Risk Oversight vol.76 : COSO 2013 : 何を学んだか？

財務報告に係る内部統制を効果的に維持する上でUS-SOX 法への準拠が大切であることは言うまでもありません。しかし、 一方で同様に、取締役会がリスク監視のために内部統制をど う位置づけるかを考える上で学ぶべき重要なポイントがありま す。以下、このポイントについて概説します。

統制環境は組織のレピュテーション、ブランドイメージを守るた めに重要である。─      COSOフレームワークの当初発表以後（1992 年）、多くのオペレーション、コンプライアンス、報告書に 関する企業の不祥事がありました。それを特定しませんが（い くつかは有名な話ですが）、それらの会社のほとんど全ての取 締役の方々には、過去残念ながら不祥事等で責め立てられた 記憶があることでしょう。これらの会社には問題となった危機 に対する統制環境が乏しかったものと思われます。

内部統制の重要な要素として、統制環境は、内部統制に係わ る強い組織カルチャー形成のための基盤となります。統制環 境とは、ポリシー、基準、手続そして組織全体に対し効果的な 内部統制を行える仕組みなどで成り立っています。取締役や 上級経営者たちは、自分の行動、意思決定、コミュニケーション を通じて、内部統制の重要性に関する「トップの姿勢」を示しま す。経営者は中層部にトップの姿勢を浸透させる努力を行うこ とによって、企業内の様々な層の意識を高めることができます。

COSOフレームワークによると、統制環境とは下記で成り立って います：

• 組織としての誠実性と倫理観に対するコミットメントの表明
• 取締役が、監視を通じてガバナンスに対する責任を遂行す ること
• 組織構造と、責任・権限の委譲
• 有能な人材の採用、育成、維持
• 個人の業績、報酬、各種のインセンティブなどの評価基準の 厳正化（パフォーマンス評価の説明責任を果たす。）

しっかりした企業文化と内部統制に対する効果的なマネジメン トの支援がなければ、企業は統制に亀裂を生じ、評判とブラン ドイメージを傷つけることになります。おそらくこれらの問題が 最近大ニュースとなった不祥事の要因となっているでしょう。

統制環境は外注プロセスも対象となる ─ 企業は自社内だけ でなく、戦略的パートナーシップなどの関係により、外部と共に 活動しています。「企業の内部統制責任」と「外注サービス 提供者の内部統制への責任」の区別が不明確になる中、両 社のコミュニケーションに対して高度の統制が必要となります。 例えば、自社に代わってビジネスプロセスの一部を担当する外 注業者から得る情報、または自社の業務遂行上依存せざるを 得ない外部企業からの情報についても、自社の内部情報と同 等の内部統制が求められます。

要するに、マネジメントは外注先に対しての統制においても責任 があるということになります。従って、トップダウンのリスクアプロー チで関連あるとされたものに対しては、オペレーション、コンプライ アンス、報告に関する内部統制評価の際に、外部企業について も範囲対象に含めることとなります。外注先等で処理された情 報に依拠する際の統制としては、下記があげられます。：

• 外注先デューデリジェンス
• 外注先等との契約に監査権限条項を入れること
• 同条項権限を行使すること
• 外注先等が実施する統制に対して独立的に評価できる権 利を取得すること。（例：サービス・オーガニゼーション・コン トロール・レポート＝SOC 1 レポート）
• 外注先とのやり取りに対する効果的なインプットとアウトプット への統制

定期的なリスク評価は、具体的な不正の可能性を考慮して 行わなければならない ─ 継続的なリスク評価は、効果的な 内部統制を保持するために必須とされるトップダウン・リスク ベースアプローチの一部です。これらの評価を通して、取締 役会は、経営陣が財務関連・非財務関連報告に不正がない か（例：内部統制報告書、サスティナビリティ報告書、規制当局 への報告書）、資産の横領、違法行為などの可能性を適切に 評価していることを確認すべきです。さらに、第三者による不 正の可能性も多くの企業に該当する問題です。

