改訂COSO内部統制フレームワーク FAQ はじめに 内部統制や全社的リスクマネジメント(ERM)、不正抑止に関するガイダンスを提供するオピニオンリーダーであるトレッドウェイ委員会支援組織委員会(COSO)は、2013年5月に待望の改訂内部統制の統合的フレームワーク(新フレームワーク)を公表した。 1992年にCOSOによって公表された当初の統合的フレームワーク(当初フレームワーク)は、幅広く受け入れられてきた。とりわけ、サーベンス・オクスレー法404 条に準拠するための、米国上場企業による財務報告に係る内部統制の有効性に関する報告に適用されるフレームワークとして広く普及している。また、米国外においても類似の規制への対応に活用され、例えば日本では、404条と類似した規制要件(一般的にJ-SOXと呼ばれる)に対して活用されている。今日、長い期間をかけて実用化されてきたこのフレームワークは、内部統制の整備および評価に関するガイダンスとして、指導的な役割を果たしてきていると広く認知されている。 企業は財務報告に係る統制のためにCOSOフレームワークを活用する一方で、業務、コンプライアンス、その他の報告目的に係る内部統制評価にも適用できるCOSOフレームワークの改訂は非常に重要な意味を持つ。なぜなら、新フレームワークは、組織が重要な事業目的を達成し、業務執行を維持・改善するために、組織に内部統制の費用対効果を高める努力を促すからである。また、新フレームワークは、事業環境の複雑化や急速な変化に適応し、リスクを許容可能水準で管理し、意思決定に関する情報の信頼性を改善したいとする組織を支援する。サーベンス・オクスレー法に準拠するためや他の目的で当初フレームワークを活用している企業は、新フレームワークおよび付属資料を理解し、移行プランを決め、いつ組織に新フレームワークを採り入れるかについて、適切なステークホルダーと話し合わなければならない。このガイドは、企業がそうした対応に着手する助けになれば幸いである。新フレームワークはCOSOのホームページから入手できる。1. COSOとは何か?COSO(The Committee of Sponsoring Organizations)は、1985年に、「不正な財務報告に関する国家委員会」を支援し、不正な財務報告を引き起こす原因や要因を研究するために独立した民間セクターとして組織された。また、COSOは上場企業や独立会計監査人、米国証券取引委員会(SEC)やその他の規制当局、教育機関に対して勧告も行った。COSOは、米国に本拠地を置いている5つの主要な専門職団体、アメリカ会計学会(AAA)、アメリカ公認会計士協会(AICPA)、財務管理者協会(FEI)、内部監査人協会(IIA)、アメリカ管理会計士協会(IMA)により共同で支援を受けている。2. どのようにして現行フレームワークを改訂したか?2010 年にCOSOは新たな視点で現行フレームワークを見直すことを決め、プライスウォーターハウスクーパース(PwC)にプロジェクトを委託した。プロジェクトが進むなかで情報を得るために、業界、学識者、政府関係者や非営利企業の代表からなるCOSOのアドバイサリーカウンシルが組織され、プロティビティからは、そのアドバイザリーカウンシルに代表が出ている。パブリックコメントを募集するために公開草案が発表され、COSOは文書によるパブリックコメントとともにオンラインのサーベイでの回答形式でフィードバックを受け取った。このようなプロセスを経て、COSOはフレームワークを改訂し新フレームワークを公表した。3. どのようにして新フレームワークは整理されたか?PwCは、COSOボードによる指示のもとで、2 年半をかけて、新フレームワークとその関連文書を策定し、それはエグゼクティブサマリー、新フレームワーク本体と付録、ツール適用におけるガイド、外部財務報告に係る内部統制:適用方法および適用事例の解説(Compendium)から構成されている。4. なぜ1992年のフレームワークが改訂されたのか?「どこも悪くないものを、変にさわるな」。この古い諺のように、現行フレームワークに関する次の疑問が湧いてくる。「現行フレームワークは、どこか悪かったのか?」その答えを一言で言うと、悪かったわけではない。継続的な改善を進めるという観点から、COSOは過去20 年間に渡る変化を受けて、フレームワークの改訂を決断したものである。1992年以降、経営環境において以下のような多くの事象が発生してきた。ガバナンス監督への期待が高まっている。リスクとリスクベースアプローチに、より多くの注目が集まっている。市場や業務のグローバル化が大きなトレンドになっている。アウトソースや戦略的なサプライヤーなど、経営と組織構造がますます 複雑化している。テクノロジーは劇的に進化している。法律や規制、基準による要請がますます増加するとともに、複雑化して いる。我々はこれまで、1990年代のデリバティブの大破局、Long-Term Capital ManagementやEnronの破綻、さらには最近のグローバル金融危機など、目を見張るような大規模なガバナンス・内部統制の機能破綻に接してきた。これらの破綻は、数々のテーマにおいてさまざまな価値ある教訓を残してくれた。例えば、経営者による内部統制の無効化、利益相反問題、職務権限分掌の欠如、透明性の不足もしくは欠如、縦割り型のリスクマネジメント、非有効な取締役会の監視監督、機能不全または無責任な行動を促すもしくはそれを駆り立てるようなバランスを欠いた報酬制度などの結果、何が起こったかを見れば明らかである。いかなる内部統制のフレームワークでもこれらの課題全てに対する適切な答えを持ち合わせてはいないが、COSOの当初フレームワークが発行されて以来、多くのことが発生しており、フレームワークがそれらの変化に照らして改訂されることは大変意義のあることと言える。加えて、組織のあらゆる階層において上記の分野への対応、説明責任への期待がますます高まっていること、並びに不正の防止・発見に関する期待が高まっていることを考慮すると、20年目を迎えたフレームワークを更新して持続可能なものにしなければならないことは明白であった。5. 変わらなかったものは何か?当初フレームワークにおいてその有効性が証明された上での改訂であるため、当初フレームワークを利用してきた経験があれば、新フレームワークも馴染みのある点が多いことに気付くだろう。例えば、新フレームワークでは、内部統制の基本的な定義や、馴染みのある3次元キューブの形をした内部統制の5 構成要素を維持している。以下、さらに記述していく。内部統制の基盤となる定義は大きくは変わっていない。改訂後の定義では、報告目的の拡張が反映されている(後述):「内部統制とは、事業体の取締役会、経営者およびその他の構成員によって実行され、業務、報告およびコンプライアンスに関連する目的の達成に関して合理的な保証を提供するために整備された1つのプロセスである。」業務の有効性と効率性報告の信頼性関連法規の遵守キューブは、馴染みのあるものに維持されている。キューブ上面には、内部統制の3つの目的である、業務、報告やコンプライアンスが並んでいる。どの組織も関連する目的を制定し、それらを達成するための戦略や計画を策定する。下図の通り、キューブ側面には、目的が事業体全体もしくは事業体内の特定の部門や業務単位、機能(販売、購入、生産のような業務プロセスを含む)に焦点を当てて設定されることが描かれている。これは、大半の組織の階層的な構造を示している。キューブ正面には、内部統制の5構成要素がキューブの列として表されている。現行フレームワークと同様に、これらの構成要素は組織の目的達成を支援する。5 要素とは、統制環境、リスク評価、統制活動、情報と伝達、モニタリング活動である。それらは、事業体全体に関係し、全社レベル、部門、業務単位、機能、子会社もしくは事業体内の他の小組織において機能することを意味する。要は、キューブは、[1]組織の目的(事業体が何を達成したいか)、[2]内部統制の構成要素(目的を達成するために何が必要か)、そして[3]事業体の業務単位・法律上の事業体・他の組織構造(内部統制の構成要素が機能する組織のレベル)の3つの直接的な関係を描いている。各内部統制の構成要素は、内部統制の目的の3つのカテゴリーを横断して適用される。内部統制の定義やキューブの構造、その特質は現行フレームワークと基本的には同様であり、内部統制の有効性を評価するために使われる規準には大きな変更はない、新フレームワークで変更されていないことの一つとしては、「判断が必要」なことである。新フレームワークにおいても、内部統制システムの有効性を評価する際に、経営者の判断の重要性を強調している。特定の内部統制システムが有効かどうかを決めるということは、主観的な判断である。それは、内部統制の5つの構成要素の各々が存在し機能しているかどうか、そして関連する目的が達成されるとの「合理的な保証」を提供するために内部統制の5つの構成要素が共に運用されているか、という評価から判断される。この判断を促すために各々の内部統制の構成要素に関し原則が提供され、経営者は、これらのどの原則が存在しどの程度機能しているかを判断することになる。6. 何が変わったのか?新フレームワークでは、いくつかの重要な変更がある。そのうち、7つの論点について以下に述べる。 