●内部統制を実現する為には、役員等による内部統制対応委員会等によって、方針や対応の方向性を決定する事が必要となります。これにより、対象業務プロセスや対象拠点が決定されます。その後、プロジェクトチーム（体制）が作られ、プロジェクト範囲の明確化、プロジェクトスケジュールなどで構成されるプロジェクト計画を策定します。体制構築と方針策定には、トップマネジメントによる推進の重要性についての強力な意思表示や推進にあたってのリーダーシップが重要となります。また、内部統制における不備を隠してしまうのでなく、活動を通じて改善を進めるという姿勢が重要となり、なにか不備があっても、それを封印してしまわない風土作りも非常に重要となります。

●方針決定と体制構築後、内部統制整備の実際の作業は文書化が中心となります。業務手続を記述し、（販売とか製造、経理などの業務ごとに作業の流れを整理）、予想されるリスクとそれに対する統制活動を記述することが必要となります。現状の業務プロセスを明確に把握し、棚卸しをする事、考えられるリスクとそれに対する内部統制プロセスを文書化することが必要となるのです（これがリスクコントロールマトリックスとなります）。

そして予想されるリスクに対して統制を設計していくことが必要となります。
これにより、実際に内部統制が働いているのかどうかテスト計画書を策定し、テストを実施するとともに、テスト結果は明確に記録に残していく必要があります。リスクコントロールマトリックスにおいて、各業務プロセスでの統制（コントロール）が適正に整備され、実際運用されているかをモニタリングし、テストした結果を記述するのです。

(2)内部統制における「ITへの対応」の重要性
●こうした企業の統制活動が正しく行われる為には、業務そのものが正しく行われること、また業務が正しく行われていることを明確に証明できること必要となります。決裁の記録が正しく行われる事、誰が何をしたのかといったプロセス履歴が残っている事、これに関連する情報や記録、証憑などの証拠書類が業務プロセスに対応する形にて遡る事ができる、情報そのものが改竄できない事が必要となります。これには「ITへの対応」が不可欠な要素となってきます。

●企業会計審議会内部統制委員会「財務報告に係る内部統制の評価および監査の基準案」によりますと、「ITへの対応」とは「組織目標を達成する為にあらかじめ適切な方針および手続きを定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう」としています。内部統制の目的を達成する為にはITは不可欠の要素であり、情報システムにおいて、業務統制を実現する為に必要となるITにいて対応する重要システムを明確にする事が必要となります。「ITへの対応」は�@「IT環境への対応」と�A「ITの利用および統制」とに分かれます。（企業会計審議会内部統制委員会「財務報告に係る内部統制の評価および監査の基準案」。「IT環境への対応」は、業務統制を実現する為、業務プロセス遂行を支える情報システムの範囲を明確にしてその対応を行う事です。そして2つめの「ITの利用及び統制」は、情報システムを利用するプロセスとそのプロセスを管理について適正に効率的に実施されているかをモニタリング、評価し、改善する事で内部統制を実現する為にPDCAを回す事です。これは内部統制の有効性を確保する為、ITを有効かつ効率的に利用する事、並びに組織内において業務に体系的に組み込まれ様々な形で利用されているITに対して、組織目標を達成するため、予め適切な方針及び手続きを定め、内部統制をより有効に機能させる為に必要となります。

● 「ITの対応」によって特に重要となるのは、業務がまず正しく行われる事、そして、業務が正しく行われている事を証明できる事が重要であるという事は先に述べましたが、これらを実現する為、まず重要となるのが、業務記録活動の履歴が残っており、必要な際に取得可能な事、残された記録、会計証憑の原本性がしっかりと保証され、またそれらに容易に辿り着く事ができること、大切な会計データにアクセス可能な人と権限が明確に限定され、コントロールされている事が必要となります。これらを実現する為には、�@従業員のIDが統合管理されている事、�A認証/アクセスに対する制御がしっかりと行われている事、�Bシステムへのログ収集/管理�C運用管理が行われている事が必須となります。�@の従業員のID管理とは、従業員のIDを統合管理し、複数のシステム間においても統一されたID統合管理を行うことが必要となります。

