積立NISAを活用したインデックスファンドへの投資方法について解説します。なぜこの投資方法が注目されているのか、どのようなメリットがあるのでしょうか?
【お金のブログ】返済の記事/人気の生活
統制活動の基本情報と内部統制の6要素を徹底解説
統制活動の不備を「大したことない」と放置すると、J-SOX法違反で5年以下の懲役が科される可能性があります。
このページの目次
- 統制活動の基本情報と内部統制の6要素を徹底解説
- 統制活動とは何か:内部統制の基本情報と定義
- 統制活動と内部統制の6要素:それぞれの位置づけ
- 統制活動の具体的内容:職務分掌・承認・アクセス管理
- 統制活動の2つの側面:予防的統制と発見的統制の違い
- 統制活動のキーコントロール:識別と選定のポイント
- 統制活動の評価プロセス:整備状況評価と運用状況評価
- IT統制と統制活動の関係:ITGC・ITACとは
- 統制活動の整備と内部統制の3点セット
- J-SOX法における統制活動の義務と違反リスク
- 統制活動の構築手順:現場に落とし込む4ステップ
- 統制活動を形骸化させないための独自視点:「人材ローテーション」の盲点
- 統制活動に関するよくある誤解:中小企業・非上場企業でも無関係ではない
統制活動とは何か:内部統制の基本情報と定義
統制活動とは、金融庁が「財務報告に係る内部統制の評価及び監査の基準」の中で以下のように定義しています。
「統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続をいう。統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。」
つまり、組織の決定事項を現場レベルで確実に実行させるための具体的な仕組み全体を指します。内部統制の6つの基本的要素(統制環境・リスクの評価と対応・統制活動・情報と伝達・モニタリング・ITへの対応)の中でも、「実務の現場で直接機能するコントロール」として中核的な役割を担います。
統制活動が現場で機能しているかどうかが、内部統制全体の実効性を左右します。たとえば、どれほど優れた方針が経営層で策定されていても、現場の日常業務に落とし込まれていなければ、内部統制はまったく意味をなしません。
これが核心です。
金融に関わる業務では特にこの要素が重要視されます。銀行や証券会社、上場企業の経理部門、投資家保護の仕組みに関心を持つ方にとって、統制活動の基本情報は避けて通れない知識です。
参考情報:金融庁が公表している内部統制の基準の全文(財務報告に係る内部統制の評価及び監査の基準)はこちら
財務報告に係る内部統制の評価及び監査の基準(金融庁)
統制活動と内部統制の6要素:それぞれの位置づけ
統制活動は内部統制の6要素の一つです。全体像を把握しないと、統制活動だけを切り取って理解しても意味が薄れます。
6要素を一覧で確認しましょう。
| 番号 | 基本的要素 | 概要 |
|---|---|---|
| ① | 統制環境 | 経営者の姿勢・企業文化・倫理観など、内部統制の土台となる組織の気風 |
| ② | リスクの評価と対応 | 目標達成を阻む要因を識別・分析・評価し、対処策を選ぶプロセス |
| ③ | 統制活動 | 経営者の方針・指示を現場で実行するための方針・手続き(職務分掌・承認など) |
| ④ | 情報と伝達 | 必要な情報を適時・適切に組織内外へ伝えるプロセス |
| ⑤ | モニタリング | 内部統制が有効に機能しているかを継続的に評価・改善するプロセス |
| ⑥ | ITへの対応 | 組織目標達成のためにITに対して適切に対応する方針と手続き |
この6要素はそれぞれが独立して存在するわけではありません。統制環境が基盤となり、リスク評価を踏まえて、統制活動が業務プロセスに組み込まれます。さらに情報と伝達・モニタリング・ITへの対応が全体を支える構造です。つまり統制活動は、6要素の連携によって初めて機能します。
金融庁は内部統制を「業務に組み込まれ、組織内の全ての者によって遂行されるプロセス」と定義しています。経営者だけが意識すれば良いものではなく、一般の従業員も含めた全員が関わることを意識する必要があります。
統制活動の具体的内容:職務分掌・承認・アクセス管理