点目として、新フレームワークでは、内部統制の5つの構成要素を支援する原則を盛り込んでいる。当初フレームワークでは、内部統制の中心的な原則(Principle)は黙示的に示されていたが、新フレームワークは、内部統制の5つの構成要素に関連する基本概念を表す17の原則を明示的に記載している。COSOは、何が有効な内部統制を構成するかについて経営者の理解を深めるためにこれらの原則を明示的に示すことを決めた。営利企業(上場企業や私企業も含む)、非営利企業、政府機関やその他の組織に対し適用されることが意図されているために、これらの原則は引き続き広範囲な概念となっている。各々の原則を支えるのは、原則に関連する重要な特性を表す着眼点(Point of focus)である。着眼点は、内部統制を設計・適用・運用する際や、関連する原則が存在し機能しているかどうかを評価する際に、経営者を支援するための有用なガイダンスとなることが意図されている。しかしながら、新フレームワークでは77の着眼点を定義しているが、着眼点の全てが存在しているかどうかを個別に評価することは要求していない。新フレームワークで提供された着眼点の適切性もしくは関連性の判断を下すのは経営者の自由裁量である。実際に、新フレームワークでは、経営者が組織の特定の状況において個別の原則に関連する他の重要な特性を識別し考慮することができる。構成要素と原則は判断基準を構成し、着眼点は内部統制の構成要素が組織の中で存在し、共に運用されているかどうかを評価する際に、経営者を支援するガイダンスを提供している。着眼点は、17の原則それぞれに直接的にマッピングされ、原則は5つの構成要素のそれぞれに直接的にマッピングされている。 点目として、新フレームワークは、内部統制における目的設定の役割を明確にしている。当初フレームワークでは、目的設定は経営プロセスの一部であり、目的の設定は内部統制の前提であると述べられていた。新フレームワークでは、そのような概念的な観点を保持しつつも、目的設定が内部統制の一部ではないということを強調するために、その概念の基礎的な議論をリスク評価の章から第2章へ移している。 点目として、新フレームワークは、増大するテクノロジーの関連性を反映している。このことは重要なことである。なぜなら、テクノロジーを利用する或いは依存する組織の数、並びにその利用の範囲が過去20 年に渡って大幅に拡大しているためである。テクノロジーは、取引をバッチ処理する大規模な独立型のメインフレーム環境から、非常に洗練され分散的で携帯型のアプリケーションへと進化してきた。それらは、無数のシステムや組織、プロセスに渡って、複数のリアルタイムの活動を取り扱うものである。より洗練されたテクノロジーは、内部統制の全ての構成要素をどのように導入するかに影響を与えることができる。点目として、新フレームワークは、ガバナンスの概念に関する高度の議論をフレームワークに組み込んでいる。これらの概念は、主として取締役会に関連するものであるが、取締役会の分科委員会である監査委員会や報酬委員会、ガバナンス委員会にも同様に関連する。キーメッセージは、取締役会の監督が内部統制の有効性には不可欠であるということである。点目として、新フレームワークは内部統制の目的である報告のカテゴリーを拡大している。COSOキューブにおいて視覚的にも直ぐに分かる主な変更点である。財務報告目的のカテゴリーは、財務報告以外の他の外部報告3を考慮するように拡大されており、一方で内部報告も財務と非財務に拡大されている。こうして報告は、内部の財務報告、内部の非財務報告、外部の財務報告、外部の非財務報告という4つの種類が揃うこととなった。点目として、新フレームワークでは、不正防止の期待に関する考慮を高めている。現行フレームワークでも不正は考慮していたが、不正防止の期待に関する議論や不正と内部統制の関係についてはあまり際立ったものとはなっていなかった。新フレームワークでは、不正に関する議論を大幅に進展させるとともに、不正の潜在的な原因について内部統制の一つの原則として明示的に位置づけている。最後に、新フレームワークでは、非財務報告目的に焦点を当てることを追加している。業務、コンプライアンス、非財務報告目的に焦点を拡大したことにより、これらの領域においてより強固なガイダンスとなっている。このガイダンスは、より多くの利用者が財務報告の枠を超えて新フレームワークを適用する期待をもって提供されている。上述した今回の変更は重要ではあるが、フレームワークの徹底的な総点検を意図したものではない。当初フレームワークに既に馴染みのある方には、新フレームワークが全ての重要な分野においては「実質的には同じ」ことに気付くであろう。7. 何が最も重要な変更か?新フレームワークにおいて最も重要な変更は、内部統制の各構成要素に関連した基本概念を表す17の原則を明示的に表現したことである。これらの原則が構成要素から直接導かれていることから、事業体がそれらの原則をすべて適用することによって、内部統制の有効性を達成することができる。新フレームワークをより原則主義に則ったものにするために、原則の全ては内部統制の目的それぞれのカテゴリーに関連付けられている。原則の活用は、チェックリストを意図しているのではない。これは、COSOによって提示された公開草案に関するコメントの中で、とりわけ、各々の原則に関連した着眼点に関し、指摘があった大きな懸念点であった。内部統制システムが有効であるかどうかを評価するために原則を活用する際には、経営者や取締役会は5つの構成要素の各々に関連する原則が存在しどの程度機能しているかを判断することになる。この評価においては、原則(そしてもし考慮される場合にはその背景にある着眼点も含めて)がどのように適用されているかの検討が必要となる。内部統制の5つの構成要素は、極めて範囲の広いものである。当初フレームワークは各々の構成要素を説明するとともに、適用ガイダンスの補足として多くの説明資料を提供した。これは当初フレームワーク利用者が、自分たちのツールとして加工できるようにとさまざまな評価ツールに組み込んで提供したものであった。今回、新フレームワークでは、5つの構成要素において明示された17の原則のもとでこの説明資料を体系化している。人々はこれが欲しかったものと言えるが、望まれる成果は、内部統制の有効性を構成するものは何かについて利用者の理解が促進され、内部統制の有効性の評価をする際に適切な判断ができるようになることである。さらに詳しく説明するために、17の原則を以下に示し、関連するCOSOの構成要素に基づいてグループ化している。統制環境組織は、誠実性と倫理観に対するコミットメントを表明する。取締役会は、経営者から独立していることを表明し、かつ、内部統制の整備および運用状況について監督を行う。経営者は、取締役会の監督の下、内部統制の目的を達成するに当たり、組織構造、報告経路および適切な権限と責任を確立する。組織は、内部統制の目的に合わせて、有能な個人を惹きつけ、育成し、かつ、維持することに対するコミットメントを表明する。組織は、内部統制の目的を達成するに当たり、内部統制に対する責任を個々人に持たせる。リスク評価 組織は、内部統制の目的に関連するリスクの識別と評価ができるように、十分な明確さを備えた内部統制の目的を明示する。組織は、自らの目的の達成に関連する事業全体にわたるリスクを識別し、当該リスクの管理の仕方を決定するための基盤としてリスクを分析する。組織は、内部統制の目的の達成に対するリスクの評価において、不正の可能性について検討する。組織は、内部統制システムに重大な影響を及ぼし得る変化を識別し、評価する。統制活動 組織は、内部統制の目的に対するリスクを許容可能な水準まで低減するために役立つ統制活動を選択し、整備する。組織は、内部統制の目的の達成を支援するテクノロジーに関する全般的統制活動を選択し、整備する。組織は、期待されていることを明確にした方針およびその方針を実行するための手続を通じて統制活動を展開する。情報と伝達 組織は、内部統制が機能することを支援する、関連性のある質の高い情報を入手または作成して利用する。組織は、内部統制が機能することを支援するために必要な、内部統制の目的と内部統制に対する責任を含む情報を組織内部に伝達する。組織は、内部統制が機能することに影響を及ぼす事項に関して、外部の関係者との間での情報伝達を行う。モニタリング活動 組織は、内部統制の構成要素が存在し、機能していることを確かめるための日常的評価および/または独立的評価を、選択し、整備および運用する。組織は、適時に内部統制の不備を評価し、必要に応じて、上級経営者および取締役会を含む、是正措置を講じる責任を負う者に対して伝達する。これらの原則は、5つの内部統制の構成要素および内部統制システム全体の運用を有効にせしめるものである。一つの原則が存在し機能していることを示すためには、組織は原則の意義とそれをどのように適用すべきかを理解しなければならない。つまり、事業体全体を通して、構成員が原則を適切に理解し、適用するように働きかけ、また経営者の注意を喚起するような原則の不足または欠如を概観しなければならない。これらは経営者が内部統制評価を実施する際に、適切な判断を行うために留意すべきポイントである。新フレームワークは、組み込まれなければならない特定の統制を示してはいない。