{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
独立行政法人を対象とした効果的な内部統制手法
2019-07-24
1.独立行政法人における内部統制導入の背景
独立行政法人制度は、中央省庁などの改革の一環として、行政における企画立案部門と実施部門の分離により、企画立案部門の能力向上をさせる一方で、実施部門に法人格および主務大臣による目標管理の下で一定の運営裁量を与え、政策実施機能を向上させることを目的として導入されました。独立行政法人は政策実施機関として、これまで各方面で成果を上げる一方、さまざまな問題点が指摘されていたことから、独立行政法人改革の集大成として「独立行政法人改革等に関する基本的な方針」(以下、「基本的方針」)が2013年12月に閣議決定され、これを踏まえて「独立行政法人通則法」(以下「通則法」)が改正されています。
基本的方針および通則法で求められる独立行政法人改革の主な目的は、「制度を導入した本来の趣旨に則り、大臣から与えられた明確なミッションの下で、法人の長のリーダーシップに基づく自主的・戦略的な運営、適切なガバナンスにより、国民に対する説明責任を果たしつつ、法人の政策実施機能の最大化を図るとともに、官民の役割分担の明確化、民間能力の活用などにより官の肥大化防止・スリム化を図ること」(「基本的方針」1より引用)とされています。そのため、主務大臣による独立行政法人の業務実績の評価とその結果を踏まえたPDCAサイクルの強化、当該サイクルを機能させるための内部ガバナンスの強化、法人自らの経営改善・合理化努力が促進するインセンティブが機能する仕組みの整備などが必要とされました。
通則法第28条第2項では、全ての独立行政法人が作成し、主務大臣の認可を受けるべき「業務方法書」において内部統制の取り組み実施に関する事項の記載を行うこと義務付けられたことから、各法人で具体的な取り組みが進められています。一方、独立行政法人における内部統制に関する取り組みの実施は、総務省独立行政法人における内部統制と評価に関する研究会による報告書として、「独立行政法人における内部統制と評価について」2(以下、「平成22年研究会報告」)が2010年3月に示されているものの、内部統制報告制度により先行している民間企業(会社法上の大会社など)に比較して、参考文献などや取り組みの実績が限られている状況といえます。
2.独法に求められる内部統制と一般的な民間企業の内部統制の違い
2-1 公的機関と民間企業の比較
一般的に公的機関と民間企業には下記に示すような違いがあるといわれています(図表1参照)。
このように、独立行政法人は、政策目的の達成や市場機構を経由しない行政サービスの提供などを目的とし、民間の営利企業とは異なる性格およびリスクを有しています。そのため、具体的かつ高い水準の目標・計画を効果的かつ効率的に達成することを目的に、その阻害要因(リスク)マネジメントするための手段の1つとして、内部統制の充実・強化が重要とされています。(平成22年研究会報告)
また、独立行政法人における内部統制は(1)「法人の長が戦略的なマネジメントに有用」、(2)「民間企業に比べた目標・計画の複雑性」、(3)「職員のインセンティブ向上の観点」から、制度上予定されている目標管理および法令遵守や財務報告などの信頼性確保にとどまらず、法人のミッションを果たすことまでを念頭に組織を整備・運用すべきとされています。(平成22年研究会報告)
2-2 独法に求められる内部統制上の課題
上記で示した公的機関と民間企業の違いを踏まえると、独法に求められる内部統制上の課題は下記のような例が考えられます。
- 内部統制の基礎となる規程、ルール設計
- 設立時から引き継ぐ規程などの改訂が十分でなく業務実態との乖離(かいり)が生じている、または、業務を円滑に遂行するために必要な指針やマニュアルなどが不足している。
- 情報セキュリティポリシーなどにより遵守すべき事項の考え方は示されているものの、具体的な手続きを定めた規程などがなく実務に落とし込めていない。
- 設立時から引き継ぐ規程などの改訂が十分でなく業務実態との乖離(かいり)が生じている、または、業務を円滑に遂行するために必要な指針やマニュアルなどが不足している。
- 内部統制の整備および運用の実態
- 国に準じた仕組み(会計機関など)を引き継いでいるものの組織の指揮命令構造になじまないケースがあり、業務遂行に関する責任体系が不明確になっている。
