基本的要素１　：　統制環境

「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、統制環境を次のように定義しています。

「統制環境とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、 他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基礎をいう」

統制環境とは、「法律を守ろう」「不正経理は絶対にしない」など、内部統制の目的を達成しようとする会社全体の雰囲気や社風のことをさします。

適切な内部統制を整備しても、運用する経営者や社員が、ルールや仕組みを守ろうとしなければ、全く機能しなかったり、運用されなかったりしますので、 企業全体に、内部統制を運用しようとする意識が浸透することが必要不可欠です。
そのためには、まず組織の気風を決定する、経営者の意向と姿勢が統制環境の源となります。

基本的要素２　：　リスクの評価と対応

「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、リスクの評価と対応を次のように定義しています。

「リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、 分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう」

企業では、自社の事業環境を取り巻くさまざまなリスクについて、適時にその状況を的確に把握したうえで、 現実にならないような対策を考えます。また、リスクが現実となった場合には、早期に対策を講じなければなりません。

事業に関係するリスクを適切にコントロールするためのプロセスをリスクマネージメントといい、リスクの評価と対応に関する内部統制では、欠かせないプロセスです。

リスクには、事業活動を遂行していく際に内部で発生するリスクと、事業機会などで外部の要因により発生するリスクに分けられます。

いずれのリスクに対しても、まずはリスクの内容と発生原因を洗い出し、識別します。見つけ出したリスクは、 顕在化する可能性が高いもの、及び事業活動に与える影響の大きいものの観点から、評価します。

その結果から、優先順位を付け、対応策を検討していきます。リスクの対応策には、大きく分類して４つの対応方法に分かれます。

• リスクを受け入れる・・・受容
• リスクを避けて通る・・・回避
• リスク発生時の被害を減らす・・・低減
• リスクを社外に移す・・・移転

「受容」は、天災による被害のリスクを受け入れ、立地条件を決定するなど、特別な策を設けずあえてリスクを受け入れる考え方です。

「回避」は、事業から撤退するなどが、リスクそのものを避けて通る考え方となります。

また、最も採用される可能性の高い「低減」は、情報セキュリティを高め、漏洩リスクを低減するなど、リスクが発生する確率、 もしくは、リスクが発生したときの影響の大きさを抑える考え方です。

「移転」には、火災保険に加入する、アウトソーシングを用いるなど、外部にリスクを転じる考え方となります。

経営者は、経営目標の達成の障害となるリスクを常に把握して、これらの方法で、またはこれらの方法を組み合わせて、具体的な対応策を決めていかなければなりません。 また、絶えず、社内外の状況変化を観察し、新たなリスクに備えることも大切です。

基本的要素３　：　統制活動

「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、統制活動を次のように定義しています。

「統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針および手続きをいう。
統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続きが含まれる。このような方針及び手続きは、 業務のプロセスに組み込まれるべきものであり、組織内の全ての者において遂行されることにより機能するものである」

企業内のあらゆる社員が、企業内のあらゆる取り決めを正しく守り、業務を遂行することを求めているのが統制活動です。
「内部統制」の言葉に最もイメージが近い統制活動では、以下のようなポイントを抑えて行うと高い効果が期待されます。

業務の分担をせずに一人の社員に任せてしまうと、不正な処理が行われたり、ミスをした際に対応が取れなかったりします。 これを防止するためには、互いの仕事をチェックしあうように、複数の社員で業務を分担する「職務の分掌」を明確にします。

さらに、上司による承認の仕組みなど「多重チェック」を活用することにより、ミスの早期発見、不正の防止が実現されます。
また、適切な組織の分割と権限、職責の委譲を行い、報告、チェック、指示が円滑に行われる仕組みが必要です。

事業活動を行う上では、こまめに活動の記録を残し、一定期間保管することが大変重要です。 記録を残すことによって、過去の事実関係や決定事項が明確となり、担当者の責任の所在も明らかとなります。

設備、在庫品、現金などの企業内の資産には、定期的な棚卸しが行われます。 帳簿上の金額や数量と、現に保有している金額や実際の数量が合致しているか、実地検査を行うことも大切な統制活動です。
このような定期的な実地検査によって、財務報告の信頼性を高めることが出来ます。

基本的要素４　：　情報と伝達

「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、情報と伝達を次のように定義しています。

「情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう」

いまや企業では、社内外の情報を正確に把握し、活用を図ることが出来なければ、業務目標を達成させることが困難となります。 そのため、情報の管理・伝達は、重要な施策となってきます。

情報は、権限に合わせて業務遂行に必要な情報だけ入手が可能とすること、最新の正確で信頼できる情報を入手すること、 業務に対して必要かつ適切な情報を活用することの観点から、管理運営することが必要です。

