HRナレッジライン
カテゴリ一覧
内部統制とは?ガバナンスとの違いや4つの目的・6つの基本的要素について徹底解説
公開日:2026.03.26
- 記事をシェアする
不正やミスの防止、法令遵守の徹底、信頼性の向上など、企業が安定して事業継続するためには、社内の仕組みづくりによってリスクを抑えることが欠かせません。その中核となる考え方が内部統制です。
この記事では、内部統制の基本から、混同されやすい言葉、J-SOX(内部統制報告制度)の概要、4つの目的、6つの基本的要素から運用の進め方までを網羅的に解説します。内部統制をこれから学ぶ方も、整備・運用を見直したい方も、ぜひ参考にしてください。
人事担当者必見!
お役立ち資料を無料ダウンロード
人事担当者必見!
お役立ち資料を無料ダウンロード
目次
内部統制とは
内部統制とは、 企業が経営目標を達成するために社内で整備・運用するルールや手続き、チェック体制などの仕組み(プロセス)全般を指します。 日々の業務に組み込むことで、ミスや不正の防止、情報の正確性の確保などにつなげ、組織として安定的に成果を出せる状態をつくります。
内部統制は、特定の部署だけが行うものではありません。経営者が方針を示し、管理職が現場で運用し、従業員一人ひとりが決められた手順を守って実行することで機能します。また、制度をつくることだけでなく、現場でプロセスを実行し続けることが重要です。
人事担当者必見!
お役立ち資料を無料ダウンロード
人事担当者必見!
お役立ち資料を無料ダウンロード
混同されやすい言葉
内部統制には、似た文脈で使われる用語が多く、意味の違いを整理しておくと理解がスムーズです。ここでは、特に混同されやすい4つの言葉を取り上げ、内部統制との関係について解説します。
コーポレートガバナンス
コーポレートガバナンス(企業統治)とは、会社が株主をはじめとする顧客・従業員・地域社会などの立場を踏まえ、 透明・公正かつ迅速・果断な意思決定を行うための仕組みを指します。
内部統制は、コーポレートガバナンスを実現するための手段の一つといえます。つまり、ガバナンスが企業を適切に動かすための統治の枠組みであるのに対し、内部統制は日々の業務が適切に回るようにする具体的な仕組み(プロセス)であり、ガバナンスを下支えするものです。
ガバナンスについては、以下の記事でさらに詳しく解説しています。
>> ガバナンスの意味とは? コンプライアンスとの違いや強化の必要性について解説
リスクマネジメント
リスクマネジメントとは、 企業活動に伴って発生しうるさまざまなリスクを組織的に把握し、影響を最小限に抑えるための一連のプロセスを指します。
内部統制にもリスクの評価や対応といった考え方が含まれるため混同されがちですが、リスクマネジメントはリスクに焦点を当てた管理活動です。一方、内部統制は、リスク対応だけでなく、業務の進め方(統制活動)や情報共有、モニタリングなども含む、より広い枠組みとして捉えられます。
コンプライアンス
コンプライアンスは直訳すると法令遵守を意味し、 企業活動に関連する法令や条例を守るための取り組みを指します。 加えて、社会的な良識・規範・倫理までを含めて捉える場合もあります。
内部統制との違いは、コンプライアンスが守るべき基準(あるいは目標)であるのに対し、内部統制はそれを実現するための社内の仕組み(プロセス)である点です。つまり、内部統制はコンプライアンスを含む複数の目的を達成するために整備・運用されるものです。
コンプライアンスについては、以下の記事でさらに詳しく解説しています。
>> コンプライアンスとは?定義や具体的な違反事例を分かりやすく解説
内部監査
内部監査とは、企業や組織の内部の人間(内部監査部門など)が、 自社の業務の進め方や内部統制が、決めた通りに適切に機能しているかを調査・評価することです。ルール通りに承認が行われているか、ミスや不正が起きにくいか、記録や証拠がきちんと残っているかなどを確認します。
内部統制が仕組みそのものだとすると、内部監査はその仕組みがきちんと動いているかを点検する役割と理解すると分かりやすいでしょう。
内部統制報告制度(J-SOX)について
内部統制報告制度(J-SOX)とは、金融商品取引法に基づき、上場企業など(主に有価証券報告書を提出する会社)に対して財務報告(決算書など)の信頼性を確保するための内部統制の整備・評価と、その結果の報告を求める制度です。
J-SOXは財務報告の信頼性を中心に据えた制度であり、他の目的(事業活動全般の効率化など)を直接的に義務付けるものではありません。ただし、財務報告は業務全体と密接に関わるため、実務では他の管理体制やリスク対応とも連動しやすい点は踏まえておくとよいでしょう。
