情報と伝達を制する内部統制の基本と実践ガイド

情報と伝達を制する内部統制の基本と実践ガイド

金融情報

情報と伝達が支える内部統制の全体像と実践

「情報が経営トップに届いていれば、不正は防げた」という教訓は実は半分しか正しくなく、情報が届いていても"受け手が理解・行動しなければ"、内部統制上は「伝達できていない」と判断されます。


📋 この記事の3つのポイント
📌
「情報と伝達」は双方向が必須

内部統制における「情報と伝達」は、上から下への一方通行ではなく、現場から経営層への上向きの伝達も含む双方向コミュニケーションが求められます。

⚖️
2024年改訂でシステムの有効性が明記

2024年4月適用の改訂基準で「大量のデータを扱う状況でのシステムの有効性」が「情報と伝達」の要素として新たに明記され、ITリスクへの対応強化が求められています。

🔍
形骸化が最大リスク

制度として整備しても、実態が伴わない「形骸化」は内部統制最大の落とし穴です。全社統制チェックリストの42項目を活用した定期点検が有効です。


内部統制における「情報と伝達」の定義と役割


内部統制は、金融庁が定める「財務報告に係る内部統制の評価及び監査の基準」によって、6つの基本的要素から構成されています。


その4番目の要素が「情報と伝達」です。


正式な定義では、「必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること」とされています。


つまり、情報を単に流すだけでは不十分です。


受け手が正しく理解し、行動につながって初めて「伝達できた」と評価されます。


この点は見落とされがちです。たとえば経費申請の承認フローを整備しても、承認者がルールの意図を理解していなければ形式的な押印に終わり、内部統制の目的は果たせません。金融庁の基準では「必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内の全ての者に共有されることが重要である」と明記されています。


理解まで含めた伝達が前提です。


6つの要素の中でも「情報と伝達」は、他の5要素(統制環境・リスクの評価と対応・統制活動・モニタリング・ITへの対応)すべてと横断的につながる、いわば神経系のような役割を果たします。たとえば、リスクを識別しても伝達経路がなければモニタリングに活かせず、統制活動のルールを定めても周知されなければ機能しません。


金融庁「財務報告に係る内部統制の評価及び監査の基準(2023年改訂版)」:情報と伝達の定義や改訂ポイントが原文で確認できます


内部統制「情報と伝達」の4つの機能——識別・把握・処理・伝達

「情報と伝達」は単一の行為ではなく、以下の4段階のプロセスとして理解する必要があります。


まず「識別」は、組織目標の達成に必要な情報が何かを明らかにするステップです。売上データや仕入情報だけでなく、法令改正情報、内部通報内容、顧客クレーム履歴なども対象になります。


次に「把握」は、識別した情報を実際に収集するプロセスです。ここでは情報が現場に埋もれていないか、担当者個人の中だけに留まっていないかが問われます。属人化した情報管理は内部統制の観点から大きなリスクです。


「処理」では、収集した情報を整理・分析し、意思決定や業務執行に使える形に加工します。財務会計システムや販売管理システムが正確に動作していることが前提になります。誤ったデータを処理すれば、正確な情報を伝達していても意味がありません。


最後の「伝達」は、処理された情報を適時・適切な手段で関係者全員に届けるプロセスです。重要なのは、経営層から現場への下向きの伝達だけでなく、現場から経営層への上向きの伝達、さらに部門横断の横向きの伝達も含まれる点です。


これが双方向性です。


プロセス 主な確認ポイント リスク
識別 必要な情報の洗い出しと網羅性 重要情報の見落とし
把握 情報収集の仕組みと属人化防止 情報の個人保有・紛失
処理 システムの正確性・完全性 誤データによる誤った判断
伝達 双方向・適時・受け手の理解 伝達の断絶・形骸化


「情報と伝達」が内部統制の6要素と連携する仕組み

内部統制の6要素は独立して機能するものではなく、「情報と伝達」が接着剤のような役割を担っています。これは実務上で意外と認識されていない重要な点です。


たとえば統制環境を例に挙げると、経営者の誠実さや倫理観という方針があっても、それが全従業員に伝達されなければ「統制環境が整備されている」とは評価されません。就業規則に記載するだけでは不十分で、定期的な研修や朝礼・社内報などを通じた継続的な周知が求められます。


