COSOと言えば、「噺家が闇夜にコソコソ」という月曜日のTV深夜番組を連想してしまいますが、正式名称はトレッドウエイ委員会支援組織委員会です。英語名Committee of Sponsoring Organizations of the Treadway Commissionです。その頭文字をとってCOSOと呼んでいます。
COSOは、アメリカ公認会計士協会(AICPA)や内部監査人協会(IIA)等の組織によって構成される委員会で、米国SOX法や日本の金融商品取引法(俗称JSOX)等の前提となっているCOSOフレームワークと呼ばれる事実上の世界標準となっている内部統制の枠組みを提供しています。
COSOのミッションは、「組織のパーフォーマンスやガバナンスを改善し不正を抑制するために全社的リスクマネジメント、内部統制および不正防止に関する包括的フレームワークやガイダンスの構築を通して先進的な洞察を提供すること」とされています。
COSOは1985年に発足し、1992年にCOSOフレームワークの理論編、1994年に実践編を発表しました。
COSOのフレームワークは 1998年のBIS規制や1999年の金融検査マニュアルに取り入れられ、さらに、2001年のエンロン事件等の不祥事の後2002年に制定された米SOX法、2006年の日本の金商法、同じく2006年の日本の会社法の内部統制構築の義務化にも取り込まれています。
COSOフレームワークは3つの目的、5つの構成要素で説明されます。3つの目的は、業務(業務の有効性、効率性)、報告(財務諸表の信頼性)、法令順守(関連法規の遵守)で、5つの構成要素は統制環境、リスク評価、統制活動、情報と伝達、モニタリング活動です。
2004年9月にCOSOはERM(enterprise risk management)-Integrated Framework /全社的リスクマネジメント総合的フレームワークを公表します。
ERMは内部統制の軸足を信頼性の高い財務報告から、経営実務に適用しやすい枠組みに移したCOSOフレームワークの応用版と考えれば理解しやすいと思います。3つの目的に、戦略(組織のミッションに関連付けれた高次元の目的)が4つめの目的として追加され、5つの構成要素のうちのリスク評価が1)目的の設定、2)事象の特定、3)リスクの評価、4)リスクへの対応と細分化され、8つの構成要素に変わっただけです。
さて、2013年5月に約20年ぶりに改訂された新COSOの話です。 ERMの延長ではなく、旧COSOの3つの目的と5つの構成要素を基盤として、それに17の原則が明示されました。
内部統制が有効であるための要件を17の原則で明確に定義し、構成要素と原則が存在、機能し、かつ構成要素が共に運用されている必要があるとしています。
そして、”comply or explain” (原則、ルールに従え、さもなくば、従わない理由を説明せよ)という言葉で説明責任を強く求めています。
17の原則の詳細説明は避けますが、新COSOで何が変わろうとしているかの観点から、私なりに注目すべきと感じた5つのポイントを揚げます。
1)ガバナンスの強化(取締役会の経営者からの独立性、なおこの取締役会はBoard of Directorsではなく、Governing Bodyという言葉が使われ、日本では監査役会、監査委員会も含まれると解釈されます。日本の取締役会の性格からして、ますます社外取締役の増員圧力がかかりそうです。)
2)報告の対象が非財務にまで拡大(目的達成のためにリスクを受け入れる経営戦略[ERM]とリスク管理という戦術[内部統制]の関連性やその他、会社がどのような極秘情報の漏えいリスク忌避体制を構築しているか等の情報等)
3)企業集団の概念が外部委託先(OSP:Outsourced Service Provider)にも拡大、受託、委託企業という内部・外部の双方向での内部統制評価(自社の内部統制システムが取引先の内部統制システムの一部に取り込まれるなど拡大企業集団の概念の下、相互牽制による内部統制構築圧力がかかってきます。)
4)構築された仕組みが運用されているかという評価の観点からモニタリング活動の強化(従業員等に周知徹底されているか等を確認するためのアンケート実施等が必要となってきそうです。)
5)組織内(OSPも含む)での不正リスク対応の仕組みの構築 (不正リスク対応について、これまで会計監査人/監査法人を中心に強化が図られてきましたが、企業経営者にもその仕組みを構築し自ら評価することも求められ2)で説明したように、その情報開示が求められることになってきそうです。
改訂COSOによって、会社の構築する内部統制システムが運用されているかどうか、その実践面に焦点があてられたといえるでしょう。 会社にとっては新たな負担が増加しそうです。旧フレームワークは2014年12月15日までの移行期間終了まで有効とされています。
なお、写真の本は、一部参照させていただきましたが、5つのポイントはあくまで私見です。