- 経営・企画
- 公開日:
DX化で変わる!成功する内部統制の進め方とは
企業活動が複雑化し、外部環境が急速に変化する現代において、内部統制は、単に不正を防止するためだけでなく、企業の健全な運営を支える不可欠な仕組みとして機能しています。昨今、多くの業界でデジタル化(DX)が進み、業務システムやAIが導入されていく中で、内部統制のあり方にも変化が求められています。このコラムでは、内部統制の基本をおさえつつ、DX化により、新たに取り入れる必要のある観点などをまとめています。内部統制を適切に実施していない会社は、様々なリスクに直面する可能性があるため、従業員がその重要性を十分に理解して業務に取り組むことが、組織全体の強化につながります。
まずはお問い合わせください!
LEC東京リーガルマインドは貴社の人材育成を成功させるため、集合研修・eラーニング研修・試験対策研修・ブレンディング研修まで、様々なプランをご用意しております。詳細資料のご請求やお見積りのご依頼は、お気軽に法人事業本部まで。
1.内部統制とは
内部統制の定義
内部統制(Internal Control)とは、企業や組織がその目標を効果的かつ効率的に達成し、財務報告の信頼性を確保し、法令違反や不正を行わず、規則を遵守して業務を遂行するために構築された一連のプロセスや仕組みを指します。
内部統制とコーポレートガバナンスの違い
混同されやすいものとして、内部統制とコーポレートガバナンスの違いもおさえておきましょう。内部統制は、「企業内で行う日々の業務におけるルール・手続き」であり、対象となるのは、主に企業で働く従業員となります。これに対して、ガバナンスは、「企業全体の方向性を決定する仕組み」で、対象となるのは取締役会、経営者、株主、ステークホルダーなど、組織全体となります。つまり、内部統制はガバナンスの一部として機能します。企業はガバナンス体制を整え、その一環として各業務に内部統制を導入し、経営を効果的に進めます。
内部統制の3点セットとは
企業が内部統制を効果的に整備・運用し、監査対応もスムーズに行うために準備する3つの基本的な文書を、「内部統制の3点セット」といいます。
①業務フロー図(Business Flow Diagram)
各業務の流れを図式化し、誰が何をどのように行うかを明確に示したもので、担当者や手続きの流れを理解しやすくします。
②業務記述書(Job Description / Process Description)
各業務プロセスの詳細をテキストで記載したもので、業務を詳細に記録し、手順が明確であることを確認できるものです。
③リスクコントロールマトリクス(RCM:Risk Control Matrix)
業務ごとに想定されるリスクと、それに対する統制(コントロール)を整理した表で、リスクを体系的に把握し、それらにどう対応しているかが確認できます。
2.内部統制の4つの目的
金融庁発行の「内部統制の基本的枠組み」によると、内部統制の目的は以下の4つとなっています。
-
- ①業務の有効性及び効率性
- 企業が計画どおりに業務を遂行し、「ヒト」「モノ」「カネ」といった経営資源を無駄なく効率的に利用できるようにすること。適切なスケジュール管理や、営業活動の効率化、RPA(ロボティック・プロセス・オートメーション)による業務の自動化などが推奨されます。
-
- ②財務報告の信頼性
- 正確な財務情報を提供し、外部の利害関係者(株主、投資家、金融機関)に正しく財務状況を示すこと。売上計上の適切な基準設定、在庫の正確な記録、定期的な棚卸、ERP(統合基幹業務システム)の活用などが求められます。
-
- ③事業活動に関わる法令等の遵守
- 企業が関係法令、規則、社内規程を遵守し、法的リスクを回避すること。例えば、個人情報保護法に基づく、顧客データの適切な管理や、税務申告の正確性などが求められます。
-
- ④資産の保全
- 企業の資産が不正に使用されることを防ぎ、損失を回避すること。情報や現金などの企業の資産が不正に流用されていないかなど、セキュリティ対策やアクセス制限を行うことが求められます。
企業内の内部統制を考えるとき、この4つの目的が達成できているかを常に意識しながら、構築や見直しを進めていくとよいでしょう。
参考資料:内部統制の基本的枠組み(案)(金融庁発行)3.内部統制の6つの基本要素
金融庁発行の「内部統制の基本的枠組み」から、内部統制に関わる6つの基本要素を、以下にご案内します。
