内部統制とは、企業が事業活動を健全かつ効率的に運営するための仕組みのことです。具体的には、取締役をはじめとする役員や従業員、取締役会や監査役会などの各組織、社内管理体制を正常に機能させることを目的としています。

本記事では、内部統制の目的と基本的要素、プロセス、さらに企業活動の運営にどう影響するのかをわかりやすく解説します。

• 内部統制とは
• 内部統制の整備が求められる企業
• 内部統制が求められる社会的背景
• 内部監査との違い
• コンプライアンス、ガバナンスとの違い
• 内部統制の基礎：4つの目的と6つの基本的要素
• 内部統制の4つの目的
• 内部統制の6つの基本的要素
• 内部統制の実務：「3点セット」の役割
• 内部統制に必要な3点セットとは
• 3点セットの重要な役割：業務を「可視化」する地図
• 【部門別】内部統制の実践的な具体例
• 経理・財務部門の例
• 購買・在庫管理部門の例
• 人事・労務部門の例
• IT・情報システム部門の例
• 【立場別】内部統制との関わり方
• 経営者
• 取締役会
• 監査役（監査役会）
• 内部監査人
• 従業員
• 内部統制の法的要件とJ-SOX
• 2024年4月適用「内部統制基準の改訂」の主要ポイント
• 内部統制報告制度（J-SOX）とは
• 内部統制の評価・報告の進め方
• 内部統制とIPO（上場準備）の関係
• まとめ
• freeeで内部統制の整備をスムーズに
• よくある質問

内部統制とは、企業が経営目標や事業目標を達成するために必要なルールや仕組みを整備し、正しく運用することを指します。

内部統制を整備しなくてはならない企業や、なぜ内部統制が必要なのか、内部監査・コンプライアンス・ガバナンスとの違いについて説明します。

上場企業については、金融商品取引法（第24条）で内部統制報告書の提出が義務付けられています。

また、取締役会を設置している大会社についても、会社法（第362条）で内部統制の整備が求められています。会社法で対象となる大会社とは、最終事業年度に係る貸借対照表の資本金が5億円以上、または負債額が200億円以上の会社を指します。

今後上場を目指す企業においても、内部統制の整備は不可欠です。上場審査の対象となる確認事項や作成書類は、内部統制を整備するうえで発生するプロセスと重複する部分が多いためです。つまり上場準備を進めることは、必然的に内部統制の整備にもつながるのです。

もちろん内部統制の整備は、単に上場審査のためだけに取り組むべきものではありません。上場後に企業がますます発展し、企業価値を最大化するために不可欠として取り組む必要があるといえます。

内部統制が求められるようになったのは、昨今の社会的背景が関係しています。近年、企業の粉飾決算やリコール隠し、表示偽装といった経営者・従業員の倫理観や責任意識の欠如が要因となる企業不祥事が多発しています。

このような企業不祥事は、自社の経営層や従業員だけでなく、顧客・一般消費者・株主などの利害関係者を含めて社会全体に与える影響が大きいといえます。そのため、不祥を未然に防ぐための管理体制が必要とされるようになったのです。

内部統制と混同されがちな言葉として、「内部監査」があります。内部監査とは、内部統制の仕組みの一部であり、組織内の担当者が業務上の不正はないか、業務が効率的に遂行されているかを確認することを指します。

内部統制がきちんと機能しているかをチェックして、問題点やリスクの早期発見や防止につなげることが内部監査の目的です。

同様に内部統制に似た概念として、コンプライアンスやガバナンスが挙げられます。

ガバナンスは企業を運営するための仕組みを意味しており、管理体制を築いて企業の管理をしっかりと行うために必要なものです。

一方、コンプライアンスは法令遵守と訳されますが、単に法律だけでなく、就業規則や企業倫理などを含めた企業理念を守ることも含まれています。

そのため、コンプライアンスやガバナンスを達成する一手段が、内部統制であるととらえることができます。内部統制が整備され、正常に機能している状態が、法令遵守や企業統制につながるといえます。

金融庁が公表している「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の定義として「4つの目的」と「6つの基本的要素」が示されています。

これらは相互に密接に関連しており、4つの目的を達成するために、6つの基本的要素が業務プロセスに組み込まれて機能する必要があります。まずは、企業が内部統制によって達成すべき「4つの目的」について解説します。

