内部統制システムとは？会社法・金融商品取引法の定義、義務化された企業と構築のポイント

「内部統制」という言葉を耳にすると、「法令遵守のための堅苦しいルール作り」と受け止められ、取り組みへのハードルを感じる方も少なくありません。
しかし、内部統制とは本来、「企業の事業活動を健全かつ効率的に行うための仕組みそのもの」を指します。つまり、取締役や取締役会、監査役、内部監査部門といった社内管理体制を整備するための機関や組織が整合性を持って機能し、相乗的に高い指揮・監督機能を有する状態のことです。
IPOを目指す企業にとっては、内部統制システムの構築は避けて通れないハードルであり、単なる上場審査の通過儀礼ではありません。企業が持続的な成長を遂げ、社会的な信頼を獲得するために不可欠な経営基盤を築くプロセスなのです。本コラムでは、会社法および金融商品取引法における定義から、内部統制の構築のポイント、実務上の注意点までを網羅的に解説します。

1.内部統制システムとは？

内部統制システムとは、不正行為や情報漏洩などの不祥事の発生を防ぐと同時に、業務を効率的・効果的に実行するための社内管理体制のことです。取締役会設置会社のうち一定規模以上の会社（大会社）や、有価証券報告書の提出義務を負う上場企業などは、会社法と金融商品取引法の2つの法律に基づき、内部統制システムの整備が義務付けられています。また、法律で義務付けられていない会社、たとえば中小企業においても内部統制システムの導入は可能です。

1-1.会社法における内部統制システム

会社法上、取締役会は「取締役の職務の執行が法令及び定款に適合することを確保するための体制」その他、「会社および企業集団の業務の適正を確保するための体制（内部統制システム）」を決定する権限と責任を負っています（会社法362条4項6号）。
この内部統制システムについて、より具体的な内容を定めているのが会社法施行規則100条です。同条では次のような事項について、取締役会が体制を決定することを求めています。

• 取締役の職務執行に関する情報の保存・管理体制
• 会社の損失の危険を管理するためのリスク管理体制
• 取締役の職務執行を効率的に行うための体制
• 会社の使用人（当該使用人）の職務執行が法令・定款に適合することを確保する体制
• 企業グループ全体として業務の適正を確保するための体制

出典：e-Gov法令検索「会社法 第362条4項6号」

出典：e-Gov法令検索「会社法施行規則 第100条」

1-2.金融商品取引法における内部統制システム

一方、金融商品取引法では、主に「財務報告の信頼性」を確保するための内部統制が求められます。有価証券報告書の提出義務を負う会社（上場企業等）は、事業年度ごとに「内部統制報告書」を内閣総理大臣に提出しなければなりません（金融商品取引法24条の4の4第1項）。また、この内部統制報告書には、公認会計士または監査法人による監査証明が必要です（同法193条の2第2項）。
金融庁は「財務報告に係る内部統制の評価及び監査の基準」において、財務計算に関する書類その他の情報の適正性を確保するために必要な体制を「財務報告に係る内部統制」と定義し、企業グループ全体を対象とした内部統制の枠組みを示しています。
IPOを目指す企業は、上場準備の早い段階から、会社法上の内部統制と金融商品取引法（J-SOX）における内部統制の位置づけ・考え方を理解しておくことが重要です。IPOの実務上は、J-SOX対応をする中で会社法の内部統制要件も充足していきます。それぞれの法律に個別に対応するというよりは、J-SOXを見据えた内部統制整備を進めることが合理的です。

出典：e-Gov法令検索「金融商品取引法24条の4の4第1項」

出典：金融庁「財務報告に係る内部統制の評価及び監査の基準」

2.内部統制システムの構築が義務付けられている企業

内部統制システムの構築は、すべての企業に一律に義務付けられているわけではありません。会社の規模や社会的影響力の大きさに応じて、適用の範囲が異なります。

2-1.会社法で義務付けられている企業

会社法上、内部統制システムの整備義務が明確に課されているのは、「大会社」である取締役会設置会社です（会社法362条、会社法施行規則100条）。大会社とは、「資本金が5億円以上」もしくは「負債の額が200億円以上」のいずれかに該当する株式会社を指します。この条件を満たす取締役会設置会社は、会社法施行規則100条に定められた各種体制整備について、取締役会で基本方針を決定し、実際に運用していかなければなりません。

