リスク管理Naviリスクマネジメントのワンストップ情報サイト

用語集

CSA

2015年12月03日

CSAは、Control Self-Assessmentの略称であり、日本語では“統制自己評価”とも呼ばれます。組織における管理策(コントロール/統制)の有効性を、それを実施する部門自らが評価・改善を行う体系的なリスクマネジメント手法のことです。ちなみに、国際内部監査協会(IIA)では次のように定義しています。

参考資料1:CSAの定義
CSA is a process through which internal control effectiveness is examined and assessed. The objective is to provide reasonable assurance that all business objectives will be met(CSAは、内部統制の有効性をテストし評価するプロセスである。目的は、ビジネス全ての目的が達成されるであろうと言う合理的な保証を与えることにある。)
※出典:Professional practices pamphlet 98-2, A perspective on Control Self-Assessment, IIA

ところで、リスクマネジメントでは、「どんな管理策が必要かを考える者」「どんな管理策にするかを決める者」「決まった管理策を順守する者」「管理策が有効に機能しているかを見る者」などといった役割が求められます。こうした役割を、CSAが登場する以前※の、いわゆる“伝統的なリスクマネジメント”では、それぞれ企業内部の別々の組織が担うことが一般的でした。CSAの考え方では、これらの役割を現場すなわち、管理策を順守する立場にある部門自らが担うことを想定しています。言い替えれば、より現場に近い場所で、リスクマネジメントの継続的改善の仕組み、言わばミニPDCA…を回すような考え方と言えるでしょう。

【図: 伝統的なリスクマネジメントアプローチ】

1443_ext_05_2.png

【図: CSAのリスクマネジメントアプローチ】 csa

1443_ext_05_3.png

※CSAは、1987年にガルフ・カナダ社により開発された考え方です。

CSAのメリット・デメリット

CSAでは、従来は内部監査組織などが担ってきた活動を、現場に近い部門に任せることになります。つまり、内部監査組織にとっては、負荷の軽減につながります。その分の浮いた内部監査リソースを、より重要なエリアに振り向けることができるので、組織全体で見れば、さらに効果的な管理策の評価・改善活動につなげることができます。一方で、守るべき管理策を、自分たちで考え、評価し、改善につなげていくことは、現場部門としては、リスクやリスクマネジメント活動を、“自分ごと”として捉える良いきっかけになるのです。

もちろん、メリットばかりではありません。自分たちが守るべきルールを自分たちで考え、評価し、見直してもらう・・・ということは、それだけ権限を委譲することにもなるわけで、それは組織の中で“信頼関係”がなければできないことです。したがってたとえば、頻繁に新しい人が入ってくる(あるいは、すぐに人が辞めてしまう)ような、人のロイヤリティが薄い組織にCSAを導入しても、機能しないことは容易に想像がつきます。また、CSAを実行する組織では、ある程度リスクマネジメントに関する知識や技量が必要になります。スキルが伴わない状態でCSAを回すことは、管理策やリスクマネジメント活動を形骸化させてしまいます。

参考までに、CSAの主なメリット・デメリットを以下にまとめておきます。

メリット
  • 組織全体でリスクマネジメントを“自分ごと”として捉えられるようになる(➡コンプライアンスのようなハードよりソフト的対策が必要になるリスクで、より効果を発揮しやすい)
  • 現場に近いところでPDCAを回すため、課題が発見されたときに、よりスピーディに手当をすることが可能になる
  • より業務に精通した者が、リスクや必要な管理策の特定、有効性の評価を行うことになるため、(リスクマネジメントの力量が伴えば)リスクマネジメント活動の精度向上を期待できる
  • 内部監査活動に対する現場の理解向上につながり、内部監査自体の効果アップを期待できる
  • 内部監査組織のリソースをより重要なエリアに投下できる
デメリット
  • (特に短期的に)リスクマネジメント活動の組織全体の負荷が増える
  • 客観性に欠ける面があるため、評価が甘くなり、対策が偏ってしまったり、抜け落ちてしまったりする可能性がある
  • 下記条件下では、かえって逆効果になる
    ・リスクマネジメントの力量が備わっていない(または、力量管理プログラムが整備されていない)
    ・ビジネス目的がはっきりしていない
    ・信頼関係が醸成されていない(例:人がよく入れ替わる、など)

