自治体の内部統制を実務でどう回すか――評価対象事務の選定からRCM・評価報告書まで

自治体の財政・会計・監査の現場で「内部統制」という言葉が制度として重みを持ち始めたのは、平成29年の地方自治法改正で第150条が新設されてからです。条文上は短いものの、ここで求められているのは「方針を策定し、体制を整え、毎年度その整備・運用状況を自ら評価し、監査委員の意見を付けて議会に報告し、公表する」という一連のサイクルを庁内で回し続けることです。会計事務の正確性や法令遵守を、担当者の経験や個人の注意力に頼るのではなく、組織として担保する仕組みに置き換える――それが地方の内部統制制度の核にあります。

この記事では、制度の概要をなぞるよりも、評価対象とする事務をどう絞り込み、リスクと統制をどう対応づけ、評価報告書をどう作って監査につなげるか、という実装の順序に沿って整理します。財務に関する事務のリスクを「見える化」して、毎年の評価を形式的な作文に終わらせないための論点を中心に置きました。

第150条が義務付けているのは「制度」ではなく「サイクル」

地方自治法第150条は、都道府県知事と指定都市の市長に対して、内部統制に関する方針を定め、これに基づき必要な体制を整備することを義務付けています。一方、指定都市以外の市町村の長については、同様の取組みが努力義務とされています（地方自治法第150条第2項・第4項、総務省「内部統制制度」）。つまり、人口規模の小さい団体に同じ水準を一律に強制する制度ではなく、まず大規模団体が先行し、他の団体は自らの判断で取り入れていく構造になっています。

ここで実務上おさえておきたいのは、努力義務の団体であっても、第150条第2項に基づいて方針を策定すれば、義務付け団体と同じ枠組みに乗ることになる、という点です。総務省の「地方公共団体における内部統制制度の導入・実施ガイドライン」は、主として義務付け対象である都道府県・指定都市を想定して書かれていますが、その基本的な枠組みはすべての地方公共団体に共通して使えるものと位置づけられています。財政規模が中堅以下の市町村でも、いきなり全庁展開は難しくとも、リスクの大きい財務事務から段階的に方針の対象に取り込んでいく余地があるということです。

条文が求めているのは、一度方針を作って終わりではありません。方針を策定した長は、毎会計年度、内部統制の整備・運用の状況について評価を行い、その結果をまとめた内部統制評価報告書を作成します。この報告書を監査委員の審査に付し、監査委員の意見を付けたうえで議会に提出し、あわせて公表する――この年次のループ全体が義務の中身です。制度導入の山場は初年度の方針策定ですが、本当の負荷は毎年の評価と報告にあります。

評価対象事務をどう選ぶか――全部やろうとすると破綻する

内部統制の対象として法律が最初に挙げているのは「財務に関する事務」です。予算の執行、収入の調定と収納、支出負担行為と支出命令、契約、財産・物品の管理、決算といった、お金とモノの動きにかかわる事務全般がここに入ります。問題は、これらを文字どおり全件・全工程について同じ密度で評価しようとすると、評価作業そのものが膨大になり、肝心のリスク低減に手が回らなくなることです。

そこで、評価対象は「金額的・質的な重要性」と「リスクの大きさ」で絞り込みます。判断の軸は二つあります。一つは、誤りや不正が起きたときの影響の大きさ（支出規模、住民への影響、対外的な信用への波及）。もう一つは、誤りや不正が起きやすさ（手作業の多さ、属人化、チェックの薄さ、過去の事故歴）です。この二軸で事務を並べ、影響が大きく発生しやすいものから優先的に評価対象に組み込みます。発生してもほぼ影響がなく、かつ統制が十分効いている定型事務まで毎年フル評価する必要はありません。

実務では、ここで「どの事務を対象にしたか」と「なぜその範囲にしたか」を文書に残しておくことが後で効いてきます。監査委員の審査でも、また翌年度に対象を見直すときも、選定の理由が記録されていれば議論が早い。逆に、選定根拠が曖昧なまま「主要なものを選んだ」とだけ書くと、範囲の妥当性そのものが論点になってしまいます。対象事務の一覧と選定基準は、評価作業のインフラとして毎年度更新する前提で持っておくとよいでしょう。

