COSOとは？内部統制フレームワークの原則や活用事例をわかりやすく解説

企業の内部統制について意識している経営層の方の中には、「COSO」に興味を持っている方も少なくないでしょう。

しかし、COSOが具体的にどのようなものなのか、経営に対してどう役立つのか、といった点について把握できていないことも珍しくないはずです。

そこでこの記事ではCOSOの基本から、内部統制を強化するためのフレームワークや原則、実際の活用事例などについて詳しく解説していきます。

COSOとは？

この項目では、そもそもCOSOの概要やCOSOの成り立ち、改訂された最新の内部統制の統合的フレームワークについて解説していきます。

COSOの概要

COSO（コーソー／コソ）とは、アメリカで設立された「トレッドウェイ委員会支援組織委員会」という組織の正式名称を省略したものです。

正式名称は「Committee of Sponsoring Organizations of the Treadway Commission」であり、頭文字を取って「COSO」となりました。

COSOの役割は、企業の内部統制を強化して、ビジネスに関する倫理観を高めることです。

COSOが規定するフレームワーク（枠組み／土台）は、世界標準の内部統制フレームワークとして浸透していきました。

業務効率や財務諸表の信頼性、順法精神について定義しつつ、さらに内部統制を以下の5つに区分して評価しています。

• 統制環境
• リスクの評価
• 統制活動
• 情報と伝達
• 監視活動

上記の構成要素については、「COSOの内部統制フレームワークにおける5つの構成要素と17原則」の項目で詳しく解説します。

COSOの成り立ち

COSOという組織が立ち上がったきっかけは、1980年代にアメリカで起こった「企業の経営破綻の続発」です。

企業や金融機関の破綻が相次いだことへの対処法として、1985年に「アメリカ公認会計士協会」が各関連協会に働きかけ、COSOを組織しました。

その後COSOは、企業破綻リスクとなる内部統制に関してあらゆる面から検証を行い、1987年に「不正な財務報告」というレポートを公表します。

これが、財務報告に関する不正を事前に防止するためのフレームワークとして活用されるようになったのです。

この時発表された主な勧告内容には以下のようなものがあります。

• 不正な財務報告を防止したり早期発見したりするため、経営者が財務に関する統制環境を整備すべき
• 内部監査や内部会計統制を充実させるべき
• 内部の人材だけでなく、外部からも人材を招聘して監査委員会を設置すべき
• 年次報告書に、内部統制について経営者の意見等を記載すべき

これらの勧告内容が、カナダやイギリスなどの企業に対する内部統制の基礎になったとも言われています。

改訂された最新の内部統制の統合的フレームワーク

当初COSOは、1992年に内部統制フレームワークについて公表しました。しかし2013年5月に、従来のものをアップデートした改訂版をリリースしています。

改訂の背景としては、公表から約20年が経ったことで、以下のようなビジネス環境の変化が起こったからです。

• グローバル化の必要性
• ビジネスの複雑化
• 法規制の変化
• ITの発展　...など

従来の内部統制フレームワークが改良され、より現実に即したフレームワークへと昇華したことで、内部統制が求められる企業にとってさらにCOSOの重要度が増したと言えるでしょう。

COSOの内部統制フレームワークにおける5つの構成要素と17原則

COSOの内部統制フレームワークには、「COSOキューブ」と呼ばれる以下の5つの構成要素があります。

出典）金融庁検査局 専門検査官（公認会計士）窪寺信「ＣＯＳＯレポートの概要等について『内部統制フレームワーク』と『全社的リスクマネジメント』」p.3

この項目では、上記キューブの5つの項目について解説するとともに、17の原則についても紹介していきます。

統制環境

COSOにおける「統制環境」とは、企業の内部統制の基盤となる構成要素です。

上記の「COSOキューブ」の土台となっていることからもわかる通り、他の内部統制の基盤となり、企業の健全な経営を支える重要な要素となります。

健全な経営状態を維持するためには、企業としての倫理的価値観や行動規範、経営陣の姿勢、従業員が持つべき意識といった企業文化について、全社的に浸透させる必要があるのです。

