会社法上の基本方針、会社法施行規則の法定項目、J-SOX、裁判例、平時の運用、有事対応まで、企業法務・ガバナンス実務で確認すべき論点を整理します。
決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。
決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。
内部統制システム構築義務の具体的内容は、社内規程を作るだけの義務ではありません。会社および企業集団の業務が適正に行われるよう、取締役、取締役会、監査役等、執行役、内部監査、コンプライアンス、法務、経理財務、IT、子会社管理部門が連携し、会社の規模・業種・リスクに応じて設計し、運用し、監督し、記録し、改善する義務です。
全体像を読むうえでは、義務の射程を三つに分けると理解しやすくなります。この整理は、取締役会で何を決め、現場で何を動かし、有事に何を説明するかを切り分けるために重要で、各項目の違いから「決議だけで終わらない」ことを読み取れます。
内部統制は、あらゆる不正を絶対に防ぐ制度ではありません。ただし、通常想定される不正・事故を予防し、兆候を早期に発見し、発覚後に調査・是正・再発防止へ進める合理的な体制が必要です。
実務上の要点は、平時と有事で義務の濃度が変わる点です。同種不祥事、内部通報、監査指摘、異常値、規制当局や会計監査人からの指摘などの兆候が出た後は、調査、是正、再発防止、取締役会報告の水準が高くなります。
次の一覧は、義務を三つの実務要点に分けたものです。項目ごとの目的を見比べることで、基本方針の決議、合理的な限界、有事対応の強度を同時に確認できます。
法定項目を網羅した基本方針に加え、社内規程、責任部署、報告経路、監査方法、是正手続、記録保存を伴う運用体制が必要です。
通常想定される不正・事故を防止または早期発見する合理的な体制が問題となり、あらゆる不祥事を完全に防ぐことまでは求められません。
通報、監査指摘、異常データ、当局照会などがある場合、調査、監査役等への報告、取締役会審議、再発防止の密度が高まります。
内部統制システムとは、会社の業務が適正に行われるようにするための社内外の仕組みです。会社法の文脈では、取締役の職務執行が法令・定款に適合することを確保する体制と、会社および子会社から成る企業集団の業務の適正を確保する体制が中心です。
日常語でいえば、不正を起こしにくくし、起きても早く見つけ、見つけたら是正し、取締役会や監査役等が監督できる仕組みです。個々の善意に依存せず、文書化された権限、職務分掌、承認手続、記録、監査、通報、教育、IT統制、子会社管理、危機対応を含む制度全体を意味します。
次の比較表は、構築、整備、運用、評価という言葉の違いと、会社法上の内部統制とJ-SOXの射程を整理したものです。用語の違いを取り違えると、基本方針の作成だけで実務が止まりやすいため、各列の対象と目的を確認することが重要です。
| 用語・制度 | 意味 | 実務で確認する点 |
|---|---|---|
| 構築 | 会社として必要な仕組みを作ること。 | 機関設計、リスク、子会社、業法を踏まえて必要な制度を選ぶ。 |
| 整備 | 規程、組織、権限、システム、教育、報告経路を配置すること。 | 責任部署、承認者、保存先、アクセス権限が明確かを確認する。 |
| 運用 | 仕組みを継続的に機能させること。 | 承認、研修、通報、監査、是正が実際に行われているかを確認する。 |
| 評価 | 整備・運用が目的に照らして有効かを検証すること。 | 内部監査、監査役等、会計監査人、取締役会報告で検証する。 |
| 会社法上の内部統制 | 法令遵守、リスク管理、業務効率、グループ管理、監査の実効性など業務全般を対象とする。 | 取締役会決議、事業報告、監査報告、任務懈怠責任の判断とつながる。 |
| J-SOX | 主に財務報告の信頼性を対象とし、経営者評価と監査を前提とする。 | 全社統制、決算財務報告、業務プロセス、IT統制を評価する。 |
