COSOフレームワークの確立
1977年に海外腐敗行為防止法が米国で制定された後も、1980年代は外部監査人によって無限定意見が提出された直後にその企業が経営破綻するということが相次いだ。1992年にCOSOフレームワークが確立されるまで内部統制の概念は複数の団体によって語られていく。しかし、内部統制に対する明確な定義の欠如故に、普遍性を持つことが出来なかった。
1985年、不正な財務報告の原因となる要員を識別し、かつその発生を減少させる目的で、米国の内部統制に関連する5つの団体(米国公認会計士協会(AICPA)、米国会計学会(AAA)、財務担当経営協会(FEI)、内部監査人協会(IIA)、全米会計人協会(IMA))によってトレッドウェイ委員会が共同で設立された。1992年9月、同委員会はCOSOレポートといわれる”Internal Control-integrated Framework”という報告書をリリースし、内部統制の定義のフレームワークを確立した。COSOフレームワークは事実上内部統制の世界標準となる。
内部統制とは、事業体の取締役会、経営者、その他の従業員によって遂行されるプロセスであり、業務、報告、 コンプライアンスに関する目的の達成に合理的保証を与える為に設計される。
この内部統制の定義は、以下の一定の基礎的概念を反映している
- 業務・報告・コンプライアンスの一つまたは複数のカテゴリーにおける目的の達成を促進するものである。
- 継続的な役割及び活動から構成される一つのプロセスであり、目的そのものではなく、目的達成の手段である。
- 人々によって実行されるものであり、単なる方針や手続きマニュアル、システムや形式に関するものではなく、内部統制に影響を及ぼす組織のあらゆる階層の人々、及び人の行動に関するものである。
- 合理的な保証を提供可能である。しかし、事業体の上級経営者及び取締役会に対して絶対的保証を与えることは出来ない。
- 企業の組織に適合させることができる。全社レベルまたは特定の子会社、部門、業務単位もしくは業務プロセスに対して弾力的に適用可能である。
COCO 内部統制の3つの目的
COSOの内部統制フレームワークは事業体が、内部統制の様々な局面に着目できるように3つの目的のカテゴリーを提示している。
業務目的
業務目標及び財務目標んほ達成並びに資産を損失から保全することを含む、事業体の有効性と効率性に関連している。
報告目的
内部及び外部の財務及び非財務の報告に関連しており、規制当局もしくは基準設定主体により、または、事業体の方針として明らかにされる信頼性、適時性、透明性またはその他の観点を含むものである。
コンプライアンスの目的
企業が法令を順守することに関連している
COSO 内部統制フレームワークにおける5つの構成要素の定義
COSO 内部統制フレームワークは以下の5つの要素から構成され、それぞれが適正な場合に内部統制が適正であると考えられる。
統制環境
統制環境とは、組織全体にわたって内部統制を実行する為の基礎となる一組の基準、プロセス及び、組織構造である。取締役会に及び上級経営者は、内部統制の重要性及び期待される行動基準に関するトップの気風を確立する。
リスク評価
すべての事業体は、外部及び内部の源泉から様々なリスクに直面している。ここでリスクは、ある事象が発生した際に、目的達成に不利な影響を及ぼす可能性と定義される。リスク評価は、目的の達成に対するリスクを識別及び分析し、リスクの管理の仕方を決定する為の判断の基礎を形成する動的かつ反復的なプロセスを伴う。経営者は、目的達成能力の妨げとなり得る外部環境及びビジネスモデル内の変化について検討する。
統制活動
統制活動は、目的の達成に対するリスクを低減させる経営者の支持が確実に実行されるのに役立つ方針及び手続きにより確立される行動である。統制活動は、企業のあらゆる階層で、またビジネスの様々な段階で、テクノロジー環境にまたがって実行される。
情報と伝達
情報は、企業が自らの目的の達成を支援する内部統制に関する責任を遂行するために必要なものである。伝達は、内部と外部の両方で発生し、組織に日々の統制の実施に必要な情報を提供する。伝達により、構成員は内部統制の責任とその目的達成に対する重要性を理解することが出来る。
監視活動
日常的評価、独立的評価、または両社の一定の組み合わせは各構成要素における原則を実行する統制を含む内部統制の5つの各構成要素が、存在し、機能しているかを確かめる為に利用される。発見事項は評価され、不備は適宜に伝達される。深刻な問題は、上級経営者及び、取締役会に報告される。
