内部統制とBCP — 組織を守る2つの仕組み

導入

企業の不正会計スキャンダルや、大規模な自然災害で事業が止まってしまったニュースを聞いたことがあるのではないでしょうか。このような事態を防ぐために、すべての企業が整備を求められているのが「内部統制」と「BCP」という2つの仕組みです。一見難しそうに思えますが、組織を守るための考え方を知っておくと、試験だけでなく社会人としての視野も広がります。

なぜ重要か

内部統制は、上場企業にとって法律上の義務でもあります。日本では金融商品取引法（いわゆるJ-SOX法）により、上場企業は財務報告に関わる内部統制の整備・評価・開示が義務付けられています。これは2006年に米国のSOX法を参考に制定されたもので、不正会計を防ぎ投資家を保護することを目的としています。試験でも「内部統制はなぜ必要か」「どのような組織に義務付けられているか」という問いが繰り返し出題されています。

BCPについても同様に重要性が増しています。東日本大震災以降、日本企業の間でBCP策定への意識が高まり、現在では「BCPがない企業は取引先として選ばれにくい」という状況も生まれています。つまり、内部統制もBCPも単なる試験用の知識ではなく、現代のビジネスパーソンが備えておくべき経営の基礎知識として位置づけられています。

くわしく知ろう

内部統制とは、組織が適切に運営されるよう、内部に設ける管理の仕組みのことを指します。具体的には「不正や誤りを未然に防ぐ」「法律やルールを守る」「業務を効率よく進める」「財務情報の正確性を確保する」という4つの目的のために設けられます。日本では上場企業に対して、金融商品取引法（いわゆるJ-SOX法）により内部統制の整備と評価が義務付けられています。

内部統制の代表的な手法として「職務の分離」があります。これは、同一の担当者が発注・検収・支払いをすべて行えないよう、業務を複数の人間に分担させることで不正や誤りを起こりにくくする考え方です。また、承認フローやログの記録・監査なども内部統制の一部として機能します。

BCP（Business Continuity Plan：事業継続計画）は、地震・火災・感染症の流行など、緊急事態が発生したときでも重要な業務を継続・早期復旧できるよう、あらかじめ準備しておく計画のことです。BCPを策定するにあたっては、「どの業務が最優先か」「どこまで被害が許容できるか」を整理することが重要とされています。

BCPと合わせて覚えておきたいのがBCM（Business Continuity Management：事業継続マネジメント）です。BCMはBCPを含む、組織全体の継続的な管理活動を指す、より広い概念になっています。BCPが「計画書」であるとすれば、BCMはその計画を維持・改善し続ける「管理の枠組み」として知られています。

具体例で理解する

たとえば、経理部門では「担当者が請求書の作成と支払い承認の両方を行う」ことを禁止し、必ず別の上長が承認するルールを設けている企業があります。これが職務の分離による内部統制の実践例です。一方、BCP の例としては、大手企業が「本社が被災しても、バックアップオフィスで24時間以内に業務を再開できる」という計画を策定し、定期的に訓練を行っているケースが挙げられます。訓練まで実施して継続的に計画を見直す体制全体がBCMにあたります。

試験での出題パターン

【パターン1：内部統制の目的を問う問題】

「内部統制の目的として適切なものを選べ」という形式が頻出です。正解の選択肢は「業務の有効性・効率性の確保」「財務報告の信頼性の確保」「法令の遵守」「資産の保全」の4つに収まります。一方、「競合他社の調査」「従業員の研修体制整備」「新製品開発」などは内部統制の目的ではなく、紛らわしい誤答として登場します。

【パターン2：BCPとBCMの違いを問う問題】

「BCPとBCMの関係として適切なものはどれか」という問いでは、BCPが個別の計画書であり、BCMはその計画を含む継続的な管理活動全体の枠組みという上位概念であることを押さえておく必要があります。「BCMはBCPより広い概念である」が正解のパターンが多く、逆にするとひっかかりやすい問題です。

【パターン3：職務の分離の場面適用】

「不正を防ぐために取るべき手法として適切なものはどれか」という問いで、「同一人物が発注・承認・支払いを一手に行わせる」が誤りであることを確認できるようにしておきましょう。職務の分離は、牽制機能（チェックアンドバランス）を働かせるための手法です。

よくある間違い・紛らわしいポイント

【BCPとBCMの混同】

BCPは「事業継続計画」という名前の通り、あらかじめ策定しておく計画書（ドキュメント）です。BCMはその計画を定期的に見直し・訓練・改善する継続的な管理活動の枠組みを指します。「BCP＝計画書、BCM＝管理の仕組み」と覚えておくと区別しやすくなります。試験では「BCPとBCMは同じものか（誤り）」「BCMはBCPより広い概念か（正しい）」という形で問われることが多いです。

【内部統制の義務対象の誤解】

J-SOX法による内部統制の整備義務は、上場企業が主な対象です。すべての企業に同じ義務が課されているわけではありませんが、試験では「上場企業に義務付けられている」という点を正確に覚えておく必要があります。「中小企業に義務付けられていない＝内部統制が不要」というわけではなく、規模に応じた内部統制の整備は経営上望ましいとされています。

【職務の分離と業務効率の誤解】

職務を複数人に分担すると「手間が増えて非効率ではないか」と感じるかもしれませんが、これは不正防止と誤り発見のための意図的な設計です。一人の担当者がすべてを掌握することで生じる不正リスクを、分業によるチェック機能で下げるという考え方であり、セキュリティと効率はトレードオフになる場合があることを理解しておきましょう。

まとめ・試験ポイント

• 内部統制＝不正・誤りを防ぎ、組織を適切に運営するための仕組み
• 目的は「業務の有効性・効率性」「法令遵守」「財務報告の信頼性」「資産の保全」の4つ
• 職務の分離＝同一人物が複数の関連業務を兼任しないようにする手法（牽制機能）
• BCP（事業継続計画）＝緊急事態でも重要業務を継続・早期復旧するための計画書
• BCM＝BCPを含む、継続的な管理活動全体の枠組み（BCPより広い概念）
• 試験では「BCPとBCMの違い」や「内部統制の目的」を問う問題が頻出