内部統制（Internal Control）

企業の不正会計や業務上の不祥事は、なぜ繰り返されるのか。この問いへの組織的な回答が「内部統制（Internal Control）」である。

2000年代初頭、米国エンロン社や国内の大手企業による巨額粉飾決算事件が相次いだことで、財務報告の信頼性を担保する仕組みの脆弱性が世界的に問題視された。

これを背景にアメリカでは2002年にSOX法（Sarbanes-Oxley Act：企業改革法）が制定され、日本では2006年に金融商品取引法が成立し内部統制報告制度が規定され、2008年4月以降に開始する事業年度から適用が開始された。

内部統制は、コーポレートガバナンス（Corporate Governance：企業統治）の中核をなす概念であり、経営の透明性・説明責任の確保に直結する。

総合系コンサルティングファームやシンクタンクがアドバイザリーサービスの一環として体制構築を支援する領域でもあり、実務経験者の市場価値は高い。

内部統制とは

内部統制の概念は、米国の内部監査人協会（IIA：The Institute of Internal Auditors）や会計士協会による研究を経て体系化され、1992年にCOSO（Committee of Sponsoring Organizations of the Treadway Commission：トレッドウェイ委員会支援組織委員会）が発表した「内部統制の統合的フレームワーク」が国際標準として広く採用されている。

金融庁は2007年に「財務報告に係る内部統制の評価及び監査の基準」（いわゆる「基準」）を公表し、内部統制の目的と基本的要素を以下のとおり定義している。

4つの目的

• 業務の有効性および効率性の向上（業務目的）
• 財務報告の信頼性の確保（財務報告目的）
• 法令等の遵守（コンプライアンス目的）
• 資産の保全（資産保全目的）

6つの基本的要素

これら6要素は相互に関連し合い、4つの目的を達成するための統合的な体制を形成する。なお、COSOフレームワークは2013年に改訂版が公表されており、ITリスクや不正リスクへの対応が強化されている。

内部統制の概念構造（目的×基本的要素）

内部統制の具体例・ミニケース

製造業A社における統制活動の整備

従業員300名規模の製造業A社では、発注・検収・支払いの3プロセスを同一担当者が処理していたため、架空発注リスクが顕在化していた。

内部統制の整備として「職務分離（Segregation of Duties）」を導入し、発注承認権限を部門長に限定、支払処理を経理部門に集約した。

あわせて、月次の勘定照合（リコンサイレーション）を義務化することで、財務報告の信頼性と資産保全の双方を同時に強化した。

IT内部統制の整備事例

金融機関B社では、基幹システムへのアクセス権限管理が属人的に運用されており、退職者のアカウントが残存するリスクが指摘された。

IT内部統制専門委員会を設置し、IDライフサイクル管理（入社・異動・退職に伴うアクセス権の自動付与・剥奪）をシステム化することで、不正アクセスリスクを低減した事例である。

コーポレートガバナンス・外部監査・コンプライアンスとの違い

内部統制は「コーポレートガバナンスを機能させるための具体的な仕組み」と位置づけられる。ガバナンスが経営層による監督機能を指すのに対し、内部統制は業務レベルでの統制手続きまで含む実行面の体制である。

外部監査は内部統制の有効性を第三者が検証するプロセスであり、内部統制と外部監査は相互補完的な関係にある。

コンサルティング業務における内部統制の位置づけ

論点設計（イシュー出し）

内部統制の構築・評価プロジェクトでは、まず「どの業務プロセスが財務報告に重要な影響を与えるか」というスコーピング（Scoping）を論点設計の起点とする。

金商法対応では、売上計上・固定資産管理・在庫評価などの「重要な業務プロセス」を特定し、統制の整備状況と運用状況を評価すべき論点として設定する。

コンサルタントはこの段階でリスク・マトリクス（Risk and Control Matrix：RCM）の構造設計を支援することが多い。

現状分析（As-Is整理）

現状分析では、業務プロセスのフロー図（業務フロー：Business Process Flow）を作成し、各ステップにおける「統制の空白」を可視化する。

具体的には、職務分離の欠如・承認プロセスの不在・ITアクセス権限の過剰付与などをウォークスルー（Walkthrough：プロセスの一連の流れを実際に追跡する手続き）によって確認する。

