非管理系の人にも知ってほしい。文化が支える内部統制のススメ。

こんにちは！Wantedly CFOの吉田です。

最近「内部統制って結局何なの？」と聞かれることが何度かありました。確かに、非管理系の方にとって、「内部統制ってコンプラとかそっち系の何かでしょ？」くらいの印象だろうと思います。何を隠そう、かつての私がそうでした（アナリスト時代の不勉強を恥じる…）。

でも、最近のニュースでも内部統制というフレーズはちょいちょい取り上げられているので、知っておいて損はないよ！ということで、今回は内部統制をテーマにしてみたいと思います！

内部統制初心者だった頃に知りたかったこと

経営管理側に来て内部統制について学ぶ必要に迫られたものの、最初は書籍やWeb上の説明を読んでもちんぷんかんぷん。分かる人に聞くにも何から聞けば良いのか分からない状態でした。

いま振り返ると以下のすべての点が霧の中だったので、そりゃそうなるよね、と思います。

何のためにあるのか
全体像はどうなっているのか
何がアウトプットとして必要か

その後、書籍と格闘しながら手を動かして、専門家の方々から多々サポート頂いた結果、ようやく自分なりの理解が進んでいきました。

内部統制に関わり始めた頃の自分が、上記の点を最初に把握できていればもっとスピーディーに取り組めたなと思います。なので、私なりの理解ですがまずは昔の自分に向けてのまとめを記載してみます！そのうえで、形式的な内部統制の枠組みを超えて、実は大事だと感じたことをお伝えしたいと思います。

注：内部統制に詳しくない方に向けて簡素化して書いています。プロの方から見れば突っ込みどころ満載かと思います。より詳しく原理原則から学びたい方は、ぜひ各種原典や専門書にあたってみてください！

内部統制は何のためにあるの？

すごく簡単に言うと、内部統制は人的ミスや不正を防ぐための仕組みのことです。少し噛み砕くと、ルールを決め、伝え、ルールが守られているか確認できるように記録を取り、ちゃんと運用できているか検証する、というサイクルですね。

中でも、特にフォーカスが当たるのが「財務報告に係る内部統制」です。つまり、開示する財務数値（売上高、営業利益など）に誤りや不正が起きないようにするための仕組みです。

これは管理部門だけでなく、事業部側の業務（顧客への請求、資材の調達などなど）も対象に入ってきます。なので、内部統制は会社だけでなく、所属するメンバーを守るための仕組みでもあります。

で、仕組みって具体的には？って話ですが、たとえば、下記のようなプロセスが仕組み（の一部）の例です。経費の承認は皆さんも身近ですよね。内部統制は実は身近なものなんです。管理部門だけでよしなにやるものではなく、実は非管理系の人たちの業務にもかなり関わってきます。

なお、この経費の承認のように手作業で担保する「マニュアル統制」もあれば、ITシステムで担保する「システム統制」もあります。また、統制をかけるタイミングによって、ミスや不正が起こらないよう事前に対処する「予防的統制」と事後的に検知できるようにする「発見的統制」にも分けられます。

予防的統制は事前に承認を得る形式が主なので、統制の効力は強いですが、何でもかんでも予防的統制でカバーしてしまうとがんじがらめになってしまいます。業務のブレーキになりにくい仕組みを作るには、後で検証して問題がなければOKだよね、という発見的統制もうまく組み合わせるのが大事です。

余談ですが、システムの活用によってモニタリング型の発見的統制はやりやすくなっていくと思うので、より良い仕組みを模索していきたいところです。

上場企業は評価と報告が義務

さて、財務報告に間違いや不正があってはいけないのはどんな会社でもそーだよね、という話ですが、特に重要性が増すのは上場企業です。

なぜなら、上場株式の売買の判断に大きな影響を与える財務報告が信用できないなら、投資家は怖くて株式投資などできないからです。

そのため、上場企業は、自社の内部統制が機能しているか（財務数値が信頼できると言えるか）を評価して報告する「内部統制報告書」を毎年開示することが義務付けられています。そして、監査法人から監査を受け、この報告書にお墨付きを得なければいけません。これがいわゆるJ-SOX（ジェイソックス）＝内部統制報告制度ですね。

ただ、規模や子会社の有無、事業構造などによって求められるものは変わります。上場準備企業の場合、しっかり文書化するのは後述の「その他の業務プロセスの内部統制」が主かと。

また、新規上場企業の場合、内部統制報告書の開示は必要ですが、一定規模以上の企業を除き上場後3年間は内部統制の監査が免除されています。

全体像はどうなっているのか？

上場企業の内部統制（J-SOX対応）の全体像を簡単にまとめました。J-SOX対応に絞って考えると、ゴールは「内部統制が機能しているかを評価しお墨付きを得て報告書にまとめること」です。

