統制環境 | ciferi

仕組み

監基報 330号は、統制環境を5つの要素で構成されるものとして整理している：(1) 誠実性と倫理観の強調、(2) 経営者のコミットメント、(3) 人材の確保と育成、(4) 統制活動の責任、(5) 説明責任。これらは個別に評価されるのではなく、被監査会社全体に浸透しているか否かが問われる。
統制環境の評価は、多くの監査人が「トーン・アット・ザ・トップ」に焦点を当てる。経営者が内部統制を重視しているか、違反に対して厳正に対応しているか、従業員の倫理観教育に投資しているか。これらが見える形で現れていなければ、統制環境は弱いと判定される。
実務では、組織風土調査、内部通報制度の運用、コンプライアンス違反事例への対応方法を確認することで、統制環境の実態を把握する。設計されたポリシーと実際の運用のギャップが最も大きなリスク要因となる。

事例：ミナト精工株式会社

クライアント： 東京都渋谷区に本社を置く精密機器製造会社。売上8,900万円、従業員42名。経営者は創業2代目で在任10年。内部監査機能なし。
ステップ1：経営層との初回面談
経営者に対し、会社の基本的な価値観、内部統制の重要性に対する認識、過去の法令違反や不正発見事例について聴取した。
文書化ノート：監査ファイルの「統制環境評価」セクションに、経営者の回答を直接引用。「当社は誠実性を最重視している。過去10年で違反なし」という発言を記録。
ステップ2：組織図と規程の確認
会社の組織図、経営方針書、行動倫理規程、コンプライアンス方針を入手し、実際に機能しているかを検証した。これらのポリシーが掲示されているか、従業員教育が実施されているか確認。
文書化ノート：行動倫理規程は2016年作成で、その後改訂なし。コンプライアンス教育の記録がない。このギャップを記録。
ステップ3：牽制機能の評価
経営者と独立した立場で財務判断を行う者（例：取締役会、監査役）が存在するか確認。本件はオーナー経営者のため、独立した牽制機能が実質的に機能していないリスクを評価した。
文書化ノート：「牽制機能」セクションに、監査役との面談記録を添付。監査役は経営者の親族で、監査役会議は年1回のみ開催という内容。
ステップ4：内部通報制度と違反事例への対応
内部通報窓口を確認し、過去3年間の通報件数、対応内容を調査。未払残業代、私的流用などの違反があった場合、経営者がどう対応したかを把握。
文書化ノート：内部通報窓口は「経営者に直接報告」という形式で、実質的な独立性がない。過去3年間の違反報告件数は0件。
結論
統制環境は「弱い」と判定した。根拠は(1) 独立した牽制機能の欠如、(2) コンプライアンス教育の未実施、(3) 内部通報制度の独立性欠如。経営者の倫理観は高いと見受けられるが、組織的な統制構造が不十分である。そのため、その他の監査手続の信頼性が低下し、実証的手続の範囲を拡大する必要が生じた。

監査人と検査官がよくやる誤り

第1段階：規程の閲覧で終わる
多くの監査人は、経営方針書、行動倫理規程、コンプライアンス方針を「見た」で統制環境評価を終わらせている。金融庁の2023年度モニタリングレポートでは、統制環境評価が書類確認に限定されている案件が約45%の業務で指摘されている。重要なのは、設計されたポリシーが実際に運用されているかどうか。
第2段階：「トーン・アット・ザ・トップ」を経営者の発言だけで評価する
経営者に「倫理観を重視していますか」と聞いて「はい」という答えをそのまま記録する監査人がいる。実際には、給与体系、人事評価制度、違反事例への実際の対応、従業員からのヒアリング結果という客観的証拠が必要。経営者の言葉と現実のギャップを見つけることが監査人の責任。
第3段階：年初の一度きりの評価で済ませる
統制環境は固定的ではなく、特に組織変動や経営層の交代があれば変わる。期中に新たなコンプライアンス違反や不正事件が発生した場合、その事実を統制環境評価にフィードバックしない監査人が多い。監基報 330号では、監査を通じて得られた情報に基づき、統制環境の評価を更新することを求めている。

テンプレートとツール

Ciferi の「ISA 330リスク評価ワークシート」には、統制環境評価専用セクションが含まれている。経営層面談での聴取項目、組織図確認チェックリスト、統制環境評価マトリクスが組み込まれており、評価結果を自動的に監査計画の重要性や実証的手続の範囲に連動させることができる。

仕組み

事例：ミナト精工株式会社

監査人と検査官がよくやる誤り

関連する用語

テンプレートとツール