内部統制の構成要素

内部統制の目的と構成要素の関係について、COSO内部統制フレームワークでは、「内 部統制の目的―すなわち事業体が達成しようとする目的―と、内部統制の構成要素―す なわち、かかる目的を達成するために必要とされるものの間には、直接的な関係がある

10」としている。そして、「経営計画等の命令が実行されていることを保証するための統 制上の方針と手続―すなわち統制活動が確立・実施されていることは、内部統制の3つ の目的の範疇すべてに関連している¹¹」としている。

そのため、構成要素を評価することにより、事業体全体だけではなく、事業レベル、

購買、生産、マーケティング等の活動レベルにおいて内部統制を評価することが可能に なる。

内部統制は、相互に関連のある次の5つの要素から構成されている。構成要素は内部 統制の有効性の判断基準であり、1つの統制目的が達成できていることは5つの判断基 準がすべて満たされていることで合理的な保証が提供される。ただし、「業務の有効性と 効率性」の統制目的達成に関しては、上述のように、誤った判断や意思決定および外部 事象等の統制できない事象が含まれるため、目的達成を合理的に保証できず、経営者や 取締役会に達成状況を知らしめることを保証できるにすぎないのである。

（1）統制環境

統制環境は最高執行責任者、取締役会、および監査役会の企業経営に対する基本認 識や基本姿勢を反映させる「コーポ―レート・ガバナンスの理念」と、それらを実現 するために執行側が用意した制度と組織を総称する概念であり、他の構成要素の基盤

51 になるものである¹²。

統制環境の評価要因は次のとおりである¹³。

① 誠実性と倫理的価値観

容認される企業実践、利益相反、倫理的および道徳的行動に関する行動方針の策定、

経営者の倫理観に基づく経営行動、非現実的な業績目標の達成圧力をかけていないか。

② 能力に対する経営者の取り組み

職務規定の策定、職務を適正に執行するうえで必要な知識と技能を分析されている か。

③ 取締役会または監査委員会

経営者からの独立、財務および会計担当最高役員ならびに内部監査人・外部監査人 との間の適時な会合、経営目的と経営戦略および財政状況・経営実績ならびに重要な 契約条件等を監視する上での必要十分な情報の提供がされているか。

④ 経営者の経営哲学と行動様式

受け入れた企業リスクの性格および程度、本社の上級経営者と現場の経営管理者の 間の意思疎通、会計処理方法の適用を含めた経営者の財務報告に対する姿勢と行動を とっているか。

⑤ 組織構造

組織構造の適切性、組織構造における事業活動に必要な情報経路の具備、中心的な 経営管理者に対する責任規定、中心的な経営管理者の責任に応じた知識と経験の保持 がされているか。

⑥ 権限と責任の割当

組織の目標と目的、経営職能および規制に関する権限と責任の割り当て、統制に関 する適切な基準と手続きの適切さ、事業体の規模や活動およびシステムに応じた技能 を持つ豊富な人材の存在があるか。

⑦ 人的資源に関する方針と管理

従業員の雇用、研修、昇進および給与に関する方針と手続きの設定、および方針等 からの逸脱に対する是正措置、求職者の適切な履歴調査の実施、従業員の維持と昇進 に関する適切な基準および業績評価等の情報があるか。

（2）リスクの評価

52

COSO内部統制フレームワークでは、「リスクの評価を行う場合の前提は、目的を事業 体レベルまたは活動レベルに結びつけるとともに、内部的に矛盾のないように設定する ことが重要である。リスクの評価とは、目的の達成に関連するリスクを識別・分析する ことによって、そのリスクをいかに管理すべきかを決定するための基礎を提供すること にある¹⁴」としている。すなわち、適切な目的を設定することは、有効な内部統制を確 立するうえでの前提条件であるとともに、リスクを識別・分析・管理する基盤であると いう重要な事項であるということである。また、当該フレームワークでは、「業務の領域 における内部統制の目標は、基本的には、組織全体を通じて首尾一貫した目的と目標を 設定すること、最重要統制要因を識別すること、そして業績と期待を経営者に適時に報 告することにおかれている ¹⁵」としている。すなわち、業務目的の範疇では、活動レベ ルの目的と事業体レベルの目的および戦略計画との整合性がとられ、事業体レベルの目 的を達成するために不可欠な目的（最重要成功要因）が識別されること、そして、業績 と期待を経営者に適時に報告することが内部統制の目標である。しかしながら、目的の 設定は経営者の責任で行うべきプロセスであるため、内部統制プロセスから除外されて いる。

