統制自己評価(CSA)
| 執筆者: | 取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介 |
| 改訂者: | ニュートン・コンサルティング 編集部 |
統制自己評価(Control Self-Assessment、以下CSA)は、管理策(コントロール/統制)を順守する立場にある部門自らが、その管理策の有効性を評価・改善するリスクマネジメント手法のことです。一般的には、そうした活動は内部監査組織が担いますが、統制自己評価(CSA)の考え方では、内部監査組織が持つ権限の一部を現場に委譲し、現場が管理策を考え、実行し改善を図ります。
80年代後半に発案された統制自己評価(CSA)
統制自己評価(CSA)は1987年にガルフ・カナダ社により開発された手法です。同社での取り組みがその後、米国や英国などで普及していったといわれています。
参考資料:公認内部監査人(CIA)や公認リスク管理監査人(CRMA)などの資格認定を行っている内部監査人協会(IIA:The Institute of Internal Auditors)による統制自己評価(CSA)の定義
CSA is a process through which internal control effectiveness is examined and assessed. The objective is to provide reasonable assurance that all business objectives will be met
(統制自己評価(CSA)は、内部統制の有効性を検証し評価するプロセスである。目的は、ビジネス全ての目的が達成されるであろうという合理的な保証を与えることにある。)
出典:Professional practices pamphlet 98-2, A perspective on Control Self-Assessment, IIA
管理策を巡っては、「どのような管理策が必要かを考える者」「どの管理策にするかを決める者」「決まった管理策を順守する者」「管理策が有効に機能しているかを評価する者」という役割分担があります。統制自己評価(CSA)が登場する以前の、いわゆる“伝統的なリスクマネジメント手法”では、その役割をそれぞれ別の組織が担っていました。一方、統制自己評価(CSA)では、これらの役割を現場すなわち、管理策を順守する立場にある部門自らが担います。
以下に、伝統的なリスクマネジメントアプローチと、統制自己評価(CSA)を導入したものを図示します。
【図: 伝統的なリスクマネジメントアプローチ】
【図: 統制自己評価(CSA)を導入したリスクマネジメントアプローチ】
統制自己評価(CSA)のメリット・デメリット
統制自己評価(CSA)では、従来は内部監査組織などが担ってきた活動を、現場に近い部門に任せることになります。内部監査組織にとっては負荷が軽減し、浮いた内部監査リソースをより重要なエリアに振り向けることができます。つまり、組織全体で見れば、さらに効果的な管理策の評価・改善活動につなげることができます。他方、守るべき管理策を自分たちで考え、評価・改善していくことは、現場部門にリスクやリスクマネジメント活動を、“自分ごと”として捉える良いきっかけになります。
一方、デメリットもあります。自分たちが守るべきルールを自分たちで考え、評価し、見直すということは、現場に権限を委譲することでもあるため、組織に信頼関係がなければできません。したがって、社員の入れ替わりが激しいような、人のロイヤリティが薄い組織に統制自己評価(CSA)を導入しても、機能を発揮できないでしょう。また、統制自己評価(CSA)を実行する組織では、現場の従業員にリスクマネジメントに関する知識や技量が必要になります。スキルが伴わない状態で統制自己評価(CSA)を導入しても、管理策やリスクマネジメント活動は形骸化してしまいます。
以下は統制自己評価(CSA)の主なメリット・デメリットです。
| メリット |
|
|---|---|
| デメリット |
|
統制自己評価(CSA)の導入・運用方法
統制自己評価(CSA)の導入を検討するときの一般的な流れを説明します。以下の1~4の段階を踏むことで、組織に統制自己評価(CSA)を導入できます。
1.統制自己評価(CSA)の導入目的・組織の決定
リスクマネジメントに関わる活動は、組織のいたるところで行われています。様々なリスクに対し、様々な手法・フレームワークを用いて行われているでしょう。統制自己評価(CSA)のメリット・デメリットを勘案し、そうしたリスクマネジメント活動のどの部分に統制自己評価(CSA)を導入するかを決めます。
