内部統制の概要

USCPAの勉強ということで、今回はAUD分野の内部統制(Internal Control)について書いていきます。

内部統制の定義

内部統制とは、テキストにはごちゃごちゃ書いていると思いますが、要するに「会社を効率よく、健全に運営するための仕組み」のことです。内部統制という単語を見ればわかるとおり、会社の内部にある統制（コントロール）のことを意味し、いわゆる「ちゃんとした会社」となることを目的として設計されるものになります。具体的にどういうことかというと、逆の「ちゃんとしていない」状況を考えてもらえばわかりやすいかと思います、例えば以下のような状況の会社があれば、その会社は内部統制がボロボロなわけです。

• 従業員が、会社の金庫から現金をせっせと盗んで帰宅し、かつ誰にもバレない
• 経理部長が会社の口座から自分の口座に現金を振り込み、自分でその取引を承認する

いかがでしょうか。会社としてちゃんとしているとは言えませんね。さすがにこのような状況にある会社は少ないと思いますが、このような事態を防ぐために設計される仕組みが「内部統制」になります。

内部統制の目的

さて、では内部統制は何を目的にして設計・構築されるのでしょうか。USCPAの試験で問われる内部統制の目的は以下の3つとなります。

どうしてわざわざ「USCPAの試験で問われる」と書いたかというと、日本版の内部統制であるJ-SOXでは「資産の保全」という4つ目の目的があり、この点が異なっているからです。ちなみにUSCPA受験者は一切覚える必要ありません。

それぞれの内容について簡単に説明すると、財務報告の信頼性は、会社の内部統制がしっかり機能することにより、最終的に財務諸表に乗ってくる数字がおのずと正しい数字になるということです。経営の有効性と効率性は、作業者と承認者を分ける、職務を分離するといった仕組みを整えることより、経営を効率よく、かつ有効に行えるということです。そして、法令順守は従業員が会社のお金をパクったり、私欲に走った行動を抑止する仕組みを機能させることにより、法令を遵守出来るということです。

つまり、内部統制を何のためにいちいち設計して構築しなければならないのか、その目的は何かということを問われる場合、上記3つが内部統制の目的ということになります。

内部統制の構成要素

内部統制には3つの目的があることがわかりました。次に「内部統制の5つの構成要素」について説明します。内部統制は以下の5つの要素で構成されています。

内部統制というものが会社にとって必要なのはわかったけど、じゃあその「内部統制」ってどういうものなのか、どういったもので出来ているのかを上記のような「構成要素」と呼んでいます。「内部統制」と呼ばれる仕組みを分解してみると、こういう要素があるよね、という話ですね。これらの構成要素が全て適切に働いている場合に、内部統制が適正であるといわれています。では、それぞれについて簡単に説明していきます。

統制環境(control environment)

統制環境とは、その名の通り企業そのものの環境になります。わかり安い例でいうと「企業風土」と呼ばれるものがこちらに該当します。例えば社長が「株主へ利益で還元することが当社の存在意義です」と語っていたり、社風として売り上げを上げるためなら法律ギリギリのことをやっても構わないと従業員が考えているといったものが統制環境に上げられます。統制環境は他の4つの構成要素のすべての土台となるものであるため、構成要素の中で最も重要なものになっています。社風として「売り上げが上がるなら何したってもOK！」となっている場合、他の仕組みがいくら丁寧に作り込まれていても、なんとなく無意味な気がしますよね。

リスクアセスメント(risk assessment)

リスクアセスメントとは、組織の目標達成に影響する様々な事象について、目標達成を阻害する要因を「リスク」として識別、分析、評価するプロセスのことをいいます。簡単に言うと、組織にかかわる事象は刻一刻と変化し続けるので、組織にとって問題ありそうなことはさっさと識別して、分析して、評価（かつ対応策を練る）仕組みが必要ということです。中でも特に財務報告へ影響する可能性のあるリスクとしては「事業活動に関わる環境の変化」「社内システムの刷新」「新技術の導入」などがあげられます。

要するに会社として存続するためには、どのようなリスクが、どの程度の影響度で、どれくらいの頻度で発生しそうで、発生したらどうするか考えようね、ということです。

統制活動(control activities)

