「会社って、社長が決めたことをみんなが守ればそれでいいんじゃないの?」って思ったことない?実は、それだけじゃ不正や間違いが起きやすくて、大きな問題になることがあるんだよ。「内部統制」っていう言葉、ニュースや授業で聞いたことあるかもしれないけど、「なんか難しそう」で止まってる人も多いはず。この記事を読めば、内部統制がどんなものか・なぜ必要か・実際に会社でどう使われてるかが、スッキリわかるよ。
- 内部統制とは、会社が自分自身をコントロールする「ルール+確認の仕組み」のことで、不正やミスを防ぐためにある。
- 上場企業は法律(金融商品取引法・J-SOX)で内部統制の整備と報告が義務づけられている。
- 内部統制は「作って終わり」ではなく、継続的に運用・改善し続けることがポイント。
もうちょっと詳しく
内部統制には、国際的に定められた「COSO(コソ)フレームワーク」という考え方があって、日本のJ-SOXもこれをベースにしてる。このフレームワークでは、内部統制を「統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応」という6つの要素で考える。難しい言葉が並んでるけど、要は「どんなリスクがあるかを洗い出して、それを防ぐルールを作り、ちゃんと動いてるか見張り続ける」ということ。学校で言えば、「カンニングのリスクがある→席を離す・別の問題を使う・先生が複数で監視する」という一連の対策がすべてセットで内部統制になる感じだよ。また内部統制には4つの目的があって、①業務をうまく回すこと、②財務報告を正確にすること、③法律を守ること、④会社の資産を守ること、の4つが軸になってるんだ。
COSOフレームワークの6要素は「リスクを見つけて・防いで・監視する」の流れで覚えよう!
⚠️ よくある勘違い
→ 「監査」は外から(または内部監査部門が)チェックすることで、内部統制とは別物。内部統制は日常業務の中に組み込まれた仕組み全体を指すんだ。
→ 監査は「問題を見つける」、内部統制は「問題が起きないようにする」という違いがある。監査は内部統制がちゃんと機能してるかを確かめる手段のひとつだよ。
[toc]
内部統制とは何か?基本の「き」を理解しよう
「会社のルール」だけじゃない、もっと大きな仕組み
「内部統制」をひと言で説明すると、会社が目標を達成しながら、不正やミスを防ぐために自分自身を管理する仕組み全体のことだよ。「内部」というのは「会社の中」、「統制」というのは「コントロールする」という意味。つまり「会社内部でのコントロール体制」ということ。
よく「ルール集があれば十分じゃないの?」って思う人もいるんだけど、内部統制はもっと広い概念なんだ。たとえば、コンビニを想像してみて。レジのお金のズレを防ぐために「レジ締めは毎日店長が確認する」「釣り銭の受け渡しはお客さんの前でやる」「防犯カメラで記録を残す」という複数のやり方を組み合わせてるよね。このように、複数の仕組みを組み合わせてリスクを防ぐ体制全体が内部統制なんだ。
内部統制の4つの目的
日本の法律(金融商品取引法)で定められた内部統制には、4つの目的があるよ。
- 業務の有効性・効率性:会社の仕事がムダなく、正しく動いてるか
- 財務報告の信頼性:決算書などの数字が正確かどうか
- 法令の遵守(じゅんしゅ):つまりルールを守るということ——法律や社内規定をきちんと守ってるか
- 資産の保全(ほぜん):つまり財産を守るということ——会社のお金や設備が不正に使われないか
この4つを守ることで、会社は社会から信頼されて、安定して経営を続けられるんだよ。
内部統制の6つの要素——何が揃えば「仕組み」になるの?
COSO(コソ)フレームワークって何?
