2σ Guide

コンプライアンス・内部統制を
企業法務とガバナンスから設計する

会社法、J-SOX、内部通報、個人情報、独禁法、贈収賄、輸出管理、労務、不祥事対応まで、企業が信頼を守るための実務を横断して整理します。

6要素 内部統制の基本枠組み
2024/4 J-SOX改訂基準の適用開始
90/180/365 導入ロードマップ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

コンプライアンス・内部統制を 企業法務とガバナンスから設計する

会社法、J-SOX、内部通報、個人情報、独禁法、贈収賄、輸出管理、労務、不祥事対応まで、企業が信頼を守るための実務を横断して整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
コンプライアンス・内部統制を 企業法務とガバナンスから設計する
会社法、J-SOX、内部通報、個人情報、独禁法、贈収賄、輸出管理、労務、不祥事対応まで、企業が信頼を守るための実務を横断して整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • コンプライアンス・内部統制を 企業法務とガバナンスから設計する
  • 会社法、J-SOX、内部通報、個人情報、独禁法、贈収賄、輸出管理、労務、不祥事対応まで、企業が信頼を守るための実務を横断して整理します。

POINT 1

  • コンプライアンス・内部統制の全体像をつかむ
  • 企業法務、ガバナンス、不祥事予防を一体で見るための起点を整理します。
  • 規範と仕組みを一体で設計します
  • コンプライアンス ・内部統制は、法律を守る活動と社内手続を作る活動に分けて考えるだけでは足りません。

POINT 2

  • コンプライアンス・内部統制とは何か ― 規範と実行の違い
  • 法令遵守だけではなく、企業が信頼を維持するための管理基盤として理解します。
  • コンプライアンスは守るべき規範の体系です
  • 交通安全に置き換えると理解しやすくなります
  • コンプライアンスは、狭義では法令遵守を指します。

POINT 3

  • コンプライアンス・内部統制が企業法務の中核になる理由
  • 過度な成果圧力
  • 不祥事は一つの法律問題にとどまらず、経営、開示、労務、取引、信用へ波及します。

POINT 4

  • 会社法・金融商品取引法・J-SOXで見るコンプライアンス・内部統制
  • 会社法の広い内部統制、J-SOXの財務報告統制、ガバナンスコードをつなげて整理します。
  • 大会社である取締役会設置会社では、内部統制システムに関する事項を取締役会で決定することが求められます。
  • 制度ごとに対象と目的が異なるため重要です。
  • 読者は、財務報告だけでなく、企業集団、開示、監督、非財務情報へ視野を広げて読み取ってください。

POINT 5

  • コンプライアンス・内部統制の基本構造 ― 三層と六要素
  • 取締役会、業務執行、独立検証を分け、内部統制の六要素を実務に翻訳します。
  • 取締役会・監査役等
  • 経営陣・部門責任者
  • 内部監査・監査人・外部専門家

POINT 6

  • 取締役会・経営陣・監査役等が担うコンプライアンス・内部統制
  • 取締役会
  • 経営者
  • 売上機会を失っても取引を止める、通報者を保護する、違反者を一貫して処分するなど、具体的行動で姿勢を示します。

POINT 7

  • コンプライアンス・リスク評価は自社固有の業務プロセスで行う
  • 1. 自社固有リスクを特定します:業務部門、経理、人事、IT、海外拠点、内部監査から実態を確認します。
  • 2. 重大性と発生可能性を評価します:法的影響、社会的影響、事業上の重要性、検出可能性、統制コストを比較します。
  • 3. 回避または低減を優先します:撤退、承認、研修、契約条項、監査、モニタリングを検討します。
  • 4. 移転または受容を記録します:保険、補償条項、外部委託、許容範囲を根拠とともに残します。

POINT 8

  • 内部統制の設計 ― 規程、権限、証跡、モニタリング
  • 規程を現場の行動、承認、証跡、是正管理へ落とし込む方法を整理します。
  • 社内規程はコンプライアンス・内部統制の骨格です。
  • 規程は、現場が判断でき、監査時に説明でき、不祥事時に合理的な体制を示せる形にする必要があります。
  • 文書名を並べるだけでなく、どの階層が価値観、権限、重要リスク、現場手順、証跡を担うかを分けるために重要です。

まとめ

  • コンプライアンス・内部統制を 企業法務とガバナンスから設計する
  • コンプライアンス・内部統制の全体像をつかむ:企業法務、ガバナンス、不祥事予防を一体で見るための起点を整理します。
  • コンプライアンス・内部統制とは何か ― 規範と実行の違い:法令遵守だけではなく、企業が信頼を維持するための管理基盤として理解します。
  • 会社法・金融商品取引法・J-SOXで見るコンプライアンス・内部統制:会社法の広い内部統制、J-SOXの財務報告統制、ガバナンスコードをつなげて整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

