« 内部統制の構成要素比較 | Main | 内部統制が有効であるということ »

2006.07.31

内部統制の構成要素比較 日本語

 こんにちは、丸山満彦です。内部統制の構成要素(内部統制部会案の場合は基本的要素)の内容比較です。

・COSO:トレッドウェイ委員会組織委員会 内部統制の統合的枠組み(理論篇) 鳥羽至英、八田進二、高田敏文共訳 1996年 白桃書房
・COSO ERM:全社的リスクマネジメント(フレームワーク篇) 八田進二監訳、中央青山監査法人訳 2006年 東洋経済新報社
要約
・内部統制部会案:財務報告に係る内部統制の評価及び監査の基準のあり方について 2005年12月

 

COSO

ERM

内部統制部会案

components

1992

2004

2006

Control Environment

統制環境

要約:統制環境は組織の気風を決定し、組織を構成する人々の統制に対する意識に影響を与える。それは内部統制の他のすべての構成要素の基礎をなすとともに、規律と構造を提供する。統制環境に関係する要員には、事業体に属する人々の誠実性・倫理的価値観・能力、経営者の哲学・行動様式、権限と責任を従業員に割り当て、彼等を組織し、その能力を開発するために経営者が採用した方法、および取締役会が与えた注意と命令といった要因が含まれる。

内部環境

本章の要約:内部環境は、組織の気風を組み込み、組織を構成する人々のリスクに対する意識に影響を与えるとともに、ERMの他のすべての構成要素の基礎をなし、規律と構造を提供するものである。内部環境要因には、事業体のリスクマネジメントの考え方、リスク選好、取締役会による監視、事業体に属する人々の誠実性・倫理観・専門能力および経営者が権限と責任を従業員に割り当て、彼らを組織しその能力を開発する方法が含まれる。

統制環境

統制環境とは、組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニタリング及びITへの対応に影響を及ぼす基盤をいう。

統制環境としては、例えば、次の事項が挙げられる。

誠実性及び倫理観

経営者の意向及び姿勢

経営方針及び経営戦略

取締役会及び監査役又は監査委員会の有する機能

組織構造及び慣行

権限及び職責

人的資源に対する方針と管理

Risk Assessment

リスクの評価

要約:いずれの事業体も、事業体の内外で生じたさまざまなリスクに直面している。かかるリスクは評価されなければならない。リスクの評価を行う場合の前提は、統制目的を事業体レベルまたは活動レベルに結びつけるとともに、内部的に矛盾のないように設定することである。リスクの評価とは、統制目的の達成に関連するリスクを識別・分析することによって、そのリスクをいかに管理すべきかを決定するための基礎を提供することにある。経済の状況、業界の状況、規制の状況および事業活動の状況は変化し続けるであろうから、かかる変化に関連した特定のリスクを識別し、それに対処するための仕組みが必要である。

リスクの評価

本章の要約:リスクの評価は、事業体が、潜在的な事象が目的の達成に与える影響の程度を検討することを可能にするものである。経営者は、二つの考え方-発生可能性と影響度-で事象を評価する。また、経営者は、通常、定性的手法と定量的手法を組み合わせて使用する。潜在的な事象のプラス面およびマイナス面の影響度は、事業体全体にわたって、個々あるいはカテゴリーごとに検証させるべきである。リスクは、固有リスクおよび残余リスクの両方で評価される。

リスクの評価と対応

リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。

リスクの評価

リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。

リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。

リスクへの対応

リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。

リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転又は受容等、適切な対応を選択する。

Control Activities

統制活動

要約:統制活動は、経営者の命令が実行されているとの保証を与えるのに役立つ方針と手続である。統制活動は、事業体の統制目的の達成に関連するリスクに対処するため、必要な措置が講じられていることを保証するのに役立つ。統制活動は、組織全体を通じて、すべての組織階層において、そしてすべての経営職能においておこなわれるものである。それには、承認、権限の付与、検証、調整、業績の評価、資産の保全および職務の分離といった、広範囲の活動が含まれる。

