統制環境と統制活動の違いを内部統制の基本から解説

統制環境と統制活動の違いを内部統制の基本から解説

金融情報

統制環境と統制活動の違いを内部統制の6要素から徹底解説

統制環境が整っていれば、統制活動のルールはほとんど不要になると思っていませんか?


📋 この記事の3ポイント
🏗️
統制環境は「土台」、統制活動は「仕組み」

統制環境は組織の気風・経営者の姿勢など内部統制全体の基盤。統制活動は経営者の命令を現場で確実に実行させる具体的な手続きやルール。 役割がまったく異なります。

⚠️
統制環境だけでは不正は止められない

「倫理観がある職場だから大丈夫」と思っていると危険です。職務分掌などの統制活動が整備されていなければ、1人の担当者が15億円以上を横領した事例のような被害が生じます。

📊
J-SOXでは両者は別々に評価される

統制環境は「全社的な内部統制」として、統制活動は「業務プロセスに係る内部統制」として、それぞれ別の観点・手法で評価されます。 上場企業は両方の整備が必須です。


統制環境とは何か:内部統制の6要素における位置づけ

内部統制は、金融庁が定めた「財務報告に係る内部統制の評価及び監査の基準」において、6つの基本的要素から構成されると定義されています。その6要素とは、統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応です。


このうち「統制環境」は、残りの5要素すべての基盤(ベース)として機能する、最も根本的な要素です。定義を引用すると「組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤」とされています。


つまり統制環境が原則です。


具体的には、以下の7項目が統制環境の構成要素として例示されています。


  • ① 誠実性及び倫理観
  • ② 経営者の意向及び姿勢
  • ③ 経営方針及び経営戦略
  • ④ 取締役会及び監査役等の有する機能
  • ⑤ 組織構造及び慣行
  • ⑥ 権限及び職責
  • ⑦ 人的資源に対する方針と管理


これらは一見バラバラに見えますが、動的に捉えると一連のつながりがあります。創業当初の「②経営者の意向及び姿勢」が会社の成長とともに「③経営方針・経営戦略」「⑦人的資源に対する方針と管理」として組織に落とし込まれ、その結果として「⑤組織構造・慣行」「①誠実性及び倫理観」が醸成されていくのです。


これが経営基盤を形成します。


重要なのは、統制環境は「ルールを決めた」「マニュアルを作った」といった有形の仕組みではなく、組織に染み込んだカルチャーや経営者の姿勢そのものという点です。どんなに精緻なルールを整備しても、経営者が「業績目標のためなら多少のルール破りは許容」という意識を持っていれば、統制環境は機能しません。公認会計士の高田康行氏(Mazars有限責任監査法人)が指摘するように、「仏作って、魂入れず」という状態がまさにこれです。


統制環境7つの例示と具体的解説(中央経済社・公認会計士 高田康行氏)


統制活動とは何か:具体的な手続きと内部統制における役割

一方、「統制活動」は、経営者の命令や指示が組織の現場で確実に実行されるための具体的な方針と手続きのことです。金融庁の基準では「経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる」と定義されています。


つまり統制活動が条件です。


統制活動に含まれる代表的な手続きとして、以下が挙げられます。


  • 権限及び職責の付与(誰が何を承認できるかを明確にする)
  • 職務の分掌(1人に業務を集中させず複数で担当する)
  • 社内規程・業務マニュアルの整備
  • 内部けん制(相互チェック)の仕組み
  • 業務記録の維持・管理
  • 実地検査等による物理的な資産管理(在庫・現金の棚卸しなど)


たとえば、現金を扱う業務を例に取ると、「小口現金担当者が金庫からの出金も記帳も単独でできる」という状態は統制活動が機能していない状態です。この担当者は帳簿の辻褄を合わせつつ現金を持ち出すことができてしまいます。そこで「出金には部長承認が必要」「記帳は別の担当者が行う」という職務分掌を設けることで、不正の機会が大幅に減ります。


これがまさに統制活動の典型的な役割です。


統制活動は業務プロセスに組み込まれるものであり、各部署・各業務フローごとに設計されます。


統制環境と統制活動の違いを監査コストの観点から解説(経理プラス・公認会計士 大野修平氏)


統制環境と統制活動の違いを表で比較:役割・対象・評価方法

統制環境と統制活動は、同じ内部統制の要素でありながら、その性質は根本的に異なります。


違いが基本です。







































項目 統制環境 統制活動
役割 内部統制全体の「土台・基盤」 経営者の命令を現場で実行する「手続き・仕組み」
対象 組織全体の気風・カルチャー・経営者の姿勢 各業務プロセスごとの具体的なルール・手順
具体例 経営理念・取締役会の機能・人事制度・倫理綱領 職務分掌・承認フロー・在庫棚卸・チェックリスト
J-SOXでの分類 全社的な内部統制 業務プロセスに係る内部統制
評価方法 チェックリストによる全社評価 3点セット(業務フローチャート・業務記述書・RCM)による評価
変化の速さ 経営者の意向とともに徐々に形成される(ゆっくり変化) 部門・事業部ごとに変わる(比較的柔軟に変更可能)


