システム監査2~内部統制~

snack
snack

確かに監査という制度はあるっすけど、外部から指摘されるまで自分たちでは何もしないというのも問題っすよね。

ボキタロー
ボキタロー

そうだよ。本当は指摘される前に自分たち内部で組織を適正化しないと。

snack
snack

そのための仕組みとして内部統制というものがあるっす。マネジメント系の最後はこれについて学習するっすよ。

目標・企業などにおける内部統制,IT ガバナンスの目的,考え方を理解する。
説明・企業などの健全な運営を実現するために,内部統制や IT ガバナンスなどがあることを知り,その目的と考え方を理解する。
内部統制の概要

内部統制

内部統制とは

内部統制とは、健全かつ効率的な組織運営のための体制を企業などが自ら構築し運用する仕組みであり、その実現には業務プロセスの明確化、職務分掌、実施ルールの設定、チェック体制の確立が必要となります。

snack
snack

内部統制はコーポレートガバナンス(企業統治)を達成するための一手段として行われるっす。

近年、企業の粉飾決算やリコール隠し、表示偽装といった経営者・従業員の倫理観や責任意識の欠如が要因となる企業不祥事が多発しています。

このような企業不祥事は、自社の経営層や従業員だけでなく、顧客・一般消費者・株主などの利害関係者を含めて社会全体に与える影響が大きいといえます。内部統制が求められる社会的背景には、そのような不祥事を未然に防ぐための管理体制が必要とされるようになったことにあります。

さらっと学習【レピュテーションリスク】

レピュテーションリスクは、「評判リスク」や「風評リスク」ともいわれ、企業に関するネガティブな評価が広まった結果、企業の信用やブランド価値が低下し損失を被るリスクのことです。SNSの普及によりレピュテーションリスクは高まっており、これを抑えるためにも内部統制の整備が重要となっています。

内部統制の目的と構成要素

内部統制の目的と構成要素

内部統制は4つの目的と6つの基本的要素からなっています。6つの構成要素は、4つの目的を達成するために必要不可欠な要素です。

内部統制の目的

  • 業務の有効性および効率性:事業活動の目的達成のため、業務の有効性及び効率性を高める。
  • 報告の信頼性:財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保する。
  • 事業活動に関わる法令等の遵守:事業活動に関わる法令その他の規範の遵守を促進する。
  • 資産の保全:資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図る。

内部統制の構成要素

構成要素内容
統制環境他の構成要素の基礎となる組織の気風を決定するもので、組織に属する人たちの誠実性・倫理観・組織の経営方針・戦略などによって構成される。いくら内部統制を強化しようとしても、役員や従業員がルールを守らない企業風土では意味がないということです。
リスクの評価と対応業務プロセスに潜むリスクに対して適切に判断・評価できるよう明確な判断基準を定めて運用できる仕組みを確立する。リスクと統制(コントロール)の対応関係などをまとめたリスクコントロールマトリクス(RCM)を作成します。
統制活動経営者の命令や指示が適切に実行されることを確保するために定められる方針及び手続き。権限や職責の付与、職務の分担などが含まれます。職務を分担することで、従業員がお互いの業務を監視・統制する効果が生まれ、これによって業務上のミスだけでなく、不正が起こるリスクを軽減できます。
情報と伝達必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること。従業員が誤解することなく理解できる形で情報が伝達され、その情報を必要とする従業員の間で共有されることが重要です。
モニタリング内部統制が有効に機能していることを継続的に評価するプロセス。モニタリングによって、内部統制の実態を常に監視し、評価や見直しができる状態を確立します。
ITへの対応組織目標を達成するために予め適切な方針及び手続きを定め、それを踏まえて、業務の実施において組織の内外のITに対し、適切に対応すること。

IT ガバナンス

ITガバナンスとは、経営陣がステークホルダーのニーズに基づき、組織の価値を高めるために実践する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力のことです。

snack
snack

ザックリ言うと、企業がITを適切に活用できる能力や取り組みのことっす。

経営者には、現在及び将来のITの利用についての評価とIT利用が事業の目的に合致することを確実にする役割があります。

ITガバナンスを実現するには、専門的知識を有する最高情報責任者(CIO:Chief Information Officer)を指名したうえで、組織体制を整え、社内に設置されるIT部門だけでなく、利用部門等においてもITガバナンスを実践する意識を持つことが重要です。

