JCGR 日本コーポレートガバナンス研究所

ブログ

2020 CG研究会:第8回「監査委員会と内部監査-その2 COSOフレームワーク-」

監査委員会と内部監査 その1 その2 その3

その2:内部統制と内部監査-COSOフレームワークを中心に-

第7回コーポレートガバナンス研究会のテーマは、取締役会のガバナンス各論その3として「監査委員会のベストプラクティス」を取り上げる。NYSEのコーポレートガバナンス・スタンダードは、監査委員会の責務は➀財務諸表の正規性のレビュー、➁法律を始めとする諸ルールのコンプライアンス体制の検証、③内部監査人および外部監査人の独立性要件の確認、および④内部監査人・外部監査人の職務遂行状況の評価である。これらの活動の前提になるのは会社の内部統制である。このブログでは、日本では関心の対象になりにくい内部統制とはどのようなものであるかを示す。

内部統制に関しては、長い間、学界にも実務界にも共通の概念あるいはモデルがなかったが、1985年、不正な財務報告の原因となる要因を識別し、かつその発生を減少させる目的で、米国の内部統制に関連する5つの団体(米国公認会計士協会(AICPA)、米国会計学会(AAA)、財務担当経営協会(FEI)、内部監査人協会(IIA)、全米会計人協会(IMA)の協力によってトレッドウェイ委員会が設立された。1992年9月、同委員会はCOSOレポートといわれる”Internal Control-integrated Framework”(「内部統制の統合フレームワーク」)という報告書を発表し、COSOフレームワークと呼ばれるようになった内部統制の基本的な枠組みを提案した。それが広く受け入れられ、COSOフレームワークは事実上内部統制の世界標準となった。

COSOフレームワークが広まったのにもかかわらず、エンロン事件を始めとして上場企業の会計開示の不正やコンプライアンスの欠如等による不祥事が頻発したのを背景に、アメリカ政府は2002年7月、企業改革のための法律(アメリカ企業改革)いわゆるサーベンス・オクスリー法(SOX法)を制定した。長年不正な財務報告で悩まされてきた日本も、それを受け2006年6月、証券取引法などを抜本的に改正した「金融商品取引法」を公布し、財務報告の信頼性を確保するために、企業と経営者の義務や責任についても厳しい規制が盛り込んだ。つまり、経営者は有価証券報告書と併せて「内部統制報告書」を内閣総理大臣に提出しなければならず、その報告書には公認会計士又は監査法人の監査証明をつけなければならないと定められた。この制度はSOX法をお手本としていることからJ-SOXと呼ばれる。この内部統制報告制度を定めるにあたり企業会計審議会内部統制部会は会計報告に関する内部統制のあり方を検討したが、そこで内部統制の一般論として内部統制の基本的枠組みを定めた。これは内部統制の世界的な標準とされてきCOSOフレームワークの改訂版である「改訂COSO内部統制フレームワーク」に準拠したものである。2019年12月に「財務報告に係る内部統制の評価および監査の基準」の改訂版が出されたされたので、そこに提示されている内部統制の基本的枠組み」の概略を以下に紹介し、皆さんが内部統制に関する理解をCOSO内部統制の観点から整理するための一助としたい。なお内部監査人については4.(4)で触れられている。

以下では、ⅠでCOSOフレームワークの骨子だけを紹介し、Ⅱとしてそれをお手本として策定された我が国の内部統制の基本的枠組みを引用紹介する。

Ⅰ COSOフレームワーク-「内部統制の体系的整理」by Committee of Sponsoring Organizations of the Treadway Commission(COSO)

1.COSO 内部統制の定義及び3つの目的

内部統制は、以下の範疇に分けられる目的の達成に関して合理的な保証を提供することを意図した、事業体の取締役、経営者およびその他の構成員によって遂行されるプロセスである。

 (1)業務の有効性・効率性(operations)
 (2)財務諸表の信頼性(reporting)
 (3)関連法規の遵守(compliance)

2. COSO 内部統制の5つの構成要素

次の5つの構成要素が相互に関連し合いながら事業目的の達成に重要な影響を与える。

 (1)統制環境(control environment) 
 (2)リスク評価(risk assessment)
 (3)統制活動(control activities) 
 (4)情報および伝達(information and communication)
 (5)モニタリング(monitoring activities)

3. COSOその後の展開

内部統制システムを有効に機能させるため、企業が行う事業を利益とリスクという観点から全社横断的・継続的に評価・改善するフレームワークの必要性を痛感し検討を再開し2004年9月、COSO ERMフレームワークを発表した。さらに、2013年5月には、1992年のCOSOフレームワークを全面的に見直し、内部統制の有効性評価ツールの例示などをした改訂版を発表した。