内部統制システム構築義務は、取締役・取締役会等が、業務の適正を確保するための合理的な管理体制を設計・整備し、必要に応じて運用・監督・見直しを行うべき会社法上の義務です。善管注意義務・忠実義務の具体化として問題になる場面も多く、内部統制決議義務と任務懈怠責任の判断枠組みが交差します。
会社の機関設計に応じて、内部統制に関する決定主体と決定事項が変わります。
会社法は、機関設計に応じて内部統制システムに関する決定義務を置いています。大会社とは、資本金5億円以上または負債総額200億円以上の株式会社をいい、明文の決定義務の発生範囲を考えるうえで重要です。
次の表は、会社類型・機関設計ごとに、どの条文が問題となり、実務上どの主体が内部統制の基本方針を決めるかを示します。自社の機関設計に対応する行を確認することで、取締役会決議が必要か、監査機関支援体制を別に整えるべきかを読み取れます。
| 会社類型・機関設計 | 主な根拠条文 | 実務上の意味 |
|---|---|---|
| 取締役会非設置会社 | 会社法348条3項4号・4項、会社法施行規則98条 | 大会社等では、取締役が内部統制システムに関する事項を決定します。 |
| 取締役会設置会社 | 会社法362条4項6号・5項、会社法施行規則100条 | 取締役会が内部統制システムの基本方針を決定します。大会社では決定が義務となります。 |
| 監査等委員会設置会社 | 会社法399条の13第1項1号ロ・ハ、同条2項、会社法施行規則110条の4 | 監査等委員会の職務を支える体制と、業務の適正確保体制を取締役会が決定します。 |
| 指名委員会等設置会社 | 会社法416条1項1号ロ・ホ、同条2項、会社法施行規則112条 | 監査委員会支援体制、執行役の職務執行を含む内部統制体制を取締役会が決定します。 |
非大会社だから何もしなくてよい、という理解は危険です。明文の決定義務が限定的でも、取締役の善管注意義務・忠実義務、業種規制、契約上の義務、上場準備、金融機関・取引先からの要請、個人情報、労務、独禁法、下請法、反社会的勢力排除、輸出管理、贈収賄防止などから、相応の体制が必要になることがあります。
会社法施行規則の具体項目は、内部統制基本方針の骨格になります。次の一覧は、取締役会設置会社を例に、決定事項を実務領域へ置き換えたものです。各項目がどの社内制度に落ちるかを見れば、基本方針と規程体系の対応関係を把握できます。
取締役の職務執行に係る情報の保存・管理、閲覧、証拠保全を定めます。
法令違反、品質不正、サイバー、会計不正など重要リスクの評価・報告・初動対応を定めます。
職務権限、業務分掌、稟議、取締役会付議基準、報告頻度を整えます。
行動規範、研修、法務審査、内部通報、懲戒、モニタリングを整備します。
親会社・子会社間の承認、報告、監査、海外拠点、買収後統合を設計します。
監査役等への報告、補助使用人、独立性、費用、外部専門家利用を確保します。
金融商品取引法24条の4の4は、有価証券報告書提出会社等に対し、財務計算に関する書類その他の情報の適正性を確保するための体制について、内部統制報告書の提出を求めています。上場会社等では、会社法上の内部統制基本方針と、J-SOX上の評価・監査の枠組みを切り離さず、取締役会、監査役等、内部監査、経理財務、情報システム、会計監査人が整合させる必要があります。
取締役会が大綱を決め、業務執行側が実装し、監査機関と内部監査が検証します。
内部統制システム構築義務の中心主体は、取締役および取締役会です。取締役会設置会社では、内部統制システムの基本方針は取締役会の専決事項に属し、代表取締役や執行役員へ丸投げすることはできません。
役割分担を誤ると、取締役会が細部に入りすぎる一方で重要リスクを見落とす、または業務執行側に任せきりになるという問題が起きます。次の一覧は、主体ごとの責任を並べたもので、誰が決め、誰が動かし、誰が検証するかを読み取るために使えます。
重要リスク、組織設計、権限配分、監督・報告経路、内部監査の位置付け、重大事案の上程基準、子会社管理方針を決めます。
