トレッドウェイ委員会支援組織委員会
トレッドウェイ委員会支援組織委員会(とれっどうぇいいいんかいしえんそしきいいんかい、Committee of Sponsoring Organizations of the Treadway Commission、COSO)は、企業の不正行為に対抗するための共同イニシアチブである。これは、組織統治、ビジネス倫理、内部統制、ビジネスリスクマネジメント、不正行為および財務報告などの関連事項について、経営幹部や政府機関を指導することを目的として、アメリカ合衆国で設立された。COSOは、企業や組織が自社の統制システムを評価できる共通の内部統制モデルを確立している。COSOは、米国公認会計士協会(AICPA)、米国会計学会(AAA)、財務管理者協会(FEI)、内部監査人協会(IIA)、管理会計士協会(IMA)の5つの組織の支援を受けている。
組織概要
[編集]COSOは、不正な財務報告に関する国家委員会(英語: National Fraudulent Financial Information Commission、トレッドウェイ委員会)を支援するために1985年に設立された。元々トレッドウェイ委員会は、米国に本拠地を置く5つの主要な専門会計団体や研究機関、すなわち米国公認会計士協会(AICPA)・米国会計学会(AAA)・財務管理者協会(FEI)・内部監査人協会(IIA)・管理会計士協会(IMA)がスポンサーとなり、共同で資金を提供していた。トレッドウェイ委員会は、委員会の支援組織が協力して内部統制に関する統合的な指針を策定するよう勧告した。 これら5つの組織は、トレッドウェイ委員会支援組織委員会と現在呼ばれる組織を形成した。
トレッドウェイ委員会の初代委員長は、ペイン・ウェバー社のエグゼクティブ・バイス・プレジデント兼ゼネラル・カウンセルであり、元証券取引委員会委員であった、ジェームズ・C・トレッドウェイ・ジュニアである。 このことは、委員会の通称「トレッドウェイ委員会」の所以となっている。 Robert B. Hirth、Jr。は、2013年6月1日にCOSO委員長に就任した。彼は4年半の間、その地位を保持した。2018年2月1日、Paul.J.Sobel がCOSOの新委員長に就任した。
歴史
[編集]1970年代半ばの企業による政治キャンペーンへの資金提供と海外での汚職行為に疑義が生じたため、米国証券取引委員会(SEC)と米国議会は選挙資金法の改革と国境を越えた贈収賄を違法とする1977年連邦海外腐敗行為防止法(FCPA)制定を行い、企業に内部統制プログラム実施を義務づけた。これを受けて、企業の不正な財務報告書を調査・分析・勧告するための民間主導のトレッドウェイ委員会が1985年に結成された。
トレッドウェイ委員会は、1985年10月から1987年9月までの期間に金融情報システムを調査し、1987年10月に調査結果と推奨事項のレポート「不正な金融情報に関する全国委員会のレポート」を発行した[1]。この最初の報告の結果として、支援組織委員会(COSO)が設立され、大手会計事務所であるクーパース・アンド・ライブランドに問題点の調査と統合的な内部統制の枠組みについての報告書の執筆を依頼した。
1992年9月、『内部統制:統合的枠組み(英語: Internal control: integrated framework』[2]というタイトルの4巻の報告書(COSOレポート)が、COSOによって発行され、1994年に微修正を加えて再発表された。この報告書は、内部統制の共通の定義を提示し、内部統制システムを評価・改善するための枠組みを提供した。この報告書は、米国企業がFCPAへの適合性を評価する際の基準となっている。2006年に発行された雑誌『CFO』が実施した調査によると、回答者の82%が内部統制のためにCOSOの枠組みを使用していると答えている。回答者の中には、『内部統制-統合的枠組み』の他にも、COBIT、AS2(PCAOBの監査基準第2号)、SAS55/78(AICPA)などの枠組みを使用している者もいた[3]。
コンプライアンスなどの内部統制の統合的枠組み
[編集]『内部統制-統合的枠組み』の重要な概念
[編集]『内部統制-統合的枠組み』には、いくつかの重要な概念が含まれる。
- 内部統制はあくまで「プロセス」である。それは目的を達成するための手段であり、それ自体が目的ではない。
- 内部統制は「人」によって行われる。それは単にポリシー・マニュアル・形態に関するものではなく、組織のあらゆる階層の人々に関するものである。
- 内部統制は、企業体における管理や訓令の絶対的な安全性ではなく、「合理的な安全性」の提供のみを機体することができるものである。