2.でお伝えした「4つの目的」同様、内部統制の構築時には、必ずおさえておくべき観点として留意しておきましょう。
<内部統制の6つの基本要素>
| 統制環境 | 組織の倫理観や経営者の姿勢、組織構造、権限と責任の明確化など、内部統制の基盤を形成する要素です。 | 例:倫理や行動規範の策定・発信、各部門の業務権限・責任の明確化 |
|---|---|---|
| リスクの評価と対応 | 組織の目標達成を妨げる可能性のあるリスクを識別し、評価し、適切な対応策を講じるプロセスです。 | 例:法令違反、サイバー攻撃、自然災害などへの対策や訓練 |
| 統制活動 | リスクに対処するための方針や手続き、業務プロセスに組み込まれた具体的なコントロールを指します。 | 例:職務分掌、承認手続き、定期的な棚卸 |
| 情報と伝達 | 必要な情報を適切なタイミングで関係者に伝達し、内部統制が効果的に機能するようにする仕組みです。 | 例:企業内の情報発信(イントラネットなど)、内部通告制度の整備 |
| モニタリング | 内部統制が継続的に適切に機能しているかを評価し、必要に応じて改善を行うプロセスです。 | 例:内部監査、定期的な評価、経営者によるレビュー |
| IT(情報技術)への対応 | 情報技術の活用とリスクに対応するための方針や手続き、IT環境の整備などを含みます。 | 例:データのバックアップ、アクセス制限、セキュリティ対策 |
4.DX化で変わる内部統制
ここまでで、内部統制の基本概念や目的について、主に金融庁の発信をもとに、最低限おさておくべきポイントをお伝えしてまいりました。
近年、DX化に伴う企業の業務プロセスが大きく変化しており、その影響で、内部統制の在り方も、従来型の「手動」「紙ベース」のものから「自動化」「システム化」している場合も多いでしょう。そのような場合に、新たに考えるべきリスクや観点について、以下、事例とともに見ていきましょう。
- 【事例①】購買プロセス
- 従来は、紙またはメールでの購買申請および上司の承認印が必要だったが、ERPシステム(例:SAP、Oracleなど)を導入後は、ワークフローの自動化により、権限に基づく承認フローが設定でき、申請内容は自動的に記録され、監査証跡が保存されるようになった。
また、サプライヤーの管理についても、従来エクセル表を従業員が手動で修正・追加していたが、DX後は、クラウドベースのサプライヤー管理システム、登録済みサプライヤーにのみ注文可能とし、不正業者を排除することが可能となった。見積や在庫管理についても、不正取引や異常取引は、自動アラートの設定によりリアルタイムで検知できるようになった。 - 【事例②】売上計上プロセス
- 従来は、受注書の手入力、売上伝票の手動起票を営業社員(又は営業事務員)が行っていたが、システム上で受注入力と同時に自動で売上計上(基準を設定可能)が可能になった。
顧客情報と契約管理についても、DX後は、CRM(顧客管理システム)による一元管理となり、契約内容はシステムに保存され、契約書の変更履歴も自動保存されるようになった。売上金額の確認も、従来は手作業での計算だったが、システム上での自動計算とチェックにより、全取引の監査証跡が自動保存され、不正な取引や不正な売上計上は自動検知され、リアルタイムに売上状況を可視化できるようになった。
ご紹介した事例のように、ERPやBIツールを導入すると、正確性や即時性、リスク回避、人為ミスの削減、効率化など、多くの点でDX化による内部統制のメリットが非常に大きいといえますので、積極的に導入すべきです。しかし、以下のような問題にも配慮が必要です。
- RPAのシステム障害や、SaaSサービスのメンテナンスなどによるシステムの停止
- ソフトウェアの定期的なアップデートで設定が初期化されたり、不具合が発生も
- クラウドサービス停止リスク:外部クラウド(AWS、Microsoft Azure)がダウンすると利用不可
5.【最新版】DX化に対応した内部統制の整備のポイント
ここからは、企業のDX化が進む中で、内部統制において新たに取り入れるべき視点について考察していきます。4.でお伝えしたシステムやネットワークのエラー以外にも多くのリスクが存在しますが、システムを利用する人が十分にその仕組みや機能を理解し、有効活用できるかどうかによって、万一のトラブル発生時に、企業に及ぼす影響の度合いは大きく変わってくるといえます。
- ①システム依存リスクの管理
- 新たな視点:システム障害や設定ミスによるリスクの認識があるか?
