内部統制とは?内部統制と内部監査の違いから、目的・構成・実務上のリスク対策からフレームワークまで、図解付きで簡単に解説
- 敏行 鎌田
- 3月27日
- 読了時間: 8分
更新日:3月28日
目次
内部統制とは何か?基本的な定義と目的
内部統制(Internal Control)とは、組織が目標を効果的・効率的に達成し、資産を保全し、財務報告の正確性を確保し、法令を遵守するために設計・運用される管理の仕組みです。最近では、2024年4月1日以降開始する事業年度から適用される内部統制報告制度の改訂が行われています。 この改訂では、企業内外の変化への感度を高め、財務報告の信頼性に及ぼすリスクに対応した内部統制の適時適切な整備運用が期待されています。
内部統制と内部監査の違いと役割の連携
内部統制は、企業活動そのものに組み込まれた仕組みのことを言います。
一方、内部監査はそれらの仕組みが意図通り機能しているかを点検・助言する役割です。
内部統制=車のブレーキやハンドルの仕組み
内部監査=定期点検を行う車検士や監査役
と考えるとイメージしやすいです。
内部統制 | 内部監査 | |
定義 | 業務の信頼性や効率性、法令遵守を実現するために構築・運用される管理プロセス | 内部統制が効果的に機能しているかを独立的に検証・評価する活動 |
主な役割 | 組織の日常業務においてリスクを管理し、業務を規律化・効率化する | 組織のリスクマネジメント、統制、ガバナンスの有効性を評価する |
責任主体 | 経営陣および各業務部門(第一線の現場が担う) | 内部監査部門(経営者からの独立性を保持) |
アプローチ | 継続的かつ日常的な業務に埋め込まれる「実施主体」 | 計画的・体系的な「評価主体」として統制活動を監視 |
主な内部統制のフレームワーク
1. COSOフレームワーク(米国・国際標準)
正式名称:Committee of Sponsoring Organizations of the Treadway Commission初版は1992年、最新版は2013年に改訂。世界中の企業が内部統制の構築・評価・開示で最も広く採用している基準です。
COSO 2013の5つの構成要素
統制環境(Control Environment)
└ 組織文化・倫理観・経営者の統制姿勢・役割と責任
リスクの評価(Risk Assessment)
└ 目標設定と、それを阻害するリスクの特定・分析
統制活動(Control Activities)
└ 承認・職務分掌・アクセス制限・内部手続きなどの具体的なコントロール手段
情報と伝達(Information and Communication)
└ 必要な情報の把握・共有、部門間の円滑な連携
モニタリング(Monitoring Activities)
└ 内部監査や継続的な評価、統制の改善活動
2. 内部統制報告制度(日本版SOX法/J-SOX)
日本の金融商品取引法に基づく制度で、2008年施行。企業が財務報告の信頼性を担保するために、内部統制を整備・運用・評価し、その結果を「内部統制報告書(ICR)」として開示します。
J-SOXの特徴
COSOモデルに準拠した構成(先述5要素)
対象は主に財務報告リスク
評価結果を有価証券報告書に添付して開示
評価プロセスは、全社統制・業務プロセス統制・IT統制の3層で実施
3. 三線モデル(Three Lines Model)との関係
COSOやJ-SOXを実効的に運用するための組織的役割分担のガイドラインとして注目されているのが、「三線モデル」です。
Three Lines Modelの構成
第一線:業務現場によるリスクの識別・対応
例:経理部門が伝票処理ルールを守る
第二線:管理部門による支援と監視
例:リスク管理部門、法務、コンプライアンス部門など
第三線:独立的な監査機能
例:内部監査部門、監査役等
三線の分担と連携を明確化することで、統制の形骸化や重複を防ぎ、実効的な内部統制体制の構築が可能になります。
内部統制の分類:業務統制・会計統制・IT統制など
業務領域ごとに内部統制を分類すると下記の様に分けられます。
分類 | 概要 | 代表例 |
業務統制 | 日々の業務が適正に遂行されるための統制 | 承認ルール、権限設定 |
会計統制 | 財務数値の信頼性を担保する統制 | 仕訳・帳票管理、決算レビュー |
IT統制 | 情報システムの信頼性を確保する統制 | アクセス管理、ログ監視 |
コンプライアンス統制 | 法令・規程順守を担保する統制 | 内部通報制度、研修制度 |
内部統制とSOX法・J-SOX制度の関係性
SOX法(米国)
