IPO

内部統制とは?4つの目的・6つの基本的要素とJ-SOX・会社法の違いを解説

内部統制とは、企業が業務を正しく回し、不正や誤りを未然に防ぐために、社内に組み込む仕組みの総称です。この記事では、金融庁が定める4つの目的と6つの基本的要素という共通の枠組みを押さえたうえで、会社法と金融商品取引法(J-SOX)という2つの制度の違い、業務記述書などの3点セット、2023年に15年ぶりに改訂された評価基準の現行版までを順に整理します。さらに、手作業やスプレッドシートに頼った統制がどの規模で限界を迎えるか、IT統制のシステム化や外注をどこで判断すべきかを、システム開発を発注する側の視点で具体的に示します。

目次

まとめ:内部統制の全体像とシステム化・外注で仕組み化する判断

内部統制は、金融庁の基準が示す「業務の有効性・効率性」「報告の信頼性」「法令等の遵守」「資産の保全」の4つの目的を、統制環境からITへの対応までの6つの要素で支える枠組みです。上場企業には金融商品取引法にもとづくJ-SOX(内部統制報告制度)が課され、会社法は大会社などに取締役会での基本方針の決定を求めます。制度の根拠と対象企業が異なる点を最初に押さえておくと、自社に何が必要かの判断を誤りません。

実務では、統制を紙とハンコ、あるいは表計算ソフトの手作業で回す企業が少なくありません。この方法は取引量が増えるほど属人化とチェック漏れを生み、どこかで破綻します。承認履歴が追えない、担当者の兼務で職務分掌が崩れている、こうした兆候が出たらワークフローやERPによる仕組み化を検討する段階です。

ただし、非上場の中小企業がいきなり上場企業並みの体制を敷くのは過剰になります。まず自社で回すべき統制と、システム化・外注に切り出す業務を線引きし、財務報告に直結する領域から手を打つのが現実的な順番です。IT統制や業務プロセスをシステムに落とす工程を外部に相談するなら、要件定義から統制を織り込める内部統制の要件に対応するWebシステム開発のような発注先が選択肢になります。

内部統制とは何か|定義と会社法・金融商品取引法(J-SOX)の枠組み

内部統制という言葉は、金融庁の基準では「業務の適正を確保するために、組織内のすべての者が遵守すべき仕組み」と定義されています。特定の部署が担う業務ではなく、経営者から現場までが日々の業務の中で回すものだという点が出発点になります。

内部統制の定義と4つの目的|財務報告から報告の信頼性への拡大

金融庁の「財務報告に係る内部統制の評価及び監査の基準」は、内部統制を4つの目的の達成を支えるプロセスと位置づけます。この4つは並列ではありません。事業を回す土台の上に、報告・法令遵守・資産保全が乗る構造だと捉えると理解が進みます。

4つの目的 内容
業務の有効性・効率性 事業目標の達成に向け業務を有効かつ効率的に行う
報告の信頼性 財務・非財務を含む報告の信頼性を確保する
法令等の遵守 事業活動に関わる法令その他の規範を守る
資産の保全 資産の取得・使用・処分を正当な手続で行う

2つ目の目的は、2023年の改訂で「財務報告の信頼性」から「報告の信頼性」へと名称が変わりました。財務諸表だけでなく、サステナビリティ情報などの非財務情報も報告の対象に含めた変更です。数値を扱う経理部門だけの話ではなくなった、と読み替えてよいでしょう。

会社法上の内部統制と金融商品取引法J-SOXの対象範囲の違い

内部統制を義務づける法律は2つあり、対象と狙いが分かれます。混同されやすいので、根拠条文と対象企業で切り分けておきます。

観点 会社法の内部統制 金商法(J-SOX)
根拠 会社法362条4項等 金融商品取引法
対象 大会社・指名委員会等設置会社 上場企業
狙い 業務全般の適正確保 財務報告の信頼性
確認方法 取締役会の基本方針決定 内部統制報告書の提出

会社法は、資本金5億円以上または負債200億円以上の大会社などに、取締役会で内部統制システムの基本方針を決めるよう求めます。一方のJ-SOXは上場企業に限り、財務報告の信頼性に絞って内部統制報告書の提出を義務づける制度です。自社が上場していないなら、まず会社法の観点から自社の規模が該当するかを確認するとよいでしょう。J-SOXの制度全体は子記事でさらに掘り下げます。

内部統制を構成する6つの基本的要素とIT統制(ITGC)の位置づけ

4つの目的を達成する手段として、基準は6つの基本的要素を挙げます。この6つはチェックリストではなく、互いに連動して機能する部品です。1つが欠けると他の要素の効き目も落ちます。