内部統制の目的として、金融庁の「財務報告に係る内部統制の評価及び監査の基準」のなかで、以下の4つの項目が言及されています。

これらの目的はそれぞれ独立したものとして掲げられていますが、企業の健全かつ効率的な事業活動を支えるものとして相互に関連しているため、全ての目的を実現することによって内部統制が成立すると考えられます。

内部統制に則り、業務遂行に必要なヒト・モノ・コスト・時間といった資源を適切に活用することによって、事業活動の目的達成につながると考えられています。

2023年4月に「財務報告に係る内部統制の評価及び監査の基準」の見直しが行われ、「財務報告の信頼性」は「報告の信頼性」に改訂されました。財務情報だけでなく、非財務情報も含めて報告することで、信頼性を確保する必要があります。

近年、法令遵守にまつわる社会的な関心度は高まっています。内部統制が機能していなければ、万が一、企業の社会的信用を失わせるような法令違反が起きるリスクもあるでしょう。そのため内部統制によって法令遵守の徹底を促すことが重要です。

企業の事業活動の源泉となる資産は、正当な手続きのうえで取得・活用される必要があります。有形資産はもちろん、人的資源や知的財産、顧客データなどの無形資産を含めて、内部統制を通じて適切に管理されなければなりません。

もしこれらの資産が不正に活用された場合、企業価値の低下だけでなく、事業そのものが継続できなくなる可能性もあります。そのため、内部統制による資産の保全が重要とされています。

先に示した4つの目的と同様、内部統制の6つの基本的要素についても金融庁の「財務報告に係る内部統制の評価及び監査の基準」のなかで言及されています。

これら6つの要素は、4つの目的を達成するために必要不可欠な要素です。

統制環境は全ての基本的要素の基盤として考えられています。いくらシステムを整備しても、統制環境が整備できていなければうまくいきません。

統制環境は組織に属する人たちの誠実性・倫理観・組織の経営方針・戦略などによって構成されています。どれほど内部統制を強化しようとしても、役員や従業員が企業ルールを守らない企業風土では意味がありません。

内部統制をしっかりと機能させるために、業務を遂行する役員・従業員が内部統制の重要性や意義を、正しく認識できる環境を整備する必要があります。

業務を遂行するうえでリスクがまったく存在しないことはあり得ません。重要なのはリスクが伴う場合に、そのリスクがどのように企業活動に影響するか、影響範囲はどれほどかといった議論と判断を行うことです。

経営陣だけでなく、従業員一人ひとりがリスクに対して適切に判断・評価できるようにするためには、明確な判断基準を定めて運用できる仕組みを確立する必要があります。

一般的に企業には複数の部署が存在し、職責・職務も多岐にわたるため、経営者が示す方針に則った形で業務を遂行できる仕組みをつくる必要があります。具体的には権限や職責の付与、職務の分担などが必要です。

職務を分担することで、従業員がお互いの業務を監視・統制する効果も生まれます。これによって業務上のミスだけでなく、不正が起こるリスクも軽減できます。

また、社内での意思決定プロセスを明確化することで、従業員が自己判断で業務を行うこともなくなるでしょう。

申請・承認フローの構築については、「ワークフローシステムとは？主な機能や導入メリットをわかりやすく解説」をご覧ください。

内部統制を実現するには、従業員に対して業務遂行上、必要な情報が適切なタイミングで正しく伝えられなければなりません。

従業員が誤解することなく理解できる形で情報が伝達され、その情報を必要とする従業員の間で共有されることが重要です。具体的な伝達手段として、メールやチャットツールなどを活用した環境を整備する必要があります。

また、社外へ情報を伝える際も同様に、正しい情報が適切なタイミングで発信されなければなりません。逆に顧客などの外部から重要な情報が提供された場合、その情報を管理するプロセスについても整備が必要です。

近年、情報漏えいは大きな問題であり、企業が信用を失うきっかけとなりかねません。情報を正しく管理するプロセスは特に重要視すべきでしょう。

モニタリングとは、内部統制がきちんと機能しているかを継続的にチェックするプロセスのことを指します。モニタリングによって、内部統制の実態を常に監視し、評価や見直しができる状態を確立できます。

モニタリングには「日常的モニタリング」と「独立的評価」の2つがあります。前者は通常業務のなかで内部統制が効果的に行われているかをチェックするもので、後者は経営者や取締役会、監査役、内部監査などを通じて定期的に行われるものです。