たとえば、ITガバナンスや運用管理で有名なフレームワーク「COBIT」や、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワークに適用することができます。また、財務報告の信頼性の確保を狙ったJ-SOXにおけるCOSO内部統制や全社的なリスクマネジメントのCOSO-ERM、ISO31000などのフレームワークの一部または全部に、統制自己評価(CSA)を取り込むことができます。一例としてJ-SOX対応に取り込む場合では、内部統制の評価は通常、内部監査室などが担うことが一般的ですが、統制自己評価(CSA)を導入すると、内部統制ルールを守る業務部門自体が評価活動を実施するようになります。
2.統制自己評価(CSA)の導入準備(組織体制の確立やCSAのプロセスの設計)
統制自己評価(CSA)を運用する組織体制やプロセス(工程)を決めます。まず、組織体制を構成する部署・部門の一例を以下に挙げます。
【表:組織体制を構成する部署・部門の一例】
| 役割 | 部署・部門の具体例 |
|---|---|
| 統制自己評価(CSA)の具体的な実施プロセスを決める | リスクマネジメント室 |
| 統制自己評価(CSA)プロセスを実施・運用する | 営業部、生産部 |
| 統制自己評価(CSA)の活動を第三者的な立場で確認する | 内部監査室 |
次に、統制自己評価(CSA)のプロセスの例を挙げます。
【図:統制自己評価(CSA)プロセスの一例】
プロセスの実行方法には、いくつか手法があります。典型的な方法として「調査票/アンケート形式」やワークショップ形式、マネジメントによる分析形式などがあります。「調査票/アンケート形式」は、広範囲をカバーする際に、特にその威力を発揮します。ただし、調査を一挙に行うことができるメリットがある反面、書面でのやりとりになるため、どうしても本音を拾いにくい・意識醸成につながりにくいといった弱点があります。
ワークショップ形式はいわゆる“ワイガヤ形式”で、関係者が一堂に会してアウトプットを出す方式です。本音を拾い上げやすい・意識醸成につながりやすいといった強みを持つ反面、ワークショップにおけるファシリテーションスキルが求められるため、きちんとした準備を行わずに関係者を集めても、うわべだけの議論で終わってしまう可能性もあります。
3.統制自己評価(CSA)の導入・運用
統制自己評価(CSA)プロセスの実行には、メンバーに時間の捻出と一定の知識・技量が求められるため、入念な準備活動が必要です。たとえば、統制自己評価(CSA)の実施手法を解説したガイドラインを用意したり、時間を捻出してもらわなければならない理由を説くための説明会を開催したりします。
4.統制自己評価(CSA)活動の監視・測定・評価・改善
統制自己評価(CSA)を導入すると、現場で統制自己評価(CSA)プロセスに関するPDCAサイクルを回すことになります。ただし、統制自己評価(CSA)プロセス自体の改善活動も必要となるため、内部監査室などが第三者的な立場から監査し、評価・改善活動につなげていきます。具体的には、統制自己評価(CSA)を実行する組織がそれを忠実に実行できているのか、また、その実施手法は効果的・効率的なのかなど、統制自己評価(CSA)が有効に機能しているかどうかを検証します。
統制自己評価(CSA)活用のポイント
繰り返しになりますが、統制自己評価(CSA)は現場の従業員にそれなりの力量や作業時間を求めるものです。それゆえ、段階的な導入を進めていくことも一つの手です。特定のテーマに絞って、まずそこだけに統制自己評価(CSA)を導入してみる、ということもできます。例えば、「直接的に現金を扱う業務が多く、横領がなかなか減らない」という組織の場合には、現金管理に関わるリスクにのみ焦点を絞って統制自己評価(CSA)を導入します。
現場だけでなく、統制自己評価(CSA)の設計やその導入を推進する側(事務局的機能を果たす部門)にも、リスクマネジメントの力量が求められます。導入時には、外部専門家(コンサルティング)の力に頼ることも手ですが、組織の中でそういった人材育成に努めることもできるでしょう。たとえば、統制自己評価(CSA)に関する資格で、公認リスク管理監査人(CRMA:The Certification in Risk Management Assurance)があります。これはIIAが認定する国際的な資格であり、統制自己評価(CSA)に関する知識と実施スキルの修得を証明するものです※。こうした資格の取得を社内で推進することも有効な手段と言えるでしょう。
※かつての内部統制評価指導士(CCSA)は公認リスク管理監査人(CRMA)に統合されました。詳しくは、IIAホームページをご覧下さい
