内部統制とは? 内部統制を重要視すべき理由と不正や誤りをシステム的に防止する方法
- INDEX
-
企業や組織として内部統制は継続的に行うべきことと言えます。なぜなら、企業や組織として不正を起こさない、起こさせないだけでなく、人為的なミスによるリスクを軽減する必要があるからです。
今回は、内部統制に関する基礎知識や内部統制を重要視すべき理由、そして不正や誤りをシステム的に防止する方法についてお話します。
内部統制に関する基礎知識
はじめに内部統制に関する基礎知識について簡単に説明します。
内部統制とは
内部統制とは企業や組織としての目的を達成するために、内部におけるルールや業務プロセスを明確にして、維持・運用・改善し続ける仕組みを指します。
日本で内部統制が注目されたのは、日本版SOX法が義務付けられたタイミングです。アメリカにおいて企業における不正が多発したことによりSOX法が制定され、その影響により日本でも日本版SOX法が制定されました。実際に日本国内の企業や組織においても不正や誤りへの対策が不十分だったこともあり、内部統制報告書や内部監査の仕組みが義務付けられるようになりました。
内部統制によって不正や誤りが起きにくい環境を構築することで、透明性も確保できる他、企業や組織としての信頼を確立することにも役立っています。
内部統制の4つの目的
・業務の有効性および効率性
・財務報告の信頼性
・法令遵守
・資産の保全
上記は内部統制における主な4つの目的です。どれもが企業や組織として骨格となる部分であり、どの目的においても不正や誤りが許されない部分とも言えます。言い換えれば、安心・安全の基準を満たしつつ、信頼性を確保し、より効率的に利益を増やしていくための基礎でもあるため、内部統制は不正や誤りを防ぐためだけではなく、企業や組織として正しく成長するため必要不可欠なものと言えるでしょう。
内部統制の4つの限界
・権力を持つ人間が内部統制を無視する可能性がある
・意図的な不正および判断の誤りや不注意に対処しにくい
・想定していない状況や環境の変化、突発的な対処が難しい
・完璧な内部統制は成長力を削ぐ可能性があり、かつ維持運用にコストが必要
上記は内部統制の4つの限界と言われるポイントです。内部統制はルールや規則、業務プロセスや作業手順など、言葉や文章で示せる部分には強いですが、あいまいだったり、意図しない何かが発生した時、またはルールを度外視した時に弱いということです。極端なことを言えば、法律を完全に無視して行動できる人がいれば、何らかの対策を練っておかないと、好きなだけ不正を起こされてしまいます。
なぜ、内部統制を重要視すべきか
続いて、なぜ内部統制を重要視すべきか、その理由について解説します。
企業や組織としての目的を達成しつつ、信頼性を確立するため
内部統制は企業や組織としての目的を達成すること、そして同時に信頼性を確立するために重要視すべきと言えます。例えば、不正な方法で利益や売上を計上し、儲かっているように見せかけているような企業は信頼におけません。逆に言えば、国の法律や社会のルールに基づいて、倫理的にも問題なく利益や売上を増やしている企業であれば、信頼できます。同様に、目的を達成するための業務プロセスや作業手順が適宜改善されるようになれば、より効率的に利益の最大化することにもつながります。
社内や組織における内部不正を起こさせないため
企業や組織として、内部不正による情報漏洩や金銭および物品の盗難・搾取などはあってはならないことです。もちろん、これらは内部統制以前の問題とも言えますが、明確なルールがないことで悪意のある従業員に不正を起こされてしまわないようにする必要があります。極端な例ですが「会社のトイレにあるトイレットペーパーを持って帰ってはいけない」ことは、常識的にも明白ですが、社内規則やルールにないから、監視されていないからと解釈され、結果的に盗まれてしまうようでは問題があるということです。
不正と誤りを区別し、どちらも未然に防ぐため
企業や組織として、意図的な不正とうっかりミスやヒューマンエラーなどの誤りは区別する必要があります。もちろん、意図的でないミスだからと言って許されるということではありませんが、うっかりミスやヒューマンエラーが発生する余地を限りなくゼロに近づけることで、誤りを未然に防ぐことができます。意図的な不正も同様であり、不正できる余地を残さないこと、内部不正をしない、させないために単にルールや規則だけでなく、システム的にも不正や誤りを検知し、可能であれば未然に防げるよう環境を整えるべきと言えます。
不正や誤りをシステム的に防止する方法
次に不正や誤りをシステム的に防止する方法をご紹介します。
パソコン操作ログの取得・監視
パソコンの操作ログの取得・監視とは、業務でパソコンを利用する場合の操作全般を記録して、検索や閲覧できる仕組みを指します。特定の動作に対してアラートを表示したり、管理者に通知することでミスや不正を検知することが可能です。
パソコン操作ログの取得や監視をされていることが周知されれば「内部不正すれば必ずバレる」という心理的な抑制効果も期待できます。また、不正なのか誤りなのかを判断しやすくなり、故意でなければ注意や指導するような形で、失敗を減らすための対処も可能となります。
その他にも不必要な操作をしていたり、普段とは違った操作を検知したりすることで、外部からのサイバー攻撃による乗っ取りやウィルスの被害の発見にもつながります。
メールの送信のログの取得・監視
メールの送受信のログの取得・監視とは、外部へ情報漏洩させたり、外部と不正な取引をしていたりすることを検知する仕組みです。パソコン操作ログの取得や監視と同様に、メールの内容や添付ファイルを監視されていることが周知されれば、メールを悪用して不正をするようなことを防げます。
社内ネットワークへの接続およびデバイス制御の導入
社内ネットワークへの接続を強化し、不正なアクセスを遮断することも効果的です。権限を割り当てていない、もしくは接続を許可していないパソコンを排除することで、社内のデータへのアクセスそのものを遮断できます。
また、USBメモリや外付けハードディスクなど、デバイス制御の導入も並行して行うとさらに効果的です。不正にファイルを持ち出せない、同様に誤ってファイルを持ち出せないようにシステム的に制御することで、情報漏洩のリスクを軽減できます。
内部統制を維持・運用するためにも、システム的にハードウェアやソフトウェアを一元管理し、誰が・何をしているのかを監視・把握できるような仕組みを取り入れることが大切です。
まとめ:企業や組織として透明性を確保しやすい環境を構築しよう!
今回は内部統制に関する基礎知識や内部統制を重要視すべき理由、そして不正や誤りをシステム的に防止する方法についてお話しました。
IT技術が進化した今、社内規則やルールの整備・周知徹底など、意識的な内部不正対策だけでは対処しきれず、いずれ何らかのインシデントが発生する可能性があります。システム的に内部統制を強化し、内部不正をしない・させないよう取り組むことが大切です。
当社が提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズであれば、システム的に内部統制を強化できる仕組みを備えています。PC操作ログやメールの送受信のログの取得および監視、不正PCの遮断やデバイス制御など、内部統制に必要な機能を導入できますので、ぜひともこの機会にご相談、お問い合わせください。