COSOからCOSO2013年版フレームワークを公表した翌月の2013年6月に「The 2013 COSO Framework and SOX Compliance-ONE APPROACH TO AN EFFECTIVE TRANSITION」というCOSO2013版フレームワークへの1つの移行アプローチが公表されています。このレポートはキャンベル・スープ社のJ.Stephen McNally氏(CPA)が中心となってCOSOから委託されて執筆したものです。
先日出席したセミナーで箱田公認会計士によれば、キャンベル・スープ社は内部監査のベストプラクティスの事例として取り上げられる企業であるとのことです。コンパクトなレポートですが、米国SOX対応しているSEC企業のCOSO2013版フレームワークへの移行アプローチとして参考になりますので、今回はご紹介します。
COSO2013年版フレームワーク対応「The Five-Step Transition」
米国で上場している企業がSOX対応をした際、多くの企業では(制度上はCOSOに限定していませんが実際には)COSOの内部統制フレームワークをベースに自社の外部財務報告に関する内部統制を整備しました。それらの企業では、今回のCOSO改訂に対応して、現行の外部財務報告に関する内部統制の整備状況をCOSO1992版から2013版のフレームワークへ移行する必要があります。COSOとしては2014年12月までを移行期間とし、可及的速やかにCOSO2013年版フレームワークに移行することを推奨しています。
そのような中公表された「The 2013 COSO Framework and SOX Compliance-ONE APPROACH TO AN EFFECTIVE TRANSITION」のレポートでは、COSO2013版フレームワークへの1つの移行アプローチとして次の5つのステップ(The Five-Step Transition)を示しています。
以下は、各ステップの概要になります。
COSO2013年版フレームワークへの移行に向けたこの最初のステップでは、企業内部で新しいフレームワークを知り、最終的に自社内でCOSO/SOXの専門家(subject matter expert)を育成することを目的としています。
そのためにCOSOから新たにリリースされている下記の公表物を入手してレビューすべきとしています。
- Exective Summary
- Framework and Appendices
- Illustrative Tools for Assessing Effectiveness of a System of Internal Control
- Internal Control over External Financial Reporting (ICEFR) : A Compendium of Approaches and Examples
また、これらのガイダンスは合計で500ページ近くにもなりますので、他のドキュメントやリソースを活用してCOSO2013年版フレームワークの全体概要を把握することも効果的だろうと説明しています。
例えば、COSOからの公表物である下記2資料です。
- COSO presentation deck(COSOOutreachDeckMay2013.ppt)
- Frequently Asked Questions(COSO FAQs May 2013 branded.pdf)
同様にCOSOのスポンサーになっている5つの組織(AAA (American Accounting Association), AICPA (American Institute of Certified Public Accountants), FEI (Financial Executives International), IIA (Institute of Internal Auditors), and IMA (Institute of Management Accountants))によって、ウェブサイト上で追加的な洞察や見通しが提供されるだろうとしています。
また、5つのスポンサー組織を含め、その他の組織からも、例えばシリーズ化されたオンラインと(または)直接形式のセミナー、フォーラム、トレーニングセッションが提供されるだろうとしています。
さらに、外部監査人や他のパブリックカンパニー、規制当局、その他関係団体がリソースとなり、来年にかけて数多くの記事や論説が公表されて、その結果、フレームワークの適用、キーコンセプトの理解、移行に関して色々な見通しが提供されるだろうとしています。
最後に同業他社のつながりからベネフィットを受けることができるとしています。
このステップ1では、上記以外にCOSO2013年版知ってもらうために、いくつかのコンセプトや識見を紹介しています。
ステップ1においてCOSO2013年版フレームワークを理解したら、ステップ2では、新しいフレームへの移行が現在のSOXコンプライアンスプログラムにどのような影響を与えるか評価をします。
ここでは、アップデートされたCOSOフレームワークに対して、現在ある内部統制システムをマッピングすべきで、それによって移行を完了させるために必要な作業ボリュームが見えるだろうとしています。
米国SOX対応では、COSOフレームワークをベースにして自社の外部財務報告の適正化に利用できるようカスタマイズをしていると思われるので、今回オリジナルのCOSO2013年版フレームワークと現行のSOXコンプライアンスプログラムをマッピングすることが移行の影響を把握するために必要としています。
そして具体的なマッピングですが、5つの構成要素に直接マッピングする代わりに、最初に5つの構成要素と関連付けられた17の原則とマッピングしましょうと伝えています。
Now, however, instead of mapping directly to the five components of internal control, you will first map to the 17 principles that underlie each of the five components.
