「財務報告に係る内部統制の評価及び監査の基準」(以下「内部統制基準」という)では、内部統制の基本的枠組みとして、4つの目的と6つの基本的要素が挙げられています。
この記事では、目次の以下の6つの基本的要素について簡単にまとめました。
統制環境
内部統制基準では、「統制環境」について、以下のように説明されています。
統制環境とは、組織の気風を決定し、組織内の全ての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤をいう。
ここで、統制環境は「組織の気風を決定」するもの、そして「他の基本的要素の基礎」となることが述べられています。
統制環境は、組織に属する全員の価値基準や意識に影響を与えるものですので、6つの基本的要素のなかでもっとも重要な要素といえるでしょう。
抽象的でわかりにくい……
内部統制基準では、統制環境として以下の事項が挙げられています。
具体的にイメージできるように、関連する社内規程や社内体制などもあわせて示しました。
| 統制環境に含まれる一般的な事項 | 社内規程・社内体制 | |
| ① | 誠実性および倫理観 | 倫理規程、行動規範 |
| ② | 経営者の意向および姿勢 | 企業理念 |
| ③ | 経営方針および経営戦略 | 事業計画 |
| ④ | 取締役会および監査役等の有する機能 | 取締役会の定期開催と監査役等の出席 |
| ⑤ | 組織の構造および慣行 | 内部通報制度、人事評価制度 |
| ⑥ | 権限および職責 | 業務分掌規程、職務権限規程 |
| ⑦ | 人的資源に対する方針と管理 | 教育訓練制度、職位基準書 |
リスクの評価と対応
内部統制基準では、「リスクの評価と対応」について、以下のように説明されています。
リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。
リスクの「評価」と「対応」?
リスクの評価
業務を行うにあたってどんなリスクが発生しうるのか、思いつく限りすべて洗い出します。
次に、それらが常に起こりうるものなのか、偶発的に起こるものなのかを分類します。
そして、もし発生した場合、影響の大小を計量化し、優先順位を決めます。
なお、リスクを洗い出す際には、不正に関するリスクについても検討することが必要とされています。
リスクへの対応
リスクの評価を受けて、それらのリスクに対して適切な対応を計画し、実行します。
実行後はモニタリングをし、計画がうまくいっているのかを評価し、必要であれば計画を改善します。
統制活動
内部統制基準では、「統制活動」について、以下のように説明されています。
統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。
これってどういう意味?
内部統制において「統制」とは、存在するリスクの発生を予防したり、リスク発生の可能性を小さくしたり、リスク発生による影響度を低くしたりすることを意味します。
統制活動の具体例としては、上長による承認手続きや、内部牽制を目的とした財部担当と経理担当の分離などがあります。
これらを適切に行うには、業務分掌規程で業務の分担方針を定めたり、職務権限規程で誰がどこまでの権限と責任を持っているのかを明確にしておく必要があります。
また、これらの統制活動は日々の業務の中に組み込まれ、確実に実行されなければなりません。
情報と伝達
内部統制基準では、「情報と伝達」について、以下のように説明されています。
情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう。
情報「の」伝達ではない?
ここでは、情報が伝達する仕組みだけでなく、情報自体についても問題にしています。
情報
認識した情報の信頼性などを確かめ、取得すべき情報かどうかを識別します。
それが組織にとって必要な情報である場合、目的に応じて、情報伝達の仕組みのなかで伝達可能な形式に加工します。
大量の情報を扱い、業務が高度に自動化されたシステムに依存している場合などでは、不正確・不適切な情報により経営判断を誤る可能性が高まるため、情報の信頼性は非常に重要です。
伝達
これらの情報は、組織内または組織外の必要な関係者に適切なタイミングで届く必要があります。
また、組織内から組織外、上層部から現場などの一歩通行ではなく、双方向に情報が伝達する仕組みの構築が重要です。
具体例として、内部通報制度は不正発見において重要な情報の伝達経路として考えられます。
モニタリング(監視活動)
内部統制基準では、「モニタリング(監視活動)」について、以下のように説明されています。
モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングには「日常的モニタリング」と「独立的評価」があり、これらを個別に、または組み合わせて行います。
日常的モニタリング
日常的モニタリングとは、一連の手続として業務プロセスに組み込まれた監視活動のことで、業務を実施する部門内で行われます。
担当者が会計ソフトに入力した情報を管理者がチェックするなどがあります。
独立的評価
独立的評価とは、日常的モニタリングとは違い、業務から独立した視点で内部監査部門などによって行われるものです。
社内規程や業務マニュアルに沿って業務が実行されているかなど、内部統制が実際に機能しているかどうかを全社にわたってチェックし、評価します。
評価の結果は、経営者や取締役会、監査役等などに報告され、不備があれば是正し、是正後の状況も評価されます。
IT(情報技術)への対応
内部統制基準では、「IT(情報技術)への対応」について、以下のように説明されています。
ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
今や事業活動におけるITの活用は避けては通れません。
内部統制の4つの目的を達成するためには、ITへ適切に対応し、効率的に利用することが重要です。
また、昨今ではITに関する業務を外部へ委託することが増えているため、委託業務に対する内部統制の検討も必要です。
さらに、クラウト、リモートアクセス等のIT技術の活用により、サイバーセキュリティリスクの高まりも考慮しなければなりません。
ITへの対応には「IT環境への対応」と「ITの利用および統制」があります。
IT環境への対応
IT環境とは、たとえば以下のように、組織内外でのITの利用状況をいいます
- 社会および市場におけるITの浸透度
- 組織が行う取引等におけるITの利用状況
- 組織が選択的に依拠している一連の情報システムの状況(情報システムに依拠しているかどうか、依拠している場合にどのような情報システムに依拠しているか等)
- ITを利用した情報システムの安定度
- ITに係る外部委託の状況
IT環境が変われば、予見されるリスクも変わりますので、その変化に対応していく必要があります。
ITの利用および統制
ITの利用および統制とは、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用し、そして他の基本的要素をより有効に機能させることをいいます。
ITの利用
ITを利用することで、より有効かつ効率的な内部統制の基本的要素を構築することができます。
どんなふうに基本的要素と関係するの?
たとえば「統制活動」では、ワークフローシステムを利用して、承認フローの状況を記録しています。
「情報と伝達」では、メールやイントラネット、グループウェアなどを情報の伝達手段としています。
ITの統制
ITの統制とは、ITを取り入れた情報システムに関する統制のことです。
IT統制を構築することによって、情報システムが取扱うデータにおいて、以下の目的を達成します。
- 準拠性:情報が関連する法令や会計基準、社内規則等に合致して処理されていること
- 信頼性:情報が組織の意思・意図に沿って承認され、漏れなく正確に記録・処理されること(正当性、完全性、正確性)
- 可用性:情報が必要とされるときに利用可能であること
- 機密性:情報が正当な権限を有する者以外に利用されないように保護されていること
これらの目的を達成するために、以下の3つのIT統制を構築します。
- IT全社統制
- IT全般統制
- IT業務処理統制