決定監督取締役会が定めた基本方針を、規程、組織、人員、システム、教育、監査、是正へ具体化して運用します。
実装内部統制基本方針、リスク管理報告、不祥事対応の場面で、経営陣の説明を独立した立場から検証します。
検証決議内容の相当性、運用上の重大不備、報告・情報アクセス・補助使用人・費用の確保を確認します。
監査会社法決議、規程体系、研修、通報、反社、制裁・輸出管理、内部監査、是正状況の検証を担います。
管理財務報告、決算統制、証憑、アクセス権限、ログ、セキュリティ、子会社報告、海外拠点管理を担います。
運用監査役等は、取締役会資料を受け取るだけでは足りません。内部監査、会計監査人、法務・コンプライアンス、子会社監査役、外部専門家と連携し、内部通報や不祥事の兆候がある場合には、適時に説明を求めることが重要です。
情報保存、リスク管理、効率性、コンプライアンス、グループ管理、監査の実効性を実装します。
法定項目は、社内制度へ置き換えて初めて機能します。次の表は、会社法施行規則の項目を、整備すべき規程・手続・証跡へ対応させたものです。列ごとの対応を追うことで、どの部門が何を記録し、どのリスクを取締役会や監査役等へ上げるべきかを確認できます。
| 法定項目 | 整備する仕組み | 実務上の注意点 |
|---|---|---|
| 情報の保存・管理 | 文書管理規程、情報管理規程、取締役会規程、稟議規程、電子契約・電子帳票ルール。 | 議事録、稟議、契約、監査報告、通報調査記録、子会社報告を後日検証できる状態にします。 |
| 損失危険の管理 | リスク管理規程、危機管理規程、BCP、情報セキュリティ、個人情報、反社排除の規程。 | リスクマップ、台帳、オーナー、発生可能性・影響度、初動対応、当局対応、広報を設計します。 |
| 職務執行の効率性 | 取締役会規程、経営会議規程、職務権限規程、業務分掌規程、稟議規程。 | 重要事項と日常事項を分け、権限委譲と取締役会監督のバランスを取ります。 |
| 使用人の遵法体制 | コンプライアンス規程、行動規範、研修、法務審査、内部通報、懲戒・是正。 | 研修だけでなく、違反が起きやすい業務に承認、相談、記録、上程基準を組み込みます。 |
| 企業集団の業務適正 | 関係会社管理規程、子会社権限規程、月次報告、事故速報、グループ内部監査。 | 海外子会社、買収先、委託先、代理店、JVなど親会社の目が届きにくい領域を管理します。 |
| 監査役等への報告 | 定期報告、臨時報告基準、直接報告経路、不利益取扱い禁止、子会社からの報告。 | 経営陣に不都合な情報も監査役等へ届くよう、報告者保護と直接アクセスを確保します。 |
| 補助使用人・費用・外部専門家 | 監査役室、補助者の独立性、人事評価への同意・意見反映、監査費用、専門家起用手続。 | 補助者が業務執行側の評価を恐れて監査役等の指示に従えない状態を避けます。 |
| 内部通報と報告者保護 | 社内窓口、外部窓口、監査役等への直接通報、匿名通報、調査手続、報復禁止。 | 通報件数ゼロは良い兆候とは限らず、制度不信や報復懸念の有無を確認します。 |
契約管理、会計、個人情報、独禁法、労務、IT、営業秘密などは、いずれも内部統制の具体的な着地点です。特に「決裁された」という結果だけでなく、「なぜその決裁に至ったか」「反対意見やリスク指摘がどう扱われたか」を記録することが、後日の説明責任に直結します。
通常想定される不正を防ぐ合理的体制があったか、兆候後に対応したかが重要です。
大和銀行事件では、海外支店における巨額損失と隠蔽が問題となり、取締役のリスク管理体制構築・監視義務が厳しく問われました。会社が大規模化・国際化し、経営者がすべての業務を直接把握できない場合、適切なリスク管理体制を構築し、運用状況を監視する必要があります。
日本システム技術事件は、内部統制システム構築義務の限界を示す重要判例です。従業員による架空売上計上が問題となりましたが、職務分掌、営業部門と財務部門の分離、売掛金残高確認など、通常想定される不正を防ぐ管理体制が存在したと評価されました。
