IT内部統制を徹底解説！具体的な内容から評価方法まで分かりやすくご紹介します！

そもそも内部統制って何？

上場するには必要なもの

2018年に日産のカルロス・ゴーン氏が逮捕された事件をはじめ、ここ最近では会社の不祥事などが多くニュースに取り上げられています。その多くは財務会計の不正が多いです。

会社の売上というのは、消費者である私達が企業の商品と引き換えに支払ったお金です。

そんな消費者から頂いたお金を適切に管理する財務会計をはじめ、リスクなどを低減させるために企業内部で整備するものが内部統制です。

会社の中にある様々な部署は基本的に内部統制を元に作られています。

この内部統制というのは、会社が東証市場に上場するには必要不可欠であり、内部統制が整備されていないと上場すらできません。

そのため多くの大企業はこの内部統制をしっかりと整備しているのです。

内部統制がないとどうなる？

内部統制なんて実際の仕事とかに関係ないのでは、と多くの人は考えるはずです。

確かに会社で仕事をしていても、内部統制がきちんとされているということは実感できません。

しかし、内部統制がしっかり整備されているからこそ、会社の信頼性というのはそれだけ高くなるのです。

そしてその分、万が一不祥事などを起こした場合に失う信頼もそれだけ大きくなります。

日産のカルロス・ゴーン氏の逮捕、あの事件こそ内部統制がしっかりとしていないという良い例です。

内部統制がしっかりとされていないため、トップの経営者が不正に利益を搾取する仕組みを密かに構築し、そして利益を自分の懐に入れるという仕組みを作ってしまうのです。

このように、内部統制をしっかり整備し、そして継続的に監視することで会社というのは存在し続けるのです。

その監視がしっかりとしていない場合、このような事件が起きてしまうのです。

内部統制を義務付けるSOX法って？

企業に対して内部統制を義務付ける法律

自分たちは不正な財務会計なんてしないから内部統制はしない、というわけにも行きません。

内部統制というのは法律で義務付けられているのです。アメリカの場合、内部統制を義務付けるSOX法という法律があります。

内容としては正確な財務会計と重大な欠陥の報告はもちろんですが、メインは内部統制の整備や維持、そして内部統制の報告書の提出の義務化です。

当然これらのどれか一つでも破ってしまった場合は、罰金もしくは禁固刑に処されてしまいます。

日本版SOX法はどんな法律？

一方で日本ではそのような法律はあるのかということになります。

実は日本にもSOX法に似た法律が2つあります。それが金融商品取引法と会社法です。

これらの言葉はおそらくニュースでも聞いたことがあるはずです。

ちなみに2018年にカルロス・ゴーン氏が逮捕されたのは、会社法違反の特別背任罪という罪で逮捕されました。

金融商品取引法、通称金商法は多くの人が一度は聞いたことがあるはずです。

内容としてはインサイダー取引の禁止や情報開示制度など、金融取引の場面において正確で透明な取引をすることを定めた法律です。

会社法はその名の通り会社の設立や組織、運営など、会社の基礎に関わる部分の禁止事項などをまとめた法律です。これら2つの法律をまとめて日本版SOX法と呼ばれています。

ITと内部統制

内部統制とITは酷似？

内部統制とはどういうものかについてわかったところで、なぜITと深い関係にあるのかということについてここでは書いていきます。

実は内部統制の内容というのは、ITのシステムとかなり似ているのです。

それも具体的な内容一つ一つが、ITシステムの開発や運用と瓜二つなのです。

内部統制において重要なことは、きちんとした目的と方法が定められているかということです。

システムというのは目的がしっかりと定まっており、どのような方法でほしいものや答えが得られるかということが最も重要です。

内部統制も同じであり、企業がどのような目的を持っており、そのためにどのような業務を進めているかが最も重要です。

内部統制のためのフレームワーク？

企業の内部統制というのは基本的に早い段階で整備しなければいけません。

実際に多くの大企業は、会社の設立から1年もしくは2年で内部統制を整備しています。

とはいえ、1から内部統制の整備をするのはかなり大変です。そして時間もかなりかかってしまいます。

実は内部統制を整備している企業のほとんどは、内部統制のためのフレームワークを用いています。

内部統制のフレームワークを元に、自分たちの会社に合ったものを取り入れ、時には自分たちの会社に合わせて改変することで、1年もしくは2年以内の内部統制を実現しています。

