• 更新日 : 2024年7月12日

COSOの内部統制フレームワークとは？要素や原則・活用例をわかりやすく紹介

内部統制の準備を進めている担当者は、COSOの内部統制フレームワークを参考にしたいと考えているのではないでしょうか。COSOのフレームワークを活用すれば、業種形態を問わずに内部統制を構築することが可能です。また、フレームワークに沿って内部統制を構築することで、ステークホルダーからの信頼も高まります。

本記事では、フレームワークの構成要素や基本原則に加え、活用事例について解説しています。

COSOとは

COSOとは、トレッドウェイ委員会支援組織委員会という組織のことです。正式名称は「The Committee of Sponsoring Organizations」といい、頭文字を取ってCOSOといいます。COSOは、1985年に「不正な財務報告全米委員会（トレッドウェイ委員会）」の活動を支援する目的で設立されました。その背景には、1970年代から続いていた粉飾決算や不正な財務報告問題が社会問題となっていたことがあります。

COSOの内部統制フレームワークとは

COSOの内部統制フレームワークとは、組織が、健全な意思決定および組織のガバナンスを支える内部統制システムを、有効かつ効率的に整備・運用できるように公表されたものです。COSOの内部統制フレームワークは世界標準となっており、日本の内部統制もCOSOのフレームワークを参考に整備されています。

またCOSOでは、内部統制の定義を「事業体の取締役会、経営者およびその他の構成員によって実行され、業務、報告およびコンプライアンスに関連する目的の達成に関して合理的な保証を提供するために整備されたひとつのプロセス」としています。

COSOの内部統制フレームワークの5要素17原則

COSOの内部統制フレームワークは、事業体が達成すべき3つの目的と5つの統合された要素から構成されており、各構成要素の基本概念を表す17の原則が提示されています。

これら目的と構成要素、事業体の組織構造との関係は立方体で表すことができ、3つの目的を列（縦軸）、5つの構成要素を行（横軸）、事業体の組織構造は立方体の軸として表します。

ここからは、事業体が適用すべき5つの構成要素と17の基本原則について解説していきます。

統制環境

統制環境とは、組織全体で内部統制を実行するためのベースとなる構成要素です。統制環境は、内部統制システムに大きな影響をおよぼすため、組織のトップである取締役会および経営者は、組織の監督責任を遂行する必要があります。また組織は、内部統制を実行するために、誠実性と倫理感に対するコメットメントを表明することが求められています。

統制環境の基本原則は、以下のとおりです。

1. 組織は、誠実性と倫理観に対するコミットメントを表明する。
2. 取締役会は、経営者から独立していることを表明し、かつ、内部統制の整備および運用状況について監督を行う。
3. 経営者は、取締役会の監督の下、内部統制の目的を達成するに当たり、組織構造、報告経路および適切な権限と責任を確立する。
4. 組織は、内部統制の目的に合わせて、有能な個人を惹きつけ、育成し、かつ、維持することに対するコミットメントを表明する。
5. 組織は、内部統制の目的を達成するに当たり、内部統制に対する責任を個々人に持たせる。

リスク評価

リスク評価とは、リスクの識別および評価を行うための構成要素です。外部および内部から発生したリスクは、評価および識別を行うためのプロセスが整備されていないと、目的の達成に不利な影響をおよぼす可能性があるからです。また経営者は、内部統制システムの有効性を低下させうる不正の可能性についても、検討することが求められています。

リスク評価の基本原則は、以下のとおりです。

1. 組織は、内部統制の目的に関連するリスクの識別と評価ができるように、十分な明確さを備えた内部統制の目的を明示する。
2. 組織は、自らの目的の達成に関連する事業体全体にわたるリスクを識別し、当該リスクの管理の仕方を決定するための基礎としてリスクを分析する。
3. 組織は、内部統制の目的の達成に対するリスクの評価において、不正の可能性について検討する。
4. 組織は、内部統制システムに重大な影響をおよぼしうる変化を識別し、評価する。

統制活動

統制活動とは、不正や不祥事の防止を目的とした仕組みを構築・実行するための要素です。経営者は、内部統制の目的を達成するために、リスクの予防・発見を行うために統制活動を選択し、整備することが求められています。