ただ、評価すると言っても、会社内の全業務の一挙手一投足を逐一チェックするのは非現実的です。そのため、まずは財務報告への影響の大小（＝重要度）を分析したうえで、全体のうち何を評価対象とするかを絞り込みます。

その後、内部統制の仕組みがまず「整備」されているかを評価します。そして、その仕組みがきちんと継続的に「運用」されているかを評価します。

この整備と運用の評価を行う基本の枠組みは決められていて、図に書いた4つです。

「全社的な内部統制」が抽象的で分かりにくいのですが、たとえば、重要事項は一定の決裁権者が決めることになっているか、とか、何か問題があった時に情報が伝わるようになっているか、など社内規程やそれに準ずるルールがきちんと定められ伝達されているかの確認です。「IT全般統制」も同じようなことを全社のITシステム全般について確認するわけです。

一方、「決算・財務報告プロセスの内部統制」「他の業務プロセス（重要と判定した業務プロセス）の内部統制」はより具体的で、それぞれの業務プロセス全体を分解し細かく評価するものです。たとえば、申請された経費が承認を得ずに精算されたりしていないか、とか、システム連携によって本当に正しい情報が反映されているか、といった点をプロセス内での重要度に応じて確認していくわけですね。

そして、評価結果にもし不備や欠陥があれば是正し、最終的な結果を内部統制報告書としてまとめ、承認と監査証明を得て、開示します。このサイクルを毎年1年通してやり続けるわけです。一回つくれば終わりではなく継続的に改善していくものです。

独りよがりにならないよう監査法人と協議しながら進行

なお、いくら自分たちで「これでOK！」と言っても、監査法人からお墨付きが得られなければ、J-SOX対応としては無意味です（J-SOXとは別で、目的をもって仕組みづくりやその改善を行うことが無意味なわけではもちろんないですが）。

なので、実際に上場企業として内部統制に取り組む際は、上記したステップごとに、監査法人と相談・協議しながら進めていくことが必須です。

何がアウトプットとして必要か？

最初に比べると、内部統制について少しイメージが湧いてきたでしょうか。あとは、やっていくべきことのアウトプットが分かると、何となくやることがイメージできそうです。

これも図にしてみました。監査法人によって多少の差はあるかもですが大きくは変わらないはずです。先述の枠組みごとに、基本文書を作成し、その後、仕組みが整備できているか、運用もできているか、を示すための関連資料（エビデンス）を収集する、というのが大きな流れです。

エビデンスとなる関連資料というのは、たとえば、関係する社内規程やちゃんと必要な承認がされていることが分かる紙やシステム上の記録などですね。

これから内部統制の実務に関わる方は、基本文書といってもどういうものなのかが分からないかもですが、この辺になると書籍などでも具体性が増してくるので見てみましょう。そのままは使えないですが、私はこちらの『内部統制プロジェクト実務ハンドブック』という書籍を見て少し手が動かせるようになりました。そして、こういった基本文書のフォーマットについては、監査法人や外部の専門家に相談するのが吉です。

業務プロセスを把握・俯瞰し見直す良い機会にもなる

整備・運用評価含めて通常一番手間をかけることになるのは、その他の業務プロセスの内部統制だと思います。なぜかと言うと、業務フロー図と業務記述書を作成する際に、事業部側に1ステップずつ何をどうしているかヒアリング等して確認しないといけないためです。

そして、フロー図と業務記述書にRCM（各プロセスのリスクとそれを抑えるための統制方法＝コントロールをまとめた表）が連動している必要があるのですが、これも大仕事になり得ます。

なぜなら、RCMを作ろうとしてみたら、本来は誰かがチェック入れるべきなのに何のチェックもなしで進んでしまうフローになってる、とか、チェックはしてるらしいけど記録が残ってなくて網羅できてるか分からない、といったことに気付くケースがあるためです。

このようにリスクに手が打てていないことに気付いた場合、管理側で統制する方法を編み出すか、事業部を含めて業務プロセス自体を変更しないといけません。

こうなると事業部側との調整コストがかなり上がるのは容易に想像がつきますよね。非管理系の人にとってはめんどくさいかもですが、実は承認や記録はこういう背景で必要になっていることがあるんです。

一方、こういう機会でもないと、重要な業務プロセスでも最初から最後まで関係部署すべての動きをきちんと把握することはなかなかないようにも思います。内部統制のそもそもの目的はミスや不正をなくすことですから、そのために本来利かせておくべき牽制が抜けていることに気づけたのなら儲けものです。

