内部統制
内部統制の意義
企業における内部統制とは、適切なルールを定め、それに従って企業を運営していくことです。
1 社長による監視から仕組みによる監視へ
多くの中小企業では、トップダウン型の経営が行われており、内部統制についても社長自身が目を光らせているのが通常でしょう。
社長が自社の内部統制に関心をもつのは非常に重要なことです。
しかし、そのような高い意識をもっていても、社内で起こっていること全てを社長が完全に把擬するのは困難です。
末端の従業員レベルでは、悪意のあるなしに関わらず、自社の従業員として不適切な行動を取ることもあるでしょう。
また、これを防ごうとして、社長が些細な事項の監視に没入すると、経営戦略の策定などの重要業務が疎かになる可能性もあります。
社長自身による直接的な監視の負担を減らし、内部統制整備による仕組みによる監視に移行していくことで、よりきめ細かい統制が実現し、社長自身も本来的な業務に集中することができます。
2 取引先へのアピール
上場企業では「内部統制報告書」の提出が義務づけられている(2008年4月1日より)など、内部統制に関する社会的関心は高まっています。
提出義務のない未上場企業においても、取引先である上場企業から内部統制強化を求められるのは当然の流れといえます。
大企業は取引先選定に当たって、「品質」、「価格」、「納期」といった基本的な要件に加え、「この企業は内部統制が十分にできているか」という点を重視するようになっています。
中小企業においても自社の内部統制の仕組みを設計し、仕組みに従ってきちんとした管理ができていることを示す必要があります。
3 「攻め」の内部統制へ
さらに、内部統制は「取引先に求められるから」という「守り」ではなく、「自社の企業運営の方法を見直し、企業価値を高めていく」ための「攻め」の取り組みと捉えることができます。
内部統制によって経営活動をより効果的かつ効率的なものに高め、経営理念実現、持続的成長、競合他社への優位性確保などを推進していくのです。
たとえば、「不正な経理処理をさせない」ことは当然大切ですが、一歩進んで、「不要な経理処理を排して生産性を向上させる」ということも内部統制の目的のひとつです。
内部統制によって業務のやり方を革新し、企業価値をいかに高めていくかという視点をもつことが重要です。
4 内部統制の目的と要件
金融庁が示している「財務報告に係る内部統制の評価及び監査に関する実施基準」によれば、内部統制は以下のようになります。
内部統制の目的は、①業務の有効性及び効率性、②財務報告の信頼性、③事業活動に関わる法令等の遵守、④資産の保全 の4つであり、その実現のためには、①統制環境、②リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング(監視活動)、⑥IT(情報技術)への対応 の6つが要件ということになります。
中小企業が上場企業と同レベルの詳細かつ網羅的な「実施基準」を備える必要はありませんが、その考え方を自社の状況に応じて取り入れることで、内部統制を強化することができます。
内部続制の4つの目的
1 業務の有効性及び効率性
ここで言う業務とは、企業が事業目的を達成するために継続的に行うすべての活動を指します。
社長や経営幹部から一般社員、パート・アルバイトに至るまで、すべての従業員がその対象になります。
また、一人ひとりの従業員が行う個別の業務だけではなく、組織として行っている業務もその対象になります。
有効性とは、業務によって事業目的がどの程度達成されるかという尺度です。たとえば、明らかにターゲット選定を間違った営業活動などは有効とはいえません。そのような活動が野放しで行われていれば、内部統制が取れていることにはなりません。
効率性とは、事業目的達成に向けて、人、モノ、カネ、時間などの経営資源がどの程度合理的に配分されているかという尺度です。
たとえば、必要のない人が出席していたり、進行の不手際で時間ばかりを浪費する会議などは効率的とはいえません。
業務の有効性及び効率性に関する内部統制は、業務の達成度及び経営資源の合理的な利用度を測定・評価し、適切な対応を図る体制を設けることによって、有効性及び効率性に係る目標の達成を実現することが目的です。