また、日常的モニタリングや独立的評価によって問題点やリスクが発見された場合、どのような手続きで報告を行うかという仕組みも整備しておくことが大切です。

内部統制の実現にはIT技術の活用が欠かせませんが、システムトラブルなどの問題が生じた場合はかえって企業が大きな損失を受けることになってしまいます。

業務を遂行するうえでIT技術を適切に活用できているか、さらにIT技術の活用によって内部統制の基本的要素を成り立たせられているかが重要なポイントです。

IT技術を活用した経理業務の効率化と内部統制については、「【2024年最新】電子帳簿保存法への対応方法をわかりやすく図解]」で解説しています。

内部統制を整備・運用する実務において、業務の可視化とリスク管理の中核となるのが「3点セット」と呼ばれるドキュメント群です。

これらは単なる監査提出用の書類ではなく、自社の業務プロセスを客観的に把握し、潜在的なリスクを洗い出すための「業務の地図」としての機能を持ちます。

内部統制の評価においては、一般的に「業務記述書」「フローチャート」「リスク・コントロール・マトリックス（RCM）」の3つを作成・整備することが求められます。

これらを作成することで、業務の全体像が把握でき、自社の管理体制の現状（現在地）を確認することが可能になります。

3点セットの作成は、業務プロセスの不備や非効率な点を浮き彫りにし、実効性のある改善へとつなげるための重要な工程です。監査法人や公認会計士による監査においても、これらの資料をもとに評価が行われるため、正確かつ網羅的な作成が不可欠となります。

業務記述書とは、業務に関する内容・実施者・利用システムなど、その業務に関連する情報を文章で書き出した書類です。業務フローの「流れ」だけでなく、具体的な処理手順や判断基準を明文化することで、担当者の理解度や作業内容の正確性を確認する機能を持ちます。

フローチャートでは表現しきれない詳細な手順や条件分岐、使用する帳票名などを具体的に記述することで、業務の実態を正確に記録します。これにより、担当者が変更になった際のリスク軽減や、不正・誤謬（ごびゅう）の防止につながります。

フローチャートとは、部署や部門ごとに作業の流れを図式化して記載したものです。業務の開始から終了までのプロセスを視覚的に表現することで、部門間をまたぐ業務の連携や、情報の流れを直感的に把握することが可能になります。

文章だけでは理解しにくい複雑な業務フローも、図解することで全体像がつかみやすくなります。特に、複数の部署が関与する業務においては、どの段階で誰が承認を行うのか、どこでリスクが発生しやすいかといったポイント（統制上の要点）を特定するために有効です。

リスク・コントロール・マトリックス（RCM）とは、業務上のリスクと、そのリスクに対応するコントロール（統制活動）の関連を明確にした一覧表です。識別されたリスクに対して、企業がどのような対策を講じているかを対比させ、その有効性を評価するために使用します。

具体的には、「架空売上が計上されるリスク」に対して「出荷伝票と請求書の突合確認を行う」といったコントロールを定義します。これにより、リスクに対する備えが十分であるか、あるいは過剰な統制になっていないかを客観的に判断することが可能となります。

内部統制の構築において作成される「3点セット」は、その作成に多くの工数を要するため、単なる形式的な書類作成業務として捉えられることがあります。しかし、これらの資料は監査対応のためだけに存在するものではありません。

3点セットを作成する真の目的は、目に見えにくい業務プロセスを「可視化」し、組織全体の状況を俯瞰するための正確な「地図」を描くことにあります。

企業活動には、担当者のミスや不正といったリスクが潜んでいる可能性がありますが、業務プロセスが可視化されていなければ、どこにリスクが存在するのかを特定することは困難です。

3点セットを作成し、業務の流れや手順、責任の所在を詳細に描き出すことで、初めて「業務のどこにリスクがあるか」「そのリスクに対して適切な管理ができているか」を客観的に分析することが可能となります。

