基本情報 平成30年度 春期 問69：ストラテジ系に関する問題

答えは d「経営者」 です。

内部統制＝会社が「ちゃんとルール通りに運営されてる」ことを保証する仕組み。

金融商品取引法（J-SOX）で、最終責任は経営者（社長・取締役）が持つ、と定められています。経営者がトップとして整備・運用に責任を負う、というのが基本ルール。

👉 覚え方：内部統制の最終責任＝トップ＝経営者！

ほかの選択肢：a 株主＝経営者を選任する立場／b 監査役＝経営者の活動を監督する立場／c 業務担当者＝実行する立場で最終責任ではない。

なぜこれが正解か

正解は d。上場企業の内部統制（特に金融商品取引法に基づくJ-SOX）において、整備・運用に最終的な責任を負うのは経営者（代表取締役、CEO、社長）。金融商品取引法第24条の4の4で、経営者は「内部統制報告書」を提出する義務があり、その内容に責任を負う。

各選択肢の解説

• a 株主：会社の所有者だが、経営陣を選任する立場で、内部統制の運用責任は負わない（モニタリング機能）。
• b 監査役：経営者の業務執行を監督する立場。内部統制の有効性を評価・監査するが、整備運用の最終責任者ではない。
• c 業務担当者：内部統制を実行する立場で、現場での運用に責任を持つが、整備運用の最終責任者ではない。
• d 経営者：整備・運用に最終責任 → 正解。

覚え方・ひっかけ注意

コーポレートガバナンスの3層構造：

• 株主：所有者、究極の意思決定者。
• 取締役会：経営方針決定、経営者監督。
• 経営者（執行役）：日常業務執行、内部統制の整備運用。
• 監査役（または監査委員会）：独立した立場で監査。

本問は整備・運用の最終責任を問うており、これは経営者の責任。

内部統制の法的根拠

日本

• 金融商品取引法（2008年施行のJ-SOX）：上場企業に内部統制報告書の提出を義務化。経営者が評価し、外部監査人（公認会計士・監査法人）が監査。
• 会社法：大会社等に内部統制システムの構築義務（取締役会決議）。
• 金商法 vs 会社法：金商法は財務報告の信頼性、会社法は業務全般。

米国

• SOX法（Sarbanes-Oxley Act、2002）：エンロン・ワールドコム事件後の制定。CEO/CFOの個人責任明記、罰則強化。

内部統制の4目的（金融庁実施基準）

1. 業務の有効性および効率性

2. 財務報告の信頼性（J-SOX の中心）

3. 事業活動に関わる法令等の遵守（コンプライアンス）

4. 資産の保全

内部統制の6つの基本的要素（COSO + 日本追加）

1. 統制環境（control environment）

2. リスクの評価と対応

3. 統制活動（control activities）

4. 情報と伝達（information and communication）

5. モニタリング（monitoring）

6. IT（情報技術）への対応（日本独自項目）

IT全般統制（ITGC）

J-SOX では財務報告に関連するシステムのIT全般統制（IT General Controls）が重点監査対象：

• システム開発・変更管理：要件定義から本番反映まで適切な承認・テスト・ドキュメント化。
• 運用管理：バッチジョブ管理、バックアップ、障害対応。
• アクセス管理：ID/権限の付与・削除・棚卸し、特権ID管理。
• アウトソーシング先管理：SOC 1/SOC 2/ISMAP等の第三者保証レポート活用。

3線防衛モデル（Three Lines of Defense）

• 第1線：現場の自己管理（業務部門）
• 第2線：リスク管理部門による監督（リスク管理、コンプライアンス）
• 第3線：内部監査の独立評価

各線とも経営者の指揮下にあるが、第3線は監査役・取締役会への報告ラインも保持。

試験での位置づけ

FE「ストラテジ／コーポレートガバナンス・内部統制」分野で頻出。応用情報・ITストラテジスト・システム監査では中核知識。システム監査基準、システム管理基準、COSO ERM、COBITは実務でも必須。

内部統制報告書の作成プロセス

1. 評価対象の決定：重要な勘定科目・業務プロセスのスコーピング。

2. 業務プロセスの文書化：フロー図、業務記述書、リスク・コントロール・マトリックス（RCM）。

3. 整備状況評価：統制が適切に設計されているか。

4. 運用状況評価：統制が継続的に運用されているか（サンプリングテスト）。

5. 不備の評価：重要な不備（material weakness）の有無判定。

6. 報告書作成・提出：金融庁へ。

近年の動向

• ESG/サステナビリティ報告：気候変動関連リスク（TCFD）、人的資本（ISO 30414）等の非財務情報開示拡大、内部統制範囲拡張。
• AI/ML時代の内部統制：AIモデルの管理・モニタリング、データガバナンス。
• サイバーセキュリティ開示：米SEC 2023年規則化、日本も追随議論中。

選択肢の発展補足

bの監査役は会社法で必置（一定規模以上）、会計監査人とは別。監査等委員会設置会社、指名委員会等設置会社等のガバナンス形態で監査役の役割は変化。aの株主は近年アクティビスト株主として内部統制改善要求を強める動きあり、ガバナンスコードで対話促進。スチュワードシップ・コードは機関投資家側の責務を規定し、企業側のコーポレートガバナンス・コードと対をなす。