はじめに

「内部統制を導入・運用しているものの、どうも形骸化している気がする」「不正やミスがなかなか減らない」——。多くの組織、特に地方公共団体の内部統制ご担当者様から、このようなお悩みを伺います。

本記事は、政令指定都市の内部統制ご担当者様から寄せられた「内部統制がなぜかうまくいかない」という切実なご質問に対する、一つの具体的な解決策を提示するものです。

執筆は、中川総合法務オフィス代表の中川が務めます。当オフィス代表は、相続、著作権、コンプライアンス分野における第一人者として、数多くの実績を有しております。その専門知識は、法律や経営といった社会科学の領域にとどまらず、豊富な人生経験に裏打ちされた深い洞察力に基づき、哲学・思想などの人文科学、さらには自然科学の領域にも及んでいます。単なる専門家としてだけでなく、複雑な事象を分かりやすく解き明かし、本質的な課題解決へと導く「啓蒙家」として、多くの企業経営者や自治体職員の皆様から厚い信頼を頂戴しております。

この記事では、内部統制の実効性を高める鍵となる「リスク評価」に焦点を当て、当オフィス代表が独自に考案した「3つのマトリックス」を用いた実践的なアプローチを公開します。形ばかりの内部統制から脱却し、真に組織を守り、成長させるためのヒントがここにあります。現場を深く知るコンプライアンスの専門家が考案したオリジナルのマトリックスです。

1.内部統制の基礎:なぜ今、地方公共団体に必要なのか?

内部統制という言葉が広く知られるようになったきっかけの一つは、平成20年(2008年)頃から金融商品取引法に基づき、上場企業に対して「内部統制報告書」の提出が義務付けられたことです(いわゆる日本版SOX法)。これは、過去の企業不祥事を背景に、財務報告の信頼性を確保し、企業経営の健全化を図ることを目的としています。

この流れは、地方公共団体にも波及しました。都道府県や(政令)指定都市ともなれば、予算規模は数兆円に達し、その活動は住民生活に多大な影響を与えます。(地元の京都府庁でさえ令和7年度一般会計当初予算は、総額1兆298億8100万円)。そのため、業務の適正かつ効率的な執行、そして住民に対する説明責任(アカウンタビリティ)を果たす上で、内部統制の整備・運用は不可欠なものとなりました。

地方公共団体における内部統制は、地方自治法にもとづき、総務省が策定したガイドラインなどを参考に進められています。1980年代の米国での内部統制では当初は主に財務報告の信頼性確保が中心でしたが、近年では、業務の有効性・効率性、法令遵守(コンプライアンス)、資産の保全(日本版COSO)といった、より広い目的を達成するための仕組みとして捉えられています。

2.内部統制の全体像:COSOフレームワークを理解する

内部統制を考える上で、世界標準となっているのが「COSOフレームワーク」です。これは米国のトレッドウェイ委員会支援組織委員会(COSO)が提唱したもので、日本の内部統制基準もこれを参考にしています。COSOフレームワークは、内部統制を以下の5つの構成要素から成り立っていると考えます。

  1. 統制環境: 組織の気風を決定し、統制に対する意識に影響を与える基盤(経営者の姿勢、倫理観、人事方針など)。
  2. リスクの評価と対応: 組織目標の達成を阻害する要因(リスク)を識別・分析・評価し、適切な対応策を選択するプロセス。
  3. 統制活動: 経営者の指示が実行されることを確保するための方針や手続き(権限委譲、職務分掌、内部規程など)。
  4. 情報と伝達: 組織内外に必要な情報が識別・把握・処理され、適切な担当者に伝達される仕組み。
  5. モニタリング(監視活動): 内部統制が有効に機能していることを継続的に評価するプロセス(日常的モニタリング、内部監査など)。

これら5つの要素が有機的に連携することで、内部統制システム全体が機能します。

3.内部統制の要:リスクマネジメントの重要性

内部統制の議論において、近年特に重要性が増しているのが「リスクの評価と対応」、すなわちリスクマネジメントです。組織を取り巻く環境が複雑化し、予測困難な事態が増加する現代において、潜在的なリスクをいかに的確に捉え、対処していくかが、組織の持続可能性を左右すると言っても過言ではありません。