統制活動の中身は多岐にわたります。代表的なものを整理すると、職務の分掌、業務承認の手続き、アクセス権限の管理、物理的な資産保護、ダブルチェック体制、定型業務のルール化などが含まれます。
特に重要なのが「職務の分掌」です。一人の担当者が業務の開始から完了まで単独で処理できる状態では、横領や不正の温床になりやすいです。具体的に言えば、たとえば預金口座の入出金担当者と仕訳記帳担当者を別の人物にするだけで、不正リスクは大幅に低下します。
TKCの公認会計士・髙倉裕幸氏によると、現金や預金は横領等の不正が発生しやすい項目であり、会社の預金口座から自分の口座へ不正送金するケースが後を絶たないといいます。財務担当者と会計担当者が同一人物であれば、預金残高を適当な勘定科目に振り替えて帳簿残高を意図的に一致させることが可能になるためです。
これが職務分掌が必要な理由です。
業務承認の手続きも重要な統制活動です。たとえば「顧客への請求書は営業担当者が作成し、上長が承認してから発行する」「100万円以上の支出は部門長以上の承認が必要」といったルールを設けることで、独断的な処理を防ぎます。
承認の証跡が残ることも大切な点です。
| 統制活動の種類 | 具体例 |
|---|---|
| 職務の分掌 | 入出金担当者と仕訳記帳担当者を分ける |
| 業務承認手続き | 一定金額以上の支出に上長承認を必要とする |
| アクセス権限管理 | 顧客情報・会計システムへのアクセスを限定する |
| 物理的資産保護 | 銀行印と通帳を別々の場所・担当者で管理する |
| ダブルチェック | 請求書の金額・振込先を2名以上で確認する |
| 定型業務ルール化 | 社内規程・業務マニュアルによる標準化 |
アクセス権限の管理は、デジタル化が進んだ現代において特に重要です。会計システム・人事データ・顧客情報などへのアクセスを限られた担当者に制限することで、情報漏洩や不正な改ざんを防ぎます。
これは後述するIT統制とも深く関連します。
参考:職務の分掌と内部統制の具体的事例についての解説はこちら
内部統制の具体的な事例について(TKC全国会)
統制活動の2つの側面:予防的統制と発見的統制の違い
統制活動には大きく分けて2つのアプローチがあります。
それが「予防的統制」と「発見的統制」です。
予防的統制とは、不正やミスが起こる前に防ぐ仕組みです。システム上の入力制限・二段階承認・職務分掌などがこれに該当します。リスクが具体化する前に遮断するため、感応度が高く、効果が直接的です。一方の発見的統制は、すでに起きたミスや不正を早期に発見し是正するためのものです。日次・月次の照合作業、内部監査、監査ログの分析などが含まれます。
- ✅ 予防的統制:リスクが発生しないよう「事前に防ぐ」仕組み(例:システム入力制限・二段階承認)
- 🔍 発見的統制:発生したミスや不正を「早期に見つける」仕組み(例:月次照合・内部監査)
両者を組み合わせることが実務の鉄則です。予防的統制だけでは見落としが生じ、発見的統制だけでは被害が拡大してから気づくことになります。特定のリスクに対する感応度は予防的統制の方が高く、多くのリスクに対応できる汎用性は発見的統制が優れています。
金融機関では一般に、予防的統制として「振込データの作成者と承認者を必ず分ける」「インターネットバンキングのパスワードを定期的に変更する」などが運用されています。発見的統制としては「定期的に銀行残高と帳簿残高を照合する」「内部監査部門による定期検証」が代表例です。
どちらか一方だけでは統制は不完全です。
予防的統制と発見的統制のバランスを適切に設計することが、統制活動の実効性を高める上で最も重要なポイントの一つです。
統制活動のキーコントロール:識別と選定のポイント
統制活動の中でも、財務報告の信頼性に重大な影響を与える統制を「キーコントロール(統制上の要点)」と呼びます。
これが実務上の核心です。
キーコントロールの選定が重要な理由は、運用状況評価(後述)の対象となるためです。評価するコントロールが多すぎると作業量が膨大になります。逆に少なすぎると財務報告リスクが未カバーのままになる恐れがあります。論理的・戦略的に選定することが求められます。
キーコントロールに該当しやすい3つの特徴:
- 🤖 自動コントロール:システムによる自動計算は手動ミスが生じないため信頼性が高い
