内部統制とリスク管理の基本
2023年11月7日
内部統制とは
「内部統制」とは、不正、誤謬、情報漏洩等の事故の防止を目的とした仕組みを整備し、運用することです。これを内部、即ち各企業が自社内で行う為「内部統制」と呼称されます。この活動によって、企業が健全な状態で維持されることが目指されます。
上場準備会社では内部監査と並んで、大きなトピックの一つであり、対応に苦慮する論点の一つです。
本コラムでは、内部統制の基本を確認し、その中で、上場準備会社に限らず、全ての企業で重要になるリスク管理について確認します。
尚、本コラムにおいては、企業会計審議会の定義する「財務報告に係る内部統制の評価及び監査の基準」(以下「内部統制基準」。)の内容を中心にご説明します。
内部統制の目的
まず、内部統制の目的について確認します。冒頭に確認した通り、業務事故の防止を大目的としていますが、内部統制基準においては、よりブレークダウンした4項目を目的として明記しています。
す。
(1) 内部統制の目的1/4 業務の有効性及び効率性
業務が適切かつ効率的に行われることを目指すことを指します。
適切な承認フローが設けられて稼働している、必要な監査が適切に行われる、といった、組織・業務が適切に、無駄なく回る体制を構築することが求められます。
(2) 内部統制の目的2/4 財務報告の信頼性
財務諸表を中心とする財務報告が適切に行われることを指します。
財務諸表に重要な影響を及ぼす情報が社内で適切に取りまとめられ、投資家をはじめ、社会に対して正確な財務諸表として開示することが求められます。
申告漏れや脱税等とも密接な関りがあるため、非常に重要視される論点です。
(3) 内部統制の目的3/4 事業活動に関わる法令等の遵守
いわゆる「コンプライアンス」です。
企業は利益追求と企業の継続を前提としますが、その前提として業務関連法や労働関連法、情報関連法等、遵守すべき法令を当然のこととして遵守していることが求められます。
(4) 内部統制の目的4/4 資産の保全
企業活動の前提となる資産が適切に管理されることを指します。
資金の管理が適切に行われ、取得した資産等が無駄な使途に用いられないことなど、無駄遣いを防止することが求められます。
これらの目的は独立していますが、相互に関連しているというのを意識していただくことが大切です。まとめると、法に則り、適切なルールを敷くことで会社の財産を守り、業務成果を適切に財務諸表として開示することで、健全な企業体を作り上げることが、内部統制の目的であると解釈できます。
内部統制の要素
続いて、内部統制の実施に当たって、求められる「要素」を確認します。内部統制基準に係る説明の場面では、よく「内部統制の4つの目的と6つの要素」などと総称されます。ここでいう要素とは、前述の目的をどのように実現するかの具体的手法、のようなイメージを持っていただければ良いかと思います。
詳細な説明は割愛し、まずは下記の6つで構成されることをご理解ください。
- 統制環境 :不正を防止する組織風土や内部統制を正しく行う意識作り
- リスクの評価と対応 :リスクを適切に把握・評価し対応すること
- 統制活動 :構築した統制活動を日々の業務の中で適切に行うこと
- 情報と伝達 :必要な情報が組織内部で適切に伝達されること
- モニタリング :構築された統制が有効であることをチェックすること
- ITへの対応 :業務上必要なITが適切に
この6つが適切に構築されているかを、4つの目的それぞれの視点で確認することで内部統制が有効である状態を目指します。
「リスクの評価と対応」のプロセス
内部統制の目的を達成するには前項の6つの要素が全て必要になりますが、ここからは、「②リスクの評価と対応」にフォーカスし、そのプロセスについて深掘りしていきます。「②リスクの評価と対応」は会社にどのようなリスクが存在し、それにどう対処するかを判断する(対処しないという判断も含まれます)非常に重要なプロセスであり、上場会社や上場準備会社でなくとも理解しておくと有用です。
内部統制におけるリスクとは、非常に広義の意味を持つ言葉で、会社組織の運営や目標達成に影響する要素を全てリスクとして識別します。実務上、どのレベルまでのリスクを統制対象とするかという議論はなされますが、基本的にあらゆるリスクが検討対象になりえます。
内部統制の場面では、リスク管理は大きく、リスク評価とリスク対応の2ステップに分けられます。それぞれについて、簡単にまとめます。
(1) リスク評価
リスク評価は次の4ステップによって行われます。
- リスクの識別:リスクとなり得る事象を認識する
- リスクの分類:識別したリスクを、影響する範囲や過去にもあったか等で分類する
- リスクの分析:分類したリスクについて、発生可能性や発生時の影響度を分析する
- リスクの評価:分析結果を参考に、リスク対応について計画する
(2) リスク対応
上記の手順で評価を行ったリスクに対しては、次の4種いずれかの対応が検討されます。
- 回避:リスクの回避を目指し、リスクを孕んだ事業の見合わせや撤退などを行う
- 低減:リスクの発生率低下を目指し、新たな統制を設けるなどマネジメント手法で対処する
- 移転:抱えるリスクに対して有効な保険に加入するなどして、リスクを外部に転嫁する
- 需要:リスクが僅少又は対応が可能である場合に、特別な対応をせずに業務を行う
このような流れで、リスクの評価と対応を行います。このプロセスの根底にあるのはリスクヘッジと効率の両立です。日々の業務をひっくり返せば、あらゆる所であらゆる事象をリスクと捉えることも出来ますが、それら全てに対応していては業務がままなりません。
対処するリスクに適切に対処するためにも、リソースや本業である事業活動との兼ね合いを考慮したリスク評価が重要となります。
まとめ
今回は内部統制の基本とリスクの評価と対応についてまとめました。
前述の通り、内部統制は上場準備会社で注目することが多い論点かと思いますが、リスクの評価と対応については全て企業で参考になる考え方です。特に先々上場を検討されている企業においては、自社の体制やリソースに合わせた規模で、リスク管理を始めてみてください。
[参考]
https://www.fsa.go.jp/singi/singi_kigyou/kijun/20191206_naibutousei_kansa.pdf