また金融庁では、2008年4月の制度開始以降の運用状況を踏まえ、評価・監査の基準や関連するQ&A・事例集などを随時見直しています。こうした資料は運用を進める上での重要な判断材料になるので、ぜひ参考にしましょう。
内部統制の整備が必要な企業とは
内部統制の整備は、企業規模や上場の有無によって、どこまで求められるかが変わります。大きく2つに分けると、法令等で対応が求められるケースと、法的義務はないものの整備が強く推奨されるケースがあります。
まず、法的な整備を求められるケースの代表例が、 上場企業などの有価証券報告書提出会社を対象とする内部統制報告制度(J-SOX) です。財務報告(決算書など)の信頼性を確保するために内部統制を整備・運用し、その有効性を評価して報告することが義務付けられています。評価の対象は提出会社単体に限らず、子会社や関連会社を含む企業集団すべてとなります。
一方、法的義務のない内部統制の整備も多くの企業にとって重要です。不正やミスの予防、業務の標準化と効率化、権限や責任の明確化などにつながり、企業の持続的な成長を支える土台となります。特に、これから上場(IPO)を目指す企業にとっては、将来的な審査や運用を見据えた必須の準備として、早い段階から整備を進めることが推奨されます。
内部統制の4つの目的
金融庁の基準では、内部統制は「4つの目的が達成されている」との合理的な保証を得るために、業務に組み込まれるものとされています。
ここでいう合理的な保証とは、100%ミスや不正をなくすという意味ではなく、リスクを一定水準以下に抑えるために継続的に仕組みを見直していく考え方です。また、4つの目的はそれぞれ独立していますが、相互に関連している点も理解しておきましょう。
業務の有効性及び効率性
業務の有効性および効率性とは、事業活動の目的を達成するために無駄を減らし、業務をよりよく回していくことを指します。
例えば、業務手順を標準化して属人化を防ぐ、承認フローを整えて二重対応や手戻りを減らす、在庫や人員配置を適切に管理する、などといった取り組みが該当します。
財務報告の信頼性
財務報告の信頼性とは、決算書などの財務情報に虚偽や誤り、不正が入り込まないようにし、社内外への報告を正確にすることです。
例えば、売上の二重計上や計上漏れを防ぐチェック体制をつくること、入力担当と承認担当を分けること、残高の突合(照合)を定期的に行うことなどが代表例です。
事業活動に関わる法令等の遵守
事業活動に関わる法令等の遵守とは、法律だけでなく、社内規程や社会的なルールも含め、企業として守るべき規範を遵守できる状態をつくることです。
例えば、ハラスメント防止に向けた教育や相談窓口の整備、独占禁止法違反を避けるためのチェック、個人情報の取り扱いルールの徹底などが挙げられます。違反が起きてから対応するのではなく、未然に防ぐ仕組みにしておくことがポイントです。
資産の保全
資産の保全とは、会社の資産が不正・盗難・毀損などで失われないように守ることです。資産には、現金や在庫、設備といった目に見えるものだけでなく、情報やデータ、知的財産なども含まれます。定期的な棚卸を実施する、現金や重要書類の管理者を明確にする、システムへのアクセス権限を必要最小限にする、といった対策が有効です。
内部統制を構成する6つの基本的要素
内部統制とは、前述の4つの目的を達成するために業務に組み込まれ、組織内のすべての者によって遂行されるプロセスを指します。このプロセスは、以下の6つの基本的要素から構成されています。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング(監視活動)
- IT(情報技術)への対応
ここでは、内部統制を構成するこの6つの基本的要素について解説します。
統制環境
統制環境は、内部統制の雰囲気を決める土台となる要素です。組織全体の価値観や行動の基準、仕事の進め方に関わるだけでなく、経営者の姿勢や倫理観、コンプライアンスを重視する考え方、人材育成の方針、組織構造や権限の持たせ方などが含まれます。
例えば、経営陣が不正やルール違反を許さない姿勢を示し、評価や研修でもその考え方を徹底している企業は、統制環境が整いやすいと考えられます。
リスクの評価と対応
リスクの評価と対応とは、目標達成を阻害するリスク(不正・ミスなど)を洗い出し、優先順位を付け、その対応策を決定することです。例えば、取引量が増えて請求処理のミスが起きやすくなっているなら、どこでミスが起こるか、どの工程がボトルネックかを整理した上で、チェック工程の追加やシステム化などの対応策を検討します。