- 内部統制は、1つ以上の別個であるが重複するカテゴリーで「目的」を達成することを目的としている。
内部統制と枠組みの目的の定義
[編集]『内部統制-統合的枠組み』では、内部統制を、以下のカテゴリーの目的達成に関して「合理的な安全性」を提供するために、企業体の取締役会・経営陣・その他要員によって実行されるプロセスであると定義している。
- 「業務」の有効性と効率性
- 「財務報告」の信頼性
- 適用される法律および規制への「コンプライアンス」
5つの構成要素
[編集]『内部統制-統合的枠組み』は、行政がビジネスを管理する方法から派生した5つの相互に関連する要素で構成される。 COSOによると、これらの構成要素は、組織に実装された内部統制システムを記述し、分析するための効果的な枠組みを提供する。金融規制( 1934年証券取引法[4]参照)で求められているように、5つのコンポーネントは次のとおり。
「統制環境」:統制環境は、組織の気風を決定し、その従業員の統制に対する意識に影響を与える。内部統制の他の4つの構成要素の基礎をなすとともに、規律と構造を提供する[5]。統制環境の要素には、誠実性・倫理的価値観、統制の運用スタイル、権限委譲システム、組織の人材を管理・成長させるためのプロセスが含まれている。
「リスクアセスメント(リスク評価)」:いずれの企業体も、外部・内部からの様々なリスクに直面しており、そのリスクを評価しなければならない。リスク評価の前提条件は、目的の設定であり、リスク評価とは、与えられた目的の達成に関連するリスクを特定し、分析することである。リスクアセスメントは、リスクをどのように管理すべきかを決定するための前提条件である。リスクアセスメントに関連する4つの基本原則は、組織が明確な目的を持ち、その目的に関連するリスクを特定・評価できるようにすること、リスクをどのように管理すべきかを決定すること、不正行為の可能性を考慮すること、内部統制に影響を与える可能性のある変化をモニタリングすることである。
「統制活動」:統制活動は、経営上の指示が確実に実行されるようにするための方針と手続きのことである。それらは、企業の目的の達成を妨げる可能性のあるリスクに対処するために必要な措置が講じられることを確実にするのに役立つ。統制活動は、組織全体、すべての階層、およびすべての機能で発生する。それらには、承認・認可・検証・照合・運用実績のレビュー・資産の安全性・セグリゲーションなどの多様な活動が含まれる。
「情報及び伝達」:情報システムは、内部統制システムにおいて重要な役割を果たしており、業務情報・財務情報・コンプライアンス情報などの報告書を作成し、業務の運営と統制を可能にする。広義の意味では、効果的なコミュニケーションは、情報が組織の下、横、上に流れるものでなければならない。例えば、不正行為の疑いがある場合、個人が報告するための正式な手続きなどが挙げられる。また、顧客・サプライヤー・規制当局・株主などの外部関係者との効果的なコミュニケーションも保証されなければならない。
「モニタリング(監視)」 :内部統制システムは、システムパフォーマンスの品質を時間の経過とともに評価するプロセスあるモニタリングを行わなければならない。これは、継続的な活動または個別の評価を通じて達成される。これらの活動を通じて検出された内部統制の欠陥は、上流で報告する必要があり、システムの継続的な改善を確実にするために是正措置を講じる必要がある。
制限事項
[編集]内部統制には人間の行動が含まれ、起訴や裁判で誤りが生じる可能性がある。内部統制は、従業員間の共謀(セグリゲーションの項目を参照)または上級管理職による強制によって無効にされることもありうる。
雑誌『CFO』は、企業がCOSOが提供する複雑なモデルを適用するのに苦労していると報じている。曰く、「最大の問題の1つは、内部監査を枠組みの3つの主要な目的のうちの1つに限定していることである。COSOモデルでは、これらの目的は5つの主要要素(統制環境、リスクアセスメント、統制活動、情報及び伝達、モニタリング)に適用される。起こりうるマトリックスの数を考えると、監査の数が制御不能になっても不思議ではない [6]」として、多くの組織が COSO モデルを取り入れ、サーベンス・オクスリー法第404条に直接関連するコンポーネントに焦点を当てるように変更することにより、独自のリスクと管理のマトリックスを作成していると続けている。
ビジネスリスクマネジメント
