リスク・コントロール・セルフ・アセスメントリスク・コントロール・セルフ・アセスメント
谷口 靖美 牧 正人 プロティビティLLC

同文舘出版 2015-12-10

Amazonで詳しく見る by G-Tools

 CSA(Control Self Assessment:統制自己評価)とは、業務スタッフを監査手続に巻き込む手法のことである。CSAにより、効率のよい内部監査が期待できる。CSAは1987年石油関連の企業Gulf Canadaの内部監査チームが開発したと言われている。企業の中で独立した組織である内部監査部門が、客観的視点で組織の内部統制を評価するという、いわゆる内部監査は以前から行われていた。これに対して、CSAでは、その業務をよく知る管理者と業務担当者を集めて、特定の問題や業務プロセスについて議論し自己評価する。本書では、リスクマネジメントの観点からCSAを行うという意味で、RCSAという用語が使われている。

 RCSAにおいては、どのような切り口でリスクを抽出・整理するのかという点を本書には期待していたのだが、本書の大部分は業務部門に配布する質問票・アンケートの設計方法や、業務スタッフを集めて行われるワークショップの進め方に費やされていたのが残念であった。定量的市場調査の解説本か、ファシリテーションのハウツー本を読んでいるかのような気分になってしまった。

 ただ、それでも一応参考になったことはある。まず、現場でRCSAを実施する場合には、最初に業務プロセスを可視化する。次に、業務プロセスを眺めながら、想定されるリスクを洗い出す。例えば、営業部門であれば、「売上が適切に計上されない」、「営業担当者の裁量で過度な値引きが行われる」、「不当なリベートを要求される」、「納期が遵守できない」、「債権が適切に回収されない」、「営業担当者が不当なキックバックを要求する」などといったリスクがある。これらのリスクを踏まえて、講ずるべき対応策(コントロール)を書いていく。

 「売上が適切に計上されない」というリスクについては、「営業課長が案件の進捗状況を毎日確認する」、「注文書・契約書の内容を営業部長が確認し、営業事務にデータを入力させる」、「営業事務が入力したデータはダブルチェックをかける」などといった対応策が考えられる。こうして出てきた対応策をずらりと並べて、現場で実行されているかをアンケートやワークショップで確認する。この辺りのやり方については、本書よりも以下の本の方が詳しい。

内部統制の入門と実践―フローチャート式ですぐに使える内部統制の入門と実践―フローチャート式ですぐに使える
佐々野 未知

中央経済社 2007-05-01

Amazonで詳しく見る by G-Tools

 経営陣がRCSAを実施する場合、現場と同じレベル感で行っていては大変である。経営陣は現場の細かい業務レベルではなく、全社レベルの視点に立ってRCSAを実施する。内部統制のCOSOモデルから発展したモデルとして、「ERM(Enterprise Risk Management)モデル」というものがある。COSOモデルでは内部統制の目的を業務、報告、コンプライアンスの3つとしているが、ERMモデルではこれに戦略が加わり4つとなる。また、COSOモデルでは、構成要素として統制環境、リスクの評価と対応、統制活動、情報の伝達、監視活動の5つが挙げられているが、ERMモデルでは、内部環境、目的の設定、事象の特定、リスクの評価、リスクへの対応策、統制活動、情報の伝達、監視活動の8つとなる。

 この8つの要素ごとに質問をまとめたものが、日本内部監査協会、CIAフォーラム ERM研究会「使えるERM(全社的リスクマネジメント)導入チェックポイント集~一目でわかるERMと内部統制の基本的要素の具体例 ~」(2006年4月)として公開されている。経営陣がRCSAを行う際には、これが参考になる。ただし、項目数が非常に多いため、アンケートではなくワークショップ形式で実施する場合には、特に重要な項目に絞って議論をすることになると思う。