統制活動の基本原則は、以下のとおりです。

1. 組織は、内部統制の目的に対するリスクを許容可能な水準まで低減するのに役立つ統制活動を選択し、整備する。
2. 組織は、内部統制の目的の達成を支援するテクノロジーに関する全般的統制活動を選択し、整備する。
3. 組織は、期待されていることを明確にした方針および方針を実行するための手続をつうじて、統制活動を展開する。

情報と伝達

情報と伝達とは、内部統制の目的を達成するために必要な「情報」を利用し、組織の内部・外部へ正確に「伝達」するための構成要素です。内部へ情報伝達を行う際は、経営者からのメッセージを組織全体へ広めることが求められ、外部へ情報伝達を行う際は内部統制が機能するよう、プロセスを整備することが求められています。

情報と伝達の基本原則は、以下のとおりです。

1. 組織は、内部統制が機能することを支援する、関連性のある質の高い情報を入手または作成して利用する。
2. 組織は、内部統制が機能することを支援するために必要な、内部統制の目的と内部統制に対する責任を含む情報を組織内部に伝達する。
3. 組織は、内部統制が機能することに影響をおよぼす事項に関して、外部の関係者との間での情報伝達を行う。

モニタリング

モニタリングとは、内部統制における5つの構成要素が存在し、機能しているかを確認するための要素です。モニタリング活動で発見した事項は、経営者および取締役会により設定された基準で評価され、不備があった場合は、経営者および取締役会へ伝達されます。

モニタリングの基本原則は、以下のとおりです。

1. 組織は、内部統制の構成要素が存在し、機能していることを確かめるために、日常的評価または独立的評価を選択し、整備および運用する。
2. 組織は、適時に内部統制の不備を評価し、必要に応じて、それを適時に上級経営者および取締役会を含む、是正措置を講じる責任を負う者に対して伝達する。

COSOの内部統制フレームワークを活用するメリット

COSOの内部統制フレームワークを活用するメリットには、以下のようなものがあります。

内部統制の設計や運用が業種形態を問わず行える

COSOの内部統制フレームワークを活用するメリットとして、内部統制の設計や運用・整備が、業種形態を問わず誰でも行えることが挙げられます。COSOの内部統制フレームワークでは、事業体が達成すべき3つの目的と5つの構成要素が提示されているため、内部統制に必要な要素を漏れなくカバーできることが特徴です。

内部統制が有効に機能する客観的な証明になる

COSOの内部統制フレームワークを活用することは、企業の内部統制が有効に機能する客観的な証明になると考えられます。企業が上場の準備を進めるような拡大局面では、内部統制によるコンプライアンス強化に客観性をもたせる必要があります。そういった際に、世界標準であるCOSOの内部統制フレームワークに沿って内部統制を設計・運用していることは、株主や取引先などのステークホルダーから高い信頼を得ることにつながるでしょう。

COSOの内部統制フレームワークの活用例

最後に、COSOの内部統制フレームワークの活用例を、以下の5つ紹介していきます。

統制環境に問題がある場合

統制環境では、組織全体で内部統制が実行されていないことが問題となります。誠実性と倫理観に対するコミットメントが表明されていないことで、従業員のコンプライアンスに対する意識に差が生じてしまうといった事例が想定されます。

統制環境の問題を解決するためには、従業員がよく利用する場所へ組織の行動規範や経営理念を掲示しておくほか、研修等をつうじて周知させることが必要です。

リスク評価に問題がある場合

リスク評価では、リスクの識別および評価が行えないことが問題となります。内部統制に重大な影響をおよぼすかもしれないとの認識が不足していたことから、目先の利益にとらわれ、不祥事を起こしてしまうといった事例が想定されます。

リスク評価の問題を解決するためには、過去の事例で見られたような過ちを犯していないか注意深く内部監査を行うほか、リスクの管理体制を定期的に見直すことが必要です。

統制活動に問題がある場合

統制活動では、不正や不祥事を防止する仕組みが構築・実行できていないことが問題となります。内部統制の目的を達成するテクノロジーが導入できていなかったことにより、内部統制システムが形骸化（承認のスタンプラリー化など）してしまい、不祥事に発展する事例が想定されます。

統制活動の問題を解決するためには、ワークフローシステムやERPといった最新のテクノロジーを導入するほか、承認者を定期的に変更するといった方法が有効です。

情報と伝達に問題がある場合

情報と伝達では、内部統制に必要な情報の収集や、適切な伝達が行えていないことが問題となります。情報の収集が不足していたことから、業務に支障をきたしてしまう事例や、適切な伝達が行われていないことにより、外部への情報漏えいに発展する事例が想定されます。