[編集]2001年、COSOはプロジェクトを開始し、 プライスウォーターハウスクーパースと契約して、行政機関が組織のビジネスリスクマネジメントを評価・改善するために簡単に使用できる枠組みを開発した。注目を集めた企業スキャンダルと破綻(例:エンロン、タイコ・インターナショナル、アデルフィア・コミュニケーションズ、ペレグリンシステムズ、ワールドコム)は、コーポレート・ガバナンスとリスクマネジメントの改善を求める声を生み出した。その結果、サーベンス・オクスリー法が制定された。この法律は、公開会社が内部統制システムを維持すべしとする長年の要求事項を拡張したもので、経営者・独立監査人それぞれにシステムの有効性の認証を要求するものとなっている。『内部統制-統合的枠組み』は、これらの報告要件を満たすための「広く受け入れられた基準」として機能し続けているが、2004年にCOSOは 『エンタープライズ・リスク・マネジメント - 統合的枠組み(英語: Enterprise Risk Management - Integrated Framework)』(ERM)を公開した[7][8]。 COSOは、この枠組みが内部統制の分野で拡大され、ビジネスリスクマネジメントのより広範な問題に対して、より強固で広範なアプローチを提供していると考えている。
ビジネス目的の4つのカテゴリー
[編集]ERMは、依然として企業体の目的を達成することを目的としている。ただし、現在は、次の4つのカテゴリーが含まれる[9]。
- 戦略:高レベルの目的に関するもので、記号のミッションを支える(戦略策定)
- 業務:経営資源の効果的、効率的な活用に関するもの(業務の有効性・効率性)
- 報告:企業報告の信頼性に関するもの(報告の信頼性)
- コンプライアンス:企業体に適用される法規の遵守に関するもの(関連法規の遵守)
8つの構成要素
[編集]ERMにおける8つの構成要素は、旧『内部統制-統合的枠組み』の5つの要素を包含しており、リスクマネジメントに対する需要の高まりに対応するためにモデルを拡張した[7]。
「内部環境」:内部環境は、組織の気風を包含し、リスクマネジメントの哲学やリスク選好度、誠実さや倫理的価値観、それらが活動する環境など、リスクをどのように見て、企業の人がどのように対処するかの基礎を確立している。
「目標の設定」:経営者がその達成に影響を及ぼす可能性のある事象を特定する前に、目標が存在していなければならない。事業リスクマネジメントは、経営者が目的を設定するためのプロセスを実施し、選択した目的が企業のミッションを支持し、それに沿ったものであり、リスクに対する意欲と一致していることを保証するものである。
「事象の特定」:企業の目的の達成に影響を与える内部および外部のできごとは、リスクと機会を区別して識別されなければならない。機会は、経営戦略または目標設定プロセスに再転換される。
「リスクアセスメント」:リスクは、どのように管理すべきかを決定するための基礎として、確率と影響を考慮して分析される。リスクは、内在性・残留性の両面で評価される。
「リスク対応」:経営者は、リスクを企業のリスク選好度とリスクを整合させるための一連のアクションを開発し、リスク対応(回避、受容、軽減、分担・共有)を選択する。
「統制活動」:リスク対応が効果的に行われるように、方針と手順が確立され、実施される。
「情報及び伝達」:関連情報は、人々が責任を果たすことができるような方法と時間枠で識別され、捕捉され、伝達される。効果的なコミュニケーションは、より広い意味で、企業体を上下、横断して流れていくものである。
「モニタリング」:ビジネスリスクマネジメント全体をモニタリングし、必要に応じて修正を行う。モニタリングは、継続的な管理活動、個別の評価、またはその両方によって達成される。
COSOは、ERMは、新しい法律・規制や上場基準の遵守に必要な基準を満たし、かつ、多くの企業その他ステークホルダーが受け入れられる、組織要素とリスクマネジメントの目的との相互関係の明確な定義を提供したとしている。
制限事項
[編集]COSOは報告書の中で、ビジネスリスクマジメントには大きなメリットがあるものの、限界があることを認めている。ビジネスリスクマネジメントは人間の判断に依存しているため、意思決定の影響を受けやすくなっている。単純なエラーなどの人的ミスは、不十分なリスク対応につながる可能性がある。さらに、2人以上の人が共謀することで統制を回避でき、経営陣はビジネスリスクマネジメントの決定を無効にすることが可能となっている。これらの制限により、取締役会と経営陣は、企業体の目的の達成に関して絶対的な安全性を確保することができない。
哲学的な見地から、COSOはより統制を重視している。したがって、機会を逃すリスクではなく、悪影響を与える可能性のあるリスクに偏重している(ISO 31000を参照のこと)。
COSOは、拡張モデルはより多くのリスクマネジメントを提供するとしているが、企業は旧『内部統制-統合的枠組み』を使用している場合、新モデルに変更する必要はない。
財務報告に係る内部統制-小規模会社向けのガイダンス
