財務報告に係る内部統制の評価及び監査の基準_Ⅰ．内部統制の基本的枠組み _２．内部統制の基本的要素 _(5)-(6)

【本日のインプット】

（５） モニタリング
　モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視､評価及び是正されることになる｡モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある。

　① 日常的モニタリング
　　日常的モニタリングは、内部統制の有効性を監視するために、経営管理
　や業務改善等の通常の業務に組み込まれて行われる活動をいう。

　② 独立的評価
　　独立的評価は、日常的モニタリングとは別個に、通常の業務から独立し
　た視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取
　締役会、監査役等、内部監査等を通じて実施されるものである。

　③ 評価プロセス
　　内部統制を評価することは、それ自体一つのプロセスである。内部統制
　を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要
　素を予め十分に理解する必要がある。

　④ 内部統制上の問題についての報告
　　日常的モニタリング及び独立的評価により明らかになった内部統制上の
　問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に
　情報を報告する仕組みを整備することが必要である。この仕組みには、経
　営者、取締役会、監査役等に対する報告の手続が含まれる。

（注） 財務報告の信頼性に関しては、例えば、日常的モニタリングとして、各業務部門において帳簿記録と実際の製造・在庫又は販売数量等との照合を行うことや、定期的に実施される棚卸手続において在庫の残高の正確性及び網羅性を関連業務担当者が監視することなどが挙げられる。また、独立的評価としては、企業内での監視機関である内部監査部門及び監査役等が、財務報告の一部又は全体の信頼性を検証するために行う会計監査などが挙げられる。

（６） ＩＴへの対応
　ＩＴへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のＩＴに対し適時かつ適切に対応することをいう。
　ＩＴへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がＩＴに大きく依存している場合や組織の情報システムがＩＴを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
　ＩＴへの対応は、ＩＴ環境への対応とＩＴの利用及び統制からなる。

　① ＩＴ環境への対応
　　ＩＴ環境とは、組織が活動する上で必然的に関わる内外のＩＴの利用状
　況のことであり、社会及び市場におけるＩＴの浸透度、組織が行う取引
　等におけるＩＴの利用状況、及び組織が選択的に依拠している一連の情報
　システムの状況等をいう。ＩＴ環境に対しては、組織目標を達成するため
　に、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを
　踏まえた適切な対応を行う必要がある。
　　ＩＴ環境への対応は、単に統制環境のみに関連づけられるものではな
　く、個々の業務プロセスの段階において、内部統制の他の基本的要素と一
　体となって評価される。

　② ＩＴの利用及び統制　
　　ＩＴの利用及び統制とは、組織内において、内部統制の他の基本的要素
　の有効性を確保するためにＩＴを有効かつ効率的に利用すること、並びに
　組織内において業務に体系的に組み込まれてさまざまな形で利用されてい
　るＩＴに対して、組織目標を達成するために、予め適切な方針及び手続を
　定め、内部統制の他の基本的要素をより有効に機能させることをいう。
　　ＩＴの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係
　を有しており、これらと一体となって評価される。また、ＩＴの利用及び
　統制は、導入されているＩＴの利便性とともにその脆弱性及び業務に与え
　る影響の重要性等を十分に勘案した上で、評価されることになる。

（注） 財務報告の信頼性に関しては、ＩＴを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすＩＴ環境への対応及び財務報告プロセス自体に組み込まれたＩＴの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられる。

【本日のアウトプット】

（５） モニタリング
　モニタリングとは、内部統制が有効に機能していることを（　　①　　）に（　　②　　）するプロセスをいう。モニタリングにより、内部統制は常に（　　➂　　）されることになる｡モニタリングには、業務に組み込まれて行われる（　　④　　）及び業務から独立した視点から実施される（　　⑤　　）がある。両者は個別に又は組み合わせて行われる場合がある。

　① 日常的モニタリング
　　日常的モニタリングは、内部統制の有効性を監視するために、経営管理
　や業務改善等の（　　⑥　　）て行われる活動をいう。

　② 独立的評価
　　独立的評価は、日常的モニタリングとは別個に、通常の業務から（　　
　⑦　　）した視点で、（　　⑧　　）に行われる内部統制の評価であり、
　経営者、取締役会、監査役等、内部監査等を通じて実施されるものであ
　る。

　③ 評価プロセス
　　内部統制を評価することは、それ自体一つのプロセスである。内部統制
　を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要
　素を予め十分に理解する必要がある。