この比較から分かる最大のポイントは、統制環境は「組織全体を一括評価」するものであるのに対し、統制活動は「業務単位で個別評価」するものだということです。つまり、統制環境は会社という建物の「基礎工事」であり、統制活動はその上に立つ「壁や柱の構造」に相当します。基礎が弱ければ建物全体が揺らぎ、壁や柱が不十分ならば特定の部屋に穴ができる、というイメージです。


統制環境が弱いと何が起こるか:内部統制の限界と不正リスク

統制環境の重要性が特に浮き彫りになるのは、「経営者による不正」の場面です。


厳しいところですね。


内部統制基準にも明示されているように、内部統制には「担当者による共謀や経営者の暴走により機能しなくなる」という根本的な限界があります。どれだけ精緻な統制活動(職務分掌・承認フロー)を設けても、経営者自身が「業績数字を良く見せたい」という動機を持ち、部下に不正を指示する状況では、内部統制は形骸化してしまいます。


KPMGジャパンの調査(2022年)によると、日本企業が適時開示した海外子会社における会計不正のうち、経営者不正は実に6割以上を占めているとのことです。子会社に統制活動を整備していても、その経営者に誠実性・倫理観(=統制環境の中核要素)が欠けていれば、不正を防げないことを示しています。


また、ある日本の大手電機メーカーの子会社では、経理部の財務マネージャーが8年以上にわたって着服を繰り返し、被害総額が15億円以上に上ったケースが2014年に発覚しています(Kyriba Japan調べ)。この事例の背景には、海外子会社における統制環境の弱さ(監視機能の不在・経営者の無関心)と、職務分掌という統制活動の不備が重なっていたとされます。


統制環境が弱い組織では、「不正のトライアングル」(動機・正当化・機会)が揃いやすくなります。業績悪化などの「動機」があり、「会社のためだから仕方ない」という「正当化」が行われ、内部統制の「機会」(穴)が存在すると、不正が実行されます。統制環境の整備とは、このうち特に「正当化」を組織全体で許容しない文化・カルチャーを醸成することを意味します。


海外子会社の内部統制と不正事例(Kyriba Japan)


統制活動が不十分な場合のリスク:職務分掌の欠如が生む損失

統制活動が不十分な場合のリスクは、より「現場レベル」の具体的な損失として現れます。


これは使えそうです。


公認不正検査士協会(ACFE)の調査によれば、職務分掌など内部統制の基本的な統制活動が機能していない職場では、不正の発見までに平均18か月、被害中央値は約170万ドル(日本円換算で約2.6億円)に及ぶとされています。これは「気づいたときにはすでに手遅れ」という状況が頻繁に発生することを意味します。


統制活動が機能していない典型的な状態として、以下のような状況が挙げられます。


  • 1人の担当者が取引の発注・受領・支払の承認・記帳をすべて担当している(職務分掌ゼロの状態)
  • 承認フローが書面・システム上に存在しない(口頭承認のみ)
  • 棚卸資産の実地検査が年1回しか行われず、帳簿との照合が形式的
  • 社内規程はあるが実際の業務フローに組み込まれておらず、誰も遵守していない


特に注意すべきは、最後の点です。「規程が存在するかどうか」ではなく「規程が業務プロセスに実際に組み込まれて運用されているかどうか」が、統制活動の有効性を判断する基準だからです。整備上の不備(ルールがない)と運用の不備(ルールはあるが守られていない)は別物ですが、どちらも統制活動の欠陥として評価されます。


特に金融機関や上場企業では、統制活動の不備が「開示すべき重要な不備」と認定されると、内部統制報告書にその旨が記載されることになります。内部統制報告書は有価証券報告書とともに提出が義務付けられており、機関投資家など市場参加者の目に直接触れます。統制活動の整備は、単なる社内問題ではなく、資本市場への信頼性にも直結する問題です。


統制環境と統制活動の依存関係:どちらが欠けても機能しない理由

統制環境と統制活動は対立する概念ではなく、相互に依存する関係にあります。


どちらが欠けても機能不全に陥ります。


これが原則です。


統制環境がしっかりしていても統制活動がなければ:「倫理的な会社であれば、ルールがなくても社員が適切に行動する」という考え方は危険です。どれだけ誠実な組織文化でも、業務量が増え、人員が入れ替わり、部門間連携が複雑化すると、個人の善意だけでは対応できない局面が必ず生じます。具体的な職務分掌やチェックプロセス(統制活動)がなければ、ミスや見落としが防げません。