2002年制定。上場企業に対し、財務報告に係る内部統制の整備・評価・開示を義務づける法律。
J-SOX制度(日本)
2008年施行の金融商品取引法 第24条の4の4に基づき、以下が義務化
内部統制報告書の提出
経営者による有効性評価
監査法人の保証付き意見
J-SOXでは、特に財務報告統制の整備・運用・評価が中心となります。
内部統制の不備が引き起こすリスクと実例
内部統制が不十分な企業では、以下のような深刻なリスクが発生します:
不正会計の発生:架空売上、費用の過少計上など(例:東芝)
資産の流出:社員による横領や不適切支出
情報漏洩:セキュリティ統制の不備による個人情報流出
行政処分・上場廃止:J-SOX未対応や重大な統制欠陥の放置
内部統制の評価方法と改善サイクルの構築
内部統制の評価アプローチ
内部統制が「整備されているか」「運用されているか」「有効に機能しているか」を確認するには、多層的な評価手法が必要です。評価の信頼性・客観性を高めるために、次の3つのアプローチを組み合わせて活用します。
① セルフアセスメント(Self-Assessment)
定義: 統制実施者や業務責任者自身が、内部統制の運用状況について自己評価を行う手法。
目的: 統制が日常業務に適切に組み込まれているか、現場の自律的な統制管理を促す。
評価内容:
統制活動が設計通りに実施されているか
記録・証跡(エビデンス)は残されているか
現場でのリスク認識は適切か
② 内部監査(Internal Audit)
定義: 独立性を保った内部監査部門が、統制の有効性を体系的に評価・検証する活動。
目的: 経営陣・監査役等に対し、リスクマネジメントと統制の妥当性に関する独立した意見を提供。
評価手法:
文書レビュー(統制記述書、業務フロー、RACチャート)
インタビュー・ウォークスルー
サンプリングによる証跡確認
実地調査(現場訪問・抜き打ちチェック等)
③ 外部監査(External Audit)
定義: 主にJ-SOX対応において、監査法人が企業の内部統制報告書に対して監査意見を表明する活動。
対象: 財務報告に係る内部統制(財務統制)
評価範囲:
統制の整備状況
本番運用の有効性(オペレーティングエフェクティブネス)
統制不備の重要性評価(重大な欠陥/重要な不備)
内部統制の改善サイクル(PDCA)の構築
内部統制は、一度整備して終わりではなく、継続的な改善サイクル(PDCA)によって有効性を維持・強化していく必要があります。
✅ Plan(統制設計)
業務リスクを洗い出し、目的に合致した統制を設計
フローチャート、RCM(リスク・コントロール・マトリクス)、統制記述書の作成
関連規程やマニュアルの整備
✅ Do(統制運用)
設計された統制に基づいて、実際の業務プロセスを遂行
統制手続きの実行、証跡(ログ・帳票・承認履歴など)の確保
関係者への教育・意識付け
✅ Check(有効性評価)
セルフアセスメント、内部監査、外部監査による評価活動を実施
統制が想定通りに運用され、リスクが管理されているか検証
統制不備(設計・運用・重大な欠陥)の特定と重要性評価
✅ Act(是正措置)
評価フェーズで発見された不備に対して、原因を分析し、改善策を立案・実行
再発防止策の設計と新たな統制の定着
改善後の再モニタリング(フォローアップ監査)
内部統制を構築・強化する導入ステップ
対象業務の定義と統制目的の設定
業務フローの可視化とリスクの洗い出し
統制活動の設計とRCM(リスクコントロールマトリクス)作成
統制運用ルールの文書化と周知
教育・訓練の実施と役割明確化
モニタリングと評価体制の確立
中小企業における内部統制の実践と課題
中小企業では、次のようなアプローチが効果的です
職務の明確化と最低限の牽制機能
紙・Excelベースの簡易統制でも十分効果あり
経理・総務主導での統制設計・教育
社長や役員による“トップ主導”の統制文化形成
スモールスタートで導入し、徐々に整備範囲を拡大するのが現実的です。
内部統制の本質と将来:ガバナンス経営の中核へ
現代の内部統制は、経営統合型のリスクコントロール基盤です。
ESG/サステナビリティ情報の信頼性確保
サイバーセキュリティ・BCP(事業継続)の統制
ERM(全社的リスク管理)との統合
非財務情報開示制度(TCFD、ISSB等)との接続
等の領域は2025年、より業界の関心が高まると考えられます
まとめ
内部統制は、経営の根幹を支える“見えないガードレール”です。内部統制の強化は、組織の透明性・信頼性・持続可能性を高め、企業価値の向上に直結します。
本記事を参考に、自社の統制体制をぜひ見直してみてください。