コンプライアンス・内部統制の全体像をつかむ

企業法務、ガバナンス、不祥事予防を一体で見るための起点を整理します。

コンプライアンス・内部統制は、法律を守る活動と社内手続を作る活動に分けて考えるだけでは足りません。企業が法令、定款、社内規程、契約、社会的要請、倫理、ステークホルダーからの期待に反しないように行動し、その行動を継続的に確認できる仕組みへ落とし込む経営管理です。

次の重要ポイントは、このページ全体で扱う論点の位置づけを表しています。読者にとって重要なのは、コンプライアンスを理念、内部統制を手続として分断せず、どの部門が何を担い、どの証跡で説明するのかを読み取ることです。

規範と仕組みを一体で設計します

コンプライアンスは守るべき基準を示し、内部統制はその基準を日々の業務に組み込み、逸脱を予防・発見・是正し、説明可能にする仕組みです。

このページでは、会社法、金融商品取引法、J-SOX、コーポレートガバナンス・コード、公益通報者保護制度、個人情報保護、独占禁止法、外国公務員贈賄防止、輸出管理、労務・ハラスメント対応を横断して、設計、運用、監査、改善の考え方を解説します。

注記この記事は一般的な情報提供を目的としています。個別案件の法的判断、監査意見、税務判断、投資判断は、業種、会社規模、上場区分、海外展開、証拠状況、社内規程を踏まえて専門家へ確認する必要があります。
Section 01

コンプライアンス・内部統制とは何か ― 規範と実行の違い

法令遵守だけではなく、企業が信頼を維持するための管理基盤として理解します。

コンプライアンスは守るべき規範の体系です

コンプライアンスは、狭義では法令遵守を指します。ただし現代の企業法務では、法令だけでなく、定款、社内規程、契約上の義務、業界団体の自主規制、行政ガイドライン、取引先の行動規範、企業倫理、サステナビリティ、人権、データ保護、消費者保護、労働者保護、公正競争、反贈収賄、反社会的勢力排除まで含む広い概念として扱います。

内部統制は、企業が目的を達成するために、業務の有効性・効率性、報告の信頼性、法令等の遵守、資産の保全を合理的に確保するプロセスです。社内規程の有無だけでなく、理解、承認、証跡、例外管理、報告、監査、是正まで含めて機能しているかを確認します。

次の比較表は、コンプライアンスと内部統制の役割の違いを表しています。両者を分けて理解することは、担当部門と証跡の不足を見つけるうえで重要です。読者は、左列で守る基準を、右列で実行・検証の仕組みを確認してください。

観点コンプライアンス内部統制
主な問い何を守るべきかを明確にします。どう守り、どう確認するかを設計します。
中心概念法令、倫理、社会的要請、契約、規範です。プロセス、権限、職務分掌、証跡、モニタリングです。
目的違反予防、信頼確保、企業価値保護です。業務の適正性、報告の信頼性、資産保全、法令遵守の合理的保証です。
主な担当法務、コンプライアンス、経営、各部門です。経営、内部統制、経理、IT、内部監査、各業務部門です。
成果物行動規範、規程、研修、相談窓口、制裁方針です。業務プロセス、承認ルール、RCM、ログ、証跡、監査結果です。

交通安全に置き換えると理解しやすくなります

交通安全で考えると、コンプライアンスは道路交通法を守る、安全運転をする、飲酒運転を避けるというルールです。内部統制は、免許確認、アルコールチェック、車両点検、運行記録、事故報告、再発防止教育です。

企業でも同じように、贈賄をしない、個人情報を漏えいさせない、不正会計をしないという標語だけでは足りません。接待・贈答の承認、アクセス権限、売上計上の証憑、取引先審査、内部通報制度、ログ監視、監査、懲戒、再発防止まで整えて初めて実効性が高まります。

Section 02

コンプライアンス・内部統制が企業法務の中核になる理由

不祥事は一つの法律問題にとどまらず、経営、開示、労務、取引、信用へ波及します。

企業法務は、契約書レビューや紛争処理だけでなく、企業全体のリスクを設計・統制する機能へ広がっています。不祥事が発生すると、行政処分、刑事責任、民事賠償、株主代表訴訟、上場規則上の開示、取引停止、金融機関からの信用低下、採用難、ブランド毀損、役員辞任、M&AやIPOの停止へ波及します。

次の一覧は、不祥事が個人の倫理観だけでなく組織構造から生まれる典型要因を表しています。これは、読者が自社の空気や制度の弱点を見つけるために重要です。各項目から、どの統制が抜けていると問題が増幅しやすいかを読み取ってください。