[編集]『財務報告に係る内部統制-小規模会社向けのガイダンス(英語: Internal control over financial information - Guidance for small public companies)[10]』には、小規模な公開企業が1992年の『内部統制-統合的枠組み』の概念を適用するためのガイダンスが含まれている。本書は、財務情報の目標達成を支援するための内部統制の設計と実施を支援するために、小規模な公開会社がこれらの概念を適用できることを示している。また、1992年の枠組みの20の主要な原則を強調し、原則に基づいた内部統制のアプローチを提供している。本書で説明されているように、2006年のガイドラインは、あらゆる規模と種類の企業に適用される[11]。
内部統制システムの関するガイダンス
[編集]企業は内部統制の質の向上のために多額の投資を行ってきたが、COSOは、多くの組織が『内部統制-統合的枠組み』のモニタリング要素の重要性と評価プロセスの合理化に果たす役割を十分に理解していないことを指摘している。2009年1月、COSOは、内部統制モニタリング要素を明確にするために、『内部統制システムモニタリングガイダンス(英語: Guidance on monitoring internal control systems)』を発表した。
時間の経過とともに、効果的なモニタリングを行うことで、問題が事後対応ではなく事前に特定され、対処されるため、組織の効率化と内部統制に関する公開情報に関連するコストの削減につながる可能性がある。
このCOSOモニタリングガイドは、2006年のCOSOガイドで最初に確立された2つの基本原則に基づいている。
- 継続的および/または個別の評価により、経営陣は、内部統制の他の要素が長期にわたって機能し続けるかどうかを判断できる。
- 内部統制の不備を特定し、是正措置を講じる責任者、経営陣および取締役会に適時に伝達する。
また、モニタリングガイドでは、これらの原則は、3つの一般的な要素に基づいたモニタリングによって達成されるのが最善であることを示唆している:
- (a)適切なトップの姿勢を含むモニタリングの基礎の確立す、(b)適切な能力・客観性・権限を持つ人々にモニタリングの役割を割り当てる効果的な組織構造、 (c)継続的なモニタリングと個別の評価を実施できる既知の効果的な内部統制の出発点または「ベースライン」、を含む、モニタリングの基礎を確立する。
- 組織の目的の「重大なリスク」に対処する「キーコントロール」の操作に関する「説得力のある情報」に焦点を当てたモニタリング手順を設計・実行。
- 特定された欠陥の重大性を評価し、モニタリング結果を適切なスタッフと取締役会に報告して、タイムリーなアクションと必要に応じてフォローアップするなど、結果を評価・報告。
内部監査の役割
[編集]内部監査人は、制御システムの有効性を評価する上で重要な役割を果たす。内部監査は、上級管理職に通知する独立した機能として、組織によって実装された内部統制システムを評価し、継続的な有効性に貢献することができる。そのため、内部監査はしばしば重要な「モニタリング」の役割を果たす。判断の独立性を維持するために、内部監査は、評価することになっている統制の設計、確立、または維持において直接的な責任を負わないものとする。可能な改善についてのみアドバイスできる。
外部監査の役割
[編集]サーベンス・オクスリー法第404条に基づき、経営者及び外部監査人は、会社の財務情報に係る内部統制の妥当性について報告しなければならない。公開企業会計監視委員会によって発行された監査基準第5号は、監査人が「経営者が財務情報に係る内部統制の有効性の年次評価に使用するのと同じ適切かつ認識された統制の枠組みを使用して、財務情報に関する内部統制監査を実施する」ことを要求している[12]。2013年インド会社法第143条(3)項(i)においても、法定監査人は財務情報の内部統制についてのコメントが求められる。
『内部統制-統合的枠組み』更新プロジェクト
[編集]2010年11月、COSOは『内部統制-統合的枠組み』を見直し、複雑化するビジネス環境に即したものにするためのプロジェクトを発表した[13]。5つの構成要素に変更はない。更新された枠組みの新たな特徴は、当初の枠組みで導入された内部統制の概念が、5つの構成要素の中で明示的に列挙された17の原則に体系化されるようになったことである[14]。変更点としては、当初の枠組みが公表された1992年当時広く利用されていなかった、電子メールやインターネットなどのテクノロジーに関する内部統制が含まれている[15] 。更新された枠組みとともに、COSOは以下の文書を公表する予定である。
