COSOモデルから学ぶ 内部統制の考え方：丸山満彦の「内部統制」講座（2/3 ページ）

[丸山満彦，N+I NETWORK Guide]

内部統制の構成要素

　内部統制の構成要素は、「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」の5つである。内部統制は、会社の経営管理活動における1プロセスである。COSOレポートでは、経営管理活動のプロセスとして表1に示す10項目を挙げ、それと内部統制の関係を示している。

経営管理活動のプロセス

COSOの構成要素

統制環境

　統制環境は、リスクの評価、統制活動、情報と伝達、監視活動など、内部統制のほかの構成要素の基礎で、人の属性と人が業務を遂行する環境といえる。統制環境に関連する内容には表2のようなものがある。

統制環境の関連内容

リスクの評価

　これには、その識別と分析（頻度と影響の大きさ）が含まれる。リスクの識別は、事業体レベルと活動レベルで行われる。事業体レベルのリスクに関連する内容には、以下が考えられる。

• 自然災害による業務や情報システムの停止
• 新しい法律の施行
• 活発でない取締役会

　活動レベルのリスクとして、例えば「十分な量の原材料在庫の確保」という目標については次のようなものが考えられる。

• 調達した原材料が所定の仕様を満たさない
• 必要量の原材料が期限内に引き渡されない

　こうした活動レベルのリスクを識別した後、それを分析し、具体的な内部統制活動を選択する。

　また、COSOレポートでは環境変化の識別もリスクの評価に含まれている。つまり、環境変化（急速な事業の成長や海外事業の拡大など）によって事業体のリスクが変化するからである。リスクの評価は現状のリスクを静的に行うのではなく、将来をも踏まえた動的な視点が必要となる。

　なお、リスク管理の重要性に対する社会的認識の高まりを受け、COSOは2004年、COSOレポートとの関係などを含めた「Enterprise Risk Management-Integrated Framework」を公表した。