バックアップと復旧計画の整備を行い、クラウドやSaaSサービスで障害が発生した場合に備えた代替手段が、確保できているか確認しましょう。また、システム設定の変更履歴管理の管理(誰が、いつ、どのように変更したか)を自動記録したり、システム検証の自動化を行い、変更後のテストを自動で実施したりして、問題の早期発見につなげましょう。
いずれも、システムに依存しすぎないことが肝要です。
- ②データセキュリティとプライバシー保護
- 新たな視点:DX化により膨大なデータを扱うリスクに備えているか?
保存データと通信データの双方を暗号化し、不正アクセスを防止することが求められます。また、アクセス権限の管理が適切に行われているか、ユーザーの役割や状況に応じた権限の変更を、自動化する仕組みを構築することも重要です。ログやテスト環境における個人情報のマスキングも、確実に対応していきましょう。
- ③サイバー攻撃リスクへの対応
- 新たな視点:高度化するサイバー攻撃に対応できているか?
AIなどを活用して、リアルタイムでサイバー攻撃の情報を収集し、対応策を即時展開する、侵入検知システム(IDS)の導入等を検討しましょう。ネットワーク上の異常な活動をリアルタイムで検知したり、DX化に伴い増加する既存システムにおける脆弱性のテストや修正を定期的に行ったりしていきましょう。
- ④サードパーティリスク管理
- 新たな視点:DX化で外部サービスの利用が増加する点について対策に漏れがないか?
事前にクラウドサービス等、外部サービスのセキュリティ対策をあらかじめ確認し、過去のサプライヤーのセキュリティインシデントを追跡するなど、安全性に十分配慮していきます。契約条件にセキュリティ要件を明記し、データの取扱いや対応責任を明確化します。
- ⑤企業内のデジタル文化の定着
- 新たな視点:従業員の知識・スキルを補う研修が整備されているか?
せっかくコストをかけてDX化を進めていても、従業員がシステムをきちんと理解できていない、使いこなせていない状態では、内部統制は逆に混乱してしまうかもしれません。
そのためには、従業員に対して、DXに関する新たなリスクを学習できるプラットフォームの提供が必要です。eラーニングなどによる情報セキュリティの基礎知識の習得、困ったときにすぐに対応できるFAQの整備(チャットボット等による)、また、理解度を確認できるテスト等を実施して、DX時代における内部統制が円滑に進むよう、教育体制も同時に整備していくことが重要になってきます。
LEC東京リーガルマインドのおすすめ研修
社内のDX化を加速させたい方向け
内部統制の社内研修をご検討の方はeラーニング研修がおすすめ
こちらもおすすめ【コラム記事】
監修者情報
志野 こと葉(しの ことは)
| プロフィール | コンサルティング企業や大手教育系企業にて25年にわたり商品開発・マーケティング・広報業務などに携わる。 特にWeb開発やデジタルマーケティング領域の業務を数多く経験。マネジメント職を経験後、産業カウンセラー、ハラスメント相談員等の資格を取得。 その後、公務員に転向し、企業の雇用問題や採用、人材育成、働き方等におけるさまざまな課題解決に携わる。 働く人に向けた幅広いテーマでビジネスコラムの執筆を行っている。 |
|---|
まずはお問い合わせください!
LEC東京リーガルマインドは貴社の人材育成を成功させるため、集合研修・eラーニング研修・試験対策研修・ブレンディング研修まで、様々なプランをご用意しております。詳細資料のご請求やお見積りのご依頼は、お気軽に法人事業本部まで。