過度な成果圧力

売上、納期、コストが過度に重視されると、法令遵守より短期成果が優先されやすくなります。

承認の形骸化

上司の承認が形式化すると、重要な例外処理や利益相反が検証されません。

見えない外部関係者

海外子会社、販売代理店、委託先の行動が本社から見えない場合、贈賄、競争法、品質、情報管理のリスクが高まります。

通報しづらい空気

内部通報への報復や握りつぶしが疑われると、重大な兆候が早期に上がりません。

形式的な監査

内部監査がチェック項目の確認にとどまると、重大リスクや経営者による統制無視に踏み込みにくくなります。

IT統制の弱さ

アクセス権限、ログ、データ保全が弱いと、不正や情報漏えいの発見が遅れます。

法令上明文で禁止されていない行為でも、社会的批判を受ける場合があります。景品表示、食品表示、消費者契約、ハラスメント、個人情報、AI利用、広告表現、人権、サプライチェーン、環境、サステナビリティ開示では、法令、ガイドライン、行政解釈、業界標準、消費者感覚、投資家期待が重層的に作用します。

実務の視点コンプライアンス・内部統制は、問題発生後に法務が呼ばれる体制から、事業の初期段階でリスクを設計する体制へ変えるための共通言語です。
Section 04

コンプライアンス・内部統制の基本構造 ― 三層と六要素

取締役会、業務執行、独立検証を分け、内部統制の六要素を実務に翻訳します。

コンプライアンス・内部統制は、ガバナンス、マネジメント、アシュアランスの三つの階層で設計すると整理しやすくなります。組織図だけを作るのではなく、各階層が何を決定し、何を確認し、何を報告し、どの権限で問題を止めるかを定めることが重要です。

次の一覧は、三つの階層ごとの役割を表しています。読者にとって重要なのは、責任が一部門に偏る状態を避けることです。各階層で、監督、運用、検証の役割が分かれているかを読み取ってください。

Governance

取締役会・監査役等

リスク方針、内部統制基本方針、重要不祥事対応、内部監査結果、再発防止策を監督します。

Management

経営陣・部門責任者

代表取締役、執行役員、事業部門長、法務、経理、人事、IT、海外拠点責任者が日々の統制を運用します。

Assurance

内部監査・監査人・外部専門家

内部統制の有効性、コンプライアンス体制、重大リスクへの対応状況を独立した視点で検証します。

次の表は、金融庁基準の六つの基本的要素を企業実務へ翻訳したものです。内部統制は一つの要素だけで成立しないため重要です。読者は、自社で弱い要素がどこにあるかを確認してください。

基本的要素実務上の意味具体例
統制環境組織文化、倫理、権限、人事評価、経営姿勢です。行動規範、経営者メッセージ、役員評価、懲戒運用です。
リスクの評価と対応リスクを特定・分析・評価し、対応方針を選びます。リスクアセスメント、ヒートマップ、リスクオーナーです。
統制活動ルールを実行する具体的手続です。承認、職務分掌、照合、棚卸、アクセス制御です。
情報と伝達必要情報を必要な人に伝える仕組みです。研修、社内ポータル、通報制度、経営報告です。
モニタリング統制が機能しているか継続的に確認します。内部監査、自己点検、KPI・KRI、是正管理です。
ITへの対応IT環境に応じた統制です。権限管理、ログ、変更管理、バックアップ、IT全般統制です。

次の強調事項は、内部統制の限界と目的を表しています。すべての事故を完全に防げるという誤解を避けるために重要です。読者は、重要リスクを合理的な水準まで下げ、発見・是正・説明ができる状態を目指す点を読み取ってください。

内部統制は合理的保証を提供します

内部統制は、不正や誤謬を絶対に防ぐものではありません。費用対効果を踏まえて、重要なリスクを合理的な水準まで低減し、発見・是正・説明を可能にするための仕組みです。

Section 05

取締役会・経営陣・監査役等が担うコンプライアンス・内部統制

紙の基本方針ではなく、リスクを質問し、証拠に基づいて監督する体制が重要です。

取締役会が年に一度、定型的な内部統制基本方針を承認するだけでは実効性は十分ではありません。重要なコンプライアンス・リスク、リスクオーナー、子会社・海外拠点・委託先の管理範囲、内部通報制度の信頼性、重大通報の報告、内部監査の独立性、不備の是正、危機対応体制を証拠に基づいて確認する必要があります。

次の一覧は、取締役会、経営者、監査役等・内部監査が担うべき実務上の役割を表しています。役割分担が曖昧なままだと、重大リスクの発見や是正が遅れるため重要です。読者は、誰が監督し、誰が実行し、誰が独立して検証するのかを読み取ってください。

