内部統制
内部統制とは
Section titled “内部統制とは”企業は日々、多くの業務を多くの人が分担して行っています。しかし、ルールがなければ、ミスや不正が起きたり、法律に違反してしまったりする恐れがあります。こうした問題を防ぐために、組織の内部で整備する仕組みやルールのことを内部統制と呼びます。
内部統制は、特定の部署だけが担当するものではなく、経営者から現場の担当者まで、組織全体で取り組むものです。「社内のルールをきちんと作り、それを守る仕組みを整えること」と理解するとわかりやすいでしょう。
試験で出るポイント
内部統制は「外部監査」と混同されやすいですが、あくまで組織の内部で構築・運用する仕組みです。外部の監査法人が行う活動ではありません。
内部統制の4つの目的
Section titled “内部統制の4つの目的”内部統制には、達成すべき4つの目的が定められています。
| 目的 | 内容 | 具体例 |
|---|---|---|
| 業務の有効性・効率性 | 事業活動を効果的かつ効率的に行うこと | 無駄な作業を減らし、生産性を高める |
| 財務報告の信頼性 | 財務に関する情報を正確に作成・報告すること | 決算書の数字に誤りがないようにする |
| 法令遵守(コンプライアンス) | 事業に関連する法律や規則を守ること | 個人情報保護法や労働基準法に従う |
| 資産の保全 | 企業の資産(お金・設備・情報など)を適切に管理し、守ること | 不正な持ち出しや紛失を防ぐ |
この4つはセットで覚えておくことが大切です。試験では「次のうち内部統制の目的に含まれるものはどれか」という形式で問われます。
試験で出るポイント
「利益の最大化」は内部統制の目的に含まれません。選択肢に紛れ込むことがあるので注意しましょう。内部統制は「不正やミスを防ぐ仕組み」であり、利益を直接追求するものではありません。
内部統制の6つの基本的要素
Section titled “内部統制の6つの基本的要素”4つの目的を達成するために、内部統制は6つの基本的要素で構成されています。ITパスポート試験では深く問われることは少ないですが、全体像を理解しておきましょう。
| 基本的要素 | 内容 |
|---|---|
| 統制環境 | 組織の気風や文化、経営者の姿勢など、内部統制の基盤となるもの |
| リスクの評価と対応 | 目的の達成を妨げるリスクを洗い出し、対策を検討すること |
| 統制活動 | 経営者の指示が確実に実行されるようにする方針や手続き(承認、確認、職務の分離など) |
| 情報と伝達 | 必要な情報が適切な人に、適切なタイミングで伝わる仕組み |
| モニタリング | 内部統制が有効に機能しているかを継続的に監視・評価すること |
| ITへの対応 | ITを適切に活用し、IT環境に対応した統制を行うこと |
6つの要素はそれぞれが独立しているのではなく、互いに関連し合って内部統制全体を支えています。たとえば、経営者が内部統制を重視する姿勢(統制環境)があってこそ、具体的なルール(統制活動)が現場で実行され、その状況が監視(モニタリング)されるという流れになります。
職務の分離とは、一つの業務の権限を一人に集中させず、複数の担当者に分けることで、不正やミスを防ぐ仕組みです。内部統制の「統制活動」の中でも特に重要な考え方です。
たとえば、物品の購入業務を考えてみましょう。
- 発注担当者:商品を注文する
- 検収担当者:届いた商品を確認する
- 支払い承認者:代金の支払いを承認する
もしこれらをすべて同じ人が行った場合、架空の発注をして代金を着服するといった不正が可能になってしまいます。担当者を分けることで、お互いの業務をチェックし合う関係が生まれ、不正が起きにくくなります。
試験で出るポイント
「職務の分離」は過去問で繰り返し出題されています。「なぜ分離するのか(不正・ミスの防止)」と「どのように分離するのか(権限を一人に集中させない)」の両方を理解しておきましょう。
現代の企業では、業務のほとんどがITシステムを使って行われています。そのため、内部統制を実現するうえで、ITに関する統制(IT統制)は欠かせません。
IT統制は、大きく2つに分類されます。
| 種類 | 対象 | 内容 | 具体例 |
|---|---|---|---|
| IT全般統制 | ITシステム全体 | システムの開発・運用・保守、アクセス管理など、IT環境全体に関わる管理 | システムの変更管理手順、バックアップの運用ルール、アクセス権限の管理 |
| IT業務処理統制 | 個々の業務処理 | 業務アプリケーションに組み込まれた、データの正確性・完全性を確保するための管理 | 入力データのチェック機能、計算結果の自動検証、エラー検出と修正の仕組み |
両者の関係を具体的に見てみましょう。たとえば、会計システムに「金額が0以下なら入力エラーとする」というチェック機能があるとします。これはIT業務処理統制です。しかし、このシステム自体が不正に改ざんされてしまっては意味がありません。システムへのアクセスを適切に管理し、変更手順を定める——これがIT全般統制です。
つまり、IT全般統制は、IT業務処理統制が正しく機能するための土台となっています。
試験で出るポイント
IT全般統制とIT業務処理統制の定義を入れ替えた選択肢がよく出題されます。「全般統制=システム全体の管理」「業務処理統制=個別の処理の正確性を確保」と区別して覚えましょう。
内部統制報告制度(J-SOX)
Section titled “内部統制報告制度(J-SOX)”日本では、上場企業に対して内部統制の有効性を評価し、報告することが法律で義務づけられています。この制度を内部統制報告制度(J-SOX)と呼びます。
