内部統制の基礎シリーズ第1回:内部統制とは何か?
さて、突然ですが本日より内部統制についての記事をいくつかあげていきたいと思います。題して「内部統制の基礎シリーズ」です。
第1回は「内部統制とは何か?」ということで、内部統制の定義や基本的な要素から書いていきます。ただ一番厄介なのは、この「内部統制とは何か」ということから説明を始めると、何を言っているのか意味が分からないし、内容が本当に面白くもなんともないため、99%の人がここで脱落してしまうのです(管理人調べ)。
そのため、ここについては「ふーん。」と思うくらいで問題ありません。ある程度理解してから戻ってきてまた確認すると「あぁ、そういうことね。」となると信じてサクサクと読んでもらえればと思います。どの専門領域も定義などが一番つまらないですからね。
ちなみに本シリーズは基本的に金融庁が公表した「財務報告に係る内部統制の評価及び監査の基準」に沿った内容にしていく予定です。どうですか?すでにタイトルの時点で読む気が失せませんか?笑
「財務報告に係る内部統制の評価及び監査の基準」をこのブログでは以下「内部統制基準」と呼びます。ここからの内容は内部統制基準に沿った形で進めつつ、僕が監査法人で得た実務経験などを踏まえて少しでも役立つものにしていきたいと思いますので、よろしくお願いいたします。ではさっそく始めていきましょう。
内部統制の定義
内部統制基準によると、内部統制は以下の通り定義されています。
内部統制とは、基本的に、業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。
これはヤバいですね・・・。いや、役人が作る文章はこれまでの歴史、他の省庁の文章や法令との兼ね合いもありどうしてもお堅い感じになってしまうのはわかるのですが、それにしてもわかりにくいです。
そこで、思い切って上記の定義を無視してしまうと、内部統制とは「しっかりとした企業になるための仕組み、健全な企業になるための仕組み」と言えます。つまり、ちゃんとした企業になりたかったら内部統制をしっかりと整備し、運用すれば良いのです。例えば従業員が自社の現金をこっそり盗んでやろうと思って防ぐ仕組みが無いと内部統制がしっかりしていない(健全ではない)、逆に仕組み上現金を盗みにくくなっている場合は内部統制がしっかりしている(健全です)ということになります。
内部統制の目的
そのしっかりとした健全な企業を目指すために定義されているのが4つの目的である「業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全」ということになります。しっかりとした健全な会社はこの目的を達成しているということになります。
- 業務の有効性及び効率性:業務を効果的かつ効率的に実施すること
- 報告の信頼性:企業が外部に報告する内容について「信じても良いよね」と思われる
- 事業活動に関わる法令等の遵守:企業を取り巻く法律を守る
- 資産の保全:企業が持つ資産をちゃんとしたルールに基づき取り扱うこと
より正確に知ると若干ズレる表現ではあるのですが、しっかりした会社にはこれらが当然備わっていますし、日々これらの目的について達成するように切磋琢磨しています。これらの目的を達成するために組織内のすべての人(社長から下っ端まで全員)で取り組むプロセスが内部統制です。要するに、しっかりした健全な企業になるために皆で日々取り組んでいることが内部統制なのです。
この内部統制の4つの目的の詳細については、別途記事にしたいと思います。
ちなみにですが、米国では「資産の保全」は目的に含まれておりません。内部統制と言っても、国によって若干の違いがあるのは面白いですね。
内部統制の構成要素
ではその内部統制の目的を達成するために、「こういう要素があるよね」と考えられているのが内部統制の6つの構成要素になります。しっかりした健全な企業の中身を見てみると、こういう要素がバッチリだよね、というものになります。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
「う、うわぁぁあ!」となる気持ちも分かります。別途詳細は記事にしますが、簡単にそれぞれの内容を説明します。繰り返しますが、しっかりした企業はこういうところがバッチリだよね、という要素を分解しただけですので、その観点で見ていくと良いと思います。
統制環境
統制環境。見ただけでわかりにくさを助長する単語ですね。よくわかりにくいという人は、「企業の環境」や「環境」と言い換えてみてください。早い話が、企業の風土です。社長が「法律なんでどうでもいい!売り上げ最高!」というスタンスだと、従業員も「ま、いっか」となります。
リスクの評価と対応
企業に対するリスクをしっかりと把握し分析・評価して、どのように対応するかをしっかり実施しているかということになります。企業を取り巻くヤバいことから目を背けず、ちゃんと対応しているかどうか、ということですね。
統制活動
「統制活動」と「統制環境」でごっちゃになるんじゃ!という僕のような人は、「統制」を無視して「環境」「活動」の箇所だけ見ればわかりやすいと思います。「環境」は風土、「活動」はその名の通り企業が日々実施している活動に関することになります。権限が明確に分かれているか、取引がしっかり記録されているか、などの日々の業務プロセスに関してしっかりしているか、というものですね。
情報と伝達
必要な情報が企業の内部、外部の関係者に向けてしっかり届けられているか、ということになります。もう少し難しく言うと、仕事するために必要な情報は、適時かつ適切に、識別、把握、処理、伝達されている必要があるということです。不祥事を起こした企業の報告とか見ると、情報が上手く組織内で伝わらないような状況になっていることも多いですね。
モニタリング
これは文字通り、内部統制がちゃんとうまく機能しているかきちんとモニタリングすることを言います。ちょっとおかしなところがあると、モニタリングで発見される、というイメージです。これも健全な企業は実施してそうですね。ただ、内部統制がうまく機能しているかを評価するため、ここに書いているような構成要素がどのようなものかを理解している必要があります。
ITへの対応
健全な企業は、ITへの対応もしっかりしているよね、ということになります。企業の内外のIT状況(IT環境やIT利用)に対して適切に対応する必要があります。適当にIT導入していないか、使用しているITシステムの機能がせっかくの社内の健全な状態を台無しにしていないか、という点も重要になります。ただ、この構成要素も米国の内部統制には含まれていません。
どうせでしょうか。「内部統制の6つの構成要素」と言われると意味不明ですが、しっかりとした健全な企業にはこういう要素あるよね、という観点で見れば「そりゃそうだよね」という感じではないでしょうか。
この内部統制の6つの構成要素についても、詳細を別途記事にしたいと思います。
まとめ
ここまでを簡単にまとめます。内部統制とは「しっかりとした企業になるための仕組み、健全な企業になるための仕組み」であり、その目的は「業務の有効性及び効率性、報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全」です。その内部統制を構成している要素としては「統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応」の6つがあり、それぞれのポイントを見ることでその企業が内部統制がしっかりしている(=健全な企業)かどうかがわかるというものです。
内部統制基準のお堅い文章をわかりやすく伝えるために意訳している箇所もありますが、内部統制とはどのようなものかはつかんでいただけたでしょうか。ふわっとした話で具体的なものではないので掴みにくいかもしれませんが、しっかりした企業になるためには、悪いことが出来ない企業になるためには、という観点を忘れずにいると、理解しやすいと思います。
というわけで内部統制の基礎シリーズ1、内部統制とは何か?を終わりたいと思います。