統制活動を整備しても統制環境が弱ければ:前述のとおり、経営者や管理職が「このルールは業績達成のために無視してよい」という意識を持てば、どんなに精巧な承認フローやマニュアルも形骸化します。統制環境は統制活動の「守護者」として機能するのです。


この関係性は、J-SOX(金融商品取引法に基づく内部統制報告制度)の評価プロセスにも反映されています。J-SOXでは、まず全社的な内部統制(統制環境を含む)の評価を行い、その結果を踏まえて業務プロセスごとの統制活動の評価を行う、というトップダウン型のアプローチを採用しています。統制環境の評価結果が悪ければ、業務プロセスの評価対象範囲を拡大したり、より厳格な評価手続を行うことが求められます。これは統制環境が統制活動の評価に直接影響することを示しています。


財務報告に係る内部統制の評価及び監査の基準(金融庁)


J-SOXにおける統制環境と統制活動の評価方法の違い

J-SOX対応の実務では、統制環境と統制活動は明確に異なる方法で評価されます。


意外ですね。


統制環境(全社的な内部統制)の評価方法:経営者がチェックリスト形式で自己評価を行います。評価項目は金融庁が示す42項目(実施基準)が基本となっており、誠実性・倫理観から組織構造・人事制度まで幅広くカバーされます。評価は一般的に年1回、期末にかけて実施されます。


統制活動(業務プロセスに係る内部統制)の評価方法:いわゆる「3点セット」を作成して評価します。3点セットとは、業務フローチャート(業務の流れを図示)・業務記述書(業務内容を文章で記述)・リスクコントロールマトリクス(RCM:各業務ステップのリスクとコントロールを対応させた表)の3つです。評価対象となる業務プロセスは財務報告に重要な影響を及ぼす業務(売上・売掛金・棚卸資産に係るプロセスなど)が中心です。


3点セットは実務負荷が高い作業です。作成に関わる担当者にとっては「各部署の業務フローの可視化作業」でもあり、これ自体が業務プロセスの見直しや改善のきっかけになることも多くあります。


評価スケジュールの違い:全社的な内部統制(統制環境を含む)は年1回の評価が基本ですが、業務プロセスに係る内部統制(統制活動を含む)は、期中を通じて継続的にサンプルテスト(キーコントロールの有効性確認)を実施します。たとえば、「月次の売上計上に対して上長承認が行われているか」を複数月分サンプリングして確認するといった対応です。


なお、新規上場企業(IPO準備企業)については、上場後3年間は監査法人による内部統制監査が免除されますが、内部統制報告書の提出義務は上場後直ちに生じます。統制環境・統制活動の両方を正しく整備した上で、適切な評価・報告を行うことが不可欠です。


統制環境と統制活動の関係:COSOフレームワークとの比較

内部統制のフレームワークとして世界的に用いられているのが、COSO(トレッドウェイ委員会支援組織委員会)が1992年に公表し、2013年に改訂した「内部統制の統合的フレームワーク」です。日本のJ-SOXの基準もこのCOSOフレームワークを参照しています。


COSOのオリジナルフレームワーク(1992年版)では、内部統制の構成要素は「統制環境・リスク評価・統制活動・情報と伝達・モニタリング」の5つでした。2013年改訂版では17原則が追加され、より詳細なガイダンスが提供されています。日本のJ-SOXは2006年の制度導入時にCOSO1992年版を参考にしつつ「ITへの対応」を独自に加え、6要素体系としました。


COSOフレームワークでも統制環境(Control Environment)は「内部統制の基礎」と位置づけられており、組織のトーン(Tone at the Top)すなわち経営トップが発信するメッセージが組織文化に直結すると強調されています。


いいことですね。


一方、統制活動(Control Activities)はCOSOフレームワークでも「方針及び手続」の層として位置づけられており、予防的コントロール(Preventive Controls:不正や誤りの発生を事前に防ぐ)と発見的コントロール(Detective Controls:発生した問題を事後に検出する)の2種類に大別されます。


この分類は実務でも非常に重要で、たとえば「上長の承認」は予防的コントロール、「月次の残高照合」は発見的コントロールに該当します。統制活動を設計するときは、この2種類をバランスよく組み合わせることが効果的です。予防的コントロールだけでは設計コストが増大し、発見的コントロールだけでは被害が拡大してから気づくリスクがあるためです。


統制環境と統制活動を強化する独自視点:「心理的安全性」との接点

ここまで制度・実務上の違いを解説してきましたが、金融に関わる実務家の視点から見ると、統制環境の強化には「心理的安全性(Psychological Safety)」という現代的な概念との接点があります。これは検索上位ではほとんど語られていない独自の観点です。