COSOレポートでは、内部統制について組織のすべての人々によって、目標の達成の為に遂行されるプロセスであり、合理的な保証を提供するものとして位置付けている。内部統制を、経営目的を達成するために積極的に取り組むべきものとして位置付けていることに特徴がある。
COSO内部統制の構成要素の解説
統制環境は組織の風土を決める
統制環境は内部統制すべての基礎であり、最も重要な要素といえる。それは、不正から生じる財務報告の虚偽の表示が、多くの場合経営者によって、もしくは経営者の黙認のもとに行われているという事実が背景にあるからである。
リスク評価とは、リスクの識別、管理、分析活動である。
すべての企業体は、評価しなければならない内外のリスクに直面する。リスク評価の必須となる条件は、企業内で一貫した目的を確立することにある。リスク評価とは、リスクをどのように管理すべきかについて判断する為の基盤を形勢するという目標を達成するために、関連するリスクを識別し分析することである。経済、産業、規制、及び業務運用状況は継続的に変化している為、変化に伴う特別なリスクを識別し対処するような仕組みが必要である。
統制活動は経営者の指令が遂行されることを確保するための方針と手続きである。
統制活動は、企業体の目標の達成に対するリスクに対処するために、必要な行動をとることを確保することを支援する。統制活動は以下の4要素を含む。
職務の分離
取引の承認、記録及び保管をそれぞれお互いが独立したものに担当させる統制である。
職務の分離とは、取引の承認、記録及び保管をそれぞれお互いが独立したものに担当させることにより、誤謬や不正が起こりにくい環境を作り、結果的に財務諸表の虚偽の表示を防ぐ内部統制である。職務の分離が適切に行われていない場合、従業員が資産の横領を行い、財務データを改ざんして、不正を隠ぺいすることが可能になってします。
物理的統制
資産及び記録の物理的な保護に関する内部統制である。
業務状況のレビュー
予算を算定し実績と比較する。さらに予算と実績の再分析等を行う統制である。
情報処理
取引の正確性、網羅性、承認をチェックする統制である。
情報と伝達について
情報と伝達は組織体のすべての階層において、ビジネスを運営し、組織体の目標の達成に向けて前進する為に、すべての領域(”業務の有効性・効率性”、”財務報告の信頼性”、” コンプライアンス”)に必要である。適切な状況下で適切な情報を有することは、統制の有効性に不可欠である。そのため、ビジネスの運営に必要な情報を生成する情報システムもまたコントロールされなければならない。適切な情報は識別され、保存され、かつ関係者が自身の責任を遂行できるようなタイミングと形式によって伝達されなければならない。
監視活動とは、内部統制の質を評価するプロセスである。
企業は、時間が経過するのに応じて、内部統制の室を評価し、適時にその修正を行うことが必要である。監視は日常的監視活動と個別的評価、もしくはそれらの組み合わせによって実施される。
日常的監視活動
日常的監視活動は通常の事業活動の中に組み込まれており、管理、監督活動の一環として行われるもので、以下のような項目について継続的に実施される。
- 会社の規則を理解し、順守しているかの定期的な確認
- 監査人による内部統制に対する勧告に経営者が誠実に対応しているかの確認
- 販売、製造、在庫などの業務活動上の情報とシステムが作成する情報との比較
個別的評価
個別的評価とは、内部監査人や他の従業員によって行われ、その会社の内部統制の弱みや弱点についての情報や、改善の推奨等の伝達が実施されることである。
COSO 内部統制の構成要素を支える17の原則
COSO 内部統制フレームワークは、以下の5つの構成要素を支える原則を適用することによって、組織は有効な内部統制を達成することが出来るとしている。
統制環境
- 組織は、誠実性と倫理観に対するコミットメントを表明する。
- 取締役会は、経営者から独立していることを表明し、かつ内部統制の整備及び運用状況について監督を行う。
- 経営者は、取締役会の監督のもと、内部統制の目的を達成するに当たり、組織構造、報告経路及び適切な権限と責任を確立する。
- 組織は、内部統制の目的に合わせて、業務遂行能力を有した個人をひきつけ、育成し、かつ、維持することに対するコミットメントを表明する。
- 組織は、内部統制の目的にを達成するに当たり、内部統制に対する責任を個々人に持たせる
