2σ Guide

内部統制システム構築義務の
具体的内容

会社法上の基本方針、会社法施行規則の法定項目、J-SOX、裁判例、平時の運用、有事対応まで、企業法務・ガバナンス実務で確認すべき論点を整理します。

5億/200億大会社の目安
6領域会社法施行規則の中核
3線現場・管理・監査の分担
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

内部統制システム構築義務の 具体的内容

決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。

動画を読み込み中…
2σ GUIDE ・ VIDEO
内部統制システム構築義務の 具体的内容
決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 内部統制システム構築義務の 具体的内容
  • 決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。

POINT 1

  • 内部統制システム構築義務の全体像
  • 決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。
  • 決議だけでは足りず、合理的な運用と見直しまでが問われます
  • 決議と実装をつなぐ
  • 万能ではない

POINT 2

  • 内部統制システム構築義務の意味とJ-SOXとの違い
  • 会社法 上の業務全般の統制と、金融商品取引法上の財務報告内部統制は重なりますが同一ではありません。
  • 内部統制システムとは、会社の業務が適正に行われるようにするための社内外の仕組みです。
  • 日常語でいえば、不正を起こしにくくし、起きても早く見つけ、見つけたら是正し、取締役会や監査役等が監督できる仕組みです。
  • 用語の違いを取り違えると、基本方針の作成だけで実務が止まりやすいため、各列の対象と目的を確認することが重要です。

POINT 3

  • 内部統制システム構築義務の法的根拠と法定項目
  • 情報保存管理
  • 取締役の職務執行に係る情報の保存・管理、閲覧、証拠保全を定めます。
  • 損失危険管理
  • 法令違反、品質不正、サイバー、会計不正など重要リスクの評価・報告・初動対応を定めます。

POINT 4

  • 内部統制システム構築義務を負う役割と分担
  • 取締役会が大綱を決め、業務執行側が実装し、監査機関と内部監査が検証します。
  • 内部統制システム構築義務の中心主体は、取締役および取締役会です。
  • 重要リスク、組織設計、権限配分、監督・報告経路、内部監査の位置付け、重大事案の上程基準、子会社管理方針を決めます。
  • 取締役会が定めた基本方針を、規程、組織、人員、システム、教育、監査、是正へ具体化して運用します。

POINT 5

  • 内部統制システム構築義務の具体的内容 ― 法定項目別
  • 情報保存、リスク管理、効率性、コンプライアンス、グループ管理、監査の実効性を実装します。
  • 法定項目は、社内制度へ置き換えて初めて機能します。
  • 契約管理、会計、個人情報、独禁法、労務、IT、営業秘密などは、いずれも内部統制の具体的な着地点です。

POINT 6

  • 裁判例から見る内部統制システム構築義務の水準
  • 通常想定される不正を防ぐ合理的体制があったか、兆候後に対応したかが重要です。
  • 大和銀行事件では、海外支店における巨額損失と隠蔽が問題となり、取締役のリスク管理体制構築・監視義務が厳しく問われました。
  • 日本システム技術事件は、内部統制システム構築義務の限界を示す重要判例です。
  • これらの項目は、平時の整備状況を点検するときの実務チェックにも使えます。

POINT 7

  • 内部統制システム構築義務を実装する実務設計
  • 基本方針、規程体系、三線モデル、取締役会報告をつなげます。
  • 第一線 ― 事業部門
  • 第二線 ― 管理部門
  • 第三線 ― 内部監査

POINT 8

  • 会社規模別に見る内部統制システム構築義務の対応
  • 上場会社・有価証券報告書提出会社
  • 会社法、J-SOX、コーポレートガバナンス・コード、適時開示、インサイダー取引規制、会計監査人監査が重なります。
  • 非上場大会社
  • 会社法上の内部統制決定義務があります。

まとめ

  • 内部統制システム構築義務の 具体的内容
  • 内部統制システム構築義務の全体像:決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。
  • 内部統制システム構築義務の意味とJ-SOXとの違い:会社法 上の業務全般の統制と、金融商品取引法上の財務報告内部統制は重なりますが同一ではありません。
  • 内部統制システム構築義務の法的根拠と法定項目:会社の機関設計に応じて、内部統制に関する決定主体と決定事項が変わります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

内部統制システム構築義務の全体像

決議、規程、責任部署、報告ライン、監査、是正、記録保存までを一体で考えます。

内部統制システム構築義務の具体的内容は、社内規程を作るだけの義務ではありません。会社および企業集団の業務が適正に行われるよう、取締役、取締役会、監査役等、執行役、内部監査、コンプライアンス、法務、経理財務、IT、子会社管理部門が連携し、会社の規模・業種・リスクに応じて設計し、運用し、監督し、記録し、改善する義務です。

