2013/07 季刊 ● 企業リスク 66

緊急レポート：COSOフレームワークの改訂

　2013年5月14日、トレッドウェイ委員会支援組織委員会（以下「COSO」）は、内部統制の統合的

枠組み(以下「COSOフレームワーク」)の改訂版（以下「2013年版フレームワーク」）を公表した。

　COSOフレームワークは、1992年に公表されて以来、アメリカのみならず、世界各国における内

部統制の考え方の基礎となった、内部統制フレームワークのグローバルスタンダードであり、日本を

含む主要国の内部統制フレームワークに多大な影響を与えている。

　しかし、公表からすでに20年が経過しており、企業等の各組織を取り巻く環境が大きく変わっている。

そこでCOSOは従来のCOSOフレームワークの最新化を図るため、このたび2013年版フレームワーク

を公表するに至ったのである。本稿では、2013年版フレームワークの概要について解説を行う。

　なお、本稿における一部の和訳は、筆者の仮訳である。COSOフレームワークの改訂により、我が国の内部

統制報告制度(J-SOX)における、内部統制の基本的枠組みに直接影響を与えることはないことを申し添える。

1. COSOフレームワーク改訂の背景と目的

　COSOフレームワークは、1992年に公表されて以降、

世間からの評価や認知度を着実に高め、内部統制フレー

ムワークのスタンダードとして広く認識されるように

なった(以下｢1992年版フレームワーク｣)。しかし、公表

以来20年が経ち、情報テクノロジーは進歩し、経営のグ

ローバリゼーションが進展するなど経営環境に著しい

変化が起こっている。また、今日では、ステークホルダー

が、企業の説明責任、コーポレートガバナンス、経営の透

明性、不正の防止と発見を強く要請している。

　このような背景を踏まえ、有効な内部統制が備える

べき必要事項の明確化、企業を取り巻く環境変化への

対応、そして報告する目的の拡張を目的として、COSOフ

レームワークが改訂された。

研 究 室 Ⅰ

トーマツ企業リスク研究所　主任研究員　　森谷 博之　　 　　　　　　　　　　　　研究員　　若林 香里　　　　　　　　　　　　　　 研究員　　仲　 宏太

トーマツ 企業リスク www.deloitte.com/jp/book/er

2013/07 季刊 ● 企業リスク 67

緊急レポート：COSOフレームワークの改訂

2. 改訂のポイント

17原則の提示

　1992年版フレームワークでは示されていなかった

が、2013年版フレームワークでは、図表1のとおり、内

部統制の各構成要素の基礎となる17原則 (Principles)

「財務報告」から「報告」に変更

　1992年版フレームワークにおける内部統制の3つの

目的の1つに、「財務報告の信頼性」目的があった。しか

し組織は、現代社会からのニーズにより、財務のみなら

ず非財務情報を開示する機会が増えているため、図表2

のとおり、「報告の信頼性」目的へと範囲が拡張された。

その結果、2013年版フレームワークの「報告の信頼性」

目的は、「財務情報の外部報告」、「財務情報以外（非財務

情報）の外部報告」、「財務/非財務情報の内部報告」とい

を明示している。17の原則を満たすことで、内部統制の

3つの目的（業務の有効性・効率性、報告の信頼性、コン

プライアンス）が達成できる構成となっている。また、原

則の重要な特徴として属性が示された。属性は、必ずし

も全てを満たす必要はないが、属性と自社の内部統制

を比較することで、自社の内部統制で不足している部分

がないのか確認することができる。

う3つから構成されることとなった。財務/非財務情報

の外部報告は、主に、法令や基準等に遵守することを目

的としており、財務/非財務情報の内部報告は、事業活動

を測定する基準等、経営者の意思決定を支援すること

を目的としている。

図表1

構成要素 原 則

統制環境

① 誠実性と倫理的価値観にコミットする姿勢の明示② 取締役会の経営者からの独立と内部統制の構築・運営についての監督③ 取締役会の監督の下に、経営者による組織構造、レポーティングライン、権限と責任の確立④ 能力ある者を採用し、教育し、雇用維持することをコミットする姿勢の明示⑤ 内部統制に関する責任権限の明確化

リスク評価

⑥ リスクの識別・評価を可能にするための目的の設定⑦ 企業目標の達成を脅かすリスクの識別とリスク管理のための分析⑧ 不正リスクの評価⑨ 内部統制システムに重要な影響を与える変化の識別と分析