取締役会

重要リスク、内部通報、J-SOXや会計監査での指摘、個人情報・独禁法・贈賄・輸出管理・労務などの重点領域を確認します。

経営者

売上機会を失っても取引を止める、通報者を保護する、違反者を一貫して処分するなど、具体的行動で姿勢を示します。

中間管理職

現場の空気を左右します。法務相談を遅延要因と見たり、通報者を問題視したりする運用を改める必要があります。

監査役等

取締役の職務執行と内部統制システムの整備・運用状況を確認し、必要に応じて経営陣へ意見を述べます。

内部監査

業務プロセス、会計処理、IT、法令遵守、子会社管理、危機対応を検証し、経営陣と監査役等へ報告します。

外部専門家

弁護士、公認会計士、フォレンジック専門家などが、独立性や専門性が必要な場面で調査・評価を支援します。

経営者の姿勢は、形式的なメッセージだけでは伝わりません。重大な違反が疑われる取引を止める、調査に協力した従業員を守る、高業績者でも違反を一貫して扱う、内部統制部門に予算と人員を与えるといった行動が、組織の判断基準を作ります。

Section 06

コンプライアンス・リスク評価は自社固有の業務プロセスで行う

一般論のリスク台帳から、自社の取引、データ、人、海外、会計、委託先を反映した評価へ進めます。

実効的なリスク評価では、事業内容、収益モデル、主要顧客、営業手法、代理店利用、規制業種該当性、海外拠点、制裁対象国との取引、個人情報や技術情報の保有状況、下請・委託・派遣の構造、会計リスク、過去の不祥事、M&Aやシステム移行などの変化を反映します。

法令別の整理は研修では有効ですが、内部統制の設計では業務プロセス別に見る必要があります。新規取引先登録には、反社会的勢力チェック、贈収賄、制裁リスト、与信、個人情報、下請法・独禁法、利益相反、税務、会計、情報セキュリティが重なります。広告公開には、景品表示、薬機法、食品表示、著作権、商標、個人情報、消費者契約、AI生成物の権利処理が関係します。

次の判断の流れは、リスク評価後に選ぶ対応を表しています。対応を曖昧にしたまま進めると、見ていないリスクを受け入れた状態になるため重要です。読者は、回避、低減、移転、受容のどれを選ぶのか、誰が根拠を記録するのかを読み取ってください。

リスク対応の判断の流れ

自社固有リスクを特定します

業務部門、経理、人事、IT、海外拠点、内部監査から実態を確認します。

重大性と発生可能性を評価します

法的影響、社会的影響、事業上の重要性、検出可能性、統制コストを比較します。

高リスク
回避または低減を優先します

撤退、承認、研修、契約条項、監査、モニタリングを検討します。

管理可能
移転または受容を記録します

保険、補償条項、外部委託、許容範囲を根拠とともに残します。

受容も意思決定です。リスクを認識したうえで許容範囲として管理する場合には、経営陣がどの根拠で受け入れるのかを記録し、必要に応じて取締役会へ報告します。

Section 07

内部統制の設計 ― 規程、権限、証跡、モニタリング

規程を現場の行動、承認、証跡、是正管理へ落とし込む方法を整理します。

社内規程はコンプライアンス・内部統制の骨格です。ただし、規程が多すぎる、古い、現場が読まない、矛盾している、海外版がない、例外処理が不明確という状態では、むしろ混乱を招きます。規程は、現場が判断でき、監査時に説明でき、不祥事時に合理的な体制を示せる形にする必要があります。

次の表は、規程体系の階層と目的を表しています。文書名を並べるだけでなく、どの階層が価値観、権限、重要リスク、現場手順、証跡を担うかを分けるために重要です。読者は、自社で不足している階層を確認してください。

階層文書例目的
最上位企業理念、行動規範、コンプライアンス基本方針です。価値観と判断基準を示します。
組織規程取締役会規則、職務権限規程、稟議規程、組織規程です。権限と責任を明確にします。
リスク別規程個人情報管理規程、贈答接待規程、競争法遵守規程、輸出管理規程、反社排除規程です。重要リスクを統制します。
業務手順契約審査手順、取引先審査手順、売上計上手順、事故対応手順です。現場の行動へ落とし込みます。
証跡様式承認フォーム、チェックリスト、報告書、教育記録です。実施事実を後から確認できるようにします。

次の一覧は、権限、証跡、モニタリングを業務に組み込む具体策を表しています。実効性は文書の完成度ではなく、実際に誰が確認し、どの記録が残るかで決まるため重要です。読者は、承認、分掌、記録、検証のつながりを読み取ってください。

01

権限と職務分掌

取引先開拓と登録承認、発注と検収、支払承認と会計処理、開発と本番変更承認、権限付与とログ確認を分けます。

予防
02

小規模企業の代替統制

完全な分掌が難しい場合でも、経営者レビュー、外部専門家レビュー、月次照合、二重承認、ログ確認で補います。

代替策
03

証跡管理

誰が、いつ、何を、どの根拠で判断したかを記録し、電子データの改ざん防止、保存期間、アクセス権限を定めます。

説明責任
04

是正管理

指摘事項は、是正期限、責任者、完了基準、再発防止策、検証方法を明確にして追跡します。

改善

内部統制は設計して終わりではありません。自己点検、テーマ別レビュー、内部監査、通報・苦情・事故分析、会計監査・J-SOX評価での指摘管理、KPI・KRI、取引先監査、海外子会社レビューを通じて継続的に改善します。

