内部統制とは、会社の不正・誤り・法令違反を合理的な範囲で予防し、問題が起きたときに早期発見・是正できるよう、日常業務に組み込む仕組みです。規程やマニュアルを作るだけでは足りず、承認、職務分掌、報告、記録、監査、改善まで実際に機能させる必要があります。
注意すべきなのは、会社法上の「内部統制システム」と、金融商品取引法上の財務報告に係る内部統制(J-SOX)では、目的・対象・手続が異なることです。上場会社は両方を整合させる必要があり、非上場会社も、会社の規模や事業リスクに応じた体制を整えなければ、取締役の監督責任や善管注意義務が問題になることがあります。
この記事では、内部統制の意味、会社法と金融商品取引法の違い、対象会社、整備・運用・評価の進め方を、経営者・取締役・法務担当者向けに整理します。危機発生後の対応全体は、企業不祥事への対応と危機管理の実務もご確認ください。
- 内部統制は日常業務に組み込んで運用するプロセスである
- 会社法は業務全般、J-SOXは財務報告の信頼性が中心となる
- 大会社や上場会社等では法令上の対応が必要になる
- 規程だけでなく権限分離・証拠・モニタリングまで設計する
- 不備を発見した後の是正と取締役会への報告が重要である
坂尾陽弁護士
執筆者:弁護士 坂尾 陽(企業法務・M&A担当)
Contents
企業法務の無料法律相談実施中!
- 0円!完全無料の法律相談
- 弁護士による無料の電話相談も対応
- お問合せは24時間365日受付
- 土日・夜間の法律相談も実施
- 全国どこでも対応いたします
内部統制とは|4つの目的と6つの基本的要素
金融庁の「財務報告に係る内部統制の評価及び監査の基準」は、内部統制を、4つの目的が達成されているとの合理的な保証を得るため、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスと整理しています。内部統制は管理部門だけの仕事ではなく、経営者、取締役会、各部門、内部監査、従業員がそれぞれの業務で担うものです。
| 目的 | 実務上の意味 |
|---|---|
| 業務の有効性・効率性 | 目標を達成しながら、人員・時間・コストを合理的に使う |
| 報告の信頼性 | 財務情報だけでなく、経営報告や非財務情報を含む報告の正確性を確保する |
| 法令等の遵守 | 法令、定款、社内規程、契約その他の規範に沿って業務を行う |
| 資産の保全 | 現預金、在庫、知的財産、データ等を正当な手続と承認の下で取得・使用・処分する |
この4つの目的を支えるのが、次の6つの基本的要素です。どれか一つだけを強化しても、内部統制全体が有効に機能するとは限りません。
- 統制環境:
経営者の姿勢、倫理観、組織構造、人事・評価、権限と責任など、社内の土台を整えます。 - リスクの評価と対応:
目標達成を妨げるリスクを特定・分析し、回避、低減、移転又は受容の方針を決めます。 - 統制活動:
承認、照合、職務分掌、アクセス制御、棚卸しなど、リスクへの対応を具体的な手続にします。 - 情報と伝達:
必要な情報が、必要な人へ、適時・正確に届く報告経路をつくります。 - モニタリング:
日常的な確認や内部監査により、統制が設計どおり機能しているかを評価し、改善します。 - ITへの対応:
システム、クラウド、外部委託、権限、変更管理、ログ、バックアップ等を適切に管理します。
内部統制は、不正や誤りを絶対にゼロにする制度ではありません。判断ミス、担当者間の共謀、想定外の取引、経営者による統制無視などの限界があるため、費用と便益を踏まえて重大リスクを合理的な水準まで抑えることを目指します。
会社法上の内部統制と金融商品取引法上のJ-SOXの違い
「内部統制」という言葉は、会社法と金融商品取引法で重なる部分があるものの、同じ制度ではありません。違いを理解せず、J-SOXの文書だけを整えれば会社法上の対応も終わると考えると、コンプライアンス、労務、子会社、不正調査などの重要リスクが抜けるおそれがあります。
| 項目 | 会社法 | 金融商品取引法・J-SOX |
