内部統制とは?6要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応についてまとめました。
【内部統制とは】
内部統制は、組織の内部において適用されるルール、業務プロセス、システムを整備・運用して企業の健全な経営を実現することです。
以下の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス」であると定義されています。
| 項目 | 概要 |
|---|---|
| 業務の有効性及び効率性 | 事業活動の目的の達成のため、業務の有効性及び効率性を高めること |
| 財務報告の信頼性 | 財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること |
| 事業活動に関わる法令等の遵守 | 事業活動に関わる法令その他の規範の遵守を促進すること |
| 資産の保全 | 資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること |
4つの目的を達成するための基本的要素として、「統制環境」「リスクの評価と対応」「統制活動」「情報と伝達」「モニタリング」「ITへの対応」の6つがあります。
| 項目 | 概要 |
|---|---|
| 統制環境 | 組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎・基盤のこと |
| リスクの評価と対応 | 組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセス |
| 統制活動 | 経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続きのこと |
| 情報と伝達 | 必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること |
| モニタリング | 内部統制が有効に機能していることを継続的に評価するプロセス |
| ITへの対応 | 組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応すること。 【例】 ・経営者がITに関する適切な戦略や計画などを定めている |
【IT統制】全般統制、業務統制活動
ITを利用して行う統制活動をIT統制といい「全般統制」「業務統制活動」に分類されます。
IT業務処理統制
情報システムに組み込まれて自動化された業務処理統制のことす。
個々の業務処理アプリケーションにおいて、業務実行に関するデータについて以下を確保します。
| 項目 | 概要 |
|---|---|
| 正確性 | 入力すべき情報が正しく入力・処理・記録が行われること |
| 正当性 | 適切な承認ルートを通った情報のみが入力されること |
| 網羅性 | 入力された情報が漏れも重複なく処理され、目的通りに出力されること |
| 維持継続性 | 正しい情報が継続して更新され、整合性が保たれていること |
具体的に行う統制活動には以下のコントロールがあります。
| コントロール | 概要 |
|---|---|
| アクセスコントロール | 社内のリソースに対するアクセス権限のコントロール。利用者のシステムへのアクセスをパスワードなどを用いて制限してリスクを最小化するなど。 |
| インプットコントロール | 入力データに不適切なものが含まれないようにするためのコントロール |
| プロセシングコントロール | 適正な業務プロセスを維持するためのコントロール |
| インターフェースコントロール | 数の異なるシステム間でデータ連係をするためのインターフェースのコントロール |
| アウトプットコントロール | 出力データに不適切なものが含まれないようにするためのコントロール |
| マスタデータコントロール | 参照元となる基本的なデータを適切に登録・維持できるようにするためのコントロール |
その他の用語は以下のとおり。
| 項目 | 概要 |
|---|---|
| エディットバリデーションチェック | 利用者による入力値が予定されているものであるかを確認することで入力値の正確性を高める機能。 |
| プルーフリスト | 入力データを加工せず出力したものと受注伝票を照合し、入力データの完全性および一意性を確認する。 |
| マッチング | 入力内容と登録済みデータ(マスターデータなど)が一致しているか確認。 |
| コントロールトータルチェック | 入力された数値の合計と出力される数値の合計を照合し完全性を確認する機能。 |
| 種別 | 例 |
|---|---|
| 全般統制 | 外部委託に関する契約の管理、システム運用管理、システムの管理・保守に係る管理 |
| 業務処理統制 | 利用部門によるエラーデータの修正と再処理 |
財務報告に係る内部統制の評価及び監査の基準(金融庁)
アクセス管理
| 業務統制活動 | 概要 |
|---|---|
| ITに係る業務処理統制 | 業務が適正に実行され、それに関する情報が適切に保存され、業務が適正に行われたことを証明できるように管理すること 【例】 ・組織内のアプリケーションシステムに、業務内容に応じた権限を付与したIDとパスワードによって、認証する機能を設ける ・システムに登録された固定資産情報と固定資産の棚卸結果を照合して、除却・売却処理の漏れがないことを確認する ・システムで自動計算された減価償却費のうち、製造原価に配賦されるべき金額の振替仕訳伝票を起票する ・固定資産情報の登録に伴って耐用年数をシステムに入力する際に、法人税法の耐用年数との突合を行う ・購買データの入力が、入力管理ルールに基づいて漏れなく、重複なく、正確に行われることを確保する |
| ITに係る全般統制 | 情報システムを適切に管理・運用することによって、業務の実行管理が有効に機能するような環境を構築・維持していくこと。 【例】 ・会計基準や法人税などの改正を調査した上で、システムの変更要件を定義し、承認を得る |
内部統制の基本的要素
「財務報告に係る内部統制の評価及び監査の基準(金融庁)」における、内部統制の基本的要素は以下のとおり。
| 基本要素 | 概要 |
|---|---|
| 統制活動 | 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続きである。 |
| 統制環境 | 組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるものである。 |
| リスクの評価と対応 | 組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、適切な対応を行うプロセスである。 |
| 情報と伝達 | 必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することである。 |
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。なお、情報処理技術者試験の試験要綱で整理されている分野別(テクノロジ系、マネージメント系、ストラテジ系)に各項目を整理しています。そのため、I...
algorithm.joho.info
コメント