COSOの内部統制(インターナル・コントロール)フレームワーク

COSO

1992年にトレッドウェイ委員会支援組織委員会からリリースされた「内部統制の統合的フレームワーク」が2013年に改定された。この改定されたCOSOの内部統制フレームワークは、事実上内部統制の世界標準となっている。

本記事ではCOSOの内部統制の定義、3つの目的、5つの構成要素、17の原則について取り上げる。COSOの内部統制フレームワークは、5つの構成要素を支える17の原則を適用することで、組織は有効な内部統制を達成することができるとしている。

COSOにおける、内部統制の定義

内部統制の定義

内部統制とは、事業体の取締役会、経営者、その他の従業員によって遂行されるプロセスであり、業務(Operations)、報告(Reporting)、コンプライアンス(Compliance)に関する目的の達成に合理的保証を与えるために設計される。

この内部統制の定義は以下の一定の状態を反映している。

  • 業務、報告、コンプライアンスの1つまたは複数のカテゴリーにおける目的の達成を促すものである
  • 継続的な役割及び活動から構成される1つのプロセスや目的そのものではなく、目的達成の手段である
  • 人々によって実行される単なる方針や手続き、マニュアル、システムや形式に関するものではなく、内部統制に影響を及ぼす組織のあらゆる階層の人々及び、人の行動に関するものである
  • 合理的な保証を提供可能である。しかし、事業体の最高経営者及び取締役会に対して絶対的な保証を提供することはできない
  • 企業の組織に適合させることができる全社レベルまたは特定の子会社、部門、業務単位もしくは業務プロセスに対して弾力的に適用可能である

COSOの内部統制フレームワークの3つの目的

COSOの内部統制フレームワークは事業体が、内部統制の様々な局面に着目できるように3つの目的のカテゴリーを提示している。

COSOの内部統制フレームワークの3つの目的
内部統制フレームワークの3つの目的

改定前には言及されていなかった、内部報告及び非財務報告といった重要な報告形態を含めることによって、フレームワークが拡張・改良された。

COSOの内部統制フレームワークにおける5つの構成要素

COSOの内部統制フレームワークにおいて、内部統制は以下の5つの統合された構成要素がある。

統制環境(Control environment)

統制活動とは、組織全体にわたって内部統制を実行するための基礎となる基準、プロセス及び組織構造である。取締役会及び最高経営者は、内部統制の重要性及び期待される行動基準に関するトップの気風を確立する。

統制環境は組織の風土を決める

統制環境は内部統制全ての基礎であり、最も重要な要素と言える。それは、不正から生じる財務報告の虚偽の表示が、多くの場合、経営者によって、もしくは経営者の黙認の元に行われているという事実が背景にあるからである。

リスク評価(Risk Assessment)

全ての事業体は、外部及び内部の源泉から様々なリスクに直面している。ここでリスクは、ある事象が発生した際に、目的達成に不利な影響を及ぼす可能性と定義される。リスク評価は、目的の達成に対するリスクを識別及び分析し、リスクの管理の仕方を決定するための判断の基礎を形成する動的かつ反復的なプロセスを伴う。経営者は、目的達成の妨げとなりうる外部環境及びビジネスモデル内の変化の可能性について検討する。

リスク評価とは、リスクの識別、管理、分析活動である

全ての事業体は、評価しなければならない内外のリスクに直面する。リスク評価の必須となる条件は、企業内で一貫した目的を確立することにある。リスク評価とは、リスクをどのように管理すべきかについて判断するための基盤を形成するという目標を達成するために、関連するリスクを識別し分析することである。経済、業界、規制、及び業務運用状況は継続的に変化しているため、変化に伴う特別なリスクを識別し対処するような仕組みが必要である。

統制活動(Control activities)

統制活動は、目的の達成に対するリスクを低減させる経営者の指示が確実に実行されるのに役立つ方針及び手続きにより確立される行動である。統制活動は、企業のあらゆる階層で、また、ビジネスプロセスの様々な段階で、テクノロジー環境にまたがって実行される。

統制活動とは、経営者の指示が遂行されることを確保するための方針と手続きである

統制活動は、企業体の目標の達成に対するリスクに対処するたに、必要な行動をとることを確保することを支援する。統制活動には以下の4要素を含む。

統制活動
4つの統制活動

職務の分離とは取引の承認、記録、及び保管をそれぞれお互いが独立したものに担当させることにより、誤謬や不正が起きにくい環境を作り、結果的に財務諸表の虚偽の表示を防ぐ内部統制である、職務の分離が適切に行われていない場合、従業員が資産の横領を行い、財務データを改竄して、不正を隠蔽することが可能になる。