原則主義の考え方のもとで、経営者が組織に跨って内部統制を整備し、運用することを通じて各原則に影響するもしくは影響を与える統制を識別することになる。原則が存在し機能している水準は妥当な範囲内で十分であり、原則の適用に当たっては、組織が最高水準の業務執行を達成することを意味するものではない。経営者は、完璧な水準を達成するためのコストと、さまざまなレベルでのより低い水準の業務執行から得られるベネフィットのトレードオフを勘案し判断できる。すべての組織に最適となるような特定の内部統制システムの設計が存在するわけではない。8. 着眼点とはいかなるものか?各原則の理解をより正確にするために、新フレームワークでは着眼点(Points of Focus)を提供している。着眼点は原則に関連付けられた重要な特性を表すとともに、それらが関連する原則を支えるものである。統制環境に関連する1つ目の原則は「組織は、誠実性および倫理観に対するコミットメントを表明する」である。新フレームワークでは、この原則に対し4つの着眼点を設定している。トップの気風(Tone at the Top)の設定 取締役会および事業体のすべてのレベルにおける経営者は、指示、活動、行動を通して、内部統制システムが機能するには、誠実性と倫理感が重要であることを実際に示す。行動基準の確立 取締役会や上級経営者が期待する誠実性と倫理感は、事業体の行動基準によって定義され、組織のすべての階層および外部の業務委託先、ビジネスパートナーに周知徹底する。行動基準の遵守状況の評価 事業体の期待する行動基準に対して個人およびチームの業務執行を評価するプロセスが整備されている。行動基準からの逸脱に対する適時の対応 事業体が求める行動基準からの逸脱は適時に、かつ一貫した方法で特定し、改善する。原則が存在し機能しているかを評価する際に、多くの人がこれら4つの着眼点は有用であると考えるだろう。一方で、4つの着眼点すべてを確認できなくとも、相応の原則が存在し機能しているか判断出来ることもあるであろう。例えば、誠実性と倫理感に関する原則1が存在し機能しているかどうかについて、4つの着眼点のうち3つの存在を確認するだけで、経営者は原則が存在し、機能していると判断できるかもしれない。組織がトップの気風を設定し、行動基準の遵守状況を評価し、そこからの逸脱に適時に対応するかもしれないが、行動基準に関する経営者や取締役会の期待を正式には定義してはいない。さらにこの結論をサポートする代替または補完コントロールが整備されているかもしれない。質問6にある通り、構成要素と原則は内部統制の構成要素が、組織内で存在して機能し、共に運用されるかどうかを経営者が評価する際の規準を構成していることを繰り返し強調することが重要である。着眼点は、経営者に役立つガイダンスを提供する一方で、新フレームワークは経営者にそれらの着眼点を別々に評価することを求めてはいない。前述した通り、着眼点は、17の原則に直接的にマッピングされている。このあとの数ページにおいて、新フレームワークで紹介されている各原則に紐付く全部で77の着眼点が簡潔な方法で示されている。以下に示されたすべての着眼点は順番に連番が付されている。ただし、原則6がリスク評価の状況を提供するために、十分に明確で、かつ詳細な目的の特定に言及し、それらに密接に関連した3つのグループは例外である。その3つのグループの着眼点に関する内容と背景は、目的の区分によって異なっており、以下のように説明される。着眼点21は、目的を定義するための権限について述べている。例えば、外部向けの財務報告の目的は、適用可能な会計基準によって提供される財務報告の要件に基づいている。一方で、業務や内部報告の目的は、経営者の自由裁量(例えば、経営者の選択)に基づいている、などである。このグループには21aから21dの4つの着眼点があり、原則6に付属するする目的の5つの区分に結びついている。着眼点22は、内部統制の整備と運用の有効性を評価する際の合理的保証の評価規準を適用するための測定閾を説明している。例えば、外部への財務報告の閾は「重要性」の慣行的な基準によるが、それとは対照的に、業務や内部統制の目的に関する閾は経営者の「リスク許容度」による。このグループには22aから22cの3つの着眼点があり、22aから22cは、原則6に付属する目的の5つの区分に結びついている。着眼点25の「事業体の活動を反映する」は、内部統制の有効性評価を行う際の、外部への財務報告、非財務報告と(または)、内部報告目的に適用される。着眼点23と24は、少なくとも業務目的に適用される。これまでの質問においても述べてきたが、新フレーワークでは、経営陣が新フレームワークが提供する着眼点の適切性と関連性を判断する立場にあるということを明確にしている。さらに、COSOは、77の着眼点が完全で網羅的なリストであるとは主張していません。経営者は、組織の活動や個別の状況、法令上の要請などによって、特定の原則に関連して、その他の重要な特性を認識し、考慮することもあるであろう。9. 評価された内部統制の不備とはいかなるものか?新フレームワークでは、不備とは「1つまたは複数の構成要素および関連する原則において、事業体が目的を達成する可能性を弱める欠点」と定義している。事業体においてすべての不備が、内部統制システムが有効でないとの結論に必ずしもつながるものではないと認識することが重要である。組織が不備の存在を認識した場合、経営者はその不備が内部統制システムに与える影響の重要性を評価する必要がある。内部統制における重要な不備(major deficiency)とは、「事業体が目的を達成する可能性を著しく弱める内部統制の不備もしくは不備の組合せ」と定義されている。一つの構成要素(および一つまたは複数の関連する原則)が存在していない、もしくは機能していない、あるいは複数の構成要素が共に運用されていないと経営者が判断する場合には、重要な不備が存在することになる。重要な不備が存在すると、組織としては内部統制システムが有効であると結論付けることが困難となる。新フレームワークは、構成要素および関連する原則が存在し、機能し、かつ構成要素が共に運用されているかを判断するために、一つの不備もしくは複数の不備の重要性を評価するには、判断が必要ということを明らかにしている。新フレームワークが設定した規準(つまり構成要素および原則を通して)は、経営者が内部統制の有効性を評価する際の判断の拠り所を提供している。さらに、状況によっては、経営者は、外部の第三者(規制監督機関、基準設定機関、証券取引所およびその他の第三者機関など)により設定された規準についても追加的に考慮することが必要となることもある。新フレームワークには、そのような付加的な規準そのものについての定めはないが、新フレームワークは関連する第三者機関の権威と責任は認識しており、内部統制の不備の重要性の分類方法も含め第三者機関が要求する付加的な規準を取り込めるよう柔軟に設計されている。内部統制の有効性評価は、結局、5つの構成要素と関連する原則によって導かれるものである。評価の視点は、関連する目的が達成されるとの合理的な保証を提供するために、内部統制の5つの構成要素がそれぞれ存在し機能しているか、共に運用されているか、さらに関連する原則が存在し機能しているかということである。2013年の新フレームワークが示す「重要な不備」の概念が米国サーベンス・オクスレー法における内部統制の不備に関する報告の方法にどのように影響を与えるかについては、質問18を参照してください。10. 「存在し、機能している」とはどのような意味か?新フレームワークにおいては、「存在し、機能している」という表現を構成要素と原則の双方に使用している。「存在する」とは「構成要素および関連する原則が、特定の目的を達成するための内部統制システムの整備および運用に存在していると判断すること」であると定義している。また「機能する」とは「構成要素および関連する原則が、特定の目的を達成するための内部統制システムの行為に継続的に存在していると判断すること」と定義している。つまり「存在する」とは有効な設計と適用に関するものであり、「機能する」とは有効な運用に関するものである。内部統制の一つの構成要素が存在し、機能しているかを判断するためには、上級経営者は、取締役会の監督の下、構成要素に関連する原則がどの程度存在し、機能しているかについて判断する必要がある。11. 経営者はどのようにしてすべての構成要素が共に運用されているかを評価するのか?内部統制の5つの構成要素それぞれの評価を行う際、構成要素がそれぞれ個別に機能しているかを評価するのではなく、内部統制システム全体の中で事業体によってどのように構成要素が適用されているかを考慮することが必要である。これは内部統制の5つの要素が、有効に機能しているシステムにとっては不可欠なものであることを意味している。経営者は事前にまず5つの構成要素それぞれが存在し機能しているか判断することになるだろうが、5つの構成要素が一体となって運用されていることを確認するまでは、組織の内部統制が有効であると結論付けることは出来ない。この目的を達成するために、新フレームワークでは「共に運用されている」とは「5つの構成要素すべてが、全体として、目的を達成しないリスクを許容可能な水準まで低減していると判断すること」としている。