統制環境 | ciferi

Definition

金融庁の2023年度モニタリングレポートでは、統制環境評価が書類確認に限定されている案件が約45%の業務で指摘された。経営方針書と行動倫理規程を「見ました」とだけ書いて終わる調書。設計されたポリシーが実際に動いているかどうかを確認していない。

仕組み

監基報330号は、統制環境を5つの要素で整理している。誠実性と倫理観の強調、経営者のコミットメント、人材の確保と育成、統制活動の責任、説明責任。個別に評価するのではなく、被監査会社全体に浸透しているか否かが問われる。

「トーン・アット・ザ・トップ」に焦点を当てる監査人は多い。経営者が内部統制を重視しているか、違反に対して厳正に対応しているか、従業員の倫理観教育に投資しているか。これらが目に見える形で現れていなければ、統制環境は弱いと判定される。ただし、経営者に「重視していますか」と聞いて「はい」という答えをそのまま記録するのでは意味がない。

現場では、組織風土調査、内部通報制度の運用、コンプライアンス違反事例への対応方法を確認する。設計されたポリシーと実際の運用のギャップ。正直、ここが一番調書に書きにくいところ。経営者の面前で「御社の統制環境は弱い」とは言いづらいんですよ。

事例：ミナト精工株式会社

クライアントは東京都渋谷区に本社を置く精密機器製造会社。売上8,900万円、従業員42名。経営者は創業2代目で在任10年。内部監査機能なし。

経営層との初回面談。 経営者に対し、会社の基本的な価値観、内部統制への認識、過去の法令違反や不正発見事例について聴取した。文書化ノート：監査ファイルの「統制環境評価」セクションに、経営者の回答を直接引用。「当社は誠実性を最重視している。過去10年で違反なし」という発言を記録。

組織図と規程の確認。 会社の組織図、経営方針書、行動倫理規程、コンプライアンス方針を入手し、実際に機能しているかを検証した。ポリシーが掲示されているか、従業員教育が行われているか確認。 文書化ノート：行動倫理規程は2016年作成で、その後改訂なし。コンプライアンス教育の記録がない。このギャップを記録。

牽制機能の評価。 経営者と独立した立場で財務判断を行う者（取締役会、監査役）が存在するか確認。本件はオーナー経営者のため、独立した牽制機能が実質的に機能していないリスクを評価した。 文書化ノート：「牽制機能」セクションに、監査役との面談記録を添付。監査役は経営者の親族で、監査役会議は年1回のみ開催。

内部通報制度と違反事例への対応。 内部通報窓口を確認し、過去3年間の通報件数、対応内容を調査。未払残業代や私的流用などの違反があった場合、経営者がどう対応したかを把握。 文書化ノート：内部通報窓口は「経営者に直接報告」という形式で、実質的な独立性がない。過去3年間の違反報告件数は0件。

結論。 統制環境は「弱い」と判定した。根拠は独立した牽制機能の欠如、コンプライアンス教育の未実施、内部通報制度の独立性欠如、行動倫理規程の未改訂。経営者の倫理観は高いと見受けられるが、組織的な統制構造が不十分である。実証的手続の範囲を拡大する判断に至った。

監査人と検査官がよくやる誤り

規程の閲覧で終わる監査人が多い。経営方針書、行動倫理規程、コンプライアンス方針を「見た」で統制環境評価を終わらせている。金融庁の2023年度モニタリングレポートでは、約45%の業務でこの点が指摘された。調書には「確認した」と書いてあるが、何を確認したのかが書かれていない。

「トーン・アット・ザ・トップ」を経営者の発言だけで評価するのも典型的な誤り。給与体系、人事評価制度、違反事例への実際の対応、従業員からのヒアリング結果という客観的証拠が要る。経営者の言葉と現実のギャップを見つけるのが監査人の仕事。品管のレビューでは「経営者はこう言っていた」だけの調書に必ずノートが付く。

年初の一度きりの評価で済ませるケースも目立つ。統制環境は固定的ではなく、組織変動や経営層の交代があれば変わる。期中に新たなコンプライアンス違反や不正事件が発生した場合、その事実を統制環境評価にフィードバックしない監査人がいる。監基報330号は、監査を通じて得られた情報に基づき評価を更新するよう求めている。

テンプレートとツール

Ciferi の「ISA 330リスク評価ワークシート」には、統制環境評価専用セクションが含まれている。経営層面談での聴取項目、組織図確認チェックリスト、統制環境評価マトリクスが組み込まれており、評価結果を監査計画の重要性や実証的手続の範囲に連動させることができる。

---

仕組み

事例：ミナト精工株式会社

監査人と検査官がよくやる誤り

関連する用語

テンプレートとツール