定量的な分析としては、例外取引件数・承認漏れ率・監査指摘件数などをKPI（Key Performance Indicator：重要業績評価指標）として整理する。

施策設計（To-Be）

施策設計では、整備すべき統制活動の優先順位付けと、導入コスト・効果のトレードオフ分析を行う。「ゼロ欠陥」を目指すのではなく、残存リスクが許容水準内に収まる統制の組み合わせを設計することが実務上のポイントである。

また、統制の過度な追加は業務効率を損なうため、自動化統制（IT統制）と手動統制のバランス設計が求められる。

資料作成（スライド構造）

内部統制の評価結果を経営層・監査委員会に報告するスライドは、通常「①評価スコープ→②重要な欠陥・不備の有無→③改善施策と優先度→④ロードマップ」の4構成が標準的である。

「重要な欠陥（Material Weakness）」が発見された場合は、その財務的インパクトの試算と再発防止策をセットで提示することが求められる。

内部統制の導入メリットと注意点

導入メリット

• 財務報告の信頼性向上：投資家・金融機関からの信用獲得に直結する
• 不正・誤謬の予防・発見：統制活動による牽制機能が不正抑止力として機能する
• 業務効率化：プロセスの標準化・文書化が業務品質の底上げにつながる
• 経営判断の精度向上：信頼性の高い管理情報が経営意思決定を支援する

注意点と適用限界

コンサル採用面接で内部統制を押さえるべき理由

内部統制が面接で直接的に問われる場面は多くはない。しかし、コーポレートガバナンスや不祥事・コンプライアンスに関する問いが出た際に、内部統制の構造を理解していると論点の整理が格段に明快になる。

ケース面接との接点という観点では、「なぜこの企業で不正が起きたか」「どのような組織体制の欠陥があったか」といった問いへの回答において、統制環境やリスク評価の観点から構造的に分析する力が求められる。

内部統制の基本概念を内面化しておくと、問題の根本原因を「人の問題」ではなく「仕組みの問題」として捉える視点が自然に身につく。

思考法としての位置づけとしては、「目的→リスク→統制→モニタリング」という論理の流れは、コンサルタントが問題解決の構造を設計する際の思考回路と親和性が高い。

内部統制の考え方の骨格をおさえておけば、ガバナンス・リスク・コンプライアンス（GRC）領域の議論でも説得力ある論点展開が可能になる。

内部統制に関するFAQ

Q1.内部統制とは何か

内部統制とは、企業が4つの目的（業務有効性・財務報告信頼性・法令遵守・資産保全）を達成するために、組織内部で整備・運用する統制プロセスの総体である。

経営者が整備責任を持ち、全従業員が運用に関与する点が特徴であり、外部からの監視ではなく組織自身による自律的な統制という性格を持つ。

日本では金商法第24条の4の4に基づく内部統制報告制度（いわゆる日本版SOX法）により、上場企業は内部統制報告書の作成・提出が法的に義務づけられている。

COSOフレームワーク（1992年策定・2013年改訂）が国際標準として参照されており、6つの基本的要素（統制環境・リスク評価・統制活動・情報伝達・モニタリング・ITへの対応）が体系の骨格を成す。

Q2.内部統制と内部監査はどう違うのか

内部統制は「仕組み・プロセス」であり、内部監査（Internal Audit）は「内部統制が適切に機能しているかを独立した立場で評価・検証する活動」である。

内部統制の整備・運用責任は経営者にあるのに対し、内部監査はIIA（内部監査人協会）の基準に準拠して内部監査部門が独立して実施する。両者は「仕組みの整備」と「仕組みの検証」という相互補完的な関係にある。

また、日本版SOX法における内部統制報告書の監査は外部の公認会計士・監査法人が行うが、内部監査は社内の内部監査部門が担う点で性質が異なる。

内部監査の実施基準はIIAが定める「国際的な内部監査の専門職的実施の基準（International Standards for the Professional Practice of Internal Auditing）」が参照される。