Section 08

主要リスク領域別に見るコンプライアンス・内部統制の実務ポイント

独禁法、贈収賄、個人情報、労務、輸出管理、会計、表示、知財、M&Aを横断します。

主要リスク領域では、法令別の知識だけでなく、事業部門、経理、人事、IT、購買、物流、海外拠点、外部委託先まで含めた統制設計が必要です。各領域は独立しているように見えて、契約、データ、会計、労務、開示で相互に接続します。

次の表は、主要リスク領域と実務上の統制ポイントを表しています。領域ごとに担当部門が分かれやすいため、横断的な管理範囲を見落とさないことが重要です。読者は、どのリスクで事前承認、証跡、監査、緊急対応が必要になるかを読み取ってください。

リスク領域主な論点内部統制のポイント
独占禁止法・競争法カルテル、入札談合、優越的地位、業界団体、販売店拘束、価格拘束です。競合接触の事前承認、機微情報管理、営業研修、議事録、契約審査、当局調査時の初動手順を整えます。
反贈収賄・接待贈答外国公務員贈賄、代理店、成功報酬、利益相反、高リスク国です。基準額と承認、代理店DD、成果物確認、支払先確認、M&A時の腐敗リスク調査を行います。
個人情報・データガバナンス取得、利用目的、第三者提供、委託、外国移転、漏えい等報告、AI学習データです。データマッピング、同意管理、委託先監査、アクセス権限、ログ、漏えい時の報告・通知を整えます。
労務・ハラスメント労働時間、賃金、懲戒、休職復職、ハラスメント、メンタルヘルス、業務委託です。就業規則、勤怠確認、相談窓口、調査手順、二次被害防止、管理職研修を運用します。
輸出管理・経済安全保障貨物輸出、技術提供、クラウド、外国籍従業員の技術アクセス、共同研究です。該非判定、用途確認、需要者確認、制裁リスト確認、技術情報のアクセス管理、記録保存を行います。
財務報告・会計不正売上前倒し、架空売上、在庫過大、引当不足、関連当事者取引、統制無視です。RCM、キーコントロール、棚卸、証憑確認、IT全般統制、不備評価、監査人との連携を整えます。
表示・広告・消費者対応景品表示、効果効能、価格表示、定期購入、解約導線、口コミ、SNSです。掲載前審査、根拠資料、表示変更履歴、制作会社教育、苦情分析、緊急差止め手順を用意します。
知的財産・営業秘密商標、特許、著作権、OSS、AI生成物、共同研究、営業秘密です。クリアランス、発明届出、OSS審査、権利処理、秘密情報区分、退職者管理、ライセンス台帳を整えます。
M&A・PMI贈賄、独禁法、個人情報、労務、許認可、会計不正、輸出管理、情報セキュリティです。法務・財務・税務・労務・ITのDDを連携し、買収後は規程、権限、通報、会計方針、内部監査を統合します。

次の一覧は、横断管理が必要な領域を実務の動きに合わせて整理しています。担当部署ごとの縦割りでは見落としが出るため重要です。読者は、どの業務に複数リスクが同時に乗るかを読み取ってください。

取引先登録

反社、贈収賄、制裁リスト、与信、個人情報、下請法・独禁法、利益相反、税務をまとめて確認します。

登録審査

広告掲載

表示規制、著作権、商標、個人情報、消費者契約、AI生成物、SNS運用を掲載前に確認します。

事前審査

海外代理店

現地法、贈賄、制裁、競争法、再委託、支払先、成果物、政府関係者との関係を確認します。

高リスク
IT

システム・データ

アクセス権限、ログ、変更管理、バックアップ、クラウド、AI利用、退職者アカウントを統制します。

IT統制
Section 09

内部通報・不祥事調査・危機対応の内部統制

通報制度を信頼される神経系として運用し、初動、調査、再発防止をつなげます。

内部通報制度は、組織の異常を早期に感知する仕組みです。不正、ハラスメント、会計不正、情報漏えい、贈収賄、品質偽装、労務違反は、通常の報告ラインでは上がってこない場合があります。従業員、役員、退職者、派遣社員、取引先等が安心して相談・通報できる制度が必要です。

公益通報者保護制度では、法改正により2026年12月1日から施行される新たな制度変更も示されています。実務では、社内窓口と外部窓口、匿名通報、秘密保持、不利益取扱い禁止、利益相反のない調査担当者、監査役等への重要通報報告、通報データの分析が重要です。

