内部統制とは?
2014/9/27公開2022/3/25更新
このコラムはIT監査の入門者用として、「IT全般統制とは何か」ということを記載していますが、会計監査の中でも「監査だ。じゃあIT全般統制だ。」とはなかなか辿り着きにくいため、IT全般統制に行き着くまでのステップを順に追って説明しています。
目次
今回は、前回最後の辺りに出てきた「内部統制」について記載していきます。
内部統制...。 ここに来て、分かったような分からないような言葉ですが、一応定義らしきものを拾ってきてみると以下のように書かれています。
ここから分かることは、以下のことでしょうか。
- 内部統制はプロセスです。
- 内部統制は一定の目的を達成するために実施されます。
- 内部統制は組織内のすべての者によって遂行されます。
- 内部統制には構成される基本的要素があります。
やはり、分かるようで分からないような、言い換えると、掴みどころのない説明かなと思います。というのも、ここからは結局何をどうするのが内部統制だという具体的なイメージが湧かないからですね。なので、もう少し紐解いてみましょう。
内部統制は「内部」と「統制」の組み合わせ
内部統制というのは「内部」と「統制」の組み合わせですから、この「統制」というもののイメージが付けば分かりやすくなるかもしれません。そこで「統制」とは何ぞやというところを少し補完して考えてみます。
辞書で「統制」という言葉を探してみると以下のように書かれています。
まずはいかがでしょう。お持ちのイメージに合っていますでしょうか?「内部統制なんて正直良く分からないし、けどJ-SOXなんかの制度としてやっていることもあるから、③のイメージに近いかな」と思われている方も多いのかなと思います。
上のいずれの説明でも、この「統制」の意味のエッセンスは、「複数のばらばらなものを1つにまとめあげること」と読み取れます。
とすると、何をまとめるの?ばらばらなものって何?という話になるかと思います。上の説明では「統制」一般の説明なので、まとめる対象はさまざまなのですが、こと「内部統制」について言えば、それはリスク(=「Risk」)になるのです。
内部統制で対象となるリスク
一般的にリスク(=「Risk」)というと、「危機」とか「危険」とかマイナスの意味でとらえられることが多くて、リスクがあるという場合も「危険をともなう」や「避けることのできない損害や損失をともなう」という意味でつかわれることが多いかと思います。また、リスクの管理という場合も、突発的な事故、例えば誘拐、テロ、自然災害、火災などが起きた時に備えて避難訓練や消火訓練を行う、発生した損害を回避するために保険をかけておくなど、マイナスを防ぐ、あるいはマイナスをできるだけ減少させる、現状を回復するための資金的補償を得るという意味で使われたりします。
それでは、この「内部統制」で対象となっているリスクとは何でしょうか?それは、内部統制の定義に「(1)に掲げる一定の目的の達成のため」と書かれていますから、例えば業務の有効性および効率性などを阻害するリスクを対象にしていることになります。
もともと会社は、それぞれ独自の目的・役割を抱えておりますが、一般的にはどの会社であっても最終的には「組織を持続的に発展していくこと」が経営目的であると捉えていいかと思います。そして、その目的を叶えるためには、内部統制の定義に記載された一定の目的を達成要件として業務遂行してゆくものとして考えられていると思います。
内部統制の基本的要素
次に、まとめるとはどういうこと?という話になるかと思いますが、ここに関連するキーワードが同じく定義の中に記載されています。基本的要素に記載されている次の部分ですね。基本的要素とその一般的な説明を追加しておきます。
これらの基本的要素が、まとめるという話とどのように関わるかというと、これらが一連のプロセスの流れを表していると見ることができるのです。
-
- リスク評価 [PLAN]
- 組織目標の達成を阻害する要因をリスクとして識別、分析及び評価する。
-
- 統制活動 情報及び伝達 [DO] 別・分析・評価されたリスクに対応するコントロールを策定して実行する。
- そのために必要な方針・手続等を適時適切に伝える。
-
- モニタリング [CHECK+ACTION]
- 策定された統制活動が適切に機能しているか評価する。
そして検出された問題点を次のサイクルにおけるリスク評価につなげる。
いかがでしょうか?つまり、まとめるとは、リスクを管理するために、上記の一連したプロセスの流れを効果的・効率的に廻すことによって、散在するリスクを許容以下になるよう十分に低減する方向に向かわせるということと言い換えることができます。
統制環境とITへの対応
一方で、基本的要素のうち、統制環境とITへの対応というのは出てきませんでした。
統制環境というのは、一言で言ってしまえば、経営者をはじめとする組織構成員の内部統制に対する意識そのものです。よく組織風土とか企業文化などという言葉でイメージされるものです。すなわち、上記のプロセスを回す土台になるもので、あまりメインで取り扱われることはありませんが、非常に重要な要素です。というのも、いかに立派な仕組みを作ったとしても内部統制に関する意識が低ければ、いずれ箱だけが残って中身が忘れられてゆくことは想像に難くありません。
また、ITへの対応というのがありますが、これはいわゆる日本版SOXにおける内部統制の枠組みに独自に追加されたものです。ITの利用は内部統制構築のための手段の一つと思われるので、本来的な内部統制のフレームワークに載っていないこのITへの対応について、当時どのように解釈すれば良いか議論になったこともありましたが、現状では、「内部統制の他の基本的要素と必ずしも独立に存在するものではないが、、」ということで基本的要素と位置付けながらも、他の基本的要素の中でそれぞれ絡んでくるものと考えられているようです。
最後に内部統制というものをまとめて言うと以下のようになりますでしょうか。
- 内部統制というのは、リスクを管理するための仕組みです。
- 内部統制は、経営目的を阻害するリスクを対象にします。その経営目的の主な要素として、(1)の目的達成があります。
- 内部統制は、経営者をはじめとする組織内のすべての者が関与し、遂行するための仕組みです。
- 内部統制は、(2)に掲げられた構成要素に基づき、PDCAサイクルを廻すことによって、継続的にリスクを低減するプロセスとして実施されます。
「あれ?ここにきて、"COSO"のことは言わないの?」
すみません。いつ出そうかと考えている間に紙面が終わってしまいました。。COSOの話はまたの機会にでも。
※ コラムに記載された内容は執筆者個人の説明であり、所属する法人、関連する団体の公式見解ではありません。