リスクの評価と対応においては、現場で識別されたリスク情報が経営層に伝達される経路が確立していることが前提です。現場担当者が「このやり方は問題があるかもしれない」と気づいても、報告手段がなければリスク評価に反映されません。内部通報制度は、この上向き伝達を補完する重要な仕組みとして位置づけられています。


統制活動のルールや手順書(業務記述書)は、「伝達」によって全員に周知されて初めて機能します。作成されても読まれていない手順書は内部統制上の不備となりえます。このつながりを意識することで、情報と伝達の整備が他の要素全体の底上げに直結することがわかります。


smoove J-SOX「内部統制のモニタリングと情報と伝達の連携について」:要素間の関係性と実務の注意点が詳しく解説されています


内部統制における「情報と伝達」の具体的な整備例

実務では何を整備すればよいのでしょうか。


代表的なものを以下に整理します。


📌 下向きの伝達(経営層→現場)の整備例


- 業務マニュアル・手順書の整備と周知徹底
- コンプライアンス研修・倫理教育の定期実施
- 社内規程や規則の更新と周知メール・社内ポータルへの掲載


📌 上向きの伝達(現場→経営層)の整備例


- 内部通報制度の設置(通報窓口を外部弁護士等にも設ける)
- 月次業務報告・問題報告の書式とエスカレーション経路の明確化
- 経費・取引の異常値アラートが経営管理部門に届く仕組み


📌 横向きの伝達(部門間)の整備例


- 部門横断の定期会議体(リスク委員会・コンプライアンス委員会など)
- 営業・経理・法務間での情報共有ルールの策定
- プロジェクト管理ツールや販売管理システムによる情報の一元化


これらの整備に共通するのは、「誰が・何を・いつ・どの手段で・誰に伝えるか」が明文化されていることです。口頭ベースのコミュニケーションのみに依存すると、担当者が交代した際に伝達が途絶えるリスクがあります。


2024年改訂で「情報と伝達」に加わった新要素——システムの有効性とサイバーリスク

2024年4月1日以降の事業年度から適用されたJ-SOXの改訂基準では、「情報と伝達」の要素に重要な加筆がありました。


その核心は「大量の情報を扱う状況において、情報の信頼性の確保におけるシステムが有効に機能することの重要性」が明記された点です。


これは意外な方向性です。


従来、「ITへの対応」はシステム管理の観点から別要素として扱われる場面も多くありましたが、今回の改訂によって「情報と伝達」の文脈でも、情報処理システムの正確性と信頼性を確保することが内部統制上の要件として強調されました。


具体的に何が問われるかというと、たとえば販売管理システムや財務会計システムが正しく機能しているかどうか、ログが適切に保全されているか、アクセス権限の管理が行き届いているかなどが評価対象になります。クラウドサービスの利用が拡大し、リモートワークが定着した現代では、情報が「どこに・どの形で・誰がアクセスできる状態で」存在するかの管理が格段に複雑になっています。


また、同改訂では「ITへの対応」においてサイバーリスクへの対応が強調されており、「情報と伝達」とITは一体として管理する必要性が一層高まっています。クラウドやリモートアクセスを利用する企業では、サイバーインシデントが発生した際の報告ルート(情報と伝達)を事前に定めておくことが求められます。


PwC Japan「J-SOX基準等改訂ポイントの解説」:「情報と伝達」改訂の詳細と実務対応が専門家目線で整理されています


「情報と伝達」が形骸化する4つのパターンと見抜き方

制度が整備されていても実態が伴わない——これが内部統制において最も危険な状態です。特に「情報と伝達」は形骸化しやすい要素の一つです。


パターン①:手順書はあるが誰も読んでいない
業務記述書やマニュアルが作成されていても、現場への周知が不十分なケースです。担当者に「このルールはどこに書いてありますか?」と聞いて答えられない場合は形骸化しています。


パターン②:報告が上がってこない
経営層に問題が届かない組織では、現場でリスクが顕在化しても握りつぶされることがあります。上司への報告が「評価に影響する」と感じている従業員が多い場合、内部通報制度が実質的に機能しないことがあります。東証上場企業では内部通報制度の整備が求められていますが、利用実績がゼロに近い場合は制度の実効性を疑う必要があります。


