HOME > ナレッジ情報 > 内部統制(J-SOX) > シリーズ<3> 内部統制の6つの構成要素

シリーズ<3> 内部統制の6つの構成要素

1.はじめに

 本シリーズ3では、内部統制の構成要素について解説します。内部統制の構成要素は、内部統制の4つの目的と同様、実際の内部統制構築・評価作業において、必要以上に意識する必要はありません。しかし、一連の内部統制を構築する上で、「有効な内部統制はデザインできているか」「内部統制上、問題点があるとすればどこか」などを考える際に、理解しておくと非常に便利なものです。また、会計士などの監査人は、こういった概念的な部分に戻って経営者が構築した内部統制を理解していくことが多いので、監査人と議論する上では、是非とも理解しておきたいことです。前シリーズで解説した4つの目的と合わせて確認すると、内部統制への理解が深まります。まずは、内部統制の6つの構成要素について概観し、その後、1つずつ解説していきます。

2.内部統制の構成要素

 前シリーズの繰り返しになりますが、内部統制は4つの目的を達成するための仕組みです。では、具体的にどのような仕組みとなっているのかというと、「基本的要素」と呼ばれる6つの要素によって構成・形成されています。ここで内部統制において重要なのが、6つの基本的要素がすべて適切に整備・運用されていることです。6つの構成要素は、次のものになります。

 

≪内部統制の構成要素≫

  • 統制環境
  • リスクの評価と対応
  • 統制活動
  • 情報と伝達
  • モニタリング
  • IT(情報技術)への対応

 ここでは、この6つの基本的要素について解説します。概念的な部分で、理解しづらい部分ですが、具体例を参考にしてください。

(1)統制環境


 統制環境とは、組織風土を決定し、組織構成員の内部統制に対する意識に重要な影響を与え、他の基本的要素の基盤となるものをいいます。簡単に言ってしまえば、経営者をはじめとする組織構成員の内部統制に対する意識そのものです。

 この統制環境がしっかりしていないと、他の基本的要素が適切に構築されていても意味がなく、また根本的に構築される可能性が低くなります。例えば、現金管理の内部統制として、「現金管理担当者は、営業時間終了後、手許現金はすべて金庫に入庫し、金庫管理表に入金額を記入する。総務課長は、当該入金額と金庫管理表金額の一致を確認し、金庫の鍵を管理する」という内部統制が存在するとします。この内部統制は、手許現金の管理としては十分な規程だと考えられます。しかし、ここで統制環境が不十分だと、このような業務が規程通り実施されません。「毎日チェックすることが面倒」など、総務課長の当該内部統制に対する意識が弱ければ、日々行われることなく現金管理担当者による着服の可能性を防ぐことができません。また、経営者など上層部が現金管理の重要性について特に意識がなければ、こうした規程がそもそも整備されなくなってしまいます。

 このように、統制環境は「内部統制は大事だ」と思うマインドそのものなので、内部統制が形成される上でとても重要な要素となります。

(2)リスクの評価と対応


 リスクの評価とは、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスで、そのリスク評価を受けて、当該リスクへの適切な対応を選択するプロセスがリスクへの対応になります。

 内部統制は、4つの目的を達成するための仕組みですので、違う言い方をすれば、その目的達成を阻害するリスクを回避したり低減したりすることに他なりません。このため、まずはどのようなリスクが存在するのかを把握する必要があるのです。例えば、先ほどの現金管理の例で言えば、「現金を従業員が着服し、資産の保全が達成されないかもしれない」というリスクの存在が認識されます。そして、そのリスクがその会社にとって重要なものであると考えれば、それに対応するために先ほどの規程が整備されることになるわけです。もし、このようなリスク認識がなされなければ、上記のような規程が整備されることもありませんし、たとえリスク認識がなされたとしても、「大して重大なリスクじゃない」と評価されれば規程を整備するといった対応がとられることはありません。

 このように、リスクの評価と対応は、どのような内部統制を構築すべきかを決定するための大事な要素となります。

(3)統制活動


 統制活動は、経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続のことをいいます。すなわち、リスクに対応するために構築された統制行為そのもので、先ほどから述べている例でいえば規程そのものです。統制活動は、皆さんが『内部統制とは何か』と言われて一般的に最初に思い浮かぶイメージのものだと思います。内部統制は、この統制活動が実際に業務の中で行われることで実現していくのです。

このように、統制活動は、構築された内部統制そのものを具現化するものであり、重要な要素であることは言うまでもありません。

(4)情報と伝達


 情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することいいます。すなわち、情報を必要とする者が、適時かつ適切に情報を入手でき、逆に情報を発信したい者が、情報を与えたい相手に適時かつ適切に情報を発信できることをいいます。

 これは、構築された内部統制をその担当者に確実に実施させるために必要なものです。例えば、先の例の現金管理の統制活動は、経営者もしくは取締役等の上席者によってデザインされたものですが、実際に統制活動を行うのは現金管理担当者と総務課長です。このため、このような統制活動が構築されたこと、それが規程にとして記述されていること、内部統制の目的達成のために必要な業務(統制活動)であること等を、現金管理担当者と総務課長に知らしめる必要があり、情報と伝達の機能を備えている必要があるのです。

また、逆に現場などで予期せぬリスクを発見した場合には、それに対応する統制活動を構築する必要があり、その発見したリスクを適時に経営者等の内部統制を構築すべき者に報告する必要があります。これもまた情報と伝達の機能なのです。

 このように、情報と伝達は、構築された内部統制を適切に実施するためだけでなく、適時かつ適切に内部統制を構築していくためにも必要な要素なのです。

(5)モニタリング


 モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいいます。モニタリングにより、内部統制は常に監視、評価及び是正されることになります。例えば、統制活動を月に1回の内部監査部監査によって、適切に実施されているのかチェックする行為などが挙げられます。

 リスクを適切に把握し、それに対応する統制活動が適切に構築されたとしても、それを実施する担当者が適切に実施しなければ意味がありません。このため、担当者が意図したとおりに内部統制を実施しているのかチェックするため、モニタリングは必要な活動になります。ここで、統制活動が十分に行われていなければ、その原因が何かを分析し、それを補強するための是正が必要となります。例えば、情報と伝達の機能が不十分であるために担当者が適切に統制活動を実施できていなければ、情報と伝達を強化するよう社内研修を実施するなどの是正行為が行われるでしょうし、統制環境に問題があるため統制活動が無視されていると考えられるのであれば、取締役会や監査役、社外役員などの経営者への監視機能を強化するなどによって統制環境の強化が図られることになります。

 このように、モニタリングは、有効な内部統制を継続的に維持していくために必要な要素であると言えます。

(6)ITへの対応


 ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいいます。近年のIT環境の飛躍的な進歩によって、内部統制だけでなく様々な場面でITは登場します。このため、ITへの適切な対応を行うことは、内部統制上も重要なものとなります。

 ITへの対応は、他の基本的要素の有効性を確保するために利用され、内部統制の他の基本的要素と必ずしも独立に存在するものではありません。しかし、現状のITの経営に対する重要性から、明示的に1つの項目としたことで、ITに対する十分な対応が求められるようになったのは間違いありません。最近でもみずほ証券のジェイコム株の誤発注事故などは、十分にITへ対応できていなかった良例であると考えられます。

 このように、ITへの対応は、IT環境の飛躍的な発展により、ITが経営だけでなく内部統制そのものにも大きな影響を与える昨今の情況を踏まえ、内部統制の基本的要素として重要なものであると考えられます。

前へ  次へ

 

JSOXサービスへ JSOX FAQへ

 

 

 

このページの先頭へ戻る