リスクマネジメントの国際規格であるISO 31000なども参考に、多くの組織でリスクマネジメントの仕組みが導入されていますが、地方公共団体においては、その評価方法や対応策の優先順位付けに課題を抱えているケースが見受けられます。

4.リスク評価の落とし穴と「3つのマトリックス」による解決策

リスクマネジメントの中核をなすのがリスクアセスメント(リスクの評価)です。一般的に、リスクアセスメントは以下の3つのステップで進められます。

  1. リスクの特定: 組織目標の達成を阻害する可能性のあるリスクを網羅的に洗い出す。
  2. リスクの分析: 特定されたリスクの発生可能性(頻度)と影響度を分析・評価する(定量的・定性的な評価)。
  3. リスクの評価: 分析結果に基づき、対応すべきリスクの優先順位を決定する。

このプロセス、特に「リスクの評価」において、「どのように優先順位をつければ良いのか分からない」「評価基準が曖昧で、担当者によって判断がぶれる」といった声が聞かれます。一般的なリスク評価手法のレポートを見ても、この点が曖昧であったり、実務から乖離していたりすることが少なくありません。

そこで、より実践的で、多角的な視点からリスクを評価するためのツールとして、「3つのマトリックス」を提案します。

マトリックス1:【基本評価】発生頻度 × 影響度

これは最も基本的なリスク評価マトリックスです。(縦軸・横軸の設定は任意)

  • 縦軸:発生頻度 (例:高・中・低、あるいは1~3点など)
  • 横軸:影響度(損害の大きさ) (例:大・中・小、あるいは1~3点など)

特定されたリスクをこのマトリックス上にプロットします。例えば、発生頻度「高(3点)」、影響度「大(3点)」のリスクは、最も優先的に対応すべき対象となります。単純に点数を掛け合わせる(あるいは足し合わせる)ことで、リスクの相対的な大きさを可視化できます。

           影響度(小:1) 影響度(中:2) 影響度(大:3)
発生頻度(高:3)     低優先        中優先        最優先
発生頻度(中:2)     低優先        中優先        高優先
発生頻度(低:1)     最低優先      低優先        中優先

(点数や優先度はあくまで例です)

マトリックス2:【コンプライアンス重視】ステークホルダーの視点 × 影響度

内部統制の根幹には、法令遵守はもちろんのこと、社会的な要請や期待に応えるコンプライアンスの精神があります。コンプライアンスの本質は、「自らの組織・人が、周り(ステークホルダー)からどう見られているか」という視点を持つことです。

そこで、第2のマトリックスでは、コンプライアンス上の重要度(ステークホルダーからの批判や信頼失墜の度合い)を評価軸に加えます。

  • 縦軸:コンプライアンス重要度(ステークホルダーからの批判・信頼失墜度)
    • レベルC:信頼回復不可能(組織存続の危機、懲戒免職レベル)
    • レベルB:深刻な信頼失墜(主要業務への支障、広範囲な批判)
    • レベルA:一定の信頼失墜(一部業務への支障、限定的な批判)
  • 横軸:影響度(損害の大きさ) (マトリックス1と同様)
                  影響度(小) 影響度(中) 影響度(大)
コンプライアンス重要度(C:最高)  高優先      最優先      最優先
コンプライアンス重要度(B:高)    中優先      高優先      最優先
コンプライアンス重要度(A:中)    低優先      中優先      高優先

(優先度はあくまで例です)

このマトリックスを用いることで、たとえ発生頻度が低くても、一度発生すれば組織の信頼を根底から揺るがすようなコンプライアンス上の重大リスク(例えばレベルCに該当するリスク)を、最優先で対処すべき対象として明確に捉えることができます。

マトリックス3:【実践的優先順位】対策コスト × 実現可能性

リスク評価の結果、優先的に対応すべきリスクが特定されても、予算や人員、技術的な制約から、すぐには対策を講じられない場合があります。そこで、第3のマトリックスでは、対策の「コスト」と「実現可能性」を考慮し、より実践的な優先順位付けを行います。

