COSO2013年版(新COSOレポート)においても、内部統制の有効性を評価するために使われる基準に変更はありません。つまり、内部統制の有効性は、内部統制の5つの構成要素が存在し、一体となって機能して、継続的に運用されているかどうかをもって判断されます。
そして、この「判断」をする主体は経営者です。より正確には、経営者が「主観的に判断」をします。今回COSO2013年版(新COSOレポート)における最も重要なリリース内容は、1992年版のCOSOフレームワークの各構成要素の基礎をなす考え方を具体的に列挙・体系化し、17の原則として明示的に表現したことではないでしょうか。
この17の原則が提供されたことによって、経営者の判断を促す、すなわち経営者はこれらの原則が存在し機能しているかを判断して内部統制の有効性を表明することができます。
それでは、前回同様COSO2013年版(新COSOレポート)における主要な改訂ポイントを見ていきます。
COSO2013年版(新COSOレポート)における「17の原則」とは
統制環境
| 構成要素 | 原則 |
|---|---|
| 統制環境 | 1.The organization demonstrates a commitment to integrity and ethical values. |
| 2.The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control. | |
| 3.Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives. | |
| 4.The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. | |
| 5.The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives. |
ここではNo2でBoard of directorsが経営者から独立していることを要請している点に注目です。フレームワークとして「Board of directorsが経営者から独立していること」は受け入れることができると思います。しかし、日本でこの原則を取り入れようとすると、多くの会社で論点となる可能性があります。といいますのは、取締役の長が代表取締役であったり、取締役会の議長を代表取締役自身が務めることの多い日本では、取締役会が経営者から独立して、経営者の職務執行状況を監督することは実質的に難しいからです。形式上は会社法における監査役(監査役会)、監査委員会も独立して監督する立場となりえますが、監査役等だけで良いのかとなります。ここでは、外部取締役や外部監査役を活用するのも1つの対応になるでしょう。
リスク評価
| 構成要素 | 原則 |
|---|---|
| リスク評価 | 6.The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. |
| 7.The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed. | |
| 8.The organization considers the potential for fraud in assessing risks to the achievement of objectives. | |
| 9.The organization identifies and assesses changes that could significantly impact the system of internal control. |
ここではNo8に注目です。リスクの評価において、不正の可能性を検討することを原則としました。現行のフレームワークにおいても不正は考慮されていますが、近年、不正防止に対する期待や不正と内部統制の関係について議論されることが多いことを受けて明示的に表現しています。有効な内部統制のためには不正リスクに対応している必要があるということで、17の原則の中に入れて重視しました。
統制活動
| 構成要素 | 原則 |
|---|---|
| 統制活動 | 10.The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. |
| 11. The organization selects and develops general control activities over technology to support the achievement of objectives. | |
| 12.The organization deploys control activities through policies that establish what is expected and procedures that put policies into place. |
No11ではいわゆるITに係る全般統制を整備することを明示しています。現行のフレームワークが作成されてからこの20年の間に、メインフレーム環境による集中処理からパーソナルコンピュータへ、さらにモバイル端末による分散的なアプリケーション利用へというようにITの利用環境は大きく変化しました。大企業だけでなく、中堅中小企業も含め内部統制の整備にあたってITの利用が大きく影響を与えます。このようなIT利用環境の変化に対応した原則となっています。
また、No12では、方針と方針を実行するための「手続」を通じてとあります。細かいですが、内部統制は定めるだけなく、現場に適用して展開するものであるというニュアンスを強調しています。エグゼクティブサマリー内でキーワードとしてよく出てくる用語に「present(実在する)」と「functioning(機能している)」がありますが、それと関連していると思います。
情報と伝達
| 構成要素 | 原則 |
|---|---|
| 情報と伝達 | 13. The organization obtains or generates and uses relevant, quality information to support the functioning of internal control. |
| 14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control. | |
| 15.The organization communicates with external parties regarding matters affecting the functioning of internal control. |
ここではNo13の情報の質について「関連性のある質の高い情報」を要求していることがポイントです。重要なリスクを識別し優先度をつけ、それに対応する重要なコントロールを整備したら、そのコントロールが有効に機能しているかどうかを検証・判断できる情報を特定します。2009年に公表された「内部統制システム モニタリングガイダンス」で提唱されているモニタリング手続の構築プロセスにおける「Identify Information」に関連していると思います。
モニタリング活動
| 構成要素 | 原則 |
|---|---|
| モニタリング活動 | 16. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning. |
| 17.The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate. |
No16にある「present(実在する)」と「functioning(機能している)」がキーワードです。
(注)上記の表はCOSOが公表している「COSOOutreachDeckMay2013.ppt」P13-17をもとに作成しています。
COSO2013年版(新COSOレポート)における「有効な内部統制の要件」とは
2013年版(新COSOレポート)のフレームワークでは、内部統制が有効であると経営者が結論付けるには、5つの構成要素と関連する原則のすべてのおいて内部統制が実在し機能している必要があります。
present(実在する)/functioning(機能している)とは
「present(実在する)」と「functioning(機能している)」について、エグゼクティブ・サマリーでは次のように表現しています。
Each of the five components and relevant principles is present and functioning.
“Present” refers to the determination that the components and relevant principles exist in the design and implementation of the system of internal control to achieve specified objectives.