統制環境に関する基本概念は以下の5つです。

原則1	組織は、誠実性と倫理観に対するコミットメントを表明する
原則2	取締役会は、経営者から独立していることを表明し、かつ、内部統制の整備および運用状況について監督を行う
原則3	経営者は、取締役会の監督の下、内部統制の目的を達成するに当たり、組織構造、報告経路および適切な権限と責任を確立する
原則4	内部統制の目的に合わせて、有能な個人を惹きつけ、育成し、かつ、維持することに対するコミットメントを表明する
原則5	内部統制の目的を達成するに当たり、内部統制に対する責任を個々人に持たせる

出典）経済産業省 「システム管理基準」p.12

リスクの評価

リスクの評価は、組織におけるリスク評価や識別を行う構成要素です。

あらゆるリスクに対して、評価や識別を実施するプロセスが整っていなければ、経営目標の達成に悪影響が出てしまうかもしれません。

そのため、さまざまな外部リスク・内部リスクに対する内部統制システムを構築しておく必要があります。

リスクの評価に関する基本概念は以下の4つです。

原則1	組織は、内部統制の目的に関連するリスクの識別と評価ができるように、十分な明確さを備えた内部統制の目的を明示する
原則2	組織は、自らの目的の達成に関連する事業体全体にわたるリスクを識別し、当該リスクの管理の仕方を決定するための基礎としてリスクを分析する
原則3	組織は、内部統制の目的の達成に対するリスクの評価において、不正の可能性について検討する
原則4	組織は、内部統制システムに重大な影響を及ぼし得る変化を識別し評価する

出典）経済産業省 「システム管理基準」p.12

統制活動

統制活動は、企業が掲げる目標達成のリスクとなるものを排除するための構成要素です。

例えば、「不正会計」や「社員の不祥事」などの防止を目的とした仕組みを構築するような活動がそれに該当します

統制活動の評価に関する基本概念は以下の3つです。

原則1	組織は、内部統制の目的に対するリスクを許容可能な水準まで低減するのに役立つ統制活動を選択し、整備する
原則2	組織は、内部統制の目的の達成を支援するテクノロジーに関する全般的統制活動を選択し、整備する
原則3	組織は、期待されていることを明確にした方針および方針を実行するための手続を通じて、統制活動を展開する

出典）経済産業省 「システム管理基準」p.12

情報と伝達

情報と伝達は、内部統制を強化するために必要な「質の高い情報」を入手・作成し、企業内や関係のある外部企業に対して正確に伝達するための構成要素です。

経営者による発信が、全社員および取引先などに正しく伝わるよう、継続的にプロセスを整備していく必要があります。

情報と伝達に関する基本概念は以下の3つです。

原則1	組織は、内部統制が機能することを支援する、関連性のある質の高い情報を入手または作成して利用する
原則2	組織は、内部統制が機能することを支援するために必要な、内部統制の目的と内部統制に対する責任を含む情報を組織内部に伝達する
原則3	組織は、内部統制が機能することに影響を及ぼす事項に関して、外部の関係者との間での情報伝達を行う

出典）経済産業省 「システム管理基準」p.12

監視活動（モニタリング活動）

監視活動は、内部統制フレームワークの「5つの構成要素」が正しく機能しているかモニタリングするための構成要素です。

監視によって問題が見つかった場合は、経営者および取締役会へすぐに報告され、改善の必要があれば内部統制の構成要素について整備すべき、とされています。

監視活動に関する基本概念は以下の2つです。

原則1	組織は、内部統制の構成要素が存在し、機能していることを確かめるために、日常的評価および／または独立的評価を選択し、整備および運用する
原則2	組織は、適時に内部統制の不備を評価し、必要に応じて、それを適時に上級経営者および取締役会を含む、是正措置を講じる責任を負う者に対して伝達する

