大臣許可・特定建設業許可を保有する規模の建設会社では、許認可(入札資格)維持・安衛・労務・入管・与信・契約・反社チェックなど、法令遵守と経営リスクが複雑に絡みます。内部統制は「書類の整備」ではなく、業務プロセス・権限・証跡・監査が連動した運用設計です。本記事では、管理部門が明日から着手できる内部統制の構築ステップを示します。
なお、全体に言えることですが最初から完全なものを目指すと進まないのでまずは60点レベルでも良いので取り組みをスタートするのが重要です。また、内部統制については管理部門の自己満足、形骸化(意味のない仕事化)しないように経営トップの合意を得たうえで営業や施工の現場からの反発、クレームが出ないような形(媚びたり過剰な配慮は不要、あくまで「健全な牽制関係」)で進める必要があります。
1. リスクマップの作成から始める
①リスク領域の洗い出し
- 許認可・安衛・労務・入管・契約・与信・反社・情報セキュリティ・個人情報・不正会計などざっくりとでよいので分類
② 重要度と頻度の評価
- 影響度×発生可能性で優先度付け、トップ10リスクを決定
2. プロセス設計と職務分掌
① 権限・承認フローの明確化
- 起案→審査→承認→実施→記録の各段階の責任者を明示
- 相互牽制(分離)を徹底(例:契約起案者と承認者を分離)
② 標準業務手順書(SOP)の作成
- 許認可提出、安衛教育、入管更新、契約締結、与信審査の手順書・チェックリスト
3. 与信・契約・反社の三位一体統制
① 与信管理(代金回収リスクの回避)
- 取引開始前に財務分析・支払遅延履歴・業界評判を評価
- 取引限度額・支払条件の設定、モニタリング
② 契約統制
- ひな形管理(版管理)、条項の改正対応、例外承認の記録
- 契約締結権限者の設定(自社、相手方ともに)
- 電子契約で真正性・完全性・可読性を担保
③ 反社チェック
- 取引前・更新時のスクリーニング、ヒット時の対応フローを規程化
- 取引開始前の覚書の締結 →建設業許可取得業者は不要とする運用もアリ
4. IT統制と証跡の信頼性
① アクセス権限とログ管理
- 文書管理システム・基幹システム・台帳等へのアクセス権限設計(最小権限、職務分掌に準拠)
- 監査ログの保存期間・改ざん防止
② データ品質
- マスタデータ(取引先・技能者・資格・台帳)を定期棚卸
メンテナンスをしないと意味のないデータ入力を強いる無駄な作業になってしまいます。
5. 監査サイクル(PDCA)と指標
① 内部監査の設計
- 文書監査+現場監査の組み合わせ、不備があった場合は是正期限の設定
② KRI/KPIの運用
- 経営管理上の重要数値(例:提出期限遵守率、教育受講率、是正達成率、在留更新遅延ゼロ件数、契約例外承認件数等)について重要なものを(感覚ではなく)数値にして見える化。ただし、多すぎると実働部署からのクレームが出るのでまずは3つ程度でのスタート推奨。
※:KRI(重要リスク指標:Key Risk Indicator)、KPI(重要業績評価指標:Key Performance Indicator)
まとめ
内部統制は、リスクの見える化→プロセス設計→証跡とIT統制→監査サイクルの順で整えるのが最短ルートです。管理部門が主導してひな形・台帳・ダッシュボードを整備すれば、許認可維持・法令遵守・取引リスクが同時に引き締まります。ただし、管理部門の自己満足とならないようにあくまで営業、施工と利益をもたらす実働部署に納得感をもってもらったうえで取り組むことが重要です。もちろん一番重要なのは社長のスタンス(意気込み、姿勢)です。
付録:内部統制チェックリスト(抜粋)
- トップ10リスクのリスクマップが整備されている
- 権限・承認フローが文書化され、相互牽制が効いている
- 与信・契約・反社の統制が一体的に設計されている
- 文書管理システム・基幹システム等の権限と監査ログが適切に運用されている
- 監査サイクルとKRI/KPIが定例でレビューされている