リスクの可視化とRCM――「誰が見ても同じ判断ができる」状態を作る

対象事務が決まったら、各事務に潜むリスクと、それに対応する統制（コントロール）を一つずつ対応づけます。ここで使うのがリスクコントロールマトリックス（RCM）です。RCMは、業務プロセスの各ステップについて「どんなリスクがあり」「それを防ぐためにどんな統制を置いていて」「その統制が実際に効いているか」を一覧にした表で、内部統制を文書化・評価する際の中心的なツールになります。

RCMを作るときの最小限の列構成は、おおむね次のようになります。

• 業務プロセス・作業ステップ（例：支出命令の審査、収納消込）
• 想定されるリスク（例：架空・水増し請求の見落とし、二重支払、収入の計上漏れ）
• 統制活動（例：証憑と支出命令の突合、上長による決裁、システム上の予算超過チェック）
• 統制の種類（予防的か発見的か、手作業かシステムによる自動統制か）
• 統制の頻度（都度／日次／月次）と実施者
• 評価結果（整備状況・運用状況それぞれの有効性）

RCMの価値は、リスクと統制の対応関係を属人的な暗黙知から、誰が見ても追える明示的な記録に変えるところにあります。たとえば「うちの課は二重支払が起きないようにしている」という説明は、RCM上では「支払前にシステムが過去の同一支払先・同一金額の伝票を検知し、ヒットした場合は決裁者に警告が出る（日次・自動・発見的統制）」のように具体化されます。ここまで書き下ろすと、その統制が本当に動いているか（運用状況）をデータで確認できるようになります。警告が出た件数、そのうち実際に二重だった件数、見逃して事後に判明した件数――こうした数字が取れれば、統制の有効性は印象ではなく実績で語れます。

内部統制の評価は、一般に統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応という基本的要素ごとに整理して考えます（導入・実施ガイドライン）。RCMは主に「統制活動」を文書化する道具ですが、そこで集まる実施記録やエラー件数は「モニタリング」と「情報と伝達」を支えるデータにもなります。財務会計システムや収納管理システムのログを評価の証跡として使えるよう、どの操作記録を残すかを情報システム部門とすり合わせておくと、毎年度の評価が手作業の証憑集めから、データの集計・確認へと軽くなっていきます。

整備状況の評価と運用状況の評価は別物

評価は二段階で考えます。一つは「整備状況の評価」、もう一つは「運用状況の評価」です。整備状況の評価は、リスクに見合った統制が設計され、ルールとして定められているか――規則・規程・マニュアルが整い、RCM上の統制が机上で見て妥当か――を確認します。運用状況の評価は、その統制が実際に期間を通じて設計どおり機能していたかを、サンプル抽出や記録の確認によって検証します。

この二つを混同すると、評価が甘くなります。マニュアルが立派でも、現場が忙しさのなかで決裁をまとめて後追いで処理していれば、運用状況としては不備です。逆に、現場が事実上うまく回していても、ルールが文書化されておらず担当者が代わると崩れる状態なら、整備状況に弱点があります。整備と運用の両面から見ることで、「仕組みはあるが動いていない」「動いてはいるが仕組みが脆い」という二種類の弱さを切り分けられます。

評価の過程で見つかった不備は、その重大性に応じて対応します。重大な不備、すなわち放置すれば財務に関する事務の適正性を著しく損なうおそれのあるものは、速やかに是正する必要があります。それ以外の不備は、状況に応じて適切な時期に改善していく扱いになります。重要なのは、不備を見つけたこと自体は失敗ではなく、見つけて記録し是正につなげる流れこそが内部統制の機能だ、という整理です。不備ゼロを取り繕うより、把握した不備とその是正状況を率直に記録するほうが、制度の趣旨にかなっています。

評価報告書の作成と、監査委員・議会・公表という出口

一年度分の評価が終わったら、結果を内部統制評価報告書にまとめます。報告書には、評価の対象とした事務の範囲、評価の手続、整備状況・運用状況の評価結果、発見された不備とその是正状況、そして全体としての内部統制の有効性についての長の判断を記載します。先に述べた評価対象の選定根拠やRCMが整っていれば、報告書はその要約として無理なく組み立てられます。