|---|---|---|
| 主な目的 | 会社及び企業集団の業務の適正を確保する | 財務報告の信頼性を確保する |
| 主な対象 | 法令遵守、リスク管理、情報管理、業務効率、子会社管理、監査体制等 | 財務諸表とその信頼性に重要な影響を及ぼす開示に関する統制 |
| 責任主体 | 機関設計に応じて取締役、取締役会等が基本方針を決定し、経営者が運用する | 経営者が整備・運用・評価し、内部統制報告書を提出する |
| 外部監査 | 会社法監査の中で内部統制の整備・運用状況が監査上考慮される | 原則として財務諸表監査と一体で内部統制監査を受ける |
| 実務上の重点 | 組織全体のガバナンスと重大リスクへの対応 | 評価範囲、統制上の要点、証拠、開示すべき重要な不備の判定 |
会社法上の内部統制システムは、条文上「業務の適正を確保するために必要な体制」と表現されています。これに対し、J-SOXは、広い内部統制のうち財務報告に係る部分を経営者が評価し、その結果を外部へ報告する制度です。
J-SOXの評価対象外となった業務でも、贈収賄、個人情報、品質、安全、ハラスメント、反社会的勢力、子会社不祥事など、会社法上又は経営上の重要リスクであれば、別途統制を整備する必要があります。
内部統制システムの整備義務がある会社
会社法上の大会社
会社法上の「大会社」は、最終事業年度の貸借対照表で、資本金として計上した額が5億円以上、又は負債の部の合計額が200億円以上の株式会社です。日常用語の「大企業」とは基準が異なります。
大会社は、機関設計に応じて、取締役又は取締役会等が内部統制システムの基本方針を決定しなければなりません。取締役会設置会社である大会社については、会社法362条5項が、取締役会による決定義務を明記しています。監査等委員会設置会社や指名委員会等設置会社には、それぞれ対応する規定があります。
上場会社等とJ-SOX
金融商品取引法上は、有価証券報告書提出会社のうち法令上の対象となる会社が、事業年度ごとに財務報告に係る内部統制を評価し、内部統制報告書を提出します。実務上は主に上場会社等が対象であり、IPOを予定する会社では、上場申請より前から制度設計、運用実績、評価証拠の蓄積を進める必要があります。
中小企業・非上場会社にも内部統制は必要
大会社やJ-SOX対象会社でないからといって、何も整備しなくてよいわけではありません。現預金を一人で管理している、契約締結権限が曖昧、退職者のシステム権限が残る、子会社から重大情報が上がらないといった状態を放置すると、会社の損害だけでなく、取締役の善管注意義務・監視義務が問題になる可能性があります。
大会社該当性は、単純に現在の資本金や借入額だけで判断せず、「最終事業年度に係る貸借対照表」を基準とする会社法上の定義と、自社の機関設計を確認してください。
会社法上の内部統制システムで整えるべき事項
取締役会設置会社では、会社法362条4項6号と会社法施行規則100条を中心に、会社及び企業集団の業務の適正を確保する体制を設計します。監査機関に関する細部は会社の機関設計によって異なりますが、実務上の中心は次のとおりです。
- 取締役の職務執行に関する情報の保存・管理:
取締役会資料、議事録、稟議、契約、重要な調査記録を検索可能な状態で保存します。 - 損失の危険の管理:
事業、財務、法務、労務、品質、情報セキュリティ、災害等のリスクを特定し、責任部署と報告基準を定めます。 - 取締役の職務執行の効率性:
業務分掌、職務権限、予算、会議体、決裁基準を整理し、過剰な集中と意思決定の停滞を防ぎます。 - 使用人の法令・定款適合性:
行動規範、教育、相談・通報窓口、懲戒、調査及び是正の仕組みを設けます。 - 企業集団の業務の適正:
子会社からの報告、リスク管理、重要事項の承認、内部監査、コンプライアンスをグループで設計します。 - 監査機関を支える体制:
監査役等への報告、補助者の独立性、報告者への不利益取扱い防止、監査費用の処理等を整えます。