“Functioning” refers to the determination that the components and relevant principles continue to exist in the operations and conduct of the system of internal control to achieve specified objectives.
(エグゼクティブ・サマリー P8より引用)
例えば、統制活動やリスク評価に関連して、架空売上の計上を防止することを目的とした統制の一つに「得意先マスタの登録は所定の責任者の承認を得てシステム登録する」があったとします。これを例に考えてみますと、新規得意先との取引開始にあたって販売システムに登録する得意先マスタの登録申請手続と申請用紙などについて規定したマニュアルが作成され、それが業務通達や研修などを通じて社内にリリースされた状態が「present(実在する)」です。そして、一定期間、新規得意先の登録状況について得意先マスタ登録の申請書が作成され、所定の承認手続を経て販売システムに登録されていることを確認できた状態が「functioning(機能している)」にあたります。
COSO2013年版(新COSOレポート)における「重要な不備」とは
「major deficiency(重要な不備)」についてエグゼクティブ・サマリーでは(直接的な定義ではありませんが)次のように表現しています。
When a major deficiency exists with respect to the presence and functioning of a component or relevant principle, or with respect to the components operating together in an integrated manner, the organization cannot conclude that it has met the requirements for an effective system of internal control.
(エグゼクティブ・サマリー P8より引用)
前述の有効な内部統制の要件に照らせば、各構成要素と関連する各原則のすべてが実在し機能しているとは言えず、内部統制の目的達成の可能性を著しく減ずる不備がある状態と言うことができます。
この重要な不備の定義について、先日の内部統制研究学会のオープンセミナーにおいて補足があったのが、法規制が適用される場合、該当する法規制が規定する分類基準のみを使用するという点です。
つまり、米国SECの規制が適用される場合は、次の分類規準のみを使用します。
- Material weakness
- Significant deficiency
- Control deficiency
ということは、仮にCOSO2013年版(新COSOレポート)のフレームワークを日本の金商法の内部統制報告制度に取り込んだとしても、次の分類規準を使用することになります。
- 開示すべき重要な不備
- 不備
COSO2013年版(新COSOレポート)における「着眼点」とは
COSO2013年版(新COSOレポート)では、17の原則と合わせて「Point of Focus(着眼点)」がガイダンスとして提供されています。これは17の原則に関連した重要な特徴を表し、内部統制を整備・運用する際に、関連する原則が実在し機能しているかどうかの評価を支援することを意図しています。下表は統制環境のNo1の原則に関連した着眼点です。
| 構成要素 | 原則と着眼点 |
|---|---|
| 統制環境 | 1.The organization demonstrates a commitment to integrity and ethical values. |
| Points of Focus: ・Sets the Tone at the Top ・Establishes Standards of Conduct ・Evaluates Adherence to Standards of Conduct ・Addresses Deviations in a Timely Manner |
セミナーにおいて補足があったのは、着眼点の状況そのものを個別に評価する必要はないということです。つまり、チェックリスト的に使用することを意図したものではなく、17の原則を評価する過程で各々の着眼点を考慮すれば良いと理解しました。
(注)上記の表はCOSOが公表している「COSOOutreachDeckMay2013.ppt」P19をもとに作成しています。
COSO2013年版(新COSOレポート)の移行措置と日本への影響
米国SOX対応でCOSOフレームワークを適用している組織は影響必須
米国SOX対応では多くの企業がCOSOフレームワークを適用しています。これに対して、COSOは実務適用と文書類について、可及的速やかにCOSO2013年版のフレームワークに移行することを推奨しています。
移行期間の末日は、2014年12月15日で、その時点で現行のCOSO1992年版のフレームワークは、COSO2013年版のフレームワークによって差し換えられます。
さらにこの移行期間中の外部財務報告では、COSOの1992年版か2013年版か、どちらのフレームワークを使用しているか開示しなければいけません。そのため、米国SOX対応でCOSOフレームワークを適用している組織はCOSO2013年版への切替に伴う影響と移行プランを早急に検討する必要があります。
日本への影響は当局次第
一方、日本の金商法の内部統制報告制度は、フレームワークとして、基準・実施基準に定める「内部統制の基本的枠組み」を採用していますので、今回のCOSOフレームワークの改訂が即日本企業に影響するものではありません。や会社法の内部統制はCOSO1992年版のフレームワークを直接は参照していないため、制度のたてつけ上は影響ありません。ただ、日本の金商法における「財務報告に係る内部統制の評価及び監査に関する基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準に関する意見書」に組み込まれているフレームワーク部分の作成にあたって、COSO1992年版のフレームワークを参考にしていることは議論の過程からも明らかですので、今回のCOSOフレームワークの改訂に対して今後金融庁がどのような対応をとるのか注目されるところです。</ins datetime=”2013-12-09t17:27:00+09:00″>
以上、2回にわたってCOSO2013年版(新COSOレポート)の改訂ポイントを解説してきました。今回の記事を書くにあたって日本の金商法における内部統制報告制度を対比してみてみると、「トップ・ダウン型のリスク・アプローチ」や目的としての「資産の保全」、基本的要素における「ITへの対応」など改訂版のCOSOと全く同じではありませんが、先取りした内容になっていたのかな、という感想を持ちました。