「共に運用されている」とは、構成要素には多くの相互関係や連係があり、構成要素がお互いに依存しあう関係にあると認められ、特にそれぞれ原則は構成要素の中で、また複数の構成要素にわたって影響しあっていることを意味している。新フレームワークでは、実務的な観点から、次のことを強調している。経営者は、構成要素が存在し機能し、さらに複数の構成要素にわたって累積された内部統制の不備が、1つまたは複数の重要な不備ではないとの判断にいたる場合に、構成要素は共に運用されていると表明することが出来る。構成要素間の相互依存や連係について例示してみよう。たとえば統制活動の一つと位置づけられる方針、手続の設定や展開は、リスク評価において特定、分析されたリスクの軽減に役立つ。他の例としては、モニタリング活動の一つとして、内部統制の不備が是正措置を取る責任者へ報告されるのは、一方で統制環境において示された事業体の構造、レポーティングライン、権限と責任などの十分な理解を反映したものであり、また情報と伝達における伝達になっているととらえることが出来る。新フレームワークではこれ以外の例示も示されている。12. 外部の関係者は内部統制システムの一部を構成するか?外部監査人や規制当局を含む外部の関係者は内部統制の一部ではない。また、企業が内部統制構造の有効性を評価する際に、外部機関は不備の発見者や不備の評価者とは想定されていない。日常的な機能を通常実施するなかで、内部統制の不備の特定や評価の責任は組織の職員にある。13. 新フレームワークは、いつ適用することが要請されているか?この質問は、1992 年のフレームワークをすでに適用している組織に該当する。特に、サーベンス・オクスレー法対応で新フレームワークを適用しようとしている企業が該当する。COSOボードは、2013年の新フレームワークへの移行と関連する文書化を、利用者の状況を勘案し実現可能な範囲で出来るだけ速やかに行うよう、呼びかけている。COSOは1992 年の当初フレームワークを2014 年12月15日まで継続して使用可能であるとして、その後は、当初フレームワークは廃止されるものとしている。COSOボードは当初フレームワークのコンセプトと原則は、基本的に妥当なものでありマーケットにて広く受け入れられているものと考えており、このため、移行期間(2013 年5月14日から2014年12月15日まで)において、企業が当初フレームワークを使用し続けることは問題ないと考えている。これにより12月末決算の企業は2013 年度までは当初フレームワークを適用できるが、2014年度からは新フレームワークを適用する必要があるということになる。12月決算以外の企業は、実行可能であれば早期適用することができるが、2014年12月15日以降の最初の決算年度の財務報告の係る内部統制の有効性評価までに移行を完了していることが期待される。例えば、6月30日決算の企業では、12月はこの企業にとっては中間決算にあたるので、移行期限は会計期間の末日の2015年6月30日となる。言い換えれば、1992年のフレームワークは、2014 年12月15日まで効力があるため、2014 年6月30日の時点では依然として有効である。このガイダンスは、該当年度に新フレームワークに移行し、財務報告に係る内部統制評価を行うべきであることを示唆している。COSOは、法的な強制力をもたず、内部統制報告書提出会社に新COSO 対応への義務づけを行うことができないが、2014 年12月15日時点で、1992 年のフレームワークを2013 年の新フレームワークに移行することを表明した。それ以降は、多くの内部統制報告書提出会社は、サーベンス・オクスレー法404条に準拠する目的で当初フレームワークが、SEC 規準の「適切なフレームワーク」(Suitable framework)として適格であるとの立場をとることは困難だと思われる。14. 新フレームワークへの移行についてSECの立場とは?この改訂版が発行された時点では、SECは404条遵守に関する移行の質問について、公式の立場を示していなかった。SECの一メンバーの発言によれば、1992年のフレームワークを使う内部統制報告書提出会社の状況をモニターする予定であることを示唆している。特に、SECスタッフの発言5の留意点は以下のとおりであった。「私はCOSOが2014 年12月15日に1992 年のフレームワークを移行することを意図していると理解しており、SECが経営者に既存フレームワークから新フレームワークへの移行や実施のガイダンスを提供するかどうかについて質問があることを予期している。COSOは、「財務報告利用者は彼らの特定の環境下で新フレームワークが実行可能になり次第、アプリケーションや関連文書を移行すべきである」、「当初フレームワークにあてはめられた主要な概念や原則は、基本的に市場で広く受け入れられており、それゆえ、1992年のフレームワークは移行期間(2013年5月14日から2014年12月15日まで)に継続して適用することが容認される」という考えを公表した。COSOはさらにCOSOボードの当初フレームワーク改訂の目的は、事業や業務環境の変化の反映や、有効な内部統制の構築やその有効性の評価の促進という当初フレームワークに基づいた原則をより明確に具体化し、そして事業体の目的に活用する際に容易に活用できるようにすること」であったと説明している。SECスタッフは、COSOの職員や委員会の行動が将来のある時点において必要不可欠、あるいは適切であるか否かを評価するため、1992 年のフレームワークを活用している内部統制報告書提出会社の移行状況をモニターする予定である。しかしながら、現時点では、私はCOSOの新しいフレームワークや移行についての考え方の発表に対するCOSOフレームワーク利用者について単に触れたにすぎない」SECには、民間企業の手続きが機能していると思われる場合、ガイダンスを公表しないという長年の慣習がある。COSOは力仕事をしたのに対して、SECスタッフは、内部統制報告書提出会社の状況を見守るというのみである。われわれは、SECスタッフがCOSOの提唱する1992 年のフレームワークから2013 年の新フレームワークへの移行のアプローチを支援することを信じている。また、われわれは、SECスタッフの発言が、COSOによって提供される特定の期間中に、SECスタッフの1992 年のフレームワークからの移行に関する内部統制報告書提出会社への期待を示していると信じている。15. 当初フレームワークを、移行期間を越えて適用し続けるとどうなるか?サーベンス・オクスレー法を適用している企業にとっては賢明な選択ではない。移行期間の間、COSOボードは外部報告の際、内部統制の統合的枠組みの適用において、当初版もしくは2013年版のいずれを使用したのかを明確に開示すべきであると考えている。また上述の通り、SECスタッフは、1992年のフレームワークからの移行をモニターする意向を明確にしている。それゆえ、われわれは移行期間の終了後は、2013 年のフレームワークのみが適用可能であると理解している。もし、企業が1992年のフレームワーク6を適用し続ける場合、企業は外部監査人からの指摘を受ける可能性がある。(SECスタッフも同様である。)もし、12月決算の企業が、2014年の評価のために1992年のフレームワークを選択したとすれば、SECスタッフはコメントレターを発行するだろう。COSOが2014 年12月で1992 年のフレームワークを移行してしまったならば、1992 年のフレームワークがサーベンス・オクスレー法404条に準拠する目的で、「適切なフレームワーク」となりうるかについてSECスタッフや他の誰もが確信を持つことは困難になる。移行期間後は、外部監査人は、1992 年のフレームワークを活用するという企業の判断を支持しないであろうし、監査委員会への伝達目的の欠陥が存在すると結論づける可能性がある。それゆえ、われわれはこの観点から、監査法人を試すことは推奨しない。16. サーベンス・オクスレー法302条に準拠するために2013年の新フレームワークを2014年度の第1四半期から適用しなければならないか?サーベンス・オクスレー法302条は、四半期ごとに経営者の宣誓を要求している。この宣誓は、さまざまな点で財務報告に係る内部統制に関連している。例えば、宣誓役員は、以下の事項を表明しなければならない。宣誓役員は、内部統制報告書提出会社のために「財務報告に係る内部統 制」を確立し維持する責任を有すること宣誓役員は、財務報告に係る内部統制を設計すること、または宣誓役員の監視下で財務報告財務報告に係る内部統制を設計し、財務報告の信頼性やGAAPに準拠した外部目的財務諸表の作成に関して合理的保証を提供すること宣誓役員は、内部統制報告書提出会社の直近の四半期に生じた財務報告に係る内部統制に重要な影響を与えるか、もしくは現時点で財務報告に係る内部統制に重要な影響を与えかねないいかなる財務報告に係る内部統制の変更を開示することを宣誓すること直近の評価に基づき、宣誓役員は、監査人ならびに監査委員会に対し重要な不備、重要な欠陥、不正を開示すること12月決算の企業からは、上述の四半期ごとの経営者宣誓についての財務報告に係る内部統制との関連に関して、2014年の第1 四半期から2013 年の新フレームワークを適用しなければならないのかという質問が寄せられている。