内部統制「実施基準」改訂の背景と企業が直面する課題

内部統制の実施基準がなぜ見直されたのか。

その背景には、企業を取り巻く環境の大きな変化と、従来の運用が抱えていた限界があります。

本章では、実施基準改訂の背景にある社会的・制度的な変化と、多くの企業が直面している課題を整理した上で、新基準が何を目的としているのかを解説します。

令和における改訂の変更点

今回の改訂における主な変更点は、大きく分けて「経営者の責任の明確化」「ITへの対応の強化」「報告の信頼性確保の再定義」の3つに集約されます。

全体を通じたテーマは、内部統制を財務諸表の整合性確保に留めず、企業の持続的な成長を支える基盤として捉え直すことにあります。

特に、ガバナンスのあり方が「形式」から「実質」へと大きく転換した点が、今回の改訂の核心といえるでしょう。

経営者の責任の明確化

新基準では、内部統制の整備・運用に関する経営者の役割がこれまで以上に重視されるようになりました。

従来、内部統制は実務レベルの管理部門の仕事として捉えられていましたが、改訂基準では、経営者が自ら組織の風土を形成し、適切な倫理観を浸透させる責任を負うことが明確に示されています。

不祥事が発生した際に「現場の問題」として切り離すことは難しくなり、経営者のリスクに対する姿勢そのものが、外部から厳しく問われるようになります。

報告の信頼性強化

内部統制の目的である「報告」の対象は、単なる財務情報にとどまらず、非財務情報やサステナビリティ関連の開示内容にまで広がっています。

投資家が企業の将来性を判断する際、ESGなどの指標を重視する流れを背景に、これらの報告を支えるプロセスの正当性も、内部統制の対象として強く意識されるようになりました。

虚偽の報告を防ぐためのチェック体制は、より深いレベルで求められています。

中長期的な企業価値の最大化

今回の改訂が目指す目的は、コンプライアンスの遵守そのものではなく、それを通じて「中長期的な企業価値を最大化すること」です。

不祥事によるブランド失墜を防ぎ、効率的な業務プロセスを構築することは、直接的に企業の収益性向上に寄与します。

健全なガバナンスが機能しているという事実は、資本市場において「リスクの低い投資先」としての評価につながります。

内部統制は守りの盾であると同時に、攻めの投資を支える信頼の土台になるのです。

ルールが形骸化する理由｜現場の負担と実例

内部統制のルールが形骸化する背景には、現場の実態と乖離した運用が大きく影響しています。

チェックリストを埋めるだけの作業や、現状に合わない古いマニュアルの放置が形骸化の原因です。

現場が「監査のため」ではなく「業務を楽にするため」の統制であると認識できるようにする必要があります。

監査目的の誤認による形骸化

現場の社員が内部統制を、「監査法人に指摘されないための事務作業」と捉えてしまうと、形骸化は加速します。

本来、内部統制はミスを防ぎ、業務を円滑に進めるための仕組みです。

しかし、「なぜその承認が必要なのか」「なぜその照合作業を行うのか」といった目的が共有されず、単に決まりとして作業をこなすだけになると現場は疲弊し、実効性は失われます。