  • 縦軸:対策コスト (例:高・中・低)
  • 横軸:対策の実現可能性 (例:難・中・易)

このマトリックス上に、マトリックス1や2で評価されたリスク(例:A評価=高リスク、B評価=中リスク、C評価=低リスク)をプロットします。

              実現可能性(易)  実現可能性(中)  実現可能性(難)
対策コスト(低)  【最優先着手候補】   高優先着手候補    要検討
                 (例:A評価リスク)
対策コスト(中)  高優先着手候補    中優先着手候補    要検討
対策コスト(高)  中優先着手候補    要検討           長期課題

(優先度はあくまで例です)

このマトリックスにより、「低コスト」かつ「実現可能性が高い」高リスク案件(上図左上の領域)が、最も早く着手すべき具体的なアクションプランとして浮かび上がってきます。

例えば、職員向けのコンプライアンス研修の実施や、業務マニュアルの見直し・徹底などは、比較的低コストで実現可能性が高い対策と言えるでしょう。高額なシステム導入や大規模な設備改修が必要な対策は、たとえリスク評価が高くても、予算や計画を考慮して中長期的な課題として位置づける、といった判断が可能になります。

5.形骸化を防ぎ、実効性を高めるために

これら3つのマトリックスを組み合わせることで、多角的な視点からリスクを評価し、現実的な優先順位付けを行うことが可能になります。

重要なのは、「できることから着実にやる」という姿勢です。特に、マトリックス3で「低コスト・実現容易」と判断された高リスク(A評価)案件については、言い訳をせずに速やかに着手すべきです。

一方で、注意すべき点もあります。

  • 過剰コンプライアンスの罠: リスクを恐れるあまり、やみくもにルールや規制を増やし、現場の負担を過剰に重くしてしまう「過剰コンプライアンス」は避けるべきです。重要なリスクに焦点を当て、効果的な対策を講じることが肝要です。
  • 「やった感」のための内部統制にしない: 研修を実施しただけ、マニュアルを作成しただけで満足してしまうような、形式的な取り組み(いわゆる「コンプラ・ウォッシュ」)では意味がありません。対策が実際に機能しているか、継続的にモニタリングし、改善していく必要があります。

内部統制は、人間や社会に対する深い理解に基づいて構築・運用されるべきです。杓子定規なルール適用ではなく、組織の実態に合わせた、柔軟で実効性のあるアプローチが求められます。

6.最新動向:総務省ガイドライン改定と柔軟な運用

令和6年(2024年)3月5日には、総務省から地方公共団体の内部統制に関するガイドラインの改定が示されました。この改定では、画一的な対応ではなく、各団体の状況に応じた、より柔軟なリスク評価や内部統制の運用を促す方向性が示唆されています。まさに、今回ご紹介したような、組織の実情に合わせた優先順位付けや、柔軟な発想(フレキシビリティ)の重要性が増していると言えるでしょう。

おわりに

内部統制は、一度仕組みを作ったら終わりではありません。組織を取り巻く環境の変化に対応し、継続的に見直し、改善していく必要があります。今回ご紹介した「3つのマトリックス」が、皆様の組織における内部統制の実効性を高め、「うまくいかない」という悩みを解消するための一助となれば幸いです。

中川総合法務オフィスでは、内部統制に関する研修や講演、コンサルティングも承っております。豊富な知見と経験に基づき、貴組織の実情に合わせた最適なソリューションをご提案いたします。どうぞお気軽にお問い合わせください。

Follow me!

カテゴリー
内部統制
タグ
前の記事
令和2年・令和3年改正「個人情報保護法」と雑則・罰則(171~185条)故意の漏洩等は1年以下の懲役等にNew!!
2025年4月24日
次の記事
【企業不祥事分析】日鉄ソリューションズ巨額架空取引事件から学ぶ、真のコンプライアンスと再発防止策とは?(ステークホルダー視点の重要性)New!!
2025年4月24日