出典：e-Gov法令検索「会社法 362条」

出典：e-Gov法令検索「金融商品取引法24条の4の4第1項」

2-2.金融商品取引法で義務付けられている企業

金融商品取引法で内部統制報告書の提出が義務付けられるのは、「有価証券報告書の提出義務を負う上場有価証券等の発行会社」です。具体的には「金融商品取引所に株式や社債などを上場している企業」と「一定の規模以上の有価証券を発行しており、有価証券報告書の提出義務がある企業」が該当します。これらの企業は、財務報告の信頼性に関する内部統制の有効性を示すために、経営者が自ら評価した結果を内部統制報告書として開示し、その内容について監査法人による監査を受ける必要があります。

出典：e-Gov法令検索「金融商品取引法 24条 第4号」

3.内部統制の4つの目的と6つの基本的要素

金融庁の企業会計審議会が公表している「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の「4つの目的」と、これらの目的を達成するために必要な「6つの基本的要素」が定義されています。

3-1.内部統制の4つの目的

金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の目的を次の4つに整理しています。

これらの目的は独立しているわけではなく、相互に関連し合っています。たとえば、業務プロセスを標準化して効率性を高めるとミスの削減につながり、結果として報告の信頼性向上や資産の保全にも寄与します。

出典：金融庁「財務報告に係る内部統制の評価及び監査の基準」

3-2.内部統制に必要な6つの基本的要素

上記の4つの目的を達成するために企業が整備・運用すべき要素として、金融庁の基準では以下の6つが提示されています。

4つの目的は「何のために内部統制を行うのか」を示し、6つの要素は「どのような観点から内部統制システムの構築に取り組むのか」を示すものです。両者の関係を整理することで、内部統制の枠組みを体系的に理解しやすくなります。

出典：金融庁「財務報告に係る内部統制の評価及び監査の基準」

【関連コラム】

• 内部統制とは？4つの目的・6つの基本的要素から上場準備との関係を解説

4.内部統制システムを構築するメリット

内部統制システムを積極的に構築することは、法令対応という義務的な側面に限らず、企業経営自体に多大なメリットをもたらします。

4-1.不正の防止

内部統制システムを構築する最大のメリットは、社内外の不正リスクを大幅に低減できることです。「不正行為を防止すること、万が一防止できなかったとしてもすぐに発見できる仕組み」を構築することで、粉飾決算などの虚偽の財務報告や従業員による横領、不正な経費申請などを防止し、また早期に検知・対応することができます。具体的には、職務の分担（職務分掌）を明確にし、特定の担当者に権限が集中しないようにすることや、承認プロセスのシステム化、AI技術を使用した監査ツールなどを導入し、ヒューマンエラーや故意の不正を検知する体制を構築することが重要です。

4-2.業務の効率化

「内部統制＝手間が増える」と思われがちですが、正しく構築すれば業務効率は向上します。システム構築の過程で、既存の業務プロセスの棚卸しと可視化を行うことで、長年の慣習とで行っていた作業や非効率な手順、属人的で不明瞭な業務フローを削減・最適化できるためです。
また、業務ごとに標準化されたマニュアルが整備されることで作業の属人化が排除され、特定の担当者が不在の場合でも業務の継続性が確保されます。その結果、従業員一人ひとりの業務負担も軽減されます。

4-3.企業への信頼性が向上する（社会的信用の獲得）

内部統制システムを整備し、適切に運用していることを「内部統制報告書」などを通じて社外に公表することは、企業の透明性を高めることと同義です。投資家や株主、取引先、金融機関などのステークホルダーは、「この会社はリスク管理がしっかりしており、出された数字（財務諸表）も信用できる」と判断するでしょう。透明性を高めることで、投資家の安心感や長期的な信頼醸成につながり、ひいては企業価値の向上を期待することができます。