- 外部財務報告に係る内部統制[16](ICEFR):アプローチと事例の概要-ユーザーが枠組みを外部財務情報の目的に適用する際に役立つように開発された。
- 図解ツール:更新された枠組みに記載されている要求事項に基づいて、利用者が内部統制システムの有効性を評価するのに役立つように開発された[17]。
脚注
[編集]- ^ http://www.coso.org/Publications/NCFFR.pdf, "Report of the National Commission on Fraudulent Financial Information", obtained on March 23, 2011.
- ^ “Archived copy”. 2009年2月28日時点のオリジナルよりアーカイブ。2009年4月21日閲覧。
- ^ http://www.cfo.com/article.cfm / 5598405 / c_2984409 /? f = archives Archived 2011-06-14 at the Wayback Machine., "The Trouble with COSO", March 15, 2006, accessed March 23, 2011.
- ^ 17 CFR Section 240 15d-15, obtained on March 23, 2011.
- ^ “統制環境|サービス:リスクマネジメント”. デロイト・メンバーファーム. デロイトトーマツグループ. 2020年10月31日閲覧。
- ^ http://www.cfo.com/article.cfm/5598405/2/c_5620756, CFO Magazine, Accessed on March 23, 2011.
- ^ a b 野村亜紀子 (2005年). “公表されたエンタープライズ・リスク・マネジメント(ERM)の統合的枠組み”. www.nicmr.com. 野村資本市場研究所. 2020年11月1日閲覧。
- ^ http://www.coso.org/Publications/ERM/COSO_ERM_ExecutiveSummary.pdf, "Enterprise Risk Management - Integrated Framework", accessed March 23, 2011.
- ^ 野村亜紀子 (2005年). “公表されたエンタープライズ・リスク・マネジメント(ERM)の統合的枠組み”. www.nicmr.com. 野村資本市場研究所. 2020年11月1日閲覧。
- ^ “COSO小規模会社向け内部統制ガイダンス”. デロイト・メンバーファーム. 2020年11月1日閲覧。
- ^ http://www.coso.org/IC.htm, accessed December 28, 2012.
- ^ “Archived copy”. 2007年10月7日時点のオリジナルよりアーカイブ。2009年4月21日閲覧。, (AS No. 5.5), retrieved on March 23, 2011.
- ^ http://www.coso.org/documents/ COSOReleaseNov2010_000.pdf, COSO press release, November 18, 2010.
- ^ http://www.coso.org/documents/COSO%20ICIF% 20Press% 20Release% 2012% 2019% 2011% 20FINAL2.pdf, COSO press release, December 19, 2011.
- ^ Tysiac, Ken (March 2012). “Internal control, revisited”. Journal of Accountancy (American Institute of Certified Public Accountants) 213 (3): 24–29. ISSN 0021-8448 .
- ^ “改訂COSO内部統制フレームワーク FAQ”. プロティビティLLC. 2020年11月1日閲覧。
- ^ http://www.coso.org/documents/COSO%20ICIF% 20Press% 20Release% 2009% 2018% 202012.pdf, COSO Press Release, September 18, 2012.
関連項目
[編集]外部リンク
[編集]- COSO
- www.cpa2biz.com/COSOEvalTools,COSOの評価テンプレートを作成。
- 『COSO』 - コトバンク