パターン③:情報が届いても誰も行動しない
内部通報があっても、受け付けた部門から先に情報が届かず、是正措置が取られないケースです。「報告した」「受け取った」というプロセスはあっても、アクションにつながっていない状態は伝達の失敗です。


パターン④:ITシステムの出力を確認していない
販売管理システムや財務会計システムからアラートが出ても、担当者が定期的にチェックしていない状態です。システムが自動的に情報を処理していても、人間が確認・判断を行う仕組みが必要です。


これらは全社的内部統制のチェックリスト(42項目)を用いた自己評価で定期的に点検することが有効です。チェックリストのうち「情報と伝達」に関連する項目には、情報伝達の体制整備状況や、問題情報のエスカレーション有無などが含まれています。


内部通報制度は「情報と伝達」の要——法的義務と実務的意義

内部通報制度は、2022年6月施行の改正公益通報者保護法によって、従業員300人超の企業には整備が義務付けられています。これは法的な要件であるとともに、「情報と伝達」という内部統制の要素を現場から経営層に向けた上向きの伝達として補完する重要な仕組みです。


金融庁の内部統制基準においても、内部通報制度はモニタリングと「情報と伝達」の両方に関連する要素として位置づけられています。通常の業務フローでは見えにくい問題や、直属の上司に報告しにくい不正行為を、組織内外の第三者(外部弁護士など)に直接報告できる経路を確保することで、情報の断絶リスクを大幅に低下させます。


実務上の注意点として、通報窓口を設置するだけでは不十分です。「通報しても不利益を受けない」という安心感を従業員に与えることが、制度の実効性を左右します。改正公益通報者保護法では、通報者への不利益取扱いを禁止し、違反した場合は罰則が適用されます。罰則規定が強化された点は、金融に関わる職種にとっても重要な知識です。


通報制度の実効性を高めるためには、通報件数の推移を経営陣に定期報告すること、件数がゼロの場合は「問題がない」ではなく「制度が機能していない可能性がある」と解釈する視点を持つことが大切です。


これが本質です。


消費者庁「公益通報者保護制度」:法的要件・義務化対象企業・罰則の詳細が確認できます


全社的な内部統制と「情報と伝達」の評価実務——42項目チェックリスト活用法

J-SOXの評価実務では、全社的な内部統制(全社統制)を評価する際に、金融庁が例示する42項目のチェックリストが広く使われています。この42項目の中には「情報と伝達」に関連する項目が複数含まれています。


たとえば「経営者は、内部統制に関連する情報を適時かつ適切に受領し、適切な検討を行っているか」「企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか」といった観点から評価が行われます。


この評価では、文書の存在確認だけでなく、実際にどの程度機能しているかの実態把握が必要です。具体的には、経営会議の議事録に情報共有の痕跡があるか、内部通報への対応記録が残されているか、コンプライアンス研修の受講記録が整備されているかなどを確認します。


また、業務プロセス評価においては「3点セット」(業務記述書・フローチャート・リスクコントロールマトリックス)の中でも、情報の流れを示すフローチャートと、伝達リスクを記載したリスクコントロールマトリックスが特に重要です。情報が誰からどこに流れ、どの時点でどのような承認を経るかが可視化されていない業務プロセスは、「情報と伝達」の観点から改善が求められます。


なお、J-SOXの評価作業は毎年実施が必要で、企業によっては担当者の工数が年間数百時間に上るとも言われています。smoove J-SOXなどのクラウドツールを活用することで、3点セットの作成・管理工数を50%以上削減できるとする試算もあり、評価体制の効率化を検討するタイミングが来ているかもしれません。


「情報と伝達」が機能しなかった実際のリスクシナリオ——海外子会社の事例

情報と伝達の不備がどのような損害につながるか、具体的なリスクシナリオを考えてみます。実はこの問題は、特に海外子会社や関連会社において顕在化しやすいことが内部監査協会の調査でも指摘されています。


東証1部上場企業の不正事例において、子会社の経営者や従業員による不正が親会社の経営者・従業員による不正を上回る件数で発生しているというデータがあります。その多くに共通しているのが、「子会社の問題情報が親会社の経営層に届いていなかった」という伝達の断絶です。


親会社が整備した内部通報制度が、子会社従業員にも開かれていない構造がその一因です。また、海外子会社の場合は言語・時差・文化的背景の違いから、問題情報が形式的な報告書の中に埋もれてしまうことも少なくありません。