全体像を読むうえでは、義務の射程を三つに分けると理解しやすくなります。この整理は、取締役会で何を決め、現場で何を動かし、有事に何を説明するかを切り分けるために重要で、各項目の違いから「決議だけで終わらない」ことを読み取れます。

決議だけでは足りず、合理的な運用と見直しまでが問われます

内部統制は、あらゆる不正を絶対に防ぐ制度ではありません。ただし、通常想定される不正・事故を予防し、兆候を早期に発見し、発覚後に調査・是正・再発防止へ進める合理的な体制が必要です。

実務上の要点は、平時と有事で義務の濃度が変わる点です。同種不祥事、内部通報、監査指摘、異常値、規制当局や会計監査人からの指摘などの兆候が出た後は、調査、是正、再発防止、取締役会報告の水準が高くなります。

次の一覧は、義務を三つの実務要点に分けたものです。項目ごとの目的を見比べることで、基本方針の決議、合理的な限界、有事対応の強度を同時に確認できます。

Point 01

決議と実装をつなぐ

法定項目を網羅した基本方針に加え、社内規程、責任部署、報告経路、監査方法、是正手続、記録保存を伴う運用体制が必要です。

Point 02

万能ではない

通常想定される不正・事故を防止または早期発見する合理的な体制が問題となり、あらゆる不祥事を完全に防ぐことまでは求められません。

Point 03

兆候後は水準が上がる

通報、監査指摘、異常データ、当局照会などがある場合、調査、監査役等への報告、取締役会審議、再発防止の密度が高まります。

Section 01

内部統制システム構築義務の意味とJ-SOXとの違い

会社法上の業務全般の統制と、金融商品取引法上の財務報告内部統制は重なりますが同一ではありません。

内部統制システムとは、会社の業務が適正に行われるようにするための社内外の仕組みです。会社法の文脈では、取締役の職務執行が法令・定款に適合することを確保する体制と、会社および子会社から成る企業集団の業務の適正を確保する体制が中心です。

日常語でいえば、不正を起こしにくくし、起きても早く見つけ、見つけたら是正し、取締役会や監査役等が監督できる仕組みです。個々の善意に依存せず、文書化された権限、職務分掌、承認手続、記録、監査、通報、教育、IT統制、子会社管理、危機対応を含む制度全体を意味します。

次の比較表は、構築、整備、運用、評価という言葉の違いと、会社法上の内部統制とJ-SOXの射程を整理したものです。用語の違いを取り違えると、基本方針の作成だけで実務が止まりやすいため、各列の対象と目的を確認することが重要です。

用語・制度意味実務で確認する点
構築会社として必要な仕組みを作ること。機関設計、リスク、子会社、業法を踏まえて必要な制度を選ぶ。
整備規程、組織、権限、システム、教育、報告経路を配置すること。責任部署、承認者、保存先、アクセス権限が明確かを確認する。
運用仕組みを継続的に機能させること。承認、研修、通報、監査、是正が実際に行われているかを確認する。
評価整備・運用が目的に照らして有効かを検証すること。内部監査、監査役等、会計監査人、取締役会報告で検証する。
会社法上の内部統制法令遵守、リスク管理、業務効率、グループ管理、監査の実効性など業務全般を対象とする。取締役会決議、事業報告、監査報告、任務懈怠責任の判断とつながる。
J-SOX主に財務報告の信頼性を対象とし、経営者評価と監査を前提とする。全社統制、決算財務報告、業務プロセス、IT統制を評価する。

内部統制システム構築義務は、取締役・取締役会等が、業務の適正を確保するための合理的な管理体制を設計・整備し、必要に応じて運用・監督・見直しを行うべき会社法上の義務です。善管注意義務・忠実義務の具体化として問題になる場面も多く、内部統制決議義務と任務懈怠責任の判断枠組みが交差します。

Section 03

内部統制システム構築義務を負う役割と分担

取締役会が大綱を決め、業務執行側が実装し、監査機関と内部監査が検証します。

内部統制システム構築義務の中心主体は、取締役および取締役会です。取締役会設置会社では、内部統制システムの基本方針は取締役会の専決事項に属し、代表取締役や執行役員へ丸投げすることはできません。

役割分担を誤ると、取締役会が細部に入りすぎる一方で重要リスクを見落とす、または業務執行側に任せきりになるという問題が起きます。次の一覧は、主体ごとの責任を並べたもので、誰が決め、誰が動かし、誰が検証するかを読み取るために使えます。