作成した評価報告書は、監査委員の審査に付します。監査委員は報告書を審査して意見を付け、長はその監査委員の意見を添えて報告書を議会に提出し、あわせて公表します。ここで監査委員が果たす役割は、長の自己評価を外部の目で確かめることにあります。さらに踏み込むと、内部統制が整備・運用されていることを前提に、監査委員の監査自体をリスクの高い領域に重点化し、効率的・効果的に行えるようにする、という相互作用が制度設計に織り込まれています（総務省「地方公共団体における内部統制・監査に関する研究会」）。内部統制がしっかり回っていれば、これまで一律に見ていた部分の一部を省力化し、問題が起きやすい・影響が大きい領域に監査資源を振り向けられる、という考え方です。

この出口の設計は、内部統制を「やらされ仕事の報告書づくり」にしないための鍵でもあります。評価報告書が議会と住民に公表される以上、そこに書かれる不備と是正の記録は対外的な説明責任の素材になります。だからこそ、評価対象の選定からRCM、運用記録までを、報告書を逆算して一本の流れで設計しておくことが、毎年度の負荷を下げると同時に報告の説得力を高めます。

データで回す内部統制――表計算の限界とその先

多くの団体が、RCMも評価記録も表計算ソフトで管理することから始めます。出発点としては妥当ですが、対象事務が増え、年度をまたいで履歴が積み上がってくると、表計算だけでは次のような壁にぶつかります。担当課ごとにフォーマットが微妙にずれて全庁集計が手作業になる、前年度からの不備是正の進捗が追いにくい、財務会計システムのデータと評価記録が分断され、統制の有効性を裏づける数字を毎回手で拾うことになる――といった問題です。

ここで効いてくるのが、財務会計データと評価記録をつなぎ、リスクと統制の状況を可視化するという発想です。予算執行や収納のデータから、予算超過の発生件数、決裁の差戻し件数、支払までの所要日数のばらつきといった指標を継続的に拾えれば、それぞれの事務のリスクが机上の想定ではなく実績で見えてきます。RCM上の統制が「効いているはず」なのか「実際に効いている」のかを、データが裏づける状態に近づけられます。評価の重点化やサンプルの絞り込みも、勘ではなく数字を根拠に説明できるようになります。

Aurant Technologiesでは、自治体の財政・会計データを予実管理BIとして可視化し、部署をまたいだ事務リスクの把握を支援しています。内部統制の評価そのものを代行するわけではありませんが、評価対象事務の選定根拠となるデータや、統制の運用状況を裏づける指標を、財務会計システムから継続的に取り出して見える化する部分で力になれます。自治体DXの全体像や、財政データの可視化の具体については、以下もあわせてご覧ください。

• 行政・自治体DX 完全戦略（ガバメントクラウド・標準化・住民サービス・EBPM）
• ふるさと納税 マーケティング支援・予実管理BI
• ふるさと納税 データダッシュボード 2026

まとめ――制度を回すための実務の勘所

地方の内部統制制度は、第150条という短い条文の背後に、評価対象事務の選定、リスクと統制の対応づけ、整備・運用の二段階評価、不備の是正、評価報告書の作成、監査委員の審査、議会提出・公表という一連の流れを抱えています。義務付けは都道府県と指定都市が対象で、その他の市町村は努力義務ですが、方針を策定すれば同じ枠組みで取り組むことになります。

毎年度のサイクルを形式に終わらせないためには、対象事務をリスクと重要性で絞り込み、RCMで統制を明示的に書き下ろし、その運用を財務会計データで裏づける――この三つを一本の設計としてつないでおくことが近道です。報告書はその自然な要約として組み上がり、監査委員の審査と議会への報告も、印象論ではなくデータに支えられたものになります。内部統制を「報告のための作業」から「事務リスクを実際に下げる仕組み」へと近づける鍵は、リスクの可視化をどこまで日々のデータに根づかせられるかにあります。