自社のさまざまな業務を大分類から小分類まで棚卸しして、その有効性・効率性を確認することから始める必要があります。
2 財務報告の信頼性
財務報告は、企業の内外の者が当該企業の活動を確認するうえで極めて重要な情報です。
未上場企業であっても、貸借対照表や損益計算書等の財務諸表の作成は適切に行わなければなりません。
社長は、自社の財務内容について正確に理解していないと、正しい経営判断を下すことができません。
また、従業員や取引先、銀行などに対して自社の状況をきちんと伝えることもできません。
社長は、業績が良くても悪くてもその状況を正確に把握し、その情報を経営にいかすとともに、適切に社内外に開示することが求められます。
3 事業活動に関わる法令等の遵守
すべての事業活動においては、個々の従業員や組織は法令を遵守しなければなりません。
これを怠ると、社会に対して多大な迷惑をかけることになり、経営において致命的なダメージを受けることは避けられません。法令遵守の姿勢を積極的に打ち出し、その努力を継続していけば、社会的信用は高まり、結果として業績向上につながることも期待できます。
企業活動に関わる法令は多様です。
すべての企業に関わる法令としては、「民法」「商法」「会社法」「個人情報保護法」「労働基準法」、「著作権法」などがあり、さらに、業界ごとにもさまざまな法令があります。
社長は、自社の事業活動に関わる法令を自らが理解し、全ての従業員に対して法令遵守を指導しなければなりません。
日々の行動に定着させるためには、法令の文言を示すだけではなく、法令を踏まえた自社独自の行動規範を作成することも必要でしょう。
4 資産の保全
企業にはさまざまな資産があります。建物や機械などの有形資産のほか、特許などの知的財産や顧客に関する情報などの無形資産もあります。これらの資産が適切に保全されなければ事業活動に大きな支障を来し、企業価値そのものを損なうこともあります。
また、外部からの出資を受けている場合には、社長は資産の保全に大きな責任を負っています。
資産の適切な保全のためには、資産の取得・活用・管理・処分などについて、正当な手続きや承認の仕組みを整備し、運用することが求められます。
適切な内部統制実現のための要件
1 統制環境
統制環境とは、企業が保有する価値基準及び組織の基本的な人事、職務の制度等を総称する概念です。
統制環境は企業文化や個々の従業員の内部統制への取り組みに大きな影響を与えます。
代表的な要件を整理すると次のようになります。
・社長の意向及び姿勢が経営理念や行動指針等によって明確になっていること
・経営理念や行動指針等によって企業としての誠実性及び倫理観が明確になっていること
・経営方針や経営戦略等が事業計画として具体的に示されていること
・社長や経営幹部が「独断専行」に陥らない牽制機能があること
・目的に沿った組織編成がなされ、適切に運用されていること
・権限及び職責が明確になっており、適任者がそれを担っていること
・教育や昇進などの人事管理が適切になされ、人的資源を有効活用していること
まずは、経営理念を明確にして、それをブレイクダウンして従業員に浸透させることが基本
となります。
2 リスクの評価と対応
リスクとは事業目標を阻害する要因のことです。
リスクには、天災や為替相場などの外的要因や情報漏洩、会計処理の不正などの内的要因があります。
リスクの評価と対応とは、自社の抱えているリスクを把握して特性を評価し、それぞれのリスクに対する対応策を打ち出すことです。
(1)リスクの把握
リスクは、全社的なレベルから業務プロセスのレベルまでさまざまな段階で存在することから、各段階において適切にリスクを認識することが大切です。
(2)リスクの評価
それぞれのリスクの発生確率やその被害の程度などを考慮し、対応の必要性の有無の判断や、優先順位づけを行います。
(3)リスクへの対応
リスクへの対応には、リスクの回避・低減・移転・受容またはその組み合わせなどがあります。
回避:リスクの原因となる活動をやめてしまうこと
低減:リスクの発生確率や被害を低くするため、新たな内部統制を設けるなどの対応を取ること
移転:保険加入などによって、リスクの全部または一部を組織の外部に転嫁すること