 

Ⅱ 内部統制の基本的枠組み-わが国の内部統制モデル-

平成19年2月15日に企業会計審議会から公表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」の内容を引用紹介する。上記のCOSOフレームワーク(1992)に基づいているが、その後の企業環境の変化やIT技術の進歩を反映して、内部統制の目的に関しては「資産の保全」が、基本的要素に関してはIT(情報技術への対応)が付加されている。

0.内部統制の定義
 内部統制とは、基本的に、➀業務の有効性及び効率性、➁財務報告の信頼性、③事業活動に関わる法令等の遵守並びに④資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、次の6つの基本的要素から構成される。➀統制環境、➁リスクの評価と対応、③統制活動、④情報と伝達、⑤モニタリング(監視活動)及び⑥IT(情報技術)への対応
1.内部統制の目的
(1) 業務の有効性及び効率性 業務の有効性及び効率性とは、事業活動の目的の達成のため、業務の有効性及び効率性を 高めることをいう。
(2) 財務報告の信頼性 財務報告の信頼性とは、財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の 信頼性を確保することをいう。
(3) 事業活動に関わる法令等の遵守 事業活動に関わる法令等の遵守とは、事業活動に関わる法令その他の規範の遵守を促進することをいう。➀法令 ➁基準等 ③自社内外の行動規範
(4)資産の保全 資産の保全とは、資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ることをいう。
(*)内部統制の目的はそれぞれに独立しているが、相互に関連している。
2.内部統制の基本的要素
(1)統制環境
 統制環境とは、組織の気風を決定し、統制に対する組織内のすべての者の意識に影響を与 えるとともに、他の基本的要素の基礎をなし、リスクの評価と対応、統制活動、情報と伝達、モニ タリング及びITへの対応に影響を及ぼす基盤をいう。
 統制環境としては、例えば、次の事項が挙げられる。 ➀誠実性および倫理観 ➁経営者の意向および姿勢 ③経営方針および経営戦略 ④取締役会および監査役、監査役会、監査等委員会または監査委員会(以下「監査役等」という)の有する機能 ⑤組織構造および慣行 ⑥権限および職責 ⑦人的資源に対する方針と管理
(2)リスクの評価と対応
 リスクの評価と対応とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、当該リスクへの適切な対応を行う一連のプロセスをいう。
➀リスクの評価
 リスクの評価とは、組織目標の達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価するプロセスをいう。
 リスクの評価に当たっては、組織の内外で発生するリスクを、組織全体の目標に関わる全社的なリスクと組織の職能や活動単位の目標に関わる業務別のリスクに分類し、その性質に応じて、識別されたリスクの大きさ、発生可能性、頻度等を分析し、当該目標への影響を評価する。
➁リスクへの対応
 リスクへの対応とは、リスクの評価を受けて、当該リスクへの適切な対応を選択するプロセスをいう。
リスクへの対応に当たっては、評価されたリスクについて、その回避、低減、移転または受容等、適切な対応を選択する。
(3)統制活動
 統制活動とは、経営者の命令及び指示が適切に実行されることを確保するために定められる方針及び手続をいう。
 統制活動には、権限及び職責の付与、職務の分掌等の広範な方針及び手続が含まれる。こ のような方針及び手続は、業務のプロセスに組み込まれるべきものであり、組織内のすべての者 において遂行されることにより機能するものである。
(4)情報と伝達
 情報と伝達とは、必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保することをいう。組織内のすべての者が各々の職務の遂行に必要とする情 報は、適時かつ適切に、識別、把握、処理及び伝達されなければならない。また、必要な情報が 伝達されるだけでなく、それが受け手に正しく理解され、その情報を必要とする組織内のすべての者に共有されることが重要である。
 一般に、情報の識別、把握、処理およびでんたつは、人的および機械化された情報システムを通して行われる
① 情報
組織内の全ての者は、組織目標を達成するため及び内部統制の目的を達成するため、適時かつ適切に各々の職務の遂行に必要な情報を識別し、情報の内容及び信頼性を十分に把握し、利用可能な形式に整えて処理することが求められる。
② 伝達
イ. 内部伝達
組織目標を達成するため及び内部統制の目的を達成するため、必要な情報が適時に組織内の適切な者に伝達される必要がある。経営者は、組織内における情報システムを通して、経営方針等を組織内の全ての者に伝達するとともに、重要な情報が、特に、組織の上層部に適時かつ適切に伝達される手段を確保する必要がある。
ロ. 外部伝達
 法令による財務情報の開示等を含め、情報は組織の内部だけでなく、組織の外部に対しても適時かつ適切に伝達される必要がある。また、顧客など、組織の外部から重要な情報が提供されることがあるため、組織は外部からの情報を適時かつ適切に識別、把握及び処理するプロセスを整備する必要がある。
(5)モニタリング
 モニタリングとは、内部統制が有効に機能していることを継続的に評価するプロセスをいう。モ ニタリングにより、内部統制は常に監視、評価及び是正されることになる。モニタリングには、業務 に組み込まれて行われる日常的モニタリング及び業務から独立した視点から実施される独立的 評価がある。両者は個別に又は組み合わせて行われる場合がある。
① 日常的モニタリング
 日常的モニタリングは、内部統制の有効性を監視するために、経営管理や業務改善等の通常の業務に組み込まれて行われる活動をいう。
② 独立的評価
 独立的評価は、日常的モニタリングとは別個に、通常の業務から独立した視点で、定期的又は随時に行われる内部統制の評価であり、経営者、取締役会、監査役等、内部監査等を通じて実施されるものである。
③ 評価プロセス
 内部統制を評価することは、それ自体一つのプロセスである。内部統制を評価する者は、組織の活動及び評価の対象となる内部統制の各基本的要素を予め十分に理解する必要がある。
④ 内部統制上の問題についての報告
 日常的モニタリング及び独立的評価により明らかになった内部統制上の問題に適切に対処するため、当該問題の程度に応じて組織内の適切な者に情報を報告する仕組みを整備することが必要である。この仕組みには、経営者、取締役会、監査役等に対する報告の手続が含まれる。
(6)IT(情報技術への対応)
 ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏ま えて、業務の実施において組織の内外のITに対し適切に対応することをいう。ITへの対応は、 内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がIT に大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として内部統制の有効性に係る判断の規準となる。 ITへの対応は、IT環境への対応とITの利用及び統制からなる。