　④ 内部統制上の問題についての報告
　　日常的モニタリング及び独立的評価により明らかになった内部統制上の
　問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に
　（　　⑨　　）する仕組みを整備することが必要である。この仕組みに
　は、経営者、取締役会、監査役等に対する報告の手続が含まれる。

（注） 財務報告の信頼性に関しては、例えば、（　　⑩　　）として、各業務部門において帳簿記録と実際の製造・在庫又は販売数量等との照合を行うことや、定期的に実施される棚卸手続において在庫の残高の正確性及び網羅性を関連業務担当者が監視することなどが挙げられる。また、（　　⑪　　）としては、企業内での監視機関である内部監査部門及び監査役等が、財務報告の一部又は全体の信頼性を検証するために行う会計監査などが挙げられる。

（６） ＩＴへの対応
　ＩＴへの対応とは、組織目標を達成するために予め適切な（　　⑫　　）を定め、それを踏まえて、業務の実施において（　　⑬　　）に対し適時かつ適切に対応することをいう。
　ＩＴへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がＩＴに（　　⑭　　）している場合や組織の情報システムがＩＴを（　　⑮　　）いる場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
　ＩＴへの対応は、（　　⑯　　）と（　　⑰　　）からなる。

　① ＩＴ環境への対応
　　ＩＴ環境とは、組織が活動する上で必然的に関わる内外のＩＴの（　　
　⑱　　）のことであり、社会及び市場におけるＩＴの浸透度、組織が行う
　取引等におけるＩＴの利用状況、及び組織が選択的に依拠している一連の
　情報システムの状況等をいう。ＩＴ環境に対しては、組織目標を達成する
　ために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、そ
　れを踏まえた適切な対応を行う必要がある。
　　ＩＴ環境への対応は、単に統制環境のみに関連づけられるものではな
　く、個々の業務プロセスの段階において、内部統制の他の基本的要素と一
　体となって評価される。

　② ＩＴの利用及び統制　
　　ＩＴの利用及び統制とは、組織内において、内部統制の他の基本的要素
　の有効性を確保するためにＩＴを（　　⑲　　）すること、並びに
　組織内において業務に体系的に組み込まれてさまざまな形で利用されてい
　るＩＴに対して、組織目標を達成するために、予め適切な（　　⑳　　）
　を定め、内部統制の他の基本的要素をより有効に機能させることをいう。
　　ＩＴの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係
　を有しており、これらと一体となって評価される。また、ＩＴの利用及び
　統制は、導入されているＩＴの利便性とともにその（　　21　　）及び（　　
　22　　）等を十分に勘案した上で、評価されることになる。

（注） 財務報告の信頼性に関しては、ＩＴを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすＩＴ環境への対応及び財務報告プロセス自体に組み込まれたＩＴの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に（　　23　　）するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に（　　24　　）され、（　　25　　）されるプロセスとなっていることを確保すること等が挙げられる。

解答↓

【解答】

①　継続的
②　評価
➂　監視､評価及び是正
④　日常的モニタリング
⑤　独立的評価
⑥　通常の業務に組み込まれ
⑦　独立
⑧　定期的又は随時
⑨　情報を報告
⑩　日常的モニタリング
⑪　独立的評価
⑫　方針及び手続
⑬　組織の内外のＩＴ
⑭　大きく依存
⑮　高度に取り入れて
⑯　ＩＴ環境への対応
⑰　ＩＴの利用及び統制
⑱　利用状況
⑲　有効かつ効率的に利用
⑳　方針及び手続
21　脆弱性
22　業務に与える影響の重要性
23　収集し処理
24　収集、処理
25　財務報告に反映

【関連基準】

財務報告に係る内部統制の評価及び監査の基準並びに財務報告に
係る内部統制の評価及び監査に関する実施基準の改訂について

二 主な改訂点とその考え方
（１）内部統制の基本的枠組み
② 内部統制の基本的要素
　「リスクの評価と対応」においては、・・・（省略）・・・。さらに、「ＩＴへの対応」では、ＩＴの委託業務に係る統制の重要性が増していること、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保が重要であることを記載した。

※なお、ＩＴの委託業務に係る統制の重要性が増していること、サイバーリスクの高まり等を踏まえた情報システムに係るセキュリティの確保が重要であることについては、「財務報告に係る内部統制の評価及び監査の基準」ではなく、「財務報告に係る内部統制の評価及び監査に関する実施基準」において明示されている。