二つの裁判例を並べると、義務違反の判断は不祥事の発生だけで決まらないことが分かります。次の比較表は、リスクの予見可能性、体制の設計・運用、兆候後の対応を読み比べるためのものです。
| 裁判例・観点 | 実務上の示唆 | 確認すべき資料 |
|---|---|---|
| 大和銀行事件 | 大規模・国際的な業務では、金融取引、海外拠点、職務分掌、権限管理、検査・監査、異常取引の報告体制が重視されます。 | 海外拠点規程、取引権限、監査報告、異常取引報告、取締役会資料。 |
| 日本システム技術事件 | 通常想定される不正を防ぐ体制が実際に整備され、同種不正の兆候など特段の事情がない場合、任務懈怠が否定され得ます。 | 職務分掌、売掛金確認、営業・財務分離、監査結果、通報・異常値の有無。 |
| 共通する判断軸 | 会社の規模・業種・リスクに応じた合理性、運用実態、取締役会の関与、監査役等の情報アクセス、是正対応が問われます。 | 規程、議事録、監査計画、是正管理表、再発防止資料。 |
裁判所が見やすい要素は、会社の規模・業種、リスクの予見可能性、体制の設計、体制の運用、取締役会の関与、監査役等の独立性、是正対応です。これらの項目は、平時の整備状況を点検するときの実務チェックにも使えます。
基本方針、規程体系、三線モデル、取締役会報告をつなげます。
まず、取締役会等で内部統制システムの基本方針を決議します。基本方針は、法定項目を網羅しつつ、自社の事業リスクに即した内容である必要があります。他社の開示例をそのまま流用すると、会社固有のリスクが抜け落ちます。
規程体系は、基本方針を現場で動かすための骨組みです。次の表は、代表的な規程と主な役割をまとめたものです。規程名だけでなく、各規程がどの承認・報告・保存・監査に接続するかを読み取ることが重要です。
| 規程 | 主な役割 |
|---|---|
| 取締役会規程 | 付議事項、報告事項、決議手続、議事録を定めます。 |
| 職務権限規程・稟議規程 | 役職・会議体ごとの承認権限、添付資料、承認経路、保存方法を定めます。 |
| 文書管理規程 | 保存期間、保存場所、閲覧権限、廃棄手続を定めます。 |
| リスク管理規程・危機管理規程 | リスク評価、報告、対応、委員会体制、有事の初動を定めます。 |
| コンプライアンス規程・内部通報規程 | 行動規範、教育、違反対応、通報窓口、調査、通報者保護を定めます。 |
| 内部監査規程 | 内部監査の権限、独立性、監査計画、報告、是正確認を定めます。 |
| 関係会社管理規程 | 子会社の重要事項承認、報告、監査、事故速報を定めます。 |
| 情報セキュリティ・個人情報・反社排除規程 | アクセス、ログ、委託先管理、漏えい対応、取引審査、関係遮断を定めます。 |
三線モデルは、現場、管理部門、内部監査の責任を分ける考え方です。次の一覧は、各線の役割と代替統制の考え方を示します。人員が少ない会社でも、承認者と実行者の分離、外部専門家の活用、監査役・社外役員への報告強化という読み方ができます。
売上、購買、開発、製造、サービス提供など、リスクを発生させる現場が一次的にリスクを管理します。
法務、コンプライアンス、リスク管理、経理財務、情報セキュリティ、人事労務がルールを示し、相談、監視、統制設計を担います。
第一線・第二線から独立した立場で整備・運用状況を検証し、取締役会、監査役等、経営陣に報告します。
取締役会への報告設計では、誰が、どの情報を、どの頻度で、どの粒度で報告するかを決めます。件数だけでは不十分で、発生原因、傾向、再発防止、期限、責任部署、未了事項まで分かる形式にする必要があります。
上場会社、非上場大会社、中小企業、スタートアップでは、優先順位が変わります。
内部統制の水準は、会社の規模、上場状況、規制、子会社構造、資本政策によって変わります。次の比較一覧は、会社類型ごとに重視すべき論点を示すもので、同じ内部統制でもどの領域から整えるべきかを読み取るために重要です。
