The Committee of Sponsoring Organizations of Treadway Commission (COSO)¹ は5月14日に発表しました。 2013年、「内部統制-統合フレームワーク」の更新版（以下、「2013年フレームワーク」）が発表されました。 また、COSOは2つの例示的文書を発表しました。 また、COSOは、「内部統制システムの有効性を評価するための例示ツール」と「外部財務報告に係る内部統制」の2つの例示文書も公表しています。

1992年に初めて発行されたCOSOの内部統制-統合的枠組み（以下、1992年枠組み）は、世界で最も広く受け入れられた内部統制の枠組みの一つとなりました。 このフレームワークを更新し強化するCOSOの主な目的は、過去20年間に起こったビジネスや経営環境の大きな変化に対応することです。

2013年版フレームワークおよび図解ツールは、AICPAから購入することが可能です。 2013フレームワークのエグゼクティブサマリーは、COSOのウェブサイトから無料で入手できます。

以下は、2013フレームワークにおける強化点の2013年6月10日発行のデロイトのヘッドアップニュースレターからの概要、2002年サーベンス・オクスリー法（SOX）第404条に準拠する上で1992フレームワークを使用している企業に対する検討事項、他のCOSO関連文書に対する影響など1992フレームワークから2013フレームワークに移行する際の情報である。 さらに、6月10日付のニュースレターHeads Upの付録では、2013フレームワークと1992フレームワークの比較、および2013フレームワークで拡張された概念のいくつかにスポットを当てています。 フレームワークに関する追加情報については、デロイトの2012年2月6日及び2012年8月7日のヘッドアップニュースレターをご参照ください。

2013年フレームワークにおける強化点

2013年フレームワークは、内部統制の有効性を設計・評価するためのより正式な構造を、

1.内部統制の有効性を設計・評価するために、以下のように構築しています。 内部統制の構成要素を説明するための原則を使用する。 2013年版フレームワークでは、COSOフレームワークの5つの構成要素（統制環境、リスク評価、統制活動、情報と伝達、監視活動）に関連する概念を説明する17の原則が含まれています。 17の原則を策定するにあたり、COSOは、1992年のフレームワークの概念に着目し、COSOの2006年の「財務報告に係る内部統制-中小企業向けガイダンス」（以下、中小企業向けガイダンス）で策定・明示された原則を考慮し、1992年からビジネス、経営環境、ガバナンスが大きく変化していることを考慮した上で、この原則を策定しています。 COSOは、企業が効果的な内部統制システムを設計し、そのシステムが有効に機能しているかどうかを評価するために、この原則を役立てることを意図しています。 2013年版フレームワークでは、17の原則は5つの構成要素の基本概念であるため、17の原則すべてがすべての企業に関連すると想定しています。 したがって、ある原則が存在せず、かつ機能していない場合、関連する構成要素も存在せず、かつ機能していないことになります。 まれに、業界、規制、業務上の問題により、経営者がある原則を構成要素と関連性がないと判断する場合があります。 この着眼点は、経営者が内部統制を設計、実施、評価し、関連する原則が存在し機能しているかどうかを評価するのに役立つかもしれませんが、内部統制の有効性を評価するために必要なものではありません。 経営者は、いくつかの着眼点が適切でない、または関連性がないと判断し、他の着眼点を特定し検討することができる。

2. 原則に従って内部統制を設計し評価する、より正式な方法を作成することである。 後述の「効果的な内部統制のシステム」の項を参照。

2013年版フレームワークにおける基本的な概念は1992年版フレームワークと同様ですが、各構成要素や原則に関する議論が追加または拡張されており、詳細な着眼点などの強化がなされています。 例えば、リスクを識別し対応するという概念は1992年版フレームワークにもありましたが、2013年版フレームワークでは、内在するリスク、リスク許容度、リスクの管理方法、リスク評価と統制活動の関連性など、リスク評価の概念についてより詳細な議論が行われています

また、1992年版フレームワークと異なり、組織の目的達成に対するリスク評価において不正リスクの可能性を検討するという概念が明示的に含まれています（第8原則を参照）。 2013年版フレームワークでは、「リスク評価プロセスの一環として、組織は、不正な報告が起こり得る様々な方法を検討し、特定するべきである」と説明されている。

• 経営者の偏見。 例えば、会計原則の選択など
• 外部報告における見積もりや判断の程度
• 企業が事業を行う産業部門や市場に共通する不正のスキームやシナリオ
• 企業が事業を行う地域
• 不正行為を動機付けるインセンティブ
• 不正の性質を持つもの 技術及び経営者が情報を操作する能力
• 経営者の大きな影響を受ける異常な又は複雑な取引
• 経営者の無効化に対する脆弱性及び既存の統制活動を回避する潜在的スキーム」

原則8でも、経営権の無効化に関連する考慮事項について論じている。 資産の保護、インセンティブとプレッシャー、不適切な行為の機会、不適切な行為を正当化する態度や合理化など。 (ヘッドアップ第20巻第17号の付録Aで、原則8に関する追加の議論を参照)