統制活動

本章の要約:統制活動は、経営者のリスク対応策が実行されているとの保証を与えるのに役立つ方針および手続である。統制活動は、すべての階層やすべての機能部門で、組織全体にわたり新党している。統制活動には、承認、権限の付与、検証、照合、業績のレビュー、資産の保全および職務の分離など、多岐にわたる多様な活動が含まれる。

統制活動

統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続をいう。

統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。このような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内のすべての者において遂行されることにより機能するものである。

Information and Communication

情報と伝達

要約:事業体を構成する人々が自己の責任を果たしうるような形式と時間枠で、適切な情報が識別、補足そして伝達されなければならない。情報システムは、企業の経営と統制を可能にする報告書-これには、業務に関する情報、財務報告および法規の遵守に関する情報が含まれる-を生み出す。情報システムは、企業内部で発生するデータを処理するだけではなく、事情に通じた経営上の意思決定と外部報告を行ううえで必要とされる企業外部の事象、活動および状況についての情報も処理する。組織の上層から下層へ、横方向へ、そして下層から上層へ、というより広い意味において、効果的な情報伝達がなされなければならない。すべての経営管理者は、最高経営者から、統制責任は厳格に果たされなければならないとの明確なメッセージを受け取らなければならない。彼等は、また、自己の活動が他の業務とどのように関連しているのかを理解するだけでなく、内部統制システムにおける自分自身の役割も理解しなければならない。彼等は、組織の上層部に対して重要な情報を伝達するための手段を持たなければならない。また、顧客、納入企業、監督機関および株主といった、外部の関係者との間で効果的な伝達が図られなければならない。

情報と伝達

本章の要約:適切な情報は、人々がそれぞれの責任を遂行できるような形式および時間枠で、識別、補足そして伝達されるものである。情報システムは、内部で作成された情報および外部情報源からの情報を用い、リスクを管理し、目的に関連した、十分な情報に基づく意思決定のために必要な情報を提供するものである。有効なコミュニケーションはまた、組織内を縦横に(上から下へ、横に、また下から上に)行われるものである。組織内のすべての者は、トップマネジメントからの、ERMの実行責任は真剣に受け止められなければならないという明確なメッセージを受ける。組織内のすべての者は、ERMにおける各自の役割を理解し、同時に各自の活動がいかに他社の業務と関連しているか理解する。各自は、重要な情報を上司に伝達する手段を持っていなければならない。また、顧客、仕入れ業者、規制当局、株主など外部との有効なコミュニケーションも存在する。

情報と伝達

情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう。組織内のすべての者が各々の職務の遂行に必要とする情報は、適時かつ適切に、識別、把握、処理及び伝達されなければならない。また、必要な情報が伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内のすべての者に共有されることが重要である。

一般に、情報の識別、把握、処理及び伝達は、人的及び機械化された情報システムを通して行われる。

情報

組織内のすべての者は、組織目標を達成するため及び内部統制の目的を達成するため、適時かつ適切に各々の職務の遂行に必要な情報を識別し、情報の内容及び信頼性を十分に把握し、利用可能な形式に整えて処理することが求められる。

伝達

. 内部伝達

組織目標を達成するため及び内部統制の目的を達成するため、必要な情報が適時に組織内の適切な者に伝達される必要がある。経営者は、組織内における情報システムを通して、経営方針等を組織内のすべての者に伝達するとともに、重要な情報が、特に、組織の上層部に適時かつ適切に伝達される手段を確保する必要がある。

. 外部伝達

法令による財務情報の開示等を含め、情報は組織の内部だけでなく、組織の外部に対しても適時かつ適切に伝達される必要がある。また、顧客など、組織の外部から重要な情報が提供されることがあるため、組織は外部からの情報を適時かつ適切に識別、把握及び処理するプロセスを整備する必要がある。