5.内部統制システムを構築・運用する上での注意点

内部統制システムは「一度作ったら終わり」ではありません。効果的に運用するためには、いくつかの重要な注意点があります。

5-1.継続的な見直しを行うこと

ビジネス環境は常に変化しています。たとえば、新規事業の立ち上げやM&Aによる組織拡大、IT技術の進化、法改正など、企業を取り巻くリスクは刻々と変わります。そのため、毎年定期的に運用状況を評価し、システムをアップデートしていく必要があります。更新を怠れば、内部統制システムは現場の実態から乖離していき、単なる「形式的なルール」へと形骸化するリスクが高まります。常に「現在のリスクは何か」「今のコントロール（統制）で十分か」を問い続け、業務環境やリスク状況に応じて運用方法を再構築し、実効性の高い体制を維持し続ける姿勢が不可欠です。

5-2.構成員の役割を明確化すること

内部統制は、一部の管理部門や経営陣だけで行うものではありません。組織内のすべての者が関与して初めて機能するプロセスです。内部統制システムを有効に機能させるには、以下のとおり、構成員がそれぞれの役割と責任を明確に理解し、日々の業務の中で実行することが重要です。

• 経営者：最終責任者として社内組織を通じて内部統制の整備および運用を主導
• 取締役会：経営者の業務執行を監督し内部統制システムの基本方針を決定
• 監査役等（監査等委員会・監査委員会含む）：取締役および執行役の職務執行を監査し、内部統制システムの構築・運用状況を独立した立場から監視・検証
• 内部監査人（内部監査部門）：内部統制システムの有効性を組織内部において独立的・客観的に評価し、発見した不備の改善を促進
• 従業員：自らの業務との関連から内部統制の目的を理解し、定められたルールや手続きに従って有効な内部統制の整備および運用において一定の役割を担当

6.内部統制システム構築のポイント

それでは、実際にどのような手順でシステムを構築していけばよいのでしょうか。会社法と金融商品取引法、それぞれに基づくポイントを解説します。

6-1.会社法に基づく、内部統制システム整備のために定める事項

○共通で定める事項

会社法施行規則100条1項では、内部統制システムの整備を義務付けられる会社が共通して定めるべき事項として、次を挙げています。

• 取締役の職務執行に関する情報の保存・管理体制
• 会社の損失の危険を管理するリスク管理体制
• 取締役の職務執行を効率的に行う体制（権限委譲や職務分掌など）
• 使用人の職務執行が法令・定款・社内規程に適合することを確保する体制
• 子会社を含む企業グループにおける業務の適正を確保するための体制（子会社からの報告体制やグループリスクの把握など）

ここで重要なのは、単に「取り決めをまとめた文書を作成する」のではなく、実際にどのような組織構造・規程・プロセス・ITシステムを用いてこれらを運用していくのか、監査役会・内部監査部門・社外取締役などの独立した機能がどのように情報にアクセスし、モニタリングを行うのか、といった点まで含めて検討することです。

出典：e-Gov法令検索「会社法施行規則 100条1項」

○監査役設置会社が定める事項

監査役設置会社では、監査役による監査が実効的に行われるよう、次のような事項も内部統制システムの一部として定めます。

• 監査役を補助する使用人の配置および人事上の独立性を確保するための方針
• 取締役・会計参与・使用人・子会社役職員から監査役への報告体制
• 内部通報制度と連動した、報告者保護の仕組み
• 監査役の職務遂行に関わる費用・債務の処理方針

出典：e-Gov法令検索「会社法施行規則 100条3項」

○監査役設置会社以外の会社が定める事項

一方、監査役を設置していない会社では、株主が取締役の業務執行を実効的に監視できるよう、株主への報告事項を報告する体制を整える必要があります。

出典：e-Gov法令検索「会社法施行規則 100条2項」

6-2.金融商品取引法に基づく、内部統制報告制度（J-SOX）の流れ

J-SOXへの対応は、概ね次の3ステップで進められます。

①経営者による内部統制の評価

全社的な内部統制、決算・財務報告プロセスに係る内部統制、業務プロセスに係る内部統制の3つについて、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応などの観点から有効性を評価します。

