システム監査(2)　内部統制とは

統制とは、組織において、指針や規則を決めて、組織やそのメンバーがこれに従わせるための仕組みです。英語ではcontrolと訳されます。規則を定めても、それが実行されなければ意味がありませんし、実行だけ行っても、それが準拠する規則がなければ、組織が混乱してしまいます。決して外部の権力を浸透させるためのものではなく、組織が自らルールを決めて実行することで、組織自体が、その機能を正しく発揮し、それが外部から正当に評価される、ということが目的です。

統制のためには、外部統制と内部統制があります。外部統制とは、例えば行政などが指針を作って企業が従うような方法です。これは強制力があり透明性が高いものの、統制されない部分はコントロールが効きません。それに対して内部統制は、企業自らが指針を作って実行する自発的なものであり、企業の活動を促進するものです。従い、内部統制は固いもの、面倒くさいものではなく、企業が発展するために、必要なものなのです。

金融庁が定める「財務報告に係る内部統制の評価及び監査の基準」では、内部統制を下記のように定義しています。

「内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びIT（情報技術）への対応の６つの基本的要素から構成される。」

表現は固いですが、目的、プロセス、要素が全て記載されています。上記の定義からもわかるとおり、ITは、業務プロセスに深くかかわっており、内部統制において重要な要素となっています。システム監査は、まさにこの部分を担当する監査なのです。