さらに、COSOは2013年のフレームワーク全体を通して、以下に関する考慮事項を追加している：

• 外部委託サービス提供者の使用（ヘッドアップ第20巻第17号の付録B参照）。
• 情報技術の関連性の向上（Heads Up, Volume 20, Issue 17の付録Cを参照）

以下の表は、コンポーネントごとに原則をまとめたものです。 付録Aは、原則を1992年版フレームワークのトピックセクション（該当する場合）に対応付け、2013年版フレームワークで強化された概念の一部を高い水準でまとめています。

統制の構成要素と原則

内部統制の有効なシステム

2013年版フレームワークに基づく内部統制の有効なシステムでは、

1. 5つの構成要素と関連する原則のそれぞれが存在し、機能していることが要求されます。 2013年版Frameworkでは、

• 「存在」とは、「特定の目的を達成するための内部統制システムの設計及び実施において、構成要素と関連する原則が存在すると判断すること」、
• 「機能」とは、「特定の目的を達成するための内部統制システムの実施において構成要素と関連する原則が存在し続けていると判断すること」、

2。 5つの構成要素は統合的に動作していなければならないとされ、また、「機能」とは「構成要素における機能」と定義されています。 2013年版Frameworkでは、以下のように説明されています。

• 一緒に機能しているとは、「5つの構成要素すべてが集合的に、目的を達成できないリスクを許容レベルまで低減すると判断すること」
• 経営者は、1）「構成要素が存在し機能している」、2）「内部統制の不備が構成要素間で集約されて、一つまたは複数の重要な不備が存在するという判断をもたらさない」と判断できるときに、構成要素が一緒に機能していると証明することができる。”

編集部注：SOX法404条の遵守に関するSEC規則では、「企業の財務報告に係る内部統制の評価は、その設計の評価と運用の有効性をテストするための両方の手続きに基づかなければならない」²同様に、PCAOB監査基準5³では、監査人に、財務報告に係る内部統制の設計と運用の有効性を評価することを求めています。 我々は、「存在する」及び「機能している」が、それぞれ「設計」及び「運用の有効性」に相当すると考えています。

2013フレームワークでは、内部統制の不備の深刻さの程度を表すために、「内部統制の不備」及び「主要な不備」という用語が使用されています。 2013年版フレームワークでは、内部統制の不備とは、「企業が目的を達成できる可能性を低下させる、構成要素や関連する原則（複数可）の欠点」を指し、重大な不備とは、「企業が目的を達成できる可能性を著しく低下させる内部統制の不備または不備の組合せ」であると定義されています。 さらに、2013年版フレームワークでは、”構成要素と1つ以上の関連する原則が存在しないか機能していない”、または “構成要素が一緒に機能していない “場合に、重大な欠陥が存在すると説明されています。 さらに、重要な欠陥が存在する場合、組織は有効な内部統制システムの要件を満たしていると結論づけることはできません。

重要なことは、内部統制の欠陥を評価するにあたり、規制当局、基準設定主体、その他の当事者が、内部統制の欠陥の重大性の定義、評価、報告の基準を設定できることを、2013年版フレームワークでは認めていることです。 SOX法における内部統制報告要件を遵守するために、経営者はSECの重要な欠陥や重要な弱点の用語を引き続き使用し、監査人はPCAOBの基準で同じ用語を使用することになると思われます。 したがって、企業が外部財務報告に対する内部統制（ICEFR）の設計と運用の有効性を評価する場合（すなわち, 5375>

COSO Transition Guidance and Impact on Other COSO Documents

2013年版フレームワークの公開草案に対するパブリックコメントの過程において、様々な関係者がCOSOに対し、1992年版フレームワークから2013年版フレームワークへの移行を完了する具体的な日を提示するように要求しました。 この意見に基づき、COSOは移行の具体的な内容を提示し、「各自のアプリケーション及び関連文書を、各自の特定の状況下で実行可能な限り速やかに更新されたフレームワークに移行する」ようユーザーに呼びかけています。 また、COSOは、「2014年12月15日までの移行期間中は、元のフレームワークを引き続き利用できるようにするが、それ以降は優先されたものとみなす」とも述べています。 さらに、SECの首席会計士であるPaul Beswick氏は、”SECスタッフは、1992年のフレームワークを使用している発行者の移行を監視し、将来のある時点で、スタッフや委員会の何らかの行動が必要または適切になるかどうかを評価する予定である “と表明しています。 さらに彼は、現時点では、「COSOフレームワークの利用者に、COSOが彼らの新しいフレームワークについて行った声明と移行についての考えを紹介するだけだ」と述べています。