基本方針には抽象的な理念だけを書くのではなく、実際の組織、責任者、会議体、報告頻度、例外処理を反映させます。基本方針と規程、組織図、現場運用が食い違っていれば、「整備した」と説明しても実効性は乏しくなります。
中堅・非上場会社が内部統制を整備する6つの手順
内部統制の整備は、上場会社の文書をそのまま移植するより、自社の重大リスクから逆算する方が実効的です。限られた人員でも、次の順序で進めれば優先順位を付けられます。
- 経営方針と対象範囲を決める
経営者が目的を示し、対象会社、事業、拠点、業務及び責任者を決めます。内部統制を経理部だけに任せないことが重要です。
- 業務と重大リスクを棚卸しする
売上、購買、支払、在庫、給与、契約、情報システム、子会社等の業務を並べ、発生可能性と影響度でリスクを評価します。
- 予防統制と発見統制を設計する
承認や権限分離で問題を防ぐ統制と、照合、ログ確認、棚卸し、例外レポート等で問題を発見する統制を組み合わせます。
- 責任・頻度・証拠を決める
誰が、いつ、何を確認し、異常時に誰へ報告し、どの資料を証拠として保存するかを明確にします。
- 試行して運用上の無理を直す
現場で試し、承認の集中、形骸化、二重入力などを修正します。守れない規程を放置せず、リスクと効率の両面から見直します。
- 定期評価と是正を行う
自己点検、内部監査、事故・通報、システムログ等から不備を把握し、期限と責任者を定めて是正し、取締役会へ報告します。
他社の規程をコピーし、現場が知らないまま保管するだけでは内部統制は機能しません。規程、実際の承認経路、システム権限、保存される証拠が一致しているかを確認してください。
小規模な会社では、まず、支払の二重承認、銀行口座・印章・取引先マスタの管理、契約の一元保存、退職時の権限停止、月次の残高照合、内部通報の報告経路など、損害が大きくなりやすい領域から着手する方法が現実的です。
業務別に見る内部統制の具体例
統制は「チェックする」という抽象語ではなく、リスクと対応が結び付くように設計します。代表例は次のとおりです。
| 業務領域 | 主なリスク | 統制の例 |
|---|---|---|
| 売上・債権 | 架空売上、無断値引き、回収遅延 | 受注・納品・請求の照合、与信限度、値引承認、滞留債権レビュー |
| 購買・支払 | 架空業者、キックバック、重複支払 | 取引先登録と発注・検収・支払の権限分離、口座変更の再確認 |
| 在庫・固定資産 | 横領、過大計上、滞留・廃棄漏れ | 実地棚卸し、保管者と記録者の分離、評価・廃棄の承認 |
| 会計・開示 | 誤仕訳、決算操作、開示漏れ | 決算手順、仕訳承認、勘定照合、例外取引の経営者レビュー |
| 人事・労務 | 架空従業員、ハラスメント、法令違反 | 採用・給与・退職の権限分離、勤怠確認、相談・通報と是正 |
| IT・情報 | 不正アクセス、情報漏えい、データ消失 | 最小権限、多要素認証、変更管理、ログ監視、バックアップと復旧訓練 |
| 子会社 | 重大情報の未報告、現地不正、無断取引 | 報告基準、事前承認事項、月次モニタリング、内部監査、グループ通報窓口 |
同じ統制でも、売上規模、取引件数、海外拠点、現金取扱い、システム依存度によって必要な強さは変わります。すべての取引を役員が承認するのではなく、高額取引、例外取引、新規取引先などに絞って重点的に統制することが、効率性との両立につながります。
取締役会・経営者・内部監査の役割
内部統制の責任を内部監査部門へ丸投げすることはできません。整備・運用する側と、独立して評価する側を分けることが重要です。
| 関係者 | 主な役割 |
|---|---|
| 取締役会 | 基本方針を決定し、経営者による整備・運用・是正を監督する |
| 経営者 | 組織全体の最終責任を負い、体制、資源、責任者を定めて運用する |
| 事業部門 | 日常業務の中で統制を実行し、異常や例外を報告する |
| 法務・コンプライアンス・リスク管理 | 規程、助言、研修、モニタリングを通じて事業部門を支援・牽制する |
| 内部監査 | 整備・運用状況を独立した立場で評価し、改善を促す |
