本文へスキップ
スキルアップカレッジ

内部統制と違反対応——「守れる組織」の作り方

レッスン8:内部統制と違反対応——「守れる組織」の作り方

このレッスンで学ぶこと

  • 内部統制の4目的・6要素(COSOフレーム)を理解する
  • 違反発生時の対応フロー(事実調査・公表・処分)を把握する
  • 「守れる組織」の文化づくりのポイントを整理する
  • コース修了後の学習方向を選べる

レッスン1〜7で、コンプライアンスの主要領域を順に扱ってきました。本コースの最終回となる本レッスンでは、ここまで学んだことを支える「内部統制」の仕組みと、違反が発生したときの対応、そして「守れる組織」の文化づくりを学びます。コース修了後の学習方向も案内します。

内部統制とは

内部統制(internal control)は、組織が業務を適切に運営し、目的を達成するために整える仕組み全般を指します。コンプライアンスは内部統制の重要な目的の1つです。

内部統制の4目的

金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、内部統制の目的を4つに整理しています。

  1. 業務の有効性および効率性:業務が効果的・効率的に行われること
  2. 財務報告の信頼性:決算書・財務情報が正確で信頼できること
  3. 事業活動に関わる法令等の遵守:法令・社内規程を守ること(=コンプライアンス)
  4. 資産の保全:会社の資産が適切に保護されること

このうち3つ目がコンプライアンスです。内部統制は、コンプライアンス目的を含む、もっと広い概念だと理解してください。

内部統制の6要素(COSOフレーム)

内部統制をどう構築するかについては、米国の COSO(Committee of Sponsoring Organizations of the Treadway Commission)が提唱したフレームワークが世界標準です。6つの要素で内部統制を構成します。

  1. 統制環境:組織の文化・倫理観・行動規範・経営者の姿勢
  2. リスクの評価と対応:直面するリスクを識別・分析・評価し、対応策を講じる
  3. 統制活動:方針・手続・承認・確認・分離・物理的管理など
  4. 情報と伝達:必要な情報が組織内で適切に伝達される仕組み
  5. モニタリング(監視活動):内部統制が機能しているかを定期的に検証する
  6. IT(情報技術)への対応:ITシステムが内部統制を支える

これら6要素が組み合わさって、内部統制が機能します。1つでも欠けると、組織全体の統制が弱くなります。

flowchart TB
    A[統制環境<br/>組織文化・倫理]
    B[リスクの評価]
    C[統制活動]
    D[情報と伝達]
    E[モニタリング]
    F[ITへの対応]
    A --> B
    B --> C
    C --> D
    D --> E
    E --> B
    F -.支える.-> A
    F -.支える.-> C
    F -.支える.-> D
    F -.支える.-> E

この図は、COSOフレームの6要素の関係を示しています。統制環境(組織文化)が土台にあり、リスク評価→統制活動→情報伝達→モニタリングのサイクルが回り、ITがそれを支えるという構造です。モニタリングの結果が次のリスク評価にフィードバックされ、継続的な改善が起きます。

💡 ポイント 内部統制は「ルールブック」ではなく「仕組み」です。立派な規程やマニュアルがあっても、現場で運用されなければ意味がありません。COSOの6要素は、「文化(環境)」「リスクへの目」「具体的な活動」「情報伝達」「監視」「テクノロジー」のバランスが取れていることを問います。

コンプライアンス・プログラム

実際の企業では、内部統制の中でコンプライアンス領域に特化した「コンプライアンス・プログラム」を整備するのが標準です。代表的な構成要素:

1. 行動規範(Code of Conduct)