1

取締役・取締役会

重要リスク、組織設計、権限配分、監督・報告経路、内部監査の位置付け、重大事案の上程基準、子会社管理方針を決めます。

決定監督
2

代表取締役・業務執行取締役・執行役

取締役会が定めた基本方針を、規程、組織、人員、システム、教育、監査、是正へ具体化して運用します。

実装
3

社外取締役

内部統制基本方針、リスク管理報告、不祥事対応の場面で、経営陣の説明を独立した立場から検証します。

検証
4

監査役・監査等委員・監査委員

決議内容の相当性、運用上の重大不備、報告・情報アクセス・補助使用人・費用の確保を確認します。

監査
5

法務・コンプライアンス・内部監査

会社法決議、規程体系、研修、通報、反社、制裁・輸出管理、内部監査、是正状況の検証を担います。

管理
6

経理財務・IT・子会社管理

財務報告、決算統制、証憑、アクセス権限、ログ、セキュリティ、子会社報告、海外拠点管理を担います。

運用

監査役等は、取締役会資料を受け取るだけでは足りません。内部監査、会計監査人、法務・コンプライアンス、子会社監査役、外部専門家と連携し、内部通報や不祥事の兆候がある場合には、適時に説明を求めることが重要です。

Section 04

内部統制システム構築義務の具体的内容 ― 法定項目別

情報保存、リスク管理、効率性、コンプライアンス、グループ管理、監査の実効性を実装します。

法定項目は、社内制度へ置き換えて初めて機能します。次の表は、会社法施行規則の項目を、整備すべき規程・手続・証跡へ対応させたものです。列ごとの対応を追うことで、どの部門が何を記録し、どのリスクを取締役会や監査役等へ上げるべきかを確認できます。

法定項目整備する仕組み実務上の注意点
情報の保存・管理文書管理規程、情報管理規程、取締役会規程、稟議規程、電子契約・電子帳票ルール。議事録、稟議、契約、監査報告、通報調査記録、子会社報告を後日検証できる状態にします。
損失危険の管理リスク管理規程、危機管理規程、BCP、情報セキュリティ、個人情報、反社排除の規程。リスクマップ、台帳、オーナー、発生可能性・影響度、初動対応、当局対応、広報を設計します。
職務執行の効率性取締役会規程、経営会議規程、職務権限規程、業務分掌規程、稟議規程。重要事項と日常事項を分け、権限委譲と取締役会監督のバランスを取ります。
使用人の遵法体制コンプライアンス規程、行動規範、研修、法務審査、内部通報、懲戒・是正。研修だけでなく、違反が起きやすい業務に承認、相談、記録、上程基準を組み込みます。
企業集団の業務適正関係会社管理規程、子会社権限規程、月次報告、事故速報、グループ内部監査。海外子会社、買収先、委託先、代理店、JVなど親会社の目が届きにくい領域を管理します。
監査役等への報告定期報告、臨時報告基準、直接報告経路、不利益取扱い禁止、子会社からの報告。経営陣に不都合な情報も監査役等へ届くよう、報告者保護と直接アクセスを確保します。
補助使用人・費用・外部専門家監査役室、補助者の独立性、人事評価への同意・意見反映、監査費用、専門家起用手続。補助者が業務執行側の評価を恐れて監査役等の指示に従えない状態を避けます。
内部通報と報告者保護社内窓口、外部窓口、監査役等への直接通報、匿名通報、調査手続、報復禁止。通報件数ゼロは良い兆候とは限らず、制度不信や報復懸念の有無を確認します。

契約管理、会計、個人情報、独禁法、労務、IT、営業秘密などは、いずれも内部統制の具体的な着地点です。特に「決裁された」という結果だけでなく、「なぜその決裁に至ったか」「反対意見やリスク指摘がどう扱われたか」を記録することが、後日の説明責任に直結します。

注意議事録が形式的で、重要なリスク指摘や反対意見が残されていない場合、取締役会が合理的に監督したことを説明しにくくなります。
Section 05

裁判例から見る内部統制システム構築義務の水準

通常想定される不正を防ぐ合理的体制があったか、兆候後に対応したかが重要です。

大和銀行事件では、海外支店における巨額損失と隠蔽が問題となり、取締役のリスク管理体制構築・監視義務が厳しく問われました。会社が大規模化・国際化し、経営者がすべての業務を直接把握できない場合、適切なリスク管理体制を構築し、運用状況を監視する必要があります。

日本システム技術事件は、内部統制システム構築義務の限界を示す重要判例です。従業員による架空売上計上が問題となりましたが、職務分掌、営業部門と財務部門の分離、売掛金残高確認など、通常想定される不正を防ぐ管理体制が存在したと評価されました。

二つの裁判例を並べると、義務違反の判断は不祥事の発生だけで決まらないことが分かります。次の比較表は、リスクの予見可能性、体制の設計・運用、兆候後の対応を読み比べるためのものです。

