内部統制の目的

内部統制の目的は

1. 業務の有効性および効率性
2. 財務報告の信頼性
3. 事業活動における法令遵守
4. 資産の保全

を確保すること･･･ ですが、一番の眼目は2番の「財務報告の信頼性」を保つこと。アメリカのSOX法404条が求めているのもこれ。
「財務報告」というのは、上場企業が公開する単独および連結の財務諸表と、有価証券報告書・アニュアルレポートの内容と考えてよさそう。
従来の会計監査と異なるのは、財務報告が作成されるプロセスに、誤りや不正が入り込まないような仕組みが作られ、運用されているかどうかをチェックする点。

統制環境

不正をせず、なにごとも正直に報告・情報共有する社風があるのが最強。いろいろ仕組みを作っても、「ま、それはタテマエでしょ」って雰囲気なら意味がない。でも、いい社風ってどうやったらできるんだろう？

内部統制の評価

SOX法404条などによって求められるのは、

• 経営者が「ウチの内部統制はこれくらいできてますよ」という評価を報告すること
• その評価の妥当性と、実際の内部統制の具合を公認会計士が監査すること

の二つ。
この評価をするのに必要なのが、

• 業務を行う際に従うべき規程、マニュアル
• 実際にどのように業務を行っているのか
• 企業の内外にどのようなリスクがあって、それに対してどんな統制活動を行っているのか

といった文書類。しかし当然（？）そんな文書は揃っていない企業がほとんどなので、文書の整備に追われることになる。

内部統制評価の範囲

自社および関連会社で行っているすべての業務について、内部統制が機能しているかどうかチェックするのは不可能に近い。
財務報告上大きな金額、あるいは質的に重要な勘定科目や開示項目を識別し、その項目にかかわる事業や業務プロセスを対象にする。その範囲を選んだ根拠がはっきりしていることが重要。

ITの利用

実際の業務の流れやルールは情報システムに組み込まれていることが多い（業務処理統制）。また、開発・保守のプロセスやデータアクセス権限の管理、ハードウェアやネットワークの管理も内部統制上重要（全般統制）。