Googleが2016年に発表した「プロジェクト・アリストテレス」では、高いパフォーマンスを発揮するチームの最大の共通点として心理的安全性(チームメンバーが懸念・ミス・不安を発言しても安全だと感じられる雰囲気)を挙げています。この概念は、内部統制の文脈では統制環境の中核要素である「誠実性と倫理観」や「情報の伝達」と深く関係します。


内部統制における統制環境が弱い職場では、部下が「経営者の意向に反する発言をすると評価が下がる」という恐れから、不正の兆候を報告できない状態になりがちです。


これが発覚を遅らせ、被害を拡大させます。


実際に会計不正の第三者委員会報告書を読むと、不正の発覚前に「複数の従業員が異常に気づいていたが誰も声を上げなかった」というケースが頻出します。


つまり、統制環境の整備とは単に「経営理念を策定する」「倫理綱領を貼り出す」ことではなく、「問題に気づいた人が声を上げやすい職場の雰囲気」を実際に醸成することを意味します。これは内部通報制度(公益通報者保護法対応)の整備とも連動します。


統制活動との関係でいえば、心理的安全性が高い組織では、統制活動の「運用の不備」が早期に発見・是正されやすくなります。チェックリストの形骸化や承認フローのスキップといった問題を担当者が「声に出して指摘できる」雰囲気があるかどうかが、統制活動の実質的な有効性を左右するのです。


統制活動の設計に必要な「3点セット」の基礎知識と作成手順

J-SOX対応の実務でまず壁にぶつかるのが、業務プロセスに係る内部統制の評価に使う「3点セット」の作成です。


3点セットが条件です。


① 業務フローチャートは、対象業務の流れを図式化したものです。「誰が(役職・担当者)」「何を(業務内容)」「どの順番で行うか」を矢印と図形で可視化します。これにより、職務分掌が適切かどうか、承認の流れが合理的かどうかを視覚的に確認できます。


② 業務記述書は、業務フローチャートを補完する文章形式の記述書です。各業務ステップについて、担当者・業務内容・使用書類・システム・リスクポイントを記述します。フローチャートだけでは伝わりにくい業務の詳細(例外処理・季節変動など)をカバーします。


③ リスクコントロールマトリクス(RCM)は、各業務ステップに潜むリスクと、そのリスクに対応するコントロール(統制活動)を対応させた表です。「このリスクに対して、このコントロールが機能しているか」を一覧で確認できるため、内部統制の有効性評価の核心となります。


3点セットを作成する際の実務的なポイントとして、コントロールの中でも特に重要なものを「キーコントロール」として選定し、期中に実際に機能しているかをサンプルテスト(有効性評価)する作業があります。たとえば「売上計上の際に必ず上長が電子承認している」というコントロールであれば、実際のシステムログから複数件のサンプルを抽出して承認の有無を確認するといった対応です。


現場の実務担当者にとって、3点セットの作成は「自部署の業務を第三者が理解できる形で記述する」作業であり、作成過程で業務の非効率や統制の穴が発見されることも多くあります。この意味で、3点セットは内部統制の評価ツールにとどまらず、業務改善のきっかけにもなります。


内部統制(J-SOX)の3点セットとは?概要と作成のポイント(奉行シリーズ・OBC)


統制環境と統制活動の違いをまとめ:金融担当者が押さえるべきポイント

ここまでの内容を整理します。


つまり以下の3点がポイントです。


第1に、統制環境は「組織全体の土台・カルチャー」であり、経営者の誠実性・倫理観・取締役会の機能などから形成されます。他の5つの要素すべての基盤となるため、統制環境が弱いと他の要素を整備しても機能不全に陥ります。全社統制として評価され、主にチェックリスト形式での評価が行われます。


第2に、統制活動は「経営者の命令を現場で実行させる具体的な手続き」であり、職務分掌・承認フロー・マニュアル・実地検査などで構成されます。業務プロセスに係る内部統制として評価され、3点セット(業務フローチャート・業務記述書・RCM)によって可視化・評価されます。


第3に、この両者は対立するものではなく、相互に補完・依存する関係にあります。統制環境が強い組織では統制活動の実効性が高まり、統制活動が精緻に設計されていても統制環境が弱ければ形骸化します。


金融業界や上場企業に携わる実務家にとって、この2つの違いを正確に理解することは、J-SOX対応の効率化・監査コストの低減・不正リスクの管理という観点から実際の業務価値に直結します。内部統制報告書に「開示すべき重要な不備」が記載されれば、最悪の場合5年以下の懲役または500万円以下の罰金(金融商品取引法第197条の2)という刑事罰リスクが生じることも忘れてはなりません。統制環境と統制活動の違いを正確に把握し、それぞれを適切に整備・運用することが、企業価値の保全と持続的成長に不可欠なのです。


内部統制報告制度に関する事例集(金融庁、2023年)