COSO ED Guidance on Monitoring Internal Control Systems

　こんにちは、丸山満彦です。COSOがGuidance on Monitoring Internal Control Systemsの公開草案を公表していますね。。。締め切りは8月15日、秋には確定版ができるような感じですね。。。

　目的は
＝＝＝＝＝
・ To help organizations improve the effectiveness and efficiency of their internal control1 systems..
・ To provide practical guidance that illustrates how monitoring can be incorporated into an organization’s internal control processes.
＝＝＝＝＝
　ということのようですね。。。

　フレームワークは
＝＝＝＝＝
Establish a Foundation
> Tone from the top
> Organizational structure
> Baseline understanding of internal control effectiveness

Design & Execute
> Prioritize risks
> Identify controls
> Identify persuasive information about controls
> Implement monitoring procedures

Assess & Report
> Prioritize findings
> Report results to the appropriate level
> Follow up on corrective action
＝＝＝＝＝

　監査に関係する団体がいくつかあるので、COSOのこの報告書はきになるところでしょうね。。。

　ロジカルに整理されすぎると、重装備になる可能性もありますかね。。。

　

【COSO】
・2008.006.09 EXPOSURE DRAFT: Guidance on Monitoring Internal Control Systems

・・News Release
・・Letter from the Chairman
・・Volume I - Executive Summary
・・Volume II - Main Guidance
・・Volume III - Application Techniques
・・make your comments
・・Review discussion Document comments
・・・ compilation

・・・Center for Audit Quality.pdf
・・・Deloitte.pdf
・・・Drs Simone Heidema & Erick Noorloos.pdf
・・・Ernst & Young .pdf
・・・FEI TFM.pdf
・・・GAO.pdf
・・・ISACA.pdf
・・・The IIA.pdf
・・・IIA-UK.pdf
・・・Janos Ivanyos - IIA Hungary.pdf
・・・KPMG.pdf
・・・Mario Micallef.pdf
・・・NYSSCPA.pdf
・・・Oversight System.pdf
・・・Paisley.pdf
・・・Pfizer.pdf
・・・PricewaterhouseCoopers.pdf
・・・Walter Deffaa & Philip Mitchell.pdf

【参考】このブログ
・2007.09.15 COSO Guidance on Monitoring Internal Control Systems
・2006.10.21 COSO モニタリングのガイダンス策定の公募がでていますね

Comments

さて、COSOのモニタリングフレームワークですが、Volume 3 のExampleはまだ読んでないものの、フレームワーク自体は、当り前のことをきれいに整理してあるな、という印象です。その通りにできれば、素晴らしいのでしょうが、実際は難しい点が多々ありそうです。

たとえば、"tone from the top"とありますが、モニタリングの概念自体が理解しづらいので、"tone from the top"もなにもあったものではない、という気はします。J-SOXにおいても、日常的モニタリング/独立的モニタリングの区別がついていない方は多いと思います。こんな状態で、"tone from the top"が期待できるとは思えません。

本日の国際フォーラムにおける丸山先生の講演でもありましたが、部長クラスの月次で行われる高次のコントロールは、統制活動であり、かつ日常的モニタリングとしても機能するので、経営者としてはこういったコントロール兼モニタリングに依拠するのが合理的です。でもそれを強調する人は少ないでしょう。どうもコントロール兼モニタリングというのが、今ひとつ理解されないような印象があります。

また、"Prioritize risks"といっても、特に業務プロセスの部分ですが、リスクに順位付けをするという発想は実務で全く浸透していないと思います。たしかに、リスクの影響度を順位付けしている企業は多いと思いますが、それとモニタリングを関連付ける発想はほとんどないのではないでしょうか？

COSOの出すフレームワークは、具体例を取り込む姿勢が強く出ていて、日本の実施基準に比べるとかなり親切です。しかし、そうはいってもフレームワークである以上、抽象度は高いので、「理屈はよいから具体的に何をすればよいのか示してくれ」という日本人気質にはそぐわない気がします。

とはいえ、このフレームワークを基に重装備の内部統制を整備したところがあったとしても、それはフレームワーク自体の欠陥ではないと思います。ちょうど実施基準と82号が幅広い解釈を許容しているのに、実務対応で窮屈な解釈になってしまうのと同じようなことだと思います。

ケチを付けておりますが、効率的な内部統制を考える一助になるとは思いますし、身の丈にあった内部統制を整備・運用したい方には有用だと思います。

しかし、本番年度の対応で追われている企業にとっては、実際の作業が忙しくてCOSOのフレームワークなぞ見ている暇もない、ということでしょう。原文が公開されたばかりなので、日本語訳もないことですし。

Posted by: FN | 2008.06.13 23:14

FNさん、コメントありがとうございます。シンポジウムでもわざわざご挨拶ありがとうございました。。。
　私もざーっと眺めただけです。。。いずれちゃんと読もうと思っています。。。

　ちなみに、日本人というのはこのようなフレームワークを作るのが苦手ではないかと思うんですよね。。。監査論や会計学だってほとんどが海外の翻訳ですよね。。。あらたなフレームワークをつくれない。。。
　たしかに、フレームワークというのはそのままでは実務に役に立たないのですが、新たな状況に対応する場合にはフレームワークから出発すると早く適切にできますよね。。。
　「理屈はよいから具体的に何をすればよいのか示してくれ」というのは、
「私は頭が悪くて考えることができないので、答えを教えてくれ」ということですよね。。。
　自分の能力のなさをさらけ出しているように思えるので、このようなことはあまりいわないほうがよいでしょうね。。。

Posted by: 丸山満彦 | 2008.06.15 09:17