統制活動とは、日本語にすると統制環境と似てますが全然違うものになります。統制活動は「経営者の命令・指示が問題なく実行されることを確保するために定める方針及び手続」のことをいいます。財務報告に関する部分に限定すると、GAAP違反をしないように定める方針や手続のことになります。例えば、取引の承認、記録、保管の担当者を分ける「職務の分離」であったり、現金の金庫に鍵をかけ、上司のみが開けられるといった物質的な統制、予算と実績を比較して問題がないか調査するパフォーマンスレビュー、ITに関する統制などがあります。ITに関する統制は会社としてITに対する方針を定めているかというIT全般統制と、個別のアプリケーションに対する統制のIT業務処理統制にわけることができます。

情報と伝達(information and communications)

情報と伝達とは「必要な情報が識別、把握及び処理され、組織の内外、そして関係者に正しく伝達されること」を確保することを言います。内部統制本来の目的からするともう少し広いのですが、財務報告に関連する部分に限定すると、企業の取引を開始、承認、記録、処理、報告する手作業・自動化された仕組みのことになります。要するに会計システムやその周辺システムのことですね。

モニタリング(monitoring)

モニタリングとは、内部統制が有効に働いていることを継続的に評価し、適宜その修正を行うプロセスのことを言います。モニタリングは日常的な監視活動と個別の評価、またはその組み合わせによって実施されます。上記の要素がキチンと機能してますよね、ということを日常的、個別調査で確認するということですね。

個別の評価は基本的に内部監査部などによって実施されることが多く「こういう仕組みがあるから内部統制ばっちりだよ」というところを「本当にそうですよね？」と確認することを指します。例えば購買部門が「購買担当者が取引を起票し、上司が押印して承認する」という統制を作っていた場合、本当に上司の印鑑が取引の承認欄に押されているかをサンプルを取って確認する、というものになります。

内部統制の固有の限界

内部統制は、その性質上、どのようにうまく設計され運用されていたとしても、絶対の保証を得ることはできません。内部統制がうまく機能していることにより得られるのは、会計士がみんな大好きな「合理的保証」になります。これは「内部統制の固有の限界(Inherent Limitation of Internal Control)」と言われています。どのような限界があるのかについて、それぞれ説明していきます。

経営者による内部統制無視(Management Override)

経営者や権力を握っている人が内部統制を無視してこうどうする場合、その内部統制は有効に機能しません。例えば「これで誰も悪いことが出来ないぜ」という完ぺきな仕組みを作り上げたとして、経営者が従業員に「おれが良いって言ってんだからこの取引先にお金を支払え。後はわかるな？」と圧をかけてきた場合、従業員はいうことを聞かざるを得ずにその仕組みは無意味となるわけです。

共謀(Collusion)

複数の人間が協力して悪いことをやろうとした場合、内部統制が有効に機能しなくなることがあります。例えば、「担当者」と「上司」と「取引先」が結託して、不正な取引をしていた場合、職務を分離する仕組みがあってもその取引は止めることはできません。取引を起票する担当者も、それを承認する上司も、その取引先となる相手も同じく悪いことを使用としているので、仕組み上では普通に行われた取引のように映るためです。

ミス(Human failures)

うっかりミスをしてしまい、それを見逃してしまうともう内部統制ではどうしようもありません。例えば複雑な計算が必要な場面で計算ミスを起こしてしまい、上司もうっかりそのミスを見逃して承認してしまった場合、もはや内部統制でどうこうできる問題ではありません。

費用対効果(Cost benefit)

内部統制を導入するといっても、その費用対効果は考えて導入する必要があります。例えば、内部統制を完ぺきにするために従業員を倍にしてそれぞれの従業員に対する監視役として配属させるとした場合、確かに不正行為をする可能性は限りなく低くなると思いますが、そこまで費用をかけてまでやる必要があるとは思えません。費用対効果を考えてどこかで妥協する必要があります。

想定外の変化(Unexpected changes)

内部統制が導入した当初には予定すらしていなかった環境変化が発生した場合、その環境変化には対応できない可能性があります。例えば2020年前後に発生した新型コロナウイルスの感染拡大に伴うリモートワークの急速な普及により、ハンコ文化が一気に廃れましたが、これは出社を前提とした仕組みでした。そのため、内部統制として上司の押印によって取引の正当性を証明している場合、新しい働き方に対応できていないことになります。