令和時代における内部統制の在り方 テクノロジーの進展およびデータの重要性の観点からの考察

1 財務報告に係る内部統制の目的

日本企業の躍進が注目されたバブル景気が終焉を迎えた1990年代以降、国内外において不正を伴う企業不祥事が発生しました。このような不祥事の原因は、経営者の主導によるもの、従業員の私的な理由によるものとさまざまですが、例外なく企業の内部統制が機能していなかったことによるものです。こうした事例が相次いだ結果、有効な内部統制の整備・運用の重要性は、不祥事が実際に発生した企業のみならず、その他の多くの企業にとっても看過することができなくなりました。法制度としては、米国では2002年7月にサーベンス・オクスリー法（SOX法）が成立し、わが国においても、2006年に成立した会社法、2007年に成立した金融商品取引法において、それぞれ有効な内部統制の構築が定められることとなりました。

「財務報告に係る内部統制の評価及び監査の基準」によると、内部統制は以下のように定義されています。

内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びIT（情報技術）への対応の6つの基本的要素から構成される。

換言すれば、4つの目的の達成のため、6つの基本的要素を業務に組み込み、組織内の全員で実行するプロセスが内部統制です。

2 これまでの内部統制に対する対応と効果

（1）3点セットの概要

内部統制の目的を達成するために、企業は具体的にどのようなことに取り組んでいるのでしょうか。J-SOXにおいて、経営者には、内部統制報告制度の評価対象となる業務プロセス、すなわち取引発生から財務報告がなされるまでの一連の過程を理解することが求められています。当該理解に際し、「財務報告に係る内部統制の評価及び監査に関する実施基準」においては、図表を活用して整理・記録（文書化）することが有用であるとされ、文書化による成果物の例として「フローチャート」「業務記述書」「リスクコントロールマトリクス（RCM）」といういわゆる「3点セット」を挙げています。3点セットは、財務報告プロセスに内在するリスクを網羅的に識別することが可能となるため、今日においても多くの企業で幅広く利用されています。一方で、企業内の広範な業務プロセスのそれぞれについて3点セットの形で文書化を行い、変更管理を含め継続的に運用していくことは相応の負荷がかかる活動であることも指摘されています。

（2）内部統制報告制度導入の効果

内部統制報告制度は、企業に負担を強いる一方で、それに見合う効果を目的としたものであったはずです。確かに、制度の導入により内部統制の4つの目的をより有効に達成できるようになった企業もあるでしょう。しかし、制度導入の契機となった不正を伴う企業不祥事はSOX法の導入後においても生じており、一部には、むしろ増加しているとの意見もあります。このような企業不祥事は内部統制では防ぐことができないのでしょうか。どうすれば防ぐことができるのでしょうか。内部統制はあらかじめ費用対効果、人為的な要因、不測の事態などによる限界が想定されていますが、実効性を高めるには何をしたらよいのか、近年の環境変化も踏まえて課題とその原因から考察してみます。

3 近年の内部統制における課題

近年のビジネス環境の最も大きな変化として（1）デジタル技術の劇的な進化、（2）グローバリゼーションのさらなる進展が挙げられますが、このような変化は内部統制の有効性に極めて重要な影響を及ぼしています。また、（3）経営者による不正も依然として発生しています。

（1）デジタル技術の劇的な進化

周知のとおり、近年のデジタル技術の劇的な進化は、過去に存在しなかったようなビジネスモデルを生み出し、より複雑なビジネスプロセスを効率的に運営することを可能とするとともに、ビジネスの速度を飛躍的に向上させました。一方、前述の「3点セット」のように、内部統制の整備状況を明らかにしてリスクを特定し評価するためのツールは、手作業により作成・更新している場合が多く、効率性の面でデジタル技術の恩恵が極めて限定的となっています。また、「3点セット」の整備にあたっては、過度に人の作業にフォーカスして文書化されているケースが多く、ビジネスプロセスの飛躍的な自動化により重要性を増している個々のアプリケーション（システムやEUC：エンドユーザーコンピューティング）内のプロセスや統制活動が十分に理解されていないという問題が生じます。このような問題に起因し、アプリケーションが変更されていても統制活動の見直しが行われづらい、さらには「3点セット」自体が適時に更新されないといった問題も生じ、文書化の有効性の点でも課題を抱えることになります。

内部統制の運用状況にかかる検証についても未だ手作業に頼っている部分は多く、効率性の点からサンプルベースでの検証を行っているものと思われます。デジタル技術の活用により検証すべきデータが増加の一途をたどっているにもかかわらず、限定的なサンプルを手作業によって検証するといった、検証手法そのものの有効性についても疑問が呈されています。