- 👤 有識者によるコントロール:知識・経験を持つ権限者の承認は重要度が高い
- 🎯 直接的コントロール:証憑との照合確認など、リスクへの感応度が高い統制
識別の手順としては、取引から財務報告に至るまでのプロセスを把握し、統制目標を設定した上で、各コントロールをリスクとの対応関係で検証するという流れになります。決算に近いプロセスほどキーコントロールに選定されやすい傾向があります。
また、キーコントロールを選定する際には「予防的統制と発見的統制を組み合わせる」という原則が実務ガイドラインでも推奨されています。予防的統制はリスクへの感応度が高く、発見的統制は運用状況評価のサンプル数を抑えられる利点があるためです。両者の組み合わせで、評価作業の効率と統制の実効性を両立させます。
参考:キーコントロールの識別方法・評価ポイントの詳細はこちら
内部統制におけるキーコントロールとは?識別のやり方やポイントを説明(マネーフォワード クラウド)
統制活動の評価プロセス:整備状況評価と運用状況評価
統制活動が「設計されている」ことと「実際に機能している」ことは別問題です。J-SOX制度では、この2つを区別して評価することが求められています。
整備状況評価(ウォークスルー)とは、財務報告に関するリスクを低減する仕組みが実際に存在しているかを確認する評価です。通常、1件のサンプルを抽出して業務の流れを追いかける「ウォークスルー」という手法で実施されます。業務記述書・フローチャート・リスクコントロールマトリクス(RCM)などの「3点セット」を用いて、統制が規程通りに設計されているかを確かめます。
一方の運用状況評価とは、整備状況評価で確認した仕組みが、日々の業務の中で継続的に機能しているかを実際の証憑(書類・ログ・承認印など)を収集して確認する作業です。複数のサンプルを抽出するサンプリングテストが中心的な手法となります。キーコントロールの選定が運用状況評価の負荷に直結するため、戦略的な選定が重要です。
整備と運用の評価はセットで行うことが基本です。どちらが欠けても、統制活動の有効性を示すことができません。
| 評価の種類 | 確認事項 | 主な手法 |
|---|---|---|
| 整備状況評価 | 統制の仕組みが設計・存在しているか | ウォークスルー(1件追跡) |
| 運用状況評価 | 統制が継続的に実施されているか | サンプリングテスト(複数件) |
IT統制と統制活動の関係:ITGC・ITACとは
現代のビジネスでは業務の大半がITシステム上で処理されます。そのため、統制活動はITと切り離して考えることができません。内部統制の枠組みでは、IT関連の統制活動を「IT統制」と呼び、以下の2つに分類しています。
IT全般統制(ITGC:IT General Controls)は、業務処理統制が有効に機能するための基盤となるIT管理の仕組みです。具体的にはシステムの開発・保守管理、システムの運用管理、アクセス管理(外部・内部からの不正接続防止)、外部委託先の管理という4項目が対象です。
IT業務処理統制(ITAC:IT Application Controls)は、業務ごとのシステム処理が正確・完全に行われることを担保する統制活動です。入力データの正確性・完全性・正当性の確保、エラーデータの修正・再処理機能、システム間のデータ連携の整合性確保などが具体例として挙げられます。
- 🏗️ ITGC(IT全般統制):ITが機能する「基盤」を整える(システム開発・運用・アクセス管理など)
- ⚙️ ITAC(IT業務処理統制):実際の業務処理が「正確に行われる」ことを担保する(入力チェック・エラー処理など)
注目すべき点として、ITGCが不備であれば、ITAC(業務処理統制)も信頼できないとみなされます。基盤が弱ければ、その上に構築されたすべての統制が揺らぐ構造です。ITGCとITACは独立ではなく、依存関係にあることを理解しておくことが重要です。
会計システム上で「月次決算の締め後に遡って仕訳修正ができる状態」は、IT業務処理統制の典型的な不備です。過去の仕訳を直接修正できると、月次監査後の不正が発見困難になるためです。ITACとして「締め後修正を物理的に不可能にするシステム設定」が求められます。
統制活動の整備と内部統制の3点セット
