内部統制の構成要素は、「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」の5つである。内部統制は、会社の経営管理活動における1プロセスである。COSOレポートでは、経営管理活動のプロセスとして表1に示す10項目を挙げ、それと内部統制の関係を示している。
統制環境
統制環境は、リスクの評価、統制活動、情報と伝達、監視活動など、内部統制のほかの構成要素の基礎で、人の属性と人が業務を遂行する環境といえる。統制環境に関連する内容には表2のようなものがある。
リスクの評価
これには、その識別と分析(頻度と影響の大きさ)が含まれる。リスクの識別は、事業体レベルと活動レベルで行われる。事業体レベルのリスクに関連する内容には、以下が考えられる。
活動レベルのリスクとして、例えば「十分な量の原材料在庫の確保」という目標については次のようなものが考えられる。
こうした活動レベルのリスクを識別した後、それを分析し、具体的な内部統制活動を選択する。
また、COSOレポートでは環境変化の識別もリスクの評価に含まれている。つまり、環境変化(急速な事業の成長や海外事業の拡大など)によって事業体のリスクが変化するからである。リスクの評価は現状のリスクを静的に行うのではなく、将来をも踏まえた動的な視点が必要となる。
なお、リスク管理の重要性に対する社会的認識の高まりを受け、COSOは2004年、COSOレポートとの関係などを含めた「Enterprise Risk Management-Integrated Framework」を公表した。
Copyright © ITmedia, Inc. All Rights Reserved.