これは、法律上の質問であり、法律の専門家の助言を受けるべきである。われわれの見解では、長きにわたって財務報告に係る内部統制の302 条の評価は、最新の404 条の評価に基礎を置き、実施されてきたということである。SECは、302 条が、重要な不備(SD)、重要な欠陥(MW)や不正の開示と関連して、「財務報告に係る内部統制の最近の評価に基礎を置くこと」との規程によって、評価の更新を求めないことを明らかにした。ただひとつの例外は、上述したように、開示目的の重要性を確認するため、財務報告に係る内部統制の変更の影響を考慮することである。われわれは、COSOボードのガイダンス発行の意図は、移行期間に企業にとって過度の負担を引き起こさないように、合理的な移行期間を提供することであると考えている。COSOは、2013 年の新フレームワークにできるだけ早く移行することを勧めるが、多くの企業にとって、移行を完全なものにするために移行に時間がかかることを認識している。ただ、われわれの見解では、移行期限の2014 年12月15日は文字どおりであり、2014 年の第1 四半期の始めに2013 年の新フレームワークへの移行を要求する意図ではないと考える。1992 年のフレームワークは、COSOボードの意見書に示された通り、2014 年第1四半期の期間は依然として有効である。さらに、404条の評価は、期末時点の評価であり、設計ならびに運用の有効性のテストは1992 年または2013 年版のCOSO内部統制フレームワークの下では本質的に同じである。既に記載したように、われわれは企業の2013年の新フレームワークへの移行は、302条をサポートするためにとられる活動と連携していることが重要であると考えている。17. サーベンス・オクスレー法対応への影響は?上述の通り、移行期間の間、当初もしくは2013 年版のいずれを活用しているかを企業は内部統制報告書上で明確に開示する必要がある。さらに、既存の内部統制文書を新フレームワークの原則主義のアプローチに変換する必要がある。サーベンス・オクスレー法404 条の適用数年間の厳しさを経験してきた企業にとっては、それほど大変な作業ではないと考えられる。例えば、1992年の当初版において、統制環境は6つの属性から成り立っていたが、2013 年新フレームワークでは5つの原則として簡単に整理することが可能である。新フレームワークとその関連するツール類は、以下から成り立っている;エグゼクティブサマリー、フレームワーク本編と付録、ツール編、外部財務報告に係る内部統制:適用方法および適用事例の解説。この外部財務報告に係る内部統制:適用方法および適用事例の解説は、サーベンス・オクスレー法対応を行っている企業にとって役に立つと考えられる。以下はサーベンス・オクスレー法404条に準拠した財務報告に係る内部統制の評価と関係するいくつかの原則に関しての解説である:原則8:組織は、内部統制の目的達成に対するリスクの評価において、不正の可能性について検討する多くの企業は、不正リスクを軽減するコントロールの有効性の評価と企業体のプロセスの中に組み込まれた他のコントロールの評価を統合している。基本的な前提となっているのは、統制活動はビジネスプロセスを機能させるための一部分であるということである。プロセスの中に組み込まれている場合、統制活動は誤謬や不正の予防と発見の適時性に関する保証を提供する。そして、リスクの発生源に近ければ近いほど、財務報告のアサーションに適合した保証を提供する。統制活動は、不正リスクを含め、「財務報告のアサーションリスク」を許容可能な水準まで低下させるために設けられる。財務報告のアサーションやそれに関するリスク(何を誤る可能性があるか)は、プロセスレベルでの統制活動の設計の有効性を評価するために背景を提供する。不正リスクは、しばしばリスクの識別に組み込まれている。それゆえ、多くの企業は財務報告リスクの全般的な評価に、不正リスクの評価を組み込んでいる。プロティビティや多くの会計事務所は、この統合されたアプローチをとっており、産業における一般的な不正シナリオを提供している。原則8の規定は新たな個別の文書化が必要かという質問が寄せられている。これは移行プロセスの初期の段階で留意すべき議論であり、適切なステップがとられていることを確実にするためのものである。企業によっては、不正防止プログラムとコントロールの評価をひとつのものとして行っているケースもある。現在、不正防止プログラムとコントロールに焦点を当てて個別に評価を行っている内部統制報告書提出会社にとっては、文書化の問題は比較的単純な問題であると思われる。しかしながら、プロセスの文書化の中に不正防止のためのコントロールを統合している内部統制報告書提出会社にとっては、これらのコントロールを特定するのは難しいかも知れない。例えば、外部監査人との対話を通して彼らの期待と要求を判断し、現在適用されているまたは策定中の不正防止プログラムを整理し、重大な不正リスクの全般的なサマリーとその重大なリスクへの対応状況を文書化することが理にかなっている場合もあるであろう。その他としては、新フレームワークへの移行は、内部統制報告書提出会社の不正防止プログラムは十分に堅固であるかどうか再考するための良い機会を提供するかもしれない。例えば、すべての不正リスクは考慮されたかどうかの質問にどう答えられるかである。原則10:組織は内部統制に対するリスクを許容可能な水準まで低減するために役立つ統制活動を選択し、整備するこの原則は何ら目新しいものを示すものではないが、財務報告に係る内部統制の基本的目的である財務諸表上の重要な誤りや漏れを許容可能な水準にそのリスクを低減させることを強調している。財務報告目的の達成のため、404条の文書化に焦点を置いている内部統制報告書提出会社は、目的達成のために許容可能な水準にリスクを低減することに焦点を当てなおす必要があるかもしれない。原則10は、重要性の観点から何がリスクの許容水準であるかを文書化することを意味しているとも考えられる。原則11:組織は内部統制の目的の達成を支援するテクノロジーに関する全般的統制活動を選択し、整備する財務報告に係る内部統制の有効性の評価を結びつけて、全般的なIT統制を評価することは目新しいことではないが、新しいことは原則11がこの点を取り上げ、範囲や文書化の十分性に関する質問を提起したことである。これは移行プロセスの初期段階で留意すべき議論で、コントロールのマッピングプロセス中に適切に文書化を完了することを確実にするためのものである。この点に関しては、外部監査人との対話を通じて彼らの期待や要求を判断し、全般的IT 統制に対応するために行った作業のサマリーを文書化するのが理にかなっているかもしれない。原則13:組織は内部統制が機能することを支援する、関連性のある質の高い情報を入手または作成して利用するこれは、財務報告に係る内部統制の評価において、常に慎重に考慮することが要求される領域である。多くの統制活動は、報告の信頼性や適時性に依拠している。報告の信頼性を考慮しない統制の評価は、不完全な評価である。この観点は、公開会社会計監視委員会(PCAOB)が調査報告書で常々強調してきたことである。概してこの問題は財務報告に係る内部統制の運用の有効性テストの一部分と考えられている。それゆえ、統制をマッピングするプロセスで適切に文書化を完了することを確実にするため、移行プロセスの初期段階で議論することを喚起している。2013 年の新フレームワークによって提供された着眼点(情報の要件の識別、内部および外部データの情報源の取得、適切なデータの情報処理、プロセス全般を通じた品質の維持、そして費用と便益の考慮)は、この原則をどのように文書化するかを考える上で役立つかもしれない。 原則14:組織は、内部統制が機能することを支援するために必要な、内部統制の目的と内部統制に対する責任を含む情報を組織内部に伝達する新フレームワークは、伝達は組織全体、組織の上下、事業体横断的に情報を提供し、共有し、取得する継続的で反復的なプロセスであると述べている。内部情報によって、上級経営者から統制責任に関して明確なメッセージを、社員が受けとることが可能となる。この原則に対する着眼点(内部統制情報の伝達、取締役会との情報交換、個々の情報伝達経路の提供、伝達方法に関する選択)は、この原則をどのように文書化するかを考える上で役立つかもしれない。原則15:組織は、内部統制が機能することに影響を及ぼす事項に関して、外部の関係者との間での情報伝達を行う新フレームワークは、外部者とのコミュニケーションには2つの要素があると述べている。第一は、リスクの評価、統制活動の実行、そしてリスクや統制の監視に必要な外部情報の入手を可能にすることであり、第二は、外部者の要求や期待に応えるために、財務報告に係る内部統制に関連した情報を提供することである。この原則に対する着眼点(外部者への伝達、外部情報の入手、取締役会との情報交換、個々の情報伝達経路の提供、伝達方法に関する選択)は、この原則をどのように文書化するかを考える上で役立つかもしれない。 原則17:組織は、適時に内部統制の不備を評価し、必要に応じて、上級経営者や取締役会を含む、是正措置を講じる責任を負う者に対して伝達するここにも目新しいものはないが、原則は、内部統制の欠陥に対処する際の決断ならびに適時の行動の重要性を強調している。 