出典）経済産業省 「システム管理基準」p.12

COSOの内部統制フレームワークの活用によって得られること

COSOの内部統制フレームワークを活用することで、以下のようなメリットを得ることができます。

• 業種を問わず内部統制の設計・運用が可能となる
• 内部統制が機能していることを対外的に訴求できる

COSOの内部統制フレームワークは、5つの構成要素と17つの原則が明確になっているため、どんな業種にも適用可能です。

また、世界標準となっているCOSOの内部統制フレームワークを導入することで、不正やコンプライアンス違反などのリスク低減を訴求することができるでしょう。

その結果、「信頼できる企業」という評価を得られる可能性が高まります。

COSOの内部統制フレームワーク活用事例

この項目では、COSOの内部統制フレームワークにおける問題事例や改善方法について紹介していきます。

統制環境に問題がある事例と改善方法

統制環境について問題となりやすいのは、「企業内の内部統制が徹底されていない」という事象です。

企業理念やコンプライアンスの方針、社員の行動基準などについて適切に規定していても、社内全体に浸透していない場合も少なくありません。

例えば、「常務から部長への伝達は正しく行われたものの、部長から課長への伝達がなされておらず、内部統制の内容を把握できていない社員が一定数いる」というようなケースです。

このような事態を避けるためには経営陣が指揮を執り、コンプライアンスの方針や社員の行動基準などが周知徹底されているか、綿密に確認する必要があります。

リスクの評価に問題がある事例と改善方法

リスク評価においては、「会社規模などの要因によって、社内に潜むリスクの識別や評価が適切に実施できない」という事態が想定されます。

多くの連結子会社がある企業の場合、「売上高の少ない子会社についての管理が甘くなってしまった結果、不正会計を見逃してしまった」というようなことも考えられるでしょう。

事業規模が小さい子会社であろうと、自社が擁する企業であることに間違いはありません。

したがって、問題が発生すれば企業グループ全体に「社会的信用の低下」といったような不利益が発生する可能性があります。

そのようなことが起こらないように、事業規模に関わらずすべての支社に対してリスクの評価を実施していくべきです

統制活動に問題がある事例と改善方法

統制活動において起こりやすい問題は、主に以下2点が挙げられます。

• 不正や不祥事が起こらないようにするための仕組みが構築されていない
• 統制活動が正しく機能していない

属人的な体制になっている時は特に注意が必要です。担当者と取引先との癒着などの問題が発生しやすくなってしまいます。

こうした問題が起こらないように、一人の担当者に大きすぎる権限を与えないようにし、稟議のフローを整備するようにしましょう。

すでに属人的な形になっている場合は、取引先との馴れ合いによるずさんな取引が行われていないかを洗い出すようにしてください。

情報と伝達に問題がある事例と改善方法

情報と伝達に関しては、「内部統制に求められる適切な情報収集・伝達が行われていない」という問題が起こりがちです。

例えば、「業務効率化を図るために導入するシステムに対して、検証が不十分だったため、自社の業務とマッチしていないシステムが導入されてしまった」というようなケースです。

現場に対するヒアリングが足りず、上層部への正しい伝達が行われないと、このような事態を招いてしまうリスクが生まれます。

内部統制の徹底のためには、「必要な情報収集を怠らない」「抜け漏れのない伝達が行われる体制を整備する」といった対策が不可欠です。

監視活動に問題がある事例と改善方法

監視活動（モニタリング）は、内部統制に関する5つの構成要素が正しく機能しているかチェックするための仕組みです。

これが不十分ならば、さまざまな問題を招く要因となってしまうかもしれません。

例としては、「内部監査を実施して問題が見つかったため、解決するためのマニュアルが作成されたものの、監視活動がおざなりになっていたため結局元の状態に戻ってしまった」というようなケースが挙げられます。

一度問題や課題が改善されたとしても、その場限りでは意味がなく、継続的に監視し続ける取り組みが求められます。

そのためには、監査の頻度を増やしたり、内部監査よりも厳しい「外部監査」を実施して根本的な問題をあぶり出したりする必要があると言えるでしょう。

まとめ

以上、COSOの概要や、COSOの内部統制フレームワークを構成する5つの要素と17つの原則、実際の事例と改善方法などについて解説してきました。

世界標準となっているCOSOの内部統制フレームワークを導入することで、社内の内部統制が強化されるだけでなく、対外的にも高い信頼を獲得できる可能性が高まります。

企業として経営リスクをできる限り低減するためにも、是非導入を検討してみてはいかがでしょうか。