形式主義が引き起こす不正リスクの増大

皮肉なことに、形式的な管理を過度に強化すると、かえって不正リスクが高まる場合があります。

ルールが現場の実情に合っていない場合、業務を回すためにルールが形だけ守られ、実態としては逸脱が常態化することがあります。

その結果、ルール違反への抵抗感が薄れ、重大な不正を見逃す温床となるおそれがあります。

書類上は整っていても、実際には内容が十分に確認されていない状態こそ、組織にとってもっともリスクの高い状況といえるでしょう。

現場定着を促す現実的な改善アプローチ

形骸化を防ぐためには、トップダウンの命令だけでなく、ボトムアップの視点を取り入れた改善が不可欠です。

現場の意見を吸い上げ、「このチェックは本当に必要か」「より効率化・自動化できないか」という議論を、継続的に行う必要があります。

現場が「この統制によってミスが減り、業務が楽になった」と実感できる状態を作ることが、内部統制の定着への近道になるでしょう。

組織の透明性が経営の安定に直結する理由

不祥事の防止だけでなく、プロセスの可視化は経営判断の迅速化をもたらします。

透明性が高い組織は市場からの信頼も厚く、結果として資金調達コストの低減やブランド価値の向上に寄与します。

ガバナンス強化は市場からの信頼を高める

投資家や金融機関は、企業の数字だけでなく、その数字がどのようなプロセスで生成されているかという「プロセスの質」を重視します。

ガバナンスが強化され、内部統制が機能していることが客観的に証明できれば、市場からの信頼は揺るぎないものになります。

これは株価の安定や、ステークホルダーとの良好な関係維持に欠かせない要素です。

透明性の向上は資金調達やブランド価値に影響する

近年の資本市場では、非財務情報の透明性が資金調達コスト（金利など）に影響を与えるケースが増えています。

また、一度でも大きな不祥事を起こせば、長年築き上げたブランド価値は大きく毀損します。

強固な内部統制は、こうしたリスクを未然に防ぐための備えであると同時に、ブランドという無形資産を守るための戦略的投資でもあるのです。

情報共有の円滑化は経営判断を加速させる

「統制」という言葉には制約のイメージがありますが、実際には実務効率と意思決定のスピード向上に寄与します。

業務プロセスが可視化され、誰が何をしているかが明確になれば、無駄な確認作業が減り、意思決定までの時間を短縮できます。

また、リスクの所在が明確であれば、経営者は許容範囲を踏まえた判断を迅速に行うことができ、結果として経営の機動力が高まるのです。

形骸化を防ぐ鍵は、形式的な管理に終始するのではなく、実際にリスクが存在する領域を見極め、そこに経営資源を重点的に配分することにあります。

本章では、「リスク評価」と「コントロール活動」の本質について、実施基準の考え方を踏まえながら整理し、実務にどのように落とし込むかを解説します。

動的なリスク評価の実施プロセス

リスクは一度評価すれば終わりではなく、時間の経過とともに変化し続けるものです。

サイバーリスクやサプライチェーンの動向など、常に変わる外部環境を捉え、評価を更新し続ける動的な体制が求められています。

ビジネス環境の変化を的確に捉える

経営環境の変化をリスク評価に反映させるためには、現場や市場の動向をタイムリーに把握することが重要です。

例えば、新たな海外市場への進出や新規事業の立ち上げ、M&Aの実施などは、既存の統制環境に大きな影響を与える要因となります。

こうした変化が生じた際には、年次の評価を待つのではなく、その都度リスクを見直し、必要なコントロールを再設計する柔軟性が求められます。

サイバー攻撃や地政学リスクを分析・評価する

近年、財務報告の信頼性に影響を及ぼすリスクとして、サイバー攻撃や地政学リスクの重要性が高まっています。

システム障害や情報漏えいが発生すれば、事業継続に支障をきたすだけでなく、財務データの正確性にも影響が及びます。

これらをIT部門だけの問題とせず、全社的なリスク評価の重要項目として位置づけ、具体的なシナリオに基づく影響度の分析が不可欠です。

リスク評価結果を業務プロセスに組み込む

特定されたリスクは、単にリスト化するだけでは不十分です。

重要なのは、それを日々の業務プロセスの中でどのようなコントロールとして具体化するかです。

リスクが高い領域にはダブルチェックや自動照合といった強固な統制を配置し、リスクが低い領域は簡素化するなど、メリハリのある設計が求められます。

こうした統制を業務フローに自然な形で組み込むことが、内部統制の実効性を高めるポイントとなります。

コントロール活動の簡素化と効率化

すべての業務に一律で厳格な統制を適用することは、必ずしも効率的ではありません。

重要度に応じた「強弱」をつけ、標準化できるプロセスは積極的にマニュアル化・自動化することが改訂基準でも推奨されています。

重要プロセスへのリソース最適配分

すべての伝票を承認者が目視で確認するのは、リソースの無駄であるだけでなく、見落としの原因にもなります。

一定金額以下の取引や定型取引については、システムによる自動承認やサンプルチェックへの切り替えが有効です。

これにより、限られたリソースを非定型な取引や高額な投資判断といった、リスクの高い重要プロセスへ集中させることができます。

業務のマニュアル化と自動化

属人的な業務は、担当者の不在や交代時にリスクとなります。

業務の標準化とマニュアル化は、内部統制の基本ですが、現代ではさらに一歩進んだ「自動化を前提としたプロセス設計」が求められます。

RPAなどを活用して照合作業やデータ転記を自動化することで、ヒューマンエラーを抑制し、統制の質と業務効率を同時に高めることが可能です。

属人化の排除

特定の個人しか把握していない手順やローカルルールが存在する状態は、不正やミスの温床となります。

内部統制の整備を通じて業務のブラックボックスを解消し、誰もが同じ基準で業務を遂行できる環境を整えることが重要です。

これは統制強化にとどまらず、組織の柔軟性や事業承継の観点からも重要な取り組みといえるでしょう。

経営者による評価と監査人の役割

経営者が自ら統制の有効性を評価する際、監査人との適切な対話が不可欠です。

相互の理解を深めることで、過剰な確認作業を抑え、本質的なリスク対応に注力できる環境が整います。

外部監査人との建設的な対話と信頼関係の構築

経営者は監査人に対し、自社のリスク認識や統制の設計について積極的に説明し、理解を得ることが求められます。

監査人も、形式的な不備の指摘にとどまらず、その不備がビジネスに与える実質的なリスクを重視する姿勢が必要です。

証跡のデジタル化による監査対応工数の削減

監査対応のために現場が本来の業務を中断し、資料作成に追われる状況は避ける必要があります。

日々の業務の中で証跡（エビデンス）が自然にデジタルデータとして蓄積される仕組みを整備することで、監査時の資料提出は円滑かつ効率的になります。

デジタル変革時代のIT統制とプロセス管理

最新の実施基準では「ITの利用」が独立した重要項目として位置づけられています。

本章では、ITを単なる業務ツールとしてではなく、「統制を高度化する基盤」として捉える視点を整理します。さらに、デジタル変革時代に求められるIT統制の考え方と、プロセス管理にどのように生かすべきかを解説します。