世界的に使われている内部統制の考え方に、「COSOフレームワーク」というものがあるよ。アメリカの非営利団体が作ったガイドラインで、日本のJ-SOXもこれをベースにしてる。COSOでは内部統制を6つの要素で構成すると定義してるんだ。
6つの要素を身近な例で理解しよう
学校の「文化祭の会計」を例にして6つの要素を説明するよ。
- ① 統制環境:「不正は絶対ダメ」という雰囲気や文化のこと。学校で言えば「先生と生徒が信頼し合えるクラスの雰囲気」みたいなもの。これが土台になる。
- ② リスクの評価と対応:「どんな危ないことが起きそうか」を事前に考えること。文化祭なら「お金の数え間違い・紛失・横領」などをリスクとして挙げる。
- ③ 統制活動:リスクを防ぐための具体的なルールや手順のこと。「会計は必ず2人でやる」「領収書は全部保管する」などがこれにあたる。
- ④ 情報と伝達:必要な情報が関係者に伝わってるかどうか。「会計報告を毎週先生に提出する」という流れがこれ。
- ⑤ モニタリング:つまり「ちゃんとできてるか見張る」ということ。先生が定期的に帳簿を確認したり、抜き打ちチェックをしたりすること。
- ⑥ ITへの対応:パソコンやシステムを使う場合のリスク対策。会計ソフトを使うなら「誰がアクセスできるか権限を管理する」などがこれ。
この6つが揃って初めて、内部統制が「機能する仕組み」として成り立つんだよ。
なぜ内部統制が必要になったの?歴史的な背景
エンロン事件が変えた世界
内部統制が世界的に注目されるようになったきっかけは、2001年にアメリカで起きた「エンロン事件」だよ。エンロンはアメリカの大企業だったんだけど、経営陣が意図的に財務諸表——つまり会社のお金の状況を記録した書類——を偽造して、実際よりずっと儲かってるように見せかけてたんだ。
これが発覚したとき、多くの投資家が大損害を受けて社会問題になった。「こんなことが起きないように法律で義務づけるべきだ」という声が高まって、アメリカでは2002年に「サーベンス・オクスリー法(SOX法)」が作られたんだ。日本でもカネボウや西武鉄道での粉飾決算事件を受けて、2006年に「金融商品取引法」が改正されて、J-SOX——つまり日本版のSOX法——が導入されたよ。
「他人事」じゃなかった日本企業
日本でも「品質データの改ざん」「架空発注」「横領」といった不祥事はたびたび起きてる。大手自動車メーカーや食品会社での事件をニュースで見たことある人も多いんじゃないかな。こういった問題は、「悪い人がいたから」だけじゃなく、「チェックする仕組みがなかった」「1人の人に権限が集中しすぎた」という構造的な問題から起きることが多いんだよ。だからこそ、内部統制という「仕組みで防ぐ」アプローチが重要なんだ。
実際の会社では内部統制をどうやって動かしてるの?
「職務の分離」がカギ
内部統制の中でも特に重要なのが、「職務の分離」という考え方。つまり「同じ人が全部の作業をやらない」ということ。たとえば会社でお金を払う場面で言うと、
- 「支払いを承認する人」と「実際に振り込みをする人」を別々にする
- 「発注する人」と「支払いを処理する人」を別にする
- 「記録する人」と「確認する人」を分ける
こうすることで、1人が不正をしようとしても別の人が気づけるようになる。スポーツで言えば、「審判がプレーヤーも兼ねない」のと同じ理屈だよ。
内部監査部門の役割
大きな会社には「内部監査部門」という部署があることが多い。これは社内の「チェック専門チーム」で、他の部署がちゃんと内部統制のルールを守れてるか定期的に確認するんだ。外部の監査法人(会計士のチーム)が決算書をチェックするのと似てるけど、内部監査は「外から」じゃなく「社内から」やるのが特徴。毎年どこかの部署を抜き打ちや計画的に監査して、問題があれば改善を求めるよ。
文書化と記録が命
内部統制のもうひとつのポイントが「文書化」。つまり何をどうやってるかを書類や記録として残すということ。「口頭で伝えてるからOK」じゃなくて、「マニュアルに書いてある・記録が残ってる」という状態にしておくことが大切なんだ。これがあることで、「いつ・誰が・何をしたか」が後からわかるし、新しい人が来ても同じ方法でできるようになる。学校でも「この実験はこの手順でやる」というマニュアルがあれば先生が変わっても困らないよね、それと同じ感覚だよ。
内部統制の「限界」も知っておこう
完璧な仕組みはない
ここまで読んで「内部統制さえあれば不正は全部防げるの?」って思った人もいるかもしれない。正直に言うと、内部統制にも限界はあるんだよ。たとえば、
- 人の判断ミス:どんなルールがあっても、人がミスをすることはある
- 複数の人が共謀する:担当者と上司が結託して不正をすると、通常のチェックでは見抜けない
- コストとのバランス:チェックを増やしすぎると時間もお金もかかって、業務効率が落ちる
内部統制の教科書にも「内部統制はリスクをゼロにするものではなく、リスクを合理的な水準まで下げるもの」と書かれてる。つまり「完全にゼロにはできないけど、できる限り減らす」という考え方なんだよ。
継続的な改善が必要
内部統制は「一回作れば終わり」じゃないのも重要なポイント。会社の事業内容が変わったり、新しいITシステムを導入したり、法律が変わったりするたびに、仕組みも見直す必要があるんだ。たとえばコロナ禍でリモートワークが広まったとき、多くの会社で「紙のハンコが必要だったルール」が機能しなくなったよね。そういった変化に合わせて内部統制も更新し続けることが、会社の信頼を守ることにつながるんだよ。
内部統制って最初は難しく聞こえるけど、要は「会社が正直に・まじめに・ちゃんと動くための仕掛けを自分たちで作って、維持し続けること」だよ。学校のルールも、誰も守ってなかったり先生が確認しなかったら意味がないよね。それと同じで、ルールを作るだけじゃなく、動かし続ける仕組みがあってこそ内部統制なんだ。
