Risk Oversight vol.76 : COSO 2013 : 何を学んだか?

改訂COSO 内部統制の統合的フレームワークは、2013 年 5 月に発行されました。 発行以来、いくつか重要な学びが ありました。その一部を本資料の中で考察します。

3 年前、トレッドウェイ委員会組織委員会(“COSO”)は、改訂内 部統制―統合的フレームワーク(フレームワーク)を発表しまし た。以来、米国証券取引所に上場している多くの企業にとって、 米国 SOX法 404 条(以下 US-SOX法)に準拠すべく、改訂フ レームワークの実施は重要な業務となりました。背景としては、 US-SOX法の要請として、米国証券取引委員会(SEC)は、財 務報告に係る内部統制 (ICFR) の評価の基準として、各企業 が「適切なフレームワーク」を使用することを求めているからで す。 COSOのフレームワークはSECの唱える適切性基準を 満たしており、結果として、ほとんどの企業が旧フレームワーク から改訂フレームワークへ移行しました。

日本語版PDF         英語版PDF

財務報告に係る内部統制を効果的に維持する上でUS-SOX 法への準拠が大切であることは言うまでもありません。しかし、 一方で同様に、取締役会がリスク監視のために内部統制をど う位置づけるかを考える上で学ぶべき重要なポイントがありま す。以下、このポイントについて概説します。

統制環境は組織のレピュテーション、ブランドイメージを守るた めに重要である。─      COSOフレームワークの当初発表以後(1992 年)、多くのオペレーション、コンプライアンス、報告書に 関する企業の不祥事がありました。それを特定しませんが(い くつかは有名な話ですが)、それらの会社のほとんど全ての取 締役の方々には、過去残念ながら不祥事等で責め立てられた 記憶があることでしょう。これらの会社には問題となった危機 に対する統制環境が乏しかったものと思われます。

内部統制の重要な要素として、統制環境は、内部統制に係わ る強い組織カルチャー形成のための基盤となります。統制環 境とは、ポリシー、基準、手続そして組織全体に対し効果的な 内部統制を行える仕組みなどで成り立っています。取締役や 上級経営者たちは、自分の行動、意思決定、コミュニケーション を通じて、内部統制の重要性に関する「トップの姿勢」を示しま す。経営者は中層部にトップの姿勢を浸透させる努力を行うこ とによって、企業内の様々な層の意識を高めることができます。

COSOフレームワークによると、統制環境とは下記で成り立って います:

  • 組織としての誠実性と倫理観に対するコミットメントの表明
  • 取締役が、監視を通じてガバナンスに対する責任を遂行す ること
  • 組織構造と、責任・権限の委譲
  • 有能な人材の採用、育成、維持
  • 個人の業績、報酬、各種のインセンティブなどの評価基準の 厳正化(パフォーマンス評価の説明責任を果たす。)

しっかりした企業文化と内部統制に対する効果的なマネジメン トの支援がなければ、企業は統制に亀裂を生じ、評判とブラン ドイメージを傷つけることになります。おそらくこれらの問題が 最近大ニュースとなった不祥事の要因となっているでしょう。

統制環境は外注プロセスも対象となる ─ 企業は自社内だけ でなく、戦略的パートナーシップなどの関係により、外部と共に 活動しています。「企業の内部統制責任」と「外注サービス 提供者の内部統制への責任」の区別が不明確になる中、両 社のコミュニケーションに対して高度の統制が必要となります。 例えば、自社に代わってビジネスプロセスの一部を担当する外 注業者から得る情報、または自社の業務遂行上依存せざるを 得ない外部企業からの情報についても、自社の内部情報と同 等の内部統制が求められます。

要するに、マネジメントは外注先に対しての統制においても責任 があるということになります。従って、トップダウンのリスクアプロー チで関連あるとされたものに対しては、オペレーション、コンプライ アンス、報告に関する内部統制評価の際に、外部企業について も範囲対象に含めることとなります。外注先等で処理された情 報に依拠する際の統制としては、下記があげられます。:

  • 外注先デューデリジェンス
  • 外注先等との契約に監査権限条項を入れること
  • 同条項権限を行使すること
  • 外注先等が実施する統制に対して独立的に評価できる権 利を取得すること。(例:サービス・オーガニゼーション・コン トロール・レポート=SOC 1 レポート)
  • 外注先とのやり取りに対する効果的なインプットとアウトプット への統制

定期的なリスク評価は、具体的な不正の可能性を考慮して 行わなければならない ─ 継続的なリスク評価は、効果的な 内部統制を保持するために必須とされるトップダウン・リスク ベースアプローチの一部です。これらの評価を通して、取締 役会は、経営陣が財務関連・非財務関連報告に不正がない か(例:内部統制報告書、サスティナビリティ報告書、規制当局 への報告書)、資産の横領、違法行為などの可能性を適切に 評価していることを確認すべきです。さらに、第三者による不 正の可能性も多くの企業に該当する問題です。