つまり、3点セットは単なる提出書類ではなく、組織に潜むリスクを発見し、会社を守るための体制を構築するために不可欠な分析プロセスとしての価値をもっています。

これまでの章で解説した「4つの目的」や「6つの基本的要素」を理解しているだけでは、実際の現場でうまく使いこなすことはできません。

ここでは、主要な4つの部門を例に挙げ、現場で発生しやすいリスクと、それを防止するための具体的な統制活動を実務でのイメージがつきやすいよう詳しく解説しています。

経理・財務部門は、金銭を直接扱うため、不正やミスのリスクが最も高い部門のひとつです。ここでは「職務分掌」と「ダブルチェック」が重要な役割を果たします。

経費精算における承認フローの整備については、「経費精算システムとは？機能や導入費用、メリットについて解説」で詳しく解説しています。

モノの動きを管理するこの部門では、「発注・検収の分離」と「実地棚卸」が統制の鍵となります。

「人」を管理する人事・労務部門では、「勤怠管理」と「システムへのアクセス権限」の管理が重要です。これらは法令遵守だけでなく、ITセキュリティにも直結します。

IT・情報システム部門は、全社のインフラを支える基盤であり、「アクセス管理」と「ログ監視」によるセキュリティ対策が求められます。

内部統制は組織内での立場に関係なく、全従業員が関係するものです。それぞれの立場で、どのように内部統制と関わるべきか、理解しておく必要があります。

立場ごとの関わり方について、それぞれ説明します。

そもそも内部統制は、経営者が会社を効率的かつ健全に運営するための仕組みです。つまり経営者は、内部統制の整備と運用に全責任を持っている立場であるといえます。

また、代表者として内部統制報告書を提出する役目も担います。

取締役会は組織の最高意思決定機関であるため、内部統制の基本方針を決定して、仕組みの整備と運用を監視する必要があります。

経営者が不正を行っていないかを監視する役割も担います。

監査役会は独立した立場として、経営者や取締役会が決定した内部統制の方針を理解し、仕組みの整備と運用状況を監視・検証する役割を担います。

監査役とは異なり、組織の内部に属する人間として、社内から内部統制の整備と運用状況を検討・評価する役割を担います。

内部統制は雇用形態にかかわらず、全従業員が行動や判断をするうえでの指針となります。そのため、全従業員が内部統制の重要性や意義を理解し、業務遂行上で遵守しなければなりません。

また、内部統制上のルールに実態が即していない場合は、業務プロセスなどを定期的に見直すことも求められます。

【関連記事】
内部監査とは？目的や流れ、確認項目をわかりやすく解説

ここまでは実務的な側面を中心に解説してきましたが、内部統制には法律や制度によって定められた厳格な要件が存在します。特に上場企業やその関連会社においては、金融商品取引法に基づく対応が義務付けられており、最新の法改正や基準の変更を正確に把握しておくことが不可欠です。

2023年4月に金融庁により改訂され、2024年4月1日以降開始する事業年度から適用された「財務報告に係る内部統制の評価及び監査の基準」等は、近年の企業を取り巻く環境変化に対応するための重要な見直しを含んでいます。

法務担当者や専門家が押さえておくべき主要な改訂ポイントは以下の通りです。

内部統制の目的のひとつである「財務報告の信頼性」が、「報告の信頼性」へと変更されました。

これは、財務諸表などの財務情報に加え、サステナビリティ情報や人的資本に関する情報といった非財務情報についても、信頼性を確保することの重要性が増していることを反映したものです。

経営者が不当な目的のために内部統制を無視したり無効化したりするリスクに対し、より具体的な対応が求められるようになりました。

改訂基準では、適切な内部統制の例示が加筆されたほか、経営者以外の業務プロセス責任者等による無効化リスクについても留意が必要とされています。

DXの進展やクラウドサービスの利用拡大など、IT環境の変化は著しいものがあります。改訂では、一度システムを構築して終わりではなく、IT環境の変化やサイバーセキュリティリスクの高まりに応じ、適時適切に対応することの重要性が強調されています。

内部統制報告制度（J-SOX）とは、金融商品取引法に基づき、上場企業に対して財務報告に係る内部統制の強化を求める制度です。アメリカの企業改革法（SOX法）をモデルに導入されたこの制度は、企業の透明性を高めるための枠組みとして機能しています。

対象となる上場企業は、事業年度ごとに「内部統制報告書」を作成し、内部統制が有効に機能しているかを経営者自らが評価して報告する義務があります。さらに、その報告書は公認会計士または監査法人による「内部統制監査」を受けなければなりません。

これらは粉飾決算などの会計不祥事を防ぎ、投資家が安心して投資できる市場環境を維持することを目的としています。

一般的に、内部統制は以下の手順で進められます。

内部統制は経営者による意思決定によってトップダウンで進められます。

まずは、経営者自身が作成したチェックリストに沿って、代表者として全社的なルールや枠組みといった内部統制の現状を評価することから始めます。

経営者による全社的な内部統制の評価を踏まえたうえで、個々の業務プロセスにおける内部統制の評価を実施します。業務プロセスのうち、はじめに評価対象とされるのが決算・財務報告のプロセスです。