これはシステムも同じであり、フレームワークがあるからこそ、開発期間を短縮することができるのです。

内部統制って何をする？

忘れてはいけない4つの基準

では内部統制を整備するには、どのようなことをすれば良いのでしょうか。

基本的に内部統制には4つの基準が決められており、これらをしっかりとクリアしなければ内部統制がしっかりしていると評価されません。

内部統制を整備するためにクリアしなければいけない要素としては、業務の有効性と効率性、財務管理の信頼性、法令をきちんと遵守しているか、資産そのものや資産の管理体制がきちんとしているか、という要素です。

内部統制を整備するには、この4つの基準をクリアする必要があります。

もちろんその整備した内部統制というのは、整備したあともきちんと継続しなければいけません。

時代の流れや会社の売上などによって、内部の業務体制などは変わります。そして体制などを変えるときにも、この4つの基準をクリアしなければいけません。

日本版SOXはITが必須？

先程紹介した日本版SOXである金融商品取引法と会社法。これらの法律の中には、ITを盛り込むことも義務化されています。

技術やITが進歩している現在、内部統制の策定や整備はもちろん、企業が整備した内部統制を監査する場合にもITの技術が取り入れられています。

そのような状況において、企業がITを効果的に取り入れているかどうかというのも、内部統制においては必要不可欠となっているのが現状です。

単に効率的に業務を進められているかということはもちろん、財務管理などの部分がITによって明朗になっているかどうかというのも、内部統制においては必要なのです。

内部統制の評価ってどうやるの？

まずは評価範囲を決めよう

内部統制というのは、定期的に監査する必要があります。企業内で監査することはもちろん、外部の監査機関によって監査されています。

では企業の内部統制の評価というのはどのように評価されるのでしょうか。

内部統制の評価といっても、全ての会社が対象となるわけではありません。最初に行われることは評価範囲の選定です。

大手の企業やグループ会社となると、複数の会社で経営をしているということが多いです。

そのため企業ごとの売上や規模を基準に監査する範囲を決め、それから内部統制の評価を始めます。

監査は内部と外部で行われる

ある程度評価範囲の選定が終わったら、いよいよ内部統制の評価をします。

会社ごとにどのような基準で評価するかは異なりますが、基本的には先程紹介した4つの基準を満たしているかを評価しています。

まずは内部統制の整備がきちんとできているかを評価し、その後運用が継続できているかという部分で評価をします。

最初は企業の経営者が内部監査として評価します。そしてその内部監査で報告書が完成したら、今度は外部の監査法人によって、財務諸表や経営者が作成した内部監査報告書を元に再度監査をします。

こうした監査で内部統制がきちんとしているかというのを評価しています。

内部統制は全ての人が知るべき知識

経理だけの話ではない

内部統制がしっかりしていても、企業の不祥事というものはなくなりません。

特に財務会計の不祥事というのは未だになくなっていません。

そのためここ最近、企業の財務管理などはかなり厳しく見られています。だからといって、内部統制は経理さえきちんとしていれば良いのかというと、実はそうでもありません。

過去には経理ではない別の部署で不正が行われていたという事件もあります。

このように内部統制というのは、決して経理などの会社の財務に関係する部署だけでなく、エンジニアなどのまったく関係なさそうな部署にとっても、非常に重要なものなのです。

まとめ

逆に昨今のような財務会計の不正などの不祥事を防ぐにはどうすれば良いのか、ということになります。

一番は企業の社員一人ひとりが内部統制に関する知識をきちんと持ち、実際に内部統制を策定するときには、きちんとした内部統制を整備することが重要になります。

これは決して経営者や経理だけで決められることではありません。

まったく関係のない部署でもきちんと内部統制について理解し、その上でしっかりとした内部統制を整備して運用する、それこそが会社の不祥事をなくす一番の方法です。