裁判例・観点実務上の示唆確認すべき資料
大和銀行事件大規模・国際的な業務では、金融取引、海外拠点、職務分掌、権限管理、検査・監査、異常取引の報告体制が重視されます。海外拠点規程、取引権限、監査報告、異常取引報告、取締役会資料。
日本システム技術事件通常想定される不正を防ぐ体制が実際に整備され、同種不正の兆候など特段の事情がない場合、任務懈怠が否定され得ます。職務分掌、売掛金確認、営業・財務分離、監査結果、通報・異常値の有無。
共通する判断軸会社の規模・業種・リスクに応じた合理性、運用実態、取締役会の関与、監査役等の情報アクセス、是正対応が問われます。規程、議事録、監査計画、是正管理表、再発防止資料。

裁判所が見やすい要素は、会社の規模・業種、リスクの予見可能性、体制の設計、体制の運用、取締役会の関与、監査役等の独立性、是正対応です。これらの項目は、平時の整備状況を点検するときの実務チェックにも使えます。

Section 06

内部統制システム構築義務を実装する実務設計

基本方針、規程体系、三線モデル、取締役会報告をつなげます。

まず、取締役会等で内部統制システムの基本方針を決議します。基本方針は、法定項目を網羅しつつ、自社の事業リスクに即した内容である必要があります。他社の開示例をそのまま流用すると、会社固有のリスクが抜け落ちます。

規程体系は、基本方針を現場で動かすための骨組みです。次の表は、代表的な規程と主な役割をまとめたものです。規程名だけでなく、各規程がどの承認・報告・保存・監査に接続するかを読み取ることが重要です。

規程主な役割
取締役会規程付議事項、報告事項、決議手続、議事録を定めます。
職務権限規程・稟議規程役職・会議体ごとの承認権限、添付資料、承認経路、保存方法を定めます。
文書管理規程保存期間、保存場所、閲覧権限、廃棄手続を定めます。
リスク管理規程・危機管理規程リスク評価、報告、対応、委員会体制、有事の初動を定めます。
コンプライアンス規程・内部通報規程行動規範、教育、違反対応、通報窓口、調査、通報者保護を定めます。
内部監査規程内部監査の権限、独立性、監査計画、報告、是正確認を定めます。
関係会社管理規程子会社の重要事項承認、報告、監査、事故速報を定めます。
情報セキュリティ・個人情報・反社排除規程アクセス、ログ、委託先管理、漏えい対応、取引審査、関係遮断を定めます。

三線モデルは、現場、管理部門、内部監査の責任を分ける考え方です。次の一覧は、各線の役割と代替統制の考え方を示します。人員が少ない会社でも、承認者と実行者の分離、外部専門家の活用、監査役・社外役員への報告強化という読み方ができます。

First

第一線 ― 事業部門

売上、購買、開発、製造、サービス提供など、リスクを発生させる現場が一次的にリスクを管理します。

Second

第二線 ― 管理部門

法務、コンプライアンス、リスク管理、経理財務、情報セキュリティ、人事労務がルールを示し、相談、監視、統制設計を担います。

Third

第三線 ― 内部監査

第一線・第二線から独立した立場で整備・運用状況を検証し、取締役会、監査役等、経営陣に報告します。

取締役会への報告設計では、誰が、どの情報を、どの頻度で、どの粒度で報告するかを決めます。件数だけでは不十分で、発生原因、傾向、再発防止、期限、責任部署、未了事項まで分かる形式にする必要があります。

  • 重大リスク一覧と対応状況
  • 内部監査計画と監査結果
  • コンプライアンス研修、内部通報件数、重要事案、是正状況
  • 訴訟・紛争・当局調査、情報セキュリティ事故、個人情報漏えい、システム障害
  • 子会社の重要事項、財務報告内部統制、会計監査人からの指摘
Section 07

会社規模別に見る内部統制システム構築義務の対応

上場会社、非上場大会社、中小企業、スタートアップでは、優先順位が変わります。

内部統制の水準は、会社の規模、上場状況、規制、子会社構造、資本政策によって変わります。次の比較一覧は、会社類型ごとに重視すべき論点を示すもので、同じ内部統制でもどの領域から整えるべきかを読み取るために重要です。

上場会社・有価証券報告書提出会社

会社法、J-SOX、コーポレートガバナンス・コード、適時開示、インサイダー取引規制、会計監査人監査が重なります。内部監査の独立性、財務報告評価範囲、会計監査人との連携、開示統制、海外子会社・買収先統合が重要です。

非上場大会社

会社法上の内部統制決定義務があります。開示圧力が弱い分、取締役会や監査役等による実質的監督が重要で、オーナー経営者の権限集中、親族取引、関連会社取引、資金流用、後継者問題、内部通報の萎縮に注意します。