次の判断の流れは、不祥事の疑いが出た直後に検討すべき順番を表しています。初動を誤ると証拠隠滅、通報者保護違反、当局報告遅延、開示遅延へつながるため重要です。読者は、被害拡大防止、証拠保全、独立した調査、報告・開示、再発防止の順に確認してください。

不祥事発覚時の初動の順番

被害拡大を防ぎます

生命、身体、財産、データへの被害拡大防止を最優先します。

証拠とデータを保全します

メール、チャット、ログ、端末、クラウド、会計データを保全します。

調査体制を決めます

利益相反を避け、必要に応じて弁護士、会計士、フォレンジック専門家と連携します。

重大性が高い
取締役会・監査役等へ報告します

当局報告、取引所開示、顧客通知、本人通知、広報・IRを検討します。

限定的
是正と効果検証を行います

真因に対応した再発防止策、責任者、期限、検証方法を定めます。

第三者委員会を設置するかどうかは、事案の重大性、経営陣関与の可能性、上場会社か否か、投資家・取引先・当局への説明責任、調査の独立性に対する社会的期待によって変わります。会計不正、重大な品質偽装、組織的隠蔽、広範な被害がある事案では、独立性の高い調査体制が求められやすくなります。

再発防止策は真因に対応している必要があります。過大な売上目標や経営陣の圧力が真因であれば、経理規程だけでなく、営業評価制度、予算管理、取締役会への報告、内部監査の独立性、会計監査人とのコミュニケーション、経営者評価まで見直します。

Section 10

中小企業・非上場企業のコンプライアンス・内部統制

大企業と同じ文書量ではなく、規模に応じた比例的な統制を設計します。

上場会社や大会社でなくても、コンプライアンス・内部統制は重要です。法令違反、労務紛争、情報漏えい、不正経理、横領、取引先トラブル、税務調査、許認可取消し、SNS炎上は会社規模を問いません。中小企業では、一人の不正や一件の大口取引停止が経営に大きく影響する場合があります。

次の表は、中小企業がまず整備したい最低限の仕組みと、小規模組織で職務分掌が難しい場合の代替策を表しています。過剰な制度は現場を疲弊させますが、何もない状態は重大リスクを放置するため重要です。読者は、すぐに実行できる統制から優先順位をつけて読み取ってください。

テーマ最低限の整備代替的な統制
経営方針経営者が遵守方針を明文化し、従業員へ説明します。朝会、社内ポータル、雇用時説明で繰り返し伝えます。
契約・支払一定金額以上の契約・支払は複数人承認にします。代表者レビュー、外部弁護士レビュー、二段階承認を使います。
会計・資産売掛金、買掛金、在庫、現金、銀行残高を月次で照合します。税理士・会計士の月次確認や第三者立会いを組み込みます。
労務就業規則、労働時間管理、賃金支払を確認します。社会保険労務士への相談ルートを確保します。
情報管理個人情報の保管場所、アクセス権限、持ち出しルールを定めます。退職時のアカウント停止、データ返却、ログ確認を行います。
相談・通報社内相談窓口または外部相談先を用意します。顧問専門家、外部窓口、監査役等への報告線を用意します。

小規模企業では、経理、総務、人事、契約、支払を一人が兼務する場合があります。その場合でも、支払データと請求書・契約書の突合、インターネットバンキングの二段階承認、印鑑・電子署名権限の分離、取引先登録と支払先変更の確認、重要契約の外部レビューで補うことができます。

Section 11

コンプライアンス・内部統制を90日・180日・365日で導入するロードマップ

重大リスクの封じ込めから、制度整備、業務実装、改善サイクルへ段階的に進めます。

コンプライアンス・内部統制の導入は、最初から完璧な制度を作るより、重大リスクの把握、基本制度の整備、業務への実装、継続的改善の順に進めるほうが現実的です。期限を区切ることで、経営陣、管理部門、現場部門の役割が明確になります。

次の時系列は、30日、90日、180日、365日の段階で何を整えるかを表しています。順番を誤ると、文書はできても現場に定着しないため重要です。読者は、まず緊急リスクを止め、次に制度化し、最後に監査と改善へ進む流れを読み取ってください。

最初の30日

現状把握と緊急リスクの封じ込め

整備方針を宣言し、重要規程、権限表、契約、支払、個人情報、通報窓口、過去事故、監査指摘を棚卸しします。高額支払、取引先登録、個人情報持ち出し、広告公開、競合接触には暫定統制を置きます。

31日から90日

リスク評価と基本制度の整備

リスク台帳、重要業務プロセス、行動規範、コンプライアンス基本方針、職務権限規程、稟議規程、内部通報制度、調査手順、管理職研修を整えます。

91日から180日

業務プロセスへの統制実装

契約審査、取引先審査、支払承認、広告掲載前審査、アクセス権限、ログ管理、J-SOX対象プロセスのRCM、海外子会社・委託先への規程展開を進めます。

181日から365日

モニタリングと改善サイクル

内部監査、自己点検、KRIモニタリング、通報・苦情・事故分析、是正措置の期限管理、取締役会・監査役等への定期報告、海外拠点・委託先監査、研修効果測定を行います。

1年以内に目指す状態は、規程が存在することではなく、現場の実態と証跡がつながり、不備が見つかったときに責任者、期限、完了基準、再発防止策、効果検証まで追える状態です。