① IT環境への対応
 IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるITの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要がある。
 IT環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となっ
て評価される。
② ITの利用及び統制
 ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。
 ITの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになる。
3.内部統制の限界
 内部統制は、次のような固有の限界を有するため、その目的の達成にとって絶対的なもので はないが、各基本的要素が有機的に結びつき、一体となって機能することで、その目的を合理 的な範囲で達成しようとするものである。
(1) 内部統制は、判断の誤り、不注意、複数の担当者による共謀によって有効に機能し なくなる場合がある。
(2) 内部統制は、当初想定していなかった組織内外の環境の変化や非定型的な取引等に は、必ずしも対応しない場合がある。
(3) 内部統制の整備及び運用に際しては、費用と便益との比較衡量が求められる。
(4) 経営者が不当な目的の為に内部統制を無視ないし無効ならしめることがある。
4.内部統制に関係を有する者の役割と責任
(1)経営者
 経営者は、組織のすべての活動について最終的な責任を有しており、その一環として、取締 役会が決定した基本方針に基づき内部統制を整備及び運用する役割と責任がある。 経営者は、その責任を果たすための手段として、社内組織を通じて内部統制の整備及び運用 (モニタリングを含む。)を行う。 経営者は、組織内のいずれの者よりも、統制環境に係る諸要因及びその他の内部統制の基 本的要素に影響を与える組織の気風の決定に大きな影響力を有している。
(2)取締役会
 取締役会は、内部統制の整備及び運用に係る基本方針を決定する。 取締役会は、経営者の業務執行を監督することから、経営者による内部統制の整備及び運用 に対しても監督責任を有している。 取締役会の状況は、「全社的な内部統制」の重要な一部であるとともに、「業務プロセスに係る 内部統制」における統制環境の一部である。
(3)監査役または監査委員会
 監査役又は監査委員会は、取締役及び執行役の職務の執行に対する監査の一環として、独 立した立場から、内部統制の整備及び運用状況を監視、検証する役割と責任を有している。
(4)内部監査人
 内部監査人は、内部統制の目的をより効果的に達成するために、内部統制の基本的要素の 一つであるモニタリングの一環として、内部統制の整備及び運用状況を検討、評価し、必要に応 じて、その改善を促す職務を担っている。 (注) 内部監査人とは、組織内の所属の名称の如何を問わず、内部統制の整備及び運用状 況を検討、評価し、その改善を促す職務を担う者及び部署をいう。
(5)組織内のその他の者
 内部統制は、組織内の全ての者によって遂行されるプロセスであることから、上記以外の組織内のその他の者も、自らの業務との関連において、有効な内部統制の整備及び運用に一定の役割を担っている。

以 上

page top