現代の企業経営では、ステークホルダーとの良好な関係が重要視されています。ステークホルダーとの関係を良好に保つには、業務が効率的かつ適正に進められていることや、財務の健全性を証明しなくてはなりません。これら種々の課題に対応するのが内部統制の役割です。一方、内部統制は企業に少なからず負担を強いるものです。そこで、ITツールの活用により、効率よく内部統制を強化していく方法を検討してみましょう。
内部統制とは?2つの内部統制の違い
まず、日本国内における内部統制を簡単に整理しておきましょう。内部統制には「会社法ベースの内部統制」と「金融商品取引法(J-SOX)による内部統制」の2種類があります。
会社法ベースの内部統制
目的
会社法ベースの内部統制とは、会社法362条4項6号による「取締役の職務の執行が法令および定款に適合することを確保する体制」とされています。つまり、企業の幹部層(取締役)に対して、自社の業務が適正に実行され、ステークホルダーに損害を与えることがないような仕組みづくりを義務付けているのです。
対象
会社法ベースの内部統制は、大会社(資本金5億円以上、または負債200億円以上)に対して義務付けを行っています。ちなみに業務の内容などについては、具体的に明記されていません。
実現方法
会社法では内部統制の実現方法について特に具体的なルールを設定していません。ただし、一般的には、「法令や定款への適合」「取締役の職務執行に関する情報の保存・管理」「業務を効率よく進めるための仕組み」などを定めるケースが多いでしょう。また、これらを実現するためにICTツールを活用する方法もあります。
J-SOX(金融商品取引法)ベースの内部統制
目的(4つの目的と6つの要素)
J-SOXに準じた内部統制では、4つの目的と6つの要素が設定されています。まず目的から見ていきましょう。
- 業務の有効性と効率性
- 財務報告の信頼性
- 関連法規の遵守
- 資産の保全
また、6つの要素としては以下が該当します。
1.統制環境
組織の気風を決定し、統制に対する意識の基盤となるもの。
2.リスクの評価と対応
組織目標の達成を阻害するリスクを識別し、分析・評価することで、適切な対応を行う過程。
3.統制活動
不正などのリスクを低減するために、経営者の指示・命令の適切な実行を確保する。また、そのための方針を設定し、担当者への権限及び職責の付与、職務の分業などを進める。
4.情報と伝達
経営が適正に行われるために必要な情報の識別・把握を進め、情報を適切に処理し、組織内外及び関係者相互に正しく伝えること。
5.モニタリング
内部統制が機能していることをチェックし、継続的に評価するプロセス。
6.ITへの対応
組織目標を達成するために予め適切な方針及び手続を定め、これらを踏まえた上で組織内外のITに適切に対応すること。
対象
J-SOXによる内部統制の対象となるのは、金融商品取引所に上場しているすべての企業です。また、子会社や関連会社、外部委託先なども対象になります。
実現方法
J-SOXによる内部統制の実現は、一般的に実施基準ベースで進められます。実施基準とは前述の6つの要素それぞれに設定された項目のことです。合計で42の項目が例として提示されており、これを基準として内部統制のためのルールを策定していくことになります。会社法ベースの内部統制とは異なり、各要素に具体的な基準が存在していることが特徴です。
ちなみにITへの対応については、「IT全般統制」「IT業務処理統制」という2つの項目への対応が必須とされています。
IT全般統制とは、「システムの開発や運用」「保守時の変更管理」「ID管理」「セキュリティ対策によるアクセスと安全性の確保」「外部委託時の契約」などITに関する全般的なルール作りを指しています。これに対し「IT業務処理統制」では、各システムの構築・運営・管理方法についてのルールを提示しています。
コロナ禍を機に見直される内部統制
コロナ禍を契機としてリモートワークやテレワークが普及しました。これらはIT活用を前提とした働き方です。J-SOXによる内部統制では、情報と伝達、ITへの対応(IT全般統制、IT業務処理統制)が基本的要素として組み込まれています。また会社法による内部統制でも業務の適正を確保するための仕組み作りが謳われており、どちらの場合でもITを使った働き方を管理・運営するルールが必要になります。こうした事情から、内部統制に対して再び力を入れる企業が増えているようです。
内部統制を適用するメリット
ここで、内部統制のメリットを整理しておきましょう。経営側としては「現場の業務内容や業務形態の可視化が進む」「信用力が強化される」「ステークホルダーの信頼を獲得できる」というメリットが挙げられます。
一方、従業員側のメリットとしては「守るべきルールの明確化や可視化」「曖昧なルールがなくなることで業務負荷が下がる」といったものが挙げられるでしょう。また、内部統制対応のシステムを適切に活用することで、業務プロセスの効率化が進み、仕事が進めやすくなる可能性もあります。
内部統制を進めるうえでの課題
一方、内部統制は業務の進め方に少なからず影響を与えることも事実です。そこで、内部統制の実現で発生しうる課題についても把握しておきましょう。
内部統制の課題
- 業務プロセスが変更されることで現場からの反発を招く
- 内部統制を浸透させ、監査を通過させるまでの人的・金銭的コストが大きい
- 各種セキュリティ認証やルールの増加により、業務負荷が高まるリスクがある
- 監査に通過するデータの保存先やクラウドサービス事業者の信頼性
こうした課題のほかにも、IT全般統制に対応するために複数のツールを管理したり、IT業務処理統制に対応するようにツールをカスタマイズしたり、といった手間も想定されます。
内部統制の適用をスムーズに「Azure Virtual Desktop」
内部統制をスピーディーかつ小さな負担で進めるためには、さまざまなITツールの活用が必須です。その中でも特におすすめなのは「仮想デスクトップソリューション」です。仮想デスクトップソリューションは、不要なデータをローカル端末に保存しないことから、セキュリティリスクが低いことで知られています。また、クラウド型であればデータの一元化と強固なセキュリティが保証されており、低コストで内部統制の実現に向けた業務環境が整います。
さらに、仮想デスクトップソリューションは「今までと同じ業務環境を、テレワーク、リモートワークでも使うことができる」という点が強みです。つまり、内部統制に対応した新しい働き方を選択した場合でも、業務プロセスの変更は最低限で済みます。したがって、現場からの反発を招きにくいツールといえるでしょう。
Azureでも仮想デスクトップソリューション「Azure Virtual Desktop」を提供しています。Azure Virtual Desktopは、以下のように内部統制に対応した機能、仕様を備えたツールです。
- 国際的なセキュリティ基準に対応(ISO/IEC 27001)
- クラウドセキュリティ認証ISO/IEC 27017に対応
- ログ監査、アクセス管理機能も内包(Log AnalyticsとAzure Monitor)
まとめ
ここでは、内部統制の基礎的な内容と課題などを紹介してきました。内部統制はさまざまなルールづくりとともに、業務環境の整備(=業務システムの構築、刷新)が必要になることもあります。もしリモートワーク・テレワーク環境を迅速に内部統制に適用させたければ、国際的なセキュリティ基準を満たした仮想デスクトップソリューションの活用がおすすめです。