リスク評価
- 組織は、内部統制の目的に関連するリスクの識別と評価が出来るように、十分な明確さを備えた内部統制の目的を明示する。
- 組織は、自らの目的の達成に関連する企業全体にわたるリスクを識別し、当該リスクの管理の仕方を決定する為の基礎としてリスクを分析する。
- 組織は、内部統制の目的の達成に対するリスクの評価において、不正の可能性について検討する。
- 組織は、内部統制システムに重大な影響を及ぼし得る変化を識別し、評価する。
統制活動
- 組織は、内部統制の目的に対するリスクを許容可能な水準まで提言するのに役立つ統制活動を選択し、整備する。
- 組織は、内部統制の目的の達成を支援するテクノロジーに関する全般的統制活動を選択し、整備する。
- 組織は、期待されていることを明確にした方針及び方針を実行する為の手続きを通じて、統制活動を展開する。
情報と伝達
- 組織は、内部統制が機能することを支援する、関連性の高い情報を入手または作成して利用する。
- 組織は、内部統制が機能することを支援するために必要な、内部統制の目的と内部統制に対する責任うを含む情報を組織内部に伝達する。
- 組織は、内部統制が機能することに影響を及ぼす事項に関して、外部の関係者との間での情報のやり取りを行う。
監視活動
- 組織は、内部統制の構成要素が存在し、機能していることを確かめる為に、日常的評価および/または独立性評価を選択し、整備及び運用を行う。
- 組織は、適時に内部統制の不備を評価し、必要に応じて、それを適時に上級経営者および取締役会を含む、是正措置を講じる責任を負うものに対して伝達する。
有効な内部統制
COSO 内部統制フレームワークでは、有効な内部統制システムの要件を設定している。有効な内部統制システムは企業の目的達成に関して合理的保証を提供する。内部統制が有効ならば、目的を達成できないリスクを許容可能な水準まで低減させることが出来る。内部統制が有効であるといえるためには、以下の3つの要件を満たさなければならない。
- 内部統制の5つの構成要素及び関連する原則が存在し、機能していること
- 5つの構成要素は、統合された形でともに運用されていること
経営者は内部統制が有効かどうかを判断するにあたって、各構成要素及び関連する原則が存在し、機能しているか、ならびに構成要素がともに運用されているかを判断し評価する。
「存在する」とは、構成要素及び関連する原則が、特定の目的を達成するための内部統制システムの行為の中に存在し続けていると判断することを指す。
「共に運用されている」とは5つの構成要素のすべてが、全体として機能した結果として、目的を達成しないリスクを許容可能な水準まで低減させていることをさす。
「内部統制の不備」とは、1つまたは複数の構成要素及び関連する原則において、企業が目的を達成する可能性を弱めつ欠点を指す。企業が目的を達成する可能性を著しく低下させる内部統制の不備を「重大な不備」と呼ぶ。
この重大な不備が存在する場合、組織、有効な内部統制の要件を満たしていると結論付けることは出来無い。また一つの構成要素における重大な不備は、他の構成要素が存在し、機能しているからと言って、許容可能な水準まで低減されるものではない。
内部統制の限界
内部統制がいかに有効に 設計・運用されていても経営者及び取締役会にたいして企業の目的達成についての絶対的保証をえることができず、合理的保証を得るにとどめる。目的達成の可能性は、すべての内部統制システムの固有の限界によって影響を受ける。
COSOフレームワークにおいても、内部統制の限界の理由としては以下の要素を挙げている。
- 内部統制の前提として設定されている目的との整合性
- 意思決定時の判断ミスや、偏見の影響を受ける可能性があるという事実
- 人為的ミスにより生じ得る機能不全
- 経営者による内部統制の無効化
- 経営者、その他の人員及び/または第3者が、共謀により統制を回避する可能性
- 組織が統制できないような外部事象の発生
これらの内部統制の限界の内、もっとも重要であるのは経営者による内部統制の無視である。内部統制を整備、運用するのが経営者であるため、内部統制の弱点を利用したり、故意に無視することが可能になる。
上記のような限界があるが故に、内部統制が企業の目的達成に対して提供できる保証は合理的なものであり、絶対的なものではない。経営者はこの限界についても認識したうえでこの限界を最小限にとどめるよう、統制を選択し、整備、運用すべきである。
コメント