PR

前回ではキー・コントロール(重要な統制手続き)に関して紹介したが、今回はキー・コントロール以外の一般的なコントロールの区分(類型)について見て行きたい。3つの観点による区分の考え方と、それぞれの区分同士の関係を解説する。

 内部統制監査では、コントロールを体系化する際に、いくつかの区分(類型)に関する概念を設定します。次の3つが代表的な区分です。
 1.経営の階層に応じた区分
 2.IT統制の区分
 3.統制手段と統制時期に応じた区分
それぞれについて、具体的に見ていきましょう。

経営階層に応じた区分


図1 内部統制のレベル(階層)に応じたコントロールの区分。全社レベルか業務レベルかによって、対象とする経営上の構成要素が異なる
[画像のクリックで拡大表示]

 まずコントロールのレベルを、経営階層に応じて、大きく2つに分けて考えます。「全社レベル」とか「コーポレート・レベル」と呼ばれる上位のレベルのコントロールと、「業務プロセス・レベル」とか単に「業務レベル」と呼ばれる下位のレベルのコントロールです(図1)。

 全社レベルとは、もっと分かりやすい言い方をすれば、「連結グループ・レベル」と考えていただいても結構です。このレベルで想定されるコントロールは、連結グループ全体を対象とするコントロールです。

 内部統制に関する全体方針や取り組み姿勢を具象化した“誠実な業務遂行に向けての宣言”“我が社の企業行動憲章”や、事業ごとのリスク判断といった経営の意思決定プロセス、連結ベースでの会計方針など、いわゆるコーポレート・ガバナンスの領域とほぼ同等の、連結経営管理上のコントロールが該当します。

 本連載で以前にお話したように、全社レベルのコントロールは、財務情報の虚偽表示に関しては最もリスクの高いレベルにおけるコントロールであり、したがって極めて慎重な運用が求められるものです。昨今のカネボウやライブドアだけでなく、このレベルで行われた意図的な連結外しや損失の繰り延べ・付け替えなど、多くの誤った経営判断や無責任な不作為といった無責任な行動が、国内外の嘲笑と失望を招いています。

 一方、業務レベルのコントロールとは、決済、承認、確認といった、日常的に事業遂行上実施される業務処理に関連するコントロールです。何らかの組織にお勤めの経験がある方であれば、すぐに理解できる内容のコントロールです。

 業務処理は事業の実施プロセスと密接不可分なものであり、事業プロセスが実行されるからこそ業務処理が連動し、会計上の取引として認知され、最終的に会計処理に結びつきます。このように、事業プロセスにおいて業務処理が会計処理に結びつくまでの一連のプロセスにおけるコントロールが、業務レベルのコントロールです。

IT統制における区分


図2 IT統制におけるコントロールの区分
[画像のクリックで拡大表示]

図3 IT業務処理統制の例
[画像のクリックで拡大表示]

 次の区分は、本来はIT統制におけるコントロールの区分で、コントロールを「全般統制(General Control)」と「業務処理統制(Application Control)」に分けます(図2)。

 業務処理統制は、先の業務レベルのコントロールそのものです。業務がすべてIT化されていることは、そうそうありません。そこで、このレベルで人とITとが混在して業務処理を行う場合も、そのコントロールを「業務処理統制」と呼ぶことが通常行われます。したがって、業務処理統制という場合に、厳密にIT統制としてなのか、人の行為も含む意味で呼んでいるのか、見極めることが必要となります。以下では、ITが行う業務処理統制をIT業務処理統制と呼ぶことにします。

 業務処理統制の代表例としては、人が行う“承認”、日本企業であれば管理者が行う伝票の承認欄への押印が挙げられるでしょう。一方、IT業務処理統制の例としては、ファーム・バンキングにおいて経理責任者が振込承認のために行うキーインを思い浮かべてください。ご自身がATMで振り込みをするときの確認ボタンになぞらえていただいても結構です。IT業務処理統制の例を図3に挙げました。

 こうした業務処理統制のバックボーンを形成するコントロールが全般統制です。業務処理統制が成立するためには、全般統制が成立していることが前提となります。この点は以前お話しました。

 ちょっとややこしくなりますが、ITに関して全般統制には、全社レベルと業務レベルが存在します。先に、業務処理統制では、人とITが混在する場合とITのみの場合とが存在し、それぞれ業務処理統制とIT業務処理統制とここだけの呼び名を付けました。全般統制に関しては、ITに対する統制の場合に通常限られます。それでも文献によって、特に海外のものでは、IT全般統制と表現することがあります。IT全般統制と全般統制は同義です。

 全社レベルの全般統制ないしIT全般統制は、IT戦略やIT投資など経営の意思決定にかかわる分野や、ITガバナンスと総称される領域におけるコントロールです。例えば、トップ・マネジメントが設定した“セキュリティ・ポリシー”は、これに該当します。