会社法、J-SOX、コーポレートガバナンス・コード、適時開示、インサイダー取引規制、会計監査人監査が重なります。内部監査の独立性、財務報告評価範囲、会計監査人との連携、開示統制、海外子会社・買収先統合が重要です。
会社法上の内部統制決定義務があります。開示圧力が弱い分、取締役会や監査役等による実質的監督が重要で、オーナー経営者の権限集中、親族取引、関連会社取引、資金流用、後継者問題、内部通報の萎縮に注意します。
明文の決定義務が常に発生するわけではありませんが、労務、個人情報、下請法、景品表示法、業法、税務、反社排除などの基本統制は必要です。資金、印鑑、契約書、労働時間、個人情報の管理が出発点です。
スピードを優先して未整備になりやすく、IPO準備では取締役会運営、規程体系、決裁権限、反社チェック、関連当事者取引、J-SOX、労務、情報セキュリティの整備が急務になります。
中小企業で現実的に整える最小限の体制は、重要契約・支払・借入・採用・懲戒の承認、現金・預金・印鑑・電子決裁権限の分離、契約書・請求書・領収書・議事録の保存、就業規則、ハラスメント相談、労働時間管理、個人情報管理、反社チェック、専門家への相談経路です。
IPO準備会社では、取締役会の定例化、議案・議事録整備、職務権限規程、稟議規程、契約管理、月次決算早期化、予実管理、内部監査、監査役等との連携、内部通報窓口を早期に整えることが重要です。
内部統制は抽象的な理念ではなく、日々の業務に組み込まれて初めて機能します。次の一覧は、業務領域ごとの典型的な統制項目を示すもので、自社のリスク台帳や内部監査計画に反映すべき領域を読み取るために重要です。
売上、費用、棚卸資産、固定資産、引当金、関係会社取引、資金管理、支払承認、銀行口座管理を統制します。
会計労働時間、賃金、36協定、ハラスメント、懲戒、解雇、メンタルヘルス、労災、個人情報を管理します。
労務取得目的、同意、第三者提供、委託、共同利用、越境移転、安全管理措置、漏えい時報告、本人対応を整えます。
個情ID管理、権限付与・削除、職務分掌、システム変更管理、ログ、バックアップ、脆弱性管理、クラウド利用、事故対応を管理します。
IT競合接触、価格情報交換、入札、業界団体、販売店政策、優越的地位、下請取引、企業結合の相談・承認・記録を整えます。
競争法デューデリジェンス、表明保証、買収後統合、権限規程、決算体制、通報、情報セキュリティ、反社チェック、労務管理を接続します。
M&A営業秘密は、秘密として管理されていなければ保護が弱くなります。アクセス制限、秘密表示、持出し管理、退職時誓約、競合転職時対応、ログ監視は、知財統制と情報セキュリティ統制の接点です。
決定内容の概要と運用状況の概要は、監査と説明責任に直結します。
内部統制システムについて決定した会社では、その決定内容の概要および運用状況の概要が事業報告の記載事項となります。事業報告は定時株主総会に提出・提供され、監査役等の監査対象にもなります。
開示上は過度に詳細な内部情報を記載する必要はありませんが、定型文だけでは実態が見えません。次の表は、事業報告や監査で説明しやすい運用状況の例を示します。実施した会議、研修、監査、通報対応、子会社管理、情報セキュリティ施策を客観的に示すことが重要です。
| 領域 | 記載・確認の例 | 監査で見られる点 |
|---|---|---|
| 取締役会運営 | 内部統制基本方針の見直し、重大リスク報告、議事録の保存。 | 重要論点が取締役会で議論されているか。 |
| 研修・通報 | コンプライアンス研修、通報件数、重要事案、是正状況。 | 件数だけでなく、傾向分析と再発防止があるか。 |
| 内部監査 | 監査計画、監査結果、指摘、是正フォロー。 | リスクに基づいた監査対象選定か。 |
| 子会社管理 | 月次報告、事故速報、子会社監査、海外拠点の対応。 | 親会社に重大情報が届く設計か。 |
| 情報セキュリティ | アクセス権限、ログ、事故対応訓練、委託先管理。 | 事故時の記録と再発防止が残っているか。 |