- 複数の組織が統合されて設立された経緯から法人共通の統制が求められるが、十分な整備・運用がなされていない。
- 全国組織として統一的な内部統制を整備・運用するには人員的余裕が少ない拠点があり、地域差が生じている。
- 内部統制の運用およびこれらに対する内部監査の水準に関する担当部門および担当者レベルの向上が進んでいない。
- ITシステムを管理・運用する部門においてベンダー依存度が高く、システム基盤に対するIT全般統制(開発・変更、セキュリティ、バックアップなど)に関する組織的な管理手続きが十分でない。また、全社的なIT統制を所管する部門がない、または、その機能が十分でない。
- 国に準じた仕組み(会計機関など)を引き継いでいるものの組織の指揮命令構造になじまないケースがあり、業務遂行に関する責任体系が不明確になっている。
3.独法に求められる内部統制の考え方
3-1 検討の視点
独立行政法人は、民間企業と異なり関係法令に基づく中期目標や業務方法書(以下、「関係法令等」)によって業務の執行方法や処理方法を規定していることに特徴があります。そのため、民間企業を対象とした内部統制手法をそのまま適用しても十分な効果が得られない可能性があります。下記に示すように各独立行政法人の業務規定構造を踏まえた、内部統制の要素の観点からの課題整理および体制整備をすることが重要です。
また、業務規定構造や定めを参照するだけではなく、いつまでにどのような状態を目指しておきたいのか、理事層の理念を確認しておくことも大切です。限られた経営資源を効率的に配分し、最大の統制効果を実現するには、理事層の想いをくみ取り、内部統制の計画に反映させていかなければなりません。(図表2参照)
3-2 現状課題の整理
効果的な内部統制を実現するためには、現状の課題整理および課題に対応した対策立案が必要となりますが、特に重要なのは現状を的確に把握し、課題を正確に、かつ漏れなく認識することです。そのためには、図表3に示したように「規程の観点」「業務における統制の観点」「内部監査手法の観点」の3つの観点からの整理が必要です。独立行政法人の実務は、基本的に関係法令等を踏まえた規程や細則等に定められていると考えられるため、誰が、どのような業務に、どこまで責任を持っているのか、責任と権限の構造および定義を、規程や細則等から把握します。次に、各種の規程や細則等を踏まえながら、現行の業務処理方法が規程や細則等(この段階では要領・マニュアルなども含む)にのっとった処理方法になっているか、また、その方法・手順通りに執行されているか、を把握し、規程や細則等と実態の業務処理方法のズレを認識します。最後に、内部監査の監査内容を確認します。これは内部監査の項目(自部門点検や内部監査部門の監査項目)が規程・統制活動の要点を踏まえて設計されており、かつ、内部監査の手法(タイミング、頻度、リスクへの対応体制など)が発見したリスク要因や規程違反事項を適切かつ正確に捉え、自律的なPDCA機能が作用しているか否かを確認します。
3-3 対応策の検討と実行計画の立案
現状の整理および課題の把握は「規程の観点」「業務における統制の観点」「内部監査手法の観点」の3つの観点で行いますが、対応策についても規程、業務、内部監査の3つの側面で考える必要があります(図表4参照)。課題整理において、現行の規定体系や内容と実際の業務処理内容・方法にズレがある場合、規程・細則等のどの部分に原因があるのか、業務を規定する根底となる規程・細則等から確認をし、責任・権限などを再設計します。また、規程間の参照関係に齟齬(そご)がある場合や分かりにくい場合は、規程・細則・要領・マニュアルなどの上下左右の関係を見直すことも必要です。また規程の観点から見直しをすると同時に、業務の観点からも現行の業務処理内容、方法、手順がリスクを低減できるのか、場合によってはそもそも業務として扱うべきなのか、などを検討し、必要に応じて規程・細則等へ変更内容を反映させます。最後の対策として、規程・細則等・業務での統制が機能をしているのか、定期的な監査項目として検証できるような仕組み、対応策を整えます。具体的には、リスク度合いが高い業務処理ポイントや処理ミスや見落としが発生しやすい業務項目などを定期的にモニタリングすることなどです。これらの対応策を策定し、リスクや統制方法に優先順位をつけます。理事者へのインタビューなどで把握をした経営の想いをくみ取りつつ、予算の制約などの事情を考慮しながら、短・中・長期における対応策として具体化し、実行計画を立案、実施することが効率的な方法と思われます。