情報と伝達の問題を解決するためには、組織内で情報収集の状況を確認することや、情報伝達に関する社内のプロセスを定期的に確認して、整備することが必要です。

モニタリングに問題がある場合

モニタリングでは、内部統制における5つの構成要素が存在し、機能しているかを確認できていないことが問題となります。内部統制システムの不備に対する評価や是正が行われていないことにより、法令違反や不祥事が再発してしまう事例が想定されます。

モニタリングの問題を解決するためには、内部監査を強化するほか、第三者（監査法人等）から組織のモニタリング体制を確認してもらう方法が有効です。

まとめ

COSOの内部統制フレームワークは、どのような業種形態でも内部統制が構築できるように、目的や構成要素、基本原則が作成されています。拡大局面で従業員数が多くなってきた企業や上場審査を受けようと考えている企業は、特にコンプライアンスを強化する必要があるため、内部統制フレームワークを活用して不正や不祥事が起こらない環境を整備していきましょう。

よくある質問

COSOとは？

COSOとは、トレッドウェイ委員会支援組織委員会のことです。正式名称は「The Committee of Sponsoring Organizations」といいます。COSOが公表しているフレームワークは、世界標準となっており、日本の内部統制にも取り入れられています。

COSOの内部統制フレームワークとは？

内部統制システムを、有効かつ効率的に整備・運用できるように公表されたものです。フレームワークは、以下の5つの要素で構成されています。

• 監修：中川崇

  田園調布坂上事務所代表。広島県出身。大学院博士前期課程修了後、ソフトウェア開発会社入社。退職後、公認会計士試験を受験して2006年合格。2010年公認会計士登録、2016年税理士登録。監査法人2社、金融機関などを経て2018年4月大田区に会計事務所である田園調布坂上事務所を設立。現在、クラウド会計に強みを持つ会計事務所として、ITを駆使した会計を武器に、東京都内を中心に活動を行っている。

関連記事

# 社内管理
外部監査とは？IPOで実施することや流れ・スムーズに行うポイントを解説
「外部監査」とは、一般的には独立した監査機関が企業の財務報告の正確性と公正性を評価するプロセスです。この監査は、企業が公開している財務諸表が、適用される会計基準に従って適切に作成されているかどうかを検証します。 外部監査は、投資家やその他の…
詳しくみる
# 社内管理
IPO準備における法定監査とは？会社法監査・金融商品取引法監査の基礎を解説
IPOを目指す企業や経営者にとって、「法定監査」は欠かせないプロセスです。本記事では、会社法監査と金融商品取引法監査という2つの法定監査の基本や、IPO準備におけるポイントを解説します。 法定監査とは？押さえておきたい基礎知識 法定監査とは…
詳しくみる
# 社内管理
内部統制におけるロールフォワードとは？必要性や実施手順を説明
上場を目指す場合、内部統制報告書の提出は重要なプロセスです。しかし、「内部統制の評価・改善がうまくいかない」「期末日までに準備できるか不安」などの悩みを持つ方もいるのではないでしょうか。そういったときはロールフォワード評価を利用すれば、期末…
詳しくみる
# 社内管理
内部統制における文書化の重要性｜作成手順・体制をわかりやすく解説
内部統制を整備するにあたり、「文書化は必要なのか」「必要な場合はどのように作成すればよいのか」といった疑問や悩みを抱えていませんか。この記事では、内部統制における文書化の重要性と内部統制に欠かせない3つの文書を紹介します。文書の作成手順や作…
詳しくみる
# 社内管理
IPO準備企業の税務とは？留意事項や押さえておくべき財務会計との違いを解説
資本主義社会において、上場企業は「社会の公器」としての役割を果たすといわれています。その上場企業になるための、IPO審査では、財務会計に基づいた決算書の作成が求められます。ただしその際は、IPO準備企業に特有の税務問題に留意しなければなりま…
詳しくみる
# 社内管理
アクセス制限とは？種類やメリット・デメリット、押さえておきたいポイントを解説
アクセス制限とは、社内のネットワークなどにアクセスできるユーザーを制限するための仕組みです。適切なアクセス制限を行うことで、外部からのサイバー攻撃や内部不正を抑制でき、社内のセキュリティ強化を実現することができます。 本記事では、アクセス制…
詳しくみる