C-07. 内部統制の概念とコントロールの種類を理解する

a内部統制の目的を説明する
b予防的、発見的及び是正的などの内部統制の種類を説明して評価する
cリスクを低減するための適切なコントロールを提案する

内部統制は、組織体が目標を達成するために不可欠な仕組みです。
内部監査人は、内部統制の目的や種類を正しく理解し、リスクに対して適切なコントロールが設計・運用されているかを評価します。

a. 内部統制の目的を説明する

1. 内部統制の定義

GIASの「用語一覧」において、control 〈コントロール〉及び　control processes 〈コントロール・プロセス〉は、以下のように定義されています。

control 〈コントロール〉 – 経営管理者、取締役会及びその他の者が、リスクを管理し、設定した目標やゴールが達成される可能性を高めるために行うすべての措置。

control processes 〈コントロール・プロセス〉 – リスクを組織体のリスク許容度の水準内に収まるよう管理するために整備及び運用される方針、手続及び活動。

Internl Controlは「内部統制」、Controlは「コントロール」という日本語訳が一般的ですが、IIAがControlという場合は、COSOの「内部統制」と、Control ProcessesはCOSOの「統制活動」とほぼ同様の概念で使っています。

内部統制とは、組織体の目標達成を合理的に保証するために、経営者およびその他の構成員によって整備・運用されるプロセスです。これは、単なるルールや手続の集合ではなく、組織全体に組み込まれた継続的な仕組みです。

2. 内部統制の主な目的

内部統制の目的は、一般に次の3つに整理されます。

業務の有効性および効率性の確保
業務が無駄なく、計画どおりに実施されることを目的とします。
（財務）報告の信頼性の確保
財務・非財務情報が正確かつ適時に作成・報告されることを目的とします。
法令および規程の遵守
法令や社内規程が遵守されることを目的とします。

CIA試験では、これらの目的とリスクの関係を理解しているかが問われます。

GIASの「用語一覧」において、compliance 〈コンプライアンス〉は、以下のように定義されています。

compliance 〈コンプライアンス〉 – 法令、規制、契約、方針、手続及びその他の要求事項を遵守すること。

b. 予防的、発見的及び是正的などの内部統制の種類を説明して評価する

1. 内部統制の種類の考え方

コントロールは主に「目的（機能）別」、「性質別」、「範囲別」の3つの切り口で分類されます。
目的（機能）による分類は、IIA試験で最も頻出する分類です。リスクに対してどのタイミングで、どのような役割を果たすかで4つに分けられます。

分類	英語名	内容・目的	具体例
予防的統制	Preventive	エラーや不正が発生する前に防ぐ。	職務分掌、システムへのアクセス権限設定、承認印。
発見的統制	Detective	発生してしまったエラーや不正を事後的に見つける。	勘定照合、棚卸、ログのレビュー、差異分析。
是正的統制	Corrective	発見された問題を修正し、正常な状態に戻す。	バックアップからのデータ復旧、再発防止策の策定。
指揮的（指示的）統制	Directive	望ましい行動を促し、特定の目標を達成させる。	経営方針、マニュアル、研修、社内規程の整備。

補足：補完的統制（Compensating Controls）

主要な統制（例：職務分掌）がコストや人員不足で実施できない場合、その弱点を補うために導入される統制（例：管理者の事後承認を強化する等）も試験でよく問われます。

2. 予防的統制（Preventive Controls）

予防的統制とは、不正や誤謬（エラー）などの不適切な事象が発生する前に、それを未然に防ぐために設計された統制です。

主な特徴：

コスト効率の最大化: 問題が起きる前に防ぐため、修正コストや損害が発生せず、最も効率的とされる。

物理的・論理的遮断: 権限のない者に「させない」仕組み（職務分掌やアクセス制限）が中心。

例：

職務分掌
承認・決裁手続
アクセス権限の制限
業務手順の標準化

リアルタイム性: 業務プロセスそのものに組み込まれており、処理と同時に機能する。予防的統制は、発生そのものを防ぐ点で最も効果的とされます。

3. 発見的統制（Detective Controls）

発見的統制とは、予防的統制をすり抜けて発生してしまった不正や誤謬（エラー）を、適時に検出するために設計された統制です。

主な特徴：

事後確認: 事象が発生した「後」に機能する。

異常の検知: 正常な状態と現状を「照合・比較」することで、差異や異常を見つけ出す。

例：

照合や突合
レビューやモニタリング
内部監査
例外レポートの確認

予防的統制の補完: 予防が完璧でないことを前提に、その有効性を検証する役割も持ちます。

4. 是正的統制（Corrective Controls）

是正的統制とは、発見された不正や誤謬に対して、影響を排除（修正）し、再発防止を図るための統制です。

主な特徴：

現状復帰: 発生した問題を解決し、本来あるべき正常な状態へ戻します。

フィードバック回路: 発見された問題の原因を分析し、予防や指揮のレベルへ改善を促す（再発防止）。

例：

修正仕訳
再発防止策の実施
規程や手続の改定
懲戒措置

セットでの運用: 発見的統制によって問題が見つからない限り、この統制は発動しません。是正的統制は、統制全体の改善につながります。

5. 指揮的統制（Directive Controls）

指揮的統制とは、特定の目標の達成を促進したり、望ましい行動を導き出したりするために設計された統制です。他の統制（予防・発見・是正）が機能するための「基礎」や「指針」となる役割を果たします。

主な特徴：

「何をすべきか（あるいはすべきでないか）」を明示する。
組織のトーン・アット・ザ・トップ（経営者の姿勢）を具体化する。
多くの場合、文書化された形で提供される。

例：

職務権限規程・業務分掌規程: 誰がどの権限を持つべきかを指揮する。
社内マニュアル（手順書）: 正しい業務の進め方を指示する。
行動規範（倫理規定）: 従業員が守るべき倫理的基準を示す。
研修・教育プログラム: 必要なスキルや知識を身につけさせ、目標達成を促す。
経営方針・事業計画: 組織が向かうべき方向性を提示する。

試験対策のポイント： 指揮的統制は、それ単体で不正を物理的に阻止する力（予防）や、間違いを自動で見つける力（発見）は弱いですが、「組織全体の統制環境を構築する」上で不可欠な要素です。

コントロールの相関図（イメージ）

CIA試験の理解を深めるために、これら4つの関係性を整理すると以下のようになります。

指揮的統制が「ルール」を決め、
予防的統制が「発生」を防ぎ、
防げなかったものを発見的統制が見つけ、
見つかったものを是正的統制が直す。

このサイクルを意識すると、実務と試験の両方で理解がスムーズになります。

2. 性質（手段）による分類

コントロールがどのように実行されるかによる分類です。

自動化統制（Automated Controls）: ITシステムに組み込まれた統制（例：金額の自動チェック）。
手動統制（Manual Controls）: 人の手で行われる統制（例：書類の目視確認）。
IT依拠型手動統制（IT-dependent Manual Controls）: システムが出力したデータに基づき、人が判断を行う統制（例：システムから出た異常値リストの確認）。