【解説】「内部統制の限界」と「内部監査の限界」について

今回は「内部統制の限界」と「内部監査の限界」についてご説明いたします。

内部統制の限界とは

いくら内部統制が有効に機能し運用されていたとしても、そこには限界があります。誤りや不正が起こる可能性を完全にゼロにすることはできないからです。

これを内部統制の限界と呼びます。

内部統制の限界とは以下のような要因で生じえます。

内部統制の限界の要因

人為的ミス

カウントミスやうっかりしてマニュアル通りに実施しなかったなどの人為的ミスです。人間誰しも完璧ではありませんので、このようなミスを完全になくすことはできません。

費用対効果

ねじ1本盗まれるのを防ぐために新たに警備員を雇いますでしょうか。100万円ほどの商品が地震被害に遭うのを防ぐために10億円の費用をかけて耐震補強工事を行いますでしょうか。そうはしないと判断することが合理的である場合がほとんどだと思います。

経営においてはコストも考慮したうえで内部統制を実施しますので、費用対効果の見合わない統制は見送られることになります。

その結果、一部の損害や不正は許容されることになります。

意図的な不正

会社に損害を与えることを目的に、自分が罰せられることをいとわずに不正を行うことを防ぐことは多くの場合において困難です。

会社への逆恨みによる犯罪などが該当します。

経営者による無効化

いくら内部統制のマニュアルが整備され、優秀な人員が配置されたとしても、トップダウンによりそれが無効化されてしまうことがあります。

経営幹部ら自らが内部統制をないがしろにしてしまう組織においては、どんなに有効な内部統制も無力化されてしまいます。

共謀

共謀によって職務の分離が無効化されてしまうことがあります。

職務の分離とは、チェック機能・けん制機能を働かせるために、一連の業務プロセスの実施者を複数に切り離すことを言います。

職務を分離したはずの担当者同士が共謀して不正を行った場合、それを見抜くのは困難な場合があります。

その他統制不能なリスク

自然災害や政治や経済の変化などの、外部要因による統制不能なリスクによっても、内部統制に限界が生じることがあります。

内部監査の限界とは

内部統制が有効に機能・運用されているかどうかをチェックする、内部監査にも同様に限界があります。

内部監査の限界の要因

人為的ミス

内部監査は人が行いますので、読み誤り、勘違いなどのミスを完全になくすことはできません。

判断誤り・偏見

客観的であるべき内部監査人も人間ですので、相手の見た目や肩書、印象、言動をもとに誤った判断をしてしまうことがあります。

経営者による無効化

内部監査も、経営者に阻害されたり、十分な監査資源を与えられなかったりすることで、その業務が無効化されてしまうことがあります。

試査(サンプル抽出による監査)

内部監査において、その組織のすべての業務を監査することは現実的には難しいことがほとんどです。

そのため多くの場合、内部監査は、試査(サンプル抽出による監査)の形式で行われます。例えば、100万件の業務のうちから100件をランダムに抽出し、それをもとに業務の有効性を調べるといった具合です。

たまたまその100件のサンプルの中に不適正な業務が集中してしまったり、逆に、本来はあるべき不適正な業務がそのサンプルの中に含まれていなかったりする可能性があります。したがって、すべての対象業務を調査しない試査(サンプル抽出による監査)には限界があることになります。

専門知識・その他の監査資源の不足

監査を行うのに十分な専門知識やその他の監査資源に不足がある場合に内部監査を行うことは適切ではありません。

専門知識やその他の監査資源が十分あると認識して内部監査を実施したものの、結果的にはそれらが不足していたために監査が不十分なものになってしまうことがあります。

合理的な保証

以上のような内部監査の限界から、内部監査に対して、その組織の内部統制が有効に機能していることの「絶対的な保証」はそもそも期待されていません。

内部監査に期待されているのは「合理的な保証」です。つまり、内部監査には限界があることが前提になっているのです。

統制には限界があることを前提としたリスクマネジメントの必要性

残余リスクのコントロール

これまでのご説明の通り、内部統制・内部監査ともに限界があります。

内部統制がうまく機能しないリスク、内部監査が有効に機能しないリスクに対して、十分な対策を講じたものの、まだ残ってしまうリスクを「残余リスク」といいます。

内部統制・内部監査それぞれにおいて、この「残余リスク」を許容される範囲内にコントロール(≒減らす)ことが、リスクマネジメント上、必要になってきます。

他の場面での応用

こうした限界は内部統制・内部監査に限りません。

交通事故、自然災害、犯罪、不正がなかなかなくならないのも、統制には限界があることで説明ができます。また、残余リスクの考え方もそれらに応用できます。

事故・損害・犯罪・不正を企業や社会から完全にゼロにすることは現実的なアプローチではありません。それらは起こりうるとの前提で、それらの発生を企業や社会にとって許容される範囲内に低減させる取り組みがより現実的であると言えます。

おすすめ記事・カテゴリー

まとめ

「内部統制の限界」と「内部監査の限界」について

  • 内部統制の限界とは
  • 内部統制の限界の要因
  • 内部監査の限界とは
  • 内部監査の限界の要因
  • 統制には限界があることを前提としたリスクマネジメントの必要性
ないと

いかがでしたでしょうか。「統制の限界」と「残余リスクのコントロール」は皆さんの組織の中でも応用できると思います。最後までご覧いただき、ありがとうございました。

Follow me!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です