統制活動⑩ 企業目標の達成を脅かすリスクを許容可能な水準に低減する統制活動の選択と構築⑪ 企業目標の達成に寄与するIT全般統制の選択と整備⑫ 方針とそれに対応する手続の整備

情報と伝達⑬ 内部統制の機能を支援する情報の発信と利用⑭ 内部統制の機能を支援する情報（その目的と職務を含む）の組織内での伝達⑮ 内部統制の機能に影響を与える事項についての外部との情報交換

モニタリング活動⑯ 内部統制の構成要素が存在し、機能していることを確認するための日常的及び独立的評価の選択、　 整備、運用⑰ 内部統制の不備を評価し、是正措置を講じる責任を負う者（経営者及び取締役会を含む）への伝達

出所：COSO, Internal Control ー Integrated Framework, May 2013

トーマツ 企業リスク www.deloitte.com/jp/book/er

2013/07 季刊 ● 企業リスク 68

図表2

経営環境の変化 フレームワークをアップデート

① ガバナンスによる監督に対する期待の高まり

② 市場及び事業活動のグローバル化

③ 事業活動の変化と複雑化

④ 法令、ルール、規則、基準の要求と複雑性

⑤ 能力と説明責任に対する期待

⑥ 高度化するテクノロジーの利用と依存

⑦ 不正の防止と発見への期待

出所：COSO, Internal Control ー Integrated Framework, May 2013

　上記の変更点を含め、1992年版フレームワークから

2013年版フレームワークへの改訂により、変更があっ

3. 2013年版フレームワークと同時に発表された刊行物

　COSOは、2013年版フレームワークの公表と

併せて、「内部統制システム評価支援のための実例

となるツール（“Illustrative Tools for Assessing

た点と変更がなかった点を図表３にとりまとめた。

Effectiveness of a System of Internal Control”）」

（以下「評価支援ツール」）と「外部財務報告に係る

内部統制：適用事例及び適用方法の概要（ﾓ Internal

Control over External Financial Reporting: A

Compendium of Approaches and Examplesﾓ）」

（以下「適用方法と事例集」）を発表した。これは、企業

に2013年版フレームワークの導入を促し、かつ、導入

図表3

出所：COSO, Internal Control ー Integrated Framework, May 2013

統制環境統制環境

リスク評価リスク評価

統制活動統制活動

情報と伝達情報と伝達

モニタリング活動モニタリング活動

業務の

有効性・効率性

業務の

有効性・効率性

報告の信頼性

報告の信頼性

コンプライアンス

コンプライアンス

事業体全社レベル

事業体全社レベル

部門部門

業務単位

業務単位

機能機能

改訂で変更がなかった点

① 内部統制の定義② 内部統制の3つの目的と5つの構成要素③ 5つの構成要素は効果的な内部統制の必要事項であること④ 内部統制の整備、運用及び有効性評価における、主観的判断の重要性

改訂で変更があった点

① 経営環境変化への対応② 報告目的の拡張③ 5つの構成要素と関連する17の原則を基本的なコンセプトとして明示④ 原則の適用並びに業務、コンプライアンス及び非財務報告目的に関連する適用事例の追加

