内部統制システム

内部統制システムとは、金融庁から発表されている内部統制実施基準書の「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される。」ことを会社の内部に組み込んだシステムを内部統制システムと位置付けることができる。

さらに細かくは、以下のように意義づけられている。

(1) 統制環境

統制環境とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤をいう。
統制環境としては、例えば、次の事項が挙げられる。

① 誠実性及び倫理観
② 経営者の意向及び姿勢
③ 経営方針及び経営戦略
④ 取締役会及び監査役又は監査委員会の有する機能
⑤ 組織構造及び慣行
⑥ 権限及び職責
⑦ 人的資源に対する方針と管理

(注) 財務報告の信頼性に関しては、例えば、利益計上など財務報告に対する姿勢がどのようになっているか、また、取締役会及び監査役又は監査委員会が財務報告プロセスの合理性や内部統制システムの有効性に関して適切な監視を行っているか、さらに、財務報告プロセスや内部統制システムに関する組織的、人的構成がどのようになっているかが挙げられる。

(2) リスクの評価と対応

リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。

① リスクの評価
リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。

② リスクへの対応
リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択する。

(注) 財務報告の信頼性に関しては、例えば、新製品の開発、新規事業の立ち上げ、主力製品の製造販売等に伴って生ずるリスクは、組織目標の達成を阻害するリスクのうち、基本的には、業務の有効性及び効率性に関連するものではあるが、会計上の見積り及び予測等、結果として、財務報告上の数値に直接的な影響を及ぼす場合が多い。したがって、これらのリスクが財務報告の信頼性に及ぼす影響等を適切に識別、分析及び評価し、必要な対応を選択していくことが重要になる。

(3) 統制活動

統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内のすべての者において遂行されることにより機能するものである。

(注) 財務報告の信頼性に関しては、財務報告の内容に影響を及ぼす可能性のある方針及び手続が、経営者の意向どおりに実行されていることを確保すべく、例えば、明確な職務の分掌、内部牽制、並びに継続記録の維持及び適時の実地検査等の物理的な資産管理の活動等を整備し、これを組織内の各レベルで適切に分析及び監視していくことが重要になる。

(4) 情報と伝達

情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう。組織内のすべての者が各々の職務の遂行に必要とする情報は、適時かつ適切に、識別、把握、処理及び伝達されなければならない。また、必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内のすべての者に共有されることが重要である。一般に、情報の識別、把握、処理及び伝達は、人的及び機械化された情報システムを通して行われる。

① 情報
組織内のすべての者は、組織目標を達成するため及び内部統制の目的を達成するため、適時かつ適切に各々の職務の遂行に必要な情報を識別し、情報の内容及び信頼性を十分に把握し、利用可能な形式に整えて処理することが求められる。

② 伝達
イ. 内部伝達
組織目標を達成するため及び内部統制の目的を達成するため、必要な情報が適時に組織内の適切な者に伝達される必要がある。経営者は、組織内における情報システムを通して、経営方針等を組織内のすべての者に伝達するとともに、重要な情報が、特に、組織の上層部に適時かつ適切に伝達される手段を確保する必要がある。

ロ. 外部伝達
法令による財務情報の開示等を含め、情報は組織の内部だけでなく、組織の外部に対しても適時かつ適切に伝達される必要がある。また、顧客など、組織の外部から重要な情報が提供されることがあるため、組織は外部からの情報を適時かつ適切に識別、把握及び処理するプロセスを整備する必要がある。

(注) 財務報告の信頼性に関しては、例えば、情報について、財務報告の中核をなす会計情報につき、経済活動を適切に、認識、測定し、会計処理するための一連の会計システムを構築することであり、また、伝達について、かかる会計情報を適時かつ適切に、組織内外の関係者に報告するシステムを確保することが挙げられる。

(5) モニタリング

モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある。

① 日常的モニタリング
日常的モニタリングは、内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいう。

② 独立的評価
独立的評価は、日常的モニタリングとは別個に、通常の業務から独立した視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取締役会、監査役又は監査委員会、内部監査等を通じて実施されるものである。

③ 評価プロセス
内部統制を評価することは、それ自体一つのプロセスである。内部統制を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要素を予め十分に理解する必要がある。

④ 内部統制上の問題についての報告
日常的モニタリング及び独立的評価により明らかになった内部統制上の問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に情報を報告する仕組みを整備することが必要である。この仕組みには、経営者、取締役会、監査役等に対する報告の手続が含まれる。

(注) 財務報告の信頼性に関しては、例えば、日常的モニタリングとして、各業務部門において帳簿記録と実際の製造・在庫ないし販売数量等との照合を行うことや、定期的に実施される棚卸手続において在庫の残高の正確性及び網羅性を関連業務担当者が監視することなどが挙げられる。また、独立的評価としては、企業内での監視機関である内部監査部門及び監査役ないし監査委員会等が、財務報告の一部ないし全体の信頼性を検証するために行う会計監査などが挙げられる。

(6) ITへの対応

ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。

ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。ITへの対応は、IT環境への対応とITの利用及び統制からなる。

① IT環境への対応
IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要がある。IT環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される。

② ITの利用及び統制
ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。ITの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになる。

(注) 財務報告の信頼性に関しては、ITを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられる。

(7)内部統制の限界

内部統制は、次のような固有の限界を有するため、その目的の達成にとって絶対的なものではないが、各基本的要素が有機的に結びつき、一体となって機能することで、その目的を合理的な範囲で達成しようとするものである。

(1) 内部統制は、判断の誤り、不注意、複数の担当者による共謀によって有効に機能しなくなる場合がある。
(2) 内部統制は、当初想定していなかった組織内外の環境の変化や非定型的な取引等には、必ずしも対応しない場合がある。
(3) 内部統制の整備及び運用に際しては、費用と便益との比較衡量が求められる。
(4) 経営者が不当な目的の為に内部統制を無視ないし無効ならしめることがある。

 

弊社の内部統制ツールQPRJ-SOXを利用することにより、業務プロセス、リスク、コントロールの統制及びモニタリングすることができる内部統制システムを構築することができます。

さらには、リスク、コントロールの整備状況評価及びサンプリングを用いた運用評価支援ツールとして、TAMIC(タミック)を用意しています。