システム監査(3) 内部統制のフレームワーク
内部統制の目的、プロセス、要素については、世界的に標準化されたフレームワークがあります。横軸に目的、縦軸に要素、それを部門別に配置したCOSO CUBEと言われるものです。
COSOとは、トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of the Treadway Commission)の略称で、1980年代から米国での経営破綻が社会問題となり、米国公認会計士協会が働きかけて作られたものです。前述の「財務報告に係る内部統制の評価及び監査の基準」は、このCOSOフレームワークを踏まえ、各要素に共通の内容として「ITの対応」を要素として加えたものとなります。
統制環境とは、内部統制を実行する環境ですが、組織文化・経営者の考えなどのことです。
リスクの評価と対応は、内部統制のためのリスクを把握し、何のリスクに対してどのような対応をとるか、方針を固めることです。
統制活動は、リスクに対する施策に基づき、ルールを作り、そのルールを実践することです。
情報と伝達は、統制活動が実施されるための、組織における指示・報告・共有です。指示は上から下へ、相談は下から上へ、共有は組織間・メンバー間の横の連絡となります。
モニタリングは、統制活動が機能しているか、確認していく作業となります。
COSOフレームワークは非常によくできており、いろいろなところに登場します。内部統制の基本ですので、覚えておきたいと思います。