中小企業

明文の決定義務が常に発生するわけではありませんが、労務、個人情報、下請法、景品表示法、業法、税務、反社排除などの基本統制は必要です。資金、印鑑、契約書、労働時間、個人情報の管理が出発点です。

スタートアップ・IPO準備会社

スピードを優先して未整備になりやすく、IPO準備では取締役会運営、規程体系、決裁権限、反社チェック、関連当事者取引、J-SOX、労務、情報セキュリティの整備が急務になります。

中小企業で現実的に整える最小限の体制は、重要契約・支払・借入・採用・懲戒の承認、現金・預金・印鑑・電子決裁権限の分離、契約書・請求書・領収書・議事録の保存、就業規則、ハラスメント相談、労働時間管理、個人情報管理、反社チェック、専門家への相談経路です。

IPO準備会社では、取締役会の定例化、議案・議事録整備、職務権限規程、稟議規程、契約管理、月次決算早期化、予実管理、内部監査、監査役等との連携、内部通報窓口を早期に整えることが重要です。

Section 08

業務領域別の内部統制システム構築義務

契約、会計、労務、個人情報、IT、知財、競争法、M&Aへ具体化します。

内部統制は抽象的な理念ではなく、日々の業務に組み込まれて初めて機能します。次の一覧は、業務領域ごとの典型的な統制項目を示すもので、自社のリスク台帳や内部監査計画に反映すべき領域を読み取るために重要です。

A

契約・取引法務

契約締結権限、法務レビュー、反社条項、個人情報条項、知的財産条項、損害賠償、解除、準拠法、契約更新管理を整えます。

契約
B

会計・財務報告

売上、費用、棚卸資産、固定資産、引当金、関係会社取引、資金管理、支払承認、銀行口座管理を統制します。

会計
C

労務・人事

労働時間、賃金、36協定、ハラスメント、懲戒、解雇、メンタルヘルス、労災、個人情報を管理します。

労務
D

個人情報・プライバシー

取得目的、同意、第三者提供、委託、共同利用、越境移転、安全管理措置、漏えい時報告、本人対応を整えます。

個情
E

IT・サイバーセキュリティ

ID管理、権限付与・削除、職務分掌、システム変更管理、ログ、バックアップ、脆弱性管理、クラウド利用、事故対応を管理します。

IT
F

知的財産・営業秘密

発明届出、職務発明、商標、著作権、OSS利用、ライセンス、共同研究、営業秘密のアクセス制限と持出し管理を整えます。

知財
G

独禁法・競争法・下請法

競合接触、価格情報交換、入札、業界団体、販売店政策、優越的地位、下請取引、企業結合の相談・承認・記録を整えます。

競争法
H

M&A・組織再編

デューデリジェンス、表明保証、買収後統合、権限規程、決算体制、通報、情報セキュリティ、反社チェック、労務管理を接続します。

M&A

営業秘密は、秘密として管理されていなければ保護が弱くなります。アクセス制限、秘密表示、持出し管理、退職時誓約、競合転職時対応、ログ監視は、知財統制と情報セキュリティ統制の接点です。

Section 09

内部統制システム構築義務と事業報告・監査

決定内容の概要と運用状況の概要は、監査と説明責任に直結します。

内部統制システムについて決定した会社では、その決定内容の概要および運用状況の概要が事業報告の記載事項となります。事業報告は定時株主総会に提出・提供され、監査役等の監査対象にもなります。

開示上は過度に詳細な内部情報を記載する必要はありませんが、定型文だけでは実態が見えません。次の表は、事業報告や監査で説明しやすい運用状況の例を示します。実施した会議、研修、監査、通報対応、子会社管理、情報セキュリティ施策を客観的に示すことが重要です。

領域記載・確認の例監査で見られる点
取締役会運営内部統制基本方針の見直し、重大リスク報告、議事録の保存。重要論点が取締役会で議論されているか。
研修・通報コンプライアンス研修、通報件数、重要事案、是正状況。件数だけでなく、傾向分析と再発防止があるか。
内部監査監査計画、監査結果、指摘、是正フォロー。リスクに基づいた監査対象選定か。
子会社管理月次報告、事故速報、子会社監査、海外拠点の対応。親会社に重大情報が届く設計か。
情報セキュリティアクセス権限、ログ、事故対応訓練、委託先管理。事故時の記録と再発防止が残っているか。

監査役等は、内部統制システムに関する取締役会決議の内容が相当でないと認める場合、その旨と理由を監査報告に記載します。そのため、監査役等が「指摘すべき事項はない」と判断できるだけの情報提供と証跡が必要です。