統制活動
統制活動とは、リスクに対応するための具体的なルールや手続きを指します。誰が何をどこまでできるか(権限の分掌)、承認・押印のルール、二重チェック、残高照合などがその代表例です。支払い業務で申請者と承認者を分ける、一定金額以上は複数名承認にする、取引先登録は別担当者が確認してから反映する、といった仕組みが統制活動にあたります。
情報と伝達
情報と伝達は、必要な情報が・必要な人に・必要なタイミングで・正確に伝達される仕組みです。
ルールやマニュアルは、伝わっていなければ機能せず、現場の異常や不正が上層部に上がらなければ対応もできません。例えば、業務手順の変更を周知する仕組み(社内ポータル・通達・研修)を整えることに加え、相談窓口や内部通報制度など、問題が起きたときに上げられる導線を用意しておくことが大切です。
モニタリング(監視活動)
モニタリングは、内部統制が意図した通りに機能しているかを継続的に確認し、必要があれば改善する活動です。日常的な上司のチェックに加え、内部監査のように独立した立場で点検する活動も含まれます。例えば、月次でエラーや差戻しが多い工程を把握して原因を分析し、ルールや運用を見直すことは、モニタリングを通じた改善の代表例です。
IT(情報技術)への対応
IT(情報技術)への対応は、内部統制の目的達成のため、業務で活用するITに対する方針や手続きを定め、適切に管理していくことです。例えば、アクセス権限の管理(必要な人だけが閲覧・編集できる状態にする)、ログの確認、データのバックアップ、システム変更時の承認ルール、委託先やクラウドサービスの管理などが該当します。
内部統制における人や組織の役割
内部統制は一部の部署や担当者が関わるものではなく、経営者から従業員まで、組織内のすべての人がそれぞれの立場で役割を担うことで成り立つ仕組みです。ここでは、内部統制を機能させる上で重要な担当者や組織の役割について解説します。
経営者
経営者は、内部統制を整備・運用する最終的な責任者です。 内部統制をどのような方針で整備するのかを定め、組織全体で実行させる役割を担います。
また、内部統制は整えるだけでなく、実際に機能しているかが重要です。特にJ-SOXの対象となる企業では、経営者が内部統制の有効性を評価し、その結果を報告することが求められるため、経営者の関与が欠かせません。
取締役会・監査役(監査等委員会)
取締役会や監査役(監査等委員会)は、 経営者が進める内部統制の整備・運用が適切かどうかを、独立した立場で監視・監督する役割を担います。
経営者任せにしていないか、重大なリスクが放置されていないか、不備が起きた際の対応が進んでいるかなどを確認し、必要に応じて是正を促します。
管理者(部長・課長など)
管理者は、 担当部門において内部統制のルール(統制活動)が日々の業務の中で実行されるよう指揮・監督する責任を持ちます。
承認手続きやチェック工程が形骸化していないか、担当者の業務が属人化していないか、例外対応が常態化していないかなどを把握し、必要に応じて業務の進め方を改善します。
従業員(担当者)
従業員(担当者)は、定められたルールや業務プロセスにしたがって業務を遂行する役割を担います。
内部統制は現場の業務に組み込まれており、担当者がルールを理解し、日々の業務で実行することが前提です。また実務の中で、いつもと違う動き、ミスが起きやすい工程、不正につながりそうな抜け道などがないか気付くことも現場の役割です。問題や違和感を発見した場合に適切に報告・相談する役割も担っています。
内部監査部門
内部監査部門は経営者から独立した立場で、各部門の内部統制が有効に機能しているかを客観的に評価し、改善を提言する役割を担います。
ルールが定められているだけで運用が伴っていない、証跡が残っていない、例外対応の管理ができていないなどがあれば、原因と改善策を示します。内部監査の指摘が現場の負担を増やすだけの指摘で終わらないよう、実態に合わせた改善提案につなげることが求められます。
内部統制の運用プロセス
内部統制は、仕組みを一度整備して終わりではありません。運用の中で不備や課題が見つかれば見直しを行い、改善を重ねながら精度を高めていくことが重要です。つまり、継続的にPDCAサイクルを回していく取り組みと言い換えられます。
上場企業(または上場準備企業)が内部統制報告制度(J-SOX)に対応する場合は、特に厳格なプロセスが求められます。ここでは、J-SOX対応を念頭に置いた一般的かつ標準的な進め方をステップごとに解説していきます。
