今回は、COSOの内部統制フレームワークと組織での応用についてご説明いたします。
COSOの内部統制フレームワーク
なお、「COSO」はそのまま「コソ」と読みます。
「COSO」は、「Committee of Sponsoring Organizations of the Treadway Commission」(トレッドウェイ委員会組織委員会)の略称です。
この委員会は、1980年代にアメリカで多発した粉飾決算や企業の経営破綻を背景に、内部統制に関連する5つの団体により1985年に設立されたものです。
この委員会が1992年に発表したのが「COSOの内部統制フレームワーク」です。
その枠組みを表したものはその形状から「COSO Cube」(コソキューブ)と呼ばれています。
「COSO Cube」(コソキューブ)について
※「ReserchGate」より引用
「5つの構成要素」について(「COSO Cube」(コソキューブ)の正面)
COSOの内部統制フレームワークにおける「5つの構成要素」の内訳は以下のとおりです。
Control Environment (統制環境)
Control Environment (統制環境)を一言で言い表すならば「コミットメント」です。
組織としてのコミットメントが組織の方針を明らかにし、それぞれの役割分担を明確化します。
このような方針は組織の基本行動のベースとなり、その継続的な活動はその組織の風土・文化を形成します。
Risk Assessment (リスク評価)
「Risk Assessment」は「リスクアセスメント」として日本語にもなっています。
「リスク評価」のことです。
Risk Assessment (リスク評価)により、リスクを識別、分析・評価し、対策の優先順位を決定します。
もちろん、リスクの高いものが優先順位が高くなります。
なお、リスク評価は、定量的なリスク評価と定性的なリスク評価があります。
定量的なリスク評価は、金額(円、ドルなど)や%(パーセント)などリスク評価を数値で行うものです。
一方、定性的なリスク評価は、「高い」、「低い」などの定性的な区分で評価を行うことです。
以下の参考記事は定量的なリスク評価に関する記事です。
Control Activities (統制活動)
Control Activities (統制活動)は、リスクを低減させるために具体的に行う仕組みや活動のことです。
その活動の内容は、リスク評価と優先順位に見合ったものである必要があります。
具体的な活動にどのようなものがあるのかについては以下の記事をご参照ください。
Information & Communication (情報と伝達)
いわゆる「報・連・相(報告、連絡、相談)」のことです。
情報は相手に発信するだけでは不十分です。
情報は相手側に正しく理解されるように伝わっていることが大事です。
なお、このInformation & Communication (情報と伝達)には、内部の情報共有だけではなく外部の情報共有も含まれます。
Monitoring Activities (「監視活動」または「モニタリング活動」)
これまで述べてきた4つの構成要素が効果的に機能しているかどうかのモニタリングです。
PDCAサイクルでいうところの「C」(チェック)に相当します。
このMonitoring Activities (「監視活動」または「モニタリング活動」)は、内部で行うものと外部(独立した第三者機関)で行うものとがあります。
「5つの構成要素」の関連性について
構成要素の5つのうち、どれか一つが欠けていたり、重大な不備があったりする場合は、内部統制全体にマイナスの影響を及ぼします。
したがいまして、他の4つの構成要素が正常に機能しているからといって、残りの1つの欠陥や不備を埋め合わせることにはなりません。
「3つの目的」について(「COSO Cube」(コソキューブ)の上面)
COSOの内部統制フレームワークにおいては、内部統制の目的を3つのカテゴリーに分けています。
Operations (業務)
いわゆる業績目標の達成です。資産保護もこのカテゴリーに含まれます。
Reporting (報告)
内部や外部への報告に関するものです。
内部への報告に関しては、業務運営上、必要な情報は組織内で正しく伝達され、行動レベルにまでに落とし込まれなければなりません。
また、外部への報告に関しては、上場企業であれば決算情報に関し、正確性や透明性、適時性が求められることになります。
認可制、許可制の事業を行う組織であれば、当局に対してその活動内容を適切かつ適時に行う必要があります。