監査役等は、内部統制システムに関する取締役会決議の内容が相当でないと認める場合、その旨と理由を監査報告に記載します。そのため、監査役等が「指摘すべき事項はない」と判断できるだけの情報提供と証跡が必要です。
法定項目を網羅し、自社固有のリスクへ接続する形で基本方針を定めます。
取締役会決議は、会社法および会社法施行規則に基づき、会社および子会社から成る企業集団の業務の適正を確保するための基本方針を定めるものです。次の表は骨子例を実務項目へ整理したもので、各行を自社の機関設計、業種、規模、上場状況、子会社構成に合わせて修正する必要があります。
| 項目 | 決議に入れる骨子 |
|---|---|
| 1 | 取締役および使用人の職務執行が法令および定款に適合することを確保するため、コンプライアンス規程、行動規範、内部通報制度、教育研修体制を整備し、法令違反等の予防、早期発見および是正を図る。 |
| 2 | 取締役の職務執行に係る情報について、文書管理規程その他の社内規程に基づき、適切に作成、保存、管理し、取締役および監査役等が必要に応じて閲覧できる体制を整備する。 |
| 3 | 損失の危険の管理について、リスク管理規程を定め、事業上の重要リスクを把握、評価、管理し、重大リスクについては取締役会に報告する。 |
| 4 | 取締役の職務執行が効率的に行われることを確保するため、取締役会規程、職務権限規程、稟議規程その他の社内規程に基づき、意思決定権限と責任を明確にする。 |
| 5 | グループにおける業務の適正を確保するため、関係会社管理規程を定め、子会社の重要事項に関する承認・報告体制、グループ内部監査、グループ共通のコンプライアンス体制を整備する。 |
| 6 | 監査役等の職務が実効的に行われることを確保するため、監査役等への報告体制、補助使用人の配置、補助使用人の独立性、監査費用の処理、内部監査および会計監査人との連携体制を整備する。 |
| 7 | 財務報告の適正性を確保するため、財務報告に係る内部統制を整備し、その有効性を評価し、必要な是正を行う。 |
| 8 | 基本方針および内部統制システムの運用状況について、取締役会は定期的に報告を受け、必要に応じて見直しを行う。 |
骨子は、形式的に長くすればよいわけではありません。会社固有のリスク、実際の承認経路、監査役等への報告、子会社管理、J-SOXとの関係、情報セキュリティ、個人情報、反社、内部通報を、実際に運用できる粒度へ落とし込むことが重要です。
初期診断から是正報告まで、継続的な改善サイクルとして運用します。
内部統制は、一度作って終わる制度ではありません。次の時系列は、現状把握、リスク評価、規程改定、教育、監査、是正報告という順番を示しています。この順番を追うことで、どの段階で資料を集め、どの段階で取締役会・監査役等へ報告するかを確認できます。
定款、登記、機関設計、取締役会議事録、経営会議議事録、職務権限規程、稟議規程、文書管理規程、通報規程、内部監査報告、会計監査人指摘、重大クレーム、事故、訴訟、当局照会、情報セキュリティ事故を収集します。
業種、取引形態、顧客、国・地域、規制、財務構造、IT依存度、個人情報量、子会社数、海外展開、過去の不祥事から重要リスクを特定します。
基本方針と規程体系を整え、現場で実行できる承認経路、報告基準、チェックリスト、教育資料へ落とし込みます。
役員、管理職、現場担当者、子会社役職員に対し、職務別の研修、ケーススタディ、理解度テスト、誓約、定期リマインドを実施します。
リスク評価に基づき、新規事業、買収先、海外子会社、委託先、前回指摘が残る領域を重点的に検証します。
不備が見つかった場合は、期限、責任者、実施内容を明確にした是正計画を作り、重大な不備は取締役会および監査役等に報告し、完了後に再確認します。
リスク評価では、発生可能性が低いが影響が甚大なリスクと、発生可能性が高く累積損害が大きいリスクの双方を見落とさないことが重要です。
取締役会、文書管理、リスク、コンプライアンス、グループ、監査、財務報告を点検します。