Section 10

内部統制システム構築義務に関する取締役会決議の骨子

法定項目を網羅し、自社固有のリスクへ接続する形で基本方針を定めます。

取締役会決議は、会社法および会社法施行規則に基づき、会社および子会社から成る企業集団の業務の適正を確保するための基本方針を定めるものです。次の表は骨子例を実務項目へ整理したもので、各行を自社の機関設計、業種、規模、上場状況、子会社構成に合わせて修正する必要があります。

項目決議に入れる骨子
1取締役および使用人の職務執行が法令および定款に適合することを確保するため、コンプライアンス規程、行動規範、内部通報制度、教育研修体制を整備し、法令違反等の予防、早期発見および是正を図る。
2取締役の職務執行に係る情報について、文書管理規程その他の社内規程に基づき、適切に作成、保存、管理し、取締役および監査役等が必要に応じて閲覧できる体制を整備する。
3損失の危険の管理について、リスク管理規程を定め、事業上の重要リスクを把握、評価、管理し、重大リスクについては取締役会に報告する。
4取締役の職務執行が効率的に行われることを確保するため、取締役会規程、職務権限規程、稟議規程その他の社内規程に基づき、意思決定権限と責任を明確にする。
5グループにおける業務の適正を確保するため、関係会社管理規程を定め、子会社の重要事項に関する承認・報告体制、グループ内部監査、グループ共通のコンプライアンス体制を整備する。
6監査役等の職務が実効的に行われることを確保するため、監査役等への報告体制、補助使用人の配置、補助使用人の独立性、監査費用の処理、内部監査および会計監査人との連携体制を整備する。
7財務報告の適正性を確保するため、財務報告に係る内部統制を整備し、その有効性を評価し、必要な是正を行う。
8基本方針および内部統制システムの運用状況について、取締役会は定期的に報告を受け、必要に応じて見直しを行う。

骨子は、形式的に長くすればよいわけではありません。会社固有のリスク、実際の承認経路、監査役等への報告、子会社管理、J-SOXとの関係、情報セキュリティ、個人情報、反社、内部通報を、実際に運用できる粒度へ落とし込むことが重要です。

Section 11

内部統制システム構築義務を運用するロードマップ

初期診断から是正報告まで、継続的な改善サイクルとして運用します。

内部統制は、一度作って終わる制度ではありません。次の時系列は、現状把握、リスク評価、規程改定、教育、監査、是正報告という順番を示しています。この順番を追うことで、どの段階で資料を集め、どの段階で取締役会・監査役等へ報告するかを確認できます。

Step 01

初期診断

定款、登記、機関設計、取締役会議事録、経営会議議事録、職務権限規程、稟議規程、文書管理規程、通報規程、内部監査報告、会計監査人指摘、重大クレーム、事故、訴訟、当局照会、情報セキュリティ事故を収集します。

Step 02

リスク評価

業種、取引形態、顧客、国・地域、規制、財務構造、IT依存度、個人情報量、子会社数、海外展開、過去の不祥事から重要リスクを特定します。

Step 03

基本方針・規程改定

基本方針と規程体系を整え、現場で実行できる承認経路、報告基準、チェックリスト、教育資料へ落とし込みます。

Step 04

運用開始と教育

役員、管理職、現場担当者、子会社役職員に対し、職務別の研修、ケーススタディ、理解度テスト、誓約、定期リマインドを実施します。

Step 05

モニタリングと内部監査

リスク評価に基づき、新規事業、買収先、海外子会社、委託先、前回指摘が残る領域を重点的に検証します。

Step 06

是正と取締役会報告

不備が見つかった場合は、期限、責任者、実施内容を明確にした是正計画を作り、重大な不備は取締役会および監査役等に報告し、完了後に再確認します。

リスク評価では、発生可能性が低いが影響が甚大なリスクと、発生可能性が高く累積損害が大きいリスクの双方を見落とさないことが重要です。

Section 12

内部統制システム構築義務の実務チェックリスト

取締役会、文書管理、リスク、コンプライアンス、グループ、監査、財務報告を点検します。

チェックリストは、内部統制を網羅的に点検するための入口です。次の表は、このページで扱う確認項目を領域ごとに整理したもので、空欄を埋めるのではなく、証跡が存在するか、運用が続いているか、重大リスクが取締役会へ届くかを読み取ることが重要です。