このマッピングによって、現在の内部統制のデザインにギャップがあれば、新しいCOSOフレームワークに合うよう再整備を実施します。
レポート全般を通じて、COSO2013年版フレームワークへの移行にあたって作成すべき成果物はおよそ察しがつくのですが、上記の17の原則とマッピングするという部分は、作成すべき具体的な成果物を示唆していて興味深いです。
ステップ2までは社内でもSOXコンプライアンスの専門家やコアメンバーが中心でしたが、このステップ3ではより広い組織メンバーに新しいフレームワークを知ってもらい、ステップ2で実施した影響度調査を検証するとしています。
このステップの作業は内部統制の性質と複雑性によって、中核の組織で実施する場合もあれば、複数の組織階層で実施する場合もあるとしています。状況によってはそれぞれの事業部やロケーションで評価を実施するかもしれないとしています。
いずれの場合にせよ、更新されたフレームワークをより広く知ってもらい、そして現在のSOXコンプライアンスプログラムに対する潜在的な影響についてキーとなる利害関係者の間に認識してもらうべきとしています。
利害関係者には取締役会、監査委員会、シニア/オペレーショナルマネジメント、プロセスコントロールオーナー、内部監査人などが含まれますが、またCOSO2013年版フレームワークへの移行の取組みについて外部監査人とも協議をしなければいけないとしています。
ケースによっては、利害関係者に対して更新内容のブリーフィングを文書メモや直接伝えることが効果的だったり、またトレーニングやワークセッションを通じて新しいフレームワークを知ってもらう必要もあるだろうとしています。
このフェーズでは最終的にステップ2で分析した影響度評価を完成させることが目的になりますので、プロセスコントロールオーナーやSOXコンプライアンスを推進する事業部に対して、特に分権化されたり複雑な環境においては検証が必要であるとしています。
ステップ3で包括的な影響度評価が完了したので、ステップ4ではタイムリーに移行プランを作成し、実行することが大事になるとしています。
ますは移行プランの作成ですが、プランニングフェーズでは移行プロジェクトを成功させるうえで重要で、次のような作業を実施するとしています。
- 自社のSOXコンプライアンスのメソドロジーとアプローチの完成
- プロジェクトガバナンスと意思決定権の定義
- 詳細なプロジェクト計画の作成
- メンバーの選定とアサインメント
- その他必要な活動
なお、最も重要なことは期待と計画のギャップを解消し現実的なものにすることであるとしています。現時点でどんなに精緻な内部統制を整備している企業であっても、今回のCOSO2013年版フレームワークへの移行には何らかの努力が必要であろうとのことです。
次に移行プランの実行局面では、次の3つのフェーズに大きく区切って実施されるだろうとしています。
Phase1: Documentation and Evaluation
内部統制の既存の基本的な文書における様式、フローを新しいマッピングに合わせて更新をする。ここでは内部統制のデザインを評価し、必要があればそれを高める。
Phase2: Validation Testing and Gap Remediation
内部統制の有効なデザインができたら、それを現場に適用して、期待されているように運用する。もし、テストによって不備が発見されれば、是正が必要となる。
Phase3: External Review and Testing
いくつかのポイントでは外部監査人による評価をしてもらい、問題がないことを確認する必要がある。
上場企業においては、より強いコーポレートガバナンスを構築し、それによって強いビジネスの結果に貢献し、株主価値を高めるべきとしています。したがって、ひとたびCOSO2013年版フレームワークへ移行したあとも次のような活動によって継続した改善にチャレンジすることを勧めています。
- 経営者の姿勢が適切かどうか確認をする
- 企業文化やビジネスプロセス、手続といった組織内に、内部統制に対する責任を植え付ける
- コントロールレポートとコミュニケーションを改善する
- ERMケーパビリティーを促進する
2つ目の組織内(の個々のレベル)で内部統制の責任を持つようにするために、CSA(コントロール・セルフ・アセスメント)の導入を一つの方法として紹介しています。また、情報システムを活用してトランザクションの傾向やパターンをモニタリングし、リスク(業績)指標の評価をすることが効果的であるとしています。
以上、J.Stephen McNally氏らによる「The 2013 COSO Framework and SOX Compliance-ONE APPROACH TO AN EFFECTIVE TRANSITION」から「The Five-Step Transition」のご紹介でした。日本における金商法の内部統制報告制度への影響はまだわかりませんが、フレームワークは92年版のCOSOをベースにして策定されたとの経緯から、見直しを検討することもありうるのではないでしょうか。その場合、改訂されたフレームワークへの対応・移行作業にあたっては、このレポートにおけるアプローチも参考になるかと思います。
(注)本記事はオリジナルのレポートを直訳したものではなく、各ステップの内容について、筆者個人が理解した内容に基づいて抄訳しています。個人的な解釈も含みますので、正確かつ詳細な内容が必要な方はオリジナルのレポートを参照してください。