業務状況のレビューは、業績や目標達成度合いを見るためだけではなく、目標が明確に示され、実績と比較して管理されているということ、及び異常な数値が何らかの切り口で第3者の目に届くことが大切である。

情報と伝達(Information and communication)

情報は、企業が自らの目的の達成を支援する内部統制に関する責任を遂行するために必要なものである。
伝達は内部と外部の両面で発生し、組織に日々の統制の実施に必要な情報を提供する。伝達により、構成員は内部統制の責任とその目的達成に対する重要性を理解することができる。

情報と伝達とは事業体の全ての階層において、目標の達成のために不可欠である

適切な状況下で適切な情報を有することは、統制の有効性に不可欠である。そのため、ビジネスの運営に必要な情報を生成する情報システムもまたコントロールされなければならない、適切な情報は識別され、保存され、かつ関係者が自身の責任を遂行できるようなタイミングと形式によって伝達されなければならない。

監視活動(Monitoring)

日常的評価、独立的評価、または両者の一定の組み合わせは、各構成要素における原則を実行する統制を含む内部統制の5つの各構成要素が、存在し、機能しているかを確かめるために利用される。発見事項は評価され、不備は適時に伝達される。深刻な問題は、最高経営者及び取締役会に報告される。

監視活動とは、内部統制の質を評価するプロセスである

企業は時間が経過するのに応じて、内部統制の質を評価し、適時にその修正を行うことが必要である。監視は日常的監視活動と個別的評価、もしくはそれらの組み合わせによって実施される。

日常的監視活動とは通常の事業活動の中に組み込まれており、管理、監督活動の一環として行われるもので、以下のような項目について継続的に実施される。

  • 会社の規則を理解し、遵守しているかの定期的な確認
  • 監査人による内部統制に対する勧告に経営者が誠実に対応しているかの確認
  • 販売、製造、在庫などの業務活動上の情報とシステムが作成する情報との比較

個別的評価とは内部監査人や、他の従業員によって行われ、その会社の内部統制の強みや弱点についての情報や、改善の推奨等の伝達が実施されることである。

COSOの内部統制の構成要素を支える17の原則

冒頭にも記載したが、COSOの内部統制フレームワークは、5つの構成要素を支える以下の17の原則を適用することによって、組織は有効な内部統制を達成することができるとしている。

統制環境の関連原則

  • 組織は、誠実性と倫理観に関するコミットメントを表明する
  • 取締役会は、経営者から独立していることを表明し、かつ内部統制の整備及び運用状況についての監督を行う
  • 経営者は、取締役会の監督の下、内部統制の目的を達成するにあたり、組織構造、報告経路及び適切な権限と責任を確立する
  • 組織は、内部統制の目的に合わせて、業務遂行能力を有した個人を惹きつけ、育成し、かつ、維持することに対するコミットメントを表明する
  • 組織は、内部統制の目的を達成するにあたり、内部統制に対する責任を個々人に持たせる

リスク評価の関連原則

  • 組織は内部統制の目的に関連するリスクの識別と評価ができるように、十分な明確さを備えた内部統制の目的を明示する
  • 組織は、自らの目的の達成に関連する企業全体にわたるリスクを識別し、当該リスクの管理の仕方を決定するための基礎としてリスクを分析する
  • 組織は、内部統制の目的の達成に対するリスクの評価において、不正の可能性について、検討する
  • 組織は、内部統制システムに重大な影響を及ぼしうる変化を識別し、評価する。

統制活動の関連原則

  • 組織は、内部統制の目的に対するリスクを許容可能な水準まで低減するのに役立つ統制活動を選択し、整備する
  • 組織は、内部統制の目的の達成を支援するテクノロジーに関する全般的統制活動を選択し、整備する
  • 組織は、期待されていることを明確にした方針及び方針を実行するための手続きを通じて、統制活動を展開する

情報と伝達の関連原則

  • 組織は、内部統制が機能することを支援する、関連性のある質の高い情報を入手または作成して利用する
  • 組織は、内部統制が機能することを支援するために必要な、内部統制の目的と内部統制に対する責任を含む情報を組織内部に伝達する
  • 組織は、内部統制が機能することに影響を及ぼす事項に関して、外部の関係者の間での情報のやりとりを行う。

監視活動の関連原則

  • 組織は、内部統制の構成要素が存在し、機能していることを確かめるために、日常的評価及び・または独立評価を選択し、整備及び運用する
  • 組織は、適時に内部統制の不備を評価し、必要に応じて、それを適時に最高経営者及び取締役会を含む、是正措置を講じる責任を負うものに対して伝達する

コメント