統制の監視

仕組み

統制の監視とは、経営者が自社の内部統制がどの程度機能しているかを確認するための継続的なプロセスである。監基報 330.8 は、監査人に対し、経営者が統制の有効性を評価するため「適切な監視活動」を実施しているかを評価するよう求めている。
監視活動には 2 つの形態がある。1 つ目は恒常的な監視である。日々の業務の中で、例えば銀行口座の照合、在庫数量の検証、売上の逆算検証（請求額と実績の照合）といった活動である。これらは定期的に繰り返される。2 つ目は個別的な評価である。例えば内部監査部門による評価報告書の提出、外部監査人（監査法人）からの指摘への対応状況の確認といったものである。
監査人の役割は、経営者がこれらの監視活動を「実施している」かどうかではなく、その活動が「有効である」かどうかを評価することである。監基報 330.A8 では、監視活動が有効であるか否かを判定するため、監査人は当該活動の設計と実行状況を評価する必要があると述べられている。つまり、監視活動が存在するだけでは足りない。その活動が、実際に統制の欠陥を発見し、修正しているか、という点を検証しなければならない。

実務例：ファストフード チェーン経営 株式会社

クライアント： 日本国内でファストフード チェーン 87 店舗を運営する株式会社。FY2024 売上高 62 億円。IFRS 完全適用企業。
状況： 経営者は、毎月の営業利益について、売上原価率の異常値を検出するための分析的監視を実施していると主張していた。具体的には、各店舗の売上原価率が前月比で ±3% を超える場合、自動的に管理部門へ報告される仕組みになっていた。
ステップ 1: 監視活動の設計を検証する
監査人は、その分析的監視ツールがどのように構築されているか、閾値（±3%）の設定根拠が何であるか、報告ルートが明確か、という 3 点を確認した。
文書化ノート：監視手続評価調書（ISA 330 対応ファイル）に、次を記載。（1）ツール名：売上原価率監視システム v2.1、（2）報告頻度：月次、（3）閾値設定根拠：過去 3 年度の標準偏差により算定、（4）例外報告件数：FY2024 年間 47 件。
ステップ 2: 実行状況を確認する
監査人は、実際に報告されていた 47 件の例外について、経営者がどのように対応したかを追跡調査した。そのうち 35 件は管理部門が原因を特定し、是正措置を実施していた（仕入れ価格の上昇、メニュー価格の見直し、特定店舗での廃棄率増加等）。しかし 12 件については、報告から 2 か月以上経過しても、原因特定も是正措置も行われていなかった。
文書化ノート：追跡調査結果として、対応状況別に集計。未対応 12 件のうち 8 件は、新型メニューの販売に伴う原価構造の変化。これらについて、経営者は当初気づいていなかった。監視活動の欠陥は「検出が機能していなかった」ではなく、「検出後の対応が機能していなかった」ことが判明。
ステップ 3: 有効性の判定をする
監視活動全体の有効性を判定する。報告から対応まで平均何日要するか、未対応案件の割合、是正措置後の再発生状況等、複数の指標を用いる。本例では、対応率 74.5%（35/47）と、未対応期間の長さから、当該監視活動は「部分的に有効」と評価された。
文書化ノート：監視有効性評価表にて、判定根拠を明記。「当該監視活動は異常値の検出に成功したが、検出後のフォローアップ体制に欠陥がある。経営者は、未対応案件の定期的なレビューと責任者の決定を行うべき」と記載。
結論： 監視活動そのものは適切に設計されていたが、実行段階での有効性に問題があった。この評価なくしては、監視活動が「存在する」という事実だけで内部統制が有効と判定してしまい、重大なリスクを見落とす可能性があった。

