注データが入力されれば、それが即座に在庫データ、出荷データ、そして会計データへと自動的に連動します。これにより、人手による二重入力や転記作業が不要となり、意図しない入力ミスやデータの不整合を根本から排除することが可能です。
また、データが一元化されていることで、経営層は常に「今」の正確な数字を把握できるようになります。これは、迅速な意思決定を支援するだけでなく、監査法人やステークホルダーに対して、数字の根拠を明確に示すことができる信頼性の高い経営基盤となります。
内部統制システム構築の義務には、「業務の適正を確保するための体制」が含まれます。しかし、長年の慣習や属人化した業務プロセスが残っている企業では、特定の担当者しか業務内容を把握していない「ブラックボックス化」が起きがちです。これは、不正の温床となるリスクが高い状態です。
ERPの導入は、こうした属人化した業務プロセスを見直し、標準化する絶好の機会となります。ERPには、多くの企業で採用されている標準的な業務フロー(ベストプラクティス)が組み込まれています。システムに合わせて業務を標準化することで、誰が担当しても同じ手順で業務が遂行されるようになり、プロセスの透明性が向上します。
さらに、システム上でワークフローを強制できる点も大きなメリットです。
このように、システムが自動的に牽制機能を果たすことで、ルール逸脱や不正行為を未然に防ぐ仕組み(業務処理統制)を、労力をかけずに構築することができます。
内部統制システムが有効に機能していることを証明するためには、「誰が、いつ、何をしたか」という記録(証跡)が不可欠です。従来のアナログな管理や、セキュリティ対策が不十分な個別システムでは、アクセス権限の管理が曖昧になりがちでした。
ERPでは、ユーザーごとに細やかなアクセス権限を設定することが可能です。「入力担当者」「承認者」「システム管理者」といった職務分掌に基づき、必要な機能やデータにのみアクセスできるよう制限することで、権限のない者によるデータの改ざんや漏洩を防ぎます。
また、操作ログの自動取得もIT統制における重要な機能です。ERP導入前後での管理レベルの違いを整理すると、以下のようになります。
| 比較項目 | 従来の個別システム・Excel管理 | ERP導入後の統合管理 |
|---|---|---|
| データ入力 | 部門ごとに重複入力・転記が発生 (ミス・改ざんリスク大) |
一度の入力で全業務に連携 (整合性の担保) |
| プロセス統制 | ルールが形骸化しやすく、抜け道が存在 | システムによるワークフロー強制 (ルールの徹底) |
| 権限管理 | IDの使い回しや設定漏れが起きやすい | 職務分掌に基づく厳格な権限設定 (SoDの実現) |
| 証跡(ログ) | ログが散在、または取得できていない | 操作ログを自動記録・一元管理 (監査対応の効率化) |
このように、ERPを活用することで、手作業による管理の限界を突破し、効率的かつ持続可能な内部統制システムを構築することが可能になります。結果として、監査対応にかかる工数やコストの大幅な削減にもつながるのです。
内部統制とは、業務の有効性や効率性、財務報告の信頼性などを確保するためのプロセスそのものを指します。一方で内部統制システムは、会社法に基づき取締役会が決定し整備する「業務の適正を確保するための体制」を指します。両者は密接に関連していますが、依拠する法律や求められる範囲、視点が異なります。
会社法において内部統制システムの整備が義務付けられているのは、大会社(資本金5億円以上または負債200億円以上)および監査等委員会設置会社・指名委員会等設置会社です。それ以外の中小企業には法的な構築義務はありませんが、経営リスクの管理や業務効率化の観点から、自主的に整備することが推奨されます。
内部統制システムの基本方針を決定している会社は、事業報告においてその決議内容の概要を開示することが求められています。また、上場企業の多くは、コーポレートガバナンス報告書や自社のWebサイト、有価証券報告書などでその内容を公開しています。
いいえ、異なります。内部統制システムは会社法に基づき、会社全体の業務の適正性を確保することを目的としています。対してJ-SOXは金融商品取引法に基づき、主に上場企業を対象として「財務報告の信頼性」を確保することを目的とした制度です。目的や対象範囲に違いがありますが、実務上は連携して運用されることが一般的です。
法令遵守や不正リスクの低減といった守りの側面だけでなく、業務プロセスの可視化や標準化による業務効率の向上という攻めの側面も期待できます。また、透明性の高い経営体制を構築することで、株主や取引先などのステークホルダーからの信頼を獲得し、企業価値の向上につながります。
内部統制システムは、会社法によって定められた義務であると同時に、企業が健全に成長し続けるために不可欠な経営基盤です。取締役会が基本方針を決定し、法令遵守や損失危険の管理、グループ全体の業務適正化を図ることは、経営陣の善管注意義務を果たす上でも極めて重要な責務と言えます。
特に、ビジネスのデジタル化が進む現代において、内部統制の実効性を高めるためにはITの活用が避けて通れません。従来の手作業や個別システムによる管理では、ヒューマンエラーやデータの不整合、不正リスクを完全に排除することは困難です。そこで、多くの企業が解決策として注目しているのがERP(統合基幹業務システム)です。
ERPを導入することで、業務プロセスを標準化し、データの整合性をシステムレベルで担保することが可能になります。また、権限管理やログの自動取得といった機能により、内部統制の強化と業務効率化を高い次元で両立させることができます。ガバナンスの効いた強い組織を作るために、まずはERPによる管理体制の刷新について情報収集を始めてみてはいかがでしょうか。