内部統制の6つの基本的要素|統制環境からITへの対応までの役割

6つの要素は、土台となる統制環境の上に、リスク評価・統制活動・情報伝達・モニタリングが積み上がり、それらを横断してITへの対応が支える関係にあります。

基本的要素 役割
統制環境 組織の気風を決め他の5要素の土台となる
リスクの評価と対応 目標達成を阻むリスクを識別し対応する
統制活動 権限分掌や承認など不正を防ぐ手続
情報と伝達 必要な情報が組織内外に正しく伝わる
モニタリング 統制が機能し続けるか継続的に点検する
ITへの対応 業務に組み込まれたITへ適切に対応する

6要素の中で見落とされやすいのが、6番目のITへの対応です。会計や在庫の処理がシステム化された企業では、統制活動の多くがシステムの中で動きます。手続だけを紙で定めても、システムの設定やアクセス権が野放しなら統制は成り立ちません。

内部統制のITへの対応を担うIT全般統制と業務処理統制の分担

ITへの対応は、大きくIT全般統制(ITGC)とIT業務処理統制(ITAC)の2層に分かれます。全般統制はシステムを支える基盤の管理、業務処理統制は個々の処理が正しく行われることを守る層です。この2つは守る対象が違うため、片方だけでは穴が残ります。

たとえば、アクセス権の付与・変更やプログラム変更の管理は全般統制、入力データの妥当性チェックや自動計算の正確性は業務処理統制の領域です。両者の役割分担はIT全般統制と業務処理統制の違いを整理した記事で具体的に扱っています。自社のシステムがどちらの統制をどこまで担保できているかを、要件段階で確認しておくと後の手戻りを防げます。

混同しやすい内部統制とガバナンス・コンプライアンスの切り分け

内部統制は、コーポレートガバナンスやコンプライアンスと並べて語られがちで、境界が曖昧になりやすい概念です。指す範囲を整理しておくと、社内で議論がかみ合います。

混同しやすい内部統制とガバナンス・コンプライアンスの切り分け

3つの関係は、包含のレイヤーで捉えると整理できます。もっとも広いのがコーポレートガバナンスで、経営を監督し企業価値を高める枠組み全体を指します。内部統制は、そのガバナンスを機能させるために経営者が構築・運用する内部の仕組みという位置づけです。

コンプライアンス(法令等の遵守)は、内部統制の4つの目的のうちの1つにあたります。つまりコンプライアンスは内部統制の一部であり、内部統制はガバナンスを支える手段という入れ子の関係です。この順序を押さえると、「ガバナンス強化のために内部統制を整える」という説明が腑に落ちるはずです。

内部統制のモニタリングを担う内部監査の役割と外部監査との違い

6要素のモニタリングを実務で担うのが内部監査です。内部監査は、業務から独立した立場で統制が有効に機能しているかを点検し、経営者に改善を提言します。日常業務に組み込まれた監視とは別に、独立した目で定期的に確認する二重の構えが統制を保ちます。

会計監査人が行う外部監査とは目的が異なります。外部監査は財務諸表の適正性を投資家などのために証明する制度、内部監査は自社の統制を良くするための内部の点検です。報告書の記載項目や書き方は内部監査報告書の書き方を解説した記事で具体化しています。監査を受ける側としても、何を見られるかを知っておくと準備が速くなります。

内部統制の進め方|3点セットによる文書化と評価範囲の絞り込み

内部統制を実際に構築・評価する段では、業務を可視化する文書づくりから始めます。とくにJ-SOX対応では、3点セットと呼ばれる文書が評価の土台になります。

内部統制の3点セット|業務記述書・フローチャート・RCMの作成

3点セットは、業務記述書・業務フローチャート・リスクコントロールマトリックス(RCM)の3つを指します。それぞれが業務の可視化とリスクの特定という役割を分担します。

  1. 業務記述書:取引の開始から記帳までの流れを文章で記述する
  2. 業務フローチャート:処理と承認の流れを図で示し担当を明確にする
  3. RCM:どのリスクにどの統制で対応するかを一覧で対応づける

3点セットの狙いは、書類を揃えること自体ではありません。業務のどこに不正や誤りのリスクがあり、そこにどんな統制が効いているかを、誰が見ても追える状態にすることにあります。作って終わりにせず、業務の変更に合わせて更新し続けて初めて評価の役に立ちます。

2023年改訂で見直された評価範囲の決め方とリスクアプローチ

2008年に始まった内部統制報告制度は、2023年に15年ぶりの大きな改訂を受けました。基準と実施基準が見直され、2024年4月1日以後に開始する事業年度から適用されます。3月決算の会社なら2025年3月期からが対象です。