4.具体的な内部統制手法の紹介
4-1 規程の分析
規程の分析において最初に行うことは、各規程、細則、要領、マニュアルにおける条項単位での関係性(個別条項のつながり)を把握し、一覧化および体系化することです。独立行政法人としての設立以後、規程の改廃、追加などが行われ、各条項の関係が把握しづらくなっているケースがあります。そのため、例えば、同じ内容が細則と要領両方に記載されている、1つの業務処理に対して複数の規程・細則・要領に記載されている、さらには細則や要領などによって使っている用語が異なるなど、規程体系における重複・ブレ、分散などが見受けられます。こうした事象は新たに規程類を参照する担当者がすぐに理解できず、認識漏れにつながる恐れを否定できません。そのため、図表5に示すように、個別の条項単位で上位にあたる規程から下位に属するマニュアルや手順書(各独立行政法人によって位置づけは多少異なる)の参照、補完関係を一覧化、体系化し、各規程類の補完関係を把握することが必要です。また、必要に応じて事業構造、規模、提供サービスなどの観点から、他の独立行政法人の規程体系や参照・補完関係を参考とすることも有用でしょう。
(参考)分析対象となる一般的な規程の種類
図表6に示している規程類の一覧は各独立行政法人が一般的に具備している規程・細則・要領・マニュアルです。各独立行政法人によって具備している状況は異なっています(例えば、図表6に示す規程を2つに分割している、もしくは2つの規程を1つの規程として整備しているなど)が、おおむねカバーされていると考えています。現状整理の初期に行う規程分析においては、原則として図表6に示す規程類全てを分析の対象とすることが望ましいです。
4-2 業務統制の分析
規程分析の終了後は、業務分析を行います。現行の規程類を実際の業務処理レベルの観点から見たときに、的確に業務上の統制が効いているか否かを確認することです。業務上の統制手段が有効か否かを判断するためには、現状の業務を体系化し、実際に処理されている業務に抜け漏れがないかを確認し、業務フローなどでその作業を可視化し、誰が見ても業務処理の内容に間違いがないことを確認できる状態にしておくことが必要です。このように可視化することで、本部と各支部(例:都道府県別の拠点)や担当者間による認識の違い、個別の工夫の取り組みなどを視覚化・言語化することができ、リスク分析の対象となる法人内で行われている業務を俎上(そじょう)に挙げることが可能となります。
一覧化、可視化を行うための手順は、最初に規程・細則・要領・マニュアル類から現行業務を洗い出して一覧化し、職員へのインタビューなどを通じて業務フローなどのツールを活用しながら、職員の日々の手作業レベルまで業務工程を詳細に書き起こすことです(図表7参照)。最も手間がかかる作業ですが、この工程をおろそかにすると、リスク分析や対策立案の際、共通認識を持たない関係者間の議論を行っても的確な分析、有効な対策、効率的な優先順位の議論ができなくなる恐れがあります。
業務の現状把握作業完了後は、各業務のどの部分においてリスクがあるのか、また、発見されたリスクはどの程度コントロールが効いており、優先的に対応策を打つべきなのか否か、を判断することになります。その際、図表8に示すようなリスクコントロールマトリクス(RCM)を活用しながら、リスク発見および対応状況を整理するのが効率的でしょう。
RCM作成のポイントは、業務一覧化および業務フローで作成したタスクレベル(日々の職員の手作業レベル)において、どの作業タスクにリスクが潜んでいるのか、そのリスクは次の工程や上長の確認などでリスクヘッジされているのか、また、想定されるリスクの発生原因となっているのは規程類なのか、それとも業務の処理方法そのものに起因しているのか、などを俯瞰(ふかん)できるように作成することです。リスクの発生箇所、コントロール状況、発生原因などを把握することで、今後のリスク対策検討の際に、個別のリスクだけではなく、複数にまたがってリスク発生要因となっている項目などを特定することも可能になります。また、対策を考える際には業務効率化の視点も組み込むと良いです。
4-3 内部監査分析
分析の最終工程は内部監査の現状および監査効果の分析です。規程分析および業務分析は、業務執行部門の視点からの分析であるため、いわば、リスクに対して自部門でのPDCA機能が効いているか否か、という分析になります。しかし、自部門だけでリスクコントロールを担保するのは十分ではなく、やはり、法人組織全体のPDCA機能として内部監査部門が業務施行部門のリスクコントロールが十分か否かを検証し、十分でない場合には必要な警鐘を鳴らす体制が必要です。このような内部監査機能の検証についても、現行担当者の協力も得ながら積極的に進めることが求められます。