Section 12

コンプライアンス・内部統制の実務チェックリスト

取締役会、担当部門、J-SOX、不祥事対応の観点から確認します。

チェックリストは、網羅性だけでなく、誰がいつ確認し、未対応事項をどの期限で是正するかまで決めて初めて機能します。ここでは、経営、コンプライアンス、内部統制、不祥事対応の四つの視点で確認します。

次の表は、担当別に確認すべき項目を整理したものです。複数部門にまたがる論点を一つの一覧で見ることが重要です。読者は、チェック欄を埋めるだけでなく、証跡と報告先があるかを読み取ってください。

対象主な確認項目証跡の例
取締役会・経営陣重大リスク、内部統制基本方針、責任者権限、重大通報、統制無視、子会社・委託先、内部監査、危機対応計画、是正進捗を確認します。取締役会資料、議事録、リスク台帳、内部監査報告、是正管理表です。
コンプライアンス担当行動規範、法令改正確認、リスクオーナー、現場事例研修、接待贈答承認、個人情報漏えい初動、内部通報、委託先条項を確認します。規程、研修記録、承認記録、通報台帳、契約条項、監査権確認です。
内部統制・J-SOX担当評価範囲、業務・ITプロセス、キーコントロール、証跡、不備評価、重要な不備の是正、会計監査人との役割分担を確認します。RCM、業務記述書、権限レビュー、テスト結果、不備評価資料です。
不祥事・危機対応被害拡大防止、証拠保全、通報者・被害者保護、独立した調査体制、当局報告、開示、顧客通知、再発防止策を確認します。初動記録、保全ログ、調査計画、報告書、開示判断メモ、再発防止計画です。
注意チェック済みという記録だけでは不十分です。未対応事項を検討中のまま残さず、責任者、期限、完了基準、再確認方法まで設定する必要があります。
Section 13

コンプライアンス・内部統制でよくある失敗と是正策

規程偏重、毎年同じリスク評価、信用されない通報制度などを具体的に直します。

失敗例を把握する目的は、責任追及ではなく、仕組みの弱点を早く見つけることです。多くの会社では、規程、研修、通報制度、監査、IT統制のどれかが形式化し、問題が起きてから初めて実態とのズレが明らかになります。

次の一覧は、よくある失敗と是正策を対応づけたものです。失敗の型を知ることは、自社の不備を早期に直すために重要です。読者は、表面的な対策ではなく、業務プロセス、評価制度、報告線、IT、外部関係者まで見直す必要がある点を読み取ってください。

規程はあるが運用されていない

規程ごとに、業務プロセス、承認者、証跡、例外処理、モニタリング方法を定義し、現場ヒアリングで乖離を確認します。

リスク評価が毎年同じ

新規事業、事故、通報、監査指摘、顧客苦情、法改正、業界不祥事をリスク評価へ反映します。

内部通報制度が信用されていない

秘密保持、不利益取扱い禁止、外部窓口、調査手順、監査役等への報告、通報者フォローアップを整えます。

子会社・海外拠点・委託先が見えていない

グループ規程、報告ライン、内部監査、取引先審査、契約条項、研修、現地法対応を整えます。

法務・コンプライアンス部門の関与が遅い

新規事業、重要契約、広告、代理店起用、海外取引、M&A、個人情報利用、AI利用の初期段階に関与するゲートを置きます。

KPIが不正を誘発している

売上や納期だけでなく、品質、顧客苦情、内部統制遵守、部下育成、通報対応、リスク管理を評価に組み込みます。

IT統制を軽視している

権限管理、ログレビュー、変更管理、バックアップ、インシデント対応、データ保全をIT部門と内部統制部門で整備します。

Section 14

コンプライアンス・内部統制のFAQ

一般的な制度理解として、個別事情で結論が変わる点も含めて整理します。

Q1. コンプライアンスと内部統制はどちらが上位概念ですか。

一般的には、どちらか一方が単純に上位というより、相互補完関係とされています。コンプライアンスは守るべき規範を示し、内部統制はその規範を業務に組み込み、実行・検証・是正する仕組みです。具体的な制度設計は、業種、会社規模、上場区分、社内体制によって変わる可能性があります。

Q2. 内部統制は上場会社だけのものですか。

一般的には、金融商品取引法上の内部統制報告制度は主として有価証券報告書提出会社に関係します。ただし、会社法上の内部統制システム、労務、個人情報、取引先管理、会計管理、不正防止は非上場会社や中小企業にも重要です。具体的な整備範囲は会社規模とリスクに応じて検討する必要があります。