受容:被害が小さく発生確率も低いリスクなどについて、何もせずに受け入れること
3 統制活動
統制活動とは、社長の命令及び指示が適切に実行されることを確保するために定める方針及び手続きのことです。
全社にわたって標準的・統一的に定めることが適切なもの、組織内の各部門または活動単位ごとに定めることが適切なものなどに整理します。
各担当者の権限及び職責を明確にし、各担当者がその範囲において適切に業務を遂行していく体制を整備していくことが必要です。
具体的には次のような点が重要になるでしょう。
・職務分掌規定、撮務権限規定、取締役規定などの整備
・業務マニュアルの整備
・記録すべき事項の明確化、確実な記録・保管
・正確な資産の把握
・決裁権者(経理責任者、発注責任者など)の定期的なローテーション(不正防止と属人性排除)
4 情報と伝達
情報と伝達とは、必要な情報が組織内外の関係者に正しくタイムリーに伝えられる仕組みのことです。
情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とするすべての者に共有されることが重要です。
たとえば、社長の方針はすべての従業員にタイムリーに伝達される必要があります。
また、不正発生に関する情報などは、社長及び部門の管理者に迅速に伝達される仕組みを整備することが必要です。
さらに、社内から社外(取引先・顧客など)へ、社外から社内に必要な情報が伝わる仕組みも必要です。
具体的には次のような点が重要になるでしょう。
・「報連相(報告・連絡・相談)」の仕組みの整備
・「悪い報告こそ迅速に」という習慣の定着化
・全社及び部門ごとの会議体系の整備
・データベース、社内メールなどIT環境の整備
・クレームやトラブル情報の集約、対応マニュアルの整備
・内部通報制度など通常の経路から独立した伝達ルートの確立
5 モニタリング(監視活動)
モニタリングとは、内部統制が有効に機能していることを継続的に確認することです。
内部統制は、仕組みをつくるだけではなく、実践されてこそ意味があります。
また、内部統制は徐々にレベルアップしていくべきであり、その質を維持・向上させていくためにもモニタリングは不可欠です。
内部統制におけるモニタリングには、「日常的モニタリング」と「独立的評価」があります。
(1)日常的モニタリング
日常的モニタリングとは、通常の業務に組み込まれた一連の手続きを実施することで、内部統制の有効性を継続的に検討・評価することです。
たとえば、マニュアル通りに業務が進められているかどうかの振り返り、自ら定めた目標と実績の差異確認、数値計算結果のダブルチェックなどがこれに該当します。
モニタリングを業務プロセスのなかに組み入れて、日々の習慣として確実に行っていくことが大切です。
(2)独立的評価
日常的モニタリングでは発見できないような経営上の問題がないかを、別の視点から評価するために、定期的または随時に行われるものが独立的評価です。
日常的モニタリングによる自己チェックだけでは、評価が甘くなったり、あいまいになったりすることがあります。
独立的評価は、「全社的な視点」「当該部門とは利害関係がない視点」からの評価でこれを補うものです。
独立的評価は、監査役など事業部門とは独立した地位にある人が行うのが好ましいのですが、監査役などを設置していない企業においては、社長自らあるいは社長が命じた人が中心になって評価を行う必要があります。
6 IT(情報技術)への対応
IT活用には、業務の標準化や効率化、情報共有などのメリットがありますが、適切に導入・利用されていなければ、不正やミスを助長するなど内部統制にとってマイナスに作用する可能性もあります。
ITを活用する際には、自社の事業目的達成のために必要なITに関する方針を定めて、それに基づいて業務のなかにITを組み込むことが必要です。
具体的には次のような点が重要になるでしょう。
・社会全体や自社業界におけるITの浸透度の把握
・事業全体の戦略に連動したIT戦略の策定
・ITに関する社内技術の蓄積状況の把握、計画的教育の実施
・ITに関する職務分掌、職務権限、セキュリティー方針の明確化
・システムダウン時のバックアップ、業務継続の確保
・利用ソフトウエアのライセンス管理