経営層から従業員まで、組織全体で共有する行動の指針。多くは10〜30ページ程度の文書で、コンプライアンスの原則、各領域での行動基準、違反時の対応などを定めます。

2. コンプライアンス・マニュアル

行動規範を、領域別・場面別に具体化したマニュアル。ハラスメント・個人情報・贈収賄・反社対応などのそれぞれについて、判断基準・手続き・問い合わせ先を整理。

3. 研修プログラム

新入社員・昇格時・管理職昇進時・年1回など、節目で行うコンプライアンス研修。eラーニング、集合研修、ケーススタディなどを組み合わせる。

4. 通報窓口(社内・社外)

レッスン7で扱った通報制度。社内窓口(コンプライアンス部・人事)と社外窓口(外部弁護士・専門業者)の両方を設置するのが標準。

5. リスク評価・モニタリング

定期的に、組織のコンプライアンス・リスクを評価し、対応の進捗をモニタリングする。

6. 違反時の対応規程

違反発生時の調査・処分・公表・再発防止のフローを事前に定めておく。事案が起きてから決めるのではなく、平時から準備する。

7. コンプライアンス委員会

経営層が参加する横断的な意思決定機関。重要案件の対応方針、年間計画、リスク評価結果のレビューなどを行う。

📝 補足 大企業では、これらをチーフ・コンプライアンス・オフィサー(CCO)が率いるコンプライアンス部門が一括して運営します。中小企業では、総務・法務・人事が連携して機能を分担するのが一般的です。規模に応じた現実的な体制が大事で、形だけの組織にしないことが重要です。

違反発生時の対応フロー

どれだけ予防策を講じても、コンプライアンス違反は必ず起きます。重要なのは、起きたときに適切に対応することです。標準的な対応フローを4段階で整理します。

段階1:初期対応(発見から24〜48時間)

通報・発見

  • 内部通報、内部監査、外部からの指摘、報道、規制当局からの照会などで発覚
  • 受け取った担当者は速やかに、コンプライアンス部・法務・経営層に報告

初期評価

  • 事案の概要を確認し、緊急度・重要度を評価
  • 重大事案であれば、初期対応チームを編成
  • 関係者の口外禁止、関連書類・データの保全指示

緊急対応

  • 違反が継続中であれば、停止させる
  • 二次被害(ハラスメント被害者の保護など)を防ぐ
  • 必要に応じて、専門家(弁護士・会計士)の関与

段階2:事実調査(数日〜数か月)

調査体制

  • 利害関係のない調査者(社内別部署または外部)を選定
  • 調査範囲・期間・予算を明確化

調査方法

  • 関連書類・データの収集と分析
  • 関係者へのヒアリング(任意で受けてもらう、強要しない)
  • 客観的な証拠の確認(メール・会計記録・出退勤記録など)

調査結果のまとめ

  • 事実認定(何が起きたか)
  • 違反行為の認定(法令・社内規程との対応)
  • 関係者の責任の範囲
  • 原因分析(個人要因・組織要因)

段階3:処分・公表(調査結果確定後)

処分の検討

  • 関係者への懲戒処分(口頭注意・けん責・減給・降格・諭旨退職・懲戒解雇)
  • 社外への対応(取引先・顧客への謝罪・賠償)
  • 規制当局への報告(個人情報漏えい・労働法違反など、報告義務がある場合)

公表の判断

  • 違反の重大さ・社会的影響を考慮して公表範囲を決定
  • 株主への報告(重要事実なら速やかに開示)
  • メディア発表が必要なら、内容と時期を慎重に検討
  • 関係者のプライバシーへの配慮

段階4:再発防止(数か月〜継続的)

原因分析

  • 個人の行為だけでなく、組織の仕組みの問題を分析
  • 「なぜそれが可能だったのか」「なぜ気づかれなかったのか」を問う

改善策の実施

  • 規程の改定、業務フローの見直し
  • 研修の強化(必要に応じて特別研修)
  • モニタリング体制の強化
  • 必要があれば組織体制の変更

フォローアップ

  • 改善策が定着しているかを定期チェック
  • 半年〜1年後に再評価
  • 似た事案が再発していないか継続的に監視

⚠️ 注意 違反対応で最悪のパターンは、「個人を処分して終わり」です。組織の仕組みに問題がある場合、同じ事案が必ず再発します。違反は組織を見直すチャンスでもある、と捉えるのが本来の姿勢です。