IT基盤の信頼性確保と自動統制の導入

手作業によるチェックは、ミスや抜け漏れを誘発する要因となります。

ERPなどのシステムによる自動照合やワークフローの導入は、不正防止と業務効率を両立させる「攻めの統制」です。

証跡の自動蓄積による内部統制の強化

ワークフローシステムやERPを活用することで、「誰が・いつ・何を承認したか」といったログが自動的に記録されます。

これにより、紙の伝票を探したり、承認記録を後から補完したりといった非効率な作業を削減できます。

信頼を担保するITインフラの設計

ITを活用した統制を機能させるためには、その基盤となるインフラ自体の信頼性が不可欠です。

システム停止やデータ毀損を防ぐためのバックアップ体制、障害発生時の復旧手順が整備されていることが前提となります。

クラウドサービスの利用が一般的となった現在では、サービス提供ベンダーの統制状況を評価・監査することも、重要な管理ポイントとなります。

サイバーセキュリティを内部統制に組み込む

情報漏えいは財務報告の信頼性に直結する重要なリスクです。

システム環境の変化に合わせ、ID管理やアクセス制限といったIT全般統制（ITGC）の継続的な見直しが、新基準下では強く求められます。

情報漏えいリスクと財務報告の信頼性の相関

顧客情報などの個人情報が漏えいした場合、多額の賠償や社会的信用の低下を招くだけでなく、対応コストの増大により財務諸表にも大きな影響を及ぼします。

不正アクセスによって売上データなどが改ざんされれば、開示情報の信頼性は根底から揺らぎます。

サイバーリスクは財務リスクの一部として捉え、適切な防御体制を構築することが不可欠です。

ID管理体制の再点検と強化

IT統制の基本は、「誰に・どの権限を与えるか」というアクセス管理にあります。

退職者のIDが残存している場合や、一人のユーザーが承認と実行の両方の権限を持つ状態は、不正のリスクを高めます。

多要素認証の導入や権限の定期的な棚卸しを行うことで、不正の発生リスクを未然に低減することが可能です。

変化し続ける規制環境への適応

法改正のたびにマニュアルを作り直す従来の対応には限界があります。

変化に柔軟に対応できるプラットフォームを構築し、プロセスの変更を迅速に全体へ反映できる体制が、DX時代の内部統制の理想形です。

規制変更を即時に業務フローへ反映する仕組みの構築

DXの利点は、ビジネスの俊敏性向上だけではありません。

プロセス変更が必要となった際に、システム設定を更新するだけで組織全体の業務プロセスを一括で反映できる点にあります。

変更管理プロセスをデジタル化することで、規制適応のスピードと正確性を大きく高めることが可能です。

DX活用による業務プロセスの効率化

AIを用いた異常検知により、膨大な取引データの中から不正の兆候を自動的に抽出できます。

これにより、全件チェックに依存する必要がなくなり、専門人材はリスクの高い項目の分析に集中することが可能です。

DXは、内部統制を単なる負担業務から、高度な監視・分析基盤へと進化させる役割を担います。

法規制の継続的モニタリング体制の自動化

規制情報は継続的に更新されるため、従来の手作業による情報収集では対応が追いつかない場合もあります。

リーガルテックなどの外部ツールを活用し、自社に関連する規制変更を自動でモニタリングする体制を整備することが重要です。

これにより対応の遅れを防ぎ、常に最新の法規制に準拠した統制状態の維持が可能になります。

内部統制を攻めのガバナンスへ刷新するステップ

理論として理解した内部統制を、いかに実務へ落とし込み、企業価値の向上につなげるかが重要なポイントです。

従来の内部統制は「リスクを防ぐための守りの仕組み」として捉えられてきましたが、これからは意思決定の質を高める「攻めのガバナンス」としての活用が求められています。