ステップ1:計画と体制の構築
まず行うのが、基本方針の策定です。内部統制は現場の業務にも関わるため、経営陣が方針を明確にし、組織として取り組む姿勢を示すことが欠かせません。経営トップが内部統制を整備・運用する目的(何のために取り組むのか)と基本方針を整理し、全社に対して分かりやすく示します。
次に、推進体制の構築を行います。内部統制を推進するプロジェクトチームや事務局を設置し、誰が責任を持って進めるのか、各部門がどう関わるのかを決めます。実務面では、経理部や経営企画部門、内部監査部門などが中心となり、関係部署と連携しながら進めるケースが一般的です。
併せて、全社的な統制の整備も進めます。これは、特定の業務だけでなく、組織全体の基盤となるルールを整える取り組みです。企業倫理・行動規範の策定、組織図や職務権限規程の明確化、内部通報制度の設置などがその代表例です。こうした土台が整ってはじめて、各業務プロセスに内部統制を組み込む準備が整います。
ステップ2:評価範囲の決定
基本方針と体制を整えたら、どこまで評価するか(評価範囲)を決めます。J-SOX対応では、社内のすべての業務を同じ熱量で評価する訳ではありません。財務報告(決算書)に与える影響が大きい領域に絞り込み、優先順位を付けて進めることがポイントです。
まず行うのは、ステップ1で整備した全社的な統制(統制環境など)が組織全体として機能しているかを確認です。全社的なルールが形だけになっていると、個別の業務プロセスを整備しても運用が安定しにくいため、土台の機能状況を押さえておくことが重要です。
次に、評価対象の絞り込みを行います。ここでは主に、拠点と業務プロセスの2つの観点で、財務報告に重要な影響を及ぼす範囲を特定します。
拠点については、売上高などの重要性を基準に、評価対象とする事業拠点(本社、主要支社、子会社など)を選定します。全拠点を一律に対象とするのではなく、影響度の高い拠点を中心に評価することで、実務負荷と精度のバランスを取りやすくなるでしょう。
業務プロセスについては、選定した拠点の中で決算・財務報告に重要な影響を与えるプロセスを特定します。例えば、売上計上、仕入・支払、在庫管理といった領域は金額影響が大きく、誤りや不正が起きると財務報告の信頼性に直結しやすいため、優先的に評価対象になりやすい業務です。
ステップ3:リスクの評価と文書化
評価対象の拠点・業務プロセスを絞り込んだら、次は可視化し、どこにリスクが潜んでいるのかを洗い出します。
内部統制は、何となくチェックしている状態では評価も改善もできないため、現状を整理し、リスクと統制(チェックの仕組み)をセットで把握できる形にすることが重要です。具体的には、現場の担当者へヒアリングを行い、現在の業務フローが実際にどう回っているかを把握し、可視化します。ルール上の手順ではなく、実務としての流れを整理することがポイントです。
次に、リスクの識別を行います。可視化した業務フローにおいて何が起きたら不正やミスにつながるか、という観点でリスクを洗い出します。架空の売上が計上される、承認なしに発注が行われる、入力ミスが放置されるなど、財務報告に影響を及ぼす事象を想定して整理します。
そして、洗い出したリスクに対し、現在どのようなチェックや承認ルール(=統制活動)でリスクを回避しているのかを確認します。例えば、承認者を必ず通す、二重チェックを行う、権限を分けて一人で完結できないようにするなど、リスク低減のための仕組みを明確にします。
この内部統制の一連の流れを進める上で必要なのが、以下の3点セットです。
内部統制を進める上で必要な3点セット
上記で整理した内容は、次の通り文書化しましょう。
- 業務記述書:業務の流れを文章で説明したもの
- フローチャート:業務の流れ、担当者、承認プロセスを図式化したもの
- RCM(リスク・コントロール・マトリックス):リスク、統制活動、担当者を一覧表(対照表)にしたもの
この3点セットを整備することで、業務フロー・リスク・統制の関係が整理され、評価や改善を進めるための土台ができます。
ステップ4:整備状況・運用状況の評価
業務プロセスとリスク、統制活動を整理し、3点セットを作成したら、次は内部統制がきちんと機能しているかを評価します。ここでは大きく、整備状況の評価と運用状況の評価の2段階で確認を進めます。