移行期間中（2013年5月14日から2014年12月15日まで）、COSOは、「外部報告を伴う内部統制-統合フレームワークの適用は、オリジナル版と2013版のどちらが利用されているかを明確に開示すべきである」ことを示唆しています。 その結果、企業がSOX法に従ってICEFRの年次評価を提供する場合、評価の実施に使用した正確なCOSOフレームワークを示すことが適切であると考えられます。

編集部注：PCAOB監査基準5では、「監査人は財務報告に対する内部統制の監査を実施するにあたり、経営者が財務報告に対する企業の内部統制の有効性に関する年次評価に使用しているものと同じ適切で認知された統制フレームワークを使用するべきである。”」と述べています。 そのため、監査人がICEFRの監査について2013年版のフレームワークへ移行するタイミングは、企業の移行時期によって異なることになります。 もし、会社が2013年12月31日に終了する暦年で1992年版フレームワークを使用している場合、監査人も1992年版フレームワークを使用することになります。 5375＞＜1260＞COSOの中小企業向けガイダンスは、2014年12月15日以降、ICEFR Compendiumに取って代わられます。＜5375＞＜1260＞COSOの企業リスクマネジメント統合フレームワーク（以下ERMフレームワーク）は、2013フレームワークに取って代わられるものではありません。 ERMフレームワークと2013年版フレームワークは異なる焦点を持つことを意図していますが、2つのフレームワークは互いに補完するように設計されています。 COSOは、ERMフレームワークが1992年版フレームワークの文章を一部含んでいても、ERMフレームワークは企業リスクマネジメントを設計、実施、評価するために引き続き適切であると信じています。 2013年版フレームワークの付録Fでは、「フレームワークの原則に対する変更は、内部統制システムのモニタリングに関するCOSOのガイダンスで開発されたアプローチを実質的に変更するものではない」と述べられています。

外部財務報告に対する内部統制

ICEFRの有効性に対する経営者の評価（すなわち、SOX法第404条に準拠するための）に対して2013年のフレームワークの影響は、企業が1992年のフレームワークにあった概念をいかに適用し解釈したかにより異なるでしょう。 例えば、既存の内部統制システムが、関連するすべての原則が存在し、機能していることを明確に示し、文書化していない場合があります。 COSOは、企業が2013年版フレームワークを適用する際に役立つよう、ICEFR Compendiumを開発しました。 この文書で議論されているアプローチは、組織がICEFRのシステムにおいてどのように原則を適用するかを説明し、その例は各原則の適用を図解している。 ICEFRを報告するためにCOSOを使用している企業は、以下のことを検討するとよいだろう：

1. 2013年版フレームワークを読み、新しい概念や変更点を確認する。

2 トレーニングや教育のニーズを評価する。

3 2013年版フレームワークがICEFRの設計や評価にどのように影響するかを以下の方法で決定する。 既存のプロセス及び関連するコントロールによる原則の適用範囲を評価し、焦点を当てるポイントを検討する。

b. 原則の適用に関連する現在のプロセス、活動、及び利用可能な文書を評価する。

c. 上記におけるギャップを特定する。

4. 2013年版フレームワークへの移行において実行すべきステップがあれば特定し、:

a. 2014年12月15日までに移行を完了する計画を策定すること（すなわち、SOX法404条に準拠する暦年決算企業は、2014年12月31日以降に終了する報告期間について2013年のフレームワークに移行すること）

b. 2013年に実施した活動（ウォークスルー、関連するコントロールのテスト、欠陥の評価など）を利用して、必要な変更を特定し、2013年版フレームワークの適用を試験的または実地試験的に行うことを検討する

c. 移行期間中及び2013年版フレームワークの採用時に使用したフレームワークの適切な開示の確認

5.移行期間中及び2013年版フレームワークの採用時に使用したフレームワークの適切な開示の確認

6. 組織のICEFRの実施、モニタリング、報告を担当するすべてのグループとの内部での調整及びコミュニケーション

6. 内部監査（該当する場合）及び外部監査人との活動の協議及び調整

COSOの図解ツールは、企業が内部統制システムの有効性を評価する際に2013フレームワークを適用する方法を例示しています。 この文書では、例示的なテンプレートが提供されており、様々なテンプレートの記入方法を例示したシナリオが含まれている。 しかし、このツールは、

• 内部統制の不備を評価するための規制要件を満たすものではありません。
• 原則を実現するため、または特定されたリスクに対処するための、経営者による統制の選択を説明するためのものです。
• 内部統制の有効なシステムを確保するために、統制の性質、タイミング、またはテストの範囲に関する決定を説明する。

-Produced by Jennifer Burns and Brent Simer, Deloitte LLP

注
1.本書の内容は、予告なしに変更されることがあります。 COSOは、民間企業5団体の共同イニシアチブであり、企業のリスク管理、内部統制、不正抑止に関するフレームワークやガイダンスを開発し、ソートリーダーシップを発揮することを目的としている。 米国会計士協会、米国公認会計士協会、Financial Executives International、Institute of Management Accountants、Institute of Internal Auditorsの5つの民間団体。
2. Securities Act Release No.