改訂の柱の1つが、評価範囲の決め方です。従来は売上高の概ね3分の2といった数値基準が独り歩きしがちでしたが、改訂後は形式的な金額基準に頼らず、リスクの大きさから評価対象を絞るリスクアプローチが明確化されました。どこを重点的に評価するかを、自社のリスク評価にもとづいて説明できる状態にする必要があります。改訂の現行版と基準・実施基準の違いは2023年改訂の内部統制評価・実施基準を整理した記事で詳しく解説しています。

手作業やスプレッドシート頼みの内部統制が破綻する兆候と分岐点

ここからは、統制を実際に回す手段の判断に踏み込みます。多くの企業が最初に選ぶのは、紙の申請書や表計算ソフトによる運用です。この方法が破綻する条件は、経験上はっきりしています。

手作業やスプレッドシート頼みの内部統制が破綻する兆候と分岐点

手作業の統制が限界を迎えるサインは、次の3つに集約されます。1つでも当てはまるなら、仕組み化を検討する分岐点に来ていると考えてください。

  • 承認の履歴が残らず、誰がいつ承認したかを後から追えない
  • 担当者の兼務や退職で、職務分掌が実質的に崩れている
  • 月次の突合や証跡集めに、担当者が恒常的に残業している

これらはいずれも、取引量が一定を超えると人手では抑えきれなくなる問題です。とくに承認履歴が追えない状態は、統制が「ある」と言えるかどうかの分かれ目になります。経理領域での不正・粉飾を防ぐ統制の優先順位は経理の内部統制を規模別に整理した記事にまとめました。逆に、取引量が少なく担当者間の相互チェックが効いている段階で、高価なシステムを先に入れるのは過剰投資です。まず破綻の兆候を測ってから投資順序を決めるのが失敗しないやり方です。

内部統制のシステム化と外注の判断基準と自社に残す業務の線引き

仕組み化を決めたとして、すべてを一度にシステム化・外注する必要はありません。切り分けの基準は「財務報告への影響度」と「自社固有の判断が要るか」の2軸で考えると整理できます。

ワークフローによる申請・承認、ERPによる会計・在庫処理、RPAによる定型突合など、ルールが定型化できる統制はシステム化や外注に向きます。一方で、リスク評価の方針決定や、統制が有効かどうかの最終判断は、経営者・管理部門が自社に残すべき領域です。ここを外に丸投げすると、統制の責任の所在が曖昧になります。委託できる業務範囲と残すべき業務の線引きは内部統制の外注時の注意点をまとめた記事が参考になります。システム化の設計から相談するなら、統制要件を要件定義に織り込めるWebシステム開発の相談先を検討材料にしてください。

よくある質問

内部統制について、検索で多く寄せられる質問に答えます。

内部統制とは簡単に言うと何ですか?

会社が業務を正しく回し、不正やミスを防ぐために社内に組み込む仕組みの総称です。経理や管理部門だけのものではなく、経営者から現場の担当者までが日々の業務の中で回します。金融庁の基準では、業務の効率性・報告の信頼性・法令遵守・資産保全という4つの目的を支えるプロセスと定義されています。

内部統制とJ-SOXの違いは何ですか?

内部統制は仕組みそのものを指す広い概念で、J-SOX(内部統制報告制度)は金融商品取引法にもとづき上場企業に課される制度です。J-SOXは財務報告の信頼性に対象を絞り、経営者が内部統制報告書を作成・提出することを義務づけます。非上場企業はJ-SOXの対象外ですが、会社法の観点から内部統制の整備を求められる場合があります。

内部統制とガバナンスの違いは何ですか?

コーポレートガバナンスは経営を監督し企業価値を高める枠組み全体で、内部統制はそのガバナンスを機能させるために経営者が構築・運用する内部の仕組みです。ガバナンスのほうが広い概念で、内部統制はそれを支える手段という入れ子の関係にあります。さらにコンプライアンスは、内部統制の4つの目的の1つに位置づけられます。

内部統制の4つの目的と6つの基本的要素とは何ですか?

4つの目的は、業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全です。これを支える6つの基本的要素が、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応にあたります。目的が「何のために」、要素が「何を使って」を示す関係だと捉えると整理しやすくなります。

非上場の中小企業でも内部統制は必要ですか?

必要です。J-SOXの対象は上場企業ですが、不正やミスを防ぐ仕組みは企業規模を問わず要ります。ただし上場企業並みの体制を敷く必要はなく、財務報告に直結する領域から段階的に整えるのが現実的です。承認履歴が追えない、職務分掌が崩れているといった兆候が出た時点で、仕組み化を検討すると無理がありません。

関連記事

資料請求

RELATED POSTS 関連記事