まず行うのが、整備状況の評価です。これは、ルール(統制活動)が存在しているか、実行可能な状態になっているかを確認する工程です。先ほどご紹介した3点セット(業務記述書・フローチャート・RCM)に基づき、設計した統制活動が社内に実際に存在しているかをチェックします。例えば、RCMに「上長が請求書を承認する」と記載しているなら、本当に承認印を押すルールが規程で定められているか、システム上で承認フローが設定されているかといった点を確認します。ルールが紙だけの存在になっていないか、実務として回せる設計になっているかを見極める段階です。
次に行うのが、運用状況の評価です。これは、整備されたルールが実際に守られているかを確認する工程で、証拠(エビデンス)に基づいてテストします。期末まで継続して運用されているかを確認するためにも、記録や証憑を根拠に評価を行わなければなりません。
運用状況の評価では、サンプリング(抽出)によるテストを行うのも一般的です。例えば、請求書の上長承認をテストする場合、1年間の全件を確認するのは現実的ではありません。そこで一定数(例:25件など)をランダムに抽出し、その抽出した案件すべてで承認印が押されているか、システム上で承認履歴が残っているかを確認します。テストの結果、もし1件でも承認漏れが見つかれば、それは内部統制上の不備として識別されます。
このように、整備されているだけで安心せず、ルールが守られているかをエビデンスで確認することが、内部統制を機能させる上で重要なポイントです。
ステップ5:不備の是正と再評価
評価で不備が見つかった場合は、そのまま放置せず、原因を特定した上で是正し、改善が有効に機能しているかを再度確認します。ここでいう不備には、承認漏れのような単純な運用ミスだけでなく、ルールが現場に浸透しておらず形骸化しているケースなども含まれます。
不備が起きた背景には、業務フローが複雑過ぎる、担当者が手順を理解していない、システム上の制約でルール通りに運用できないなど、さまざまな原因があり得ます。単に注意するだけで終わらせず、原因を分析した上で、業務プロセスの見直しやルールの再設計、担当者への再教育、チェック体制の強化といった是正措置を講じなければなりません。
ただし、是正措置を実施しただけでは、実際に不備が解消されたかは判断できません。そのため、是正後も運用状況を再度テストし、改善策が正しく実行されているか、同じ不備が再発していないかを確認しましょう。
最後に、内部監査部門や事務局が、整備状況・運用状況の評価結果、不備の是正と再評価の結果を取りまとめ、経営者に報告します。経営者はその報告を踏まえ、自社の内部統制が有効に機能しているかを最終判断します。J-SOX対応企業の場合は、この判断に基づいて内部統制報告書を作成し、財務報告の信頼を確保するための体制が整っていることを示します。
人事担当者必見!
お役立ち資料を無料ダウンロード
人事担当者必見!
お役立ち資料を無料ダウンロード
内部統制は企業の持続的な成長と企業価値向上の実現に不可欠な仕組み
内部統制は、企業が経営目標を達成するために社内に構築し運用する仕組み(プロセス)であり、特定の部署だけではなく、経営者から従業員まで組織全体で遂行するものです。特に上場企業では、内部統制報告制度(J-SOX)により財務報告に関する内部統制の整備・評価が求められるため、しっかり体制を整える必要があります。
また、内部統制は整備して終わりではなく、評価で見つかった不備を是正し、再評価を行うことで実効性を高めていく取り組みです。短期的には整備に手間がかかるように感じるかもしれませんが、組織の透明性や健全性を高め、ステークホルダーからの信頼を得る土台となります。企業の持続的な成長と企業価値の向上を支える大きな役割を担うものと捉えて仕組みを整えましょう。
メールマガジン登録いただいた方限定でお役立ち情報を配信中!
監修者
HRナレッジライン編集部
HRナレッジライン編集部は、2022年に発足したパーソルテンプスタッフの編集チームです。人材派遣や労働関連の法律、企業の人事課題に関する記事の企画・執筆・監修を通じて、法人のお客さまに向け、現場目線で分かりやすく正確な情報を発信しています。
編集部には、法人のお客さまへ人材活用のご提案を行う営業や、派遣社員へお仕事をご紹介するコーディネーターなど経験した、人材ビジネスに精通したメンバーが在籍しています。また、キャリア支援の実務経験・専門資格を持つメンバーもおり、多様な視点から人と組織に関する課題に向き合っています。
法務監修や社内確認体制のもと、正確な情報を分かりやすくお伝えすることを大切にしながら、多くの読者に支持される存在を目指し発信を続けてまいります。
- 記事をシェアする
