最終更新日:2026年6月4日
sg sg-security-management system_audit risk_assessment it_security_operations
まず結論
内部統制の基本的要素は、組織の業務にルールや手続を組み込み、目的を達成しやすくするための構成要素です。
SG試験では、特に次の6要素を切り分けます。
- 統制環境
- リスクの評価と対応
- 統制活動
- 情報と伝達
- モニタリング
- ITへの対応
例題で問われやすい 統制活動 は、経営者の命令や指示が適切に実行されるようにするための方針・手続です。受注、承認、出荷、照合、検証などの業務プロセスに組み込まれたチェックを見たら、統制活動を疑います。
SG試験で選択肢を切る判断軸(内部統制の基本的要素編)
| 選択肢の表現 | 該当しやすい要素 |
|---|---|
| 経営方針、経営戦略、組織の気風 | 統制環境 |
| 脅威や脆弱性を識別・分析し、対応を決める | リスクの評価と対応 |
| 承認、照合、職務分掌、処理結果の検証などを業務に組み込む | 統制活動 |
| 必要な情報を識別し、関係者へ正しく伝える | 情報と伝達 |
| 内部統制が有効に機能しているか継続的に評価する | モニタリング |
| ITに関する方針・手続を定め、組織内外のITに対応する | ITへの対応 |
迷ったら、「実際の業務プロセスに組み込まれたチェックか」を見ます。そうであれば、統制活動が有力です。
直感的な説明
内部統制は、会社の仕事を「人の注意力だけ」に頼らず、業務の流れの中で間違いや不正を防ぐ仕組みです。
たとえば、販売や購買などの業務プロセスで考えると、次のようなチェックがあります。
- 受注内容を承認する
- 在庫や出荷指示を確認する
- 出荷結果と受注内容を照合する
- 例外やエラーを記録し、責任者へ報告する
これらは、作業者が個人的に気を付けるだけでなく、業務プロセスの中に組み込まれた確認手続です。
このような「業務の中で正しく処理されるようにする仕掛け」が、統制活動のイメージです。
定義・仕組み
金融庁の「財務報告に係る内部統制の評価及び監査の基準」では、内部統制は業務の有効性及び効率性、報告の信頼性、法令等の遵守、資産の保全などの目的を達成するために、業務に組み込まれ、組織内の者によって遂行されるプロセスとして整理されています。
参考:金融庁 財務報告に係る内部統制の評価及び監査の基準
基本的要素は、次のように整理できます。
| 基本的要素 | 試験での見方 |
|---|---|
| 統制環境 | 組織の気風、経営姿勢、倫理観、責任体制など、他の要素の土台 |
| リスクの評価と対応 | 目的達成を妨げるリスクを識別・分析・評価し、対応するプロセス |
| 統制活動 | 経営者の指示が実行されるようにする方針・手続 |
| 情報と伝達 | 必要な情報を識別・把握・処理し、関係者へ正しく伝える仕組み |
| モニタリング | 内部統制が有効に機能しているかを継続的に評価するプロセス |
| ITへの対応 | 組織目標のためにITへの方針・手続を定め、内外のITに適切に対応すること |
統制活動は、この中でも実務的な手続に近い要素です。
たとえば、承認、検証、照合、職務分掌、例外処理、アクセス権限の確認などは、業務が経営者の意図どおりに進むようにするための統制活動として出題されます。
どんな場面で使う?
SG試験では、内部統制の基本的要素が次のような文脈で出題されます。
- 業務プロセスに組み込まれた承認・照合・検証を見分ける
- リスク分析と統制活動を混同しない
- 内部監査やモニタリングを、通常業務内のチェックと区別する
- IT統制やアクセス管理を、内部統制の中でどう位置付けるか判断する
特に、受注、出荷、請求、入金、会計処理などの業務プロセスで、処理結果の検証や承認手続が出てきたら、統制活動を疑います。
一方、定期的な評価や内部監査のように、統制そのものが有効に機能しているかを評価する活動なら、モニタリング寄りです。
よくある誤解・混同
誤解1:経営方針や経営戦略は統制活動である
経営方針や経営戦略は、統制活動そのものではありません。
組織の気風や経営姿勢、統制に対する意識に関係する話なら、統制環境として考えます。
誤解2:脅威や脆弱性の分析は統制活動である
脅威や脆弱性を分析して、組織目標を妨げるリスクを識別・評価する話なら、リスクの評価と対応です。
統制活動は、その後に業務手続として組み込まれる承認、照合、検証などの方針・手続です。
誤解3:内部監査や定期評価を統制活動と見る
内部統制が有効に機能しているかを継続的に評価する活動は、モニタリングです。
統制活動は、日々の業務処理の中に組み込まれたチェックや承認手続として見ます。
誤解4:統制活動はセキュリティ製品を導入することだけである
統制活動は、技術製品の導入だけではありません。
承認権限の分離、入力内容の検証、処理結果の照合、例外処理の報告など、業務運用に組み込まれた管理手続も含めて考えます。
まとめ(試験直前用)
- 内部統制の基本的要素は、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応の6つです。
- 統制活動は、経営者の指示が実行されるようにする方針・手続です。
- 業務プロセスに組み込まれた承認、照合、検証なら統制活動を疑います。
- 脅威・脆弱性の分析はリスクの評価と対応、定期的な評価はモニタリングです。
- 迷ったら「業務の中で処理を正しく進めるチェックか」を見ます。