「守れる組織」の文化づくり

コンプライアンスは仕組みであり同時に文化です。仕組みだけでは「守らされている」状態にしかなりません。組織全体で「守ろうとする」文化を作るには、いくつかのポイントがあります。

ポイント1:トップのコミットメント

経営層が「コンプライアンスは事業継続の必須条件」と明確に発信することが、文化の土台になります。「数字目標とコンプライアンスがぶつかったら、コンプライアンスを優先する」とトップが言い続けることで、現場の判断が変わります。

ポイント2:「失敗を報告できる」雰囲気

ミスを隠す文化からは、コンプライアンス違反の早期発見はできません。「ミスを報告した人を責めず、対応に集中する」という姿勢が、組織の自浄能力を高めます。

ポイント3:管理職の役割

現場のコンプライアンスは管理職の姿勢で決まる、と言われます。

  • 自ら模範を示す
  • 部下が違反に近い行動を取ろうとしたとき、止める
  • 数字目標を理由に部下に違反を強いない
  • 報告を受けたら速やかに上位に報告する

ポイント4:継続的な対話

研修だけでは文化は変わりません。日常の業務会話の中で、「これってコンプライアンス的にどう?」と気軽に話せる雰囲気が、文化の質を作ります。

ポイント5:表彰と是正の両輪

違反を罰するだけでなく、コンプライアンスに貢献した行動を表彰する仕組みも有効です。通報した社員、リスクに気づいた社員、改善提案をした社員を、適切な形で評価する。

💡 ポイント 文化は1日では変わりません。「うちの会社の文化は変えられない」と諦めがちですが、5年・10年単位で見ると、組織の文化は確実に変わります。1人ひとりが「自分が組織文化の一部だ」と意識して行動することが、結局は最も効果的な変化のドライバーです。

オンライン時代の内部統制

リモートワーク・分散型組織の拡大で、内部統制にも新しい論点が出てきました。

物理的な統制の弱化

オフィスでの目視確認・押印・手渡しが減り、それを補う仕組みが必要です。

  • 電子承認・電子署名の整備
  • ログ・記録の強化
  • 例外的な業務(高額決裁・規程外対応)の手続きの明確化

コミュニケーションの分散

「ちょっと隣の人に確認」が難しくなり、判断の質が下がる可能性。

  • 相談窓口のオンライン化
  • 判断に迷ったときのエスカレーション手順の明示
  • チャット・メールでの「これって大丈夫?」が気軽にできる文化

モニタリングの新しい論点

リモート環境では、従来の「現場での観察」が難しくなります。

  • データに基づくモニタリング(取引データ・アクセスログの分析)
  • 定期的なオンライン1on1や調査
  • プライバシーへの配慮(過度な監視は別の問題を生む)

🔰 初学者の方へ オンライン時代の内部統制は、技術的な対策(電子化・ログ管理)だけでは不十分です。むしろ「判断に迷ったとき気軽に相談できる雰囲気」「『これって大丈夫?』が言える同僚関係」のような、ソフト面の整備のほうが重要かもしれません。

コース修了後の学習方向

本コースで学んだのは、ビジネスパーソンが押さえるべきコンプライアンスの「最低限の地図」です。さらに学びを深めるには、いくつかの方向があります。

1. 領域別の深掘り

各レッスンで扱った領域は、それぞれ専門書1冊以上の深さがあります。自分の業務に直結する領域から深掘りしてみてください。

  • ハラスメント:『改訂版 ハラスメント実務問題ガイド』など
  • 個人情報保護:個人情報保護委員会の公表資料・各種ガイドライン
  • 独占禁止法・下請法:公正取引委員会の解説資料
  • 著作権:文化庁の著作権相談窓口・著作権Q&A
  • インサイダー取引:金融庁の解説資料・日本取引所グループのガイダンス