J-SOXは、アメリカのSOX法(サーベンス・オクスリー法)を参考に、日本の金融商品取引法に基づいて導入されました。上場企業の経営者は、自社の内部統制が有効であるかどうかを評価した「内部統制報告書」を作成し、監査法人の監査を受けたうえで提出しなければなりません。
この制度の目的は、財務報告の信頼性を確保することです。企業の決算情報が正しいかどうかを、内部統制の観点から担保する仕組みといえます。
内部統制と監査の関係
Section titled “内部統制と監査の関係”内部統制が適切に整備され、運用されているかどうかを確認するのが監査の重要な役割の一つです。
- 内部監査:組織内部の独立した部門が、自社の内部統制の状況を評価する
- 外部監査:監査法人など、組織外部の第三者が、財務情報や内部統制の有効性を検証する
内部統制は「仕組みを作って終わり」ではなく、継続的にモニタリングし、問題があれば改善していくことが重要です。監査は、そのための客観的なチェック機能として位置づけられています。
| 項目 | 内容 |
|---|---|
| 内部統制 | 組織内部で整備するルールや仕組み |
| 4つの目的 | 業務の有効性・効率性、財務報告の信頼性、法令遵守、資産の保全 |
| 6つの基本的要素 | 統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応 |
| 職務の分離 | 権限を一人に集中させず、不正やミスを防ぐ |
| IT全般統制 | ITシステム全体に関わる管理 |
| IT業務処理統制 | 個別の業務処理の正確性を確保する管理 |
| J-SOX | 上場企業に内部統制の評価・報告を義務づける制度 |
試験で出るポイント
この分野では、内部統制の「4つの目的」と「IT統制の2種類の違い」が最もよく問われます。それぞれの定義を正確に理解し、具体例と結びつけて覚えておきましょう。
過去問で実力チェック
Section titled “過去問で実力チェック”過去問に挑戦
Q. 内部統制におけるモニタリングの説明として,適切なものはどれか。
- ア 内部統制が有効に働いていることを継続的に評価するプロセス
- イ 内部統制に関わる法令その他の規範の遵守を促進するプロセス
- ウ 内部統制の体制を構築するプロセス
- エ 内部統制を阻害するリスクを分析するプロセス
解答(令和元年)
正解: ア
Q. 情報システム部門が受注システム及び会計システムの開発・運用業務を実施している。受注システムの利用者は営業部門であり,会計システムの利用者は経理部門である。財務報告に係る内部統制に関する記述のうち,適切なものはどれか。
- ア 内部統制は会計システムに係る事項なので,営業部門は関与せず,経理部門と情報システム部門が関与する。
- イ 内部統制は経理業務に係る事項なので,経理部門だけが関与する。
- ウ 内部統制は財務諸表などの外部報告に影響を与える業務に係る事項なので,営業部門,経理部門,情報システム部門が関与する。
- エ 内部統制は手作業の業務に係る事項なので,情報システム部門は関与せず,営業部門と経理部門が関与する。
解答(令和2年)
正解: ウ
Q. システムによる内部統制を目的として,幾つかの機能を実装した。次の処理は,どの機能の実現例として適切か。
ログイン画面を表示して利用者IDとパスワードを入力する。利用者IDとパスワードの組合せがあらかじめ登録されている内容と一致する場合は業務メニュー画面に遷移する。一致しない場合は遷移せずにエラーメッセージを表示する。
- ア システム障害の検知
- イ システムによるアクセス制御
- ウ 利用者に対するアクセス権の付与
- エ 利用者のパスワード設定の妥当性の確認
解答(令和4年)
正解: イ
Q. 内部統制において,不正防止を目的とした職務分掌に関する事例として,最も適切なものはどれか。
- ア 申請者は自身の申請を承認できないようにする。
- イ 申請部署と承認部署の役員を兼務させる。
- ウ 一つの業務を複数の担当者が手分けして行う。
- エ 一つの業務を複数の部署で分散して行う。
解答(令和5年)
正解: ア
Q. 事業活動に関わる法令の遵守などを目的の一つとして,統制環境,リスクの評価と対応,統制活動,情報と伝達,モニタリング,ITへの対応から構成される取組はどれか。
- ア CMMI
- イ ITIL
- ウ 内部統制
- エ リスク管理
解答(令和6年)
正解: ウ
Q. 営業部門の営業員が出張する際の出張旅費の手続に関して,組織間でけん制を日常的に実施している状況の記述として,最も適切なものはどれか。
- ア 営業員が出張後に経理部門に提出した旅費精算の書類と証票類について,経理担当者が適切な内容であることを審査し,経理課長が承認する。
- イ 営業員が出張後に旅費の精算を行い,上長が承認を行う。経理部門では承認済みであるので支払を行う。
- ウ 営業員は出張の事前申請を行って上長の承認を得た後に,切符や宿泊施設の手配を旅行会社に依頼する。
- エ 会計年度における営業部門の旅費精算の書類と証票類から,監査人がサンプリングして,営業員の処理内容の適切性を確認する。
解答(令和7年)
正解: ア
Q. 内部統制の基本的要素の一つである “ITへの対応” に関する記述として,最も適切なものはどれか。
- ア ITを活用すると業務処理を迅速化でき,不注意によるミスを全て防止できる。
- イ 既存のITの利用者の拡大や,使い方の変更などで組織目標を達成できるのであれば,新たなITシステムの導入やITシステムの更新を強いるものではない。
- ウ 全ての業務プロセスをITで自動化することによって,業務プロセスを大幅に修正することが容易になる。
- エ 組織の業務がITに大きく依存すると,内部統制の目的を達成することが難しくなる。
解答(令和7年)
正解: イ