| 監査役等 | 取締役の職務執行の監査として内部統制を監視・検証する |
内部統制と内部監査の違い
内部統制は、組織全体が業務の中で行う仕組みです。これに対し、内部監査は、その仕組みが適切に設計され、実際に機能しているかを評価する活動です。内部監査担当者が少ない会社では、リスクの高いテーマに絞る、他部門との相互点検を組み合わせる、外部専門家を利用するなど、独立性を損なわない方法を検討します。
企業集団の内部統制|子会社・公益通報・反社対応
企業グループでは、親会社の規程を配布するだけでは不十分です。子会社の規模、地域、事業、法規制、管理人員に応じて、報告・承認・監査の仕組みを設計する必要があります。
- 子会社管理:
重要事項の事前承認、月次報告、異常値の確認、現地監査、親会社へのエスカレーションを設計します。詳しくは子会社管理・海外子会社管理の実務をご覧ください。 - 公益通報・内部通報:
秘密保持、利益相反の排除、通報者保護、調査、是正、フィードバックを一連の手続にします。受領後の実務は公益通報を受けた企業の対応で解説します。 - 反社会的勢力の排除:
契約前調査、定期確認、反社条項、疑義時の報告、判明後の安全な対応を定めます。具体的な方法は反社チェックの方法と企業対応をご確認ください。 - 重大事案の調査:
経営陣関与、会計不正、社会的影響が大きい事案では、通常の内部監査とは別の独立した調査体制が必要になることがあります。詳しくは第三者委員会報告書と不祥事調査の実務をご覧ください。
グループ統制では、子会社からの定例報告だけでなく、「どの事象を、何時間・何日以内に、誰へ報告するか」という臨時報告基準が重要です。事故、当局照会、内部通報、会計異常、情報漏えい等の速報ルールを明確にしておきましょう。
J-SOXの整備・評価で押さえる実務ポイント
J-SOXでは、経営者が財務報告に係る内部統制を整備・運用し、期末日を基準として有効性を評価します。一般的な流れは次のとおりです。
- 全社的な内部統制と決算・財務報告プロセスを把握する
- 金額的・質的重要性と発生可能性を踏まえて評価範囲を決める
- 業務プロセスとリスク、統制上の要点を特定する
- 統制の整備状況と運用状況を証拠に基づいて評価する
- 不備の影響を検討し、開示すべき重要な不備か判断する
- 是正状況を確認し、内部統制報告書を作成する
業務記述書、フローチャート、リスク・コントロール・マトリクスは、実務でよく使われる整理手段ですが、形式を作ること自体が目的ではありません。取引やシステムが変わったときに更新され、評価証拠へたどれる状態であることが重要です。
令和6年4月施行の改正内部統制府令では、評価範囲を決定した手順・方法・根拠等の記載が重視されています。金融庁の令和7年度有価証券報告書レビューでも、重要な事業拠点の選定に用いた指標や割合について「決定した事由」が不明瞭な例が課題として示されました。売上高の一定割合を機械的に当てはめるだけでなく、自社の金額的・質的リスクに即した理由を記録する必要があります。
最新の基準は、金融庁の財務報告に係る内部統制の評価及び監査の基準・実施基準と、令和7年度有価証券報告書レビューの審査結果で確認できます。
内部統制システムと取締役責任|大和銀行事件の教訓
大阪地裁平成12年9月20日判決は、大和銀行ニューヨーク支店の行員が長期間にわたり無断取引等を行い、巨額の損失が生じた事案で、内部統制システムの構築や監視に関する取締役の責任が争われた裁判例です。判決は、取引部門と事務管理部門の分離、証券残高の確認、監査・報告体制などを具体的に検討し、取締役らの一部について善管注意義務・忠実義務違反を認めました。
この裁判例からは、規程や監査担当者が存在するだけでなく、不正を行う担当者が確認資料や報告経路まで支配できない仕組みにすること、異常な取引量や外部からの指摘を放置しないこと、担当取締役と取締役会が運用状況を継続的に監督することの重要性が分かります。
- 取引実行・記録・決済・照合を同一人物に集中させない
- 残高確認は独立した経路から直接入手した資料で行う