J-SOX制度に対応する実務では「内部統制の3点セット」が統制活動の文書化ツールとして広く使われています。3点セットとは、業務記述書・フローチャート・リスクコントロールマトリクス(RCM)の3種類の文書です。
業務記述書は、業務の流れを「誰が・何を・どのように行うか」という観点で文章化した書類です。業務の詳細・リスクが潜む工程・担当者の理解度などを把握するのに使います。フローチャートは業務記述書の内容を図で可視化したもので、部門ごとの業務の流れと全体像を俯瞰できます。RCM(リスクコントロールマトリクス)は、洗い出したリスクとそれに対するコントロール(統制活動)を一覧表にまとめたものです。どのリスクにどのキーコントロールが対応しているかを一目で確認できます。
- 📄 業務記述書:「誰が・何を・どう行うか」を文章で記述した業務の取扱説明書
- 📊 フローチャート:業務の流れを図で可視化し、全体像と部門間の関係を把握する
- 📋 RCM(リスクコントロールマトリクス):リスクとコントロールの対応関係を整理した一覧表
3点セットは統制活動を「見える化」する手段です。特にRCMは整備状況評価と運用状況評価の基礎資料として機能し、どのリスクにどのキーコントロールが対応しているかを監査法人にも示す重要な文書です。
金融庁の実施基準では3点セットの作成を必須とはしていませんが、実務上は多くの企業が作成しています。作成することで、業務プロセスの可視化・リスク洗い出しの精度向上・監査対応の効率化が同時に実現できます。
これは使えそうです。
J-SOX法における統制活動の義務と違反リスク
金融商品取引法(J-SOX制度)は、上場企業に対して財務報告に係る内部統制の整備・運用・評価・報告を義務付けています。統制活動はその中心的な構成要素であり、J-SOX対応において避けて通れない領域です。
上場企業は事業年度ごとに「内部統制報告書」を作成し、有価証券報告書と合わせて提出する義務があります。この報告書で「内部統制は有効である」と記載するには、統制活動を含む6要素が有効に機能していることを経営者自らが評価・確認する必要があります。さらに、その評価結果を公認会計士または監査法人が監査します(新規上場後3年間は監査免除を選択可)。
罰則は厳格です。J-SOX法の違反リスクとして次の点を覚えておきましょう。
- ⚠️ 内部統制報告書に虚偽記載:個人に5年以下の懲役または500万円以下の罰金(金融商品取引法第197条の2)
- ⚠️ 法人に対しては:5億円以下の罰金(金融商品取引法第207条)
- ⚠️ 開示すべき重要な不備が発覚した場合:投資家への開示義務が生じ、株価下落・信用失墜リスク
「開示すべき重要な不備」とは、財務報告の信頼性に重大な影響を与える可能性が高い不備です。米国SOX法の3段階区分(重要な欠陥・重大な虚偽表示・軽微な欠陥)に対して、日本のJ-SOX法では「開示すべき重要な不備」と「不備」の2段階で管理します。2024年の改訂でこの分類が簡素化され、実務対応の明確化が図られました。
上場を目指す企業にとっても無関係ではありません。東京証券取引所の上場審査基準に「コーポレートガバナンスおよび内部管理体制が適切に整備され、機能していること」が含まれており、統制活動の整備状況は直接審査の対象となります。
参考:J-SOX法の基本から罰則・改訂内容まで詳しく解説
J-SOX法とは?基本から具体的な対応まで経理担当者向けに徹底解説(KEIHI)
統制活動の構築手順:現場に落とし込む4ステップ
統制活動を実際に構築・運用するには、体系的な手順を踏むことが重要です。ここでは実務で参照される流れを4段階で整理します。
ステップ1:業務プロセスと既存リスクの可視化
まず、現在の業務フローを洗い出し、各工程で「誰が・何を・どのように処理しているか」を明確にします。フローチャートや業務記述書を活用して業務プロセスを文書化し、現場担当者へのヒアリングを通じて実態を把握します。
ステップ2:リスク識別とコントロールの設計
各業務プロセスに潜むリスクを洗い出し、発生可能性と影響度の観点で重要度を評価します。その上で、予防的統制と発見的統制を組み合わせたコントロールを設計します。設計の際は、対応するリスクに対してキーコントロールを1つ以上識別することが基本です。
ステップ3:文書化・規程化・教育の実施
