4/5【COSO:5回シリーズ(第4回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか
第1~3回まで、COSOの重要性や、リスク管理と内部統制の違いについて解説してきました。第4回では、そもそも「COSOとは何か?」について、内部監査人として、押さえるべき重要ポイントを解説します。
第1回:はじめに(健康診断のメタファー)
1/5【COSO:5回シリーズ(第1回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか|TAIZO (note.com)
第2回:COSOの特徴と内部監査人にとっての重要性
2/5【COSO:5回シリーズ(第2回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか|TAIZO (note.com)
第3回:リスク管理と内部統制の違い
3/5【COSO:5回シリーズ(第3回)】 内部監査人は、なぜCOSOを理解・習得する必要があるのか|TAIZO (note.com)
第4回:COSO内部統制フレームワークとは
1.背景・経緯
内部統制システムの構築・評価に活用:1992年に公表されて以来、本フレームワークは、内部統制の世界的な基準として広く認知されてきました。2013年には近年のビジネス環境の変化や複雑化に対応すべく、大幅な改訂が行われています。現在では、様々な組織において、ビジネス環境に適応した内部統制システムの構築と評価に活用されています。
本フレームワークが策定された背景・経緯の詳細については、以下の「エグゼクティブ・サマリー」をご覧ください(※COSOの重要性を再認識する上で非常に有用です)。
2.フレームワークの基本構造
本フレームワークは、3つの目的カテゴリーと5つの構成要素を基本構造としています。
3つの目的カテゴリー:
業務:業務の有効性と効率性の追求、および資産の保全
報告:財務報告および非財務報告の信頼性確保
コンプライアンス:法令等の遵守
5つの構成要素:
上記の目的を達成するために、5つの構成要素が定義されています。さらに、各構成要素には、17の原則と関連する87の着眼点が設けられています。
統制環境: 5原則・20着眼点
リスク評価: 4原則・27着眼点
統制活動: 3原則・16着眼点
情報と伝達: 3原則・14着眼点
モニタリング活動:2原則・10着眼点 (※”内部監査”が含まれる)
内部監査人は、内部統制の3つの目的や5要素だけでなく、17の原則と87の着眼点を理解・習得することがキーとなります!(※87の着眼点は以下の書籍の中で解説されています。)
なお、皆様のお馴染みのCOSOキューブは、3つの目的と5つの構成要素の関係性を視覚的に表現しており、組織のあらゆるレベルと部門に内部統制が浸透することの重要性を示しています。
3.内部監査人が押さえるべき重要ポイント
COSOの内部統制フレームワークは、5つの構成要素が相互に関連し、統合的に機能することで効果的な内部統制を実現します。内部監査人には、これらの要素の相互作用を理解し、組織全体の内部統制の有効性を評価することが求められます。
以下に、「組織目標の達成」を共通テーマに設定した、5つの構成要素を統合的に活用するアプローチを示します:
1.統制環境:内部監査は組織基盤の適切性を評価
• 組織目標の達成に向けた組織基盤の構築
• 経営理念・組織風土を通じた目標達成の意識の醸成
2.リスク評価:内部監査はリスク評価プロセスの妥当性・網羅性を評価
• 目標達成を阻害する要因の特定・分析・評価
• 目標達成のための優先順位付け
3.統制活動:内部監査は統制の設計・運用の有効性を評価
• リスクへの対応のための方針・手続きの整備・実行
• 目標達成の確実性を高める
4.情報と伝達:内部監査は情報と伝達の適時性・正確性を評価
• 目標達成に必要な情報の適時・適切な伝達
• 活動の調整と進捗管理の実現
5.モニタリング活動:内部監査は「組織目標の達成」全体の有効性を評価
• 他の4要素の機能の発揮状況と目標達成への貢献度評価
• 必要に応じた改善提案
上記のアプローチを一連の流れで示すと以下のようになります。
統制環境で構築された目標達成に向けた基盤や醸成された意識に基づき、
リスク評価で目標達成を阻害する要因を特定・分析・評価し、
統制活動でそれらのリスクへ対応の具体的な方針や手続きを実施し、
情報と伝達を通じてその施策の実施状況や結果を適時・適切に共有し、
モニタリング活動でその全体のプロセスの有効性を評価し、必要に応じて改善を促します。
そして、モニタリング活動の結果は再び統制環境にフィードバックされ、必要に応じて組織の目標や方針の見直しにつながります。
このサイクルが継続的に回ることで、組織は常に目標達成に向けて自己改善を行うことができます。
このような流れを理解することで、内部監査人は各要素が組織目標の達成にどのように貢献しているかを総合的に評価し、より効果的な監査を行うことができます。
次回・第5回(最終回)は、本フレームワークを活用した情報漏洩リスクへの対応例を解説します。
第5回:COSOフレームワークの活用(例:情報漏洩リスクへの対応)
さいごに(まとめ)
【おまけ】自己評価チェックリスト
この記事が気に入ったらサポートをしてみませんか?