以上のように、デジタル技術によりビジネスそのものを推進する力は過去数十年で飛躍的に強化されたにもかかわらず、内部統制の評価や検証における有効性・効率性の向上は未だ途上であり、適切に不正・誤謬を抑止できなくなるリスクが高まっています。

（2）グローバリゼーションの進展

デジタル技術の進化に伴う地理的な制約からの解放とも相まって、企業活動はますますグローバル化の度合いを強めています。特に、わが国では国内市場の縮小による経済のグローバル化はより顕著な傾向にあるといるでしょう。このようなビジネス環境に対応し、本邦企業の海外進出、特にクロスボーダーM&Aはますます活発になっていますが、その結果、海外子会社における不正事例が増加傾向にあるのは周知のとおりです。当然、グローバルガバナンスの強化が必要となってきますが、距離および文化の両面で「遠い」ということもあり、本邦と同等のレベルで内部統制を整備し、運用状況を検証するということには困難が伴います。

海外子会社の内部統制の実効性の維持を効率的に行うことを考えた場合、「海外子会社の状況を可能な限りリアルタイムでモニタリングし、異常を検知した場合は現地に飛んで追加的な調査・対応を行う」といったことは誰しもが思い付くことですが、その実現は容易ではありません。その背景として、往々にして海外子会社管理の基礎となる情報が限定的になってしまっていることが挙げられます。具体的には、海外子会社からはBSやPLといった基本財務諸表とその一部の明細を、Eメールやファイル送受信ソフトなどを利用して「パッケージ」や「月次報告」等の報告様式、つまり業務プロセスの「結果」の形でしか入手できていない、というケースが現在でも相応に存在しています。当然、不正や誤謬が生じているかもしれないBSやPLをいくらにらんでみたところで、不正や誤謬を発見するのは至難の業です。もう少し進んだ状態として海外子会社から明細データといったより多くの情報を入手できる場合が考えられますが、この段階においても、入手した情報を正しく解釈し活用できないといった課題に直面することが多いと思われます。

（3）経営者不正

経営者が不正な目的のために内部統制を無視ないし無効ならしめることは内部統制の限界として知られています。しかしながら近年多発している経営者による不正は、一般にいわれる内部統制の限界によるものでしょうか。周知のとおり、経営者を監視するのは監査役（会）・監査委員会ですが、そもそもの問題として監査役（会）や監査員会がその責務を全うするために十分な情報が利用できる状態にあるのかという点は再考に値します。監査役（会）・監査委員会が十分な情報を適時にモニタリングするという仕組みがあれば、経営者不正に対して有効な牽制となる可能性はあるでしょう。

4 内部統制の課題とデータマネジメント

それでは、前述のような課題に対して、従来よりも内部統制の効率性や実効性を向上させるためにはどうしたらよいのでしょうか。近年、デジタル技術の進展により、前述の3（1）のような課題が生じた一方で、各種プロセスで生成されたデータそのものや、データ生成ログ等の活用はしやすくなっています。そういった背景もあり、近年、従来の内部統制が主な管理の対象としていた業務プロセス単位よりもより細かい粒度、すなわちデータ項目の単位に細分化して、よりきめ細かな管理を行うという考えがあります。また、いろいろな部署ごとに処理・管理されていたデータから、共通するデータの処理・管理業務を整理し、特定の部署で集中的に処理・管理することで効率化を図るという考えも提唱されています。これらの取り組みの根底にあるのは、「データマネジメント」という考え方です。管理単位を細かくすると必然的に管理負荷は増えますので、人間が実施するには限界もあります。そこでテクノロジーという視点から、より効果的かつ効率的な内部統制を検討することが併せて重要となります。以下では、前述の課題の解消にあたって、「データマネジメント」と「テクノロジー」の考え方を取り入れて考察してみたいと思います。

データマネジメントにはいくつかのフレームワークが存在します。その中でも社会的に知名度の高いフレームワークの一つとして、米国のDAMAインターナショナルが開発した「DMBOK（Guide to the Data Management Body of Knowledge）」が挙げられます。DMBOKは、データマネジメントに必要な 11種類の知識領域を、全体を統括する「データガバナンス」を中心として他の10種類の知識領域で横断して活用しやすいように整理しています（表1）。