文化が支える内部統制

実は、弊社で内部統制の整備を本格化していく当初もここに不安を覚えていました。弊社はスピードや柔軟性を重視しているため、プロセス内でも確認や承認だらけにならないようにしています。もし統制上で求められる記録や承認が不足していたら、業務プロセス見直しが多数必要になって、組織の生産性を大きく落としてしまうのでは…ととても危惧しました。

しかし、実際はそうなりませんでした。内部統制の評価対象とした業務プロセスのフロー図や記述書を起こしてみると、多くの面で必要なチェックや承認がきちんと規定・実行されていて、多くの記録もシステム上にしっかり残されていました。また、内部統制といってもやり方が決まっているわけではなく、ミスや不正を防ぐことが担保されるならアイデアや考え方次第でやり方に幅も持たせることができます。

そのため、ブラッシュアップや多少の追加・変更が必要な箇所はいくつかあったものの、業務プロセスを大幅に変えないといけないところは出てきませんでした。

デキるチームに助けられる内部統制

弊社で特に素晴らしいなと思ったのは、お客様との手続きや請求といった販売業務プロセスの大部分を担っているオペレーションチームです！

リーダーの指示がないところでも、必要であれば適切なポイントでダブルチェックやGithubなどのシステム上に記録を残すことが徹底されていました。また、かなり細かい業務フローも含めて業務マニュアルが網羅的に作成されていて、それを見に行けばほとんどヒアリングなしでフロー図や記述書が作成できてしまうほどでした。

明文化することで属人化を排除し、ミスや迷うことを減らして生産性を上げるためにプロセスを規定する、という考え方が浸透していることを実感しました。内部統制という意味では大変助けられています。

たまたま読んでいた最近大問題になっている某銀行の調査報告書（PDF）に興味深い一文がありました。

内部統制というのは、リスクの分析や対処の仕組みであるが、所詮人間が実施するものであり、関係者が共謀したり、上司が関与したりすれば、たちまち破られてしまう。したがって、何より統制環境（企業風土）が健全であることが全ての始まりである。

まさに企業風土、文化なんですよね。弊社を見渡すと、上記したようなことがオペレーションチーム以外でもリーダーを中心に基本動作になっているように思います。

内部統制で求められることが、自分たちで合理的に考えて必要と判断して自然にできるような文化は、貴重な資産だと強く感じました。弊社の内部統制はこういった文化に支えられています。

未上場の企業でもオススメの文化づくり

これから上場準備に向かおうという会社さんでも、内部統制はまだ先でも、こういった仕組みづくりやプロセス管理が自然に進むような文化の形成は、早くから行っておくことをオススメしたいです。

たとえば、弊社の例というわけでは必ずしもありませんが、以下のような点が習慣化されていれば、いざ内部統制といった場合でもあまり苦労しないように思います。

CRMに誰がいつ何を入力して各フェーズでどう使うかといったルールをきちんと明文化して徹底する。その中で請求書は誰が何をトリガーとして発行するかも決めている。
上長から承認を取るルールになっているものは承認の記録を必ずシステム上に残すようにする（チャットは遡って探すのが大変なので個人的には別のシステムを推奨）。
定期的に繰り返し行うオペレーションはマニュアルかチェックリストにまとめて運用する。

こうやって書いてみると、内部統制とか関係なく、やるべきことだと思えてきませんか笑？守りだけじゃなく、生産性向上のためにも必要なことだったりしますよね。

最後に

入社してまだ間もない頃、インフラチームのリーダー坂部さんが社内のセキュリティに関する発表で「自分たちの環境は自分たちで守らないといけない」といった趣旨の雄叫びを上げていたのを今でもよく覚えているのですが、内部統制についても全く同じことが言えます。

某銀行のような不正レベルでなくても、内部統制に不備があることが分かると、制限や承認フローが多くなる方向に寄らざるを得なくなります。特に監査を受けて不備や欠陥が指摘されると、特定のフローだけでなく、他のプロセス含め全体的に見方が厳しくなってしまうことすらあります。

そうすると、自由度や柔軟性のある環境がどうしても損なわれていってしまいます。つまり、自分たちで自分たちの首を締めてしまうことになるわけですね。

そうならないために、仕組みやルールを伝え、守るのはもちろんです。加えて、既存のルールで単純に判断できないことや新しい領域で仕組みが未整備のところが出てきても、自然に統制のレベルを保つ動きができる良い文化を維持することがとても大事です。それによって、何でもかんでも承認やガチガチのルールで縛らずに、なるべく性善説に依拠した運営ができます。

弊社においても、そういった文化を大事にすることで、自由度の高い環境をみんなで守っていきたいと強く思っています。また、この文化を共により良いものにしていく仲間も大募集中です！

最後までお読みいただき、ありがとうございました！