実務者・検査官が見落とすポイント

• 第 1 段階：定性的評価のみで終わらせる: 「経営者は統制監視を実施していると言っていた」という評価だけでは不十分。実際の例外報告件数、対応期間、是正措置の実施状況といった定量的データを確認しなければ、有効性の判定はできない。国庫債務負担行為（KDBA）監査における検査指摘では、この点が最も頻繁に指摘されている。具体的には、監視活動の「存在」と「有効性」が混同されている調書が多いとされている。
• 第 2 段階：経営者の説明を参考情報として扱う: 「経営者から『統制は有効に機能している』と聞いた」という記載は、それが根拠ではなく参考情報であることを明記すべき。監基報 330.A8 では、経営者の主張だけでなく、その主張を支持する客観的証拠が必要だと述べられている。
• 第 3 段階：部分的な監視活動を全体の監視と混同する: 例えば「売上のみ監視していて、在庫や固定資産については監視していない」という状況でも、「売上に対する監視は有効である」という評価で終わってしまう場合がある。財務報告に対する大きなリスク領域全体について、どの部分に監視が及んでいるのか、及んでいないのか、という全体像を把握する必要がある。
• 第 4 段階：IT統制の監視と手作業統制の監視を統合していない: 経営者がIT統制（アクセス権限、変更管理、バックアップ）の監視を別部門（IT部門）に委任している場合、その監視結果が財務報告に関連する手作業統制の監視と統合されていないことがある。ISA 315.A115では、IT環境における統制の監視が財務報告の信頼性に与える影響を評価するよう求めており、IT監視と業務監視の分断は統制環境全体の評価を不完全にする。

監視活動の比較（内部監査による監視 vs 経営者による恒常的監視）

| 側面 | 内部監査による監視 | 経営者による恒常的監視 |
|------|------|------|
| 実施頻度 | 年 1～2 回の特定期間（通常は監査委員会への報告目的） | 毎月、毎週、時には日次 |
| 対象範囲 | 内部統制全体の評価 | 特定の高リスク領域（売上、在庫等） |
| 独立性 | 経営者から独立（監査委員会に直属する場合が多い） | 経営者自身による評価のため、独立性に限界がある |
| 監査人の検証方法 | 内部監査報告書の提出状況と報告内容を確認 | データ照合結果、例外報告、是正措置を直接確認 |
恒常的監視は日々の業務に組み込まれているため、異常の早期発見につながりやすい。しかし独立性が低い分、監査人は内部監査による監視と組み合わせて、統制環境全体の有効性を評価することが一般的である。

監査人が検証するべき項目

これらはいずれも客観的に確認できる項目である。「聞いた」という評価ではなく、「何件の例外が報告されたか」「そのうち何件が対応されたか」という具体的な数字と根拠を調書に記載することが、検査対応の基本となる。

• 統制監視の対象となっている領域（売上、在庫、給与等）がどこか、文書で明記されているか
• 監視の実施責任者と報告ルートが定められているか
• 例外や不備が発見された場合、それが誰に報告され、どのような期限で是正されるか
• 是正措置が実施されたか、またその後再発していないか
• 内部監査部門がある場合、その報告書と経営者による監視結果の整合性があるか

関連する監査基準用語

• 内部統制: 経営者が設計・運用する統制体系全体。監視はその有効性を継続的に評価するメカニズム。
• リスク評価: 監査人が実施するリスク評価と、経営者が実施するリスク評価は異なる。経営者による統制監視はリスク評価の結果に基づいている場合が多い。
• 重要な欠陥: 統制の監視が機能していない場合、その欠陥が検出されずに経営陣に報告されないリスクが高まる。
• 監査証拠: 統制監視の有効性を評価するには、当該監視活動から得られた具体的な証拠（報告書、データ、記録）が必要。
• 内部監査: 経営者による恒常的監視と内部監査による定期的評価の相補的な関係。

関連ツール

統制の監視活動を文書化・追跡するための ciferi 統制マッピング ツール（監基報 330 対応）を使用することで、各統制がどのような監視メカニズムによってモニタリングされているか、視覚的に整理できます。特に複数の事業部門や子会社を有する企業における統制環境全体の有効性評価に有用です。
---