これは深刻です。


こうしたリスクへの対応として、2024年のJ-SOX改訂では「経営者による内部統制の無効化」への対策として、内部監査人が取締役会および監査役等への報告経路を確保することが明記されました。つまり、情報が経営者を経由せずに取締役会・監査役に届く独立した経路の整備が、信頼性の高い内部統制の条件として要求されています。


金融業界では特に、不正会計や虚偽記載による有価証券報告書の訂正リスクが投資家保護に直結します。投資家として企業を評価する際にも、内部通報制度の実効性や情報伝達体制の整備状況は、企業ガバナンスの重要な指標として活用できます。


「情報と伝達」の独自視点——情報過多時代に「伝わらない」リスクが急増している理由

ここで、多くの解説記事では触れられない独自の視点をお伝えします。


現代企業における「情報と伝達」の最大の課題は、「情報不足」ではなく「情報過多による伝達品質の低下」です。これは逆説的に聞こえますが、深刻な問題です。


メール・チャット・ビデオ会議・社内SNS・グループウェアなど、情報伝達の手段が増えた結果、重要なコンプライアンス情報が大量のメッセージの中に埋もれてしまう現象が起きています。従業員が1日に受け取るビジネスメール・チャットの件数は、規模の大きな企業では平均100件を超えるケースもあります。その中で「内部統制上重要な情報」を受け手が確実に認識・理解するための仕組みが求められています。


また、AIや自動化ツールの普及により、システムが自動生成するレポートやアラートが増加しています。担当者が「アラートを受信した」という事実は記録されますが、それを理解して行動に移したかどうかを証跡として残す仕組みがなければ、「伝達が完了した」とは言えません。


内部統制の「情報と伝達」を実効性のあるものにするためには、チャネルの整備だけでなく、「重要な情報が重要なものとして認識される」ための設計が必要です。受信確認の義務化、定期的な理解度確認テスト、重要情報を独立したポータルで管理するなどの工夫が、これからの内部統制実務では有効になると考えられます。


「情報と伝達」の強化に向けた実践ステップ——企業規模別の対応

最後に、企業規模に応じた「情報と伝達」強化の具体的な第一歩を整理します。


📌 上場企業・大企業の場合


J-SOX対応が義務となるため、全社的内部統制の評価結果を毎事業年度見直す必要があります。特に2024年改訂への対応として確認すべきは、①大量データ処理システムの信頼性評価、②内部監査人から取締役会・監査役への独立した報告経路の整備、③内部通報制度の利用促進策の3点です。


既存の3点セット(業務記述書・フローチャート・リスクコントロールマトリックス)を定期的に更新し、業務変更や組織改編後に情報フローが変化した場合は速やかに反映することが求められます。


📌 IPO準備企業の場合


上場審査では内部統制の整備状況が確認されます。「情報と伝達」の観点では、内部通報制度の設置と運用実績、コンプライアンス研修の実施記録、経営会議への問題情報の報告実績などが審査の対象になります。制度が「ある」だけでなく「動いている」ことを示す記録の整備が重要です。


📌 非上場・中小企業の場合


法的義務はなくても、取引先・金融機関・投資家からの信頼性確保という観点で、情報と伝達の基本的な仕組みは整備する価値があります。最低限として、①業務マニュアルの整備と周知、②問題発生時の報告ルートの明文化、③外部相談窓口(顧問弁護士・社労士など)の案内の3点から始めることが現実的です。


内部統制は「大企業だけのもの」という認識は、もはや通用しません。取引先が求めるコンプライアンス基準が年々高まる中で、中小企業においても「情報と伝達」の体制整備が企業価値に直結する時代になっています。整備されていない企業ほど、リスクが顕在化した際のダメージが大きくなります。


これが今の現実です。


Money Forward「内部統制とは?4つの目的や6つの基本的要素を分かりやすく解説」:実務担当者向けに情報と伝達を含む6要素の全体像が整理されています


金融庁「財務報告に係る内部統制の評価及び監査の基準(2023年4月改訂)」:J-SOX対応の一次情報として必ず確認すべき公式文書です




【神社祈願済み】 金運アップ 100万円札束 10束 引き寄せの法則 金運 置物 開運 グッズ 金融機関共通帯 国産 札束レプリカ 札束ダミー 10束D