本章では、内部統制を「守り」から「攻め」へと転換するための具体的なアクションと、その実現を支えるソリューション活用のポイントについて解説します。

現状診断による形骸化レベルの可視化

まずは、既存のルールや運用が実態とどの程度乖離しているかを棚卸しします。

形骸化している箇所を特定することで、限られたリソースをどこに優先的に投入すべきかが明確になります。

現場ヒアリングによる形骸化したルールの洗い出し

最初に行う必要があるのは、現在の内部統制がどの程度機能しているかを把握する「健康診断」です。

マニュアルを確認するだけでは実態は見えてきません。

現場のキーマンへのヒアリングを通じて、実際には実施されていない手順や、意味を見いだされていないチェック作業を洗い出します。

現場の不満や違和感の中にこそ、形骸化のヒントが隠されています。

刷新対象プロセスの優先順位づけ

洗い出した結果をもとに、影響度やリスクの大きさを踏まえ、刷新すべきプロセスの優先順位を設定します。

継続的なモニタリング体制の構築

内部統制は「一度作れば終わり」ではありません。

PDCAサイクルを継続的に回し、異常値を検知した際に迅速に是正できるモニタリング体制が、持続的な企業価値の向上を支えます。

データ分析を活用した異常値の早期検知

蓄積されたデータを活用し、リアルタイム分析を行うことで、通常とは異なる異常値を検知した段階でアラートを発する「継続的モニタリング」への移行が重要です。

これにより、問題が深刻化する前に対処できる、予防的な統制の実現につながります。

内部監査部門の役割変革と経営へのフィードバック強化

内部監査部門は、単なる指摘にとどまる組織であってはなりません。

改善のアドバイザーとして現場の課題を経営層にフィードバックし、リソース配分の見直しやプロセス改善を提言する役割を担うことが求められます。

監査結果を経営戦略に生かすことで、内部統制は経営の質を高める機能となります。

PDCAサイクルを継続的に回すためのKPIの設定

内部統制の有効性を測定するための指標（KPI）を設定することも有効です。

エラーの発生率、承認プロセスに要する時間、監査指摘件数の推移などを定量的に把握することで、統制の改善状況を可視化し、改善活動の継続と組織全体の意識向上につなげることができます。

まとめ

今回の実施基準改訂は、単なる形式的な変更ではなく、企業価値向上に向けた「攻めのガバナンス」への転換を求めるものです。

従来のような規制対応を目的とした受動的な体制から、リスクと機会を的確に捉え、経営判断の質を高める能動的なガバナンスへの移行が重要となります。

その実現にあたっては、最新のITツールの活用が不可欠です。

業務プロセスの簡素化や自動化を推進することで、規制対応の迅速化と効率化が図られるだけでなく、データに基づく透明性の高い経営の実現にもつながるでしょう。

よくある質問（FAQ）

Q1：令和5年の実施基準改訂、具体的にいつまでに対応が必要ですか？

A1：2024年（令和6年）4月1日以降に開始する事業年度から適用されます。

3月決算の企業であれば、2025年（令和7年）3月期の内部統制報告書から新基準に基づいた評価が求められます。

Q2：小規模な組織でもリスク評価は必要でしょうか？

A2：実施基準では「組織の規模や特性に応じた運用」が認められています。

すべての項目を一律に実施するのではなく、事業への影響が大きい重要リスクを特定し、そこにリソースを集中させる柔軟な設計が推奨されます。

Q3：内部統制をシステム化するメリットは何ですか？

A3：「証跡の自動保存」と「ヒューマンエラーの排除」です。

手動でのログ収集やExcel管理による転記ミスを削減し、監査対応工数の削減につながるだけでなく、不正が起きにくい環境を構築できる点がメリットです。