チェックリストは、内部統制を網羅的に点検するための入口です。次の表は、このページで扱う確認項目を領域ごとに整理したもので、空欄を埋めるのではなく、証跡が存在するか、運用が続いているか、重大リスクが取締役会へ届くかを読み取ることが重要です。
| 領域 | 確認項目 |
|---|---|
| 取締役会・ガバナンス | 基本方針の決議、法定項目の網羅、会社固有リスクの反映、運用状況の定期報告、重大不祥事・重大リスクの臨時報告基準、社外取締役の情報アクセス、重要なリスク議論の議事録化。 |
| 情報保存・文書管理 | 文書管理規程、取締役会・経営会議・稟議・契約・監査報告の保存期間、電子データの改ざん防止・アクセス制御・バックアップ、訴訟・調査時の証拠保全手続。 |
| リスク管理 | リスク管理規程、リスクマップまたはリスク台帳、リスクオーナー、重大リスクの取締役会報告、危機管理規程、BCP、インシデント対応手順。 |
| コンプライアンス | 行動規範、コンプライアンス規程、役職・業務別研修、内部通報制度、通報者・報告者の不利益取扱い禁止、贈収賄、独禁法、下請法、個人情報、反社、輸出管理など重要法令への対応体制。 |
| グループ内部統制 | 関係会社管理規程、子会社重要事項の親会社承認・報告基準、重大事故・不祥事・訴訟・当局調査の速報、子会社内部監査、海外子会社の現地法・贈収賄・制裁・個人情報・労務リスクの把握。 |
| 監査役等・内部監査 | 監査役等への報告体制、内部監査・会計監査人との定期連携、補助使用人の独立性、指示の実効性、監査費用、外部専門家起用手続、内部監査の独立性。 |
| 財務報告内部統制 | 全社的な内部統制の評価、決算・財務報告プロセス統制、重要な業務プロセスの文書化、IT全般統制・IT業務処理統制の評価、重要な不備発見時の是正・開示手順。 |
規程作成、不祥事発生、中小企業、内部監査、J-SOXの関係を一般情報として整理します。
一般的には、規程は内部統制の一部にすぎないとされています。実際に教育され、承認され、記録され、監査され、違反時に是正される必要があります。ただし、会社の規模、業種、機関設計、リスク、既存の運用状況によって結論は変わる可能性があります。具体的な対応は、資料を整理したうえで専門家へ相談する必要があります。
一般的には、不祥事の発生だけで直ちに義務違反と評価されるわけではないとされています。問題は、会社の規模・業種・リスクに照らして合理的な体制があったか、兆候を見逃していないか、発覚後に調査・是正・再発防止を行ったかです。ただし、証拠関係や発覚前後の経緯によって判断は変わる可能性があります。
一般的には、会社法上の明文の決定義務が常に発生するわけではなくても、取締役の善管注意義務、労務、税務、個人情報、業法、契約上の責任から、相応の統制が必要になることがあります。資金管理、印鑑管理、契約管理、労務管理、個人情報管理などの基本統制は、会社規模に応じて検討する必要があります。
一般的には、内部監査部門が存在するだけでは十分とはいえないとされています。独立性、権限、専門性、監査計画、報告経路、是正フォローが重要です。内部監査が重要リスクを検証できない事情がある場合、内部統制として不十分と評価される可能性があります。
一般的には、J-SOXは財務報告の信頼性を中心とするため、会社法上の内部統制をすべて満たすものではないとされています。会社法上は、法令遵守、リスク管理、業務効率、グループ統制、監査役等への報告など、より広い領域が問題になります。具体的には、会社法上の基本方針とJ-SOX評価を整合させて検討する必要があります。
証拠保全、利益相反確認、監査役等への報告、外部専門家、開示判断、再発防止を進めます。
内部統制システム構築義務は、平時だけでなく有事にこそ問われます。不祥事が発覚した場合は、事実確認と証拠保全を先行させ、経営陣が関与している可能性があれば独立した調査体制を検討し、監査役等および取締役会へ適時に報告します。
次の判断の流れは、不祥事発覚後に情報を止めず、証拠を保全し、独立性を確保しながら再発防止まで進める順番を表しています。上から順に確認することで、初動で遅らせてはいけない事項と、取締役会が判断すべき事項を読み取れます。