- 例外取引や異常値を経営層までエスカレーションする
- 外部監査や検査を受けた事実だけで安全と判断しない
- 発見した不備は期限と責任者を決めて是正する
取締役の監視義務や会社法423条の責任要件は、取締役の善管注意義務と任務懈怠の解説も参考になります。
内部統制が形骸化している会社のチェックポイント
次の兆候がある場合は、規程の有無ではなく、運用実態から見直す必要があります。
- 決裁権限を超える例外処理が常態化している
- 承認者が内容を確認せず形式的に押印・クリックしている
- 一人の担当者が取引先登録、発注、検収、支払まで行える
- 退職者・異動者のシステム権限が速やかに変更されない
- 子会社の異常値や内部通報が親会社取締役会へ届かない
- 内部監査の指摘が繰り返されても改善期限が設定されない
- 事故発生後に証拠保全、調査、当局報告の責任者が決まらない
改善では、すべての不備を同じ優先度で扱わず、想定損失、法令違反、社会的影響、発生可能性、既存の代替統制を踏まえて順位付けします。重大な不備は、暫定措置と恒久措置を分け、取締役会が完了まで追跡できる管理表を用意すると実効性が上がります。
内部統制に関するよくある質問
内部統制はすべての会社に法的義務がありますか
会社法上の明確な決定義務やJ-SOXの報告義務は、会社の規模・機関設計・有価証券報告書提出義務等によって異なります。ただし、対象外の会社でも、規模や事業リスクに応じた合理的な体制を整えなければ、取締役の善管注意義務・監視義務が問題になる可能性があります。
規程やマニュアルを作れば内部統制は完成しますか
完成しません。現場への周知、権限設定、承認・照合、証拠保存、モニタリング、不備の是正まで機能して初めて、内部統制が運用されているといえます。事業やシステムの変更に合わせた更新も必要です。
内部統制とコンプライアンスの違いは何ですか
コンプライアンスは、内部統制が達成しようとする目的の一つです。内部統制は法令遵守だけでなく、業務の有効性・効率性、報告の信頼性、資産の保全も含む、より広い仕組みです。
内部監査部門を必ず設置する必要がありますか
会社の規模・法令・上場準備状況等によって必要性は異なります。ただし、整備・運用する担当者とは別の立場から評価する機能は重要です。専任部署が難しい場合も、監査責任者の明確化、テーマ監査、外部専門家の利用などを検討します。
内部統制の整備を弁護士へ相談するのはどのような場面ですか
法令違反リスクの洗い出し、取締役会決議・規程の整備、内部通報、子会社管理、不正調査、役員責任、当局対応が関係する場面では、会計・ITの担当者と連携して弁護士へ相談する意義があります。事故発生後だけでなく、重大リスクの優先順位を決める段階で相談すると予防につながります。
まとめ|内部統制は整備・運用・評価・改善を循環させる
内部統制は、会社を縛るための書類ではなく、適切なリスクテイクと持続的な事業運営を支える仕組みです。会社法とJ-SOXの違いを踏まえ、自社の規模、事業、グループ構造、IT環境に合う形で設計する必要があります。
- 会社法は業務全般、J-SOXは財務報告の信頼性が中心となる
- 大会社・上場会社等では対象法令に沿った対応が必要になる
- 重大リスクから権限、手続、証拠、報告経路を設計する
- 内部監査は内部統制を独立して評価し、改善を促す
- 不備は取締役会が是正完了まで継続的に監督する
内部統制の見直しでは、基本方針や規程だけでなく、決裁権限、システム権限、取締役会資料、内部監査結果、通報・事故記録を横断して確認することが大切です。重大な不備や不祥事の兆候がある場合は、証拠が失われる前に初動と調査体制を検討してください。
坂尾陽弁護士
関連記事
内部統制の平時運用、子会社・通報・反社対応、不祥事発覚後の調査については、次の記事も参考になります。
企業法務の無料法律相談実施中!
- 0円!完全無料の法律相談
- 弁護士による無料の電話相談も対応
- お問合せは24時間365日受付
- 土日・夜間の法律相談も実施
- 全国どこでも対応いたします