これには情報システムや企業秘密情報への厳密なアクセス管理の基となるID情報の管理を統合的かつ厳密な管理をする事が必要となります。内部統制実現の為には、従業員ごとの職務権限に応じたアクセス制御、本人認証が正しく機能し、会計情報の正当性が確保されている事が必須だからです。また組織変更や人事異動もしくは入退社時に、スムーズにIDの付与、権限の変更、IDの削除を行い、厳密なID管理ができている環境では、従業員のアクセスログを解析する事が可能になり、モニタリング（監視活動）や統制環境、統制活動の実現に大きく寄与する事が可能となります。�Aの認証/アクセスに対する制御は、情報アクセスに対する本人確認（認証）と、各IDに付与されたアクセス権限に応じたアクセス管理を行う、つまりアクセス制御が非常に重要となります。これは会計処理について、処理が正しく行われていることが保証される為、情報に対する改竄が行われない事を保証する為に不可欠な要素となります。認証は本人確認手段であり、システム上におけるIDの利用者が、IDを付与された利用者個人であるのか、また、共有IDに対して認証を行う場合は、利用者が共有IDを利用する権利を持っているかを確認する重要な手段となります。　認証の方法には、パスワード認証、ICカード認証、生態認証（指紋や静脈、虹彩などを利用）などがあります。アクセス制御はID毎に付与されている権限設定を鑑み、与えられた範囲内での情報アクセス制御をする事に加え、物理的アクセス制御として、空間領域でのアクセス制御もあります。これは具体的には入退室、入退館管理・制御があります。データへのアクセス以外に、このような空間領域でのアクセス制御を検討する事も重要となります。�Bのシステムログ収集は、誰がいつ、どのようなシステムとデータにアクセスしたか、どのような処理が行われたかを記録として残す事で、内部統制上、問題があった場合に問題の原因に遡る事ができることを可能にするものです。例えば重要な機密情報へ、いつ、誰が、どのようなアクセスしているのかを把握できる事が可能となります。これは内部統制を実現する為に必要となる重要なデータが守られている事、正しい事を証明する為に必須となる仕組みとなります。最後に�C運用管理が必要となります。情報システム運用管理に関する作業実行についての承認や実際の実施状況における監視、情報システムに行われた作業の記録、履歴管理などの運用状況の一元的管理を行うことが非常に大切になります。システム運用が正しく行われたかの履歴の証明や、運用において不当なシステム改変や運用の変更を抑止することを可能とし、運用プロセスの統制が可能なシステム運用環境を構築する事は内部統制の実現には不可欠であるからです。これらのITの活用、IT統制は他の内部統制の要素と密接に係りながら業務を正しく行い、内部統制を実現する為に基盤とも言える重要な要素であり、内部統制の方針に基づき、すぐにでも始められる、また、すぐに始めるべき対応となります。

●これまで見てきた内部統制ですが、法規制に対応するという消極的な捉え方をしない事をお勧めしたいと思います。内部統制に対応する事によって、企業の経営の透明性は向上し、企業価値が高まるからです。業務の可視化によって、非効率な手続きや重複業務が明確となり、より効率的な手続きが実現します。また、業務プロセスの標準化により、付加価値の高い業務への時間の充当や、属人的プロセスを組織的に明確化された標準プロセスとすることができます。業務プロセスに対するリスクを明確にし、それに対する統制活動を明確にする事でリスクを隠さない風土作りと事前の対策が可能となり、経営の透明性が向上する、これらは経営の透明性の向上であり、企業価値の向上に確実に繋がると積極的に捉え、対応する事が必要になります。こうした積極的な捉え方をする事によって、是非内部統制対応により企業価値向上を実現していただきたいと考えております。