財務情報は組織としての信用性に大きく関わるため、経営規程などの全社的な観点からの評価と、減損の検討・税効果の計算といった業務プロセスの評価という2つの面からチェックを行う必要があります。

全社的な内部統制に不備があると評価した場合は、影響範囲が大きいと見なし、チェックを行う業務プロセスの範囲を拡大していく必要があります。

逆に全社的な内部統制が正しく機能していると評価できる場合は、評価対象とする範囲を絞り込めます。

対象となった業務プロセスを評価するにあたっては、「業務記述書」「業務フローチャート」「リスク・コントロール・マトリックス（RCM）」の3点セットの作成が必要です。これら3点セットによって業務の実態が可視化され、正しく評価できるようになります。

一通りの評価が完了したら、最終的に経営者が評価内容を報告書にまとめます。この報告書を監査人が確認し、内部統制監査を行ったうえで提出します。

経営者が作成した報告書に対して、監査人が評価内容を適切ではないと判断した場合、一から評価をやり直す必要があり、報告書の提出が遅れてしまう可能性もあります。

このような事態を未然に避けるために、監査人と経営者は内部統制の評価にあたり、事前に協議を行っておいたほうがよいでしょう。

なお、公認会計士または監査法人の監査を受けた内部統制報告書は、内部統制報告制度（J-SOX）において金融庁への提出が義務付けられています。有価証券報告書とともに、事業年度ごとの提出が必須とされています。

内部統制報告制度（J-SOX）について詳しく知りたい方は、「J-SOX法（内部統制報告制度）とは？概要や対象企業の対応などをわかりやすく」をあわせてご確認ください。

内部統制は上場後に初めて必要になるものではなく、IPO（新規上場）を目指す準備段階から整備が求められる必須の課題です。上場審査では、企業が健全に運営されているかを厳しく問われるため、早期からの体制構築が成功の鍵を握ります。

上場審査において、証券取引所は「コーポレート・ガバナンスおよび内部管理体制」が適切に機能しているかを確認しますが、これは実質的にJ-SOXで求められる要件とほぼ同義です。つまり、上場企業水準の内部統制を構築することは、そのまま上場審査をクリアするための準備となります。

上場申請期になって慌てて対応するのではなく、早期から内部統制の整備に着手することが、結果として効率的かつスムーズなIPOの実現に直結します。

内部統制は上場企業・大会社だけでなく、今後上場を目指す企業においても整備が求められます。内部統制がうまく機能せず、何らかの不祥事が発覚すれば、企業価値が損なわれることは間違いありません。

内部統制の目的と基本的要素についてきちんと理解し、経営者が率先しながら企業一丸となって内部統制の整備を進めていきましょう

IPOは、スモールビジネスが『世界の主役』になっていくためのスタート地点だと考えています。
IPOに向けた準備を進めていくにあたり、必要になってくる内部統制。自社において以下のうち1つでも該当する場合は改善が必要です。

• バックオフィス系の全てのシステムにアクセス権限設定を実施していない
• 承認なく営業が単独で受注・請求処理を行うことができる
• 仕入計上の根拠となる書類が明確になっていない

freee会計のエンタープライズプランは内部統制に対応した機能が揃っており、効率的に内部統制の整備が進められます。

詳しい情報は、内部統制機能のページをご確認ください。

2020年上半期、freeeを利用したマザーズ上場企業は32.1％。freeeは多くの上場企業・IPO準備企業・成長企業に導入されています。

また、freeeではIPOを支援すべく、内部統制に関する各種ツールやIPO支援機関との連携を進めています。

IPOに向けた準備をお考えの際は、freeeの活用をご検討ください。

コンプライアンス（法令遵守）とは、法令や社会規範、企業倫理などを守ることを指します。一方、内部統制は、このコンプライアンスを組織全体で徹底させるための「具体的な仕組みやルール」のことです。

つまり、コンプライアンスは「守るべき規範（目的）」であり、内部統制はそれを実現するための「手段」という関係になります。

詳しくは「コンプライアンス、ガバナンスとの違い」で解説しています。

コーポレートガバナンスは、株主や取締役会などが「経営者を監視・規律する仕組み」であり、経営者の暴走を防ぐことを主眼としています。これに対し、内部統制は、経営者が「従業員や業務プロセスを管理・監督する仕組み」です。

内部統制はコーポレートガバナンスを機能させるための重要な要素のひとつであり、経営者が自ら構築・運用する責任を負います。

詳しくは「コンプライアンス、ガバナンスとの違い」で解説しています。