統制自己評価（CSA）は1987年にガルフ・カナダ社により開発された手法です。同社での取り組みがその後、米国や英国などで普及していったといわれています。

管理策を巡っては、「どのような管理策が必要かを考える者」「どの管理策にするかを決める者」「決まった管理策を順守する者」「管理策が有効に機能しているかを評価する者」という役割分担があります。統制自己評価（CSA）が登場する以前の、いわゆる“伝統的なリスクマネジメント手法”では、その役割をそれぞれ別の組織が担っていました。一方、統制自己評価（CSA）では、これらの役割を現場すなわち、管理策を順守する立場にある部門自らが担います。

以下に、伝統的なリスクマネジメントアプローチと、統制自己評価（CSA）を導入したものを図示します。

統制自己評価（CSA）では、従来は内部監査組織などが担ってきた活動を、現場に近い部門に任せることになります。内部監査組織にとっては負荷が軽減し、浮いた内部監査リソースをより重要なエリアに振り向けることができます。つまり、組織全体で見れば、さらに効果的な管理策の評価・改善活動につなげることができます。他方、守るべき管理策を自分たちで考え、評価・改善していくことは、現場部門にリスクやリスクマネジメント活動を、“自分ごと”として捉える良いきっかけになります。

一方、デメリットもあります。自分たちが守るべきルールを自分たちで考え、評価し、見直すということは、現場に権限を委譲することでもあるため、組織に信頼関係がなければできません。したがって、社員の入れ替わりが激しいような、人のロイヤリティが薄い組織に統制自己評価（CSA）を導入しても、機能を発揮できないでしょう。また、統制自己評価（CSA）を実行する組織では、現場の従業員にリスクマネジメントに関する知識や技量が必要になります。スキルが伴わない状態で統制自己評価（CSA）を導入しても、管理策やリスクマネジメント活動は形骸化してしまいます。

以下は統制自己評価（CSA）の主なメリット・デメリットです。

統制自己評価（CSA）の導入を検討するときの一般的な流れを説明します。以下の１~４の段階を踏むことで、組織に統制自己評価（CSA）を導入できます。

1.統制自己評価（CSA）の導入目的・組織の決定

リスクマネジメントに関わる活動は、組織のいたるところで行われています。様々なリスクに対し、様々な手法・フレームワークを用いて行われているでしょう。統制自己評価（CSA）のメリット・デメリットを勘案し、そうしたリスクマネジメント活動のどの部分に統制自己評価（CSA）を導入するかを決めます。

たとえば、ITガバナンスや運用管理で有名なフレームワーク「COBIT」や、NIST（米国国立標準技術研究所）のサイバーセキュリティフレームワークに適用することができます。また、財務報告の信頼性の確保を狙ったJ-SOXにおけるCOSO内部統制や全社的なリスクマネジメントのCOSO-ERM、ISO31000などのフレームワークの一部または全部に、統制自己評価（CSA）を取り込むことができます。一例としてJ-SOX対応に取り込む場合では、内部統制の評価は通常、内部監査室などが担うことが一般的ですが、統制自己評価（CSA）を導入すると、内部統制ルールを守る業務部門自体が評価活動を実施するようになります。

2.統制自己評価（CSA）の導入準備（組織体制の確立やCSAのプロセスの設計）

統制自己評価（CSA）を運用する組織体制やプロセス（工程）を決めます。まず、組織体制を構成する部署・部門の一例を以下に挙げます。

次に、統制自己評価（CSA）のプロセスの例を挙げます。

プロセスの実行方法には、いくつか手法があります。典型的な方法として「調査票／アンケート形式」やワークショップ形式、マネジメントによる分析形式などがあります。「調査票／アンケート形式」は、広範囲をカバーする際に、特にその威力を発揮します。ただし、調査を一挙に行うことができるメリットがある反面、書面でのやりとりになるため、どうしても本音を拾いにくい・意識醸成につながりにくいといった弱点があります。

ワークショップ形式はいわゆる“ワイガヤ形式”で、関係者が一堂に会してアウトプットを出す方式です。本音を拾い上げやすい・意識醸成につながりやすいといった強みを持つ反面、ワークショップにおけるファシリテーションスキルが求められるため、きちんとした準備を行わずに関係者を集めても、うわべだけの議論で終わってしまう可能性もあります。

3.統制自己評価（CSA）の導入・運用

統制自己評価（CSA）プロセスの実行には、メンバーに時間の捻出と一定の知識・技量が求められるため、入念な準備活動が必要です。たとえば、統制自己評価（CSA）の実施手法を解説したガイドラインを用意したり、時間を捻出してもらわなければならない理由を説くための説明会を開催したりします。

4.統制自己評価（CSA）活動の監視・測定・評価・改善

統制自己評価（CSA）を導入すると、現場で統制自己評価（CSA）プロセスに関するPDCAサイクルを回すことになります。ただし、統制自己評価（CSA）プロセス自体の改善活動も必要となるため、内部監査室などが第三者的な立場から監査し、評価・改善活動につなげていきます。具体的には、統制自己評価（CSA）を実行する組織がそれを忠実に実行できているのか、また、その実施手法は効果的・効率的なのかなど、統制自己評価（CSA）が有効に機能しているかどうかを検証します。

繰り返しになりますが、統制自己評価（CSA）は現場の従業員にそれなりの力量や作業時間を求めるものです。それゆえ、段階的な導入を進めていくことも一つの手です。特定のテーマに絞って、まずそこだけに統制自己評価（CSA）を導入してみる、ということもできます。例えば、「直接的に現金を扱う業務が多く、横領がなかなか減らない」という組織の場合には、現金管理に関わるリスクにのみ焦点を絞って統制自己評価（CSA）を導入します。

現場だけでなく、統制自己評価（CSA）の設計やその導入を推進する側（事務局的機能を果たす部門）にも、リスクマネジメントの力量が求められます。導入時には、外部専門家（コンサルティング）の力に頼ることも手ですが、組織の中でそういった人材育成に努めることもできるでしょう。たとえば、統制自己評価（CSA）に関する資格で、公認リスク管理監査人（CRMA：The Certification in Risk Management Assurance）があります。これはIIAが認定する国際的な資格であり、統制自己評価（CSA）に関する知識と実施スキルの修得を証明するものです※。こうした資格の取得を社内で推進することも有効な手段と言えるでしょう。

※かつての内部統制評価指導士（CCSA）は公認リスク管理監査人（CRMA）に統合されました。詳しくは、IIAホームページをご覧下さい