領域確認項目
取締役会・ガバナンス基本方針の決議、法定項目の網羅、会社固有リスクの反映、運用状況の定期報告、重大不祥事・重大リスクの臨時報告基準、社外取締役の情報アクセス、重要なリスク議論の議事録化。
情報保存・文書管理文書管理規程、取締役会・経営会議・稟議・契約・監査報告の保存期間、電子データの改ざん防止・アクセス制御・バックアップ、訴訟・調査時の証拠保全手続。
リスク管理リスク管理規程、リスクマップまたはリスク台帳、リスクオーナー、重大リスクの取締役会報告、危機管理規程、BCP、インシデント対応手順。
コンプライアンス行動規範、コンプライアンス規程、役職・業務別研修、内部通報制度、通報者・報告者の不利益取扱い禁止、贈収賄、独禁法、下請法、個人情報、反社、輸出管理など重要法令への対応体制。
グループ内部統制関係会社管理規程、子会社重要事項の親会社承認・報告基準、重大事故・不祥事・訴訟・当局調査の速報、子会社内部監査、海外子会社の現地法・贈収賄・制裁・個人情報・労務リスクの把握。
監査役等・内部監査監査役等への報告体制、内部監査・会計監査人との定期連携、補助使用人の独立性、指示の実効性、監査費用、外部専門家起用手続、内部監査の独立性。
財務報告内部統制全社的な内部統制の評価、決算・財務報告プロセス統制、重要な業務プロセスの文書化、IT全般統制・IT業務処理統制の評価、重要な不備発見時の是正・開示手順。
Section 13

内部統制システム構築義務のよくある誤解

規程作成、不祥事発生、中小企業、内部監査、J-SOXの関係を一般情報として整理します。

規程を作れば義務を果たしたといえますか

一般的には、規程は内部統制の一部にすぎないとされています。実際に教育され、承認され、記録され、監査され、違反時に是正される必要があります。ただし、会社の規模、業種、機関設計、リスク、既存の運用状況によって結論は変わる可能性があります。具体的な対応は、資料を整理したうえで専門家へ相談する必要があります。

不祥事が起きたら直ちに義務違反になりますか

一般的には、不祥事の発生だけで直ちに義務違反と評価されるわけではないとされています。問題は、会社の規模・業種・リスクに照らして合理的な体制があったか、兆候を見逃していないか、発覚後に調査・是正・再発防止を行ったかです。ただし、証拠関係や発覚前後の経緯によって判断は変わる可能性があります。

中小企業には関係がない制度ですか

一般的には、会社法上の明文の決定義務が常に発生するわけではなくても、取締役の善管注意義務、労務、税務、個人情報、業法、契約上の責任から、相応の統制が必要になることがあります。資金管理、印鑑管理、契約管理、労務管理、個人情報管理などの基本統制は、会社規模に応じて検討する必要があります。

内部監査部門があれば取締役は安心ですか

一般的には、内部監査部門が存在するだけでは十分とはいえないとされています。独立性、権限、専門性、監査計画、報告経路、是正フォローが重要です。内部監査が重要リスクを検証できない事情がある場合、内部統制として不十分と評価される可能性があります。

J-SOX対応をしていれば会社法上も十分ですか

一般的には、J-SOXは財務報告の信頼性を中心とするため、会社法上の内部統制をすべて満たすものではないとされています。会社法上は、法令遵守、リスク管理、業務効率、グループ統制、監査役等への報告など、より広い領域が問題になります。具体的には、会社法上の基本方針とJ-SOX評価を整合させて検討する必要があります。

Section 14

不祥事発覚時に問われる内部統制システム構築義務

証拠保全、利益相反確認、監査役等への報告、外部専門家、開示判断、再発防止を進めます。

内部統制システム構築義務は、平時だけでなく有事にこそ問われます。不祥事が発覚した場合は、事実確認と証拠保全を先行させ、経営陣が関与している可能性があれば独立した調査体制を検討し、監査役等および取締役会へ適時に報告します。

次の判断の流れは、不祥事発覚後に情報を止めず、証拠を保全し、独立性を確保しながら再発防止まで進める順番を表しています。上から順に確認することで、初動で遅らせてはいけない事項と、取締役会が判断すべき事項を読み取れます。

不祥事発覚後の判断の流れ

事実と影響範囲を把握

関係者、証拠、外部被害、会計・開示・規制への影響を確認します。

経営陣関与や利益相反の有無を確認

関与の疑いがある場合は独立調査体制を検討します。

兆候あり
監査役等・取締役会へ速やかに報告

証拠保全、外部専門家、当局・取引先対応、開示判断を進めます。

兆候なし
通常調査と再発防止へ進む

原因分析、規程改定、教育、監査強化、処分を記録します。

具体的な対応としては、事実、関係者、影響範囲、証拠、外部被害の把握、メール・チャット・PC・スマートフォン・ログ・会計データ・契約書の保全、利益相反確認、監査役等への報告、取締役会審議、外部専門家起用、当局・取引先・顧客対応、上場会社での開示判断、原因分析、再発防止が挙げられます。