Q3.内部統制はどのように構築・運用するのか

内部統制の構築は、①スコーピング（重要な業務プロセスの特定）→②文書化（業務フロー・RCMの整備）→③整備状況評価（統制が設計されているかの確認）→④運用状況評価（統制が実際に機能しているかのテスト）→⑤内部統制報告書の作成というプロセスで進める。

スコーピングでは、売上・費用・資産の重要性に基づき評価対象プロセスを選定する。文書化ではリスク・コントロール・マトリクス（RCM）を活用し、各統制のオーナー・頻度・証跡を明確にする。

上場企業では経営者評価の結果を内部統制報告書にまとめ、監査法人による外部監査を受けた上で有価証券報告書に添付・開示する。

Q4.コンサルティング実務での内部統制支援はどのような内容か

コンサルティングファームが提供する内部統制支援は大きく3類型に分かれる。

①体制構築支援：業務プロセスの文書化・RCM作成・統制設計を一貫して支援するもの。
②評価高度化支援：既存の内部統制評価の効率化（データ分析ツール活用・リスク評価の定量化）を支援するもの。
③不正・不備対応支援：重要な欠陥や不正発覚後の緊急対応・再発防止策の設計を行うもの。

総合系ファームやシンクタンクはアドバイザリーサービスとして①②を提供し、フォレンジック（Forensic：不正調査）専門ファームは③を担うことが多い。

内部統制経験者がコンサルティングファームに転職する事例が増えているのは、こうした実務知識の市場価値の高さを背景とする。

Q5.内部統制に関してよくある誤解は何か

最も多い誤解は「内部統制とは文書を整備することである」という認識である。文書化は評価の前提条件にすぎず、実際に統制が運用・機能していることが本質であり、「整備状況」と「運用状況」の両面を評価するのが正しい理解である。

次に多いのが「内部統制を整備すれば不正はゼロになる」という過信である。COSOは内部統制がもたらすのはあくまで「合理的な保証（Reasonable Assurance）」であり、完全な保証ではないと明示している。

特に経営者自身が関与する不正（Management Override）は通常の統制では防ぎにくく、この限界を理解した上で補完的なガバナンス施策を組み合わせることが実務上は重要である。

Q6.日本版SOX法とアメリカのSOX法の主な違いは何か

日本版SOX法（金商法に基づく内部統制報告制度）は、米国SOX法（Sarbanes-Oxley Act of 2002）を参考に設計されているが、いくつかの相違点がある。

米国SOX法第404条では、経営者評価と外部監査人による独立した評価（Attestation）を別々に義務づけているのに対し、日本版では経営者評価に対して外部監査人が「意見を表明」する形式を採る。

また、評価基準としてCOSOフレームワークを参照する点は共通だが、日本版は金融庁が定める「基準」および「実施基準」という独自の評価基準を持つ。

違反した場合の刑事罰は、日本では内部統制報告書の虚偽記載等に対して懲役5年以下または罰金500万円以下（金商法第197条の2）が科される。

なお、有価証券報告書等の虚偽記載に対しては懲役10年以下または罰金1,000万円以下（金商法第197条第1項）のより重い罰則が設けられており、対象条文によって刑事罰の水準が異なる点に注意が必要である。

まとめ（実務整理）

内部統制は、企業が組織的・制度的に不正・誤謬を防止し、財務報告の信頼性と業務の健全性を確保するための自律的な統制体制である。その本質は文書整備ではなく、6つの基本的要素が有機的に連動した「機能する仕組み」の構築にある。

コンサルティングの観点では、内部統制の構築・評価支援は総合系ファームの主要なアドバイザリーサービス領域であり、論点設計から報告書作成まで一貫した実務スキルが求められる。

不正会計や経営不祥事が社会問題化する中で、コーポレートガバナンスとともに今後も重要性が増す領域といえる。

採用面接との関係では、内部統制の仕組みと法的位置づけの概要をおさえておけば、ガバナンス・リスク・コンプライアンスに関する問いへの論理的な対応として十分な知識基盤となる。

出典

e-Gov 法令検索「金融商品取引法（第24条の4の4：内部統制報告書）」
https://elaws.e-gov.go.jp/document?lawid=323AC0000000025