前述のような「データマネジメント」のフレームワークに沿って内部統制の高度化を考えた場合、図表2（P18）のような例が考えられるかもしれません。

（1）詳細データの収集・蓄積

前述のとおり、近年のデジタル技術・通信技術の劇的な進化によって大量のデータを高速に抽出・転送・保存することが可能になっています。このため、これまでのように容量の制約から各拠点の「集約されたデータ」を収集するのではなく、「生データにできるだけ近い粒度の高いデータ」を収集・保管することがさまざまな目的のために模索されています。当然、このような取り組みは業務効率化や重複システムの排除といったコスト削減や、顧客・商品情報の集約・分析による収益の増加といったビジネスそのものの取り組みとしてなされますが、これらのデータを活用することにより、副次的に内部統制を高度化することができます。データマネジメントのフレームワークとしては、「データウェアハウス＆ビジネスインテリジェンス」のコンセプトに関連します。すなわち、データを収集、クレンジング、変換等を行い使いやすいように格納し、その格納されたデータを分析し、業務改善やビジネス機会創出に用いるというものであり、いわゆるビッグデータ基盤の構築につながる思想です。

（2）データアーキテクチャ・データモデルの統合

前述の3（2）で触れたとおり、データを有効かつ効率的に利用するためには「データアーキテクチャ」「データモデル」といった「データの構造」、「データの型」を極力グループ全体で整合させる必要があります。特に、国コード・顧客コードといったリファレンスデータ・マスターデータをグループ全体で統合することは、全世界のさまざまな拠点でビジネスを行うグローバル企業が、「同じものの見方」でデータを理解するために必須となります。

例えば、後述（6）のデータアナリティクスで利用するデータセットにおいて、企業名が「あらた」、「PwCあらた」、「PwCあらた監査法人」、「PwCあらた有限責任監査法人」、「あらた（監）」というように同じ対象を示すデータがさまざまな表現になっていたり、地域を示すデータが「アジア」や「東アジア」「アジア・オセアニア」などと異なるレベルで登録されている場合には、データの利用に至るまでに膨大なデータクレンジングやデータ変換が必要になります。

（3）非構造データの活用

過去においてデータは多くの場合、構造データを意味していました。構造データは一般的なリレーショナルデータベースや表計算ソフトに格納されているような「構造の決まったデータ」を指します。一方、近年ではメールなどのテキストデータや画像データ、音声データ等の「構造が決まっていないデータ」も活用が期待されています。

内部統制の高度化という観点では、後述のデータアナリティクスにおいて、メール等の非構造化データと会計データ等の構造化データを組み合わせて分析を行うことが有効な手段であると考えられるようになってきており、前述のデータの収集・蓄積においては、構造化データのみならず有意な非構造化データを特定して収集・蓄積しておくことが有用です。

こういった点はDMBOKにおいて「データインテグレーション＆相互運用性」、「ドキュメント＆コンテンツ」の知識領域に整理されています。

（4）メタデータ管理

組織において業務を誤る原因として、そのデータの意味や出典が不明確で誤って処理・管理されている場合があります。特に複雑な処理により生成されたデータの意味や出典は組織内でも特定の担当者にしか分からない場合も多く、大規模な組織になるとその傾向はより顕著になります。そこで、組織内のデータ項目の意味や出典を管理することが重要になります。また、既述のとおり、複雑な業務プロセスがシステム等で処理される場合、従来のフローチャート等では、その中の処理が見えづらく、ブラックボックス化してしまうことが課題として認識されています。このため、近年ではデータ項目の単位でその処理過程を可視化するための施策としてデータリネージ（データの変成過程）を明確化することが考えられます。こういった、データに関する意味や出典といったデータは「メタデータ」といわれ、当該メタデータを集約したデータ辞書を作成して組織全体で共有するということが考えられます（いわゆる「メタデータ管理」）。メタデータ管理を組織的に行うことは、従来の3点セットによる業務プロセスの文書化よりも管理粒度は一層細かくなり、相応の負荷が発生しますが、現在ではETLツール等と連携したデータリネージの自動解析ツールや辞書ツール等の製品も各種登場しており、これらを利用することで現実的な解決策となってきています。

