サービスマネジメント - 16.システム監査 - 2.内部統制 - 1.内部統制

Last Update : January 02 2021 16:00:43

     

a. 内部統制

内部統制とは、一般に企業などの組織内部において、違法行為や不正、ミスやエラーなどが行われることなく、組織が健全かつ有効・効率的に運営されるよう各業務で所定の基準や手続きを定め、それに基づいて管理・監視・保証を行うこと。そのための一連の仕組みを内部統制システムという。

COSOフレームワーク
COSOフレームワークとは、1992年に米国トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of Treadway Commission)が作成した、事実上世界基準となっている、内部統制のフレームワーク(基本的枠組み)のこと。企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査の基準案」は、日本版COSOフレームワークと呼ばれている。
 COSOフレームワークでは従来、財務報告の適正性を目的とする活動としてとらえられていた内部統制概念を一新し、コンプライアンスや経営方針・業務ルールの遵守、経営および業務の有効性・効率性の向上などより広い範囲を対象とした。
COSOでは内部統制を達成するために、3つの目的と5つの構成要素が定義されている。

  • 業務の有効性および効率性(業務活動)
  • 財務報告の信頼性(財務報告)
  • 関連法規の遵守(コンプライアンス)

3つの目的を定めている。
この3項目を評価し、不正やごまかしのない、健全な企業を構築、評価するために、

  • 統制環境
  • リスク評価
  • 統制活動
  • 情報と伝達
  • モニタリング(監視活動)

という 5 つの要素が設定されている。
これら 5 つの構成要素が経営管理の仕組みに組み込まれて一体となって機能することで、企業目的を達成するために欠かせない内部統制の仕組みを構築することができる。

日本版COSOフレームワーク
日本のCOSOでは、目的に「資産の保全」、構成要素に「IT統制」が追加され4つの目的と6つの構成要素が定義されている。

目的

  • 業務の有効性および効率性(業務活動)
  • 財務報告の信頼性(財務報告)
  • 関連法規の遵守(コンプライアンス)
  • 資産の保全

構成要素

  • 統制環境
  • リスク評価
  • 統制活動
  • 情報と伝達
  • モニタリング(監視活動)
  • IT統制

IT統制
IT統制は、情報システムなどITを用いた企業の業務活動を監視、記録、管理して健全性を保証する活動のこと。
健全性を保証するには、データ入力の誤りや不正が発生しないよう予防する統制と、予防したにもかかわらず発生してしまったものを発見して取り除く統制が必要になる。

COSO ERM フレームワーク
COSOにより、2004年9月に公表された全社的リスクマネジメントに関するフレームワークである。事業活動にともなう不確実性とそれに付随するリスクや事業機会への対応力を強化することにより、経営者に事業目的の達成に関する合理的な保証を与えることを目的として作成された。
COSO ERMは、内部統制フレームワークよりも広範な領域をカバーし、よりリスクに焦点を当て、内部統制のフレームワークを発展させて作り上げられた。
 COSOは内部統制システムを有効に機能させるため、企業組織のリスクと機会を全社横断的・継続的に評価・改善していくフレームワークを開発するプロジェクトを2001年に発足させ、プライスウォーターハウス・クーパースに委託した。その結果は、「Enterprise Risk Management - Integrated Framework」(エンタープライズ・リスクマネジメント-統合的枠組み)という報告書にまとめられ、2004年に公表された。これが俗に“COSO ERMフレームワーク”と呼ばれるもので、経営や戦略の視点からリスク許容度を設定・コントールすること、個々のリスクをポートフォリオの観点から統合管理することを提唱している。
COSO ERMフレームワークは、内部統制フレームワークを代替するものではなく、これを内包して範囲を拡大したものである。
ERMフレームワークには、「4つの組織の目標」と「8つの構成要素」、そして事業体(全体)や部署(部分)といった「適用範囲」があり、それらが立方体(キューブ)の関係にあると紹介されている。COSOフレームワークに比べると、目的に「戦略」が追加され、構成要素に「目的設定」が加わって「リスク評価」が「事象認識」「リスク評価」「リスク対応」に分割・詳細化されている。

4つの目標

  • 戦略
  • 業務活動
  • 財務報告
  • コンプライアンス

8つの構成要素

  • 内部環境
  • 目的設定
  • 事業認識
  • リスク評価
  • リスク対応
  • 統制活動
  • 情報とコミュニケーション
  • 監視活動

【 CSA 】(Control Self Assessment : 統制自己評価)
リスクマネジメントまたは内部統制等に関する統制活動の有効性について、業務運営のなかで統制活動を担う人々が自らの活動を主観的に検証・評価する手法です。
内部監査や外部監査のように独立した「第三者」が客観的に評価するのではなく、リスクに対するコントロールを実際に維持・運用している人々自身が、その有効性について評価・分析も行うことが特徴となっています。
CSAにはさまざまな手法・ツールが用意されています。それらは、ワークショップやグループディスカッションなどによる「セッション型」と、チェックリストやアンケートを用いる「質問書型」の2つに大別することができます。両者には以下のような特徴(メリット・デメリット)があります。


  [ 例題 ] 
  1. 平成27年度春期 問59  内部統制
  2. 平成22年度春期 問60  内部統制
  3. 平成21年度春期 問60  IT統制
  4. 平成21年度秋期 問59  セキュリティコントロール


     

www.it-shikaku.jp