COSOモデルから学ぶ 内部統制の考え方:丸山満彦の「内部統制」講座(2/3 ページ)
内部統制に関する共通の定義付けをした事実上の国際標準がCOSOレポートだ。SOX法制定後の内部統制監査の原則的な基準として採用されている。今回はCOSOモデルから内部統制を学ぼう。
内部統制の構成要素
内部統制の構成要素は、「統制環境」「リスクの評価」「統制活動」「情報と伝達」「監視活動」の5つである。内部統制は、会社の経営管理活動における1プロセスである。COSOレポートでは、経営管理活動のプロセスとして表1に示す10項目を挙げ、それと内部統制の関係を示している。
COSOの構成要素
統制環境
統制環境は、リスクの評価、統制活動、情報と伝達、監視活動など、内部統制のほかの構成要素の基礎で、人の属性と人が業務を遂行する環境といえる。統制環境に関連する内容には表2のようなものがある。
リスクの評価
これには、その識別と分析(頻度と影響の大きさ)が含まれる。リスクの識別は、事業体レベルと活動レベルで行われる。事業体レベルのリスクに関連する内容には、以下が考えられる。
- 自然災害による業務や情報システムの停止
- 新しい法律の施行
- 活発でない取締役会
活動レベルのリスクとして、例えば「十分な量の原材料在庫の確保」という目標については次のようなものが考えられる。
- 調達した原材料が所定の仕様を満たさない
- 必要量の原材料が期限内に引き渡されない
こうした活動レベルのリスクを識別した後、それを分析し、具体的な内部統制活動を選択する。
また、COSOレポートでは環境変化の識別もリスクの評価に含まれている。つまり、環境変化(急速な事業の成長や海外事業の拡大など)によって事業体のリスクが変化するからである。リスクの評価は現状のリスクを静的に行うのではなく、将来をも踏まえた動的な視点が必要となる。
なお、リスク管理の重要性に対する社会的認識の高まりを受け、COSOは2004年、COSOレポートとの関係などを含めた「Enterprise Risk Management-Integrated Framework」を公表した。
Copyright © ITmedia, Inc. All Rights Reserved.