トーマツ 企業リスク www.deloitte.com/jp/book/er

2013/07 季刊 ● 企業リスク 69

緊急レポート：COSOフレームワークの改訂

した企業に対する効果的な内部統制評価の支援を主

旨としている。

4. 評価支援ツール

　評価支援ツールは、その名のとおり、自社の内部統

制評価を支援するツールであり、2013年版フレーム

ワーク導入・運用時に役立つテンプレートとシナリオ

から構成されている。テンプレートやシナリオは、個

別の統制手続ではなく、内部統制の構成要素と関連す

る原則に照準を合わせている。

　テンプレートは、内部統制評価結果の要約を記載す

るための様式であり、自社特有の事情に沿った内容へ

と調整することで、プロセス評価に活用することが出

来る。

　シナリオでは、例えば、「複数拠点の評価結果を統

合する際にどのようにテンプレートに記載するの

か。」等、合計5つの事例が示されている。シナリオを

閲覧することで、内部統制システムの有効性評価支援

ツールであるテンプレート活用方法に関する理解を

深めることが出来る。

　ただし、評価支援ツールを利用するだけで、法令、

ルール、規則、そして、内部統制に関する基準を、自動

的に満たすわけではないということに留意が必要で

ある。

5. 適用方法と事例集

5-1 概要

　適用方法と事例集は、外部財務報告に係る内部統

制の事例集である。これは、内部統制の目的の一つ

である「報告の信頼性」を構成する「外部財務報告」

に係る内部統制にフォーカスしたものである。内部

統制の17の原則を、外部財務報告に関するプロセス

に関連付け、内部統制の構築における実務的な方法

(Approach)や事例(Examples)を提示している。

5-2 内部統制の要素 ：「統制環境」

　「統制環境」に関係する統制の例示の一部を紹介する。

●行動規範に外部向けの財務報告書作成に関連する

条項を入れる。

●行動規範への準拠性評価として倫理監査を実施する。

●行動規範の違反を発見した場合、財務諸表への

影響を評価し、外部向け財務報告に関連するどの

統制が、違反を未然防止出来なかったのかを特定

する。

●監査委員会は財務情報の外部報告プロセスに関連

する統制の有効性を監督する。

●取締役会と経営陣との会合で、新規に適用される

であろう会社の会計方針、また既に適用された会

計方針の最新の状況について共有する。

●会計基準の変更について妥当かどうかを、客観的

視点を交えて検討する。

●財務報告上の誤謬または違反についての内部通報

情報を検討する。

●外部財務報告業務の役割分担を設定するために、

業務記述書の維持管理やアップデートをする。

●監査委員会は、担当者及び監査委員会の補佐担当

者の専門能力をレビューし承認する。

5-3 内部統制の要素：「リスク評価」

　「リスク評価」に関係する統制の例示の一部を紹介

する。

●財務諸表上の勘定科目、開示項目、アサーションを

識別する。

●定性的及び定量的評価基準を設けて、重要な勘定

トーマツ 企業リスク www.deloitte.com/jp/book/er

2013/07 季刊 ● 企業リスク 70

科目の重要性を評価する(例えば、財務諸表の利用

者、財務諸表上の各科目の比率等)。

●経営管理者は、専門機関から発行された刊行物等

により自社に関連する会計基準についての最新の

情報を確認する。

●虚偽表示のリスクや、重要な勘定科目や開示項目

のアサーションに関連するリスクの発生頻度を識

別するプロセスを適用する。

●重要な勘定科目とそれに結びつくアサーションに

関連するリスクの要因を検討して、財務報告の目的

達成を阻害するリスクを識別する。

●外部財務報告の見積もり及び判断の程度を考慮し

て、不正リスクの評価を実施する。

●経営者不正対策として、特に会計期間末近くに処

理された取引認識のタイミングの変更に注意し、

経営者が統制手続を回避するまたは無機能化する

方法を検討する。

●財務報告の信頼性に多大に影響を与える、重要な

変更に関連するリスクの評価を実施する。

5-4 内部統制の要素：「統制活動」

　「統制活動」に関連する統制の例示の一部を紹介

する。

●会計上の見積もり、関連当事者間取引、重要な会計

方針など主要な財務報告の要素は、虚偽表示のリ

スクが高いため、複数の統制手続を組み合わせて

コントロールされる。

●財務に関連する重要な業務プロセスの遂行に必要

となるアプリケーション、データベース、オペレー

ティングシステム、ネットワークへのアクセス権は

制限される。

●重要な財務データやプログラムは、日常的にバッ

クアップが取られ、リストアが完全、かつ正確に行

えるように手続きが準備されている。

5-5 内部統制の要素：「情報と伝達」

　「情報と伝達」に関連する統制の例示の一部を紹介

する。

●非財務報告業務が財務報告に影響を及ぼす可能性

があるため、会計・財務担当者は少なくとも月1回

は、他の業務領域の経営管理者と面談をする。

●財務データ及び関連する情報は、識別され、安全に

保管され、維持される。

●CFOは財務情報を分析し、分析結果を取締役会へ

提供する。

5-6 内部統制の要素：「モニタリング活動」