設計したコントロールを業務マニュアルや社内規程として文書化します。属人的な運用は統制の形骸化を招くため、誰が担当しても同じ統制が機能するよう標準化と教育を実施することが肝要です。
人事異動・組織改編時にも見直しを行います。
ステップ4:整備評価・運用評価・改善サイクルの確立
整備状況評価(ウォークスルー)で統制が設計通りに存在するかを確認し、運用状況評価(サンプリングテスト)で継続的に機能しているかを検証します。不備が発見された場合は原因究明と是正を行い、評価結果を内部統制報告書に反映させます。このPDCAサイクルを年1回以上回すことが求められます。
統制活動の構築は一度完成したら終わりではありません。経営環境・法制度・業務プロセスの変化に合わせて定期的に見直すことが継続的な有効性の維持につながります。
統制活動を形骸化させないための独自視点:「人材ローテーション」の盲点
統制活動を構築しても、それが実態を伴わない「見せかけの内部統制」になるケースは少なくありません。特に金融業界の担当者がよく陥る落とし穴が、「ルールはあるが、人は動かない」問題です。
職務分掌や承認フローを整備しても、同じ担当者が何年も同一業務を継続していると、徐々に相互牽制が形骸化することがあります。長年同一業務を担当している人物は業務の「ブラックボックス」になりやすく、不正を隠蔽しやすい環境が生まれます。実際、金融機関を含む多くの企業で長期担当者による横領・不正が発覚しているのはこのためです。
この盲点を補う施策として注目されているのが「人材ローテーション」の統制活動への組み込みです。一定期間ごとに担当者を入れ替えることで、引継ぎのプロセス自体が不正の発見機会になります。また、業務の「見える化」を促進し、特定個人への依存を排除する効果もあります。
人材ローテーションが難しい中小規模の組織では、外部専門家(税理士・公認会計士)による定期的な月次巡回監査を導入することが代替策として有効です。外部の目を業務プロセスに組み込むことで、内部だけでは気づきにくい不備を発見しやすくなります。
統制活動は「設計すれば完了」ではありません。継続して機能させ、形骸化を防ぐ仕組みそのものを組み込むことが、本当の意味での統制活動の基本情報です。
参考:内部統制の評価と基本的な仕組みについての詳細解説
内部統制、全体像と1年間の評価の流れを把握(IPO Compass by OBC)
統制活動に関するよくある誤解:中小企業・非上場企業でも無関係ではない
「統制活動やJ-SOXは上場企業だけの話」という認識が広まっています。
しかし、実際にはそうではありません。
まず、上場を目指す企業(IPO準備中の企業)は、上場前の審査段階から統制活動の整備を求められます。東証が定める上場基準に「内部管理体制が適切に整備・機能していること」が明記されているためです。上場後に慌てて整備しても手遅れになるケースが多く、上場2〜3年前からの準備が実務的な標準です。
次に、非上場の中小企業でも、取引先からコンプライアンス体制の開示を求められるケースが増えています。特に上場企業が取引先の内部統制状況を確認する「サプライチェーンの統制」が強化されており、中小企業が対応を迫られる場面が増加しています。
さらに、金融機関から融資を受ける際にも、経営の透明性や財務報告の信頼性が評価要因となります。銀行融資・社債発行・補助金申請においても、統制活動を含む内部統制の整備状況が間接的に影響するケースがあります。
したがって、金融に関心を持つ方であれば、自社の規模や上場有無に関わらず、統制活動の基本情報を理解しておくことは大きなメリットにつながります。知識があれば、財務リスクの早期察知、監査対応の効率化、ステークホルダーへの説明能力の向上といった実務上の強みを得られます。
これが条件です。
関連ページ
-
![]()
-
![]()
REITの配当金について決算期から支払日までの流れや受け取り方法を詳しく解説します。投資家として知っておくべき権利確定日や分配金のしくみとは?あなたは次のREIT配当金をいつ受け取れるでしょうか? -
![]()
国内債券インデックスへの投資が注目されている理由と具体的なメリットについて解説します。リスク分散やポートフォリオ構築における役割、そして現在の金融環境での有効性について詳しく掘り下げていきます。あなたの資産運用戦略に国内債券インデックスを取り入れるべき理由とは?