関係者、証拠、外部被害、会計・開示・規制への影響を確認します。
関与の疑いがある場合は独立調査体制を検討します。
証拠保全、外部専門家、当局・取引先対応、開示判断を進めます。
原因分析、規程改定、教育、監査強化、処分を記録します。
具体的な対応としては、事実、関係者、影響範囲、証拠、外部被害の把握、メール・チャット・PC・スマートフォン・ログ・会計データ・契約書の保全、利益相反確認、監査役等への報告、取締役会審議、外部専門家起用、当局・取引先・顧客対応、上場会社での開示判断、原因分析、再発防止が挙げられます。
取締役責任、証券・行政・刑事・レピュテーションへの波及と、多職種連携を整理します。
内部統制システム構築義務に違反した場合、取締役は会社に対して損害賠償責任を負う可能性があり、株主代表訴訟で責任追及されることもあります。第三者に損害が生じた場合には、会社法429条の責任が問題となる可能性もあります。
上場会社では、内部統制不備が財務報告の虚偽記載、適時開示違反、内部統制報告書の不適正、監査意見への影響、株価下落、証券訴訟、行政処分、上場管理上の措置につながることがあります。法令違反の内容によっては、取締役個人の刑事責任、会社の両罰規定、行政処分、課徴金、営業停止、入札参加停止、許認可取消し、取引停止、信用毀損が生じます。
責任を予防し、発覚後の対応を誤らないためには、多職種の役割を早めに整理しておく必要があります。次の表は、専門職・担当ごとの役割を示すもので、誰に何を依頼し、どの場面で独立性が必要かを読み取るために重要です。
| 専門職・担当 | 主な役割 |
|---|---|
| 弁護士・企業内弁護士 | 会社法決議、規程、法令遵守、不祥事調査、訴訟、当局対応を支援します。 |
| 外部弁護士 | 独立性が必要な調査、重大案件、海外案件、M&A、訴訟を支援します。 |
| 商事法務担当 | 取締役会、株主総会、事業報告、議事録、機関設計を管理します。 |
| コンプライアンス・内部統制担当 | 行動規範、研修、内部通報、贈収賄防止、反社対応、J-SOX、業務記述、統制文書、証跡管理を担います。 |
| 内部監査担当 | 統制の整備・運用を独立的に検証します。 |
| 公認会計士・税理士 | 財務報告内部統制、会計不正、監査、IPO支援、税務統制、税務調査対応を支援します。 |
| 社会保険労務士・弁理士・知財担当 | 労務管理、就業規則、労働時間、ハラスメント、知財管理、営業秘密、ライセンス、共同開発契約を支援します。 |
| デジタルフォレンジック専門家 | 不正調査、情報漏えい、ログ解析、証拠保全を担います。 |
| 監査役等・社外取締役 | 取締役・執行役の職務執行、内部統制、利益相反、有事対応を監督・監査します。 |
形式的な責任回避ではなく、適法・適正な経営を継続するための基盤として設計します。
内部統制システム構築義務の具体的内容は、会社法施行規則の項目を機械的に列挙するだけでは理解できません。会社の規模、業種、上場状況、子会社構造、海外展開、過去の不祥事、財務報告リスク、情報セキュリティリスク、労務リスク、規制リスクを踏まえ、取締役会が基本方針を決定し、代表取締役・業務執行部門が実装し、監査役等と内部監査が検証し、必要に応じて改善する継続的なプロセスです。
最後に、内部統制を経営インフラとして使う視点を整理します。次の重要ポイントは、制度の目的を「縛るためのルール」から「速く、正しく、説明できる経営の基盤」へ変えるために重要で、各項目を自社の取締役会報告・内部監査・規程改定へつなげて読むことができます。
適切に設計された内部統制は、権限と責任を明確にし、不正・事故を早期に発見し、取締役会の監督を実効化し、会社の信用を守ります。
企業法務の観点では、内部統制システム構築義務を、取締役の責任回避のための形式ではなく、会社が持続的に適法・適正な経営を行うための基盤として捉えることが重要です。
法令、監督当局資料、取引所資料、裁判例を中心に整理しています。