COSOフレームワークは、不正リスクの要素として次のようなも のがあげられます:会計方針の適用に関するマネジメントの偏 見、報告書内での判断基準、業界でよくある不正スキーム、組 織が活動する地域、不正を誘引する業績連動型報酬、財務・ 非財務領域における怪しげな情報の操作、異常なまたは複雑 怪奇とも言える取引、わざと実態を見えにくくするストラクチャー の構築、マネジメントによる統制の逸脱(オペレーション、コンプ ライアンス、報告などに対する統制)など。

US-SOX 法準拠から学んだ大切なこと ─ 報告書の質は服 の袖のような存在です。袖がきれいに洗濯されていると誰も 気づきません。袖に泥や垢がついていたら皆が気づきます。 このたとえは財務報告にもあてはまります。投資家は報告書 の公平性を当たり前としているからです。しかし、上場会社が 既に公開した財務諸表について、会計原則の適用上の誤りが あったために書き換えたり、重要事項の漏れ、不正使用などが あれば、投資家は気づきます。つまり、市場は報告書の質を額 面でとらえています。一度企業が一般投資家からの報告書 に対する信用を失うと、取り戻すのは難しいのです。US-SOX 法への準拠は米国では重要です。ICFRにおける重要な欠 陥は、投資家に対する報告書の不備への初期段階の警告と なります。私達は、1992年版から2013年版COSOフレームワー クへの移行作業の中で教訓を得ることができました。これらの 学びの中で最も重要だったのは、「US-SOX 法を守るためには トップダウン・リスクベースアプローチが不可欠である」というこ とです。改訂フレームワークを使用して範囲と目的を決める際、 企業はこのアプローチを忘れることがあります。その結果、統 制テストや文書化をやりすぎてしまったりしています。2013 年 COSOフレームワークは、US-SOX 法の遵守にトップダウン・リス クベースアプローチこそが必要という本質を変えていない、と いうことをいくら強調しても足りません。

他の学びとしては、下記があげられます:

  • 早い段階に頻繁に外部監査人と会うことにより、改訂フレー ムワークへの移行を、監査人の考えに一致した方向性で適 切な手続きにより進められること。
  • フレームワークの着眼点に集中することで、COSOフレーム ワークであげられている原則にキーコントロールを関連づけ る効果的なマッピングアプローチが可能となること。現存す る統制文書から始め、フレームワークの構成要素の本質を 考える。
  • 間接的統制(全社統制とよばれることが多い)をテストする 際、ICFRに密接に結びついた目標に焦点をあててテストの 深度を調整しましょう。例えば、身元調査をする際、社員全 員を対象とするのではなく、財務報告書に責任のある人の みを対象とする(経営者が財務報告の範囲を超えた範囲を もカバーしようと思っていない限り)など。
  • 統制が求められているレベルに達しているかを確かめるた めに、間違いの発見や修正の履歴を調べながら、統制の詳 細を理解し、文書化する。
  • キーコントロールの実行をサポートするために、企業が作成 した情報の網羅性と正確性を評価する。公開企業会計監 視委員会の調査報告書では、監査人に対し、もっとシステム レポート、クエリやエクセルの検証に重点を置くよう促す。

2013COSOフレームワークのオペレーション、コンプライアン ス、その他の報告目的への適用は新しい領域 ─ 改訂フレー ムワークを適用する上で、ほとんどの企業はICFRのみに注目 しています。フレームワークはUS-SOX 法に特化したものだと 思っている企業さえありますが、これは誤った理解です。オペ レーション、コンプライアンス、その他報告など他の目的において もフレームワークを使う利点はありますが、これらの努力はUS- SOX法準拠とは分けて行われなければなりません。進んでい る企業はCOSOフレームワークを他の領域にも適用していま す。例えばサスティナビリティ報告書、規制遵守や連邦補助 金のコントロールなどです。

取締役は、自社の業務遂行における潜在リスクに関し、下記の 問いについて検討するようお勧めします:

  • 取締役は、自社の統制環境が有効に機能しているか、特に 注目してきましたか。
  • 自社は、定期的に不正リスクに関するアセスメントしています か。取締役は、第三者による不正リスクが許容範囲内に収 められていると考えますか。
  • 企業のUS-SOX法準拠手続は、トップダウン・リスクベースア プローチで行われていますか。また、その手続の費用対効 果は適正と考えますか。
  • 経営者は、COSOフレームワークを非財務諸表報告に対す る内部統制の向上に適用しようとしていますか。

プロティビティは、取締役会や上級経営者に対して、企業戦略 やビジネスプランに潜む潜在的リスクを、企業本体はもちろん、 様々なオペレーションユニットを対象として評価し、それらのリス クを軽減する内部統制をはじめ、あらゆる方法の支援を行い ます。企業の評判やブランドイメージを損ね、企業戦略の成功 を妨げかねないリスクを特定して、優先順位をつけ、対処する 支援を提供します。プロティビティは、COSOフレームワーク(オ ペレーション、コンプライアンス、レポーテイング)を適用した内部 統制の実施を支援します。

全ての関連情報は

こちらへ
Loading...