最後の観点は、内部統制の不備の集約と検討である。これは、企業体が外部監査人と同じ土俵でありたい領域である。不備を評価するとき考慮する要素は、それらの性質や発生源泉、内部統制報告書提出会社の財務諸表に対して認識された虚偽表示の影響度、内部統制報告書提出会社の財務諸表に対する虚偽表示の可能性と潜在的影響度、より深刻な不備を示唆する同類の不備の累積的な影響度などである。 18. サーベンス・オクスレー法において、2013年の新フレームワークの下での「重要な不備」に関する概念は、企業の内部統制の不備の報告方法にどのように影響するか? 我々は、新たな影響はないと考える。2013 年の新フレームワークにおいてCOSOが採用した体系は、国境や規制の枠組みを越えて普遍的なものになるようにと意図されている。新フレームワークでは以下のように記述されている:内部統制の不備の報告は、規制監督機関、基準設定機関、経営者、取締役会により定められた規準に依拠している。継続的かつ独立した評価結果は各規準に照らして評価され、誰に、何を報告すべきかが判断される。取締役会または経営者により定められる規準は、一般的に事業体の実体や環境、そして法律、規則や規制、基準に基づいている。米国における、財務報告に係る内部統制のための規準は、数十年にわたり「不備」、「重要な不備」、「重大な欠陥」という用語で表現されている。この用語は、今後も404 条の遵守目的のために使われ続けるだろう。19. 2013年の新フレームワークは、企業のテクノロジーに係る統制の評価方法に影響を与えるのか?2013 年の新フレームワークは、無数のシステムや組織、プロセスにわたって、複数のリアルタイムの活動を取り扱う、現在のより洗練され、分散的で、携帯型のテクノロジー環境に対応するために更新されている。1992年のフレームワークが公表されて以来、テクノロジは進化しており、テクノロジーに係る統制に関する設計の有効性と運用の有効性を評価するための技術と方法も同様に進化している。COSO内部統制―統合的枠組みは、業務、報告、コンプライアンスに関する目的が達成されているという合理的な保証を提供する際の内部統制の有効性に対処するための全社的なフレームワークを提供している。それは規範的ではない。テクノロジー統制に対し必要とされる精度のため、テクノロジー統制の評価を促進するために他のツールを使うこともある。例えば、情報システムコントロール協会(ISACA)のInformation and Related Technologies(COBIT)フレームワークは、テクノロジーの統制環境のいくつかの側面に関する内部統制のより広範囲な領域の達成に対する全般的なガイダンスを提供している。COSOフレームワークは内部統制のための全般的な評価のフレームワークとして考慮されるべきであり、一方、COBITはテクノロジーに係る特定の統制への考察に関する役立つガイダンスと参考資料を提供する。新COSOフレームワークでは、テクノロジーに係る全般統制に関する独立した原則がある(Principle11)。―それに加え、新フレームワークは、テクノロジーが企業のビジネスプロセスに組み込まれている場合(生産工場でのロボットオートメーション等)、統制活動はテクノロジーが組織の目的の達成を支援するため適切に機能しないというリスクを軽減するために必要だと認めている。加えて、新フレームワークは組織の多くは、統制活動がテクノロジーを使って自動化されていると記述している。これらの手続は、自動化された統制活動または自動化された統制として知られている。これらは内部統制の有効性の評価をする際、数年にわたって実務的に考慮されているので、この点に関しては目新しいものはない。事業体においてのテクノロジーの利用度によるが、ほとんどのビジネスプロセスは手作業による統制と自動化された統制の両方を含んでいると経験から明らかになっている。自動化された統制は人間の判断やミスの影響を受けにくく、そして一般的により効率的であるので、テクノロジーに係る全般統制が実施され、運用されているかどうかにもよるが、その統制はより信頼できると、新フレームワークにおいて記述されている。もう一度言うが、この見解は長年の実務を反映したものである。プロティビティのGuide to the Sarbanes-Oxley Act : IT Risks and Controls(Second Edition)は、www.protiviti.comで入手可能であり、それは組織内の全社レベルと活動レベルの両方のITリスクと統制の考察に関して、セクション404 遵守プロジェクトチームへガイドラインを提供している。ガイドラインでの質疑応答は、IT部門と事業体のアプリケーションならびにデータプロセスオーナー間との相互機能に焦点を当て、全般的なIT統制の導入とプロセスレベルでそれがどのように考慮されているかについて説明している。また、このガイドラインは、どのようにアプリケーション統制評価をビジネスプロセス統制評価と統合するかを調査し、文書化、テスティング、是正措置に関する事項について説明を行っている。20. 移行期間の間、どのフレームワークを使用しているかについて、年次の内部統制報告書のなかでどのように開示するか?内部統制報告書において、経営者は財務報告に係る内部統制の有効性を評価するための規準として使用するフレームワークを開示しなければならない。SECが示しているように、COSOフレームワークを適格なフレームワークとして使用している旨の開示を行う際に、企業は、「トレッド委員会組織支援員会(COSO)が公表している統合的フレームワークにおいて確立された規準」に沿っているという文章を通常使用する。実務が進展していくなかで、移行期間においては、企業が内部統制報告書を提出する時に、内部統制の統合的フレームワークという用語の後に、(1992年版)もしくは(2013年版)のいずれかを参照していると括弧書きの説明をすることになるであろう。移行期間が過ぎた後においても、そのような開示が必要とされるか、もしくは慣習として残ることになるかもしれない。21. 今、何を対応する必要があるか?現在1992 年の当初フレームワークを使用している企業は、2013年フレームワークへの移行プランを決定する必要がある。例えば、12月末決算の企業は2013 年に2013 年版フレームワークを早期適用するか、あるいは1992 年版を使用し続けるかを決める必要がある。さらに移行プランが確定後、上級経営者および監査委員会に報告すべきであろう。22. 2013年の新フレームワークに移行するのにどのようなタスクが必要か?移行業務を始めるにあたって、移行プロセスに責任ある者は、フレームワークに良くなじみ、利用可能な研修に参加することを考慮すべきである。移行計画の内容やタイミングにもよるが、企業は新フレームワークで規定されている原則が存在し機能しているか判断するために、トップダウンでコスト効果の高いアプローチとして、プロジェクト管理オフィス(PMO)を設置し、既存の文書類の見直しを図りたいと考えるかもしれない。このアプローチにおいては、文書の見直しを行う際の役割、責任、権限を明確にする必要がある。原則は、企業体の既存の統制文書類にマッピングされるべきであり、それによって、経営者は原則が存在し機能しているという第一義的結論を支える証拠を評価することができる。理想的には、特に企業が以前に1992 年のフレームワークを使い綿密に既存の統制を文書化している場合、既存の統制文書は、全部ではないがほとんどのマッピング作業に対して情報を提供するだろう。おそらく前年において、キーコントロールを識別する際、企業はトップダウンのリスクベース型アプローチに従っており、マッピングプロセスはそのアプローチを模範にすべきである。マッピング作業を完了する際、1つの統制が複数の原則に関連する場合、1つの統制をそれらの原則にマッピングするための規程が作成されるべきである。ある原則に対しギャップがある場合、企業は、付加的な統制が存在しているかどうか、またはそれらの原則が存在し機能しているという結論を支えるために統制の補強を必要とするかどうかを確認することが必要だろう。全てのギャップに対応したのちに、経営者は、おそらく構成要素が存在し機能していると結論づける見解をとることになる。その後において、経営者は内部統制の5つの構成要素が一体となって共に運用されているかどうかを評価することができる。マッピングアプローチを最終化する際には、文書の見直し作業の完了後に追加作業にさらなるコストをかけることなく、さらに監査の要求を確実に満たすため、外部監査人の期待を考慮すべきである。さらに、内部監査部門はリスクベース監査の計画、実行、報告のために、新フレームワークへの移行に焦点をあてるべきである。また次の質問にもあるように新たなコミュニケーションプランも必要とされることになる(質問27と28参照)。 新フレームワーク公表の究極の目標は、新たな「チェックリスト」の作成を意図するものではないが、今後、外部監査人を含め、いずれかの部署によりチェックリストが利用されることになるかもしれない。PMO(または同等の組織)が、組織の統制に対して5つの構成要素を支える原則をマッピングする際に、経営者は新フレームワークによって提供される着眼点を使うことを望むかもしれない。