COSOフレームワークは、不正リスクの要素として次のようなも のがあげられます：会計方針の適用に関するマネジメントの偏 見、報告書内での判断基準、業界でよくある不正スキーム、組 織が活動する地域、不正を誘引する業績連動型報酬、財務・ 非財務領域における怪しげな情報の操作、異常なまたは複雑 怪奇とも言える取引、わざと実態を見えにくくするストラクチャー の構築、マネジメントによる統制の逸脱（オペレーション、コンプ ライアンス、報告などに対する統制）など。

US-SOX 法準拠から学んだ大切なこと ─ 報告書の質は服 の袖のような存在です。袖がきれいに洗濯されていると誰も 気づきません。袖に泥や垢がついていたら皆が気づきます。 このたとえは財務報告にもあてはまります。投資家は報告書 の公平性を当たり前としているからです。しかし、上場会社が 既に公開した財務諸表について、会計原則の適用上の誤りが あったために書き換えたり、重要事項の漏れ、不正使用などが あれば、投資家は気づきます。つまり、市場は報告書の質を額 面でとらえています。一度企業が一般投資家からの報告書 に対する信用を失うと、取り戻すのは難しいのです。US-SOX 法への準拠は米国では重要です。ICFRにおける重要な欠 陥は、投資家に対する報告書の不備への初期段階の警告と なります。私達は、1992年版から2013年版COSOフレームワー クへの移行作業の中で教訓を得ることができました。これらの 学びの中で最も重要だったのは、「US-SOX 法を守るためには トップダウン・リスクベースアプローチが不可欠である」というこ とです。改訂フレームワークを使用して範囲と目的を決める際、 企業はこのアプローチを忘れることがあります。その結果、統 制テストや文書化をやりすぎてしまったりしています。2013 年 COSOフレームワークは、US-SOX 法の遵守にトップダウン・リス クベースアプローチこそが必要という本質を変えていない、と いうことをいくら強調しても足りません。

他の学びとしては、下記があげられます：

• 早い段階に頻繁に外部監査人と会うことにより、改訂フレー ムワークへの移行を、監査人の考えに一致した方向性で適 切な手続きにより進められること。
• フレームワークの着眼点に集中することで、COSOフレーム ワークであげられている原則にキーコントロールを関連づけ る効果的なマッピングアプローチが可能となること。現存す る統制文書から始め、フレームワークの構成要素の本質を 考える。
• 間接的統制（全社統制とよばれることが多い）をテストする 際、ICFRに密接に結びついた目標に焦点をあててテストの 深度を調整しましょう。例えば、身元調査をする際、社員全 員を対象とするのではなく、財務報告書に責任のある人の みを対象とする（経営者が財務報告の範囲を超えた範囲を もカバーしようと思っていない限り）など。
• 統制が求められているレベルに達しているかを確かめるた めに、間違いの発見や修正の履歴を調べながら、統制の詳 細を理解し、文書化する。
• キーコントロールの実行をサポートするために、企業が作成 した情報の網羅性と正確性を評価する。公開企業会計監 視委員会の調査報告書では、監査人に対し、もっとシステム レポート、クエリやエクセルの検証に重点を置くよう促す。

2013COSOフレームワークのオペレーション、コンプライアン ス、その他の報告目的への適用は新しい領域 ─ 改訂フレー ムワークを適用する上で、ほとんどの企業はICFRのみに注目 しています。フレームワークはUS-SOX 法に特化したものだと 思っている企業さえありますが、これは誤った理解です。オペ レーション、コンプライアンス、その他報告など他の目的において もフレームワークを使う利点はありますが、これらの努力はUS- SOX法準拠とは分けて行われなければなりません。進んでい る企業はCOSOフレームワークを他の領域にも適用していま す。例えばサスティナビリティ報告書、規制遵守や連邦補助 金のコントロールなどです。