内部統制(ないぶとうせい)情報マネジメント用語辞典

internal control / インターナル・コントロール

» 2005年05月10日 00時00分 公開
[@IT情報マネジメント編集部,@IT]

 一般に企業などの組織内部において、違法行為や不正、ミスやエラーなどが行われることなく、組織が健全かつ有効・効率的に運営されるよう各業務で所定の基準や手続きを定め、それに基づいて管理・監視・保証を行うこと。そのための一連の仕組みを内部統制システムという。

 従来の内部統制は財務会計分野の視点からのみ語られ、財務報告の適正性確保を目的とする活動としてとらえられていた。しかし1990年代になると会計統制以外に、コンプライアンスや経営方針・業務ルールの遵守、経営および業務の有効性・効率性の向上、リスクマネジメントなどより広い範囲が対象となり、コーポレート・ガバナンスのための機能・役割という側面を強めている。

 そのきっかけとなったのが、米国トレッドウェイ委員会組織委員会(COSO)が1992?94年に公表した報告書「Internal Control - Integrated Framework(内部統制?統合的枠組み:俗にCOSOレポートという)」で、この中で新しい内部統制のフレームワーク(COSOフレームワーク)が提唱された。

 このCOSOレポートでは、内部統制を次のように定義している。

内部統制は、以下に分類される目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者およびそのほかの職員によって遂行される1つのプロセスである。

  • 業務の有効性・効率性
  • 財務諸表の信頼性
  • 関連法規の遵守

 そしてCOSOは、内部統制の構成要素として「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」を5つを挙げ、これらを内部統制を評価する際の基準として位置付けている。

 内部統制を実施するうえで、ITよって構築された情報システムは大きな助けとなる。従来的な内部統制では職務分掌によって業務実行者とチェック担当者を分離するといった「人を通じた相互牽制」が前提となっていたが、ERPBPMワークフローなどのビジネスプロセス系ツールを使えば、情報システムへの入力(あるいは情報システムを通じての権限者の承認)なしに業務を進めることができないようにすることができ、さらに業務遂行の記録を残すことにつながる。

 このほか、業務の記録およびその報告や参照を支援するBIおよびコンテンツ管理やドキュメント管理ツール、不正アクセスや情報漏えいなどを防止するセキュリティ製品やアクセス制御システム、会計などの業務システムにおける入力値の正確性を確保するための各種チェック機能などを挙げることができる。さらに内部統制の診断や管理を行う専用ソフトウェアも登場している。

 また、こうしたITそのものもシステムダウンや不正侵入などのリスクがあり、上記の「業務の有効性・効率性」「財務諸表の信頼性」「関連法規遵守」を確保するためには、内部統制の対象として考える必要がある。これは「IT統制」などと呼ばれ、米国会計士協会、カナダ会計士協会ではその基準を公表している。

 米国ではエンロンやワールド・コムの粉飾決算/破たんを受けて、2002年に成立したサーベンス・オクスリー法で内部統制システムの構築・運用を経営者の義務、その監査・監査意見表明を外部監査人の義務としている。

 日本においても2006年5月から施行となった会社法では取締役/取締役会に内部統制システム構築の義務を課している。2005年8月には経済産業省が、「コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組みについての指針」を公表。企業が自主的に内部統制システムの構築に取り組むための指針で、リクス管理の概念を盛り込んでいる。

 さらに金融庁が主導して、証券取引法の抜本改正となる金融商品取引法(日本版SOX法)が2006年6月に成立。2009年3月期の決算から、上場企業に内部統制報告書の提出・公認会計士によるチェックが義務付けられた。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