全社的な内部統制の構成要素は6つある
6つの内部統制の構成要素
  1. 統制環境
  2. リスクの評価と対応
  3. 統制活動
  4. 情報と伝達
  5. モニタリング(監視活動)
  6. IT(情報技術)

内部統制の構成要素

内部統制は、①統制環境、②リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング(監視活動)および、⑥IT(情報技術)への対応の6つの基本的要素から構成されています。この内部統制の構成要素が、すべて適切に整備および運用されることにより、内部統制の4つの目的(業務の有効性および効率性、財務報告の信頼性、事業活動に関わる法令等の遵守および、資産の保全)が達成されます。

統制環境

統制環境とは、組織の気風等を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリングおよびITへの対応に影響を及ぼす基盤をいいます。

統制環境は、他の基本的要素の基盤となる最も重要な基本的要素であるため、統制環境が一番重要な内部統制の構成要素となり、例えば、組織の社風や組織が保有する価値基準といった、組織固有の経営方針や特徴のことをいいます。

この統制環境は組織の最高責任者の意向や姿勢を反映したものとなることが多く、組織が保有する価値基準や基本的な制度等は、組織独自の意識や行動を規定し、組織内の者の内部統制に対する考え方に影響を与えます。

例えば、組織のトップが様々な事項を決定する組織であれば、そのトップの意向を酌んだ組織体制や報告体制となり、分権化が進み、各部署でその担当の事項を決定する組織であれば、各部署間で組織が完結するような組織体制や報告体制となります。なお、どちらの組織がより優れているのかといったことはなく、あくまで組織の社風が組織体制に影響を及ぼすものであるとされます。

リスクの評価と対応

リスクとは、組織目標の達成を阻害する要因をいい、組織に損失を与える可能性のあるものをいい、リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析および評価し、当該リスクへの適切な対応を行う一連のプロセスのことをいいます。

例えば、天災、盗難、市場競争の激化、為替や資源相場の変動といった組織を取り巻く外部的要因や、情報システムの故障・不具合、会計処理の誤謬・不正行為の発生、個人情報および高度な経営判断に関わる情報の流失又は漏洩といった組織の中で生ずる内部的要因など、様々なものが挙げられます。

組織は、このようなリスクに対して、リスクの評価を行い、リスクに対応するための組織制度や内部統制を構築していきます。リスクの評価と対応の実際の流れは、一般的に 1.リスクの識別、2.リスクの分類、3.リスクの分析、4.リスクの評価、5.リスクへの対応(評価されたリスクについて、その回避、低減、移転又は受容等の対応を行うこと)となります。

統制活動

統制活動とは、経営者の命令および指示が適切に実行されることを確保するために定める方針および手続をいいます。統制活動には、権限および職責の付与、職務の分掌等の広範な方針および手続が含まれ、このような方針および手続は、業務のプロセスに組み込まれ、組織内のすべての者において遂行されることにより機能します。

経営者は、不正又は誤謬等が発生するリスクを減らすために、各部署および各担当者の権限および職責を明確にし、各部署および各担当者が権限および職責の範囲において適切に業務を遂行していく体制を整備していく必要があります。

例えば、給与の計算および支払いについて、所管部署を人事部とし、人事部の担当者が給与計算を行い、人事部長が支払いの承認を行うといった、各部署および各担当者が権限および職責を決めていきます。

情報と伝達

情報と伝達とは、組織の経営に必要な情報が識別、把握、処理され、組織内の各部署や外部の関係者に正しく伝えられることをいいます。組織内のすべての者が各々の職務の遂行に必要とする情報を、適時適切に、識別、把握、処理及び伝達される必要があります。また、必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内のすべての者に共有されることが重要です。

例えば、滞留している債権について、経理部が起案書を作成し、関連する部署が当該起案書を確認および押印して回覧することにより、滞留している債権の重要な情報が関連する部署に適時適切に伝達されます。

モニタリング(監視活動)

モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいいます。モニタリングを実施することにより、内部統制は常に監視、評価及び是正され、改善活動が継続的に行われることとなります。モニタリングには、業務に組み込まれて行われる日常的モニタリングと業務から独立した視点から実施される独立的評価がありますが、両者は個別に又は組み合わせて行われます。また、モニタリングの結果、内部統制が有効に機能していない場合には、適切に報告がなされ是正活動が行われることとなります。

例えば、経理部員が起票した会計仕訳を上長が確認し、承認印を押印するといった業務が日常的に行われ、業務部門から独立した内部監査室において、当該業務が適切に行われていることをチェックします。チェックされた結果、適切に業務が実施されていないことが判明した場合、当該内容が適切に報告され、また原因分析および是正活動が行われることにより、内部統制が有効に機能するための活動が行われます。

IT(情報技術)への対応

ITへの対応とは、組織全体の目標を達成するために、IT以外の方針や手続も含めた組織全体の適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいいます。

ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものでありませんが、現在の組織経営は、ITに依存した組織経営となっていることが一般的であり、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となります。