統制活動
内部統制の中核的な部分である。統制活動とは事業体の方針と手続きで、リスク対応において必要な経営者の命令が実行されていることを保証するために定められたものである。具体的には、次のような項目がある。
情報システムによる統制については、次のパートでもう少し詳細に説明する。
統制活動は、方針と手続きの2つの面から考える必要がある。方針とは何をすべきかを定めたものであり、大きな方針と具体的な事項を定めた規定項目からなる。手続きは業務マニュアルである。これは、どのようにするかを定めたものだ。
情報と伝達
事業体を構成する人々が自己の責任を果たせるように適切な情報が識別、補足、伝達される必要がある。情報システム(ITにかぎらない)は、経営上の意思決定と外部報告において必要とされる企業内外の情報を効果的に処理できなければならない。情報は、経営者から担当者に、担当者から経営者に伝達されたり、特定の組織レベル間で伝達・共有される。情報には文書だけでなく、態度や行動様式も含まれる。例えば、経営者が「実行してみせる」のも情報伝達の1つである。
監視活動
監視活動は、内部統制の質を継続的に評価するプロセスである。いったん構築され最適化された内部統制も、環境の変化とともに有効性を失う場合がある。監視活動は、内部統制が常に有効に機能していることを保証するために重要だ。監視活動には、日常的監視活動と独立的評価がある。
日常的監視活動は、通常の業務の過程における内部統制の有効性を監視するために役立つ活動である。例えば、情報システム上の現金残高と実際の現金を毎日照合することなどが日常的監視活動といえる。従業員が企業の行為規範を理解しているか、順守しているかについて報告することも日常的監視活動といえる。
独立的評価は、日常的監視活動を含むほかの内部統制が有効に機能していることを確認するために必要となる。内部統制の当事者以外の独立した者が評価する。典型的には内部監査が該当するが、ライン部門に対するスタッフ部門による評価も含まれる。独立的評価をどの程度の頻度で行うべきかは、さらされているリスクに依存する。
Copyright © ITmedia, Inc. All Rights Reserved.