②経営者による内部統制の報告

評価結果を「内部統制報告書」として取りまとめ、財務諸表とともに開示します。

③監査法人による内部統制の監査

監査法人は、経営者による評価プロセスおよび内部統制報告書について監査を行い、「適正であるか」を意見表明します。

7.IPO準備段階での内部統制システムの構築時期

IPOを目指す企業にとって、内部統制システムの構築にいつから取り組むべきかは重要な検討テーマです。一般的には、直前々々期（N-3）から準備を開始することが推奨されます。

• 直前々々期（N-3）：内部統制対応に着手するタイミングです。内部統制システム構築の基本方針を定め、全社的な統制環境の整備、主要業務プロセスの洗い出し、リスク・コントロールの整理などを進めます。
• 直前々期（N-2）：この期は監査対象期間となるため、実際に内部統制を運用しながらプレ評価を行うことが望ましいとされています。評価を通じて見つかった不備や改善点については、翌期以降に向けて具体的な対策を講じます。
• 直前期（N-1）：N-2期の運用評価を踏まえて、統制の改善・強化を行うフェーズです。IPO審査や監査法人の視点を意識し、重要なリスクに関わる業務プロセスやIT統制、内部監査の仕組みなどを重点的に見直します。
• 申請期（N期）：内部統制システムが一定の安定運用段階に達し、評価や改善サイクルが支障なく回っている状態が理想です。この段階で重大な不備が発覚すると、IPOスケジュールに大きな影響を与える可能性があります。

実際には、直前々期（N-2）から着手するケースも少なくありませんが、その場合でも、直前期（N-1）にはプレ評価を実施し、不備を洗い出して改善する時間を確保しておくことが重要です。

8.内部統制システムは企業の健全な成長に不可欠な基盤

内部統制システムは、会社法や金融商品取引法に定められた要件を満たす企業に義務付けられている仕組みですが、「法律だから守る」という受動的な姿勢にとどまるべきではありません。業務の効率化や不正の防止、資産の保全、そして財務報告の信頼性確保といった目的の達成を通じて、企業経営の質そのものを高めるための能動的な戦略です。
IPO準備の中でも内部統制システムの構築は難易度が高い取り組みですが、これを乗り越えることで得られるガバナンス体制や社会的信用は、上場後の企業の持続的な成長を支える強力な基盤となります。経営陣から現場の社員までが協働し、実効性のある「内部統制システム」を継続的に構築・運用できる体制づくりを進めてください。

9.内部統制システムに関するよくあるご質問

最後に、内部統制システムに関して、IPO準備担当者の方からよくいただく質問にお答えします。

内部統制システムには情報開示の義務がある？

はい、あります。金融商品取引法24条の4の4第1項に定められているとおり、上場等に対する開示規制の一環として、事業年度ごとに「内部統制報告書」の提出が義務付けられています。

金融商品取引法における内部統制システムと内部統制報告制度（J-SOX）の違いは？

実質的には同じものを指していると考えて差し支えありません。「内部統制報告制度」は、金融商品取引法に基づいて導入された制度の名称であり、日本版SOX法（J-SOX）とも呼ばれます。

内部統制とガバナンスの違いは？

「コーポレートガバナンス（企業統治）」は、企業経営を監視・規律するための「仕組み全体」や「経営者とステークホルダーとの関係性」を指す広い概念です。一方の「内部統制」は、そのガバナンスを実効性あるものにするための「具体的なツールやプロセス」です。

内部統制とは具体的に何？

具体的には「社内規程」「業務フローチャート」「職務分掌表」「チェックリスト」「ITシステムによるアクセス制限」「内部監査によるチェック」などを含む、日々の業務の中に組み込まれた一つひとつの具体的な仕組みや手続きの集合体を指します。

内部統制と内部統制システムの違いは？

「内部統制」は業務の適正を確保するためのプロセスそのものを指すのに対し、「内部統制システム」は、会社法や金融商品取引法が求める要件を満たすために、それらのプロセスを組織的・体系的に統合・整備した「全体的な枠組み」を指すことが多いです。