リスクの評価において、①リスクの識別、②リスクの分析、および、③環境の変化へ の対応の3つのプロセスがある。

① リスクの識別

リスクの識別は、事業体レベルのリスクと活動レベルのリスクから包括的に行われ る。COSO内部統制フレームワークでは、「リスクを識別する際には、事業体と外部の 関係者との間のー財、用役および情報についてのーすべての重要な相互関係が考慮さ れなければならない ¹⁶」としている。ここで、リスクの識別における「相互関係」の 重要性が示されている。また、事業体レベルのリスクは外部要因または内部要因から 生じる。外部要因として、技術の進歩、顧客のニーズ、競争、新しい法規、自然災害 および経済の変化が示されている¹⁷。内部要因として、情報システムの処理上の混乱、

従業員の質、教育訓練と動機付けの方法、経営者の責任の変化、資源の横領につなが る事業体の活動の性格および従業員の資産への接近の容易さ、有効に機能しない取締 役会または監査委員会が示されている¹⁸。活動レベルのリスクは、「生産、マーケティ ング、技術開発および研究開発といった主要な事業単位または職能において識別され るもの¹⁹」とされている。

53

② リスクの分析

リスクの分析は、事業体レベルのリスクと活動レベルのリスクが識別されたことを 受けて行われる。リスクの分析を行う段階は、「リスクの大きさを見積もること、リス クが生じる可能性（あるいは頻度）を評価すること、リスクを管理する方法―すなわ ち、いかなる措置を講じる必要があるのかについての評価―を検討すること²⁰」であ るとされている。リスクの大きさと発生の可能性を評価した後、経営者はリスクをい かに管理するかを検討しなければならない。

③ 環境の変化への対応

ある状況のもとで有効に機能する内部統制が、他の状況のもとでも有効であるとは 限らない。状況の変化を識別し、必要に応じて行動を取るためのプロセスがリスクの 評価に不可欠である。COSO内部統制フレームワークでは、経営者が注意を払わなけ ればならない変化として、事業活動を取り巻く規制環境あるいは経済環境の変化、新 任の役員と新入社員、新しく設計された情報システムあるいは改良された情報システ ム、急速な成長、新しい技術、新しい生産ライン・新製品・新しい活動、事業体のリ ストラ、海外事業等が示されている ²¹。企業リスクと事業機会に影響を与える変化が いち早く識別されたら、それらに効果的に処理するための措置が講じられる可能性が 高くなる。

（3）統制活動

統制活動は、リスクに対処するために識別された経営者の命令が実行されていること の保証を与えるのに役立つ方針と手続である。統制活動の要素は、なにをなすべきかと いう方針とかかる方針を実施するための手続からなる。

統制活動は、組織全体を通じて、すべての組織階層において行われるものである。統 制活動の種類は、予防的統制、発見的統制、手作業による統制、コンピュータによる統 制、経営管理者による統制等が示されている²²。統制活動の範囲は、「最高経営陣の段階 で行われるレビューは、実績と予算、予測、過年度そして競争相手企業を比較する形で 行われる。（略）職能または活動を管理する部長は、業績報告書をレビューする。（略）

情報処理における、トランザクションの正確性、完全性と承認をチェックするために、

さまざまな統制手続が実施されている。（略）物理的統制として、設備、在庫、有価証券、

現預金およびその他の資産は保全され、定期的な実査を受け、統制記録と照合される。