Q3. コンプライアンス部門を作れば安心ですか。

一般的には、部門を作るだけでは十分ではありません。権限、人員、予算、経営陣への報告ルート、事業部門への関与権限、内部監査との連携、外部専門家への相談権限があって初めて実効性が高まります。個別の体制は組織規模やリスク領域で変わります。

Q4. 内部統制で不正は完全に防げますか。

一般的には、完全には防げないとされています。内部統制は合理的保証を提供する仕組みであり、共謀、経営者による統制無視、判断ミス、システム障害、想定外の外部環境変化を完全に排除するものではありません。ただし、適切な内部統制は、不正の発生可能性を下げ、早期発見し、被害を限定し、説明責任を果たすうえで重要です。

Q5. 弁護士と公認会計士はどのように役割分担しますか。

一般的には、弁護士は法令違反、契約責任、行政対応、訴訟、役員責任、内部調査、通報対応、労務、個人情報、贈収賄、独禁法を扱います。公認会計士は、財務報告、会計処理、内部統制評価、監査、不正会計調査、財務デューデリジェンスを扱います。不祥事やJ-SOXでは両者の連携が重要ですが、具体的な役割は事案ごとに整理する必要があります。

Q6. 社内通報制度は匿名通報を認めるのが一般的ですか。

一般的には、匿名通報は事実確認が難しい一方で、実名通報に抵抗がある人から重要情報を得る手段にもなるとされています。匿名でも追加質問ができる仕組み、調査可能な情報の取得、通報者保護、外部窓口の活用が有効です。具体的な運用は公益通報者保護制度や社内規程を踏まえて確認する必要があります。

Q7. 研修は年1回で足りますか。

一般的には、年1回の全社研修だけでは十分でない場合が多いとされています。役員、管理職、営業、経理、人事、IT、海外部門、研究開発、購買など、リスクに応じた職種別研修が必要です。eラーニング、ケーススタディ、確認テスト、相談事例の共有を組み合わせると定着しやすくなります。

Q8. どの専門家に相談するのが一般的ですか。

一般的には、契約、訴訟、不祥事、個人情報、独禁法、贈収賄、労務紛争では弁護士、会計不正、J-SOX、監査対応では公認会計士、税務・組織再編では税理士、労務管理では社会保険労務士、商業登記では司法書士、知財では弁理士、デジタル証拠保全ではフォレンジック専門家が関与します。複合案件では、資料を整理したうえで複数専門家のチーム組成を検討する必要があります。

Section 15

コンプライアンス・内部統制を経営基盤として改善し続ける

標語や書類作業にせず、現場の行動、証跡、監査、是正へつなげます。

コンプライアンス・内部統制は、企業を縛るための形式的制度ではありません。企業が信頼され、事業を継続し、役員、従業員、顧客、取引先、株主、社会を守るための経営基盤です。

次の重要ポイントは、このページの結論を表しています。制度が標語や書類作業に流れると、不祥事予防の力が弱まるため重要です。読者は、規範、業務、証跡、発見、是正、説明を一つにつなげる必要がある点を読み取ってください。

小さな例外を見逃さず、組織として学習します

企業不祥事の多くは突然起きるのではなく、小さな例外、黙認、属人化、証跡不足、相談しづらい空気、過剰な成果圧力が積み重なって起こります。コンプライアンス・内部統制の本質は、その兆候を見つけ、改善し続けることです。

実効的な体制には、取締役会の監督、経営者の具体的行動、現場の理解、法務・コンプライアンス・経理・IT・人事・内部監査の連携、外部専門家の活用、内部通報制度の信頼性、証跡管理、継続的改善が必要です。

Guide

コンプライアンス・内部統制で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を7件表示しています。

Reference

この記事の参考資料

公的資料・中立的な実務資料を中心に整理しています。

公的資料・制度資料

  • 金融庁「財務報告に係る内部統制の評価及び監査の基準並びに実施基準」
  • 法務省・日本法令外国語訳データベースシステム「Companies Act」
  • 法務省・日本法令外国語訳データベースシステム「Regulation for Enforcement of the Companies Act」
  • 法務省・日本法令外国語訳データベースシステム「Financial Instruments and Exchange Act」
  • 日本取引所グループ「コーポレートガバナンス・コード」
  • 消費者庁「公益通報者保護制度」
  • 個人情報保護委員会「法令・ガイドライン等」
  • 公正取引委員会「企業における独占禁止法コンプライアンスに関する取組状況について」
  • 経済産業省「外国公務員贈賄防止指針」
  • 経済産業省「輸出管理内部規程の届出等について」
  • 厚生労働省「あかるい職場応援団 ハラスメントの防止対策」
  • The Institute of Internal Auditors「The IIA’s Three Lines Model」