具体的には、図表9に示すように規程分析・業務統制分析から把握した課題に対し、現行の監査項目を突合し、項目の網羅性、項目内容の的確性、監査項目の粒度の観点から統制が機能しているのか、を分析します。また、課題発生の要因について、監査方法・体制の観点から深堀分析を行います。監査体制の充実度、監査頻度・期間・時期などの適切性、方法の妥当性、監査結果の活用度合いなどが分析項目になるでしょう。
4-4 課題整理
規程分析、業務統制分析、現行監査分析の3つの分析を通じて把握した課題について、内部統制の要素別に整理します。図表10に示すように内部統制の要素の軸と、「全ての事業や業務に共通する」「個別の事業や業務に分類される」「その他個別のリスクに分類される」などの業務の軸に2つの側面からマトリクスを作成し、前項までの3つの観点から得られた課題の内容をマッピングします。
マッピングした整理表に基づき、関係者との議論や内部統制分析の初期に行った理事層へのインタビューを踏まえながら、リスクコントロール状況の課題に対しての優先順位付けを行い、組織全体として短期的・中期的・長期的に取り組むべき課題として体系化します。
4-5 対策案の検討
前項までに整理した課題の内容および優先順位に基づき対応策を検討することが最後のステップになります。このステップでは、現状分析でも行った3つの観点での対応策検討を行い、現行の対応策を高度化し、また、不足する部分については精緻化するなどの対応を行い、組織全体としてのリスク対応能力を高めることが重要です(図表11参照)。
それぞれの課題に応じた対応策は1対1でひもづくものもあれば、複数のリスクや課題を解決する対応策もあります(または、1つのリスクや課題を解決するために複数の対応策を複合的、有機的に連動させないとコントロール効果を発揮できないものもまれですが存在します)。整理をした課題一覧表や対応策一覧表を確認しながら、組織にとって最も必要と思われる対応策を検討することが求められます。
対応策の検討が一通り完了した後は、図表12に示したように各対応策にかかわる工数や実行の前提条件を整理します。全ての対応策を一度に、また、全方位的に展開できるのであれば、組織のリスクコントロール状況は大幅に改善されます。しかしながら、一気に展開する場合はITの活用も含めて相当程度の費用および人数を投入しなければなりません。
そのため、対応策についてリソース、対応策の効果、導入までの時間などの観点から優先順位付けを行わなければいけません。例えば、対応策を短期間で行う優先順位の高い緊急措置、理事層からの期待を反映した標準案、さらなる高度化と業務の効率化両面の目標を達成する案を長期的な案として位置づけるなどの工夫が必要です(図表12参照)。
おわりに
独法の業務内容や執行方法の多くは、関係法令等を起点として多くの制約を受けています。そのため、「リスクがあるから今の業務の方法を変えよう」とするのではなく、「なぜそのような業務を行うのか?」「どうして今のような業務の執行方法になっているのか?」「現行のルールは何を目的として今の業務の執行内容や方法を規定しているのか?」の背景を正確に把握しなければなりません。独法は利益と効率性を重視する民間企業では対応できない重要なミッションを担っている団体です。利益と効率性を重視する民間企業ベースの内部統制手法の検討だけでは、本来は認識するべきリスクを見落としたり、費用をかけてでも対応するべきコントロール手法を先延ばしにしたり、という事象が発生し、ひいては国民に対して適正で公正な公共サービスの提供に支障をきたす恐れがあります。本手法を活用することで、少しでも適正で公正な公共サービスの提供に貢献できるのであれば幸いです。
注記
1 首相官邸,「独立行政法人改革等に関する基本的な方針」[PDF 436KB] https://www.kantei.go.jp/jp/singi/gskaigi/pdf/sankou-k3.pdf
2 総務省,「独立行政法人における内部統制と評価について」[PDF 2,224KB] http://www.soumu.go.jp/main_content/000059395.pdf
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