CSAの導入・運用方法

【図:CSAプロセスの一例】

1443_ext_05_5_S.png

CSAを導入する一般的な流れは、次のとおりです。

  1. CSAの導入目的・組織の決定
  2. CSAの導入準備(組織体制の確立やCSAのプロセスの設計)
  3. CSAの導入・運用
  4. CSA活動の監視・測定・評価・改善

1.CSAの導入目的・組織の決定
リスクマネジメントに関わる活動は、組織のいたるところで行われています。様々なリスクに対し、様々な手法・フレームワークを用いて行われているはずです。CSAのメリット・デメリットを勘案し、そうしたリスクマネジメント活動のどの部分にCSAを導入するか、決定をしていきます。たとえば、ITガバナンスや運用管理のフレームワークで有名なCOBITにも適用することができます。あるいは、NIST※のサイバーセキュリティフレームワークや、財務報告の信頼性の確保を狙ったJ-SOXにおけるCOSO内部統制、全社的なリスクマネジメントのフレームワークであるCOSO-ERMやISO31000など・・・様々なフレームワークの一部または全部に、CSAを取り込むことができます。J-SOXを例にとりますと、通常、内部統制の評価は、内部監査室などが担うことが一般的です。ですが、ここにCSAの考え方を組み込むことにより、こうした評価活動自体を、実際に内部統制ルールを守る業務部門自体に実施してもらうことになるわけです。
※CSAは、1987年にガルフ・カナダ社により開発された考え方です。

2.CSAの導入準備(組織体制の確立やCSAのプロセスの設計)
CSAを、どのような体制で運用するのか、CSAの具体的なプロセスをどうするのかを決めなければなりません。なお、体制とは、次のようなことです。
①どの部門がCSAの具体的な実施プロセスを決めるのか(例:リスクマネジメント室)
②現場のどの部門がそのCSAプロセスを実施・運用するのか(例:営業部、生産部)
③どの部門がその活動を第三者的な立場で確認するのか(例:内部監査室)

また、CSAのプロセスとは次のようなことです(下図は一例です)。

なお、プロセスの実行方法には、いくつか手法があります。典型的な方法としては、調査票/アンケート形式やワークショップ形式、マネジメントによる分析形式などがあります。調査票/アンケート形式は、広範囲の組織をカバーする際に、特にその威力を発揮します。ただし、調査を一挙に行うことができるメリットがある反面、書面でのやりとりになるため、どうしても本音の声を拾いにくい・意識醸成につながりにくいといった側面を持ちます。ワークショップ形式は、いわゆる“ワイガヤ形式”で、関係者を一同に介してアウトプットを出す方式です。本音の声を拾い上げやすい・意識醸成につながりやすいといった強みを持つ反面、ワークショップにおけるファシリテーションスキルが求められるため、きちんとした準備を行わずに関係者を集めても、うわべだけの議論で終わってしまう可能性もあります。

3.CSAの導入・運用
CSAプロセスの実行には、それを実行する組織のメンバーに、時間の捻出と・・・そして、一定の知識・技量を持つことが求められます。したがって、入念な準備活動が必要です。たとえば、CSAの実施手法を解説したガイドラインの用意、時間を捻出してもらわなければならない理由を説くための説明会の開催などが必要になります。

4.CSA活動の監視・測定・評価・改善
CSAは、その実行組織でミニPDCAを回すようなものと解説しましたが、CSAプロセス自体の改善活動も必要です。「CSAを実行する組織がしっかりとCSAを実行できているのか」、「その実施手法は効果的・効率的なのか」などについて、第三者的な立場から(内部監査室などが)監査し、評価し、改善活動につなげていくことが求められます。

CSA活用のポイント

繰り返しになりますが、CSAは現場にそれなりの力量や時間を求めるものです。それゆえ、段階的な導入を進めていくことも一つの手です。特定のテーマに絞って、まずそこだけにCSAを導入してみる、ということもできます。具体的には例えば、「直接的に現金を扱う業務が多く、横領がなかなか減らない」という組織の場合、現金管理に関わるリスクにのみ焦点を絞ってCSAを導入してみる・・・といったような感じです。

CSAの設計やその導入を推進する側・・・事務局的機能を果たす部門の側にも、それなりに力量が求められます。導入時には、外部専門家(コンサルティング)の力に頼ることも手ですが、組織の中でそういった人材育成に努めることもできるでしょう。たとえば、CSAに関する資格で、CCSA(Certification in Control Self-Assessment-内部統制評価指導士)といったものもあります。これは国際的な資格であり、CSAに関する知識と実施スキルの修得の証明を目的としたものです※。社内における、こうした資格取得を推進することも有効な手段と言えるでしょう。

※詳しくは、http://www.iiajapan.com/certifications/SpecialtyExams/をご覧下さい。

(文責:勝俣 良介

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

新着コンサルタントコラム