 一方、業務レベルの全般統制ないしIT全般統制としては、次の領域のコントロールを指します。
 (1)プログラム開発
 (2)プログラム変更
 (3)システムおよびデータへのアクセス
 (4)システム運用
 ITに対するコントロールである全般統制ないしIT全般統制は、手作業で行われることもあれば、システムで自動化されていることもあります。データセンターで24時間365日の常時監視で担当者が待機している状況は人による全般統制の!)ないし!)の代表例です。

リスクとコントロール

 コントロールは、リスクとの対応に基づいて設定されるものです。リスクが存在しない、あるいは、リスクがあってもリスク方針の許容範囲内である場合には、コントロールを設定する必要はありません。

 許容範囲を超えるリスクが存在し、事業遂行上これを軽減させなければならない場合に初めてコントロールを導入・設置することになります。コントロールに関しては、このアプローチが原則です。コントロールが先行することはありません。

 例えば、道路に信号機を設置するのは、交通の流れを制御し、交通事故の発生を未然に防ごうとするものです。この場合、信号機はコントロールです。リスクは、車両と住民の利用(車両の交通量、住民の道路横断頻度)に伴い発生する交通事故です。

 信号機をどこに設置するかは、その地域における車両と住民の道路の利用状況に依存します。信号機は、両者の利用が重なる場所に優先的に設置されるべきです。なぜなら、その場所にリスクが発生するからです。車両しか走らない高速道路や、車などめったに見かけない農道には、リスクが発生する機会はほとんどなく、したがってコントロールである信号機も必要ありません。

統制手段、統制時期に応じた区分

 通常のコントロールのほかに、重要なキー・コントロールが区分されることは、前回詳しく説明しました。内部統制監査においては、さらにコントロールに関する属性、具体的には「統制手段」および「統制時期(コントロールの実施タイミング)」に基づいて、次のような分類を行います。

<統制手段に基づく区分>
 ・手作業(手動)によるコントロール
 ・自動化されたコントロール
 ・半自動(手動と自動の混合)のコントロール
<統制時期(コントロールの実施タイミング)に基づく区分>
 ・予防的コントロール
 ・発見的コントロール

 まず統制手段に注目しましょう。手作業によるコントロールは、従来から管理者などによって行われてきたコントロールです。管理者による承認行為と、その証跡としての承認欄への押印は、手作業によるコントロールの日本企業における典型的な例です。人間による統制行為と言ってよいと思います。

 自動化されたコントロールは、情報システムに組み込まれた、プログラム化されたコントロールです。ID・パスワードによって、システムやデータへのアクセス・コントロールを制限するのは、自動化されたコントロールの代表例です。


図4 統制手段と統制時期から見た、コントロールの区分。(1)、(2)、(3)・・・の順に信頼性が高い
[画像のクリックで拡大表示]

図5 コントロールの3つの区分の関係
[画像のクリックで拡大表示]

 半自動のコントロールは、情報システムに依存した手作業によるコントロール、言い換えると、手作業と自動化の混在したコントロールのことです。半自動という言い方は一般的なものではありませんが、システムから出力されるエラーリストなどの帳表類を利用して行われる、極めて一般的なものです。エラーリストを例に挙げれば、エラーとされた内容を精査し、追跡調査の結果の処理履歴を記録・報告するプロセスです。

 次に、統制時期(コントロールの実施タイミング)に注目しましょう。予防的コントロールは、業務処理の完了以前に実施されるコントロールです。完了以前に行われるコントロールは、処理の誤りや不正を未然に防ぐ効果が期待されます。そこで、“予防的”と呼ばれます。

 これに対して、業務処理が完了した後に実施されるコントロールは、“発見的”と呼ばれます。処理が終わってから処理の誤りや不正に気が付いて、事後的に対応します。当然、予防的効果は期待できません。迅速な発見がこのコントロールの有効性の鍵となります。致命的なタイミングでしか発見に至らないような発見的コントロールの設置意義は非常に小さなものとなります。

 以上のような統制手段と統制時期に基づく分類により、6つの組み合わせが構成されます。組み合わせによって、コントロールの信頼性の高さ、言い換えれば、コントロールの相対的強さが決まります(図4)。最も信頼性が高いのは、統制手段が「自動」で、統制時期が「予防的」であるコントロールです。

 今回紹介したコントロールの三つの区分の関係は図5のように整理することができます。これらの区分に、さらにキー・コントロールを加え、リスク・コントロールに適切なコントロールを適用することになります。

 さて、本連載は当初6回の掲載を予定していましたが、連載期間中の新たな動きをフォローするとともに、内部統制監査への対策をより具体的に解説するため、さらに数回続けることにしたいと思います。次回は、コントロールの適用・設置に関して見ていきます。

次回へ

深見 浩一郎(ふかみ こういちろう)
深見公認会計士事務所/コンサルティング・ネットワークITAS代表。大手都市銀行を経て,国内大手監査法人マネジメントコンサルティング室長,外資系コンサルティング会社ERP担当マネージング・ダイレクター等を経て,現職。一昨年から公認会計士,システム監査技術者,システム・コンサルタントによるネットワークITASを創設。内部統制構築,IT統制整備に関するコンサルティング・サービス,メソドロジーの教育研修を展開。