はじめに
幽灯子/基本情報技術者副専門官基本情報技術者試験を勉強していると、「内部統制」という言葉に出くわすことがあります。「なんだか難しそう…」と感じる方も多いかもしれませんが、実は私たちの日常生活にもとても身近な概念です。
この記事では、内部統制の基本的な考え方から試験に出るポイントまで、わかりやすく解説していきます。
内部統制ってなに?
幽灯子/基本情報技術者副専門官一言でいうと、「会社が不正や失敗を防ぐための仕組み」のことです。
たとえば、あなたがアルバイトをするスーパーを想像してください。レジのお金が毎日ちゃんと合っているか確認するのは誰ですか?お金の管理をする人と、その確認をする人が別々にいますよね。これが内部統制の基本的な考え方です。
「自分でやって、自分でチェックする」ではなく、「やる人と確認する人を分ける」ことで、ミスや不正が起こりにくくなります。これを職務の分離といいます。
企業では、こうした「チェックの仕組み」を会社全体に組み込むことで、不正・ミス・法律違反などを未然に防いでいます。それが内部統制です。
なぜ内部統制が必要なの?
幽灯子/基本情報技術者副専門官2000年代初頭、アメリカのエンロン社やワールドコムという大企業が、財務諸表(お金の報告書)を偽造する大規模な不正会計を起こしました。これにより多くの投資家が被害を受け、社会に大きな衝撃を与えました。
これを受けて2002年にアメリカで「SOX法(サーベンス・オクスリー法)」が制定されました。日本でも同様に2008年から「J-SOX(日本版SOX法)」が施行され、上場企業は内部統制の整備と評価が義務づけられるようになりました。
要するに、「会社が嘘をついたり、不正をしたりしないよう、ちゃんとルールと仕組みを作りなさい」という法律ができたのです。
内部統制の4つの目的
幽灯子/基本情報技術者副専門官基本情報の試験では、内部統制には4つの目的があると定義されています。これは非常に重要なので、しっかり覚えておきましょう。
1. 業務の有効性及び効率性
会社の仕事がムダなく、正しく行われているかを確保することです。たとえば、同じ作業を二重にやっていないか、手順がきちんと守られているかを管理します。
2. 財務報告の信頼性
会社の財務報告(決算書など)が正確であることを保証することです。「利益を水増しする」「損失を隠す」といった不正会計を防ぎます。
3. 事業活動に関わる法令等の遵守(コンプライアンス)
会社が法律や規制をきちんと守っていることを確保することです。法律違反は会社の信頼を大きく損ないます。
4. 資産の保全
会社の資産(お金・設備・情報など)が不正に使われたり、失われたりしないよう守ることです。情報セキュリティも含まれます。
内部統制の6つの基本的要素
幽灯子/基本情報技術者副専門官目的を達成するための「構成要素」も試験に出ます。内部統制は以下の6つの要素で成り立っています。
1. 統制環境
内部統制の土台となる、会社全体の雰囲気・文化・経営者の姿勢のことです。いくら細かいルールを作っても、経営トップが「ルールなんて関係ない」と思っていたら意味がありません。経営者が率先してコンプライアンスを重視する文化を作ることが大切です。
2. リスクの評価と対応
会社の目標を達成するうえで、どんなリスク(危険)があるかを洗い出し、それに対処することです。リスクを事前に把握することで、適切な対策を打てます。
3. 統制活動
リスクに対処するための具体的なルールや手順のことです。「承認を必要とする」「ダブルチェックをする」「アクセス権限を設定する」などが統制活動の例です。
4. 情報と伝達
必要な情報が、必要な人に、適切なタイミングで届く仕組みのことです。社内のコミュニケーションが機能していないと、問題が隠蔽されたり、対応が遅れたりします。
5. モニタリング
内部統制がちゃんと機能しているかを、継続的に監視・評価することです。一度仕組みを作っただけでは不十分で、定期的なチェックが必要です。
6. ITへの対応
現代の企業活動はITなしには成り立ちません。ITシステムを適切に管理・活用することも内部統制の重要な要素です。アクセスログの管理・システムへの不正アクセス対策なども含まれます。
ITと内部統制の関係(試験の重要ポイント!)
幽灯子/基本情報技術者副専門官基本情報技術者試験では、特に「ITに関連した内部統制」が出題されやすいです。
IT全社的統制
会社全体のIT管理に関するルールや体制のことです。「情報セキュリティポリシーを策定しているか」「IT部門の組織体制はどうなっているか」などが含まれます。
IT業務処理統制
個々のシステムやアプリケーションが正確に処理を行っているかを管理することです。「入力データのチェック機能があるか」「エラー処理は適切か」などです。
IT全般統制
ITシステム全体を支える基盤的な管理のことです。「アクセス権限の管理」「変更管理(プログラムの変更手順)」「バックアップとリカバリ」などが含まれます。
内部統制の限界
幽灯子/基本情報技術者副専門官内部統制は万能ではありません。試験でも「内部統制の限界」について問われることがあります。
内部統制がうまく機能しない場合として、次のようなことが挙げられます。
まず、人間のミス(ヒューマンエラー)です。どんなに良い仕組みを作っても、人間が手順を間違えてしまうことがあります。
次に、複数の人による共謀です。たとえば「確認する人」と「作業する人」が結託して不正を行えば、チェックの仕組みが機能しません。
また、経営者による無効化という問題もあります。経営トップ自身が不正を主導する場合、内部統制を形骸化させることができてしまいます。
さらに、コストの制約として、完璧な内部統制を構築するには多大なコストがかかるため、費用対効果を考えて一定のリスクを受け入れざるを得ない場合もあります。
まとめ:試験対策のポイント
内部統制について、以下の点を押さえておきましょう。
目的は4つ:業務の有効性・効率性 / 財務報告の信頼性 / 法令等の遵守 / 資産の保全
要素は6つ:統制環境 / リスクの評価と対応 / 統制活動 / 情報と伝達 / モニタリング / ITへの対応
IT統制の種類:IT全社的統制 / IT業務処理統制 / IT全般統制
内部統制の限界:ヒューマンエラー・共謀・経営者による無効化・コスト制約
内部統制は「難しい用語が並ぶ堅い話」ではなく、「会社がちゃんと機能するための仕組みづくり」です。日常生活で「スーパーのレジのチェック」「銀行の二重確認」などに例えながら考えると、ぐっと理解しやすくなります。
幽灯子/基本情報技術者副専門官基本情報技術者試験の午前問題では、内部統制の目的・要素・IT統制の区分について問われることが多いです。この記事で紹介したポイントをしっかり押さえて、試験に臨みましょう!
コメント