重要有事対応で避けるべきなのは、経営陣に都合の悪い情報を隠すこと、通報者を特定・攻撃すること、証拠を削除すること、監査役等への報告を遅らせること、外部専門家の独立性を損なうこと、原因分析を個人の不注意だけで終わらせることです。
Section 15

内部統制システム構築義務違反の責任と専門職の役割

取締役責任、証券・行政・刑事・レピュテーションへの波及と、多職種連携を整理します。

内部統制システム構築義務に違反した場合、取締役は会社に対して損害賠償責任を負う可能性があり、株主代表訴訟で責任追及されることもあります。第三者に損害が生じた場合には、会社法429条の責任が問題となる可能性もあります。

上場会社では、内部統制不備が財務報告の虚偽記載、適時開示違反、内部統制報告書の不適正、監査意見への影響、株価下落、証券訴訟、行政処分、上場管理上の措置につながることがあります。法令違反の内容によっては、取締役個人の刑事責任、会社の両罰規定、行政処分、課徴金、営業停止、入札参加停止、許認可取消し、取引停止、信用毀損が生じます。

責任を予防し、発覚後の対応を誤らないためには、多職種の役割を早めに整理しておく必要があります。次の表は、専門職・担当ごとの役割を示すもので、誰に何を依頼し、どの場面で独立性が必要かを読み取るために重要です。

専門職・担当主な役割
弁護士・企業内弁護士会社法決議、規程、法令遵守、不祥事調査、訴訟、当局対応を支援します。
外部弁護士独立性が必要な調査、重大案件、海外案件、M&A、訴訟を支援します。
商事法務担当取締役会、株主総会、事業報告、議事録、機関設計を管理します。
コンプライアンス・内部統制担当行動規範、研修、内部通報、贈収賄防止、反社対応、J-SOX、業務記述、統制文書、証跡管理を担います。
内部監査担当統制の整備・運用を独立的に検証します。
公認会計士・税理士財務報告内部統制、会計不正、監査、IPO支援、税務統制、税務調査対応を支援します。
社会保険労務士・弁理士・知財担当労務管理、就業規則、労働時間、ハラスメント、知財管理、営業秘密、ライセンス、共同開発契約を支援します。
デジタルフォレンジック専門家不正調査、情報漏えい、ログ解析、証拠保全を担います。
監査役等・社外取締役取締役・執行役の職務執行、内部統制、利益相反、有事対応を監督・監査します。
Section 16

内部統制システム構築義務を経営インフラとして使う

形式的な責任回避ではなく、適法・適正な経営を継続するための基盤として設計します。

内部統制システム構築義務の具体的内容は、会社法施行規則の項目を機械的に列挙するだけでは理解できません。会社の規模、業種、上場状況、子会社構造、海外展開、過去の不祥事、財務報告リスク、情報セキュリティリスク、労務リスク、規制リスクを踏まえ、取締役会が基本方針を決定し、代表取締役・業務執行部門が実装し、監査役等と内部監査が検証し、必要に応じて改善する継続的なプロセスです。

最後に、内部統制を経営インフラとして使う視点を整理します。次の重要ポイントは、制度の目的を「縛るためのルール」から「速く、正しく、説明できる経営の基盤」へ変えるために重要で、各項目を自社の取締役会報告・内部監査・規程改定へつなげて読むことができます。

内部統制は、経営判断を遅くするだけの仕組みではありません

適切に設計された内部統制は、権限と責任を明確にし、不正・事故を早期に発見し、取締役会の監督を実効化し、会社の信用を守ります。

企業法務の観点では、内部統制システム構築義務を、取締役の責任回避のための形式ではなく、会社が持続的に適法・適正な経営を行うための基盤として捉えることが重要です。

Reference

参考資料

法令、監督当局資料、取引所資料、裁判例を中心に整理しています。

法令・制度資料

  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」
  • e-Gov法令検索「金融商品取引法」
  • e-Gov法令検索「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」

金融庁・取引所資料

  • 金融庁「内部統制報告制度に関する公表資料」
  • 金融庁・企業会計審議会「財務報告に係る内部統制の評価及び監査の基準並びに実施基準の改訂に関する意見書」
  • 日本取引所グループ「改訂コーポレートガバナンス・コードの公表」
  • 金融庁・東京証券取引所「コーポレートガバナンス・コード改訂案の公表」

裁判例・実務解説

  • 大阪地判平成12年9月20日・判例時報1721号3頁(大和銀行事件)
  • 最判平成21年7月9日・裁判集民事231号241頁、判例時報2055号147頁(日本システム技術事件)
  • 法律実務解説(内部統制システムで決定すべき具体的内容に関する解説)
  • 法律実務解説(内部統制システムの整備項目と開示に関する解説)