参考

ITガバナンスが注目されたきっかけは、2002年に発生したみずほ銀行の大規模なシステム障害といわれています。システム統合の際のテストが不十分だった等の理由から、大規模なシステム障害が起こり、全国にあるATMが利用できないといったトラブルが発生しました。このトラブル以降、多くの企業がITガバナンスの重要性に気づき、実現に向けて取り組む動きが見られるようになっています。

IT マネジメント

IT マネジメントとは、経営方針及び IT ガバナンス方針に基づいて策定した IT 戦略の各目標を達成するために、IT システムの利活用に関するコントロールを実行し、その結果を経営者に報告するための体制を整備・運用する活動です。

確認○×問題

問1

事業活動に関わる法令の遵守などを目的の一つとして、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応から構成される取組をCMMIという。

答え:×

設問は内部統制の説明となります。なお、CMMI(能力成熟度モデル統合)とは、CMM(能力成熟度モデル)を発展させたもので、開発プロセス以外のプロジェクト管理、ITサービス提供、人材開発なども評価の対象としたものです。CMMIでは、ソフトウェア開発組織及びプロジェクトのプロセスを改善するために、レベル1からレベル5までの5段階でその組織の成熟度レベルを段階的に定義します。 

問2

内部統制の考え方に関する記述a~dのうち、適切なものは2つある。

a事業活動に関わる法律などを遵守し、社会規範に適合した事業活動を促進することが目的の一つである。
b事業活動に関わる法律などを遵守することは目的の一つであるが、社会規範に適合した事業活動を促進することまでは求められていない。
c内部統制の考え方は、上場企業以外にも有効であり取り組む必要がある。
d内部統制の考え方は、上場企業だけに必要である。

答え:〇

内部統制の4つの目的のうち、「事業活動に関わる法令等の遵守」には法令以外にも、取引所の規則や会計基準等の社会規範、組織の定款やその他の内部規程等の自社内外の行動規範を遵守することも含まれます。

また、いわゆる大企業においては経営者が組織の内部統制を整備及び運用する役割と責任を負うことが規定されていますが、それ以外の中小企業においても内部統制は健全かつ効率的な組織運営のために有効であり、積極的に取り組む必要があります。

よって、適切な記述はaとcの2つとなります。

問3

内部統制におけるモニタリングの説明として、適切なものはaである。

a内部統制が有効に働いていることを継続的に評価するプロセス
b内部統制に関わる法令その他の規範の遵守を促進するプロセス
c内部統制の体制を構築するプロセス
d内部統制を阻害するリスクを分析するプロセス

答え:〇

a.モニタリング内部統制が有効に働いていることを継続的に評価するプロセス
b.情報と伝達内部統制に関わる法令その他の規範の遵守を促進するプロセス
c.統制活動内部統制の体制を構築するプロセス
d.リスクの評価と対応内部統制を阻害するリスクを分析するプロセス

問4

内部統制における相互けん制を働かせるための職務分掌の例として、「営業部門の申請書を経理部門が承認する」といったことが考えられる。

答え:〇

内部統制の構成要素の1つ「統制活動」では、職務分掌によって相互けん制を働かせ、業務上のミスや不正が起こるリスクを軽減します。職務分掌の典型的な例としては、「申請者が自身の申請を承認できないようにする」といったことが挙げられます。

問5

ITマネジメントとは、経営陣が組織の価値を高めるために実践する行動であり、情報システム戦略の策定及び実現に必要な組織能力のことをいう。

答え:×

設問はITガバナンスの説明となります。なお、IT マネジメントとは、経営方針及び IT ガバナンス方針に基づいて策定した IT 戦略の各目標を達成するために、IT システムの利活用に関するコントロールを実行し、その結果を経営者に報告するための体制を整備・運用する活動です。

問6

企業におけるITガバナンスを構築し、推進する責任者は情報システム部員である。

答え:×

企業におけるITガバナンスを構築し、推進する責任者は経営者です。経営者は、現在及び将来のITの利用についての評価とIT利用が事業の目的に合致することを確実にする役割があります。