また、情報の伝達には、内部伝達と外部伝達があります。
内部伝達では、下記のようなポイントに注意が必要です。

• 経営者の意思や指示、命令が全ての社員に迅速に伝達される環境、仕組み、ルールの構築が欠かせません。
• 仕事に合わせた正確で信頼できる情報が、速やかに必要とする社員に伝達されることが大切です。
• 経営者に向けて社員の声を伝達できる仕組みの採用は、事業活動の正確な把握、不正の早期発見に繋がります。

外部伝達では、情報を受け取る側のニーズに合致した正確な情報を、発信することが必要です。 これにより、外部からの信頼を得たうえで、正直な反応、反響、苦情など、貴重な情報を受け取ることが可能となります

いかなる情報の伝達手段においても、発言、行動などに十分な注意を払い、意図した内容が正確に伝達できる仕組みやルール、 意図していなかったり誤解を招いたときの対処方法などに、気を配る必要があります。

基本的要素５　：　モニタリング

「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、モニタリングを次のように定義しています。

「モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。 モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある」

内部統制のさまざまな施策は、有効に機能しているか、効率的に運用されているかの確認をとると共に、より良い施策に改善していく必要があります。 また、時間の経過、環境の変化などにより、新たな施策の追加や是正が必要となることもあります。

そのためには、日々の業務として継続的に、チェックして評価する事が大切です。

日常的モニタリングは、業務の過程で、その業務に携わっている担当者や管理責任者によって行われるモニタリングです。
日常的モニタリングでは、内部統制が有効に機能しているかを中心に、上司が部下の業務日報を毎日チェックするなど、日常業務の一部として取り込むことが大切です。

日常的モニタリングは通常業務に取り込まれているため、業務を良く知る社員によって、内部統制の有効性をリアルタイムでチェックすることができ、 問題点に対しても迅速に対応できることが利点となります。
しかし、業務の一環として行っているがゆえに発見しにくい問題点もありますし、評価が甘くなってしまい、問題点を見逃してしまうこともあるなどの不利点も考慮する必要があります。

一方、独立的評価は、業務と関わりのない外部の視点から定期的に、内部統制の有効性をチェックするモニタリングです。
日常的モニタリングで見逃されやすい部分を評価するだけでなく、日常的モニタリングを評価する側面も持っています。
また、一般社会や業界など、外部のレベルと相対的に比較した評価が可能であるなどの利点もあります。

基本的要素６　：　ITへの対応

「財務報告に係る内部統制の評価及び監査の基準のあり方について」では、ITへの対応を次のように定義しています。

「ITへの対応とは、組織目標を達成するために予め適切な方針及び手続きを定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。
　ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、 内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の基準となる。
　ITへの対応は、IT環境への対応とITの利用及び統制からなる」

企業の事業活動において、ITの活用はいまや不可欠の要素となっています。
販売管理システム、経理・会計システムなど、企業の業務を「効率的に」「正確に」「不正防止に」を目的にさまざまな業務において広く活用され、今後、その重要度はさらに高まっていくと予想されます。

それに対応して日本版SOX法では、新たに「ITへの対応」が基本的要素に加えられています。

市場動向、業界動向などに合わせたIT環境への対応は、事業活動において重要な要素となります。
中長期的な戦略の中で、適切な利用、ネットワーク化、セキュリティ対策レベルの向上などのIT環境の整備が、求められています。

ITの利用は、事業目標を達成するために、他の５つの基本的要素を有効に機能させる要素であり、必ずしも独立して存在している構成要素ではありません。
ITが活用されると、情報の伝達が素早く行われ、誤入力などのミスの発見、未然防止にも効果を発揮します。また、過去のログを蓄積することによって、 過去の調査をする事や、手順などの標準化が速やかに行えます。

このように適切なITの活用は、内部統制の基本的要素の有効性を高めることに貢献します。

ITへの対応は、ITを統制するという意味からIT統制という概念がありますが、これは、全般統制、業務統制の２つに分けられます。

全般統制とは、企業内の信頼性、安全性、経済性などを確保するための共通的な仕組みのことです。
すなわち、インフラとしてとらえられる部分の統制となり、具体的にはネットワーク機器などのハードウエア、ソフトウエアの運用・管理、LANやWANなどのネットワークの運用、管理などにあたります。

一方、業務統制とは、業務処理の完全性、正確性、有効性を保証するための業務アプリケーションの処理・機能における統制のことです。
具体的には、入力データチェック機能や、データベース参照機能、そして、承認処理機能などがあたり、不正防止やヒューマンエラー対策に大きな効果を得られます。

このように、IT環境への対応を考慮し、整備、そして統制を実施するという一連の流れによって、内部統制はより効果的に、そして効率的に機能することが出来ます。