Compliance (コンプライアンス)
Compliance (コンプライアンス)は法令遵守に関するものです。
組織のレベルについて(「COSO Cube」(コソキューブ)の側面)
参考までに対訳をご案内します。
- Entity Level・・・全社レベル
- Division・・・部門
- Operation Unit・・・業務ユニット
- Function・・・機能
COSOの内部統制フレームワークのメリット
このフレームワークがなければ内部統制はどちらかというと経験や勘などに基づくものとなりがちで、ダブリやもれが生じる原因を誘発します。
体系的なフレームワークを使うことで、内部統制をダブリやモレを排除した、より効果的・効率的なものとすることができます。
COSOの内部統制フレームワークの組織での応用について
COSOの内部統制フレームワークが理解できたとしても、それが活用できなければ意味がありません。
応用例を見ていきましょう。
Control Environment (統制環境)が不十分な例とその対策
不十分な例
- 組織としてあるべき姿がそもそも明示されていない
- 全社的なコミットメントは掲示されているものの、それを知っている従業員は少ない。行動レベルにまで落とし込めている従業員はさらに少ない
対策の例
- 「行動規範」、「企業理念」などのコミットメントを明示する
- ただ単にコミットメントを明示するだけではなく、現場レベルでの研修を通じてコミットメントを浸透させる
Risk Assessment (リスク評価)が不十分な例とその対策
不十分な例
- 放置したままだと重大な事故が生じかねない課題に関して、なんら対策が検討されていない
- リスク評価の方法に欠陥があるため、対策の優先順位が正しく設定されていない
対策の例
- リスク評価を実施する(重要度によっては外部のコンサルティングの活用を検討する)
- 体系的なリスク評価を導入し、客観的かつ合理的な優先順位を設定する
Control Activities (統制活動)が不十分な例とその対策
不十分な例
- Control Activities (統制活動)の役割分担が不明確なため、誰も実行しようとしない
- Control Activities (統制活動)を行ったものの効果を伴っていない
対策の例
- 活動範囲、役割分担を明確化させる
- 活動内容を見直し、より効果が高い対策を実践する
Information & Communication (情報と伝達)が不十分な例とその対策
不十分な例
- 組織内でのコミュニケーション不足がある
- 当局への報告が遅れたうえに、誤った情報を伝達してしまった
対策の例
- 一方的な伝達手段(社内通達、電子メール)では受け手側の認識が不十分となる可能性があるため、現場研修・理解度テストなどの双方向性のある伝達手段を確保する。
- 情報伝達に関する社内のチェック体制を強化し、情報の正確性、適時性を確保する
Monitoring Activities (「監視活動」または「モニタリング活動」)が不十分な例とその対策
不十分な例
- 取り組みに関する振り返りやモニタリングの制度がない
- 社内評価などのフィードバックの機会はあるものの、原因分析や改善計画に手がつけられていない
対策の例
- 社内チェック(内部監査など)や第三者(外部コンサルティング、お客さま)からの評価を得る仕組みを作る
- 原因分析や改善計画についても定期的に検証する仕組みを作る
これらの例で紹介しましたとおり、このフレームワークに当てはめることで、経験や勘に頼らない、効果的・効率的な内部統制活動を行っていくことができるようになります。
最後のまとめです。
COSOの内部統制フレームワークと組織での応用について
- COSOの内部統制フレームワーク
- 「COSO Cube」(コソキューブ)について
- 「5つの構成要素」について(「COSO Cube」(コソキューブ)の正面)
- 「3つの目的」について(「COSO Cube」(コソキューブ)の上面)
- 組織のレベルについて(「COSO Cube」(コソキューブ)の側面)
- COSOの内部統制フレームワークのメリット
- COSOの内部統制フレームワークの組織での応用について
COSOの内部統制フレームワークと組織での応用についてご理解いただけましたでしょうか。
知識は実践して初めて効果があるものです。ぜひ皆様の組織でもご活用ください。
あわせて読みたい
Follow me!
コメント