　「モニタリング活動」に関連する統制の例示の一部

を紹介する。

●統制活動の日常的な評価として、財務取引の完全

性と正確性に関連する測定基準を利用する。

●財務情報の外部報告に関連する内部統制の独立的

評価を実施する。また、独立的評価には、内部監査

機能を利用する。

6. 移行期間

　COSOは、2013年版フレームワークを速やかに導

入するよう求めており、2014年12月15日までを移

行期間としている。移行期間終了後には、1992年版

フレームワークは廃止される。COSOフレームワーク

を利用していることを公表している組織は、移行期間

中は、1992年版フレームワークと2013年版フレー

ムワークのいずれを利用しているのか明確に開示す

ることが推奨されている。

トーマツ 企業リスク www.deloitte.com/jp/book/er

2013/07 季刊 ● 企業リスク 71

緊急レポート：COSOフレームワークの改訂

7. まとめ

　今回の改訂により、COSOフレームワークの内容

は現代化され、またより実践的な活用が可能になっ

た。このことにより、あらゆる組織において内部統制

の理解が促進され整備・運用・評価が容易になると思

われる。これを機に既存のフレームワークの適用に

過不足がなかったかを再考することが有意義と考え

る。その上で、より効果的で効率的な内部統制の整備

運用に向けて、現在の事業環境に即した2013年版フ

レームワークをなるべく早く導入することをお奨め

する。

〈参考資料〉

1.COSO, Internal Control ーIntegrated Framework,

Framework and Appendices May 2013

2.COSO, Internal Control ーIntegrated Framework, May

2013

3.COSO, Internal Control ーIntegrated Framework, Internal

Control over External Financial Reporting: A Compendium

of Approaches Examples

4.COCO, Internal Control ーIntegrated Framework

Frequently Asked Questions (May 2013)

バックナンバーのご案内

第38号（2013年1月号）

特集

「水」リスクとその対策●「水」リスクとは

●「水」リスクと日本企業の取り組み

●「水」リスクへの海外企業の取り組み事例

●タイ洪水被害を教訓とした事業継続の　あり方

連載

●企業における　情報関連トラブルとリーガルリスク　第3回：「営業秘密」

●やさしく分かる　内部監査ナビゲーション　第27話：「データ監査にチャレンジ（第3回）」

研究室

●海外における温室効果ガス排出量算定・　報告制度　～メキシコGHGプログラム～

●紛争鉱物SEC最終規則の概要

トーマツ 企業リスク www.deloitte.com/jp/book/er

季刊誌「企業リスク」のご案内～企業を取り巻く、様々なリスク管理活動を支援する専門誌～

○先進企業の取り組みをご紹介する「企業リスク最前線」

○最新の重要テーマを多角的な視点から解説する「特集」

○法改正とそれに伴う企業の影響を詳説する「研究室」

○専門的な知見をわかりやすくお伝えする「企業リスクの現場」

〈発　　　　　行〉

〈主なご購読層〉

〈扱う主なテーマ〉コーポレートガバナンス、コンプライアンス、内部統制、ITガバナンス、IT統制、不正対応、海外子会社ガバナンス、知的財産、事業継続、CSR、各種法改正に伴う対応等

1月・4月・7月・10月（年4回）

事業会社の内部統制、内部監査、経営企画、リスクマネジメント等に従事されている方

攻め・守りの双方向から、企業が経営を適切に推進するための最新情報が詰まった一冊です。貴社のガバナンス体制構築に、ぜひお役立てください。

トーマツ企業リスク研究所

季刊誌「企業リスク」WEBサイトはこちら

トーマツ企業リスク研究所は、企業リスクの有効なコントロールが注目される中、激変する経営環境に伴って変化する企業リスクとその管理について研究する専門部署として2002年10月より監査法人トーマツ（現：有限責任監査法人トーマツ）内に設置されました。トーマツ企業リスク研究所は、企業が直面するさまざまなリスクを研究対象し、その研究成果に基づきセミナーの開催、Webサイトによる情報提供、季刊誌の発行などを行います。

〈トーマツ企業リスク研究所とは〉

「企業リスク」の無料試読を承っております。※最新号のみに限らせていただいております。※お1人様1回のみお申込みいただけます。

「企業リスク」のバックナンバー記事をWEBサイトで無料公開しております。ぜひご覧ください。

無料試読のご案内 バックナンバー記事のご案内

無料試読のお申込みはこちら バックナンバー記事の閲覧はこちら

トーマツ企業リスク研究所の詳細はこちら

トーマツ企業リスク研究所では、企業を取り巻く様々なビジネスリスクへ適切に対処するための研究活動を行っています。本誌「企業リスク」は、毎号、各種リスクに関する実務経験を備えた専門家の知見をお届けします。

■掲載コーナーご紹介

■概要