Contents
  1. テーマ:ブレーキがあるからこそ、速く走れる ~内部統制の「3つのゴール」~
  2. 【練習問題】パート1 セクションC-7-a

テーマ:ブレーキがあるからこそ、速く走れる ~内部統制の「3つのゴール」~

セクションC-7-aは、内部監査人が評価する対象である「内部統制(Internal Control)」が、一体何のために存在するのか、その根本的な目的を理解するパートです。

多くの人は「統制=縛ること」というネガティブなイメージを持ちがちですが、CIA試験(およびCOSOフレームワーク)では、「組織が目標を達成するための支援プロセス」としてポジティブに捉えます。

1. 導入:内部統制の定義

まず、GIASやCOSOフレームワークにおける内部統制の定義を押さえましょう。

定義: 業務の有効性と効率性、報告の信頼性、および関連法規の遵守に関する目的の達成に関して、「合理的な保証(Reasonable Assurance)」を提供するために、取締役会、経営陣、およびその他の構成員によって遂行される「プロセス」である。

★ポイント:

  1. プロセスである: 一度きりのイベントではなく、日々の業務に組み込まれている一連の活動です。
  2. 人が行う: マニュアルやシステムだけでなく、組織内の「人々」によって行われます。
  3. 合理的な保証: 「絶対的な保証」ではありません(後述)。

2. 内部統制の「3つの目的(カテゴリー)」

内部統制は、漫然と設置されるものではなく、以下の3つのカテゴリーの目的を達成するために設計されます。試験では、提示されたコントロールがどの目的に該当するかを分類する力が問われます。

① 業務目的(Operations Objectives)

組織の基本的使命に関わる部分です。

  • 内容: 業務の有効性(目標を達成できたか)と効率性(リソースを無駄にしていないか)。
  • ★重要: 「資産の保全(Safeguarding of Assets)」もこのカテゴリーに含まれます。
    • 例:在庫の盗難防止、現金の管理、工場の稼働率向上。

② 報告目的(Reporting Objectives)

ステークホルダーへの情報開示に関わる部分です。

  • 内容: 財務報告および非財務報告(サステナビリティ報告など)の信頼性、適時性、透明性。
  • 変化点: 以前は「財務報告」に重点が置かれていましたが、現在はESGを含む非財務情報の信頼性も重要視されています。
    • 例:決算書の正確性、CO2排出量データの信頼性。

③ コンプライアンス目的(Compliance Objectives)

ルールを守ることに関わる部分です。

  • 内容: 適用される法令、規制、および組織内部の規程の遵守。
    • 例:労働基準法の遵守、環境規制への対応、社内経費精算ルールの遵守。

3. 「絶対的」ではなく「合理的」な保証

試験で最も頻出する概念の一つが、「内部統制には限界がある」という点です。

どんなに素晴らしい内部統制を構築しても、リスクをゼロにすること(絶対的な保証)は不可能です。これを「固有の限界(Inherent Limitations)」と呼びます。

なぜ限界があるのか?

  1. 人間による判断の誤り: プレッシャーや疲労による単純ミス。
  2. 共謀(Collusion): 2人以上がグルになれば、承認ルート(相互牽制)を無効化できる。
  3. 経営者による無視(Management Override): ルールを作る立場の人間が、自分の都合でルールを破る。
  4. 費用対効果: 100円の鉛筆を守るために、1万円の金庫を買うことはできない(コスト制約)。

4. 誰の責任か?

  • 経営陣(Management): 内部統制を設計し、導入し、維持する第一義的な責任を持ちます。
  • 取締役会(Board): 経営陣による内部統制の整備状況を監視(オーバーサイト)します。
  • 内部監査人(Internal Audit): 内部統制が有効に機能しているかを独立した立場から評価します。

★試験のひっかけ: 「内部監査人が内部統制システムを構築する責任がある」→ × 間違いです。 それは経営陣の仕事です。

【練習問題】パート1 セクションC-7-a

Q1. 内部統制の目的は、一般的に「業務」「報告」「コンプライアンス」の3つのカテゴリーに分類される。次のコントロール活動のうち、「業務目的(Operations Objectives)」に最も直接的に関連するものはどれか。

A. 財務諸表の作成において、新しい会計基準が正しく適用されているかを確認するレビュー。

B. 工場における製造プロセスを見直し、廃棄ロスを削減して生産効率を向上させる施策。

C. 従業員がインサイダー取引規制に違反していないかを監視するモニタリングシステム。

D. 取締役会議事録が、法的な保存期間要件に従って保管されているかの確認。

【解答・解説】

正解と解説を表示

正解(B): 廃棄ロスの削減や生産効率の向上は、組織の資源を有効かつ効率的に使用することに関連しており、これは内部統制の「業務目的」の核心です。

不正解(A): 会計基準の適用は「報告目的」に関連します。

不正解(C): インサイダー取引規制への対応は法令遵守であり、「コンプライアンス目的」に関連します。

不正解(D): 法的要件に基づく文書保存は「コンプライアンス目的」に関連します。

Q2. 内部統制に関する概念として「合理的な保証(Reasonable Assurance)」が用いられる理由、すなわち内部統制の「固有の限界」の原因として、最も適切でないものはどれか。

A. 内部統制の構築コストが、それによって得られる便益(ベネフィット)を上回ってはならないという制約。

B. 複数の従業員による共謀(Collusion)によって、職務分掌などの統制が無効化される可能性。

C. 内部監査人が監査計画の策定段階で、重要なリスク領域を見落とす可能性。

D. 経営者が正当な手続きを経ずに、内部統制を意図的に無視(Override)する可能性。

【解答・解説】

正解と解説を表示

正解(C): 「適切でないもの」を選ぶ問題です。内部監査人のミスは監査リスクの問題ですが、内部統制そのものの「固有の限界(システムとしての限界)」の定義には含まれません。固有の限界とは、統制システムがどんなに完璧に設計されていても回避できない要素を指します。

不正解(A): 費用対効果(コスト制約)は、完全な統制を妨げる主要な要因です。

不正解(B): 共謀は、相互牽制を無力化する典型的な固有の限界です。

不正解(D): 経営者による無視(オーバーライド)は、統制が効かなくなる主要な要因の一つです。

Q3. 組織における「資産の保全(Safeguarding of Assets)」に関する内部統制の目的分類について、COSOフレームワークの考え方に基づき最も適切な記述はどれか。

A. 資産の保全は、資産が盗難された際に財務諸表に損失を計上することに関連するため、主として「報告目的」に分類される。

B. 資産の保全は、資産の物理的な保護や効率的な活用に関連するため、主として「業務目的」に分類されるが、報告の信頼性にも関連する場合がある。

C. 資産の保全は、窃盗という犯罪行為を防ぐものであるため、すべて「コンプライアンス目的」に分類される。

D. 資産の保全は、現代のデジタル環境ではサイバーセキュリティに限定されるため、IT全般統制のカテゴリーにのみ存在する。

【解答・解説】

正解と解説を表示

正解(B): 資産の保全(例:在庫の盗難防止、現金の管理)は、リソースの喪失を防ぐという点で主に「業務目的」に分類されます。ただし、資産の実在性が財務諸表の正確性に影響を与える場合は「報告目的」とも重複する側面があります。

不正解(A): 財務報告への影響はありますが、資産そのものを守る活動は業務目的が主体です。

不正解(C): 法令遵守の側面もありますが、主目的は組織の資源を守ること(業務)です。

不正解(D): サイバーセキュリティも重要ですが、物理的な資産(現金、在庫、設備)の保全も依然として重要であり、ITだけに限定されません。