（5）データ品質管理

従来の内部統制の評価は、3点セットで業務フローを理解し、定められたとおりに内部統制が運用されているかをテストするといった手作業による手続の検証が中心でした。財務会計の世界でも財務諸表監査（計数の監査）の検出事項から手続の不備を確認して内部統制上の不備の発見につなげていくという考え方がありますが、データマネジメントにおいてもデータ品質管理という類似したコンセプトが存在します。具体的には特定のデータセットに対してデータの矛盾（有効桁数を満たしているか、データ項目間での矛盾がないか等）や欠落（Null値やブランクがないか等）の有無をチェックする、あるいは各 ITシステム間でのデータ連携にあたり誤変換や欠落が生じていないかをチェックするといった検証手法が考えられます。また、このような単純な形式的チェックの他、「Xという拠点でYという商品がZという金額で販売されているのは通例ではないため、データの入力ミスではないか」、といった複雑な分析・検証手法も考えられます。後者については後述のデータアナリティクスと表裏の関係にあり、検証・分析結果により、「データは正しく、不正が行われていた」という場合もあれば、「不正は行われておらず、データに誤りがあった」という場合もあります。このようなデータ品質管理も手作業で行うことは非現実的であり、チェックロジックをプログラムした各種ツールの利用が現実的な対応と考えられます。

（6）データアナリティクス

前述の（1）～（5）において「使えるデータ」を蓄積したビッグデータ基盤を構築することができた場合、当該ビッグデータ基盤に蓄積された膨大なデータをBI（ビジネスインテリジェンス）で分析する、あるいはAI（人工知能）に分析させて、将来予測、シナリオ分析等、さまざまな業務に活用することができます。

BIやAIの活用により従来は人間が行っていた経営判断や意思決定も、データとして可視化され、判断のより合理的な根拠が多く示されることになる可能性があります。また、図に示されているとおり、データアナリティクスの結果が監査側（監査役（会）、監査委員会や内部監査部署等）と共有される、あるいは監査側がデータアナリティクスを駆使することにより、企業活動の透明性が向上し、その結果、前述の課題3（3）経営者不正（P17）といった内部統制で防止することが困難な事項に対する牽制機能を果たすといった効果が期待されます。

なお、近年、「処理されるデータの分析」ではなく「データ処理という活動を示すデータ（ログ等）を分析する」というプロセスマイニングが注目されています。すなわち、業務プロセスの処理パターンをイベントログデータの蓄積により可視化し、改善ポイントを具体的に特定することで業務効率化、統制強化を支援する手法です。昨今、業務プロセスの改革が急速に進んでおり、自動化や効率化に取り組む企業が増えてきています。プロセスマイニングでは、蓄積された業務データをもとに業務の可視化を行うため、業務実態の全貌把握や改善ポイントの特定を迅速に行うことが可能となり、非定形的な業務がどこで発生しているのかの特定にも有効であると考えられています。

デジタル技術が進化する昨今における内部統制は、こういった「データアナリティクス」をいかに有効に活用できるかにかかってくると思われますが、筆者の実感としてはこの段階に至っている企業はそれほど多くないと思われます。

5 令和の内部統制

令和の時代においては従来よりも企業活動の中でテクノロジーがより一層重視されます。その根幹を統制する意味でデータマネジメントの考え方は非常に重要であり、従来の3点セットによる内部統制の構築の見直しは検討に値すると考えられます。

今後は日々進化するテクノロジーの利用にあたって、データマネジメントの考え方を取り入れながら内部統制といった「守り」の側面を強化するとともに、テクノロジーとデータマネジメントを高次元で融合させて、データの利活用といった「攻め」の側面での大きな成果も重要になってきます。

周知のとおり、先日のG20大阪サミット（2019年6月28～29日）ではDFFT（Data Free Flow with Trust）という「信頼できるルールの下でのデータの流通促進」が提言されています。今後、データの利活用は特定の企業の取り組みではなく、クロスボーダーで社会的な形の取り組みとして発展していくことが期待されており、データ品質の低下は一企業の財務諸表の誤りといった狭い範囲での話では収まらなくなってくる可能性があります。サミットの提言におけるTrustはデータ流通を信頼できるルールに基づいて行うという意味でのTrustですが、その背後にはデータそのもののTrustが当然担保されていることが期待されていると考えられます。このため、データそのものを発想の中心に据えて統制するというデータマネジメントの考え方に基づく対応が社会的にも重要になってくると考えられます。

最後に、3点セットをはじめとした統制文書などの他、前述するデータマネジメントの考え方については、取り入れてさえいれば問題ないというものではありません。定型化された業務における従業員の誤謬の防止等には相応の効果が得られますが、日々進化する世の中おいて生じるさまざまな不正等の異例な事態には、直接的な対策となっていないことも指摘されています。どんな業務においてもミスは少なからず発生する、状況によっては意図的に判断を誤る、という前提で、いかにミスを最小化する仕組みを構築するべきか、また、そもそも不正が起きる動機を起こしにくくするための施策を考え続けることも令和時代に求められる内部統制であると考えます。