2. 関連法令・実務書籍

  • 法令そのもの(e-Govの法令検索で原文確認)
  • 公的ガイドライン(各省庁・委員会の公表資料)
  • 業界別の自主基準(業界団体が発行)
  • 実務書(日本実業出版社、商事法務、中央経済社など)

3. 関連する資格・研修

  • ビジネスコンプライアンス検定(東京商工会議所)
  • 個人情報保護士認定試験
  • 各業界の実務研修・認定(金融・医療・建設など)

4. 専門家との関係づくり

  • 顧問弁護士・社労士・税理士との関係を平時から作る
  • 業界団体や同業他社のコンプライアンス担当者ネットワーク
  • 必要に応じて、外部弁護士・会計士・コンサルタント

講師の現場メモ:「ここまで来てよかった」と言える瞬間

私(三上)はコンプライアンスの仕事を20年以上やってきました。地味で、感謝されにくく、時には「お説教ばかりする部署」と煙たがられる仕事です。

そんな中で、私が「この仕事をしてよかった」と感じる瞬間がいくつかあります。

ある若手社員が、上司から指示された不適切な業務処理について、私のところに相談に来たことがありました。「これって大丈夫でしょうか」と。明らかに違反になりうる指示でした。

私たちは一緒に対応策を考え、上司への説明・指示の修正・チーム全体での見直しまで進めました。最終的に、その業務は適切な手順に修正され、若手社員は何も悪い扱いを受けることなく、職場で評価され続けました。

それから数年後、その元若手社員はマネージャーになり、コンプライアンス担当者として自分のチームを率いる立場になりました。彼が新人に話していたのは「コンプライアンス部に相談して救われた経験」でした。文化が、こうやって受け継がれていくのを目の当たりにした瞬間でした。

コンプライアンスは、目に見える成果が出にくい仕事です。「何も起きなかった」が最大の成果で、それは数字で表せません。しかし、20年やってきた経験から確信しています。「ちゃんと守る」組織は、長期的に確実に強くなります。「守る」ことが「攻める」ことの土台です。

本コースを学んだ皆さんに、最後にお伝えしたいのはこれです。コンプライアンスは堅苦しい義務ではなく、「自分と仲間を、5年後・10年後も同じ場所で働けるようにするための投資」です。明日からの業務で1つでも「これってどうかな」と立ち止まる瞬間があれば、それが本コースの成果です。一緒に、健全な職場を作っていきましょう。

まとめ

このレッスンでは、以下のことを学びました。

  • 内部統制の4目的:業務の有効性・財務報告の信頼性・法令等の遵守・資産の保全
  • COSOフレームの6要素:統制環境・リスク評価・統制活動・情報伝達・モニタリング・ITへの対応
  • コンプライアンス・プログラムは行動規範・マニュアル・研修・通報窓口・リスク評価・違反対応規程・委員会の組み合わせ
  • 違反対応の4段階:初期対応 → 事実調査 → 処分・公表 → 再発防止
  • 「個人を処分して終わり」ではなく、組織の仕組みを見直すのが本来の姿勢
  • 文化づくりにはトップのコミットメント・失敗報告の風土・管理職の役割・継続的対話・表彰と是正の両輪
  • オンライン時代は技術的対策と同時に「気軽に相談できる雰囲気」が重要
  • コース修了後は、業務に直結する領域の深掘り、関連法令・資格学習、専門家ネットワークづくりが学習方向

これで本コース「コンプライアンス基礎」は終了です。8レッスンを通じて、コンプライアンスの全体像・主要8領域・内部統制と組織文化を一巡してきました。最後の総復習テストで全体を振り返り、用語集・参考資料を活用して、明日からの業務で1つでも「立ち止まる瞬間」を作ってみてください。

確認クイズ

このレッスンの理解度をチェックしましょう。