Monitoring

監視活動

要約:内部統制システムは監視を必要とする。監視活動は、内部統制システムの機能の質を継続的に評価するプロセスである。監視活動は、日常的監視活動、独立的評価あるいはその両者の組み合わせを通じて行われる。日常的監視活動は業務の過程の中で行わせる。それは、通常の管理活動と監督活動、および経営管理者が事故の職務を果たす際に行うその他の活動を含んでいる。独立的評価の範囲と頻度は、基本的には、リスクの評価と日常的監視手続の有効性に基づいて決定される。内部統制上の欠陥は経営上層部に、そして特に重要な事項については、最高経営者と取締役会に報告されなければならない。

モニタリング

本章の要約:ERMは、常時モニターされる-長期にわたってERMの構成要素の存在の有無やそれらの機能を評価する。これらは継続的モニタリング活動、独立的評価、あるいはこれら二つの組み合わせを通して達成される。継続的モニタリングは、通常の経営活動の過程で発生する。独立した評価の範囲と頻度は主として、リスクの評価および継続的モニタリング手続の有効性によって決まることになろう。ERM上の欠陥は上層部へ報告され、深刻な事項はトップマネジメントと取締役会に報告される。

モニタリング

モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的評価がある。両者は個別に又は組み合わせて行われる場合がある。

日常的モニタリング

日常的モニタリングは、内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいう。

独立的評価

独立的評価は、日常的モニタリングとは別個に、通常の業務から独立した視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取締役会、監査役又は監査委員会、内部監査等を通じて実施されるものである。

評価プロセス

内部統制を評価することは、それ自体一つのプロセスである。内部統制を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要素を予め十分に理解する必要がある。

内部統制上の問題についての報告

日常的モニタリング及び独立的評価により明らかになった内部統制上の問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に情報を報告する仕組みを整備することが必要である。この仕組みには、経営者、取締役会、監査役等に対する報告の手続が含まれる。

 

 

 

ITへの対応

ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。

ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。

ITへの対応は、IT環境への対応とITの利用及び統制からなる。

IT環境への対応

IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要がある。

IT環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される。

ITの利用及び統制

ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。

ITの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになる。

|

« 内部統制の構成要素比較 | Main | 内部統制が有効であるということ »

Comments

質問があります。
社内でSOXのテストを担当している者です。
個人情報保護法のため、SOXのWalkthorughやテストで使う資料に対しても台帳管理をしなくてはならないのでしょうか?
物凄く大変で、監査どころではなくなってしまいそうです。
日本版SOXが始まったら、恐らく全ての企業がこの悩みに悩むと思いますが、世の動きはどんな感じなのでしょうか。
抜け道はないのでしょうかね。
よろしくお願いします。

Posted by: ECO | 2006.08.01 22:54

ECOさん、コメントありがとうございます。
評価シートに評価者の名称が記載されていて、そのフィールドを見れば個人情報データベースに該当し、経済産業省のガイドライン等で個人データについての台帳管理が求められていることから、ECOさんの悩みがでてきているのだろうと、勝手に想像していますが・・・

まず、経済産業省を例に規定されている内容を・・・
=====
③個人データの取扱い状況を一覧できる手段の整備をする上で望まれる事項
 個人データについて、取得する項目、通知した利用目的、保管場所、保管方法、アクセス権限を有する者、利用期限、その他個人データの適正な取扱いに必要な情報を記した個人データ取扱台帳の整備
 個人データ取扱台帳の内容の定期的な確認による最新状態の維持
=====
台帳管理は、安全管理措置をする対象を明確にするために行うもの(+利用目的管理にも利用できます)ですから、対象が明確になるように台帳に記載すれば目的は達成されるのだろうと思います。
 個人情報としての安全管理措置を高く講じなくてもよい情報は、どのような情報がどこにあり、誰が管理しているかがわかる程度にできる限りまとめて台帳に記載するなどの工夫をすれば、効率的に管理できるのかも・・・と思ったりしています。

Posted by: 丸山満彦 | 2006.08.03 05:50

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 内部統制の構成要素比較 日本語:

« 内部統制の構成要素比較 | Main | 内部統制が有効であるということ »