経営者が、新フレームワークの着眼点に関する注釈を前提として、原則が存在し機能しているか評価するにあたり着眼点を使用する場合には、経営者は企業の個別の状況を踏まえた上で着眼点が適切で、関連性があり、網羅的であるかどうかを評価しなければならない。23. 既存の統制を17の原則をマッピングするためにはどの程度の取り組みが必要か?既存の統制文書類を新フレームワークに移行するための取り組みのレベルは、以下のような要因が関係する。企業の規模と複雑性(例:全社レベルの統制をどの程度文書化しなければ いけないか)事業環境の変化に対して、どの程度現行の統制文書を維持しなければなら ないか。COSOから小規模企業に対して提供されている原則主義のガイダンスを使 用しているか。 新フレームワークを活用した財務報告に係る内部統制の有効性を監査する ために要求される文書類の性質と範囲に関する外部監査人の期待。現時点では、マッピングを行っている企業はほとんどない。それゆえ、取り組みのレベルに関する質問への単純な回答はない。このため、計画プロセスをすぐに始めることが重要である。 24. 014年に2013年の新フレームワークへの移行を仮定した場合、2013年のうちに新フレームワークの17原則を現行の統制にマッピングする必要はあるか? その必要はない。2013 年の新フレームワークへの移行を翌年に延期する決定は、内部統制報告書提出会社が今年度は1992年の当初フレームワークの使用を意図していることを意味する。 1992 年の当初フレームワークは、2013 年の新フレームワークで示された17の原則の使用を要求していない。文書の「網羅性のチェック」として、17の原則を現行の統制文書類にマッピングすることが望ましいという議論があったが、我々の見解では、今年中にマッピングを行うかどうかは利用可能な資源、予算、時間の問題である。マッピングは新フレームワークへの移行プロセスを円滑に進めるためにも、翌年2014 年の可能な限り早い時期に完了すべきである。 25. 2013年の新フレームワークによって、404条を遵守するためのアプローチは変わるか? 多くの企業は、財務報告に係る内部統制の有効性を評価する際、SECが2007 年に推奨した経営者ガイダンスやAS5で強調されているように、トップダウンでリスクベース型アプローチを使用している。2013 年の新フレームワークはこのアプローチを変更していない。外部財務報告の解説は、トップダウンでリスクベース型アプローチを支持している。 26. サーベンス・オクスレー法や財務報告の統制に関連する類似の規制の遵守以外に、2013年の新フレームワークが、企業の内部監査やリスクマネジメント業務に与える影響は? OSOフレームワークはサーベンス・オクスレー法の10 年以上前に策定され、同法と類似の法律が米国や他の国々で制定された。1992 年のフレームワークと同様、2013 年の新フレームワークもまた、企業の財務報告の統制を超えて適用できることを意図している。多くの内部監査規程(監査計画、監査実施、監査報告などの内部監査活動を支援するフレームワークとしての統合フレームワーク)はCOSOの内部統制を参照している。したがって、これらの内部監査の機能に対しても同様の移行期限が適用される。 多くの組織は、内部監査部門やリスク・マネジメント・コンプライアンス部門によって行われる年度毎または継続的リスク評価プロセスを通して、新フレームワークへ移行を開始することは有益と考えるかもしれない。12月決算の企業にとって、この評価活動は2013年の第4四半期に開始するかもしれない。これらの活動は、組織の移行計画にとって良いきっかけを提供する可能性があり、また、企業が新フレームワークへの移行について、主要なステークホルダーに伝達し周知する際の接点として、既存のプロセスを活用することができる。いくつかの企業では、人材の制約もあり余りにも早すぎるかもしれない。そのような場合、2015年の内部監査やリスク・コンプライアンス管理の優先順位づけをするリスク評価を行う目的で、2014年の第4四半期に2013年の新フレームワークを適用することも考えられる。 27. 誰とコミュニケーションをとる必要があるか、何を伝えるべきか? サーベンス・オクスレー法対応のために当初フレームワークを現在活用している企業にとって、宣誓担当役員や監査委員会とのコミュニケーションが必要となるであろう。これらのメンバーに対し、新フレームワークのリリース、何が変わるか、何が変わらないか、企業の想定する移行計画、移行期間における企業の開示義務、移行プロセスにおいて想定される課題について報告する必要がある。 28. 監査委員会に何を伝達すべきか? 監査委員会は以下の疑問をもつ。 内部統制の統合的枠組みに対してCOSOが行った主要な変更点は何か? 2013年の新フレームワークは、サーベンス・オクスレー法に準拠するため の経営者のアプローチにどのような影響を与えるか? 経営者は、今年、どのようにサーベンス・オクスレー法404条に準拠すれ ばよいか(即ち、1992 年または2013 年のいずれのCOSOフレームワーク を使うのか)? 経営者が、今年、1992年のフレームワークの活用を行う場合、開示につい ての影響はどうなるか? 経営者の2013年の新フレームワークへの移行計画とは何か? このFAQ改訂版は、経営者にとって上述の対話の準備に役に立つであろう。 29. 本年度、2013年のフレームワークを財務報告に係る内部統制のみに適用し、業務・コンプライアンスに適用しない場合、今年の内部統制報告書に新フレームワークを適用していると開示することができるか? 開示することができる。この質問について新フレームワークは特に述べていない。しかしながら、COSOキューブに具体化されているように、新フレームワークは異なる目的に柔軟に適用できるよう設計されている。さらに、サーベンス・オクスレー法404条によって要求される、内部統制報告書の経営者のアサーションは、財務報告に係る内部統制の有効性のみが対象となっている。それゆえ、経営者は、内部統制報告書提出会社が、財務報告に係る内部統制の有効性の評価に全面的に新フレームワークを採用する場合、そのことに言及するかもしれない。開示にあたっては、内部統制報告書は参照として2013 年版を使用しているという挿入句を含めなければならない(質問20参照)。 30. 早期適用を行わない企業に対する想定される市場の反応は? サーベンス・オクスレー法対応のために当初フレームワークを現在使用している企業が、移行期間において1992年版のフレームワークの活用を決めることによるマーケットの反応は特にないものと考えている。COSOは新フレームワークへの秩序ある移行プロセスを説明し、またCOSOボードは、1992 年版フレームワークは、基本的に妥当なものであったし、広くマーケットに受け入れられてきたのだと表明している。 31. もし、競合他社が2013年の新フレームワークへ移行し、当社が移行しない場合の影響は? 会議やウェブ会議での非公式な投票、企業との議論に着目すると、ごく少数の内部統制報告書提出会社が、今年、2013 年の新フレームワークへ移行しようとしているように思われる。404 条に適応するために適切な計画を立てているこれらの会社は、来年まで待つよう監査人から助言を受けているようである。もしすべての企業が新フレームワークへの移行を来年まで延期したならば、あらゆる企業が同業者の動向に関係なしに先延ばしする決定することになるので、投資家はそのことを受け入れるであろう。それゆえ、競合他社に差をつけるために、今年、新フレームワークへ移行する決定をしたいかなる企業にとって競争上の優位性が発生することはないものと思われる。 32. 新フレームワークは内部統制の限界について言及しているか? 内部統制が重要な便益を提供する一方、新フレームワークは内部統制の限界の存在を明確に表明している。限界は、以下のような事象によってもたらされるかもしれない。たとえば、内部統制の前提として設定された目的の品質と妥当性、意思決定における人的な判断誤りの可能性、リスクに対応するコントロールを設定する際の経営者による費用対効果の判断、簡単なミスや誤りなどのヒューマンエラーによる機能不全の可能性、2 人以上の人間の共謀によるコントロールの回避の可能性;内部統制機能や判断を無効にする経営者の能力、などが考えられる。これらの限界により、取締役会や経営者が事業体の目的の達成を絶対的に保証するのは不可能である。つまり、内部統制は絶対的保証ではなく、合理的な保証のみを提供する。 33. 内部統制システムの有効性評価のためのツールをどのように使用するか? ツールの公表は、5つそれぞれの構成要素や関連する原則が存在し機能しているかどうか、そして5つの構成要素が統合された方法で共に運用されているかどうかを評価するために、経営者が新フレームワークを活用する際に、経営者を支援することを意図したものである。ツールの目的は、新フレームワークが設定した有効な内部統制のための要件に基づく、ありうると思われる一つの評価プロセスの事例を示したものである。ツールは新フレームワークの代わりに使用されるというものではなく、2つのセクションから構成されている。テンプレートセクションでは、内部統制システムの有効性の評価を支援し文書化するためのテンプレートを提供している。シナリオセクションでは、どのようにしてテンプレートが内部統制システムの有効性の評価を支援するために使用できるのかについて実践的ないくつかの事例を示している。同時に、テンプレートやシナリオは、構成要素や関連する原則を評価することに焦点を当てており、評価結果のサマリーだけを示すものであるが、関連する原則に影響を与える統制(例:取引レベルの統制活動)を評価することには焦点を当てていない。 COSOは、テンプレートが例示であり、新フレームワークの不可欠な一部分でもないこと、内部統制システムの評価をする際に考慮すべき全ての事柄に焦点をあてたものではないということを明確にしている。さらに、テンプレートは、評価を実施し文書化する上でより望ましい方法を示すことを意図しているものでもない。 34. なぜCOSOは、「外部財務報告に係る内部統制:適用方法および適用事例の解説(Compendium)-以下解説書という」を公表したのか? COSOによれば、この解説書の狙いは、COSOの利用者が、新フレームワークを「外部財務報告に係る内部統制」(ICEFR)に適用する際の手助けとなることである。それゆえに、解説書は、事業体がどのようにして、ICEFRのシステムに対し新フレームワークに示されている原則を適用するかの例示やアプローチを提供する手引書であるといえる。解説書は、新フレームワークに設けられた構成要素や原則を、外部財務諸表の作成に係る内部統制を設計し、適用し、実施する際にどのように適用することができるかを示す実践的なアプローチと事例を提供している。これらのアプローチと事例は、新フレームワークに設けられた5つの構成要素と17の原則に関連づけられており、どのようにして原則が持つさまざまな特性がICEFR目的のシステムの中で存在し機能するかについて例示している。しかしながら、解説書は、有効なICEFRに必要となる構成要素および原則の全ての面を示そうとするものではない。 このアプローチは、ICEFRにおいて新フレームワークを適用する際に、経営者が検討するかもしれない活動のサマリーレベルの記述を使用者に提供するために、ICEFRのシステム内の関連原則を組織がどのように適用するかを示している。事例は、実務的な経験から導き出される状況に基づくそれぞれの原則ならびに関連する着眼点の事例を提供している。 35. われわれはCOSOの「外部財務報告の解説書」を使用することが求められているのか? 解説書は、ICEFRを検討する際に新フレームワークと併せて使用することができる補足資料という位置づけであり、新フレームワークにとって代わるものでもなく、修正するものでもない。米国のサーベンス・オクスレー法対応においては、そのコンプライアンスプロセスに係る上場企業の経験いかんによって解説書が活用される程度がかわるであろう。新規の上場企業もしくは株式の売り出しを考えているその他の企業にとって、解説書は新フレームワークをICEFRに適用する際に大変役に立つことであろう。 ここ数年間、監査人のアサーション条項を含めて、404条にしっかりと準拠してきた既上場企業は、現行フレームワークのもとで現存する文書を新フレームワークの原則ベースの構造の中でどのように変えていくことができるかを理解するために部分的に解説書を使用するかもしれない。 COSOは新フレームワークに代わって解説書が使用されることを意図してはいない。新フレームワークは、権威ある基準である。さらにCOSOは解説書に過度に依存することのないよう警告している。COSOは、解説書の中で、有効なICEFRにとって必要な構成要素と関連原則の全ての分野を例示しようと試みてはいない。解説書に示されるアプローチと事例は、原則がどのようにして存在し機能するかを例示することを意図している一方で、それらは組織に、5つの各構成要素および関連原則が存在し機能することを決定できるほど十分でない。事例は、実務的な経験から導き出される状況に基づき、各原則の適用に関する個別事例ならびに原則に関連する1つもしくはそれ以上の着眼点を示しているが、原則が実務上、完全に適用されるかについて包括的な例を提供するようには設計されていない。このようにアプローチと事例は、完全なもしくは権威のあるリストというよりもむしろ、経営者が検討する活動のサンプルである。要するに、読者は事業体において内部統制システムをどのように設計し、導入し、実施していくかという包括的な議論とし、また有効な内部統制の要求事項に関して、新フレームワークを参照すべきである。 36. 新フレームワークは小規模企業へどのように適用されるのか? 198ページから202ページの付録Cでは小規模企業の特性や、費用効率の高い内部統制を実現するために直面する課題への対応について議論している。 37. 新フレームワークは「COSOのモニタリングに関するガイダンス」に代替されるか? 代替されない。COSOは、2006 年に発行したCOSOモニタリングガイダンスを発行している。その中で、内部統制に係るモニタリングの構成要素について、1992版のフレームワークよりも詳細に記述している。組織が有効なモニタリングを認識し、最大活用し、改善を必要とする分野におけるモニタリングを強化するのを支援するため、このガイダンスは2013 年の新フレームワークにおいても有効である。また、このモニタリングガイダンスは、COSO内部統制の統合的フレームワークの3つの目的に対応するため、いかにして組織の内部統制プロセスにモニタリングを組み込むかについての実例を提供している。それゆえに、貴重なリファレンスとなる。COSOモニタリングガイダンスは、COSO 内部統制の統合的フレームワークの基本的要素に変更は加えていない。 38. 新フレームワーク、特に17の原則は、コンプライアンスに係る内部統制評価にどのように適用されるのか? 新フレームワークはコンプライアンスに適応可能である。下記の論点は新フレームワークの5つの構成要素を活用した場合の17の原則の取り扱いである。 原則1から5で支えられている統制環境では、コンプライアンスやその他の内部統制の分野のための基調を設定している。5つの原則は以下を取り上げている。 誠実性と倫理感に対するコミットメント 独立した取締役会による監督 適切な組織構造、報告経路および適切な権限と責任を確立する 有能な個人を惹きつけ、育成し、かつ、維持することに対する コミットメント 内部統制に対する責任を個々人に持たせる 上記5つの原則は有効なコンプライアンスに係る内部統制の本質的要素である。 業務、コンプライアンス、報告のいかなる目的についても、内部統制の評価は関連するリスクの把握から始まる。リスク評価は、関連するリスクの識別と評価を可能にするために明確な目的を必要とする。内部統制の目的を特定する際、原則6は、該当する法律や規制と併せて、経営者のリスク許容度への考慮を求めている。原則7はリスクの識別を、原則9は変化の影響について取り上げており、どちらもコンプライアンス管理に密接に関係している。原則8は、該当する場合、リスク評価を行う際に不正の可能性の考慮について取り上げている。 経営者より進められるリスク評価は、許容可能な水準へのリスク低減に必要な統制活動の設計のための背景を提供する(原則10、11、12)。原則10は、コンプライアンス目的の達成に対するリスクを低減するための統制活動の設計ならびに適用を、原則12は、確立された方針と手続を通しての統制活動の運用を取り上げている。原則11は、コンプライアンス目的の達成に一定の影響を与えるテクノロジーに係るコントロールの効果について取り上げている。 情報と伝達については複数の原理(13、14、15)がコンプライアンスに適用される。 モニタリングは最も重要なコントロールに対応しており、原則16、17はコンプライアンスと密接に関連付けられている。 要約すると、全てのコンプライアンスに関連するリスクとコントロールは、外部の法令や規制ならびに経営者のリスク許容度に影響される。2013 年版の新フレームワークはそれぞれに対する修正であるが、コンプライアンスに対して容易に適用されることが理解できるであろう。規制当局や外部監査人との折衝に関しては、新フレームワークをコンプライアンスに適用するアプローチの構築について、各企業がリードをとり、各企業のアプローチがどのように、なぜ、機能するかの説明準備を行うことが推奨される。全ての企業は異なる状況にあり、COSOは新フレームワークの適用にあたって、専門的判断が必要な点を明確にしている。米国資本市場で活動を行う全ての上場企業は、SOX法404 条の財務報告に係る内部統制評価の経験が新フレームワークのコンプライアンスの他分野への適用に役立つであろう。 39. 新フレームワークはERMにどう関連しているか? 新フレームワークの付録Gにおいてこの質問への回答が記載されている。ここでは関連するポイント全てを繰り返すのではなく、付録へのレファレンスを行っている。さらに、ERM評価のための枠組みである「2004年のCOSO ERMの統合フレームワーク」においてもこの付録で言及している。前述の付録の基本的な要点は次の通りである。ERMは内部統制より広い概念であり、より直接的にリスクに焦点を当てている。また、内部統制はERMの欠くべからざる一部であり、一方でERMは全社的ガバナンスプロセスの一部とされている。